Points clés
- Les évolutions technologiques — cloud, IoT, IA, 5G — introduisent de nouvelles surfaces d'attaque dans les environnements de systèmes critiques.
- Chaque migration technologique doit faire l'objet d'une évaluation de risque spécifique avant déploiement sur des systèmes critiques.
- La migration vers le cloud de systèmes critiques sans réévaluation du modèle de sécurité est l'une des sources d'incidents les plus fréquentes selon le Gartner Hype Cycle for Cloud Security 2023.
- L'adoption de l'IA dans les processus décisionnels critiques crée des risques de manipulation et d'opacité que les cadres réglementaires commencent à adresser (EU AI Act, NIST AI RMF).
- ENISA recommande une approche Security by Design systématique pour toute intégration de nouvelle technologie dans des environnements critiques.
Le rythme d'innovation technologique ne ralentit pas. Les organisations sont soumises à une pression constante d'adoption de nouvelles technologies — cloud, edge computing, IoT industriel, intelligence artificielle — pour améliorer leurs performances opérationnelles et leur compétitivité. Mais pour les environnements de systèmes critiques, chaque nouvelle technologie introduit des risques qui doivent être évalués avant que la décision d'adoption soit prise.
La tension entre innovation et sécurité des systèmes critiques est un enjeu de gouvernance direct pour la direction. Les décisions d'adoption technologique sur des environnements critiques ne peuvent pas être prises uniquement sur la base de la valeur fonctionnelle ou économique : elles doivent intégrer une évaluation formelle des risques de sécurité et des mesures compensatoires nécessaires.
Le cloud pour les systèmes critiques
La migration vers le cloud d'applications critiques présente des avantages réels : disponibilité, redondance géographique, gestion des correctifs externalisée. Mais elle introduit également des risques spécifiques : dépendance à un fournisseur unique (vendor lock-in), latence dans les environnements à contrainte temps-réel, conformité avec des réglementations qui imposent la localisation des données (data residency), et compréhension du modèle de responsabilité partagée.
DORA impose aux entités financières de maintenir un registre des fournisseurs cloud hébergeant des fonctions critiques et d'évaluer le risque de concentration lorsque plusieurs entités systémiques dépendent du même fournisseur. L'Autorité Bancaire Européenne (ABE) a émis des guidelines sur l'externalisation vers le cloud qui détaillent les exigences de due diligence pour les systèmes critiques.
L'IoT industriel dans les environnements critiques
L'Internet des Objets Industriel (IIoT) déploie des capteurs, automates et équipements connectés dans des environnements OT qui étaient auparavant hermétiques. Ces dispositifs, souvent conçus avec des contraintes de sécurité minimales, créent de nouveaux points d'entrée dans des réseaux critiques. NIST IR 8259 et ENISA Guidelines on Securing IoT définissent les exigences minimales de sécurité pour les dispositifs IoT déployés dans des environnements critiques.
La gestion du cycle de vie des dispositifs IoT — des phases de provisioning à la mise hors service en passant par la mise à jour des firmwares — est une dimension souvent négligée des programmes de sécurité des systèmes critiques. Un dispositif IoT déployé sur un réseau critique et jamais mis à jour devient en quelques années un point de vulnérabilité structurel.
L'intelligence artificielle dans les processus critiques
L'adoption de systèmes d'IA dans des processus décisionnels critiques — détection de fraude, gestion du risque de crédit, contrôle de processus industriels, surveillance médicale — introduit des risques de sécurité spécifiques. Les modèles d'IA sont vulnérables aux attaques adversariales (manipulation des données d'entrée pour tromper le modèle), aux attaques de poisoning (corruption des données d'entraînement) et à l'opacité décisionnelle (impossibilité d'expliquer ou d'auditer les décisions du modèle).
L'EU AI Act (applicable progressivement depuis 2024) classe les systèmes d'IA utilisés dans les infrastructures critiques comme systèmes à haut risque, imposant des exigences de robustesse, de transparence et de supervision humaine. NIST AI Risk Management Framework (AI RMF) fournit un cadre complémentaire pour les organisations adoptant l'IA dans des contextes critiques.
La violation de Capital One a exposé 100 millions de données clients hébergées sur AWS. La cause : une mauvaise configuration d'un Web Application Firewall sur l'infrastructure cloud, permettant une attaque SSRF (Server-Side Request Forgery) donnant accès aux métadonnées des instances EC2 et aux rôles IAM associés. Capital One avait migré ses systèmes critiques vers le cloud sans adapter son modèle de sécurité aux spécificités de l'environnement cloud. L'amende OCC s'est élevée à 80 millions de dollars.
L'attaque contre l'Université Hospital Düsseldorf en septembre 2020 a chiffré 30 serveurs critiques, forçant l'hôpital à refuser des admissions d'urgence. Une patiente décédée en route vers un hôpital plus distant a conduit les autorités allemandes à ouvrir une enquête pour homicide involontaire — première tentative de lier directement un décès à une cyberattaque. L'enquête a établi que le vecteur initial était une vulnérabilité dans un logiciel VPN Citrix (CVE-2019-19781) non patchée depuis 7 mois sur un système critique réseau.
La MAS Singapore utilise l'intelligence artificielle dans ses outils de surveillance prudentielle (SupTech) pour détecter les anomalies dans les données soumises par les institutions financières. Consciente des risques liés à l'IA dans des processus critiques de supervision, la MAS a développé un cadre de gouvernance de l'IA (FEAT — Fairness, Ethics, Accountability, Transparency) et a imposé aux institutions utilisant l'IA dans des décisions de crédit ou de risque de respecter des exigences d'explicabilité et d'audit des modèles.