La collaboration public-privé est essentielle face à l'importance croissante de la cybersécurité

La coopération public-privé est très importante dans le domaine de la cybersécurité et la cybersécurité elle-même est actuellement essentielle à la protection des infrastructures énergétiques critiques.  

Il s'agit d'infrastructures critiques qui offrent des services essentiels à tous et sont indispensables au fonctionnement quotidien de la société, comme c'est le cas du secteur de l'énergie, qui comprend de grandes entreprises telles qu'Iberdrola.  

À cet égard, le Centro Superior de Estudios de la Defensa Nacional (CESEDEN) a accueilli à son siège de Madrid, avec la participation de l'Institut espagnol d'études stratégiques (IEEE) et de l'entreprise énergétique espagnole Iberdrola, le séminaire "Cybersécurité dans les infrastructures énergétiques critiques", au cours duquel d'importantes personnalités et des experts de l'administration publique espagnole, des forces armées et du secteur privé ont débattu de l'importante question de la protection contre les cybermenaces qui se multiplient chaque jour dans le monde entier. 

L'événement a été ouvert par Manuel Aragón Reyes, professeur de droit constitutionnel à l'université autonome de Madrid et codirecteur du séminaire, Francisco de P. Bisbal Pons, directeur du CESEDEN, Santiago Martínez Garrido, secrétaire général et secrétaire du conseil d'administration d'Iberdrola, et Francisco J. Dacoba Cerviño, général de brigade de l'armée espagnole, directeur de l'IEEE et également codirecteur du séminaire.

Francisco de P. Bisbal Pons a indiqué que la sécurité des installations critiques devrait être une priorité pour tout État en raison de l'importance de garantir la sécurité des infrastructures énergétiques.  

Santiago Martínez Garrido a souligné la collaboration d'Iberdrola avec les forces armées en matière de sécurité depuis près de dix ans. Le secrétaire général et secrétaire du conseil d'administration de l'entreprise énergétique espagnole a souligné "l'éthique et le leadership" d'Iberdrola en matière de défense nationale, de sécurité énergétique, d'objectifs de développement durable, de changement climatique et de sécurité des infrastructures énergétiques. Santiago Martínez Garrido a indiqué que le président d'Iberdrola, Ignacio Galán, encourage toutes ces initiatives, bien qu'il n'ait pas pu être présent au siège du CESEDEN en raison de la présentation des résultats du troisième trimestre de l'entreprise, qui ont été "magnifiques", soulignant le succès des investissements dans les énergies propres et les réseaux.  

Martínez Garrido a souligné qu'Iberdrola se préoccupe de la cybersécurité dans les infrastructures énergétiques critiques et que la nouvelle réalité pose des défis, en insistant sur le fait que l'augmentation des services numériques et la numérisation croissante des processus exigent un équilibre entre la participation de l'homme et de la machine. 

Le représentant d'Iberdrola a souligné que l'entreprise offre un service public lié aux infrastructures critiques et que la cybersécurité est une priorité pour l'entreprise. "Nous sommes en permanence soumis à des attaques de tiers pour obtenir des données, à des attaques quotidiennes, et il est nécessaire de mettre à jour le système de cybersécurité en permanence", a expliqué Santiago Martínez Garrido, qui a également fait allusion au fait que "nous devons être à l'avant-garde numérique en raison des systèmes interconnectés et transfrontaliers, car il y a des agents menaçants". 

Manuel Reyes Aragón, codirecteur de ce type de séminaire de défense depuis le début, a souligné la collaboration depuis plus de dix ans avec Iberdrola dans ces séminaires, qui ont été repris après la pandémie. 

Le professeur de droit constitutionnel de l'université autonome de Madrid a souligné l'étroite collaboration entre Iberdrola et les forces armées et a déclaré que la directive européenne de 2022 sur la résilience de la cybersécurité dans les entités critiques vise une sécurité globale contre tous les types de risques, en particulier contre les cybermenaces.  

