Le sociétés minières sont-elles prêtes à parer les cyberattaques? Le sociétés minières sont-elles prêtes à parer les cyberattaques? Le sociétés minières sont-elles prêtes à parer les cyberattaques?

En 2020, selon un rapport de KPMG intitulé La maturité numérique du secteur canadien de l’énergie et des ressources naturelles, 94 % des sociétés canadiennes du secteur de l’énergie et des mines investissaient dans la technologie numérique afin de créer un avantage concurrentiel, affirmant que la transformation était essentielle à leur réussite à long terme. Avec ce passage au numérique, les entreprises s’inquiétaient aussi des risques liés à la cybersécurité, en particulier en raison des menaces qui pourraient saboter ou endommager leur infrastructure.

Le secteur minier traverse une période critique; les cybermenaces évoluent en même temps que les opérations et les systèmes administratifs se convertissent au numérique à l’aide des nouvelles technologies de l’information (TI) et des technologies opérationnelles (TO). Les sociétés minières dépendent de plus en plus de ces dernières à mesure qu’elles se transforment en « mines numériques ».

L’édition 2021 du sondage a permis de dégager les principales tendances en matière de cybersécurité dans le secteur minier et de comparer la maturité de chaque entreprise à cet égard à celle de ses pairs. Nous avons reçu des réponses de 23 des plus grandes sociétés minières ayant leur siège social en Amérique du Nord, qui exploitent collectivement plus de 100 sites miniers et représentent plus de 185 milliards de dollars en capitalisation boursière.

Les sociétés minières ont identifié les principales menaces à la cybersécurité, notamment :

• Rançongiciels
• Activistes/cyberactivistes (hacktivistes)
• Employés mécontents

Ces menaces sont courantes dans d’autres secteurs; toutefois, depuis le début de la pandémie de COVID-19, les rançongiciels se sont hissés au premier rang de la liste des menaces

Un plan de cyberdéfense est un programme que les sociétés mettent en œuvre pour réduire le plus possible l’incidence d’une violation de ses systèmes, compte tenu des risques et menaces liés à cybersécurité auxquels elles sont exposées. La définition de la structure de cybergouvernance, y compris des politiques, des rôles et des responsabilités, ainsi que la surveillance de la direction, sont à la base d’un plan de cyberdéfense.

Les résultats du sondage indiquent que la plupart des sociétés minières ont mis en place un programme de cybersécurité et qu’il est opérationnel depuis plus d’un an. La majorité des sociétés n’ont pas clairement défini le rôle et les responsabilités de leur équipe de cybersécurité ni identifié des tiers qui pourraient accueillir certaines fonctions clés.

De plus, la majorité des sociétés ont une petite équipe interne responsable des opérations essentielles, notamment de l’architecture, de la réponse aux incidents et de l’application de correctifs aux systèmes. Nous avons également observé que 39 % des sociétés minières ne testent pas leur processus de réponse en cas d’incident de cybersécurité. Il est essentiel de tester régulièrement ce processus afin de s’assurer que l’organisation dispose de directives claires en matière de communication et de rapports, et qu’elle comprend parfaitement les rôles et les responsabilités de toutes les parties, internes et externes, pour réagir rapidement à une cyberattaque.

Il est essentiel de comprendre et de surveiller les actifs informatiques de l’organisation pour les protéger de cyberattaques potentielles, et d’appliquer les correctifs appropriés. Seulement 42 % des répondants au sondage disposent d’un inventaire complet, précis et à jour des ressources informatiques. De plus, 54 % des sociétés minières interrogées n’appliquent pas de correctifs aux systèmes de façon régulière. L’application de correctifs aux systèmes informatiques est une mesure clé pour s’assurer que les points vulnérables sont protégés. Un inventaire à jour permet à l’organisation d’identifier les problèmes potentiels, par exemple les appareils ou les logiciels qui atteignent la fin de leur vie utile ou qui ne sont plus pris en charge, afin de planifier une mise à niveau ou un remplacement.

L’inventaire est le point de départ de la gestion du cycle d’application des correctifs, car il permet d’identifier les périphériques et les logiciels clés qui doivent être mis à niveau en premier lieu. L’inventaire est également une source d’information essentielle pour la surveillance continue des cyberattaques.

Auparavant, la technologie opérationnelle (TO) était un environnement fermé, qui n’était pas relié à des réseaux externes ou à des technologies numériques. Au cours des dernières années, cette technologie a évolué. Les nouvelles solutions visent à accroître l’automatisation, à intégrer des appareils intelligents, à rendre les données plus efficientes et faciles d’accès, et à interconnecter les réseaux pour plus de commodité (voir l’article IT vs OT cyber security: The Operational Technology Guide à otorio.com).

