Internet et les infrastructures d’information critiques

Internet est devenu omniprésent et constitue l’une des pierres angulaires de nos infrastructures matérielles, économiques et sociales. Quelles en sont les implications sur l’action des pouvoirs publics ?
Le 14 août 2003, dans le nord-est des États-Unis et la province canadienne de l’Ontario, une panne de courant a privé 50 millions de personnes d’électricité, perturbant les transports, la distribution d’eau et l’activité industrielle. Cette panne a été imputée à une succession d’erreurs humaines et informatiques survenues dans une compagnie d’électricité américaine, FirstEnergy. Mais la simultanéité de ces événements était frappante. Trois jours auparavant, le ver informatique Blaster s’était introduit dans les réseaux américains, infectant un million d’ordinateurs avant d’être finalement neutralisé fin août. Les systèmes centraux de FirstEnergy ont probablement repoussé le ver, tandis que les systèmes périphériques de la compagnie semblent y avoir été davantage perméables, entraînant le dysfonctionnement des dispositifs d’alarme.Le réseau électrique est une « infrastructure critique », au même titre que les services collectifs, les télécommunications, la banque, les hôpitaux, la défense civile, etc. Ces services s’appuient sur des systèmes et réseaux informatiques de plus en plus connectés, directement ou indirectement (par l’intermédiaire des réseaux d’entreprise) à Internet. Les infrastructures d’information critiques sont à la base de notre vie moderne, reliant les villes et les pays pour former une société réticulaire. Leur perturbation ou leur destruction aurait un impact sérieux sur la santé, la sûreté, la sécurité et le bien-être économique des citoyens.Il y a dix ans, seule une petite partie de la population et quelques secteurs se préoccupaient d’Internet. Mais les choses ont changé. Apparu il y a moins d’une vingtaine d’années, Internet a évolué pour devenir une infrastructure critique à part entière, dont dépendent maintenant d’autres systèmes critiques.Si Internet a été si bénéfique pour la société, c’est en raison de ses avantages évidents, comme en témoignent, entre autres, les services bancaires ou la formation en ligne. Des capteurs permettent aux agences environnementales de mesurer la concentration de polluants dans l’air et l’eau, et au personnel médical de suivre en permanence leurs patients à distance, mais aussi d’évaluer et de hiérarchiser les traitements dans des situations où les victimes sont nombreuses. Tout comme Internet permet à des millions de personnes d’accéder à des services dont elles seraient autrement privées ou ignoreraient l’existence (services sociaux, allocations), des services aussi essentiels que l’énergie, la santé, et les transports ont su en tirer parti pour améliorer l’offre, la coordination, le suivi et le déroulement des opérations. La « Toile » se tisse toujours plus profondément dans nos infrastructures et continuera d’intégrer de nombreux services essentiels, de l’aviation au paiement des impôts.C’est précisément pour cela que le rôle essentiel d’Internet dans le soutien de nos activités économiques et sociales quotidiennes, comme de nos infrastructures critiques, pose de sérieuses questions.Imaginons les conséquences d’une panne totale d’Internet dans un pays de l’OCDE. Les chercheurs de l’Institut fédéral suisse de technologie de Zurich ont estimé qu’une telle panne d’une semaine en Suisse entraînerait une baisse de 1,2 % du PIB annuel. Ces estimations peuvent sembler exagérées, mais il faut se rappeler que les services financiers mondiaux que nous connaissons aujourd’hui ont évolué de pair avec Internet, au point d’en être sans doute indissociables : enlever Internet à la finance internationale serait comme priver les transports de pétrole.Parallèlement, d’autres services essentiels vont probablement devenir plus dépendants d’Internet, rendant plus critique encore le système informatique qui les soutient. Le réseau électrique est déjà « connecté » et sa dépendance à l’égard d’Internet s’accroît à mesure que progressent la libéralisation des marchés et l’internationalisation de l’offre et de la demande.La question n’est pas de savoir si nos économies devraient être aussi dépendantes d’une technologie relativement nouvelle et assez vulnérable. Les bénéfices de l’utilisation d’Internet dans les infrastructures critiques ont largement dépassé ses coûts en termes de risques, sinon les systèmes n’auraient pas évolué aussi rapidement. Pourtant, la prudence voudrait qu’on limite les points de contact entre les différentes infrastructures critiques et Internet, afin de réduire l’interdépendance du système. Mais cela est plus facile à dire qu’à faire. Vinton Cerf, de Google, prédit même qu’ « Internet deviendra tellement omniprésent que l’acte de s’y connecter ne sera plus conscient ». Ce qu’il faudrait, au contraire, c’est prendre davantage conscience du système, alors que nous le développons et greffons davantage d’infrastructures