ce qui représente des enjeux avant tout scientifiques et technologiques, mais aussi un véritable challenge en termes de conduite du changement, dans les processus de production en particulier. »
Prise de conscience des risques
L attention se porte alors de plus en plus en amont sur la sécurisation des composants et non plus seulement sur la mise en place de pare-feu et autres antivirus. La « security by design » permet de prendre en compte les événements nuisibles dès les premières étapes du cycle de conception et de poser, en cas de vulnérabilités trouvées, les questions de l impact, de la probabilité que cela arrive et des mesures à prendre.
« Il ne faut pas seulement sécuriser l objet quand il fonctionne, insiste Cédric Lévy- Bencheton, expert en sécurité indépendant (Cetome), mais aussi prendre les mesures à chaque étape de fabrication. » Ces impératifs de sécurité sont encore trop largement ignorés à cause du « time to market », un facteur stratégique décisif qui implique la mise sur le marché et la commercialisation des produits dans un délai de plus en plus court. C est pourquoi l Agence européenne chargée de la sécurité des réseaux et de l information (ENISA) travaille actuellement à la mise en place de règles de bases adaptées en fonction des secteurs. « Ce sont aussi aux clients et consommateurs d exiger de la sécurité : les fabricants devront s adapter à cette demande. »
Une collaboration entre le public et le privé
La cybersécurité ne concerne donc plus seulement les technologies de l information (IT) mais aussi toutes les fonctions informatiques qui peuvent avoir un impact dans le monde physique. C est là que la
PROSPECTIVE
réglementation entre en jeu. Face à cet enjeu crucial, la France fait figure de modèle avec la création de l Agence nationale de la sécurité des systèmes d information (ANSSI) en 2009 pour lutter contre les cyber-risques, suivie de près par la mise en place d une stratégie nationale en 2011. La loi de programmation militaire (2013) a quant à elle établi les règles de base à suivre pour 200 opérateurs d importance vitale (OIV) définis sous l angle de la défense et de la sécurité, pour leur impact économique ou sociétal.
En février 2017, le Conseil de sécurité de l ONU adopte sa première résolution sur la protection des infrastructures critiques contre les attaques terroristes. Ce texte inédit, voté à l unanimité des membres de l organisation, liste ainsi la banque, les télécommunications, les services d urgence, les transports et l approvisionnement en énergie et en eau comme « composantes essentielles de la vie moderne ». Les États doivent donc prendre « des mesures de préparation » pour intervenir en cas d attaques, en créant ou renforçant les partenariats entre le privé et le public pour « mettre en commun leurs informations et leurs données d expérience » par des « formations communes » et « des réseaux de communication et d alerte d urgence ».
72