Adopter de bonnes pratiques sans tarder

Comme nous l’avons vu dans précédemment, l’évaluation des cyberrisques et les mesures de mitigation de leur risque doivent s’appliquer à l’ensemble de l’écosystème de l’entreprise. Il s’agit d’une analyse complète, à 360 degrés englobant les processus et la structure de l’entreprise ainsi que ceux de ses fournisseurs, et ce, pour toute sa chaîne d’approvisionnement.

Dans cette démarche, il s’agira donc de tenir compte des systèmes au sens large (technologies de l’information, systèmes opérationnels, équipements, machinerie, etc.), sans oublier le personnel qui les opère, car la sécurité numérique est encore trop souvent mise à risque par les erreurs humaines.

Le premier jalon de ce parcours vers une plus grande cyberrésilience consiste à cartographier les systèmes opérationnels. Dresser la liste des surfaces d’attaque pour déterminer quels sont les systèmes les plus vulnérables et quelle est l’ampleur des risques encourus par l’organisation permettra de définir le niveau de protection adéquat et les mesures à prendre.

Cela implique de faire de la cybersécurité une priorité, au cœur des opérations quotidiennes, et ce au plus haut niveau de l’organisation. Cela facilitera la prise de décision et la mobilisation des ressources nécessaires. Il pourrait en résulter des changements au niveau de la structure organisationnelle, afin de s’assurer que la responsabilité de la cybersécurité est confiée aux personnes les plus compétentes et à même de prendre les décisions qui s’imposent.

L’étape suivante visera à implanter un programme de cybersécurité opérationnelle, qui passera notamment par une révision de l’architecture informatique de l’entreprise. Les accès vers les systèmes technologiques d’une entreprise sont multiples, et il convient de considérer tous les points de contacte. Les systèmes critiques bien sûr, mais également ceux des sous-traitants qui sont interconnectés et par lesquels transitent un nombre croissant de données. C’est pourquoi la collaboration avec les différents acteurs de la chaîne d’approvisionnement est essentielle au processus de sécurisation des systèmes.

Le succès d’un programme de cybersécurité repose tout autant sur la collaboration transversale au sein même de l’entreprise. Intégrer les équipes métier spécialisées à ce processus permettra de limiter les impacts sur les systèmes, car leur connaissance des technologies est précieuse.

La gestion du changement est sous-jacente à cette démarche. Il s’agira de bien préparer le terrain auprès des équipes concernées, et plus largement de sensibiliser l’ensemble des employés à la nature des cyberrisques et à leur contribution au quotidien de façon à ce que les mentalités évoluent en faveur d’une plus grande vigilance. Des efforts de communication, d’éducation et de formation en la matière seront requis. Les filières de responsabilité pourraient également être revues pour que la structure organisationnelle de l’entreprise reflète l’importance accordée à la cybersécurité.

Enfin, au-delà d’un programme de cybersécurité opérationnelle bien conçu et intégré aux opérations, il sera indispensable de revoir et de valider périodiquement les mesures en place afin que les systèmes soient sécuritaires et adaptés à l’évolution des technologies.

Ce dernier jalon consistera à effectuer un audit régulier du programme de cybersécurité et pourra s’accompagner d’activités complémentaires, notamment de veille et de formation continue pour les équipes concernées. Ainsi outillée, l’entreprise sera mieux à même de suivre l’évolution des nouvelles normes et réglementations qu’elle devra intégrer progressivement, tant dans la sécurisation de ses systèmes actuels que dans la conception et le développement de futurs systèmes.

Relever le défi pour se démarquer

La menace est latente, mais les affaires continuent et les entreprises ont intérêt à prendre les devants pour maintenir leur avantage concurrentiel.

Faire l’impasse sur la cybersécurité pourrait signifier de mettre à risque des relations d’affaires essentielles à la pérennité d’une organisation. Des systèmes performants, mais défaillants sur le plan de la cybersécurité pourraient amener l’entreprise à se voir exclue d’appels d’offres. Par contre, à l’inverse, une entreprise qui ferait la démonstration d’un solide programme de cybersécurité sera en position d’influence et pourrait inciter ses propres clients à adopter des normes plus élevées de sécurité, au profit de l’ensemble de son écosystème.

Un système opérationnel intégré à un programme de cybersécurité pourrait même représenter un avantage compétitif à court terme. En effet, une grande majorité d’entreprises amorcent seulement la mise en œuvre de tels programmes. Ouvrir la marche devient donc une position enviable.