critiques sur Internet.Au sommet euphorique de l’investissement dans les télécommunications à la fin des années 90, la capacité du réseau était augmentée directement, sans analyse des besoins ni planification. Les décisions se prenaient sur la base d’affirmations non fondées concernant la croissance et la capacité d’Internet. En réalité, personne ne connaît sa taille ni dans quels secteurs il se développe, car on n’a jamais collecté de données à ce sujet. Pourtant, les décideurs doivent avoir l’assurance que les responsables des systèmes informatiques qui soutiennent les infrastructures critiques contrôlent la situation et que leurs systèmes d’information critiques sont fiables, de telle sorte que si un problème survient, ils sauront comment et où intervenir, et quel en sera le résultat.Après tout, les infrastructures critiques devraient, par définition, être fiables. Lorsqu’on actionne l’interrupteur, on fait confiance au système. On sait que des milliers de volts passent sur les lignes électriques et que la tension sera abaissée par le transformateur avant d’alimenter la maison. La confiance dépend de la résistance de l’infrastructure, et c’est cette confiance que doivent maintenant pouvoir inspirer les infrastructures d’information critiques.Nous vivons un « paradoxe de sûreté et de sécurité » : plus nous sommes assurés de notre sécurité, moins nous tolérons les risques résiduels, si minces soient-ils. Bien évidemment, il faut accepter un certain niveau de risque. Réduire les risques à un niveau proche de zéro, à supposer que cela soit possible, coûterait excessivement cher.L’un des grands problèmes est la perméabilité d’Internet. Quel est le point de rencontre entre les infrastructures d’information critiques et « l’espace sauvage » ? Le ver Blaster est un exemple de code malveillant auto-propagateur qui infecte les infrastructures d’information critiques. Qu’en serait-il en cas d’attaques ciblées contre les secteurs du transport maritime ou de l’aviation, par exemple ? Les points faibles pouvant être uniquement exploités en se connectant localement à un ordinateur central ou de bureau sont moins nombreux, mais le nombre d’attaques à distance est en forte augmentation. Les spécialistes de la sécurité d’Internet chez IBM ont estimé que 89,4 % des points faibles en 2007 pourraient être exploités à distance, contre 43,6 % en 2000. Les attaques transfrontalières augmenteront donc vraisemblablement, ce qui rendra la répression plus difficile. Il est fondamental de s’assurer que les systèmes d’information critiques sont protégés contre ces éventualités.De toute évidence, il faut trouver des réponses à un certain nombre de questions de fond. Dans ses recommandations sur la protection des infrastructures d’information critiques, l’OCDE appelle les gouvernements à coopérer pour clarifier et mettre en œuvre leurs politiques, harmoniser les cadres juridiques et partager l’information entre eux et avec le secteur privé. Elle recommande de prendre en considération les interdépendances entre les différentes infrastructures et de conduire une évaluation des risques, centrée sur les faiblesses des infrastructures d’information critiques et sur les menaces auxquelles elles sont exposées. Elle souligne également la nécessité de créer des structures nationales pour sécuriser les infrastructures et de nourrir une forte culture de la sécurité à une époque de progrès technologique rapide et de changement social. Autant d’évolutions qui exigent volonté politique et coopération, sans lesquelles la confiance du public dans les infrastructures d’information critiques pourrait être mise à rude épreuve.Internet continuera à nous apporter beaucoup. C’est une technologie qui offre de formidables perspectives, mais comme pour toutes les nouvelles technologies, il faut du temps pour se familiariser avec son maniement. Quand il s’agit de l’évolution du lien étroit unissant nos systèmes d’information et nos infrastructures critiques, nous devons prendre cet apprentissage très au sérieux.Références  Woodcock, Bill (2007), « Instrumenting the Internet to support the development of informed policy », exposé de l’orateur principal pour l’atelier NSF/OCDE sur les facteurs économiques et sociaux déterminants pour l’avenir de l’Internet, tenu à Washington D.C., le 31 janvier 2007. Systèmes de sécurité Internet d’IBM (2007), « X-Force 2007 Trend Statistics », voir : www.iss.net/xforce_report_images/2008/index.html Voir le rapport de mi2g sur l’effet d’une panne totale d’Internet : www.mi2g.com/cgi/mi2g/press/220705.php OCDE (2007), « L’élaboration de politiques de protection des infrastructures d’information critiques », DSTI/ICCP/REG(2007)20/FINAL.« Downturn busting to herald end of tradition telephony », ComputerWeekly.com, www.computerweekly.com « How the Internet killed the phone business », The Economist, 17 septembre 2005.Voir www.ocde.org/FuturInternet Pour plus d’informations, contacter Anne.Carblanc@oecd.org©L’Observateur de l’OCDE n° 268, juillet 2008


