Critique des infrastructures critiques
Par Olivier Kempf le lundi 30 avril 2012, 22:00 - Cyber - Lien permanent
Les théoriciens du cyberespace ne cessent de nous dire que le grand danger réside dans les attaques des "infrastructures critiques". N'est-il pas temps d'interroger cette notion ?
1/ Prenons une définition, par exemple celle trouvée sur ce site suisse : le sérieux suisse, on ne fait pas mieux. Je cite : les infrastructures critiques " assurent la disponibilité de biens et prestations indispensables, tels l'énergie, les communications et les transports. Les défaillances d'infrastructures critiques ont en règle générale de lourdes conséquences pour la population et l'économie, et peuvent, par effet de dominos, s'étendre à d'autres infrastructures elles aussi critiques". Voici donc une définition qui part d'exemples, pour évoquer les conséquences des défaillances (ce qui désigne, semble-t-il, la criticité de ces infrastructures), sachant que ces conséquences sont que la défaillance peut s'étendre "à d'autres infrastructures elles aussi critiques". Bref, tout est critique, et le flou de la finition ne rassure pas.
2/ Sauf peut-être qu'il indique la réalité des prix. Aujourd’hui, toutes les infrastructures sont informatisées ou contrôlées par l'informatique :
- les réseaux de distributions de flux : énergie (électricité, fuel, gaz), eau (eau potable, égouts)
- les réseaux de flux immatériels : administratifs (impôts, état-civil, enseignement, ), communication (Internet, médias, téléphones, ...) ou bancaires (les distributeurs, les terminaux dans les magasins, les réseaux intra et interbancaires)....
- réseaux de transport, bien sûr : transports collectifs, évidemment (trains, métro, bus, avions, ..) mais aussi individuels (contrôles des signalisation des réseaux routiers...)
- réseaux médicaux (surveillance épidémiologique, systèmes d'alerte d’urgence)
- réseaux de secours divers (SAMU, pompiers, police, ..)
- réseaux de défense
- systèmes de production (agricole ou industrielle)
- réseaux de recherche
3/ Allons plus loin : y a-t-il encore un segment de la société qui se passe de connexion informatique ? qui pourrait fonctionner réellement et durablement "en mode dégradé" ? Non. C'est bien la nouveauté du cyberespace : il a embrassé toutes les dimensions de notre vie sociale, au point d'y être complètement fondu. Dès lors, tous les systèmes de contrôle de ces différents réseaux, qu'on dénomme habituellement SCADA (Supervisory Control And Data Acquisition : télésurveillance et acquisition de données) sont faillibles.
4/ C'est grave, docteur ?
5/ Ben non, en fait : cela nous renvoie à toutes les évolutions technologiques que nous n'avons cessé de rencontrer depuis des siècles et des décennies. Ce fut le train, ce fut l'électricité, ce furent les voitures, ce fut l'avion. Imaginez vous vivre sans train, voiture, avion, électricité ? impensable. Regardez les zones les plus saccagées par des conflits, les états les plus faillis : il y a toujours de ci de là de l'électricité, une, deux ou trois heures par jour. On ne sait comment, mais on a "le minimum". Je ne dis pas que c'est joyeux, simplement qu'on ne sait plus faire sans les technologies modernes.
6/ La conclusion est assez simple : oui, nous dépendons du cyber pour notre vie quotidienne : c'est d’ailleurs la rapidité avec laquelle le cyber a transformé nos vies qui suscite notre inquiétude à son égard. Mais comme toutes les inventions humaines, il bénéficie d'une sorte de résilience technologique qui fera que rien ne s'écroulera aussi catastrophiquement que nous le disent les pessimistes.
Bref, ce n'est pas si critique. Ça ne veut pas dire qu'il ne faut pas le protéger, ou assurer la sécurité. Mais le cyber est tellement omniprésent que "l'infrastructure critique" ne représente pas une cible "privilégiée". Car tout est cible. Donc rien ne l'est vraiment.