Si le fait d’être préparé à une attaque n’empêche pas l’attaque de se produire, cela permet néanmoins à l’entreprise ciblée de réagir rapidement et adéquatement. Ce faisant, elle démontre son sérieux, sa compétence et son professionnalisme — autant de gages de confiance pour ses clients et ses fournisseurs.

Les technologies évoluent rapidement et de nouveaux champs d’expertise apparaissent tant en informatique qu’en ingénierie. Par conséquent, les organisations devront s’associer les bonnes compétences pour maintenir la cybersécurité de ses systèmes dans le temps.

Les normes dans le domaine  évoluent également. Effectuer une veille des règlements et certifications en cours d’adoption sur les marchés où l’entreprise est active lui permettra de s’assurer que la conception de ses systèmes est réalisée conformément aux futurs contrôles de cybersécurité requis. Il y a fort à parier que des réglementations découlant de la norme ISO 21434 seront adoptées progressivement en Amérique du Nord. En s’inspirant de cette norme, l’entreprise peut mettre en place des processus robustes, garants des plus hauts niveaux de sécurité.

De même, les activités de veille en matière législative pourraient amener les organisations à faire une différence, ou à tout le moins à encourager l’adoption de pratiques sécuritaires. La tenue d’un registre des cyberincidents en est un bon exemple. Outre l’intérêt documentaire pour renforcer les processus de sécurité de l’organisation, de tels registres pourraient devenir la norme dans un futur proche. En effet, la réglementation canadienne est en pleine évolution et le projet de loi C-26 prévoit d’imposer aux entreprises la déclaration obligatoire des cyberattaques dont elles sont victimes, alors qu’elles ne sont actuellement révélées que sur une base volontaire.

Anticiper l’adoption de telles règles et s’y conformer dès maintenant, voire dépasser les critères de sécurité établis, procurera à l’entreprise une longueur d’avance dans un environnement mouvant. En prenant les devants, elle pourrait même se démarquer et avoir voix au chapitre afin de participer à la création de ces nouvelles réglementations.

Les cybermenaces sont des vecteurs de perturbation en perpétuelle mutation, avec lesquels les entreprises apprennent à composer. La cybersécurité n’est pas une fin en soi, mais elle devient une condition de la bonne santé opérationnelle et financière des entreprises, et ultimement de leur survie.

Comme dans tout contexte de menace voire de crise, le degré de préparation est souvent garant de la rapidité et de l’efficacité à laquelle l’organisation sera en mesure de se remettre sur pied et de reprendre le cours normal de ses activités. Face aux cybermenaces, les entreprises ont la possibilité d’adopter une approche préventive et de développer une plus grande agilité, qui pourra faire une grande différence et leur être bénéfique à long terme.

Suite à la collecte d’informations et à l’analyse des résultats des questionnaires, et selon la nature des constats qui seront dressés, l’entreprise devra revoir et améliorer son processus de sélection des fournisseurs afin de renforcer les exigences minimales relatives à la cybersécurité. À terme, certaines organisations feront le choix de consolider leur chaîne d’approvisionnement pour faciliter le contrôle qu’elles peuvent exercer sur le respect des exigences imposées à leurs sous-traitants.

Qu’il s’agisse d’un fournisseur de longue date de l’entreprise ou d’un nouveau venu, il est important de bien les intégrer à la démarche d’évaluation et de communiquer clairement avec eux afin de s’assurer que l’ensemble de la chaîne d’approvisionnement est sécurisée.

Il sera toujours plus facile de poser des bases claires et d’exiger des conditions minimales de cybersécurité lors de l’établissement de nouveaux contrats que de les établir avec les partenaires de longue date. Il est néanmoins vital d’introduire avec ces derniers les enjeux et les exigences de cybersécurité grâce à l’apport des représentants des départements de l’approvisionnement (acheteurs) et des équipes juridiques. Ce sont eux qui catalyseront le démarrage des activités de sensibilisation et des revues de processus internes ainsi que des révisions obligées des clauses contractuelles d’approvisionnement. Il s’agira donc de former adéquatement ces professionnels aux exigences minimales de cybersécurité requises qui pourraient faire l’objet de négociations avec les sous-traitants.

Au fur et à mesure que la réglementation et les certifications destinées à accroître la cybersécurité seront adoptées et appliquées à travers l’industrie, l’intégration de mesures spécifiques à la cybersécurité devra être prise en compte dans les activités contractuelles d’approvisionnement.

