Le sujet de la sûreté des sites sensibles n’a jamais été autant d’actualité, avec l’état d’urgence prolongé et la multiplication des risques liés aux attentats. Des sites qui n’étaient pas auparavant considérés comme vulnérables nécessitent aujourd’hui une sécurité adaptée et maitrisée.
Retour sur les enjeux, les stratégies et les moyens existants pour optimiser la sûreté des sites sensibles tels que les sites développant ou stockant des biens de grande valeur, les sites SEVESO et les infrastructures critiques : centrales électriques, stations de traitement de l’eau, data center, mais aussi les lieux publics très fréquentés comme les stades, les gares, les aéroports, les grands magasins ou les écoles…
Objectifs & enjeux
Parce qu’elles concourent à la production et à la distribution de biens ou de services indispensables à l’exercice de l’autorité de l’Etat, au fonctionnement de l’économie, au maintien du potentiel de défense ou à la sécurité de la Nation, certaines activités sont considérées comme « d’importance vitale ». Les points d’importance vitale sont des établissements, ouvrages ou installations qui fournissent les services et les biens indispensables à la vie de la Nation.
Une politique de sécurité des activités d’importance vitale (SAIV)
Conçu et piloté par le secrétariat général de la défense et de la sécurité nationale (SGDSN), le dispositif de sécurité des activités d’importance vitale (SAIV) constitue le cadre permettant d’associer les opérateurs d’importance vitale (OIV), publics ou privés, à la mise en œuvre de la stratégie de sécurité nationale en termes de protection contre les actes de malveillance (terrorisme, sabotage) et les risques naturels, technologiques et sanitaires. Placés au cœur du dispositif, les opérateurs d’importance vitale doivent analyser les risques auxquels ils sont exposés et appliquer les mesures de protection qui leur incombent, notamment en mettant en œuvre le plan VIGIPIRATE.
10 ans de réformes
Le 23 février 2016 a marqué le dixième anniversaire du dispositif de sécurité des activités d’importance vitale dont l’ambition première est d’assurer la continuité des activités essentielles à la défense et au fonctionnement de la Nation. Le dispositif établi par décret en 2006, devenu caduque par bien des aspects, ne faisait que peu de place aux acteurs privés et avait notamment conduit à la multiplication des cibles à défendre, au point que 7000 sites figuraient au catalogue des installations protégées au début du XXIe siècle. La chute de l’URSS et la montée en puissance du terrorisme matérialisée par les attentats du 11 septembre 2001 impliquaient une refonte en profondeur de ce dispositif. « Entamé en 2005 et concrétisé par le décret du 23 février 2016, cet effort s’est traduit par quatre grandes réussites. » souligne Louis Gautier, secrétaire général à la défense et à la sécurité nationale. Le SGDSN a par ailleurs lancé en 2013 un processus de révision des directives nationales de sécurité. L’un de ses objectifs est d’adopter une approche tous risques afin d’inciter les opérateurs à se préparer à faire face à toutes sortes de crises susceptibles d’affecter leur personnel, leurs locaux, leurs réseaux et leurs installations de production en élaborant des plans de continuité d’activité (PCA).
Les opérateurs d’importance vitale, acteurs de la stratégie de sécurité nationale
Le dispositif SAIV met l’opérateur d’importance vitale au centre du dispositif lui ouvrant ainsi un statut particulier :
– la désignation du délégué à la défense et à la sécurité au sein de l’entreprise. Elle permet à l’autorité administrative de disposer d’un interlocuteur unique et habilité au niveau « Confidentiel défense » à qui elle communique des informations sur la menace ainsi que les changements de posture du dispositif VIGIPIRATE ;
– la procédure dite de « criblage ». Elle offre la possibilité à l’OIV de demander à l’autorité administrative de vérifier que les caractéristiques de la personne souhaitant accéder à son PIV ne sont pas incompatibles avec la sécurité du site concerné ;
– le plan de protection externe (PPE). Réalisé sous l’autorité du préfet de département, il complète le dispositif de protection du PIV. Il décrit et planifie les capacités humaines et matérielles de l’Etat pour intervenir sur le PIV. Il prévoit également les mesures de surveillance des zones périphériques.
Concentration et durcissement du dispositif
La SAIV concerne aujourd’hui douze secteurs d’activité rattachés à neuf ministres coordonnateurs, qui ont élaboré 22 directives nationales de sécurité. Elle implique quelque 250 opérateurs d’importance vitale qui sont responsables de près de 1 400 points d’importance vitale. Un important travail de rationalisation et de simplification a ainsi été entrepris, alors que s’est imposée une conception globale de la défense des activités indispensables au bon fonctionnement et à la sécurité de la Nation.
