Les médias publient régulièrement des articles exposant les effets des cyberattaques ciblant le secteur industriel. Crucial à la cohésion de la société et à l’économie, le secteur des transports est l’un des secteurs où la menace de cyberattaques est omniprésente.
Uniquement pour le Québec, plusieurs événements récemment rapportés ont révélé la vulnérabilité de ce secteur provoquant des arrêts de production où les équipements industriels et/ou les réseaux informatiques ciblés ont été paralysés. Ne cessant de croître, le nombre d’attaques « officiellement » dévoilées ne représente qu’une portion de la situation réelle, dont il est encore impossible de bien en saisir l’ampleur.
Un fait subsiste et est incontestable : les enjeux financiers et réputationnels sont indéniables. Aucune entreprise ne peut se permettre une interruption de service où ses usagers, ses clients, ses fournisseurs ou ses employés deviendraient les otages de cette attaque. Face à cette situation et aux facteurs accrus de cyberrisques, les entreprises se doivent d’être vigilantes et se préparer convenablement afin d’assurer la résilience de leur organisation.
La résilience désigne la capacité d’une personne, d’un écosystème ou d’une économie à retrouver un mode de fonctionnement optimal après un traumatisme, une perturbation ou une crise.
Comme pour les virus qui menacent la santé des êtres humains, il est pratiquement impossible d’anticiper le moment ou le type d’attaque qui pourrait mettre en péril la survie d’une entreprise. Pour affronter cette situation, il est possible — et même fortement recommandé — d’établir dès aujourd’hui le bilan de santé de l’organisation.
Comme nous l’avons vu dans précédemment, l’évaluation des cyberrisques et les mesures de mitigation de leur risque doivent s’appliquer à l’ensemble de l’écosystème de l’entreprise. Il s’agit d’une analyse complète, à 360 degrés englobant les processus et la structure de l’entreprise ainsi que ceux de ses fournisseurs, et ce, pour toute sa chaîne d’approvisionnement.
Dans cette démarche, il s’agira donc de tenir compte des systèmes au sens large (technologies de l’information, systèmes opérationnels, équipements, machinerie, etc.), sans oublier le personnel qui les opère, car la sécurité numérique est encore trop souvent mise à risque par les erreurs humaines.
Le premier jalon de ce parcours vers une plus grande cyberrésilience consiste à cartographier les systèmes opérationnels. Dresser la liste des surfaces d’attaque pour déterminer quels sont les systèmes les plus vulnérables et quelle est l’ampleur des risques encourus par l’organisation permettra de définir le niveau de protection adéquat et les mesures à prendre.
Cela implique de faire de la cybersécurité une priorité, au cœur des opérations quotidiennes, et ce au plus haut niveau de l’organisation. Cela facilitera la prise de décision et la mobilisation des ressources nécessaires. Il pourrait en résulter des changements au niveau de la structure organisationnelle, afin de s’assurer que la responsabilité de la cybersécurité est confiée aux personnes les plus compétentes et à même de prendre les décisions qui s’imposent.
L’étape suivante visera à implanter un programme de cybersécurité opérationnelle, qui passera notamment par une révision de l’architecture informatique de l’entreprise. Les accès vers les systèmes technologiques d’une entreprise sont multiples, et il convient de considérer tous les points de contacte. Les systèmes critiques bien sûr, mais également ceux des sous-traitants qui sont interconnectés et par lesquels transitent un nombre croissant de données. C’est pourquoi la collaboration avec les différents acteurs de la chaîne d’approvisionnement est essentielle au processus de sécurisation des systèmes.
Le succès d’un programme de cybersécurité repose tout autant sur la collaboration transversale au sein même de l’entreprise. Intégrer les équipes métier spécialisées à ce processus permettra de limiter les impacts sur les systèmes, car leur connaissance des technologies est précieuse.
La gestion du changement est sous-jacente à cette démarche. Il s’agira de bien préparer le terrain auprès des équipes concernées, et plus largement de sensibiliser l’ensemble des employés à la nature des cyberrisques et à leur contribution au quotidien de façon à ce que les mentalités évoluent en faveur d’une plus grande vigilance. Des efforts de communication, d’éducation et de formation en la matière seront requis. Les filières de responsabilité pourraient également être revues pour que la structure organisationnelle de l’entreprise reflète l’importance accordée à la cybersécurité.
