Les infrastructures critiques, telles que les réseaux énergétiques, les systèmes de transport, les installations de santé et les réseaux de communication, sont essentielles au bon fonctionnement de la société. Leur protection contre les cybermenaces est donc cruciale. La directive NIS2, adoptée par l’Union européenne, vise à renforcer la résilience de ces infrastructures face aux cyberattaques.

Une coupure de courant « massive » a touché l’Espagne et le Portugal le 28 avril dernier. Cette coupure a paralysé l’activité des deux pays. De nombreuses villes ont vu leurs transports publics paralysés, dont les métros. Même impact pour les aéroports.

Rapidement, des médias ont évoqué une cyberattaque qui aurait touché les gestionnaires du réseau électrique espagnol et portugais. Cette hypothèse serait écartée au profit de variations extrêmes de température en Espagne qui auraient provoqué des oscillations anormales sur les lignes à très haute tension.

Les causes exactes n’étaient pas encore connues au moment de l’écriture de cet article. Ce black-out met cependant en évidence la forte dépendance des États vis-à-vis des infrastructures critiques comme les réseaux énergétiques.

C’est pour limiter les risques de panne, involontaire ou malveillante, que différentes mesures sont prises notamment en Europe. De cyberattaques ont déjà visé de tels réseaux.

Face à cette menace, l’Europe peut s’appuyer sur la directive NIS2 qui devrait être prochainement transposée dans le droit français. Elle remplace la directive NIS adoptée en 2016 et introduit des exigences plus strictes en matière de cybersécurité. Elle élargit le champ d’application à de nouveaux secteurs, tels que les services publics, les infrastructures numériques et les services de gestion des déchets.

Selon une étude de l’Agence européenne pour la cybersécurité (ENISA), la directive NIS2 a été mise en œuvre afin de réduire de 30 % le nombre d’incidents de cybersécurité dans les infrastructures critiques.

Les infrastructures critiques sont également des cibles de choix pour le cyberespionnage et le sabotage orchestrés par des États. Une étude récente de la société de cybersécurité FireEye révèle que 40 % des cyberattaques contre les infrastructures critiques en 2022 étaient attribuables à des groupes soutenus par des États.

Ces attaques visent souvent à perturber les services essentiels, à voler des informations sensibles ou à déstabiliser les gouvernements.

Le cyberespionnage, par exemple, peut permettre à des États hostiles d’accéder à des informations stratégiques, telles que les plans de réponse aux crises ou les vulnérabilités des systèmes. Le sabotage, quant à lui, peut entraîner des pannes majeures, comme ce fut le cas en 2015 et 2016 en Ukraine, où des cyberattaques ont provoqué des coupures de courant affectant des centaines de milliers de personnes.

Face à ces menaces, le niveau de protection de ces réseaux essentiels à l’activité d’un pays a fortement augmenté. En Europe, les dépenses en cybersécurité pour les infrastructures critiques ont augmenté de 15 % par an jusqu’en 2025.

Malgré ces investissements, les défis restent nombreux. Les disparités entre les pays en termes de ressources et de maturité en cybersécurité pourraient entraîner des failles exploitables par les cyberattaquants. Une attaque visant un pays pourrait avoir des effets en cascade sur d’autres pays étant donné les interconnexions entre les réseaux. La panne en Espagne a ainsi eu un impact sur le réseau français.

Autre raison d’être inquiet, une étude de PwC indique que 60 % des entreprises des infrastructures critiques estiment ne pas être suffisamment préparées pour faire face à une cyberattaque sophistiquée. Cette insuffisance est souvent due à un manque de ressources, de compétences spécialisées et de sensibilisation aux risques.