#EnergySector et #CyberSecurity: l'autre écart de capacité

Nous connaissons les lacunes de capacité dans le secteur de l'énergie. Voici une affirmation que la plupart de nos leaders de l'industrie seraient d'accord avec moi: la société a besoin d'énergie et la demande ne fera que croître. Nous avons besoin de plus de pouvoir et d'être plus intelligents sur la façon dont nous l'utilisons pour maintenir la sécurité de l'approvisionnement, écrit Michael John, directeur des opérations à ENCS.

Maintenant, remplacez le mot «pouvoir» par «ressource de sécurité cybernétique». Est-ce que beaucoup de gens seraient d'accord? Ils devraient, parce que c'est vrai.

Ce manque de ressources est bien réel, et il est crucial que nous nous y attaquions à mesure que notre infrastructure devient plus intelligente et plus connectée. Une partie de cette équation est le déficit de compétences - le manque de professionnels de la cybersécurité dans le secteur - dont nous avons déjà discuté. Cependant, outre les compétences, nous devons augmenter les ressources et être plus intelligents dans la façon dont nous les déployons.

Tout à bord?

Les entreprises énergétiques européennes ont fait de réels progrès en matière de cybersécurité à bien des égards. Alors qu'il y a une dizaine d'années, peu de conversations au niveau du conseil d'administration allaient même jusqu'à toucher à la cybersécurité, il n'est pas rare aujourd'hui d'entendre un PDG rassurer les parties prenantes sur la façon dont ils prennent le sujet au sérieux.

Mais les actes sont plus éloquents que les mots et les paroles ne suffisent pas. En règle générale, les membres du conseil seront accomplis, des hauts dirigeants qui ont fait leur carrière dans un monde très différent, où la sécurité est liée aux clôtures en mailles de chaîne. Il est compréhensible qu'ils ne comprennent peut-être pas l'ampleur et l'importance de la menace et, en outre, qu'ils ont de nombreux autres problèmes commerciaux qui se disputent leur attention.

Donc, nous avons besoin de plus de personnes ayant des compétences en matière de cybersécurité au sein des conseils d'administration, afin de s'assurer que ce soit en haut de l'ordre du jour. Le «C» de CISO montre à quel point ils sont importants, et les rangs des directeurs de la sécurité de l'information (CISO) dans le secteur énergétique européen sont en croissance, mais nous avons encore besoin de plus d'eux avec un plus grand pouvoir décisionnel. La cybersécurité doit être une composante essentielle de la stratégie de tout service public.

Publicité

Concours de ressources

De nos jours, la plupart des services publics ont des personnes de sécurité talentueuses dans l'organisation. Très peu ont cependant assez de personnes, laissant une équipe aux ressources limitées pour gérer un certain nombre de priorités concurrentes.

À mesure que les règlements et les normes de sécurité pénètrent à bon escient dans l'espace de l'énergie, les équipes se retrouvent à consacrer du temps et des ressources à la conformité tout en continuant de faire face à une foule de tâches de sécurité générale.

Ce serait bien dans une équipe de sécurité bien dotée en ressources, mais en réalité, nous verrons d'autres projets importants tomber dans l'ordre hiérarchique. Il y aura des besoins de cybersécurité dans le service public qui ne seront pas résolus en raison des ressources limitées. L'investissement doit donc augmenter.

L'ancienne division OT / IT

Le fossé entre la technologie opérationnelle (OT) et la technologie de l'information (TI) est quelque chose qui ne signifiera pas grand-chose pour l'homme de la rue, mais qui est extrêmement familier dans notre monde. Les systèmes informatiques et les systèmes OT sont encore très différents. Ils sont construits par différentes personnes avec des degrés et des visions du monde différents, en utilisant différents protocoles avec des objectifs différents. L'ingénieur qui a conçu le transformateur de la sous-station il y a vingt ans n'a jamais pensé à la cybersécurité - après tout, les systèmes n'étaient pas interconnectés comme ils le sont aujourd'hui. De même, le programmeur qui a conçu le système de facturation client n'a probablement jamais pensé que le protocole de communication des compteurs intelligents n'existait pas.

Pourtant maintenant les mondes fusionnent. En créant plus de réseaux intelligents connectés et numériques, nous rassemblons IT et OT et créons des défis de sécurité dans le domaine OT qui appartenait auparavant exclusivement à l'IT.

Nous avons certainement besoin de plus de gens dans l'industrie qui comprennent les deux domaines. Cela prendra du temps. Cependant, les entreprises aggravent souvent le problème en organisant mal les ressources dont elles disposent au sein d'une organisation.

Jusqu'à présent, les informaticiens avaient probablement très peu d'interaction avec les ingénieurs qui s'occupaient d'OT. Pourtant, les services publics doivent trouver des moyens de rassembler ces personnes et de les faire parler afin de commencer à créer un mélange de connaissances et de compétences et de maximiser la valeur d'une ressource limitée.

La sécurité après coup

Depuis plus de dix ans maintenant, nous avons entendu des expressions comme «sécurité de bout en bout» et «sécurité par conception». Le principe de base est que la sécurité doit être prise en compte dès le départ et non pas ajoutée à la fin.

Mais en pratique, cela n'arrive pas assez.

Supposons que vous travaillez dans un service public et que vous souhaitiez essayer une nouvelle technologie ou un nouveau service. Les chances sont que vous allez travailler à une pression de temps significative, de peur que la concurrence vous a battu au marché. À ce stade, beaucoup se précipitent pour mettre en place un programme pilote afin de tester la faisabilité, mais ne prennent pas en compte la cybersécurité. Après tout, ce n'est peut-être pas une idée qui est prise en compte, alors ce serait une perte de temps et de ressources que de s'inquiéter de la sécurité à ce stade précoce, n'est-ce pas?

Compréhensible, mais faux. Parce que la sécurité ne peut pas être simplement ajoutée à la fin. Il peut y avoir une faille fondamentale dans l'approche qui ne peut pas simplement être corrigée, il peut y avoir trop de vulnérabilités pour la mettre sur le marché. L'équipe de sécurité, appelée en dernier lieu, peut être dans la position peu enviable de nier l'ensemble du projet, étouffant complètement l'idée. Tout ce travail pour rien!

Ce n'est pas le rôle que les professionnels de la sécurité veulent jouer, mais trop souvent c'est celui qu'ils doivent. Et cela continuera jusqu'à ce qu'ils soient correctement consultés dès les premières étapes du projet. Encore une fois, il faudra réorganiser la manière dont les entreprises utilisent les ressources limitées en matière de cybersécurité dont elles disposent.

Des raisons d'être joyeux?

Ce n'est pas tout à fait sombre. Il y a des investissements dans la cybersécurité - beaucoup plus que par le passé. Cela va de pair avec une prise de conscience croissante au sein des équipes dirigeantes et ce qui commence comme un service de bouche devient progressivement sincère au fur et à mesure que l'importance de la cybersécurité se concrétise.

Et la transition énergétique même qui augmente le besoin de cybersécurité crée également des opportunités. Regardez toutes les grandes entreprises de services publics changer radicalement leur stratégie en tant qu'entreprise, en créant des actifs et en réétalonnant entièrement les équipes de direction. Il n'y a jamais eu de meilleur moment pour un changement radical - par exemple, mettre des experts en sécurité au tableau.

Les bonnes nouvelles sont que nous faisons beaucoup de bonnes choses. La mauvaise nouvelle est que nous ne le faisons pas assez rapidement.

Partagez cet article: