Pourquoi le chef de la sécurité devient un rôle essentiel au maintien des activités des technologies de l’information et opérationnelles

Explorez les sujets clés de ce blogue

  1. Pourquoi le modèle basé sur une séparation des tâches entre le chef de la direction informatique et le chef de la sécurité de l’information ne correspond plus aux risques d’aujourd’hui
  2. La convergence des TI et des TO transforme la gestion des risques d’entreprise
  3. La réglementation force la convergence, mais les organisations ne sont pas prêtes
  4. Le risque réel se trouve dans la gouvernance, pas dans la technologie
  5. La montée du chef de la sécurité à titre de leader des fonctions d’affaires
  6. Intégrer la sécurité aux activités opérationnelles
  7. La sécurité : une discipline d’affaires

Pour plusieurs organisations, la sécurité reste une mesure de contrôle appliquée après coup. Ce modèle présente des lacunes.

Dans l’environnement géopolitique d’aujourd’hui, les organisations mènent leurs activités dans un environnement défini par la volatilité, des écosystèmes interconnectés ainsi que des cybermenaces persistantes. Les stratégies de sécurité doivent faire davantage que simplement réduire les risques; elles doivent favoriser une rapidité d’exécution, protéger les activités, maintenir la confiance ainsi que renforcer la résilience.

Sur cette toile de fond, la cybersécurité s’inscrit maintenant fermement dans les discussions des conseils d’administration, ce qui permet de renforcer les règlements tels que la directive SRI 2 de l’Union européenne, qui introduit une responsabilisation à l’échelon du conseil d’administration, une production obligatoire de rapports d’incident de même que des obligations strictes concernant la gestion des risques pour les environnements de technologies de l’information (TI) et de technologies opérationnelles (TO).

Si la cybersécurité est maintenant un pilier stratégique des entreprises, la question n’est plus de savoir SI elle est pertinente, mais qui la possède réellement.

Pourquoi le modèle basé sur une séparation des tâches entre le chef de la direction informatique et le chef de la sécurité de l’information ne correspond plus aux risques d’aujourd’hui

La cybersécurité a traditionnellement fait partie de l’organisation des TI, sous l’autorité du chef de la direction informatique, plutôt que sous celle du chef de la sécurité de l’information. Ce modèle reflétait un monde où la plupart des cyberrisques concernaient principalement les systèmes informatiques des entreprises.

Ce monde n’existe plus.

Les entreprises d’aujourd’hui mènent leurs activités au sein de chaînes de valeur numériques connectées où les TI, l’Internet des objets, l’infonuagique, les fournisseurs de même que les environnements d’infrastructures industrielles et essentielles s’entremêlent profondément. Les processus essentiels, de la surveillance des systèmes aux chaînes de production, sont maintenant exposés au monde numérique. L’Internet des objets industriel n’est plus expérimental, il est opérationnel. Il contrôle souvent les systèmes de sécurité essentiels comme les valves, les capteurs de température et les contrôles automatisés. Ces environnements de TO ne sont plus cloisonnés, ce qui multiplie la surface d’attaque de l’entreprise.

Parallèlement, les réglementations s’actualisent. Le règlement sur la cyberrésilience de l’Union européenne étend la responsabilisation au-delà de l’environnement informatique des entreprises pour couvrir la sécurité des produits, des appareils et de notre mode de vie, ce qui force les organisations à repousser les limites traditionnelles.

L’élément à retenir : les cyberrisques dépassent les environnements informatiques, et leur gestion doit en faire autant.

La convergence des TI et des TO transforme la gestion des risques d’entreprise

La convergence des TI et des TO est souvent décrite comme étant une unification. En pratique, elle unit des priorités fondamentalement différentes :

  • Les TI automatisent la gestion de l’information, en privilégiant la confidentialité et l’intégrité des données.
  • Les TO automatisent les processus physiques, en privilégiant la disponibilité et la sécurité ainsi que les résultats concrets.

Cette convergence bouleverse la nature des risques. Dans les environnements de TO, la cybersécurité n’est pas qu’une question de disponibilité. Elle vise également à assurer une sécurité fonctionnelle et à prévenir tout préjudice physique aux opérateurs, à l’environnement et aux communautés avoisinantes. Ces domaines utilisent également une terminologie et des protocoles complètement différents.

