Pour être franc, protéger votre entreprise de tous les cyberrisques est impossible. Cependant, il y a certains facteurs que vous pouvez maîtriser, mesurer et gérer afin de mettre toutes les chances de votre côté. Même s’il est impossible de régler chaque petit détail, vous pouvez en faire beaucoup pour instaurer des mesures de cybersécurité. Vous êtes maître de votre vulnérabilité.

La responsabilité commence au sommet de l’échelle. Si vous n’avez pas l’appui de la haute direction – à commencer par les administrateurs – ou s’ils ne saisissent pas l’importance critique de ces systèmes de contrôles industriels ni à quel point l’entreprise en dépend, en particulier dans le secteur du pétrole et du gaz naturel, il vous sera difficile d’obtenir les fonds, les ressources et l’engagement des leaders nécessaires à la mise en œuvre d’un programme.

C’est une question de volonté. Les entreprises ont les ressources financières pour le faire, et ce ne sont pas les technologies et les pratiques exemplaires qui manquent pour faciliter le processus d’évaluation, de surveillance et de contrôle. Mais encore faut-il l’engagement et la volonté d’agir des leaders. Il leur appartient de libérer les ressources nécessaires pour surveiller et gérer ces risques et de veiller au bon déroulement du processus.

Premièrement, vous devez être un expert de votre propre entreprise pour en assurer la cybersécurité. Vous devez tout connaître de ses plans et processus d’affaires ainsi que du déroulement de ses opérations. Voilà le fondement de toute gestion des risques. Pour recenser les principaux risques, de cybersécurité ou autres, il importe de bien connaître son environnement immédiat. Quelles sont les fonctions opérationnelles de base de l’entreprise? De quelles technologies dépend le bon déroulement de ses activités? Quels sont les actifs de l’entreprise? Sont-ils récents? Dans le cas des actifs informatiques, quel type de connectivité utilisent-ils? Autrement dit, sont-ils connectés à Internet directement ou par l’intermédiaire d’un réseau interne, lui-même branché à Internet? Il faut avoir réponse à toutes ces questions de base avant de s’attaquer à la gestion des cyberrisques.

L’élaboration d’un plan de cybersécurité demande une démarche classique de gestion des risques, mais dans une optique virtuelle. Une fois que vous aurez dressé la liste de vos actifs principaux (le personnel, la machinerie ou encore les produits) et de leur rôle dans l’entreprise, vous pourrez déterminer de quelles technologies dépend leur protection ou leur bon fonctionnement. Sont-ils à risque de défaillance ou à la merci d’une cyberattaque? Quels sont les contrôles en place pour protéger nos actifs? Sont-ils au goût du jour, au vu des tendances en matière de cybersécurité à l’échelle mondiale?

Pour vous donner un exemple personnel, voici la première question que je pose à mes clients du secteur de l’énergie : « Comment pouvons-nous protéger au mieux vos principaux actifs pour faire en sorte que le pétrole soit extrait du sol, acheminé jusqu’au pipeline et mis sur le marché? » Tout simplement. C’est l’objectif même de leur entreprise, du point de vue de l’amont. Quel est le vôtre, et quels aspects de votre entreprise dépendent des technologies pour fonctionner rondement?

La gestion des cyberrisques est effectivement intimidante, mais il est important de contrer les différentes menaces persistantes avancées (MPA) qui rôdent de nos jours. Les pirates informatiques ne reculeront devant rien. Cependant, il faut comprendre que certaines variables sont en notre pouvoir, et d’autres pas. Quand vient le temps de concevoir et de mettre en place un plan de gestion des cyberrisques, le critère qui prime est celui du caractère raisonnable. Personne n’a les moyens ou le temps de concevoir une protection à l’épreuve de toutes les menaces imaginables.

La technologie est aujourd’hui omniprésente dans tous les aspects d’une organisation. Pour certaines, la préoccupation première est la protection des données personnelles, des secrets commerciaux et de la propriété intellectuelle. Elles doivent s’assurer de recueillir, de stocker et de gérer ces données de façon sécuritaire, tout en tenant compte de la législation locale et internationale. Au Canada, on peut mentionner la nouvelle Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). De leur côté, les Européens adopteront en mai des lois encore plus strictes sous le régime du Règlement général sur la protection des données (RGPD), ce qui aura des répercussions sur les entreprises partout dans le monde.

Quand on voit la tendance actuelle vers l’automatisation, qui permet à l’équipement industriel d’être contrôlé à distance ou même par d’autres machines, on comprend que l’enjeu dépasse la seule protection des données individuelles. Un logiciel malveillant pourrait exploiter une faille pour prendre le contrôle d’une machine. Un rançongiciel pourrait être utilisé, par exemple, pour bloquer le fonctionnement d’une machine ou transmettre des informations erronées au système de contrôle d’une usine dans le but de nuire à son exploitation. Ces menaces peuvent provenir de l’extérieur, mais il existe également des menaces internes, comme des employés qui tenteraient d’intercepter des renseignements et de causer délibérément du tort à l’entreprise.

Avec la panoplie de nouvelles menaces émergentes, le principal défi consiste à rester à jour au sujet des menaces – ne pas se laisser devancer par les pirates. Heureusement, la technologie d’automatisation est de plus en plus efficace pour surveiller les menaces et y répondre rapidement. Jusqu’à maintenant, un grand nombre de systèmes de sécurité nécessitaient qu’une personne regarde le bon écran au bon moment pour repérer les problèmes. L’ensemble du processus était très manuel.

Aujourd’hui, une fois que votre environnement « normal » est établi, il est possible de le transposer en données intelligibles pour les machines. En gros, les entreprises peuvent modéliser les flux de données afin d’obtenir une base de référence, ou un portrait des « conditions normales ». Cette base de référence peut ensuite être canalisée en seul un flux de donnée surveillé de près par un logiciel d’analyse qui nous alertera presque en temps réel en cas d’anomalie.

À l’heure actuelle, l’approche de la surveillance tend à être individualisée, système par système. Disons que le Système A présente un problème, puis le Système B a également un problème. Vous comprenez éventuellement que les deux systèmes ont le même problème. Cependant, il a fallu beaucoup de temps pour comparer manuellement ces deux systèmes et en arriver à ce constat. Notre objectif est de diminuer la dépendance à la surveillance individualisée, et passer plutôt à une vision unifiée de tout ce qui se passe dans notre environnement. Avec l’évolution de l’intelligence artificielle, un robot pourra peut-être surveiller tout ça pour nous et résoudre les problèmes en quelques secondes, plutôt qu’en quelques heures.

Les gens achètent beaucoup de choses inutiles. Dans certains cas, des entreprises achètent la mauvaise technologie pour atténuer des risques qui n’existent même pas dans leur contexte particulier. Dans d’autres cas, elles achètent les technologies adéquates, mais ne les implémentent pas correctement, ou n’arrivent pas à mettre en place les processus de contrôle et de surveillance. Vous devez connaître vos actifs et savoir ce que vous devez protéger avant d’établir des mesures de sécurité. C’est la base de la gestion des risques. Et si vous n’avez aucun responsable de la cybersécurité à l’interne, voilà un premier investissement qui en vaut vraiment la peine. Les pirates sont de plus en plus habiles, et nous devons nous retrousser les manches pour garder une longueur d’avance.