Sécurisation des infrastructures critiques face aux cybermenaces : un signal d'alarme pour les secteurs de l'énergie et des services publics

Ces dernières années, nous avons vu des entreprises du monde entier adopter des modèles opérationnels numériques, et les entreprises de services publics ne font pas exception. Ces sociétés nationales qui maintiennent les infrastructures critiques en fournissant l’eau, le gaz, l’électricité et les services de traitement des déchets utilisent une multitude de systèmes, de plateformes en ligne et d’applications pour gérer leurs activités. Ces systèmes apportent de nombreux avantages : ils permettent aux clients de suivre facilement leur consommation et leurs factures en ligne et d’organiser leurs paiements, ils rationalisent les modèles opérationnels et facilitent la structuration des processus ainsi que la collecte et le partage des données au sein de l’organisation. Mais cette dépendance à l’infrastructure numérique a également augmenté la portée des cyberattaques dans le secteur de l’énergie et créé de nouveaux points d’entrée.

Les récents avertissements de l’agence de notation Moody’s ont mis en lumière le risque élevé auquel les entreprises de services publics font face de la part des cyberattaquants ciblant leurs opérations. Moody’s a déclaré que « les secteurs d’infrastructure critique comme l’électricité, l’eau et autres services publics présentent l’exposition au risque la plus élevée » en raison d’une « dépendance croissante à la numérisation ». Ils soulignent que cela « ne signifie pas nécessairement qu’ils manquent de solides défenses cyber. Cependant, une attaque réussie sur leurs actifs et services peut avoir des conséquences significatives » tant pour les particuliers que pour les entreprises.

Le secteur des services publics se numérise de plus en plus avec l’introduction de compteurs intelligents, de portails en ligne et d’applications logicielles tierces, élargissant la surface d’attaque pour les cybercriminels qui cherchent à infiltrer les systèmes, compromettre les données et perturber les approvisionnements. Les pirates ne cherchent pas seulement à voler et exploiter les données des clients, ils visent également à cibler les technologies opérationnelles non sécurisées pour interrompre l’approvisionnement, causant des perturbations généralisées comme des coupures de courant et la contamination de l’eau potable.

Lisez notre blog sur les 10 façons d’améliorer votre cybersécurité.

Les cyberattaques contre les compagnies des eaux font la une
Le rapport de Moody’s a envoyé un message clair : les cyberattaques contre les compagnies des eaux sont fréquentes et personne n’est à l’abri. Des attaques récentes ont touché des acteurs bien connus qui disposaient probablement déjà d’une solide posture de cybersécurité. Récemment, Southern Water, qui dessert plus de 4 millions de clients au Royaume-Uni, a déclaré que le groupe de rançongiciel Black Basta affirmait avoir accédé à leurs systèmes et publié une « quantité limitée » de leurs données sur le dark web. De plus, Staffordshire Water a présenté ses excuses après que des pirates ont volé des données personnelles relatives à leurs clients, Moody’s estimant que les coûts liés au piratage, y compris les potentielles actions en justice, pourraient atteindre 10 millions de livres sterling. En Irlande, 180 personnes se sont retrouvées sans eau lorsque des pirates ont ciblé un système de pompage d’eau en prenant le contrôle d’un système de contrôle industriel mal protégé.

Aux États-Unis, ils font face à des problèmes similaires. En 2023, des pirates ont attaqué le système municipal d’eau d’Aliquippa et ont réussi à arrêter une pompe sur une ligne d’approvisionnement desservant plus de 6 000 clients. Des informations ont également filtré concernant un incident de cybersécurité chez Veolia North America qui fournit l’eau à la ville de Rahway dans le New Jersey. Moody’s a souligné que l’utilisation de l’intelligence artificielle (IA) pourrait encore accélérer cette tendance inquiétante des cyberattaques contre les fournisseurs de services publics.

