Réduire les menaces pour les infrastructures grâce à la cybersécurité et à la technologie opérationnelle

Les sociétés énergétiques et de services publics sont des cibles fréquentes pour les cybercriminels à la recherche de gloire ou de notoriété. Une attaque sur l’infrastructure énergétique de votre organisation peut porter atteinte à ses données et à sa réputation. Un accès fiable à l’électricité est crucial pour les Canadiens, particulièrement ceux qui utilisent des appareils médicaux électroniques, et surtout durant les mois d’hiver sombres et froids.

C’est pourquoi personne n’aime penser aux conséquences dramatiques de la panne d’une infrastructure énergétique ou de services publics. Beaucoup d’organisations jugent qu’elles sont bien protégées en cas de cyberattaque après avoir mis en place des pratiques et outils de cybersécurité de base. Toutefois, elles sont bien peu nombreuses à allouer plus que le strict minimum en fait de ressources, de capacité, d’expertise et de fonds pour intervenir efficacement. Voyons les mesures possibles pour prévenir les cyberincidents ou en atténuer les effets et pour vous doter d’un programme de cybersécurité qui protège bien votre infrastructure énergétique.

Comment peut-on prévenir les cyberincidents?

MNP Solutions numériques collabore avec de nombreuses organisations du secteur énergétique au Canada. La question que l’on pose le plus souvent à notre équipe d’intervention est : « Comment aurions-nous pu prévenir une telle situation? »

Voici quelques mesures pour réduire la probabilité d’un cyberincident et en atténuer les effets :

Prévenez les problèmes avec des tiers

Les tiers sont souvent le maillon le plus faible (et le plus souvent négligé) dans votre chaîne de cybersécurité et la porte d’entrée la plus facile d’accès pour les cybercriminels. Vos fournisseurs indépendants de services infonuagiques, de logiciels ou de services de traitement de paiements ne prennent peut-être pas les mesures de sécurité adéquates pour empêcher des cybercriminels d’accéder à vos données et à vos renseignements.

De plus, très souvent, les fournisseurs tiers blâment les autres, rejettent toute responsabilité et causent des délais coûteux dans les interventions en cas d’attaque. Pour réduire les problèmes avec des tiers, votre organisation doit appliquer des exigences strictes de sécurité et évaluer régulièrement les risques externes, notamment sur les points suivants :

• La conformité aux mesures de sécurité;
• L’utilisation des appareils de sous-traitants;
• La sécurité physique des installations des tiers;
• L’utilisation de ressources à l’étranger, qui ne sont pas assujetties aux lois canadiennes.

Assurez-vous que vos modalités contractuelles précisent les obligations de chacune des parties et les délais prévus pour une intervention en cas d’incident. Cela prévient des retards et des complications faciles à éviter.

Prenez connaissance des projets de loi à l’étude

Le gouvernement a proposé des mesures législatives, entre autres dans le projet de loi C-26, en vue de réduire les répercussions de cyberincidents sur les infrastructures essentielles. Ces propositions exigent notamment la mise en place de plans de signalement d’incident et de reprise après sinistre par les organisations afin de réduire les risques pour les infrastructures énergétiques du pays.

Consultez le texte du projet de loi C-26 pour connaître les mesures que vous pouvez prendre en vue d’élaborer un plan efficace. De plus, l’exigence de signaler rapidement les incidents peut aider votre organisation à mieux comprendre les cybermenaces auxquelles elle est exposée. La création et le maintien d’un plan de reprise après sinistre consolideront la résilience de votre organisation et vous aideront à protéger des infrastructures essentielles.

Il est important de comprendre que tout cela n’est qu’un début. Au Canada et ailleurs dans le monde, de plus en plus de lois sont adoptées pour assurer le respect des normes de cybersécurité. Prenez une longueur d’avance dès maintenant : vous vous éviterez ainsi de plus gros investissements plus tard.

Établissez une structure de gouvernance des données

De nombreuses organisations n’ont pas établi de règles efficaces sur la méthode et le lieu de stockage de leurs données. Même si elles croient que leurs données sont en sécurité, des malfaiteurs peuvent y accéder facilement par divers canaux, comme des lecteurs partagés. De plus, le simple fait d’envoyer des fichiers plutôt que des liens peut exposer les sociétés énergétiques ou de services publics au vol de données. Même les membres du personnel les plus au fait des risques associés à la manipulation de données peuvent, sans le vouloir, rendre vulnérables des informations sensibles.

La mise en place d’une structure de gouvernance des données vous aide à établir des politiques et procédures relatives à la gestion de vos données et à définir les responsabilités de chacun à cet égard. Un tel cadre favorise le classement approprié et la sûreté de vos données sensibles, et garantit que seul le personnel autorisé y a accès, réduisant ainsi le risque qu’elles soient compromises. De plus, la prestation de programmes de formation sur la cybersécurité peut informer votre personnel sur le sujet et réduire le risque d’attaque fructueuse.

