Les systèmes de contrôle industriels qui assurent l’alimentation continue en électricité, en eau et en gaz, appelés technologies opérationnelles (TO), sont de plus en plus exposés aux cyberattaques. Puisque l’énergie et l’eau sont indispensables à la société, les risques potentiels pour cette infrastructure essentielle représentent également un risque pour la collectivité en général.

Dans leurs efforts continus pour obtenir une efficience et une efficacité accrues, les fournisseurs de services publics ajoutent sans cesse de nouvelles connexions Internet à leurs réseaux de TO. Cette convergence positive entraîne une hausse de performance et une rationalisation des méthodes de travail en fournissant des capacités comme la surveillance hors site et la maintenance à distance. Une grande partie de l’équipement de TO remonte cependant aux années 1980 et 1990, ce qui signifie qu’il n’a pas été conçu pour une société connectée et, par conséquent, qu’il dispose de peu de mesures de sécurité.

Un secteur hautement ciblé

Le secteur de l’énergie est une implorante cible des cyberattaques. Selon un sondage sur les défis de cybersécurité dans le secteur de l’énergie, mené en 2016 par Dimensional Research pour le compte de Tripwire, non seulement les attaques sont en hausse, mais elles le sont nettement plus dans le secteur de l’énergie qu’ailleurs.

Même lorsque le réseau de TI d’une société de services publics dispose d’un système de cybersécurité sophistiqué, cette rigueur n’est pas nécessairement appliquée aux connexions au réseau de TO. Les éléments malveillants ont alors le champ libre pour s’infiltrer.

D’ailleurs, certains développeurs de logiciels malveillants semblent cibler les TO puisqu’elles n’ont pas été conçues pour être protégées sur Internet.

Mesures recommandées

Qu’est-ce que les sociétés de services publics peuvent faire pour améliorer leur posture de sécurité des TO et des TI? Bien qu’elles dépassent les attentes en matière de conformité, elles doivent faire plus afin d’assurer une cybersécurité intégrée à l’ensemble de leurs activités. L’approche fragmentée fondée sur les activités courantes n’est plus viable, particulièrement pour les systèmes essentiels. Pour atteindre le niveau élevé de préparation nécessaire afin d’atténuer à la fois les menaces internes et externes, les organisations doivent appliquer une approche qui englobe le personnel, les processus, les technologies et la gouvernance.

Bien que les sociétés de services publics aient plusieurs priorités qui se disputent le budget de transformation et l’attention de l’organisation, il n’existe pas de plus grand risque pour elles et pour les citoyens qu’une cyberattaque de logiciel malveillant à grande échelle. La solution à ce problème est complexe et nécessite une profonde compréhension des risques allant de pair avec la convergence des TO et des TI. Sa réussite repose sur la mise en place de changements de culture et de comportement ainsi que sur l’amélioration du contrôle et de la surveillance des activités. Seule une approche qui englobe le personnel, les processus, les technologies et la gouvernance procure la meilleure défense contre les atteintes à la cybersécurité. De cette manière, les services essentiels continuent d’être offerts, et les employés comme les collectivités demeurent en sécurité.