La norme ISO 21434 exige une étroite collaboration entre l’intégrateur ou le concepteur d’un système et ses différents fournisseurs imposant ainsi que les rôles et les responsabilités de chacune des parties soient clairement identifiés, documentés et mutuellement acceptés. L’intégrateur devra par la suite s’assurer que les processus de cybersécurité établis soient respectés tout autant dans son entreprise qu’auprès de ses sous-traitants.

Aller au-devant des risques

Selon Statistique Canada, 47 % des attaques informatiques au pays en 2019 ciblaient les PME(3), qui, avec plus de 1,14 million d’entreprises au pays(4), constituent des acteurs essentiels du tissu économique national.

Se croyant trop petites pour représenter une cible attrayante, elles sous-estiment trop souvent les cybermenaces dont elles pourraient être victimes. Les PME disposent souvent de systèmes de sécurité moins robustes qui deviennent des portes dérobées plus faciles d’accès pour la pénétration des systèmes informatiques des plus grandes entreprises.

Cette situation de vulnérabilité pourrait être circonscrite par les donneurs d’ouvrage s’ils étaient proactifs en encourageant une approche collaborative avec l’ensemble de ses partenaires afin de solidifier sa chaîne d’approvisionnement de bout en bout. Ils pourraient ainsi inciter les PME avec lesquelles ils traitent à développer leur cyberrésilience en s’appuyant sur des ressources dédiées à la cybersécurité.

Bien que les normes internationales soient encore en développement ou en phase d’adoption, plusieurs solutions existent déjà afin d’accompagner les PME dans le processus de sécurisation de leurs systèmes informatiques; par exemple, le programme CyberSécuritaire Canada(5) mis en œuvre par le gouvernement fédéral donne accès aux PME à des ressources afin de mieux connaître et de comprendre les risques auxquels elles sont exposées. De plus, sous réserve de la mise en place de contrôles de sécurité spécifiques, elles peuvent obtenir une certification reflétant ses pratiques exemplaires en matière de cybersécurité

Les sous-traitants qui intègrent des politiques de cybersécurité lors de la conception même de ses produits et/ou systèmes sortent gagnants de cette démarche, qui profitera à l’ensemble de ses clients via une réduction des risques liés à la cybersécurité. Cette approche collaborative revêt ainsi un bénéfice mutuel pour l’ensemble des acteurs concernés et la cybersécurité de la chaîne d’approvisionnement sera d’autant mieux assurée que la collaboration entre les intervenants sera fructueuse.

Le maintien d’un bon niveau de cybersécurité de tous les acteurs de la chaîne d’approvisionnement devient un prérequis à son bon fonctionnement, mais cela requiert des efforts et des investissements à long terme et dont les bénéfices sont complexes à évaluer. Échanges d’informations et partages de bonnes pratiques entre clients et fournisseurs sont autant de moyens qui permettront aux organisations de prendre part à une réflexion plus globale afin d’augmenter leur cyberrésilience mutuelle. En investissant temps et efforts pour analyser et renforcer le niveau de cybersécurité de leur chaîne d’approvisionnement, les entreprises contribueront ainsi à générer de la valeur pour l’ensemble de leur écosystème.

⁽¹⁾ https://www.pwc.com/ca/fr/digital-trust-insights

⁽²⁾ https://www.enisa.europa.eu/understanding-the-increase-in-supply-chain-security-attacks

⁽³⁾ https://www150.statcan.gc.ca/n1/daily-quotidien/201020/dq201020a-fra.htm

⁽⁴⁾ https://cyber.gc.ca/publications

⁽⁵⁾ https://cybersecuritaire-canada/fr/exigences-certification

Un prérequis pour répondre aux appels d’offres?

Bien que l’industrie des transports exige de plus en plus que les véhicules soient certifiés et répondent à des exigences normalisées de cybersécurité, l’enjeu réside dans le fait que la grande majorité de ces véhicules sont déjà conçus, voire déjà construits ; il est à noter que cet enjeu concerne aussi de nombreuses autres industries.

Implanter un programme de cybersécurité opérationnelle et accomplir les démarches pour faire certifier des systèmes existants pose alors un défi supplémentaire pour les entreprises qui tentent de concilier les exigences de conformité minimales, les contraintes techniques et financières relatives à leurs systèmes ainsi que l’échéancier de mise en marché.