Dans la plupart des organisations, la responsabilité des mesures de cybersécurité des TO incombe aux équipes des opérations, sous la direction de responsables de la production, de l’efficacité et de la qualité, plutôt que des cyberrisques.

Il en résulte un écart structurel dans la répartition des responsabilités. Dans les environnements des secteurs manufacturier et de l’énergie, les cyberincidents se traduisent directement en arrêts de production, ce qui peut souvent coûter des millions de dollars par jour, en plus d’exposer l’organisation à des risques de continuité des affaires, de sécurité et d’atteinte à la réputation. La cyberrésilience est donc un indicateur clé de performance central de la santé des opérations et des finances, permettant d’identifier les limites des modèles de gouvernance actuels.

La réglementation force la convergence, mais les organisations ne sont pas prêtes

  • Union européenne
    Cadre de gestion : Directive SRI 2
    Retombées stratégiques : Imputabilité du conseil d’administration, signalement dans un délai de 24 heures, portée convergente des TI et des TO
  • États-Unis
    Cadre de gestion : CIRCIA et CMMC 2.0 (pour la défense des chaînes d’approvisionnement)
    Retombées stratégiques : Signalement dans un délai de 72 heures pour les secteurs essentiels, mandats à vérification systématique
  • Royaume-Uni
    Cadre de gestion : Cyber Security & Resilience Bill (CSRB)
    Retombées stratégiques : Expansion de la couverture aux fournisseurs de services en mode délégué, référentiel d’évaluation de la cybersécurité du NCSC (CAF)
  • Canada
    Cadre de gestion : Projet de loi C-26 (ACPCS)
    Retombées stratégiques : Protection des « services vitaux », signalement obligatoire au Centre de la sécurité des télécommunications Canada (CST), pénalité élevée pour non-conformité
  • Australie
    Cadre de gestion : SOCI Act (mise à jour en 2025)
    Retombées stratégiques : Signalement dans un délai de 12 heures pour les incidents graves, plans d’intervention en cas d’incident et exercices de cybersécurité pour les systèmes d’importance nationale, déclaration des paiements de rançongiciel

Ces cadres de gestion partagent un message commun : la cybersécurité est maintenant la responsabilité de toute l’entreprise, non plus une responsabilité divisionnelle.

Pour les secteurs d’activité comme l’énergie et les services publics, ces exigences renforcent le besoin de protéger les systèmes sous-jacents des services essentiels ainsi que des infrastructures nationales.

Pourtant, la plupart des organisations demeurent structurellement fragmentées, avec une gestion séparée des risques visant les TI et les TO. Cela crée des angles morts, particulièrement dans les environnements industriels qui peuvent présenter une exécution exemplaire, mais une sécurité insuffisante.

Le risque réel se trouve dans la gouvernance, pas dans la technologie

Voici pourquoi les tentatives de faire le pont entre les environnements des TI et des TO échouent souvent :

  • Étendre le rôle du chef de la sécurité de l’information à l’environnement des TO, et ce, sans expertise industrielle peut introduire des risques opérationnels.

Dans les environnements de TO, même les pratiques de sécurité les mieux intentionnées, telles que le balayage du réseau ou la mise en quarantaine automatisée, peuvent perturber ou endommager les systèmes essentiels. Il s’agit là de résultats prévisibles d’un décalage de l’alignement sur les modèles opérationnels.

Les réglementations accélèrent le besoin de résoudre ces problèmes. Au sein des entreprises manufacturières, les référentiels comme la directive SRI 2 intègrent profondément les obligations en matière de cybersécurité aux environnements opérationnels, ce qui fait de la sécurité des TO un impératif réglementé, plutôt qu’un investissement discrétionnaire.

Les conséquences de ce schisme sont déjà visibles. Les organisations peuvent être relativement bien protégées sur le plan informatique et rester exposées en ce qui concerne leur environnement des TO, qui sont de plus en plus visés. Ces attaques sont conçues pour perturber les activités, ce qui mène à des conditions dangereuses pour les ingénieurs et les opérateurs, à des dommages environnementaux, à une compromission de la qualité des produits ainsi qu’à des répercussions sur les services essentiels, particulièrement dans le secteur de l’énergie et des services publics.

