Technologies opérationnelles en infrastructure Technologies opérationnelles en infrastructure Technologies opérationnelles en infrastructure

Quand on réfléchit à la cybersécurité, la première chose qui nous vient à l’esprit n’est pas un moniteur pour bébés. Qu’en est-il d’un ascenseur ou d’un système de sécurité incendie? La plupart des gens comprennent le besoin de cybersécurité lorsqu’il s’agit de réseaux et de terminaux, mais ils ne pensent pas toujours aux infrastructures ou aux systèmes industriels.

Les organisations sont touchées par des feux de forêt, des inondations et des phénomènes météorologiques violents de plus en plus fréquemment. Les plans pluriannuels de cybersécurité se transforment en plans « plurimensuels » alors que nous essayons de suivre le rythme des changements qui ne cesse de s’accélérer. Les incidents importants poussent les organisations à réfléchir à la situation dans son ensemble en examinant la façon dont leurs systèmes d’information, leurs systèmes industriels et leurs employés travaillent ensemble.

Différence entre les technologies de l’information et les technologies d’exploitation
La technologie opérationnelle (TO) est le matériel et le logiciel qui surveillent et contrôlent les processus et les dispositifs physiques industriels. Les technologies de l’information (TI), en revanche, sont l’utilisation d’ordinateurs pour créer, traiter, stocker, récupérer et échanger de l’information numérique à l’appui des activités de l’entreprise.

Les ingénieurs ont conçu et mis au point la TO pour améliorer, entre autres, le fonctionnement des usines de fabrication, des gazoducs, des usines de traitement de l’eau et des trains. Mais la combinaison des TI et des TO est ce qui produit une meilleure infrastructure, des appareils plus intelligents et des mégadonnées.

L’incidence de la sécurité des systèmes de contrôle industriel
Un membre de mon équipe à Calgary, Owen Key, premier directeur de la Cybersécurité, dresse ce que je pense être un tableau assez clair : « Quand on considère que les criminels peuvent pirater votre véhicule et désactiver les freins, dit-il, les innovations comme les véhicules autonomes semblent soudainement être une proposition inquiétante. »

Owen se spécialise dans l’intégration des TO et des TI, ce qui donne une perspective globale de l’entreprise. Il souligne que, traditionnellement, les TI n’ont pas nécessairement toujours travaillé de concert avec les TO. En fait, selon Owen, il peut y avoir un « large fossé culturel ».

Les systèmes des TO sont souvent un héritage de modules complémentaires. Leurs ordinateurs n’avaient autrefois aucune interface réseau, ni câblée ni sans-fil. Ils étaient essentiellement un environnement fermé, et les données étaient déplacées par des appareils comme des clés USB. Les membres de l’équipe des TI, quant à eux, travaillent dans un environnement où les mises à niveau sont requises et déployées régulièrement. Il s’agissait de deux mondes différents.

De nos jours, il devient de plus en plus important de combiner ces systèmes. Les chefs de l’exploitation veulent vérifier et modifier leurs systèmes à distance, tout comme les cybercriminels. Qu’il s’agisse d’un actif de TI ou de TO, les pirates n’ont pas de préférence. Mais Owen et moi croyons que les chefs de l’exploitation et les directeurs de la technologie peuvent se mobiliser sur la question de la sécurité. Après tout, ils ont les mêmes adversaires. Les cybercriminels ne se soucient pas des perturbations qu’ils causent. Ils adorent ça, et ne veulent que votre argent.

Les cybercriminels sont organisés, bien financés, bien défendus et sérieux. Et, bien sûr, là où la vie humaine est en danger, il est d’autant plus important que les cadres dirigeants prennent des décisions prudentes et éclairées. Owen s’efforce sans relâche d’éduquer les chefs d’entreprise en leur donnant des informations qu’ils comprennent afin qu’ils puissent prendre des décisions éclairées.

De plus, les énormes quantités de données générées par les grandes infrastructures étaient auparavant utilisées par les administrateurs de bases de données. Ces données sont maintenant combinées à d’autres fonctions, comme les systèmes de facturation et de comptabilité. Pour vous donner une idée des implications de ce changement, un cabinet du secteur de l’énergie aux États-Unis a récemment été victime d’une cyberattaque. Ses données ont été volées en un peu moins de deux heures. Soudainement, une part importante des infrastructures énergétiques était à risque, de même que l’ensemble de la chaîne d’approvisionnement nord-américaine, car les cybercriminels exploitaient l’interdépendance entre les TI et les TO.

Qu’est-ce que les leaders doivent prendre en considération?
À mon avis, ils ont trois priorités :

1. Élaborer des processus et éliminer les cloisonnements. L’un des défis les plus difficiles est qu’il est souvent impossible de déconnecter les systèmes d’exploitation pour les tester. Les installations, après tout, doivent continuer à fonctionner. Toutefois, ensemble, les chefs de l’exploitation et les directeurs de la technologie peuvent étudier le réseau de contrôle. En plus des mises à niveau d’entretien et de sécurité prévues, la reproduction des environnements de production à des fins de test améliorera le déploiement de la mise à niveau.
   
2. Reconnaître l’inconnu et bien se préparer. Il est temps d’admettre que vos adversaires en savent déjà plus que vous. La première étape d’une bonne défense consiste à comprendre l’objectif commun : la réduction des risques. Les pirates peuvent non seulement accéder physiquement à un appareil, mais ils peuvent aussi s’infiltrer par hameçonnage, rançongiciel, détournement sans fil et espionnage. Les sociétés qui dépendent de processus automatisés pour s’acquitter de leurs obligations contractuelles doivent faire preuve d’une attention particulière.
   
3. Se tenir au courant de l’élaboration continue et de l’établissement de normes. L’Association canadienne de normalisation commence à examiner les normes d’exploitation, et il y a de plus en plus de règlements à l’égard des appareils de point de terminaison. Les leaders devraient comparer leurs processus à ces normes. Voici les ressources à considérer : le Centre for Internet Security (CIS), l’Organisation internationale de normalisation (ISO) et le National Institute of Standards and Technology (NIST).
   

Alors que certains professionnels disent qu’il faut littéralement tout protéger, Owen est d’avis que ce n’est peut-être pas nécessaire. « Vous pouvez déjà beaucoup faire avec votre infrastructure actuelle, dit-il. Toutefois, pour établir un plan de cyberdéfense, il y a trois questions à poser à tous les niveaux ».

1. Quels actifs sont à risque?
2. Le programme est-il prêt à relever les défis d’aujourd’hui et de demain?
3. Les membres du personnel des TI et des TO ont-ils reçu la formation nécessaire afin d’atteindre l’objectif commun de réduire les risques?

Pour commencer à répondre à ces questions, envisagez de procéder à une évaluation de la maturité informatique, qui permet de relever les lacunes en matière de conformité et de gestion des risques des actifs, et d’évaluer l’ampleur des vulnérabilités informatiques, que ce soit sur une à chaque emplacement ou à l’échelle de l’organisation. L’évaluation vous permettra de déterminer les priorités et de dresser un plan d’action pour vous assurer que vous comparez vos pratiques de cybersécurité aux normes de l’industrie. Elle va au-delà de l’évaluation technique et offre une vue d’ensemble du personnel, des processus et de la technologie, ce qui a pour effet de transformer le risque lié à l’information en avantage.

Alors que l’environnement entre les TO et les TI devient encore plus flou et que de nouveaux risques apparaissent, ce que nous faisons maintenant a de profondes répercussions sur l’avenir. Quelles que soient l’ampleur et la rapidité du développement technologique, la sécurité et la sûreté doivent être intégrées.