O. Kempf
Commentaires
A la lecture du début de l'article, je me suis interrogé sur l'absence du mot "vital"... il semble qu'il y ait une distinction entre ce qui est indispensable, critique (donc nécessaire à l'activité économique, sociale, etc) et la notion de bien vital, ou ce ne sont plus des personnes individuelles et leurs conséquences en terme d'activité qui sont menacées, mais la notion même de nation qui le serait, comme si la nation valait plus que la somme de ses membres. On retrouve donc d'une part une menace pour les vivants, la société telle qu'elle est, avec un vocabulaire très "continuum défense et sécurité", et d'autre part la menace pour l'élément transcendant, pour les vivants et ceux qui ont vécu, la "certaine idée de la France", en tous cas la notion "civilisationnesque" de la nation. On retrouve alors le vocabulaire "vital" de la dissuasion nucléaire, par exemple.
Au fond, dans ce qui est critique, il y a cet espèce de jeu de trompe la mort où l'on essaye de croire que peut être on s'en sortirait mais pas sûr ... ce qui est critique implique une possible résilience. Ce qui est vital implique vie ou trépas, existence ou néant.
Peut être que parmi les choses critiques que nous devrions protéger sous peine de pénaliser gravement le fonctionnement de nos sociétés, nous pourrions justement rajouter LA critique : le recul et l'analyse de nos actions en cours ... sous peine de foncer dans le mur.
Le paragraphe de conclusion vient "éclairer", dirait Hô Chi Minh, toute l'analyse développée, merci!
Trop d'informations tue l'information, l'infobésité; trop de menaces tue la menace, la menabécilité?
Critique, oui, bof...
N'est-il pas plus important de distinguer ce qui est réparable de ce qui est non réparable au sein du cyberespace ? Détruire un composant qui ne peut pas être réparé, n'est-ce pas finalement s'attaquer au véritable centre de gravité ?
Ça me rappelle un vieux souvenir professionnel, assez cocasse : quand j’étais « directeur départemental de la défense et de la protection civile » à la Préfecture du Cantal, j’ai constaté que mes prédécesseurs avaient classé en « point sensible de la défense », équivalent de ce que vous appelez « infrastructure critique », non seulement des barrages hydroélectriques (le Cantal produit 900 mégawatts, si mon souvenir est exact, et la fragilité est surtout celle des lignes de transport) mais aussi de nombreuses grosses fromageries qui ont une importance économique locale incontestable. Comme vous le dites, tout est classable "critique", si l'on veut.
Bonjour ,
" Unabomber " avait étudié ce problème de la vulnérabilité :
http://www.voxnr.com/cc/di_varia/EE...
A. L’industrie électrique. Le système est totalement dépendant de son réseau électrique.
B. L’industrie des communications. Sans communications rapides, comme le téléphone, la radio, la télévision, les E-mails, et ainsi de suite, le système ne pourrait pas survivre.
C. L’industrie électronique. Nous savons tous que sans les ordinateurs le système s’effondrerait immédiatement.
Cordialement
Daniel BESSON
bonjour,
plutôt d'accord avec la conclusion sur la résilience. Cependant, il y a une nuance non négligeable dans l'exposition aux attaques informatiques par rapport à l'exposition des réaux électriques et autres, à savoir la capacité de propagation de tel ou tel virus dans tout le réseau.
De fait, il est compliqué de détruire ou de neutraliser durablement tout un système d'alimentation électrique d'une ville ou d'une région, à moins de faire exploser une bombe atomique. En revanche, un virus peut, et le fait généralement, se dupliquer à l'infini et contaminer toutes les machines connectées au réseau ou qui le seraient par la suite.
De plus, à la différence d'une attaque physique sur les systèmes d'alimentation électrique, une attaque informatique peut, en certaines circonstances, permettre de mettre à son propre service des moyens possédés intialement par l'adversaire.
Bref, comme à l'aikido, l'attaque informatique permet d'utiliser la force de l'adversaire contre lui.
cordialement