Bien que l’Espagne dispose d’une réglementation étendue sur la protection des infrastructures critiques, elle est toujours confrontée à des défis importants dans ce domaine, tels que la coordination des responsabilités, la mise à jour du catalogue des risques, des audits périodiques, des plans de formation et une gestion globale de la sécurité. Des représentants de plusieurs associations et du ministère de l’Intérieur expliquent les défis majeurs auxquels le secteur est confronté.
L’Espagne dispose d’une réglementation étendue sur la protection des infrastructures critiques (CIP) qui n’a cessé de se développer mais qui souffre encore de lacunes importantes dans ce domaine. Eduard Zamora est président de l’ADSI , l’Association of Integrated Security Managers. Selon lui, l’un des défis actuels est de «coordonner et définir clairement les responsabilités du RSSI (Chief Information Security Officer) et du CSO (Chief Security Officer) dans les organigrammes de chaque opérateur critique». Selon lui, «ils devraient clarifier comment coordonner et répartir leurs périmètres pour parvenir à la meilleure gestion intégrée des risques sous leur responsabilité.»
Il estime également qu’il est nécessaire de clarifier les ambiguïtés et la duplication des fonctions: autant les responsabilités existantes que celles ajoutées par chaque nouveau règlement. «Il ne s’agit pas de savoir lequel des deux devrait diriger le processus global, et il pourrait bien s’agir de leur supérieur commun plutôt que de l’un d’entre eux, mais d’attribuer clairement leurs champs d’action.» Un deuxième défi pour le secteur est de mettre à jour le catalogue des risques, «pas seulement les incidents conventionnels comme les catastrophes naturelles, le sabotage, le vandalisme ou le terrorisme, mais en ajoutant des précautions spécifiques contre des choses comme les attaques biologiques, le bioterrorisme, les drones et les attaques informatiques», explique Zamora.
Il existe d’autres défis, tels que «l’audit périodique de l’organisation intégrée de gestion de la sécurité de ces infrastructures», et la mise en place de «plans de formation complets adaptés à chaque secteur et opérateur critique, et leur mise à jour périodique».
Plans de continuité des activités
Selon des sources de la CEUSS ( Confédération des entreprises de sécurité et des utilisateurs de services), la loi 8/2011, établissant des mesures pour la protection des infrastructures critiques , les désigne comme «l’ensemble des activités visant à assurer la fonctionnalité, la continuité et l’intégrité, à prévenir, atténuer et neutraliser les dommages causés par une attaque délibérée. »
Les événements au cours des premiers mois de la pandémie ont souligné l’importance de «tous les services essentiels examinant nos plans de continuité des activités, à la fois spécifiques à l’entreprise et à l’entreprise». Deuxièmement, il dit que le coronavirus nous a montré que la société doit réévaluer les services essentiels, «il est donc prévisible et souhaitable qu’il y ait un nouveau catalogage des opérateurs et des infrastructures critiques.
Enfin, il souligne que le passage du modèle des plans de protection spécifiques à un modèle basé sur la certification sera «une opportunité de sensibiliser les conseils d’administration à l’importance d’une gestion intégrée de la sécurité, tant physique qu’industrielle des systèmes d’information et de contrôle». En plus de «maintenir les niveaux d’investissement, même pendant une crise économique, de renforcer les structures et les services de l’entreprise dans ce domaine, et de respecter les délais et le budget des projets prévus».
Services essentiels
Fernando José Sánchez Gómez est directeur du Centre national pour la protection des infrastructures critiques (ministère de l’Intérieur). Il rappelle que la société d’aujourd’hui est de plus en plus dépendante des services essentiels, dont la plupart sont fournis par des infrastructures critiques (IC). Et il prévient que «l’interruption ou la destruction d’un IC peut conduire à une cascade d’effets néfastes, entraînant dans son sillage d’autres systèmes ou installations, avec un impact sévère sur les services essentiels aux citoyens et le fonctionnement du gouvernement.
Dans ce contexte, il souligne que «c’est précisément cette situation de dépendance mutuelle, typique de la société mondialisée d’aujourd’hui, qui présente le plus grand risque pour la sécurité de notre système d’infrastructures critiques. Il est donc essentiel que tous les agents impliqués dans la fourniture de services essentiels et d’assurer leur sécurité (à la fois les opérateurs critiques et les autorités) jouent leur rôle, car la sécurité de l’ensemble de la chaîne n’est aussi forte que le maillon le plus faible.
Au fil des années, explique-t-il, de nouveaux risques surgissent, principalement liés aux avancées technologiques, qui «menacent les technologies d’exploitation industrielle et les systèmes de contrôle de nos infrastructures, ou par des facteurs externes difficiles à maîtriser, comme les RPA ou les drones. » Cependant, «le plus grand danger est le manque de vision globale et de générosité de certains opérateurs et autorités qui ne comprennent pas que prévenir et réagir à une menace mondiale implique de développer des stratégies globales et de grande envergure, au-delà des intérêts corporatifs et personnels étroits.»
Ainsi, il conclut qu’il est nécessaire d’agir fondamentalement sur l’organisation elle-même, en créant des structures et des services de sécurité intégrés et solides. «Il s’agit d’unir les capacités, pas de les diviser, de voir ce qui est bon pour l’ensemble de l’organisation, pas de créer ou de maintenir des fiefs séparés.»
Communiqué