Francisco J. Dacoba Cerviño a rappelé que la stratégie de sécurité nationale a pour devise d'être un projet partagé par l'ensemble de la société espagnole. En l'occurrence, avec cette initiative, Iberdrola montre que tous les acteurs sociaux sont coresponsables de la cybersécurité et de la protection des infrastructures énergétiques critiques. Le général de brigade et directeur de l'IEEE a souligné que l'objectif est que "l'Espagne soit dans les meilleures conditions pour protéger ses intérêts et que la société puisse développer son projet de manière sûre, prospère et libre".  

L'événement comprenait une table ronde intitulée "Aspects généraux de la cybersécurité", avec le journaliste Antonio Jiménez Martínez comme modérateur et avec la participation d'Elena de la Calle Vian, conseillère technique dans le domaine de la cybersécurité du département de la sécurité nationale du cabinet de la présidence du gouvernement, Roberto Villanueva Barrios, général de brigade de l'armée espagnole et chef du département de cybersécurité du Centre des systèmes et technologies de l'information et de la communication (CESTIC) du ministère de la Défense, Francisco Antonio Marín Gutiérrez, lieutenant-colonel de l'armée espagnole et chef de la section de renseignement du Commandement interarmées du cyberespace, et José Miguel Gordillo Luque, officier militaire et directeur mondial de la sécurité d'entreprise chez Iberdrola. 

Les aspects généraux de la cybersécurité sont liés à la menace de plus en plus complexe que représente la capacité de voler des données sensibles, d'extorquer, de manipuler des états d'opinion et de provoquer l'effondrement d'entités publiques ou d'entreprises.  

Francisco Antonio Marín Gutiérrez s'est concentré précisément sur les risques et les menaces pour la sécurité nationale dans le cyberespace. Le lieutenant-colonel et chef de la section du renseignement du Commandement interarmées du cyberespace a indiqué que la numérisation croissante des activités a élargi la zone d'exposition aux cyberattaques. "Depuis 2016, l'OTAN considère le cyberespace comme un secteur d'opérations", a-t-il souligné, expliquant que l'ampleur et la fréquence des cyberattaques et de l'utilisation illicite du cyberespace ont augmenté ces dernières années. En conséquence, "la cybersécurité est devenue une priorité pour les organisations et les gouvernements".  

Francisco Antonio Marín Gutiérrez a souligné que les menaces pesant sur les infrastructures critiques, l'espionnage et l'ingérence en provenance de l'étranger, les campagnes de désinformation et la vulnérabilité du cyberespace constituaient les principaux risques et menaces actuels.  

Il a rappelé de célèbres cyber-attaques majeures contre des infrastructures critiques, telles que Stuxnet contre l'industrie nucléaire iranienne en 2003, qui était la première attaque majeure connue, et a noté qu'il y a maintenant plusieurs attaques multiples dans la guerre ukrainienne, telles que celle entre mai et septembre 2023 par le service de renseignement russe contre les principaux fournisseurs ukrainiens d'internet et de télécommunications.  

Le lieutenant-colonel a souligné la vulnérabilité du cyberespace et a rappelé que la stratégie de sécurité nationale parle de deux menaces : les cyberattaques et l'utilisation du cyberespace pour le développement d'activités illicites, telles que la cybercriminalité, le cyberespionnage ou le financement et la propagande du terrorisme. 

Il a également insisté sur le fait que l'Espagne est confrontée à de nombreux défis en matière de cybersécurité liés aux niveaux élevés d'interconnexion. "Il y a des acteurs étatiques, qui sont les plus dangereux car ils disposent de ressources plus importantes pour mener des attaques plus sophistiquées. Ces attaques sont désormais monnaie courante pour leurs intérêts géopolitiques, la collecte d'informations, l'influence sur la population et l'endommagement d'infrastructures critiques", a-t-il expliqué. Il a rappelé que l'Iran avait attaqué la compagnie pétrolière saoudienne Aramco, affectant 3 000 de ses ordinateurs au début du Ramadan, et a également souligné qu'en Ukraine, depuis 2014, la Russie a lancé des attaques majeures contre des infrastructures critiques, bien que le pays ukrainien soit désormais mieux préparé à faire face à ces offensives. 

