Points clés
- Tous les systèmes d'information ne présentent pas le même niveau de criticité pour l'activité.
- L'identification formelle des infrastructures critiques conditionne l'allocation des ressources de sécurité.
- Une classification absente ou obsolète expose l'organisation à des indisponibilités imprévues.
- En 2021, la panne AWS us-east-1 a paralysé des milliers d'entreprises dépendantes de services non identifiés comme critiques dans leurs propres plans.
- Singapore classe formellement ses Critical Information Infrastructures (CII) depuis 2018, imposant des obligations spécifiques aux opérateurs concernés.
La tentation est forte de traiter l'ensemble du système d'information avec un niveau de protection uniforme. Cette approche, aussi rassurante qu'elle paraisse, consomme les ressources disponibles sans garantir la protection des fonctions réellement vitales. Identifier les infrastructures critiques n'est pas un exercice technique : c'est une décision stratégique qui engage la direction.
Un système critique est celui dont l'indisponibilité ou la compromission entraîne des conséquences directes sur la continuité d'activité, la conformité réglementaire, la sécurité des personnes ou la réputation de l'organisation. Cette définition fonctionnelle, fondée sur l'impact et non sur la technologie, est celle retenue par les référentiels NIST SP 800-34, DORA et NIS2.
Critères d'identification d'une infrastructure critique
Quatre dimensions permettent d'objectiver la criticité d'un système. La première est l'impact métier : une interruption de ce système interrompt-elle une activité génératrice de revenus ou une obligation légale ? La deuxième est la dépendance : d'autres systèmes fonctionnent-ils grâce à celui-ci ? La troisième est la substituabilité : existe-t-il une alternative opérationnelle en cas d'indisponibilité ? La quatrième est la récupérabilité : combien de temps faut-il pour rétablir le service, et à quel coût ?
Ces critères doivent être évalués par les directions métiers, pas uniquement par les équipes IT. La définition de ce qui est critique relève de la gouvernance, non de l'architecture technique. DORA impose aux entités financières de documenter cette classification et de la réviser au minimum annuellement.
La classification SWIFT comme modèle sectoriel
SWIFT Customer Security Programme distingue les composantes obligatoires — celles directement impliquées dans les transactions financières — des composantes optionnelles. Cette distinction impose des contrôles différenciés selon la criticité. Les organisations qui ne pratiquent pas cette différenciation appliquent les mêmes mesures à leur système de messagerie interne et à leur infrastructure de paiement, avec l'inefficacité que cela implique.
Le réseau SWIFT lui-même illustre la notion d'infrastructure critique mondiale : sa compromission partielle lors de l'attaque contre la Bangladesh Bank en 2016 a démontré que même un système conçu pour être sécurisé peut présenter des failles lorsque ses interfaces avec les systèmes clients ne sont pas classifiées à leur juste niveau de criticité.
Ce que révèle l'absence de classification
Les organisations qui n'ont pas formalisé leur classification de criticité découvrent généralement leurs infrastructures critiques au moment d'un incident. La panne Amazon Web Services du 7 décembre 2021 a révélé que de nombreuses entreprises ignoraient que leurs opérations dépendaient de services AWS non intégrés dans leur plan de continuité. Des processus comptables, des outils de communication interne et des plateformes de gestion clients se sont avérés critiques uniquement lorsqu'ils sont devenus indisponibles.
Cette découverte en situation de crise est l'un des indicateurs les plus clairs d'une gouvernance numérique insuffisamment mâture. NIS2 impose précisément aux opérateurs d'infrastructures essentielles de documenter leurs dépendances critiques de manière proactive.
L'arrêt volontaire du pipeline après une compromission du système de facturation — et non du système opérationnel — illustre l'absence de classification claire entre IT et OT. Colonial n'avait pas formalisé quels systèmes étaient réellement critiques pour la continuité des opérations physiques. Cette confusion a conduit à une décision d'arrêt préventif qui a privé d'essence l'est des États-Unis pendant six jours.
NotPetya a détruit 45 000 PC et 4 000 serveurs de Maersk en quelques heures. La reconstruction a révélé que des systèmes considérés comme périphériques — notamment les outils de gestion portuaire — étaient en réalité critiques pour les opérations logistiques mondiales. Maersk a dû reconstruire l'intégralité de son infrastructure Active Directory depuis un seul contrôleur de domaine survivant au Ghana, par chance déconnecté lors de l'attaque.
Singapour a formalisé la classification de ses Critical Information Infrastructures sous l'autorité de la Cyber Security Agency (CSA). Onze secteurs sont désignés, des transports à l'énergie en passant par les services financiers. Chaque opérateur d'infrastructure critique est soumis à des obligations spécifiques : audit annuel, notification d'incident sous deux heures, exercices de simulation obligatoires. Ce modèle réglementaire sert de référence à plusieurs pays d'Asie du Sud-Est.