Cybersécurité des infrastructures critiques : énergie, santé, services publics

Imaginez un instant : plus d’électricité dans les hôpitaux, plus d’eau courante, des trains à l’arrêt, des appels d’urgence impossibles. Ce scénario, digne d’un film catastrophe, n’est pourtant pas de la fiction. Il représente ce que pourrait provoquer une cyberattaque bien ciblée sur ce qu’on appelle les « infrastructures critiques », ces systèmes vitaux qui font désormais tourner nos sociétés.

Qu’est-ce qu’une infrastructure critique ?

Derrière ce terme un peu abstrait se cachent les piliers invisibles du quotidien :

• l’énergie (centrales, réseaux électriques, stations-service) ;
• la santé (hôpitaux, laboratoires, données médicales) ;
• les services publics (eau, transports, télécommunications).

Si l’un de ces systèmes est paralysé, c’est toute une chaîne qui s’interrompt : les pompes à essence ne fonctionnent plus, les trains restent bloqués, les hôpitaux ne peuvent plus opérer.

Autrement dit, la cybersécurité de ces infrastructures, c’est la sécurité de notre vie quotidienne.

Pourquoi ces secteurs sont-ils devenus vulnérables ?

Autrefois, les usines, les hôpitaux ou les centrales électriques fonctionnaient sur des réseaux fermés.
Aujourd’hui, tout est connecté : capteurs, ordinateurs, logiciels, maintenance à distance, échanges de données avec des prestataires…

Cette interconnexion – le fameux « tout numérique » – rend les systèmes plus efficaces, mais aussi plus exposés. Un pirate n’a plus besoin d’être physiquement sur place : une faille informatique suffit pour couper l’électricité, bloquer des équipements médicaux ou contaminer les données d’un service public.

En octobre dernier, 80 % des lycées publics des Hauts-de-France ont été paralysés par une attaque au ransomware, perturbant l’accès aux réseaux et aux services numériques pendant plusieurs jours. Mais les ransomware ne sont pas la seule menace : en 2025, les cyberattaques par déni de service (aussi appelées « DDoS ») ont également atteint une puissance inédite, capable de submerger les systèmes de protection et de paralyser des services entiers comme l’énergie, les hôpitaux ou les banques en ligne.

Ce que font l’Union européenne et la France pour renforcer la sécurité

Face à cette réalité, l’UE a réagi avec deux grandes directives :

• NIS2 (Network and Information Security), qui oblige les entreprises et les administrations essentielles à mieux se protéger (gestion des risques, audits, signalement d’incidents).
• CER (Critical Entities Resilience), qui renforce la préparation face aux crises majeures, qu’elles soient physiques ou cyber.

La France a pris du retard dans la transposition du NIS2 : la Commission européenne a émis un avis motivé en mai 2025, et la conformité totale des 15 000 entités concernées (contre 500 auparavant) est attendue d’ici 2026-2027.

Les entreprises et administrations concernées sont désormais tenues de se conformer aux nouvelles obligations, sous le contrôle de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et du ministère de l’Intérieur.

L’ensemble du dispositif NIS2-CER élargit la protection à de nouveaux domaines comme l’eau, les réseaux de chaleur, l’assainissement, et impose aux opérateurs publics ou privés de préparer des plans de résilience et de signaler tout incident grave.

Les états et les entreprises investissent désormais dans des solutions de détection en temps réel, basées sur l’intelligence artificielle, et des architectures Zero Trust pour identifier les comportements anormaux avant qu’une attaque ne soit déclenchée.

Zoom sur trois secteurs clés

⚡ L’énergie : une cible stratégique

Le secteur énergétique est un maillon vital. Une attaque sur un réseau électrique ou une raffinerie peut paralyser des régions entières. Les pirates savent que couper le courant, c’est frapper en plein cœur de l’économie et du quotidien.
Les opérateurs mettent donc en place des systèmes cloisonnés (IT/OT), des détections d’anomalies en temps réel et des plans d’urgence pour relancer les installations.

🏥 La santé : protéger les vies et les données

Les hôpitaux sont devenus des cibles fréquentes : les pirates exploitent leur vulnérabilité et leur dépendance à l’informatique. Un hôpital bloqué, c’est une chaîne d’urgence coupée.

Les autorités imposent désormais des sauvegardes automatiques, une segmentation des réseaux et une formation continue du personnel à la détection des menaces.

🚰 Les services publics : l’eau, les transports, les télécommunications

Ces services sont indispensables à la vie en société. Imaginez une attaque sur une station de traitement d’eau ou sur le réseau ferroviaire. Les conséquences peuvent être immédiates et graves.

Les opérateurs publics doivent aujourd’hui tester leurs systèmes, créer des plans B manuels et se coordonner avec les agences nationales de cybersécurité.

Et si la prochaine crise énergétique ou crise hospitalière venait d’une ligne de code ?
C’est tout l’enjeu des années à venir : apprendre à défendre le monde connecté que nous avons construit.