Il a également fait allusion à l'"hacktivisme" ou activisme des pirates informatiques. L'activisme était autrefois associé à la défense des valeurs, mais les groupes de pirates informatiques se font l'écho d'idéologies et, aujourd'hui, les ordinateurs et les réseaux sont utilisés de manière subversive pour promouvoir un programme politique dans de nombreux cas. Francisco Antonio Marín Gutiérrez a indiqué que divers États utilisent les hacktivistes comme mandataires.  

En ce qui concerne les acteurs internes, il a souligné que plus des trois quarts des incidents sont liés à la négligence du personnel interne, 60 % sont involontaires et près de 15 % sont intentionnels, avec des employés mécontents ou des saboteurs purs et simples.  

La tendance actuelle est que ces catégories sont mélangées et que divers pays se cachent derrière des groupes criminels organisés ou des "hacktivistes", et il devient de plus en plus difficile de voir qui se cache derrière eux. 

Roberto Villanueva Barrios a mis l'accent sur la cybersécurité en tant qu'élément fondamental de la transformation numérique dans le domaine de la défense et a expliqué le rôle du Centre des systèmes et technologies de l'information et de la communication (CESTIC), qui est chargé des communications, de la gestion numérique et de la cybersécurité des réseaux pour le ministère de la défense. "Chaque activité quotidienne est sujette à des attaques", a expliqué Roberto Villanueva, qui a également expliqué que la défense militaire de l'Espagne vise principalement les opérations militaires, qui sont également liées au cyberespace. "Le champ de bataille est désormais numérique", a-t-il souligné.

Le cyberespace fait partie du champ de bataille et c'est la mission des forces armées espagnoles de s'en occuper pour la défense nationale. Pour Roberto Villanueva, le combattant est au centre de l'action et il est nécessaire de se concentrer sur lui par le biais de la cybersécurité ; en ce sens, l'information est ce qui "nous donne la supériorité et la possibilité de nous imposer" sur le champ de bataille. Le général de brigade et chef de l'unité de cybersécurité du CESTIC a expliqué que le combattant est soumis à de nombreuses structures de communication et systèmes d'information ; il reçoit des informations pour mener à bien le combat, et même le secteur civil participe en fournissant des informations.  

Selon Roberto Villanueva, le cyberespace fait partie de la structure intégrale de la défense, la partie centrale étant ce que le ministère de la Défense utilise avec les systèmes de communication, qui ont une relation directe avec les zones d'opérations. Ils sont également connectés aux organisations internationales au sein de structures intégrales telles que l'OTAN ou l'Union européenne. "L'information est l'atout stratégique du ministère de la Défense, elle nous garantit la supériorité et le succès des opérations", a-t-il souligné.  

Roberto Villanueva a indiqué que "nous sommes au combat tous les jours, toutes les heures" et que nous recevons constamment des attaques, dont beaucoup n'ont pas de répercussions et d'autres nécessitent une intervention. Il a souligné que, grâce aux centres d'opérations de sécurité, l'objectif est d'automatiser la réponse autant que possible. Il a expliqué qu'il était impossible de devancer les attaquants ou de réagir sans les services de renseignement. "Nous avons besoin d'informations pour prévenir les attaques et prendre des mesures en matière d'infrastructure et de défense", a-t-il déclaré.  

Elena de la Calle Vian s'est concentrée sur la manière dont l'UE lutte contre les cybermenaces. "La stratégie de sécurité nationale indique que l'UE doit jouer un rôle plus important dans certains domaines qui nécessitent une réponse commune, tels que les pandémies, le terrorisme et la cybersécurité, car il s'agit d'un domaine transversal qui nous concerne tous", a-t-elle expliqué.  