Cependant, Moody’s a averti que bien que les cyberattaques comme les violations de données aient un impact significatif sur la confidentialité des données et la réputation, « le plus grand risque pour le secteur et la société est que des tiers malveillants puissent accéder aux systèmes de technologie opérationnelle pour altérer les installations de traitement d’eau potable ou des eaux usées. » Ces systèmes reposent souvent sur des technologies opérationnelles (OT) et des équipements de contrôle plus anciens qui ont été créés avant l’internet et qui ont souvent été adaptés pour l’accès à distance. Cela les rend plus faciles à pirater car ces équipements plus anciens manquent de protocoles de cybersécurité modernes. Si les approvisionnements en eau potable sont contaminés ou complètement arrêtés, cela peut avoir un impact significatif sur la santé de la population et peut créer une menace vitale, créant une perturbation et un impact maximaux de ces attaques malveillantes.

Comment les régulateurs abordent-ils les défis de cybersécurité auxquels font face les entreprises de services publics ?
Reconnaissant la criticité de la situation, les fournisseurs d’eau, les organismes gouvernementaux et les régulateurs ont reconnu la nécessité de renforcer les défenses cyber. Ofwat, qui régule le secteur de l’eau au Royaume-Uni, évalue des plans pour augmenter les factures de 2025 à 2030 pour couvrir les coûts supplémentaires permettant aux compagnies des eaux d’offrir un meilleur service aux clients et d’améliorer l’environnement, et une partie de cela inclura probablement des investissements en cybersécurité. Cette orientation intervient à un moment où l’industrie de l’eau fait face à un examen supplémentaire pour diverses questions, notamment le déversement d’eaux usées et la rémunération des dirigeants.

Suite aux cyberattaques dans le secteur de l’eau, l’Agence de Protection Environnementale (EPA) préconise que les compagnies des eaux intègrent volontairement des mesures cyber fondamentales dans leurs processus de planification et d’exploitation. Le rapport de cybersécurité de l’EPA pour le secteur de l’eau suggère plusieurs contrôles que les compagnies des eaux peuvent mettre en œuvre pour se protéger des attaques par rançongiciel.

Les récents changements réglementaires ont introduit de nouvelles réglementations cyber pour les organisations fournissant des Infrastructures Nationales Critiques (CNI), notamment la Loi sur la Sécurité des Télécommunications introduite en 2021, DORA, la Loi sur la Résilience Opérationnelle Numérique qui impactera les organisations de services financiers et leurs fournisseurs de services TIC, et la directive NIS 2.

Il est essentiel pour les compagnies des eaux et autres acteurs du secteur des services publics de reconnaître ces vulnérabilités soulignées par les régulateurs et de prendre des mesures proactives pour protéger leurs opérations et les données de leurs clients.

Que peuvent faire les entreprises de services publics pour renforcer leurs mesures de cybersécurité ?
Il existe plusieurs étapes que les entreprises de services publics peuvent suivre pour obtenir une visibilité des menaces de cybersécurité, renforcer l’infrastructure informatique et réduire l’impact lorsque des incidents surviennent.

Bien sûr, il existe des dispositions techniques que les entreprises peuvent prendre comme l’installation de mises à jour et de correctifs de sécurité, la limitation de l’accès aux appareils et adresses IP inconnus, et la restriction du partage de données entre les appareils pour réduire la surface d’attaque. Mais les entreprises doivent également identifier les cybermenaces en amont et mettre en œuvre des contrôles pour les atténuer. Elles doivent mettre en œuvre des politiques et des formations strictes en matière de cybersécurité, gérer la conformité aux réglementations sur la protection des données, mettre en œuvre des processus pour résoudre rapidement les incidents cyber, et s’assurer que tous les logiciels, matériels et licences sont à jour et disposent des mesures de sécurité appropriées.

Pour aider à prendre le contrôle de leurs risques de cybersécurité et protéger leur infrastructure informatique, les entreprises de services publics devraient mettre en œuvre des procédures de gouvernance strictes, introduire un programme de gestion des risques cyber selon les meilleures pratiques, appliquer des procédures de conformité strictes pour assurer l’alignement avec les lois sur la protection des données, et mettre en œuvre des plans de continuité d’activité robustes.