Dans le cadre de cette interconnexion, et pour rendre les composantes de TO plus accessibles tout en étant en mesure de collecter et d’analyser des données à leur sujet, les réseaux de TI et de TO deviennent également interconnectés. Bien que l’interconnexion ouvre la porte à de nouvelles occasions, elle l’ouvre également à un vaste éventail de cybermenaces visant un réseau qui était jadis hermétiquement fermé.

Sur les 23 sociétés, 63 % ne font pas de rapport régulier sur la cybersécurité de leur TO, et seulement 18 % ont établi un inventaire complet des actifs essentiels ou de tous les actifs. En fait, 36 % d’entre eux n’ont aucun inventaire de leur technologie opérationnelle. Sans inventaire complet et précis, les équipes de cybersécurité auront du mal à gérer les cybermenaces connexes.

Seulement 10 % des répondants ont mis en place des solutions spécialisées de surveillance de la TO, et 35 % n’ont aucun programme à cet égard. Or, la surveillance du réseau et des dispositifs de TO est essentielle, en particulier avec l’interconnexion croissante des réseaux de TI et de TO. Les cyberattaques de ces réseaux et les attaques directes visant les appareils de TO sont de plus en plus courantes. Comme les réseaux et les appareils de TO ne disposent généralement pas des mêmes mécanismes de protection qu’un réseau informatique, la surveillance proactive est encore plus importante.

Du point de vue de l’application de correctifs, nous avons noté que 46 % des répondants le font de façon ponctuelle (aucun horaire ou programme), ou ne le font jamais. Étant donné que de nombreux périphériques de TO fonctionnent sur des versions antérieures de systèmes d’exploitation ou des versions qui ne sont plus prises en charge, lorsque les fournisseurs publient des correctifs pour résoudre des problèmes ou des vulnérabilités de sécurité, les organisations devraient avoir mis en place un processus pour déployer ces correctifs, sinon ces vulnérabilités pourraient être exploitées. Avec le passage à l’exploration minière numérique et l’interconnexion croissante entre les réseaux et les appareils de TI et de TO, les pirates pourraient utiliser le réseau de TI pour attaquer directement ou indirectement des appareils de TO, ce qui entraînerait leur arrêt ou causerait des problèmes importants de sécurité ou d’environnement sur un site minier.

Les sociétés minières sont de plus en plus appelées à gérer la cybersécurité dans toutes les régions où elles exercent leurs activités et sur leurs sites miniers. Elles doivent également gérer et sécuriser l’éventail complet de leurs technologies – les TI et les TO. L’élaboration d’un programme de cybersécurité, l’embauche de personnel compétent et la mobilisation de tiers pour surveiller et soutenir leur cybersécurité sont des éléments clés.

Voici nos recommandations :

1. Définir et mettre en œuvre les rôles et les responsabilités en matière de cybersécurité, tant à l’interne pour les TI et les TO, que pour les tiers externes qui appuient l’organisation. Il faut s’assurer que les responsabilités sont clairement comprises et qu’elles sont testées au moyen d’exercices réguliers de simulation de cyberattaques, de rançongiciels et de courriels d’hameçonnage.
2. Intégrer les TO dans le programme de cybersécurité, y compris l’identification des actifs informatiques essentiels et la production de rapports réguliers sur les menaces, les vulnérabilités et les mesures prises à cet égard. Définir clairement les rôles et les responsabilités des équipes de cybersécurité et de TO dans le programme.
3. Établir une vue d’ensemble de l’environnement informatique en mettant à jour un inventaire de tous les actifs de TI et de TO – matériel et logiciels. Ainsi, l’organisation pourra définir la priorité de chacune des principales ressources informatiques et de TO en ce qui concerne la surveillance, l’identification des vulnérabilités en matière de cybersécurité et la mise en application de correctifs.
4. Appliquer les correctifs requis pour les actifs de TI et de TO en fonction de leur importance, et ce, sur une base régulière. Surveiller les réseaux, les appareils et les actifs de TI et de TO, surtout si les tiers ne fournissent pas régulièrement de correctifs ou de mises à jour concernant les vulnérabilités en matière de cybersécurité.

Cette période est critique. Les cybermenaces continuent d’évoluer à mesure que les sociétés minières numérisent leurs opérations et leurs systèmes administratifs à l’aide des nouvelles technologies informatiques et opérationnelles. Il est plus que jamais important de comprendre comment votre société se compare à des organisations similaires.

Saisissez les risques liés à la cybersécurité de vos technologies opérationnelles. Communiquez avec nous pour savoir comment répondre au sondage et obtenir un rapport sur mesure comparant votre fonction à celle du groupe sectoriel de référence.