La conseillère technique dans le domaine de la cybersécurité au Département de la sécurité nationale a souligné qu'il s'agit d'un organisme qui conseille la Présidence du gouvernement en matière de sécurité nationale. Elle a expliqué que la défense nationale, la sécurité publique et l'action extérieure sont soutenues par les services de renseignement, qui sont fondamentaux. "La sécurité nationale vise à protéger la vie quotidienne des citoyens dans 16 domaines, tels que la sécurité énergétique, économique, maritime, sanitaire, etc". Elena de la Calle Vian a indiqué que la cybersécurité est essentielle au sein de la sécurité nationale. "Nous cherchons à intégrer les informations relatives à la sécurité nationale provenant de ces 16 domaines afin d'anticiper les situations de crise et de développer des stratégies de coopération avec les acteurs publics et privés", a-t-elle déclaré.  

Elena de la Calle Vian a également indiqué que l'Agence européenne de cybersécurité offrait des outils pour le partage d'informations entre les pays. "D'une manière visuelle, vous pouvez voir quels secteurs sont touchés", a expliqué De la Calle Vian, qui a souligné qu'il est fondamental de voir quel secteur est touché dans quel pays afin d'avoir une vision commune et de faire face au défi.  

"Il y a 27 pays, chacun avec ses propres caractéristiques, il y a beaucoup de dossiers ouverts sur la cybersécurité et parvenir à un accord prend du temps", a-t-elle expliqué. Le paysage des menaces s'élargit et l'élément géopolitique a désormais une forte influence, a-t-elle également déclaré. Elena de la Calle Vian a souligné que certaines organisations déclarent une guerre numérique aux pays de l'UE impliqués dans la guerre en Ukraine, par exemple, avec des attaques contre des entités publiques et privées. La Russie a attaqué Viasat afin de commencer l'invasion de l'Ukraine et de couper les communications ukrainiennes ; cette attaque a affecté les éoliennes en Allemagne, par exemple, qui dépendaient de cette infrastructure, comme l'a expliqué le conseiller du département de la sécurité intérieure. C'est "la première attaque officiellement attribuée à un État", a-t-elle souligné. Elena de la Calle Vian a également indiqué que dans le conflit israélo-palestinien, il y a une vigilance au cas où il y aurait des effets collatéraux, avec des attaques par déni de service, expliquant que le système d'alerte de la population israélienne contre les attaques a été piraté et pourrait même donner de fausses alertes à la population civile israélienne.  

La conseillère du département de la sécurité a également indiqué qu'un autre défi dans l'UE est le manque de professionnels, que la Commission européenne estime à 800 000 personnes. La pénurie mondiale de personnel dans ce domaine est estimée à 3,5 millions de personnes. En Espagne, il y a également un manque de personnel, comme l'a expliqué Elena de la Calle Vian, qui a indiqué qu'il y a actuellement 153 000 personnes, soit 24 % de plus que l'année dernière. Mais il manque 57 % de personnel supplémentaire, soit 60 000 personnes, malgré l'existence d'infrastructures prêtes pour la cybersécurité. Par ailleurs, la vulnérabilité des produits matériels et logiciels atteint quelque 13 000 produits, dont 50 % sont des attaques contre des infrastructures critiques, comme l'a souligné Elena de la Calle Vian, qui a rappelé que l'UE dispose d'une stratégie commune prévoyant de nombreuses réglementations en matière de cybersécurité à partir de 2020.  

Elle a également indiqué que les entités doivent également mettre en place des mesures de cybersécurité pour maintenir la sécurité de la vie quotidienne. "Il y a beaucoup de produits vulnérables dans les logiciels et le matériel qui ont une connexion à l'internet. Ils devront faire l'objet d'une évaluation de sécurité dans le cadre de la nouvelle réglementation de l'UE afin d'obtenir une certification de cybersécurité, avec un système de surveillance du marché", a expliqué Elena de la Calle Vian, qui a souligné que de nombreuses attaques proviennent de la vulnérabilité des produits que nous utilisons tous les jours.  

José Miguel Gordillo Luque a évoqué le coût élevé de la cybersécurité. Le responsable mondial de la sécurité des entreprises chez Iberdrola a souligné que le coût de la cybercriminalité devrait augmenter de 15 % par an d'ici à 2025, pour atteindre quelque 10 500 milliards de dollars. 