Complémentarité et coopération de l’action publique et privée
Du sommet de l’Etat, à travers l’action des hauts fonctionnaires de défense et de sécurité, jusqu’à l’échelon local, où la police, la gendarmerie et les armées participent à la protection des points d’importance vitale, en passant par le niveau intermédiaire des préfectures, les différents ressorts de l’action publique ont été mobilisés. Dans le même temps, les opérateurs d’importance vitale désignés par l’Etat en vertu de leur rôle essentiel dans la protection et le fonctionnement du pays ont adhéré de façon volontaire et dynamique à ce nouveau dispositif, qui leur impose pourtant des contraintes. Entre les opérateurs et l’Etat, un rapport de confiance a ainsi été progressivement tissé. « Opérateur d’importance vitale, Veolia possède une obligation de sûreté de fait. Mais c’est aussi faire preuve de raison que de prendre conscience de l’importance de la sûreté dans une entreprise de cet ordre, et de mettre ainsi tous les moyens nécessaires à la bonne exécution de cette mission. Les enjeux sont en effet très importants. De la même manière que l’on présente désormais des données sociales et environnementales pour rassurer les clients, les investisseurs ou l’État, les indicateurs présentant et évaluant les mesures de sûreté, le dispositif général, les actions ou encore les audits sont aujourd’hui des éléments clefs qui placent la sûreté comme étant un enjeu indéniable de confiance, de compétitivité et de stabilité. Une fonction qui est ainsi associée aux termes de qualité et de développement durable au sein de l’entreprise et qui influe directement sur la gouvernance de l’entreprise. Une entreprise bien dirigée est une entreprise sûre et sécurisée. » souligne Jean-Louis Fiamenghi, directeur de la sûreté chez Veolia et de poursuivre « Nous conduisons avec l’Etat un travail commun qui nous permet de gagner en réactivité et en précision. Nous avons des objectifs communs évidents, la protection de nos ressortissants tout comme de nos savoir-faire. »
« Face à une menace réelle, multiforme, imprévisible et en évolution permanente, les entreprises doivent mettre en œuvre une complémentarité intelligente de moyens actifs et passifs sous contraintes budgétaires de plus en plus fortes pour assurer la protection de leurs installations sensibles », souligne quant à lui Jean-Michel Chéreau, directeur de la protection du groupe AREVA.
Le challenge consiste donc à délivrer un dispositif de protection pertinent et efficace adapté à une menace actuelle et à celle en devenir dans un contexte éminemment varié.
« Au titre des moyens actifs, il s’agit de disposer de personnel compétent et entraîné. Au titre des moyens passifs, il s’agit de disposer de moyens techniques qui permettent de disposer d’un système de veille sécuritaire global, de détecter la menace et de la suivre, d’empêcher qu’elle ne pénètre sur le site et si, par malheur, elle pénètre, de la freiner », ajoute Jean-Michel Chéreau.
Dialogue et moralisation de la sécurité privée
L’objectif principal de la Délégation aux coopérations de sécurité est l’amélioration du dialogue entre les forces de sécurité de l’Etat, les polices municipales et les sécurités privées. « Grâce à ce dialogue, nous sommes plus à même d’offrir une sécurité globale et complémentaire. L’Etat a un rôle éminent mais en raison des menaces auxquelles nous devons faire face, le secteur privé monte en compétences. Il est ainsi prisé par les donneurs d’ordre. » souligne Philipp Alloncle, Délégué aux coopérations de sécurité. 10 000 entreprises constituent le secteur de la sécurité privée. Elles recouvrent des activités telles que la surveillance humaine ou électronique, la protection des aéroports, des navires ou des véhicules de transports de fonds, les agents de recherche et de sécurité. Ces entreprises forment une communauté humaine d’environ 200 000 personnes qui sont agréés par le Conseil national des activités privées de sécurité (CNAPS). Depuis 2011, la réglementation de ces activités est très stricte dans le cadre du code de sécurité intérieure et de son livre 6. Mais la complémentarité souhaitée exige une professionnalisation et une moralisation de ces petites entreprises. Pour favoriser ces activités, « il doit exister un lien de confiance, ce qui n’est pas le cas. Il y a encore quelques années, les polices municipales étaient regardées avec condescendance. Les efforts des maires dans le recrutement et la formation de ces agents commencent à se concrétiser. Le même parcours est à opérer pour la sécurité privée. » ajoute t-il.
De l’ouverture au champ cyber
L’ouverture à de nouveaux champs, et plus particulièrement au champ cyber est un autre axe fort de la politique nationale. Dès 2008, le Livre blanc sur la défense et la sécurité nationale identifiait les attaques contre les systèmes d’information comme l’une des principales menaces qui pèsent sur notre défense et notre sécurité.