L’approche utilisée pour certifier un système existant s’apparente à celle permettant de certifier un nouveau système, il s’avère toutefois plus compliqué d’en effectuer une analyse complète. Pour leur part, la cartographie des risques en matière de cybersécurité et les scénarios d’attaques étant effectués en utilisant l’architecture existante, cette dernière pourrait ne pas être adaptée à ces nouvelles exigences, rendant ainsi le processus de documentation de démonstration des requis de cybersécurité ardu, voire irréalisable.

Les efforts et les ressources mobilisées pour effectuer ces analyses engendreront des coûts qu’une entreprise pourrait se voir contrainte d’absorber afin de commercialiser son système à un prix compétitif. Une piste de solution est d’effectuer une analyse des écarts avant d’entamer un programme de cybersécurité pour évaluer l’ampleur des efforts à produire. Pour ce faire, l’entreprise pourra solliciter l’aide d’experts externes qui pourront produire, ou encore l’assister dans l’analyse des risques inhérents en matière de cybersécurité ou pour revoir son analyse dans le cadre d’audits internes.

Pour que ces étapes soient couronnées de succès, il sera essentiel d’impliquer différents professionnels et métiers de l’organisation, notamment l’équipe des ventes afin d’expliquer la démarche et ses implications financières et sensibiliser ses membres à la nécessité d’intégrer ces nouvelles exigences dans les réponses aux appels d’offres. L’équipe des ventes pourra alors déterminer les coûts additionnels qui sont reliés aux activités de cybersécurité afin de rentabiliser ces ajouts.

Les fournisseurs ou sous-traitants des diverses composantes des systèmes constituent aussi des parties prenantes essentielles dans cette approche ; cet élément sera couvert dans notre prochain article qui se concentrera sur les enjeux liés à la chaîne d’approvisionnement.

Une étape clé : Revoir l’architecture TI

Comme expliqué précédemment, la norme ISO/SAE 21434 se concentre principalement sur les systèmes opérationnels. Toutefois, il est crucial de considérer l’ensemble des équipes de Technologies de l’Information (TI) comme partenaire essentiel à la préparation des entreprises à devenir cyberrésilientes.

Cela sera d’autant plus important que les exigences minimales de cybersécurité opérationnelle sont souvent confondues avec les éléments de cybersécurité organisationnelle. Par exemple, il est souvent exigé d’effectuer de simples tests de validation d’intrusion des systèmes, alors que ceux-ci ne constituent qu’une partie d’une démarche de certification d’un système en cybersécurité.

Une organisation qui n’aurait pas encore implanté de programme de cybersécurité devra aussi sécuriser ses infrastructures TI organisationnelles. Cela impliquera d’analyser les écarts avec ses pratiques courantes en TI, mettre à niveau ses méthodes afin d’adopter des pratiques cybersécuritaires conformes aux exigences du marché tout en instaurant des politiques et processus favorisant le maintien de ces pratiques dans le temps.

9 éléments de sécurité des réseaux

À quels risques s’exposent les entreprises ?

Si l’appât du gain demeure le principal motif des cyberattaques, les dégâts potentiels varient beaucoup selon leurs auteurs.

Dans le secteur des transports, les cybermenaces peuvent, par exemple, mener à la prise de contrôle d’équipements afin de perturber un réseau de transport, voire le paralyser, ou encore le détruire. Un exemple récent est celui de l’attaque par un virus informatique, subie par une société de transports en commun d’une grande ville nord-américaine. L’infiltration a touché plus de 60 % des serveurs de l’entreprise, ainsi qu’une multitude de postes de travail, l’obligeant à mobiliser de nombreuses ressources pour remettre en état ses serveurs et s’assurer qu’aucune donnée ne soit dérobée. Ce cyberincident n’a pas affecté le réseau opérationnel d’autobus et du métro, toutefois plusieurs autres plateformes de l’entreprises ont été perturbées, dont son site web et ses lignes téléphoniques.

Un autre exemple ayant frappé les esprits, et provoqué une prise de conscience dans le secteur automobile, est la prise de contrôle à distance d’un véhicule Jeep Cherokee par deux chercheurs américains en 2015. Les deux spécialistes en sécurité informatique voulaient démontrer qu’il leur était possible de perturber différents systèmes de la voiture en s’infiltrant dans son ordinateur de bord. L’opération menée avec la participation d’un journaliste placé au volant du véhicule a conduit Fiat Chrysler à rappeler plus d’un million de véhicules afin de corriger les vulnérabilités concernées.

