close
Share with your friends
Fast sprinter

Aider le secteur ERN à renforcer la cybersécurité

Aider le secteur ERN à renforcer la cybersécurité

​La menace de cyberattaques plane sur tous les secteurs canadiens, mais les enjeux sont sans doute plus importants dans le secteur de l'énergie et des ressources naturelles (« ERN »). Dans ce secteur, l'incidence des violations de données ou des cyberintrusions touche non seulement les résultats, mais aussi la capacité à fournir des services publics essentiels.

Pensons par exemple aux répercussions, sur le plan de la sécurité, que pourrait avoir une « panne » qui toucherait une entreprise du secteur ERN pendant une seule journée. Pour une entreprise de vente au détail, un tel scénario nuirait à la rentabilité, mais pour une société du secteur de l'énergie, les pertes pourraient rapidement se compter en millions de dollars. De plus, l'incapacité pour des sociétés de services publics ou du secteur minier de prendre des mesures de sauvegarde régulières peut soulever de sérieuses préoccupations en matière de sécurité publique et d'environnement.

La cybersécurité a toujours été au centre des préoccupations des sociétés du secteur ERN, mais la nécessité de prendre des mesures de protection contre les menaces internes et externes s'accroît de manière exponentielle à mesure que le matériel et les contrôles deviennent plus numériques, automatisés et « intelligents ». Comme de plus en plus d'organisations déplacent leurs activités vers le nuage pour une meilleure gestion des données et pour des capacités d'analyse accrues, la demande à l'égard d'une gestion des risques liés aux tiers est plus pressante que jamais.

De plus, alors que les sociétés tentent de rationaliser leurs activités, elles s'exposent involontairement à de plus grands risques. Les activités essentielles qui étaient auparavant régies par un ensemble vaste et complexe de contrôles industriels sont maintenant soumises à des contrôles de plus en plus standardisés. Bien que cette façon de faire puisse faciliter la gestion des zones de faiblesse sur le plan de la cybersécurité, elle génère également de nouvelles vulnérabilités, car les cybercriminels peuvent facilement utiliser des logiciels malveillants et autres outils d'attaque dans plusieurs environnements.

Pour renforcer la cybersécurité, il faut bien comprendre le contexte des menaces. De nos jours, les menaces proviennent de sources diverses : des criminels qui prennent en otage des systèmes essentiels en échange d'une « rançon », des concurrents du secteur qui tentent de voler des renseignements exclusifs, ou encore des États-nations qui cherchent à causer des dommages à l'infrastructure essentielle. Il existe aussi les menaces internes qui se présentent sous la forme d'employés commettant des actes qui nuisent à la société ou d'associations tierces qui ouvrent une « porte dérobée » donnant accès à vos données et à vos systèmes.

En gardant en tête les sources des cyberrisques, le prochain défi pour le secteur est d'acquérir l'expertise et les connaissances nécessaires pour protéger ses systèmes de contrôles industriels. Cela peut s'avérer difficile, étant donné que plusieurs systèmes du secteur ERN ont été conçus pour faire de l'accessibilité et de la disponibilité des priorités absolues. Néanmoins, bien que les systèmes aient à l'origine été conçus pour que tout le monde puisse y accéder, on doit maintenant changer ces priorités et faire en sorte que seules les bonnes personnes puissent y accéder.

Ces aspects doivent être pris en considération par les membres du conseil, y compris les membres du comité d'audit. Les comités d'audit jouent un rôle central pour ce qui est de comprendre les vulnérabilités de l'organisation aux cyberattaques, les répercussions qui pourraient se faire sentir si les systèmes étaient corrompus, et quelle est la meilleure façon d'investir dans les contrôles en matière de cybersécurité. Après tout, les sociétés du secteur ERN subissent des pressions constantes sur leurs coûts, de sorte que l'ajout de dépenses de cybersécurité n'est pas toujours facile à vendre. Les comités d'audit doivent s'assurer d'orienter les investissements en cybersécurité vers les activités et les actifs les plus cruciaux.

Qui plus est, les membres du conseil feraient bien de se rappeler qu'il y a un écart important entre la simple conformité aux exigences en matière de cybersécurité et le fait d'être véritablement en sécurité compte tenu de la nature des menaces qui planent de nos jours. Cela étant dit, bien que de nombreuses organisations cochent toutes les cases requises pour se conformer aux exigences des normes Critical Infrastructure Protection de la North American Electric Reliability Corporation, cela ne veut pas nécessairement dire qu'elles sont totalement en sécurité. Encore une fois, il est crucial d'évaluer les actifs numériques essentiels, les vulnérabilités et les autres cibles potentielles pour chacune des activités.

Le secteur ERN est un univers diversifié qui se compose de producteurs d'énergie, d'activités minières et d'innovateurs dans le domaine de l'énergie verte. Les stratégies en matière de cybersécurité varient entre elles en fonction de divers facteurs (actifs, emplacement, exposition au risque), mais les joueurs canadiens du secteur ERN tendent désormais à reconnaître que le secteur est aussi vulnérable aux cyberrisques que tout autre secteur, et tout aussi responsable (sinon plus) de préserver la sécurité de ses activités et de ses clients.

Quelles questions les comités d'audit devraient-ils se poser?

  • Nos efforts en matière de cybersécurité sont-ils axés sur nos domaines les plus à risque?
  • Comprenons-nous bien nos vulnérabilités en matière de cybersécurité, tant en ce qui concerne nos activités que nos données?
  • Quel a été notre processus d'atténuation des cyberrisques jusqu'à maintenant?
  • Avons-nous obtenu de l'aide extérieure pour valider notre évaluation des incidences potentielles d'un cyberincident dans tous nos domaines clés?
  • Quelle est l'efficacité de nos contrôles dans ces domaines prioritaires? Comment évaluons-nous ces contrôles?
  • Quelle est notre stratégie d'intervention et de rétablissement en cas de cyberincident?

Les sociétés du secteur de l'énergie et des ressources naturelles évoluent, mais en adoptant les technologies numériques et en développant leurs capacités en temps réel, elles s'exposent également à de plus grandes incidences opérationnelles en cas de cyberattaques et de cyberincidents non ciblés.

Jeff Thomas, associé,
Services-conseils, KPMG au Canada

Communiquez avec nous

 

Vous voulez faire affaire avec KPMG?

 

loading image Appel d’offres