En une décennie, la menace n’a effectivement cessé de se renforcer dans ce domaine, au rythme de la démultiplication des objets connectés qui ont aujourd’hui gagné tous les pans de notre société.
Dans le domaine de la sécurité des activités d’importance vitale, il n’est dès lors plus possible de séparer le réel du virtuel, les deux devant nécessairement être considérés de pair. De ce nouvel impératif, l’article 22 de la loi de programmation militaire s’est fait la traduction récente en introduisant un volet cyber dans la SAIV, imposant aux opérateurs d’importance vitale de renforcer la sécurité des systèmes d’information qu’ils exploitent.
Ces obligations comprennent la déclaration d’incidents, la mise en œuvre d’un socle de règles de sécurité et le recours à des produits et à des prestataires de détection qualifiés. Même si une prise de conscience progresse et que des postures de riposte sont en cours d’analyse, les experts n’excluent pas qu’une cyberattaque d’ampleur ne provoque, un jour prochain, un crash industriel majeur. Pour l’heure, les dernières actualités en matière de cybercriminalité démontrent bien de la pertinence de ces craintes. L’attaque qui a touché près de 180 pays, d’une ampleur inédite, confirme les scénarios les plus redoutés. Certaines des entreprises victimes évoquées, comme Renault, ont vu leur chaîne de production anéantie. « Au coeur des aéroports de Paris nous n’avons pas été touchés par cette attaque. Néanmoins nous avons très rapidement mobilisé nos équipes internes afin de suivre les recommandations de l’ANSSI et maintenir le dialogue avec les instances de l’Etat sur ce sujet. Nous avons ainsi vérifié nos systèmes et nos réseaux et procédé aux mesures exigées. » précise le préfet Zabulon, Directeur de la sûreté, du management des risques et de la conformité des Aéroports de Paris.
Cette cyberattaque a surpris par son ampleur et sa propagation fulgurante et rappelle que dans un monde de plus en plus numérisé, la sécurité des données, des processus et des services dits « cloud based » est un enjeu majeur pour tous les acteurs économiques. L’internet est devenu au fil du temps le premier vecteur d’attaque du grand public par la cybercriminalité mondiale, tout en étant également le terrain de jeu favori de groupes structurés voire d’Etats ayant une visée idéologique ou politique. « C’était notamment le cas des attaques informatiques qui ont perturbé les récentes élections américaines et françaises. Ainsi cohabitent cybercriminalité, cyber-terrorisme, cyber-espionnage. » souligne Alexis Caurette, Président du GT Cybersécurité de l’Alliance pour la Confiance numérique.
La vague d’attaques informatiques de mai dernier, dite « WannaCry », vient rappeler avec force que les entreprises peuvent également être la cible de cette cybercriminalité mondiale dont l’un des buts affichés est de rançonner tout acteur économique disposant d’un système d’informations, notamment toute entreprise, quelle que soit sa taille. Rappelons qu’en 2016, 11 cyberattaques majeures ont été dénombrées en France ayant entrainé une perte financière estimée à plus de 1,5 millions d’euros par entreprise.
« De manière brutale, cette attaque fait la lumière sur un formidable paradoxe : non seulement, il démontre l’extrême dépendance et la vulnérabilité de l’économie mondiale à l’égard du numérique, mais aussi les lacunes qu’accusent nos organisations précisément en matière de sécurité et de gestion du risque numérique » analyse Stéphanie Blanchet, Product Marketing Manager – Intelligence & Security chez Bertin IT, filiale du groupe industriel CNIM.
De la Russie à l’Espagne et du Mexique au Vietnam, et surtout en Europe – WannaCry nous donne la mesure du parc informatique mondial en mal de maintenance… Car, si le correctif de la faille MS17-010 (diffusé par Microsoft dès le 14 mars 2017) avait été appliqué en temps et en heure, l’ampleur de la catastrophe ne serait sans doute pas celle que nous déplorons aujourd’hui. Tout du moins, seuls les environnements fonctionnant sur la base de systèmes d’exploitation obsolètes auraient été infectés.
Le déploiement de patch, il est vrai, peut être long et fait souvent craindre des effets de bord, voire l’arrêt de production. Mais, comparé au coût financier, réputationnel – voire humain, s’agissant de secteurs d’activité d’importance vitale tels que la santé – d’une attaque, le risque en vaut-il vraiment la chandelle ?
Anticipation, protection & intelligence numérique
Mais parer ce type d’attaques en cascade est possible. « Dressant une succession de remparts, la défense en profondeur constitue une réponse robuste, quelle que soit la nature de l’assaut. » explique Stéphanie Blanchet.