Bien que les cyberattaques n’aient pas toutes la même ampleur ni la même gravité, les conséquences peuvent néanmoins être très néfastes pour les organisations qui les subissent, mettant en péril leur santé économique, leur réputation, voire leur pérennité.

En effet, selon un sondage mené par le cabinet Deloitte (2), 32 % des hauts dirigeants à l’échelle mondiale ont indiqué que les répercussions les plus importantes sont d’ordre opérationnel. Ils mentionnent ensuite le vol de propriété intellectuelle (22 %) et la baisse du niveau de leurs actions (19 %).

Les systèmes opérationnels sont d’autant plus à risque qu’ils ont souvent été conçus indépendamment des infrastructures organisationnelles, sans inclure d’éléments de cybersécurité. Développées pour durer, avec des cycles de vie généralement supérieurs à 10 ans, les technologies opérationnelles intègrent des équipements et des logiciels dont les vulnérabilités sont souvent bien connues des pirates informatiques ou finissant par l’être par manque de mises à jour.

Les entreprises sont-elles prêtes à riposter ?

La nature très hétérogène des cybermenaces les rend difficiles à anticiper et oblige les entreprises à devenir cyberrésilientes. De l’inventaire des actifs connectés à un réseau à l’inventaire des compétences dont elles disposent pour connaître, comprendre, détecter et s’outiller face à ces nouveaux risques, les forces doivent s’unir au sein de l’entreprise pour faire front commun contre ces menaces.

À l’échelle mondiale, des gouvernements, groupes de travail et organismes réglementaires s’organisent aussi pour définir de nouvelles règles. Lutter contre les cyberrisques impliquera bientôt pour les donneurs d’ouvrages et les entreprises de démontrer leur capacité à intégrer des exigences minimales en matière de cybersécurité.

C’est ainsi qu’aux États-Unis, l’Institut national des normes et des technologies (NIST), une agence fédérale à vocation non réglementaire, propose un cadre de cybersécurité regroupant plusieurs normes, lignes directrices et pratiques exemplaires disponibles gratuitement pour les organisations privées qui souhaitent développer ou mettre à jour leurs propres programmes de cybersécurité. 

Dans le domaine des transports, les Nations Unies ont également ébauché des normes incitant les manufacturiers de véhicules à développer des systèmes opérationnels sécuritaires en intégrant des éléments de cybersécurité dès la phase de conception. Les règlements UN R155 et UN R156 adoptés en 2021 posent ainsi les bases d’un cadre de cybersécurité des véhicules dans différentes régions du monde, qui s’applique aux systèmes de gestion de la cybersécurité et des mises à jour logicielles. De nouvelles mesures que l’Union européenne entend imposer aux fabricants de véhicules routiers dès 2022 pour tous les nouveaux véhicules, et d’ici 2024 pour les plateformes existantes.

Au Canada, les travaux de Transports Canada et des différents paliers de gouvernement tiennent compte de ces nouvelles normes de sécurité, et notamment de la norme ISO/SAE 21434 (Véhicules routiers — ingénierie de la cybersécurité) qui vise à intégrer les pratiques de génie dans le domaine de la cybersécurité à toutes les étapes du cycle de vie des véhicules.

La transformation numérique est bien enclenchée et porteuse d’un grand potentiel dans le domaine des transports, en ce qu’elle permet de nombreux gains d’efficacité pour les manufacturiers et contribue à améliorer la sécurité des transports pour les usagers.

Les défis de cybersécurité deviennent toutefois une préoccupation croissante pour les entreprises, qui devraient leur accorder l’attention qu’ils méritent, au plus haut niveau de l’organisation. Il s’agira ainsi d’évaluer l’exposition des organisations aux cyberrisques, de mobiliser les ressources nécessaires pour se protéger adéquatement, de gérer les incidents et les éventuelles situations de crise et tout en mettant à niveau les systèmes opérationnels. Il sera également important d’adopter une approche globale incluant les tierces parties, afin de gérer aussi les risques propres à la chaîne d’approvisionnement, comme nous le verrons dans les prochains articles de ce dossier spécial.

Lisez le deuxième article de notre série. 

(1) Partenaires en matière d’infrastructures essentielles (securitepublique.gc.ca)

(2) Le sondage 2021 sur l’avenir de la cybersécurité de Deloitte, a interrogé au sujet de la cybersécurité près de 600 hauts dirigeants d’entreprises présentant un revenu annuel d’au moins 500 millions de dollars, entre le 6 juin et le 24 août 2021.