Cela a un impact majeur sur les entreprises privées et la pression réglementaire, voire la responsabilité pénale des organes de gestion des entreprises, s'accroît, comme il l'a expliqué. Les entreprises sont ainsi considérées comme un élément fondamental de l'écosystème mondial de la cybersécurité. Les conseils d'administration sont responsables de la mise en œuvre des plans de cybersécurité, du respect des réglementations et des obligations, et la responsabilité pénale est même engagée si cela n'est pas fait, comme l'a expliqué José Miguel Gordillo.  

"Les conseils d'administration des grandes entreprises devraient disposer d'experts en cybersécurité pour conseiller l'ensemble du conseil sur cette mise en œuvre", a-t-il déclaré. Il a également expliqué que le coût le plus important de la cybersécurité est le coût en vies humaines. La cyberattaque peut affecter les biens matériels, ce qui signifie que des vies humaines peuvent être affectées dans toute la mesure du possible. "Des personnes ont perdu la vie indirectement à cause de cyber-attaques", a-t-il déclaré.   

José Miguel Gordillo a fait référence aux organisations criminelles à motivation financière, qui constituent la majorité des attaques que nous recevons, telles que le phishing ou le ransomware, dont l'objectif principal est de voler des données à des fins d'extorsion ou de les vendre par des canaux cachés à d'autres organisations qui ont l'intention de pénétrer dans des entités.  

D'autre part, il y a la motivation de déstabilisation avec des acteurs étatiques et des groupes d'activistes qui veulent prendre le contrôle d'infrastructures d'entreprises liées à des infrastructures critiques qui peuvent affecter la population.  

José Miguel Gordillo a rappelé qu'il y a des attaques très sophistiquées, avec des offensives contre le secteur de l'électricité comme celles perpétrées contre l'Ukraine dans le cadre de l'invasion russe ou contre Israël dans le cadre de la guerre contre le Hamas.  

L'électricité est une infrastructure critique et tout impact sur le réseau a un impact sur d'autres acteurs, a-t-il expliqué, car l'électricité est vitale pour le fonctionnement de toute entité dans n'importe quel secteur. "Nous ne pouvons pas laisser tomber la société en fournissant ce service", a-t-il déclaré.  

José Miguel Gordillo Luque a fait allusion à la "cyber-résilience", c'est-à-dire apprendre à vivre avec ce phénomène. Nous devons protéger, mais pas seulement, nous devons aussi vivre avec le phénomène des cybermenaces. Il a également souligné que la cybersécurité et la sécurité physique ne devaient pas être séparées. "Il faut adopter une approche holistique de la sécurité. Le responsable mondial de la sécurité des entreprises d'Iberdrola a également souligné qu'il fallait "identifier, protéger, détecter, répondre et récupérer" et que les employés des organisations devaient avoir une culture intense pour prévenir les cyberattaques, car 88 % des cyberattaques sont dues au comportement des employés, consciemment ou inconsciemment.  

Il a également indiqué que la coopération entre les secteurs public et privé est essentielle dans un monde hyperconnecté, ce qui est indispensable à la cyberrésilience. Le secteur public doit prendre l'initiative de rendre la coopération public-privé efficace et de "rendre la nation plus cyber-sécurisée et plus digne de confiance".  

José Miguel Gordillo Luque a également indiqué que la protection des données était une priorité pour Iberdrola. Il a souligné que la fuite de données à la suite d'une cyberattaque a un coût économique et de réputation, et qu'il peut même y avoir des sanctions administratives de la part de l'État.  

La deuxième session de la journée, intitulée "Cybersécurité et sécurité énergétique", a été animée par Yolanda Gómez Rojo, rédactrice en chef adjointe du journal ABC, avec l'intervention d'Álvaro de Lossada Torres-Quevedo, chef du bureau de coordination de la cybersécurité de la direction générale de la coordination et des études du secrétariat d'État à la sécurité, Ignacio Fuente Cobo, colonel et analyste principal à l'IEEE, Natalia Galán Vázquez, responsable du renseignement, de la stratégie et de la gouvernance de la sécurité à Iberdrola Espagne, et Rafael Ceres Campos, responsable du bureau mondial de cybersécurité pour la transformation numérique à Iberdrola. 

