C. L'EXEMPLE DU SECTEUR DE L'ÉNERGIE
À la lumière des attaques subies par Saudi Aramco et RasGas en 2012, les opérateurs du secteur de l'énergie ont constaté que l'avantage est toujours du côté des attaquants en matière de risque numérique .
D'où la nécessité d'une anticipation méthodique incluant l'élaboration d'une cartographie des risques numériques assortie d'un plan de sécurité des systèmes d'information actualisé chaque année .
Pour Total , ce plan repose sur les quatre piliers suivants : la sécurisation du système d'information de gestion incluant les infrastructures des services partagés (télécommunications...) pour les mille sites de Total dans le monde reliés à des entités du groupe ; la sécurité de l'information industrielle ; la sécurité des applications et, enfin, la sensibilisation des utilisateurs pour changer leurs comportements.
Ce plan prévoit d' apporter un soin particulier aux systèmes de commande, les SCADA , au sein de l'information industrielle dans la mesure où la vulnérabilité de ces systèmes repose sur des composants informatiques traditionnels.
Plus qu'à une logique de prévention, Total s'oriente vers une logique de détection et de réaction rapide grâce à un centre opérationnel de sécurité .
Dans cette optique, le partage d'informations avec d'autres opérateurs du secteur de l'énergie ou avec l'ANSSI est un gage d'efficacité accrue.
Toutefois, ces fonctions sont d'autant mieux assurées que les équipements stratégiques sont conçus par des entreprises françaises et que les personnels comprennent la nécessité de changer les comportements.
À noter les réticences de Total , de GrDF ou encore d' AREVA à utiliser le numérique en nuage actuellement insuffisamment sécurisé et qui doit être assorti d'un système d'authentification et de chiffrement . GrDF stocke 90 % de ses données dans des centres privés ; seules celles ne présentant pas de caractéristiques particulières sont stockées dans un nuage public.
Total estime que seules les données peu confidentielles peuvent être stockées dans le nuage public, d'où la nécessité de distinguer entre diverses catégories de données dont certaines sont interdites de stockage dans un nuage public. En fin de compte, Total préfère louer des centres de stockage de données qui lui soient propres .
D'une manière générale, Total observe les règles d'hygiène informatique édictées par l'ANSSI et par la CNIL et choisit ses matériels et ses fournisseurs à partir des référencements de l'ANSSI .
Même si seule une petite partis des activités de Total (raffineries, quelques dépôts, les pipes lines , etc.) est considérée comme relevant d'un opérateur d'importance vitale, le plan global de sécurité est appliqué à l'ensemble de ses activités et l e référentiel de sécurité est étendu également aux filiales et aux sous-traitants auxquels un plan d'assurance sécurité est imposé.
Pour le CEA , opérateur d'importance vitale à plusieurs titres, certaines données ne doivent faire l'objet d'aucune attaque . Dans ce contexte, est présumée avoir un caractère professionnel toute information traitée par les moyens informatiques du CEA .
Le CEA a créé son propre laboratoire de sécurité des systèmes d'information , placé auprès de la direction centrale de la sécurité.
Les téléphones et les abonnements professionnels fournis par le CEA à son personnel peuvent être désactivés en cas de difficulté . Ces matériels disposent d'un code d'accès et ne permettent pas d'afficher les contenus chiffrés de la messagerie CEA .
Quant aux ordinateurs portables deux systèmes de chiffrement - antivol et data - assurent leur sécurisation.
Face à l'informatique en nuage et à l'infogérance, le CEA pose que, pour conserver la maîtrise de son système d'information, il ne doit pas utiliser le cloud computing et ne recourir à l'infogérance qu'à condition d'héberger les sous-traitants dans ses locaux.
Pour GrDF , la préférence est donnée à l'intégration de la sécurité numérique dès la conception ( GrDF ). Dans le même esprit, le degré de confidentialité des données est évalué ( GrDF ), ce qui donne lieu ensuite à différentes conditions de fonctionnement des applications et de mise à disposition des données. Les données personnelles sont celles qui bénéficient de la meilleure protection au sein du système d'information
90 % des données sont stockées dans des centres privés mais celles qui ne présentent pas de caractéristique particulière sont conservées dans un nuage public.