Par Dominique Rodier

L’augmentation récente du nombre de cyberattaques ciblant des infrastructures essentielles a fait de la protection des technologies opérationnelles (TO) une priorité. Des services d’urgence et de gestion du trafic aux usines de traitement de l’eau et aux centrales électriques, les systèmes de TO gèrent des processus dont l’interruption peut avoir de graves conséquences, et même coûter des vies.

Ces répercussions en font des cibles attrayantes pour les cybercriminels, qui recherchent aujourd’hui davantage la perturbation et le profit que la simple acquisition de données. Les professionnels des TO sont conscients de ce danger : le récent rapport de Fortinet sur l’état des technologies opérationnelles démontre que près du trois quarts (74 %) des organisations de TO ont signalé une intrusion de maliciel dans la dernière année.

Pour protéger les systèmes de TO, les responsables de la sécurité de l’information (RSI) doivent réfléchir stratégiquement à la sécurité, à la conformité réglementaire et aux risques. La prise en charge de la conformité et des risques fortifie la sécurité globale des organisations de TO et les aide à faire face à certains défis, comme un paysage aux menaces grandissantes, une réglementation changeante et une pénurie persistante de main-d’œuvre formée en cybersécurité.

Auparavant, les RSI ne se préoccupaient pratiquement que de la sécurité, alors que les dirigeants principaux de l’information géraient la conformité, les risques et l’incidence sur les objectifs d’affaires. Cependant, le virage numérique ayant accéléré la convergence des services de TI et de TO, les cadres doivent maintenant évaluer ensemble ces différents aspects.

Conformité : suivre la cadence

En 2023, les RSI doivent relever un défi de taille : se tenir au fait de la réglementation changeante, qui évolue rapidement en réaction aux développements technologiques et à l’instabilité de l’économie mondiale. La conformité nécessite un alignement sur les politiques et les règles mises en place par l’organisation ou par une entité gouvernementale. Et même si la conformité n’est pas nécessairement gage de sécurité, plusieurs règlements gouvernementaux tentent de contrer la menace grandissante qu’est le cybercrime.

Au sein de l’Union européenne, de nouveaux règlements en matière de cybersécurité, comme le Règlement général sur la protection des données (RGPD), contribuent à la protection des données et de la vie privée des résidents. Aux États-Unis, la loi de 2022 sur le signalement des cyberincidents pour les infrastructures essentielles (la CIRCIA) ordonne à l’Agence de cybersécurité et de sécurité des infrastructures (CISA) d’obliger certaines entités à signaler les cyberincidents et les paiements à des rançongiciels.

Chez nous, au Canada, la Loi sur la protection des cybersystèmes essentiels – qui fait partie du projet de loi C-26, actuellement à l’examen en comité – imposera de nouvelles responsabilités de conformité et de signalement aux opérateurs détenant, contrôlant ou utilisant des cybersystèmes essentiels dans les secteurs réglementés par le gouvernement fédéral tels que les télécommunications, l’énergie, la finance et le transport.

Comprendre les risques liés aux TO

L’évaluation des risques est souvent envisagée dans une perspective d’affaires par les cadres, qui doivent balancer les facteurs dictant une certaine ligne de conduite et l’incidence potentielle d’opter pour une autre approche. Dans le contexte des TO, cette incidence potentielle ne se limite pas à ce qu’on voit habituellement dans le milieu des TI, comme une baisse de réputation ou de revenu : on parle aussi de conséquences environnementales et physiques, et même de danger de mort.

La gestion des vulnérabilités est un bon exemple de ce type d’évaluation : si une vulnérabilité est détectée, on compare la probabilité du risque avec le coût et les efforts nécessaires à la correction de cette vulnérabilité. Si la probabilité est mince, mais que les coûts sont élevés, l’entreprise peut choisir d’accepter le risque.

Lorsqu’on tient compte des risques liés aux TO et aux TI, les RSI se trouvent à jouer un rôle essentiel, surtout lorsqu’une approche et des solutions technologiques adaptées pourraient minimiser les risques, faciliter le virage numérique, et permettre aux équipes de TI et de sécurité de se concentrer sur les projets importants de l’entreprise.

S’assurer qu’une formation en cybersécurité adéquate est fournie au personnel : voilà un excellent point de départ pour la conformité, qui peut réduire de façon considérable les risques de cyberattaques. En donnant à tout le personnel les moyens d’adopter des pratiques exemplaires d’hygiène informatique et de reconnaître les activités suspectes, on réduit grandement les risques et on facilite la tâche des équipes de TI et de sécurité. Et les formations, souvent peu dispendieuses ou gratuites, ne manquent pas, notamment grâce à l’Institut de formation Fortinet.

Pour réduire les risques, il est aussi possible d’appliquer un modèle de sécurité à vérification systématique. Ce modèle tient pour acquis que chaque appareil et chaque utilisateur sont des intrus jusqu’à preuve du contraire, et restreint leur accès pour n’inclure que les données, les ressources et les applications qui leur sont nécessaires. Cette approche est particulièrement utile vu la convergence progressive des TI et des TO et l’évolution des modèles de télétravail.

Investir dans les technologies de falsification permet aux organisations de se défendre contre le risque croissant d’attaques par rançongiciels en attirant les cybercriminels vers des leurres ou des pièges qui semblent être de vrais fichiers. Cette approche protège les systèmes essentiels et permet aux équipes de sécurité d’étudier le comportement des cybercriminels. En outre, l’ajout de services de sécurité et de veille sur les menaces aux solutions de sécurité existantes peut aider à contrer les menaces en temps réel grâce aux fonctions de détection et de défense propulsées par l’intelligence artificielle.

Pour sécuriser les environnements de TO, il faut savoir coordonner et équilibrer la conformité, la sécurité et les risques. Il est important que les responsables de la sécurité de l’information et ceux des TO fassent partie des discussions concernant les technologies et les solutions de sécurité qui facilitent le virage numérique, tout en maintenant l’équilibre entre risques et conformité.

Dominique Rodier est directeur régional des ventes de technologies opérationnelles chez Fortinet Canada.