La culture d’entreprise est votre meilleure défense contre les menaces informatiques
Le problème de la sécurité informatique des réseaux électriques est un problème épineux. La dispersion et la diversité des équipements ainsi que l’utilisation de systèmes datés rendent difficiles l’identification et la sécurisation des points de vulnérabilité. Au contraire des entreprises classiques qui peuvent déployer des solutions de sécurité informatique prêtes à l’emploi dans un environnement restreint, les services d’électricité ont affaire à un grand nombre de menaces auxquelles s’ajoutent de nombreux points d’accès potentiel.
Le bond technologique qui a eu lieu au sein de l’industrie électrique au cours des dernières décennies a permis d’assurer une distribution plus stable et plus efficace de l’énergie électrique. Il existe maintenant quantité de capteurs placés au sein des infrastructures qui transmettent des données en temps réel et permettent ainsi aux techniciens et ingénieurs de répondre presque instantanément à des baisses de production ou à des situations anormales. Néanmoins, ces systèmes ont ouvert de nombreuses portes, propices aux attaques.
Pour répondre aux enjeux de sécurité informatique d’une manière efficace, les entreprises doivent prendre du recul. Ils doivent identifier les équipements à protéger, déterminer leur position au sein du réseau, définir la manière dont le personnel doit interagir avec ces équipements et bien plus encore. Ensuite, ils ont besoin d’une solution globale qui assure une coordination transversale pour sécuriser ces équipements. La sécurité industrielle actuelle ne peut se permettre de rester isolée. La solution ne peut pas être uniquement interne. Elle doit être collaborative et planifiée.
Orienter la discussion sur la sécurité du réseau
Résoudre l’énigme de la sécurité informatique dans l’industrie électrique ne consiste pas simplement à inventer de nouveaux pièges à souris plus efficaces, le changement se produira en changeant radicalement d’approche et en se concentrant sur la sécurité. Généralement, les entreprises du secteur de l’énergie électrique fonctionnent de façon très cloisonnée, chaque service ayant ses propres responsabilités, avec très peu d’échanges d’informations critiques. Pour sérieusement déterrer les menaces potentielles qui peuvent ébranler vos installations, la première chose à faire est de rallier les principales parties prenantes à votre cause et à les encourager à progresser dans la même direction.
En matière de sécurité dans l’industrie électrique, le minimum consiste à respecter les normes et à passer un audit avec succès. Ce minimum n’est pas l’objectif ultime à atteindre. Bien que les initiatives normatives semblent écrasantes – les normes NERC CIP incluent plus de 40 exigences différentes – le respect de ces exigences est le point de départ pour définir des pratiques efficaces de sécurité, elles ne représentent pas un objectif final.
Pour atteindre le niveau de sécurité nécessaire pour déjouer les attaques technologiques sophistiquées actuelles, vous devez comprendre, au niveau global de l’entreprise, qui est l’ennemi et que sont les menaces. Dans l’industrie électrique, vous n’aurez pas affaire à des pirates informatiques débutants. Vous serez confronté à des adversaires chevronnés et disposant de ressources fournies par des états ou des organisations criminelles. Pour créer une solide ligne de défense contre de telles menaces, l’organisation doit être tout entière orientée vers ce même objectif.
L’état d’esprit est souvent le fondement de la sécurité. Les campagnes de sensibilisation au signalement de tout événement anormal semblent être des solutions un peu simplistes, mais elles fonctionnent, car elles sont simples et inclusives. La sécurité d’entreprise est un effort collectif qui doit imprégner la culture interne globale au fil du temps. Cela exige une mentalité qui responsabilise tout un chacun afin de se préserver des menaces potentielles. Le problème de la sécurité informatique ne peut pas être résolu par une seule personne ou équipe ni par une seule technologie.
INFORMATIONS COMPLÉMENTAIRES
- Lectures complémentaires : Travailler avec des relais à l’ère des sanctions records imposées par la NERC
- En savoir plus : Cinq principales causes d’échecs des projets de gestion et d’analyse de données des services d’électricité
- Publications associées : Cinq principales causes d’échecs des projets de gestion et d’analyse de données des services d’électricité
- Informations sur le produit : Solutions de sécurité et NERC CIP Doble
