De mieux en mieux. Les États s’intéressent à la sécurité de leurs infrastructures critiques menacées par les cyberattaques. Celles-ci apparaissent comme une question de sécurité nationale. Les pays développés ont pris de l’avance dans la cybersécurité. La Côte d’Ivoire fait ses premiers pas. Des étapes à suivre s’imposent dans ce processus…
Le 22 décembre 2021, le président de la République, Alassane Ouattara, a pris un décret portant adoption du Référentiel général de sécurité des systèmes d’informations et du plan de Protection des infrastructures critiques. Ce plan vise, selon le décret, à garantir la disponibilité des principaux bien et services essentiels au fonctionnement de la société.
En prenant ce décret, le président ivoirien affiche la volonté de l’État de placer la cybersécurité au cœur de ses priorités. De ce décret, découlera un processus dont la finalité est de protéger les structures essentielles des cyberattaques. Tout commence par l’adoption d’une stratégie nationale. Celle-ci obéit à une démarche qualitative que des spécialistes ont, sommairement, développée au cours du Cyber Africa Forum, les 8 et 9 mai, à Abidjan.
Cartographie et classification des infrastructures critiques
La phase initiale consiste à faire la cartographie et la classification des infrastructures critiques. Cela suppose une identification préalable ou un recensement de ces infrastructures. Deux approches existent : le recensement permanent à partir des autorisations de construction et le recensement à partir de la planification.
Ici, le dialogue public entre ministères de tutelle s’ouvre, tout comme le dialogue public-privé puisque des infrastructures de souveraineté telles que les télécoms, l’électricité et l’eau, sont gérées par le privé. Une fois recensés, l’évaluation de leur criticité se déballe. Il en résulte une analyse des risques d’exposition aux attaques numériques ou cyberattaques, de laquelle découle une classification par ordre de priorité.
La démarche est guidée par des réponses à des questions congrues : Quel est l’impact d’une infrastructure dysfonctionnelle ou non fonctionnelle sur l’économie nationale ? Sur la vie des populations ? Sur l’activité des services essentiels de l’État ?
L’analyse des pratiques existantes
Mme Aurore Garnier, fondatrice et directrice générale du groupe ISAO, leader ouest-africain sur les questions de sûreté et de sécurité, présent dans 7 pays suggère, par conséquent, un regard croisé sur la criticité des infrastructures en termes d’exposition aux risques et à leur typologie, mais aussi selon la nature des activités et leurs spécificités.
« Il est évident, dit-elle, que toutes les infrastructures ne sont pas confrontées au même type et au même niveau de risque. L’attaque sur un dispatching électrique n’est pas identique à celui d’un dysfonctionnement d’un opérateur télécom. On ne peut non plus demander à centre de santé d’avoir le même dispositif de sécurité qu’une centrale électrique, qu’une banque ou qu’un aéroport ! Des efforts devront donc être réalisés de manière proportionnée et adaptée à la typologie des infrastructures. »
Une feuille de route
Il s’ensuit l’établissement d’une feuille de route. Celle-ci adopte pour chaque catégorie d’infrastructures critiques des dispositifs à mettre en œuvre de façon graduelles. La graduation est fondamentale. Le tout n’est pas de brûler les étapes ou de se précipiter à l’effet de rattraper son retard.
La question de la sécurité des données informatiques impose, en effet, une prédisposition primordiale : l’adhésion de tous les acteurs. Il ne suffit pas de cocher des cases sans être au fond convaincu de l’utilité de l’opération. Aurore Garnier, ancienne de la DST, en a l’expérience : « Si on veut éviter les effets de lassitude, d’incrédulité et de manque d’adhésion, comme on le voit assez souvent, il faut des dispositifs réalistes, adaptés et attractifs ».
Bien plus, mettre en œuvre une feuille de route graduelle permet aux infrastructures d’avoir le temps d’intégrer les objectifs assignés et de s’adapter.
Contrôle, évaluation et audit
L’étape finale, mais non moins importante, est l’adoption d’outils de travail et d’organismes de contrôle, d’évaluation et d’audit. Ceux-ci doivent pouvoir rassurer les autorités d’un pays que leurs infrastructures vitales sont en mesure de fonctionner en cas de cyberattaque ciblée ou globale.
La base de travail des organismes de contrôle est la feuille de route : distinguer les actions de l’Etat à implémenter dans les infrastructures critiques, ce dont il est directement en charge, mais aussi ce dont les opérateurs privés doivent être contraints de faire.
« Dans nos pays, de nombreuses infrastructures critiques, dans la santé, l’énergie, le transport, les télécoms, etc., sont gérées par les opérateurs privés. Il faut des ponts entre les solutions privées et publiques de manière que tout fonctionne de manière cohérente », prévient Aurore Garnier.
Surveiller les sous-traitants
En définitive, les mesures arrêtées, au dire des spécialistes, doivent être contraignantes dans leur application aux sous-traitants et aux opérateurs privés. C’est que, un constat saillant est partout le même : la sureté, qu’elle soit cyber ou autre, est une chaine qui englobe tous les intervenants.
« Or, souvent, les PME et sous-traitants disposent de budgets consacrés à la sécurité beaucoup moindre. Ils n’ont pas la culture du numérique et de la cybersécurité. Bref, ils restent les maillons faibles de cette chaine de sureté et de sécurité, mais aussi et surtout des portes d’entrée pour tous les projets malveillants, que ce soit du vol de matériel ou du vol de données, ou la diffusion d’informations confidentielles », alerte Aurore Garnier.
Ces PME, sous-traitants et tout le personnel en contact avec les infrastructures, ajoute-t-elle, méritent, d’être surveillés comme du lait sur le feu. Leur prescrire une charte de confidentialité est une exigence.
La norme ISO 27001
L’Etat se réveille. Le privé, lui, a pris de l’avance. À Orange Côte d’Ivoire, Didier Kla, directeur d’Orange Business et Broaband, a rappelé qu’en matière de cybersécurité des infrastructures, son entreprise n’a rien inventé. Elle copie et colle une pratique de normalisation mondialement reconnue : la norme ISO 27001.
« Elle se décline en 10 chapitres. Entre autres, énumère-t-il, la gouvernance, les ressources humaines et le renforcement des capacités, l’organisation people et tout le processus technique à mettre en place avec l’ensemble des parties prenantes de l’entreprise ».
L’entreprise étant un écosystème composé d’acteurs internes, mais aussi externes, dont les partenaires qui interviennent dans le processus de production, il est crucial, dans l’élaboration d’une stratégie de cybersécurité, d’intégrer ces parties prenantes.
Comme dans l’élaboration d’une stratégie nationale de protection des infrastructures critiques, le personnel, les fournisseurs, les prestataires de services, les clients, etc., doivent retenir l’attention du maitre d’ouvrage. La norme 27001 et ses dérivés décrivent le dispositif à dérouler pour renforcer le système de management de la sécurité de l’information (SM-SI). « Elle est très précise », tranche Didier Kla.
K. Bruno