Donnez de l’élan à votre programme de cybersécurité

Les conseils ci-dessus vous aideront à prévenir les cyberattaques et à en atténuer les conséquences, en plus de protéger les infrastructures énergétiques ou de services publics. Il est important pour une organisation d’établir une stratégie de cybersécurité, puis de se doter non seulement de la capacité de la mettre en œuvre, mais également de l’expertise nécessaire pour identifier les cybermenaces et y répondre. Il est crucial de poursuivre vos efforts pour donner de l’élan à votre programme de cybersécurité afin de bien protéger votre organisation contre les cyberincidents.

Voici trois conseils pour mettre sur pied un programme exhaustif et proactif :

Élaborez des stratégies et des plans

Créez ou peaufinez une stratégie pour réduire les cybermenaces contre vos infrastructures énergétiques et de services publics. Divisez vos stratégies et vos plans en petites mesures plus faciles à gérer. Lorsque vous constituez un dossier de décision, évitez d’aller trop loin dans les détails techniques et concentrez-vous sur les résultats généraux.

Il est essentiel de constamment avancer les dossiers afin de ne pas perdre votre erre d’aller. Tout en travaillant sur un mandat, planifiez déjà le budget et les ressources du suivant. De cette façon, tous les membres de votre organisation garderont toujours en tête votre programme de cybersécurité.

Augmentez votre capacité

Votre organisation n’a peut-être pas toutes les ressources nécessaires pour faire face aux cybermenaces et enjeux actuels. Elle ne dispose peut-être pas non plus des outils et contrôles de sécurité appropriés ni de l’expertise nécessaire pour constater des lacunes de sécurité et les corriger.

Une équipe externe d’intervention peut vous aider à réagir en amont aux cyberincidents et aux autres problèmes en vous fournissant les services suivants :

• Formation sur la cybersécurité — Une formation sur la cybersécurité présente à votre personnel les bonnes pratiques en la matière. Elle réduit le risque d’erreur humaine et les vulnérabilités, en plus de consolider les mesures de sécurité de votre organisation.
• Évaluation de la sécurité — Elle contribue à diminuer le risque de cyberincidents en relevant les mauvaises configurations, les vulnérabilités et les points faibles de vos systèmes. Ces conseils et recommandations vous aideront à renforcer les moyens de défense de votre organisation.
• Gouvernance et protection des données — Ces services peuvent vous aider à établir des politiques et procédures claires pour le stockage et la gestion de vos données, ainsi que l’accès à celles-ci. De cette façon, vous réduirez le risque de brèche de sécurité informatique, d’accès non autorisé à vos données ou d’usage impropre de celles-ci, en plus d’en protéger l’intégrité.
• Mise en œuvre d’une solution de détection et de réponse — La mise en œuvre de contrôles de sécurité au moyen d’une solution de détection et de réponse, ou de gestion des informations et des événements de sécurité relève de plusieurs crans la protection de votre organisation contre les cybermenaces.
• Gestion de la sécurité et des incidents — De tels services atténuent le risque de cyberincidents au sein de votre organisation par une surveillance continue, des solutions d’orchestration, d’automatisation et de réponse aux incidents (SOAR), des exercices de table et des services d’intervention en cas d’incident.

Augmentez votre capacité

Explorez les autres services possibles en vue d’augmenter votre capacité. Par exemple, des services virtuels de responsable de la sécurité de l’information aideront votre organisation à établir une stratégie de sécurité sans embaucher une ressource à temps plein. Une telle solution comprend généralement des services de sécurité gérés, d’orientation stratégique, de gestion des risques et de soutien à la conformité, ainsi que des bonnes pratiques en cybersécurité, le tout offert par une plateforme automatisée.

Et maintenant?

Il est essentiel de prendre les bonnes mesures pour prévenir les cyberattaques contre vos infrastructures énergétiques et de services publics. Les premières étapes consistent à prévenir les problèmes avec les tiers, à suivre les lignes directrices des projets de loi à l’étude et à élaborer une structure de gouvernance des données. Cependant, pour bien protéger votre infrastructure et donner de l’élan à votre programme de cybersécurité, il est essentiel d’élaborer une stratégie et des plans, puis d’augmenter votre capacité avec le soutien de tiers.

Pour en savoir plus, communiquez avec notre équipe Cybersécurité. Elle vous aidera à dresser l’état des lieux des points de vue de la sécurité et de la confidentialité, à répertorier les principales menaces et à définir les mesures à prendre pour bien protéger votre organisation.