L’état de maturité ne se mesure plus qu’aux mesures de prévention. Il se reflète dans la capacité à contenir les perturbations, à répondre de manière transparente, à rebondir rapidement de même qu’à renforcer l’architecture après l’incident. Les approches telles que le Secure Swiss Utility Network (SSUN) illustrent comment le cloisonnement des communications essentielles peut réduire le degré d’exposition systémique pour les activités essentielles.

La montée du chef de la sécurité à titre de leader des fonctions d’affaires

Les organisations de premier plan repensent le rôle de la sécurité.

Le modèle émergent élève le chef de la sécurité à une fonction de gestion des risques et de résilience d’entreprise, située au-dessus des cloisonnements traditionnels des TI et des opérations./p>

Ce rôle :

  • assure la sécurité physique, des TI et des TO ainsi que la gestion de crise;
  • agit avec une visibilité claire du conseil d’administration;
  • aligne les décisions de sécurité sur la continuité des affaires, la sécurité et la réputation.

Les tentatives d’adapter les modèles existants réussissent rarement. Étendre le rôle du chef de la sécurité de l’information aux TO sans expertise industrielle introduit des risques opérationnels. Parallèlement, transférer cette responsabilité aux usines expose les écarts de capacités.

Les organisations de premier plan adoptent une approche différente. La sécurité est traitée comme une responsabilité à l’échelle de l’entreprise, soutenue par une expertise en sécurité de l’information et industrielle, et sa responsabilité est ancrée à la gestion des risques, plutôt qu’à la technologie. Ainsi, cela permet de créer un seul point d’imputabilité pour les processus de prévention, de mise en quarantaine, de réponse et de recouvrement, en plus de donner l’autorité nécessaire pour équilibrer la continuité de même que la sécurité des activités ainsi que la gestion des risques.

Avec ce modèle, la cybersécurité devient partie intégrante de la gestion de l’entreprise, et non pas seulement de la protection des systèmes.

Intégrer la sécurité aux activités opérationnelles

Élever la sécurité au-delà des TI et des opérations transforme la manière dont les organisations prennent leurs décisions, investissent et mènent leurs activités.

Les réglementations pointent vers cette direction. Au-delà de la directive SRI 2, le règlement sur la cyberrésilience de l’Union européenne introduit une imputabilité à l’échelle des produits, ce qui nécessite que les appareils connectés ainsi que les systèmes industriels intègrent la sécurité des la conception et la maintiennent tout au long de leur cycle de vie. Pour les entreprises industrielles, cela signifie que leur responsabilité s’étend autant pour les services que pour les produits qu’elles apportent sur le marché.

Parallèlement, de nombreuses cyberattaques débutent encore en raison d’une action commise par un utilisateur. La sécurité dépend de l’architecture, de la gouvernance et des comportements quotidiens à l’échelle de l’organisation.

  • Reconnaître les tentatives d’hameçonnage et d’usurpation d’identité
  • Vérifier les demandes inattendues ou urgentes Utiliser des processus rigoureux d’authentification et un accès à distance sécurisé
  • Protéger les appareils et limiter la divulgation excessive d’information
  • Signaler rapidement une activité suspecte

La sécurité est l’affaire de tous, mais l’imputabilité doit demeurer claire et visible.

La sécurité : une discipline d’affaires

La cybersécurité se trouve désormais au carrefour de la gestion des risques, de la résilience opérationnelle et de la performance d’entreprise.

Les organisations qui intègrent cette approche sont mieux positionnées pour faire face aux pressions réglementaires, protéger leurs activités essentielles et maintenir la confiance dans l’ensemble de leurs écosystèmes. Celles qui ne le font pas continueront de gérer les cyberrisques comme une fonction fragmentée, ce qui entraînera des conséquences bien au-delà des environnements informatiques pour toucher la sécurité et la réputation de l’entreprise ainsi que la continuité des affaires.

Adopter une approche à l’échelle de l’entreprise permet aux organisations de réaliser leurs objectifs de conformité là où elles exercent leurs activités, en plus de faire de la sécurité un avantage concurrentiel.

Chez CGI, c’est le modèle que nous appliquons au sein de notre propre organisation et dans l’ensemble des secteurs d’activité que nous soutenons, ce qui nous permet de travailler avec nos clients afin d’intégrer la sécurité en tant que discipline concrète à l’échelle de l’entreprise alignée sur de réels résultats d’affaires.

Haut de page