La cybersécurité seule ne suffit pas - la protection des KRITIS doit inclure la destruction sécurisée des données.
Les infrastructures critiques sont les lignes de vie invisibles de notre vie quotidienne - tant qu'elles fonctionnent, nous les remarquons à peine, mais sans elles, tout s'effondre. Elles comprennent les installations et les systèmes essentiels au fonctionnement de la société, tels que l'approvisionnement en électricité et en eau, l'alimentation, les soins de santé, les transports, la finance ou les télécommunications.
D'importants volumes de données sensibles sont générés quotidiennement dans ces secteurs. Si les mesures de sécurité numérique sont désormais la norme, la destruction physique des données est souvent sous-estimée. Les vieux fichiers, disques durs, clés USB ou bandes magnétiques contiennent des informations confidentielles qui peuvent présenter des risques importants si elles sont éliminées de manière inappropriée.
Les infrastructures critiques sont aujourd'hui soumises à une pression croissante, non seulement en raison de catastrophes naturelles telles que des pluies torrentielles ou des tremblements de terre, de pandémies ou de conflits géopolitiques, mais aussi et surtout en raison de cyberattaques et de vols de données ciblés, qui sont devenus l'une des plus grandes menaces. Des dossiers de patients volés, des informations financières compromises ou des dossiers administratifs manipulés peuvent déstabiliser des secteurs entiers de la société. Les actes de sabotage et les menaces hybrides démontrent que la protection des infrastructures critiques n'est plus seulement une question de sécurité physique, mais avant tout une question de sécurité de l'information.
Dans de nombreux pays, il existait jusqu'à présent un grand nombre de réglementations, de normes et de standards spécifiques à un secteur, incohérents et souvent non contraignants. En l'absence d'un cadre juridique cohérent et compatible au niveau international, il était difficile de se défendre contre les cyberattaques et les atteintes à la protection des données et de prouver aux autorités ou aux tribunaux que l'on respectait la législation en vigueur. Des règles uniformes et des exigences de conformité contraignantes sont donc essentielles pour garantir la protection juridique des opérateurs et des États.
En Europe, la directive CER (UE 2022/2557) sur la résilience des entités critiques et la directive NIS-2 sur la sécurité des réseaux et de l'information établissent des normes contraignantes. D'autres pays, comme les États-Unis, le Canada ou l'Australie, disposent également de lois relatives à la protection des infrastructures sensibles et au traitement des violations de données. Au niveau international, en l'absence d'obligations légales en matière de gestion des risques, de rapports et de mesures de protection, la défense contre les menaces critiques reste incomplète.
Les réglementations modernes poursuivent un double objectif : les services critiques doivent rester opérationnels ou être rapidement rétablis en cas d'attaques ou de pannes, et les cadres juridiques doivent clairement définir les responsabilités, les obligations de documentation et les sanctions. Ce n'est qu'ainsi que les opérateurs peuvent s'assurer qu'ils sont protégés non seulement techniquement mais aussi juridiquement en cas de cyberattaque ou de violation de données.
Au niveau européen, la directive CER (UE 2022/2557) et la directive NIS-2 constituent la base du renforcement de la résilience et de la cybersécurité dans les secteurs critiques. Les États membres sont tenus de transposer ces directives en droit national. De nombreux pays, comme la France, les Pays-Bas et l'Espagne, ont déjà adopté une législation visant à assurer la protection des infrastructures critiques au niveau national.
En Allemagne, la protection des infrastructures critiques est principalement régie par la loi sur la sécurité informatique, la loi BSI et le projet de la nouvelle loi-cadre KRITIS. L'objectif de ce cadre est de mettre en œuvre les directives européennes - en particulier la directive CER et la directive NIS-2 - dans le droit national tout en unifiant les réglementations précédemment fragmentées. Cette loi crée un cadre juridique intersectoriel garantissant à la fois la sécurité physique et la cyber-résilience des installations critiques, y compris les exigences en matière de sécurité informatique, la gestion des risques et des situations d'urgence et la notification des incidents. Elle oblige les exploitants à protéger les informations sensibles, notamment par la destruction physique des données.
Aux États-Unis, une réglementation complète visant à protéger les infrastructures critiques a été introduite peu après les attentats du 11 septembre 2001. Les principales agences sont le ministère de la sécurité intérieure (DHS) et l'agence pour la cybersécurité et la sécurité des infrastructures (CISA). Les cadres juridiques comprennent le USA PATRIOT Act, qui définit 16 secteurs d'infrastructures critiques, et la directive présidentielle 21 (PPD-21). L'accent est mis sur la protection contre le terrorisme, les cyberattaques et les catastrophes naturelles. Les opérateurs d'infrastructures sensibles sont également tenus, en vertu de lois telles que HIPAA (soins de santé), GLBA (secteur financier) et FACTA, de détruire les données sensibles en toute sécurité. Des normes telles que NIST SP 800-88 fournissent des lignes directrices pour la destruction physique des supports de données, garantissant que les documents, les disques durs ou d'autres supports de stockage ne peuvent pas être utilisés à mauvais escient.