Álvaro de Lossada Torres-Quevedo a évoqué la protection des infrastructures critiques et indiqué que la cybercriminalité avait augmenté de 351,17 % en 2022 par rapport à 2015 en Espagne, une hausse "franchement vertigineuse". Il a également souligné que plus de 89 % de ces délits sont des délits économiques, c'est-à-dire des délits qui peuvent entraîner la perte d'informations. Par ailleurs, les attaques contre les systèmes TIC ont augmenté de 78 % au cours des cinq dernières années, bien qu'elles soient aujourd'hui les moins courantes.  

Le secteur de l'énergie représente 37,2 % des incidents liés à la cybersécurité, ce qui ne signifie pas qu'il soit le moins bien préparé. Il dispose d'une solide protection, comme l'a souligné Álvaro de Lossada, qui a expliqué que la majorité des incidents sont des incidents de vulnérabilité auto-déclarés (60 %), ce qui est une bonne nouvelle, et qu'un pourcentage plus faible est constitué de vols d'informations.  

Álvaro de Lossada a également rappelé les défis de la mise en œuvre du nouveau règlement européen NIS2 : transposition chorale, défis de gouvernance, dispersion des sujets obligés, dispersion des autorités, dispersion des certifications et non-multiplication des charges, en tenant compte des spécificités de chaque secteur.  

Avec ce nouveau règlement, de nombreux agents soumis au respect des obligations en matière de cybersécurité seront incorporés et le défi est de trouver un système de certification unifié qui ne se multiplie pas dans chaque secteur.  

Il a également expliqué que les opérateurs critiques ont davantage de mesures de sécurité et que les incidents ont moins augmenté que dans le reste des secteurs économiques.  

Ignacio Fuente Cobo a parlé de l'importance de la sécurité énergétique, qui est liée à la disponibilité ininterrompue de sources d'énergie abordables. À long terme, elle repose sur des investissements opportuns pour fournir de l'énergie en fonction des besoins économiques, ce qui est lié au modèle énergétique de chaque pays, et à court terme, la résilience se concentre sur la capacité du système énergétique à réagir rapidement à des changements soudains dans l'équilibre entre l'offre et la demande.   

Les pays mettent en œuvre des plans pour assurer la sécurité énergétique avec des plans d'investissement et les modèles énergétiques vont au-delà de la sécurité et ont également à voir avec les intentions géopolitiques. 

Ignacio Fuente Cobo a souligné que l'Espagne est très vulnérable en termes de pétrole et de gaz, et qu'après les sanctions contre la Russie, la demande a été quelque peu réduite, mais l'Europe se tourne maintenant vers d'autres pays avec lesquels elle n'est pas politiquement en phase, comme l'Azerbaïdjan ou le Qatar. Cependant, malgré les sanctions, le gaz russe a continué à être acheté indirectement.  

Le colonel et analyste de l'IEEE a souligné que les décisions en matière d'énergie ont des conséquences politiques, comme le fait de traiter avec l'Azerbaïdjan ou le Qatar. Même certains pays, comme l'Allemagne, se sont plaints du prix du gaz vendu par les États-Unis, profitant du moment présent.  

Enfin, Natalia Galán Vázquez et Rafael Ceres Campos ont détaillé plus techniquement et en profondeur comment Iberdrola développe sa politique de cybersécurité avec le souhait que les nouvelles réglementations NIS2 aient une orientation cohérente face à des réglementations dispersées, qu'elles aient également une orientation internationale, qu'elles aient des réglementations adaptables et agiles face aux changements et qu'elles encouragent les investissements dans la cybersécurité, et qu'elles incluent des sanctions obligatoires en cas de non-conformité, promouvant ainsi la responsabilité à tous les niveaux.  

Ils ont souligné que tous les secteurs de l'entreprise doivent être impliqués, du conseil d'administration à n'importe quel département. Tout le monde doit être conscient de la cybersécurité à l'heure actuelle.