Les dernières solutions technologiques GRC peuvent formaliser ces procédures. Le logiciel permet aux entreprises de gérer tous les aspects du risque informatique et de la conformité dans une plateforme centralisée et offre les capacités suivantes :

Gestion des risques : Les équipes peuvent créer un registre des risques cyber pour capturer les risques numériques, créer des formulaires d’évaluation des risques en ligne personnalisés, et définir des contrôles et effectuer des tests de contrôle.
Conformité : Les organisations peuvent créer une bibliothèque d’obligations de conformité pour gérer les exigences réglementaires liées à la protection des données et à la cybersécurité. Elles peuvent mettre en œuvre des procédures de gouvernance strictes et des flux de travail de gestion des politiques, gérer les changements réglementaires et accéder à des cadres prêts à l’emploi pour aligner les processus avec les exigences de protection des données comme le RGPD, l’ISO 27001 et la directive NIS.
Gestion des risques tiers : Les entreprises peuvent créer une bibliothèque de fournisseurs en ligne, facilitant la gestion et le suivi des relations avec les fournisseurs et la compréhension des risques qu’ils représentent. Elles peuvent déployer des évaluations des risques fournisseurs, rationaliser le processus d’évaluation comparative des fournisseurs et mettre en œuvre une surveillance automatisée des indicateurs clés comme les SLA, les KPI et les normes de référence du secteur.
Gestion des actifs : Les registres de gestion des actifs en ligne permettent aux équipes de suivre l’âge et l’utilisation du matériel, des licences logicielles et des actifs physiques, garantissant que tous les équipements et licences sont à jour et adaptés au travail. Les équipes peuvent obtenir une vue complète des équipements et licences obsolètes, simplifiant la planification budgétaire.
Gestion des politiques : Toutes les politiques et procédures informatiques peuvent être gérées de manière cohérente et stockées dans un référentiel central en ligne avec des flux de travail pour signaler les dates d’expiration et automatiser les signatures, les processus d’approbation et les attestations.
Planification stratégique : Créer une stratégie informatique, décomposer les objectifs principaux en tâches, projets et actions plus petits qui peuvent être répartis dans l’organisation pour leur réalisation. Au fur et à mesure que les tâches sont accomplies, les progrès sont indiqués, permettant de voir facilement comment la stratégie progresse à tous les niveaux de l’entreprise.
Audits : Les entreprises du secteur des services publics sont soumises à une grande variété d’audits, d’inspections et de contrôles. En utilisant un logiciel GRC, les organisations peuvent planifier et gérer les audits cyber et formaliser les résultats et les actions requises, fournissant un historique complet de tous les audits, leurs conclusions et les actions en suspens.
GCA et résilience opérationnelle : Le logiciel peut soutenir la création de plans de GCA, d’évaluations d’impact sur l’activité et de modélisation des processus métier, facilitant la compréhension de l’impact d’un incident en termes de coût, de temps d’arrêt et d’heures-homme perdues, et les plans de GCA peuvent être déclenchés en fonction des incidents enregistrés.

Découvrez le logiciel de gestion des risques informatiques de Riskonnect.

Les entreprises de services publics doivent agir maintenant pour sécuriser leurs opérations commerciales et leur infrastructure numérique
Les récents avertissements de Moody’s et l’escalade des cybermenaces visant les entreprises de services publics soulignent l’urgence de prioriser la cybersécurité. Alors que le secteur fait face à la nécessité d’investissements massifs en cybersécurité, la protection des infrastructures critiques est primordiale.

Chez Riskonnect, nous comprenons l’importance de gérer efficacement les risques cyber et d’assurer la conformité à la protection des données. Notre expertise en matière de gouvernance, de risque et de conformité (GRC) informatiques nous permet d’offrir des solutions sur mesure pour répondre aux défis spécifiques auxquels font face les secteurs de l’eau et des services publics.

En collaborant avec Riskonnect, les entreprises de services publics peuvent anticiper les menaces émergentes et assurer la sécurité de leur infrastructure critique. Nous pouvons aider ceux du secteur des services publics à gérer et atténuer les risques cyber tout en assurant la conformité aux réglementations sur la protection des données. Contactez-nous aujourd’hui pour une démonstration.

Sécurisation des infrastructures critiques face aux cybermenaces : un signal d’alarme pour les secteurs de l’énergie et des services publics

Share This, Choose Your Platform!

Related Posts

6 façons dont les RSSI transforment le risque fournisseur en avantage d’innovation

Les chiffres de l’OAIC montrent que les violations de données sont en hausse en Australie

Évaluations des risques informatiques : une approche étape par étape