La cybersécurité et l’intelligence numérique permettent en effet d’anticiper les menaces. Afin de répondre aux besoins précis et croissants de clients sensibles, 4 priorités essentielles émergent des Comex, qui depuis près de 2 ans ont fait leur, cette priorité qu’est la cybersécurité. Détecter une cyberattaque, informer en temps réel de la fuite (intentionnelle ou non) de données sensibles, protéger les biens et les personnes et lutter contre la contrefaçon : voilà donc les points d’inquiétudes majeurs des acteurs sensibles.
« Nos solutions de cybersécurité ont été éprouvées pour des besoins élevés de défense. Basée sur une technologie gouvernementale certifiée CC-EAL 5+, CrossinG®, notre passerelle sécurisée protège l’intégrité du système d’information et du patrimoine informationnel. Notre plateforme MediaCentric® offre quant à elle des capacités d’acquisition 24/7 multi-sources (web, tv, radio) et d’analyse en profondeur des contenus multimédias et multilingues permettant la détection de signaux faibles, notamment les indices de préparation de cyberattaques, et l’anticipation des menaces. » précise Christophe Marnat, Strategic Line Manager – Security Solutions chez Bertin IT.
« Il existe deux sortes d’entreprises : celles qui ont été piratées et celles qui ne le savent pas encore. » disait Misha Glenny – journaliste d’investigation britannique. Donc à défaut d’anticiper la menace, il est essentiel de disposer d’outils permettant de circonscrire rapidement l’attaque. C’est ainsi que la compartimentation des réseaux à l’aide de passerelles d’interconnexion sécurisée permet de confiner l’attaque et d’empêcher sa propagation. « Contrairement à un Firewall ou à une diode, elle ne se limite pas au filtrage des flux de données ou au contrôle du sens des échanges, mais vérifie également l’innocuité des fichiers, contrôle leur format ainsi que leur authenticité et leur confidentialité. Elle participe également à la protection des données sensibles en empêchant la fuite. » explique Christophe Marnat.
Européanisation des enjeux
La directive du 8 décembre 2008 transpose à l’échelon européen l’initiative française, tout en en modifiant la portée, puisqu’elle ne s’attache pas aux opérateurs, mais aux infrastructures vitales dans les secteurs de l’énergie et des transports. En impulsant un mouvement d’identification des installations dont l’arrêt ou la destruction aurait un impact sur au moins deux Etats membres, cette directive a favorisé un processus d’échanges avec nos voisins afin d’évaluer de concert la réalité des impacts transfrontaliers. Ce sont aujourd’hui 78 infrastructures critiques européennes qui ont ainsi été recensées, traduisant le niveau d’interdépendance entre Etats membres dans les seuls secteurs des transports et de l’énergie. Dans un marché unique européen où les entreprises sont de plus en plus interdépendantes, les impacts de l’agression d’un opérateur peuvent dépasser le territoire d’un seul Etat. La France a donc soutenu et largement contribué aux efforts de l’Union européenne pour développer le Programme européen de protection des infrastructures critiques. Cette directive entend contribuer à une meilleure sécurité des activités économiques et des citoyens, c’est-à-dire à une résilience à l’échelle de l’Union européenne.
Enfin, reste que la réforme de la SAIV demeure à approfondir et de nombreux défis subsistent : « l’accélération de l’élaboration des plans de protection, la soutenabilité de notre réponse face à une menace ancrée dans la durée, la mise en œuvre de moyens de protection plus économes et plus efficaces, l’harmonisation européenne ou encore le renforcement de l’offre de criblage. » souligne Louis Gautier.
Système d’alerte à l’échelle européenne
La protection des infrastructures critiques en Europe est un enjeu majeur qui requiert une responsabilité conjointe des gouvernements et une coopération forte entre les Opérateurs d’importance vitale. Projet soutenu par la Commission Européenne (FP7), ECOSSIAN a pour objectif d’améliorer la détection et la gestion des cyber-attaques contre les infrastructures critiques grâce à un système d’alerte à échelle européenne et à la mise en place d’une base de connaissances collaborative. Il promeut une approche intégrant technologie et politique pour faire converger les compétences et les intérêts.
ECOSSIAN contribue notamment à l’initiative mondiale sur la cybersécurité des systèmes de contrôle industriels et des réseaux intelligents suivie par l’ENISA (agence européenne pour la sécurité des réseaux et de l’information). Au coeur de ce projet, Bertin IT apporte son expertise sur la gestion des échanges de données entre environnements informatiques et domaines de sensibilités différentes, et participe à la définition de l’architecture d’ECOSSIAN et de ses fonctions de sécurité. La filiale travaille également à l’expérimentation de passerelles sécurisées qui permettront d’interconnecter les systèmes de différents niveaux de sensibilité, et de garantir la sécurité et l’anonymat des échanges entre les infrastructures critiques et les SOC (Security Operating Center) nationaux ou européens.