Depuis 2009, le Canada a mis en place sa propre stratégie nationale pour les infrastructures critiques, basée sur une coopération étroite entre les opérateurs fédéraux, provinciaux et privés. Les domaines d'intervention sont la cybersécurité, la préparation aux catastrophes et la protection contre les menaces terroristes.
L'Australie a adopté en 2018 la loi sur la sécurité des infrastructures critiques (Security of Critical Infrastructure Act), qui a été renforcée en 2021. Les opérateurs des secteurs de l'énergie, de l'eau, des communications, de la santé et des transports sont tenus de mettre en œuvre des mesures spécifiques de sécurité et de résilience.
Au Japon, la loi fondamentale sur la cybersécurité, ainsi que d'autres stratégies nationales, régissent la protection des infrastructures critiques. Une attention particulière est accordée à l'énergie, aux transports et à la finance, des secteurs très vulnérables aux catastrophes naturelles telles que les tremblements de terre et les tsunamis.
De nombreux autres pays, dont le Royaume-Uni, Israël et Singapour, ont élaboré leurs propres programmes de protection des infrastructures critiques (PIC). Des organisations internationales telles que l 'OTAN et l'OCDE fournissent également des lignes directrices et des recommandations pour coordonner la protection des infrastructures critiques au niveau mondial.
Même les exploitants d'infrastructures critiques dotés d'une sécurité informatique de pointe restent vulnérables si les supports de données physiques ne sont pas détruits de manière sûre et permanente. Des documents, des disques durs de serveurs ou des dispositifs de stockage mobiles mal éliminés peuvent entraîner d'importantes fuites de données. Dans les secteurs KRITIS tels que l'énergie, les soins de santé ou l'administration publique, de tels incidents peuvent non seulement avoir des conséquences économiques, mais aussi menacer la sécurité de l'approvisionnement, l'ordre public et la confiance du public.
Pour atténuer ces risques, plusieurs méthodes sont disponibles :
Déchiquetage de documents : Les dossiers confidentiels, les plans ou les données imprimées sont déchiquetés mécaniquement pour empêcher leur reconstitution.
Démagnétisation : Des champs magnétiques puissants effacent de manière irréversible les données contenues dans les disques durs, les bandes magnétiques et autres supports similaires.
Destruction physique : Les supports de stockage tels que les disques durs de serveurs, les disques SSD, les clés USB ou les supports optiques peuvent être déchiquetés ou granulés pour garantir une destruction complète, même pour les dispositifs endommagés ou cryptés.
Dans les infrastructures critiques, ces mesures permettent d'éviter que des informations sensibles sur les systèmes de contrôle, les soins aux patients ou les flux financiers ne tombent entre de mauvaises mains.
La protection des données sensibles dans les secteurs KRITIS est soumise à des exigences légales strictes dans le monde entier :
Europe : GDPR, DIN 66399, ISO/IEC 21964, ainsi que les directives NIS-2 et CER.
États-Unis : réglementations sectorielles telles que HIPAA, GLBA, et exigences CISA pour l'énergie et les transports.
International : normes de sécurité de l'information telles que ISO/IEC 27001 et exigences de conformité sectorielles pour les opérateurs d'infrastructures critiques.
Les rapports d'incidents obligatoires soulignent encore davantage la nécessité de détruire les données de manière vérifiable et auditable.
Soins de santé : Dossiers de patients et données médicales, dont l'utilisation abusive pourrait mettre des vies en danger.
Approvisionnement en énergie : Données opérationnelles et de contrôle essentielles à la stabilité du réseau et à la sécurité de l'approvisionnement.
Finance : Données de transaction et informations sur les clients, essentielles à la stabilité financière.
Transport et administration : Protection des dossiers administratifs confidentiels, des données logistiques et des informations relatives à la sécurité.
La destruction physique des données est un élément clé pour assurer la résilience des infrastructures critiques. Associée à des mesures de protection numériques telles que le cryptage, la surveillance du réseau et les contrôles d'accès, elle crée une approche de sécurité globale qui répond à la fois aux normes internationales et aux exigences spécifiques des secteurs KRITIS.
👉 Pour en savoir plus : Directive NIS-2 : Renforcer la cybersécurité dans toute l'Europe depuis le 17 octobre 2024.