La cybersécurité des infrastructures critiques a changé de dimension. Longtemps perçue comme un enjeu technique, elle s’impose désormais comme une question géopolitique majeure. Réseaux électriques, transports, eau, télécommunications : ces systèmes vitaux sont devenus des cibles stratégiques dans un contexte de tensions internationales croissantes.

Lors d’une table ronde sur INCYBER réunissant experts européens et nord-américains, un constat s’impose : la menace s’intensifie, se professionnalise et vise désormais la continuité même des services essentiels.

Un contexte géopolitique et technologique en tension

Selon Richard Larose, conseiller principal au Centre canadien pour la cybersécurité, la nature des attaques a profondément évolué.

« Nous sommes passés de logiques financières ou de vol de données à des stratégies de perturbation des infrastructures critiques. »

Les attaquants cherchent désormais à :

  • se positionner en amont de conflits,
  • provoquer des interruptions de service,
  • affaiblir des États sans confrontation directe.

Cette évolution est amplifiée par plusieurs facteurs :

  • la connexion croissante des systèmes industriels (OT) à Internet,
  • une surface d’attaque en forte expansion,
  • des infrastructures anciennes, peu conçues pour la cybersécurité.

Les exemples récents ne manquent pas : manipulation de systèmes hydrauliques, tentatives de contrôle de pipelines ou d’installations industrielles, attaques sur des réseaux électriques.

 

Souveraineté : un enjeu devenu central

Pour Manuel Bohe, expert en cybersécurité des infrastructures critiques, la souveraineté est désormais indissociable de la gestion des risques.

« Si vous contrôlez les données et les infrastructures, vous détenez un pouvoir considérable. »

Le problème : cette souveraineté est fragilisée par :

  • la dépendance technologique,
  • la mondialisation des chaînes d’approvisionnement,
  • le rachat fréquent de solutions européennes par des acteurs étrangers.

Résultat : les organisations doivent désormais intégrer pleinement la supply chain dans leurs analyses de risques.

L’effet domino de la supply chain

Sacha Hilic, directeur général d’IMS Networks, insiste sur un point souvent sous-estimé : la chaîne d’approvisionnement.

« Le vrai game changer, c’est la supply chain. »

Même les entreprises non classées comme critiques peuvent devenir essentielles dans un écosystème. Il partage l’exemple d’une cyberattaque majeure par rançongiciel ayant paralysé une organisation distribuant des médicaments vitaux.

Les failles observées :

  • absence de cartographie des actifs OT,
  • manque de segmentation,
  • gouvernance IT/OT insuffisante,
  • dépendance à des fournisseurs compromis.

Conclusion : un plan de continuité d’activité ne suffit pas. Il doit être complété par :

  • une analyse d’impact métier (BIA),
  • une segmentation avancée,
  • une intégration IT/OT,
  • une meilleure visibilité sur les dépendances.

Blackout et dépendances : des scénarios désormais pris au sérieux

La question du blackout illustre parfaitement l’évolution des mentalités.
Pour Jeroen Gaiser (Ministère néerlandais des infrastructures), ces scénarios sont désormais intégrés dans les analyses de risques.

« On ne parle plus seulement de probabilité, mais d’impact. Si les conséquences sont trop graves, le risque devient inacceptable. »

Les États commencent à :

  • renforcer la résilience des réseaux énergétiques,
  • diversifier leurs dépendances,
  • intégrer le risque géopolitique dans la conception des systèmes.

Cloud vs on-premise : retour à l’équilibre

Face aux tensions géopolitiques, un rééquilibrage s’opère entre cloud et infrastructures locales.

Richard Larose propose une question radicale :

« Que se passe-t-il si vous êtes déconnectés d’Internet pendant trois mois ? »

Ce type de réflexion pousse à :

  • relocaliser certaines données critiques,
  • développer des architectures hybrides,
  • renforcer les capacités en edge computing.

 

NIS2 : un tournant réglementaire… mais complexe

La directive européenne NIS2 marque une étape importante dans la régulation de la cybersécurité.

Son impact principal :

  • extension des obligations à toute la chaîne d’approvisionnement,
  • renforcement des exigences en matière de gestion des risques,
  • responsabilisation accrue des entreprises.

Mais des défis subsistent, notamment pour les PME.

« Le niveau d’exigence est très élevé. Pour les petites structures, cela va être très lourd », alerte Sacha Hilic.

 

Le Canada s’inspire du modèle européen

De son côté, le Canada prépare une législation proche de NIS2.

Objectif :

  • imposer des obligations de cybersécurité aux opérateurs d’infrastructures critiques,
  • garantir la continuité des services essentiels,
  • encadrer la gestion des incidents.

Contrairement à l’Europe, le périmètre devrait toutefois rester concentré sur les grands opérateurs.

Intelligence artificielle : un accélérateur… et un risque

L’IA est à la fois une opportunité et une menace.

« On va trop vite »,

prévient Richard Larose.

Les risques identifiés :

  • erreurs et hallucinations,
  • augmentation de la surface d’attaque,
  • vulnérabilité des modèles et des données.

Dans les systèmes critiques, un principe s’impose : maintenir un humain dans la boucle.

Une transformation systémique

Au final, la résilience des infrastructures critiques repose sur une transformation globale :

  • technique (sécurité by design),
  • organisationnelle (gouvernance IT/OT),
  • réglementaire,
  • et géopolitique.

La cybersécurité n’est plus seulement une affaire d’experts. Elle devient un enjeu stratégique, au cœur de la souveraineté des États.

OT : la résilience des infrastructures critiques, un impératif géopolitique

Vous avez une question, un projet ou tout simplement envie de venir échanger autour d’un café ?

Contactez-nous