Décrypter le code de la cybersécurité grâce à une approche fondée sur le risque : Les meilleures pratiques d’Emerson pour les fournisseurs d’électricité et d’eau

À bien des égards, la transformation numérique est une arme à double tranchant pour les secteurs de l’énergie et de l’eau.

D’une part, d’incroyables avancées technologiques (notamment la convergence des technologies de l’information (IT) et des technologies opérationnelles (OT), l’amélioration de la connectivité, la simplification de l’accès à des ensembles de données plus importants, etc.) ont révolutionné la capacité des services publics et des collectivités à optimiser leurs opérations, à gérer en toute sécurité les ressources énergétiques décentralisées et à continuer à produire de l’électricité fiable et à faible coût, ainsi qu’à produire de l’eau propre.  

D’autre part, à mesure que les fournisseurs d’électricité et d’eau transforment leurs opérations pour tirer parti de ces avantages, ils deviennent de plus en plus vulnérables aux attaques et aux menaces de cybersécurité, et cela se vérifie tout particulièrement s’ils n’ont pas la bonne approche ou le bon partenaire pour les aider à se protéger.

Aujourd’hui, les cyberattaques contre les infrastructures critiques se multiplient. L’Agence américaine pour la protection de l’environnement (Environmental Protection Agency) a publié un mémorandum soulignant la nécessité d’auditer les pratiques de sécurité des systèmes locaux de distribution d’eau et Dragos, leader en matière de cybersécurité industrielle, a récemment fait état d’une augmentation continue du nombre d’incidents dans le secteur de l’énergie. 

L’augmentation du nombre d’attaques s’accompagne d’une augmentation des coûts. En fait, les attaques et les menaces annuelles de cybersécurité devraient coûter 8 billions de dollars au niveau mondial en 2023, contre 3 billions de dollars en 2015, et devraient atteindre 10,5 billions de dollars d’ici à 2025.

Avec l’augmentation des ressources énergétiques décentralisées (DER) telles que les parcs éoliens, les installations solaires et les micro-réseaux fournissant de l’énergie renouvelable au réseau qui alimente les infrastructures critiques, le potentiel de piratage informatique visant à perturber à distance la distribution d’électricité est encore plus grand. Le Département américain de l’Énergie a déclaré dans un rapport d’octobre que les DER « posaient de nouveaux défis au réseau électrique en matière de cybersécurité » et qu’ils devraient être conçus avec la sécurité comme « élément central ».

Ainsi, alors que les pirates informatiques sont aujourd’hui plus intelligents, utilisent des techniques plus sophistiquées et, dans de nombreux cas, évoluent et innovent plus rapidement que les entreprises qu’ils ciblent, la question qui se pose est la suivante : que peuvent faire les entreprises pour se protéger contre ces pirates ?

Une approche de la cybersécurité fondée sur le risque

Quel que soit le secteur d’activité, l’adoption d’une approche fondée sur le risque peut contribuer à l’identification des vulnérabilités potentielles et à la protection de votre entreprise, aujourd’hui et à l’avenir. Une approche fondée sur le risque ne consiste pas à protéger contre toutes les menaces, mais à identifier les vulnérabilités potentielles et à prendre des décisions stratégiques en fonction de la probabilité et de l’impact de chaque vulnérabilité.

Dans le cadre du renforcement de votre cybersécurité, tenez compte de ces bonnes pratiques pour vous assurer que votre approche est globale et s’adapte constamment :

Évaluer le risque.

L’évaluation des risques permet à votre entreprise de disposer des informations essentielles pour atténuer les risques en amont. En procédant à une évaluation, vous déterminez l’état de préparation des éléments clés de la cybersécurité, notamment la sécurité du réseau, la gestion des données, la protection du périmètre etc., et vous disposez d’une meilleure compréhension du niveau de sécurité global de votre système.

Sécuriser l’accès au système.

Les mesures de sécurité peuvent être lourdes et il peut être tentant de limiter la sécurité, ce sur quoi comptent les pirates. Maintenez la sécurité de l’accès aux systèmes en veillant à ce que les employés soient conscients des politiques de sécurité, en évaluant constamment les risques et en contribuant à l’instauration d’une culture de la sécurité au sein de l’entreprise.

Établir des politiques solides.

Même les mesures les plus sophistiquées et les plus sûres peuvent être rendues inutiles par une erreur humaine. C’est pourquoi il est essentiel de former les employés et de leur donner les moyens d’agir au moyen de politiques administratives solides qui réduisent les risques liés à l’ingénierie sociale, à l’hameçonnage et aux attaques similaires.

Mettre le système de contrôle à niveau.

Les arrêts sont coûteux et doivent être évités autant que possible. En appliquant les correctifs et les mises à jour du système en temps voulu, il est possible de minimiser les arrêts tout en éliminant le risque que des serveurs et des postes de travail ne soient pas protégés.  

Protéger au-delà du périmètre.

Les pirates supposent souvent qu’une protection périmétrique est en place et utilisent donc des protocoles courants et des ports de service connus pour compromettre les composants du système de contrôle. Pour lutter contre les attaques ciblées, contrôlez le périmètre du système et protégez tous les points d’entrée potentiels en déployant des pare-feu personnalisables et adaptables et en recherchant en permanence les failles de sécurité.

Conserver l’accès à distance entre de bonnes mains.

Presque tous les systèmes de contrôle sont déployés avec un certain type de connectivité à distance, mais ce n’est pas parce que l’accès à distance est la norme que cette pratique est sûre. Sur les systèmes où un accès à distance est indispensable, veillez à ce qu’il soit contrôlé et mis en œuvre de manière sécurisée. Vous pouvez même envisager plusieurs niveaux d’authentification pour une plus grande sécurité.

Connaître son système de contrôle.

Une fois l’approche de la cybersécurité fondée sur les risques élaborée et déployée, veillez à surveiller constamment les risques tout au long du processus et à identifier les attaques et menaces potentielles dès que possible. La meilleure approche de la cybersécurité évolue et s’adapte en permanence.

Pour les producteurs d’électricité ou les services publics municipaux qui cherchent aujourd’hui à innover et à suivre le rythme de la concurrence, la transformation numérique n’est plus un simple « atout », elle est indispensable. Même si les risques existent, ils ne doivent pas empêcher les entreprises de bénéficier d’avantages tels que l’amélioration de la collaboration et de l’innovation au sein de leur personnel, des améliorations opérationnelles majeures et de bien plus encore.

De plus, dans le contexte en constante évolution de la cybersécurité, les meilleures pratiques évoquées ci-dessus ne constituent qu’un point de départ. Pour véritablement optimiser leurs opérations et l’approche de protection basée sur le risque, les entreprises du secteur de l’électricité et de l’eau automatisent et intègrent maintenant dans leurs activités et de manière transparente des solutions de cybersécurité de pointe, comme le système de contrôle-commande Ovation™ d’Emerson qui est à la fois désigné et certifié comme technologie antiterroriste qualifiée par le Département de la Sécurité intérieure des États-Unis.

Quel que soit le stade auquel se trouve une entreprise dans son parcours de cybersécurité, il est important de se rappeler qu’il existe toujours des possibilités d’amélioration, d’évolution et de meilleure préparation à la prochaine attaque ou menace potentielle qui se cache au coin du bois.

Ce n’est pas parce qu’une attaque ne s’est pas encore produite qu’elle ne se produira pas. Prenez donc le temps aujourd’hui de développer la bonne approche et de travailler avec le partenaire adéquat. Vous vous en réjouirez demain.