Enfin, au-delà d’un programme de cybersécurité opérationnelle bien conçu et intégré aux opérations, il sera indispensable de revoir et de valider périodiquement les mesures en place afin que les systèmes soient sécuritaires et adaptés à l’évolution des technologies.
Ce dernier jalon consistera à effectuer un audit régulier du programme de cybersécurité et pourra s’accompagner d’activités complémentaires, notamment de veille et de formation continue pour les équipes concernées. Ainsi outillée, l’entreprise sera mieux à même de suivre l’évolution des nouvelles normes et réglementations qu’elle devra intégrer progressivement, tant dans la sécurisation de ses systèmes actuels que dans la conception et le développement de futurs systèmes.
La menace est latente, mais les affaires continuent et les entreprises ont intérêt à prendre les devants pour maintenir leur avantage concurrentiel.
Faire l’impasse sur la cybersécurité pourrait signifier de mettre à risque des relations d’affaires essentielles à la pérennité d’une organisation. Des systèmes performants, mais défaillants sur le plan de la cybersécurité pourraient amener l’entreprise à se voir exclue d’appels d’offres. Par contre, à l’inverse, une entreprise qui ferait la démonstration d’un solide programme de cybersécurité sera en position d’influence et pourrait inciter ses propres clients à adopter des normes plus élevées de sécurité, au profit de l’ensemble de son écosystème.
Un système opérationnel intégré à un programme de cybersécurité pourrait même représenter un avantage compétitif à court terme. En effet, une grande majorité d’entreprises amorcent seulement la mise en œuvre de tels programmes. Ouvrir la marche devient donc une position enviable.
Si le fait d’être préparé à une attaque n’empêche pas l’attaque de se produire, cela permet néanmoins à l’entreprise ciblée de réagir rapidement et adéquatement. Ce faisant, elle démontre son sérieux, sa compétence et son professionnalisme — autant de gages de confiance pour ses clients et ses fournisseurs.
Les technologies évoluent rapidement et de nouveaux champs d’expertise apparaissent tant en informatique qu’en ingénierie. Par conséquent, les organisations devront s’associer les bonnes compétences pour maintenir la cybersécurité de ses systèmes dans le temps.
Les normes dans le domaine évoluent également. Effectuer une veille des règlements et certifications en cours d’adoption sur les marchés où l’entreprise est active lui permettra de s’assurer que la conception de ses systèmes est réalisée conformément aux futurs contrôles de cybersécurité requis. Il y a fort à parier que des réglementations découlant de la norme ISO 21434 seront adoptées progressivement en Amérique du Nord. En s’inspirant de cette norme, l’entreprise peut mettre en place des processus robustes, garants des plus hauts niveaux de sécurité.
De même, les activités de veille en matière législative pourraient amener les organisations à faire une différence, ou à tout le moins à encourager l’adoption de pratiques sécuritaires. La tenue d’un registre des cyberincidents en est un bon exemple. Outre l’intérêt documentaire pour renforcer les processus de sécurité de l’organisation, de tels registres pourraient devenir la norme dans un futur proche. En effet, la réglementation canadienne est en pleine évolution et le projet de loi C-26 prévoit d’imposer aux entreprises la déclaration obligatoire des cyberattaques dont elles sont victimes, alors qu’elles ne sont actuellement révélées que sur une base volontaire.
Anticiper l’adoption de telles règles et s’y conformer dès maintenant, voire dépasser les critères de sécurité établis, procurera à l’entreprise une longueur d’avance dans un environnement mouvant. En prenant les devants, elle pourrait même se démarquer et avoir voix au chapitre afin de participer à la création de ces nouvelles réglementations.
Les cybermenaces sont des vecteurs de perturbation en perpétuelle mutation, avec lesquels les entreprises apprennent à composer. La cybersécurité n’est pas une fin en soi, mais elle devient une condition de la bonne santé opérationnelle et financière des entreprises, et ultimement de leur survie.
Comme dans tout contexte de menace voire de crise, le degré de préparation est souvent garant de la rapidité et de l’efficacité à laquelle l’organisation sera en mesure de se remettre sur pied et de reprendre le cours normal de ses activités. Face aux cybermenaces, les entreprises ont la possibilité d’adopter une approche préventive et de développer une plus grande agilité, qui pourra faire une grande différence et leur être bénéfique à long terme.