Cybersécurité : mythes et réalités

[QTalks Ep.8]
Cybersécurité : mythes et réalités

La cybersécurité est-elle l’éléphant dans la pièce lorsqu’il s’agit du parcours numérique d’un service public? Nous le découvrons dans l’épisode QTalks de ce mois-ci sur la cybersécurité: mythes et réalités. Avec la mise en œuvre de solutions numériques, les services publics disposent de données et d’informations plus granulaires que jamais auparavant. Mais à quel prix ? Les systèmes d’approvisionnement en eau sont potentiellement moins sécurisés avec les nouvelles technologies, telles que les réseaux numériques, les opérations à distance, les capteurs en temps réel et l’analyse de l’acquisition de données. Rejoindre le journaliste environnemental Tom Freyberg :

• Roger Caslow, responsable de la sécurité de l’information chez Hampton Roads Sanitation Districts (HRSD)
• Paula González Domínguez, Transformation numérique chez Acciona
• Eric Ervin, directeur mondial de la cybersécurité pour les services publics (électricité et eau) et la fabrication chez 1898 & Co., (qui fait partie de Burns et Donald)

Quel est l’impact de la digitalisation de l’eau sur les réseaux ?

Tom a commencé par souligner les progrès réalisés vers la numérisation de l’eau et la façon dont des informations et des données plus granulaires peuvent maintenant être tirées grâce à cela. Il a également mentionné que l’adoption de nouvelles technologies telles que les réseaux numériques, les opérations à distance, les capteurs en temps réel et l’analyse de l’acquisition de données soulève de nouvelles questions sur la sécurité des réseaux d’eau.

Il a également soulevé la question de savoir si la cybersécurité est l’éléphant dans la pièce lorsqu’il s’agit du parcours numérique de l’eau.

Roger a lancé la discussion en parlant du défi de la modernisation de la cybersécurité face à la numérisation de l’eau, ainsi que des défis d’interopérabilité impliqués en ce qui concerne la multitude de capteurs de différentes organisations. Évoquant la « fusion de deux mondes différents », Paula a souligné à quel point il peut être difficile de réunir les industries industrielles traditionnelles et les nouvelles technologies.

Eric a poursuivi en expliquant comment l’augmentation du nombre d’appareils dispersés dans de vastes zones géographiques a élargi la « surface d’attaque » potentielle du point de vue de la cybersécurité. Cependant, il a également mentionné le potentiel de conception de la sécurité dans les initiatives de remplacement SCADA qui se produisent dans tous les domaines.

La numérisation de l’eau entraîne-t-elle un changement de culture dans l’industrie et un changement dans la façon dont le personnel est formé?

Tom a ensuite demandé aux experts comment ils pensent que la cyber-résilience peut être créée au sein des équipes, et comment les compétences et l’expérience nécessaires pour maintenir la cyber-résilience peuvent être encouragées.

Roger a expliqué que, d’après son expérience, la cyber-résilience doit être formée de l’intérieur et que tout le monde, des ingénieurs aux RH en passant par les finances, doit en comprendre la nécessité. Il a déclaré qu’en plus d’une prise de conscience des données des clients, il doit également y avoir une prise de conscience des menaces de déni de service.

Paula a souligné qu’avec la numérisation de l’eau vient le potentiel de plusieurs types d’attaques et de menaces de sécurité, ce qui signifie qu’un ensemble plus large de compétences est nécessaire pour les affronter de front. Elle a également mentionné comment la culture autour de la sécurité peut être différente pour le personnel travaillant dans les usines, car ils n’ont pas eu de problèmes de sécurité et de protocoles enracinés dans leur travail dès le départ. Cela souligne encore plus à quel point il est important de veiller à ce que tout le personnel soit formé sur les questions de cybersécurité.

Eric a ensuite mentionné comment la plupart des entreprises d’infrastructures essentielles ont intégré la sécurité dans leurs énoncés de missions de base et peuvent puiser dans leur service informatique pour commencer une formation initiale en cybersécurité. Il a également souligné les défis intrinsèques de l’expansion rapide de la numérisation dans les environnements d’exploitation et son impact sur la protection des actifs.

Quelles leçons peut-on tirer des changements récents?

En conclusion de la session, Tom a demandé aux experts de réfléchir à tous les changements réussis qu’ils ont mis en œuvre récemment.

Expliquant comment il a été amené à élaborer le programme de cybersécurité dans les districts d’assainissement de Hampton Roads (HRSD), Roger a réfléchi à la façon dont ils ont homogénéisé le travail avec les partenaires SCADA et DCS pour tout intégrer dans un seul profil. En sachant exactement avec qui ils travaillent et sur ce qui signifie qu’ils ont été en mesure d’établir des relations solides. Roger a également mentionné comment la sélection d’un partenaire de sécurité qui convient le mieux à l’organisation spécifique, plutôt que d’un partenaire qui fonctionne le mieux pour tous les autres, contribue à assurer une meilleure adéquation culturelle.

Commentant le partage des connaissances entre les départements et les divisions, Paula a souligné l’importance d’être proactif face aux défis de la cybersécurité. Elle a déclaré que les organisations ne devraient pas attendre pour tirer des leçons – en particulier dans le secteur de l’eau, en raison de l’impact réel sur les personnes réelles – mais s’efforcer d’anticiper et d’apprendre comment prévenir au mieux les erreurs.

Par la suite, elle a également mentionné que la cybersécurité ne devrait pas être un exercice de ruissellement, mais une priorité à l’échelle de l’organisation qui implique de fournir les connaissances, les outils et l’éducation pertinents aux membres de toutes les équipes.

Enfin, en ce qui concerne l’évolution du paysage réglementaire, Eric a souligné à quel point il est important pour des organisations entières de comprendre le changement dans la cybersécurité, et en particulier autour de l’attente que tout le monde a un rôle à jouer. Il a également souligné à quel point il est crucial pour les organisations de s’assurer que la cybersécurité fait partie intégrante de leur structure.

Prêt à découvrir plus de contenu QTalks ?

Rendez-vous sur la chaîne YouTube de Qatium pour regarder cet épisode et les précédents.