Données économiques

Courriel gratuit

Recevez les dernières nouvelles de l’OCDE :

Flux Twitter

Abonnez-vous dès maintenant

Pour recevoir notre édition papier par courrier


Edition en ligne
Editions précédentes

Ne manquez pas

  • G20: « Le temps est venu d’accroître les dépenses publiques » (Le Monde)
  • En France, les inégalités salariales se réduisent chaque année. Les salaires des femmes cadres de moins de 30 ans sont « seulement » inférieurs de 5 % à celui des hommes, selon l’Association pour l’emploi des cadres (APEC) dans une étude publiée en mars 2015.Les réseaux féminins ont-ils encore un rôle à jouer dans le monde du travail ? (Le Monde)
  • Pourquoi les fils d’immigrés ne réussissent-ils pas à l’école aussi bien que leurs sœurs? Un article du journal Le Monde.
  • L'intégration rapide des réfugiés est la clé de la croissance économique en Europe, selon le FMI et l'OCDE, présents à Davos, le forum économique mondial qui se déroule du 20 au 23 janvier. Lire l'article du Monde ici.

  • Expliquez-nous... l'OCDE par FranceInfo
  • "Nous avançons à une vitesse d'escargot" sur le climat, estime Ban Ki-moon. Le secrétaire général des Nations Unies confie au journal Le Monde son optimisme sur la conclusion d’un accord international permettant de contenir le réchauffement en cours, en dépit des obstacles.
  • La France est "l'un des pays où l'anxiété en classe est la plus fortement ressentie" explique Eric Charbonnier, analyste à l'OCDE.
  • Après le vote des mesures sociales demandées par l'Union européenne et le FMI, prévu pour le 22 juillet au soir, le gouvernement grec "va reprendre immédiatement les négociations avec les institutions, UE, BCE et FMI, qui doivent durer jusqu'au 20 août au plus tard".
  • Peut-on réduire l'immigration légale? Le député français de l’Yonne Guillaume Larrivé, membre de l'opposition, a proposé que les parlementaires fixent des plafonds d’immigration annuels. Thomas Liebig, spécialiste des migrations internationales à l’OCDE, analyse cette proposition pour le journal La Croix.
  • "Les 40% les plus pauvres, les classes moyennes, manquent de moyens pour investir dans le capital humain", explique à L'Express l'économiste Michael Förster, spécialiste des inégalités à l'OCDE.
  • La lutte contre le travail au noir franchit un nouveau seuil. Selon le bilan 2014 publié par Les Echos, le montant total des redressements imposés par les Urssaf pour « travail dissimulé » s’est élevé à 401 millions d’euros, contre 320 millions l’année précédente.
  • Le Secrétaire général de l’ONU Ban Ki-moon rallie le soutien de l’OCDE: « 2015 est une année des plus cruciales pour l’humanité ».

Articles les plus lus

Blog OECD Insights

NOTE: Les articles signés expriment l’opinion de leurs auteurs
et pas nécessairement celle de l’OCDE ou de ses pays membres.

©Tous droits réservés. OCDE 2016