Bill Ross

Il convient d’envisager les menaces à la cybersécurité comme l’un des cinq risques professionnels dans toute organisation dédiée aux ressources. L’embarras, les dégâts et la perte financière engendrés par les attaques récentes à l’encontre de grandes organisations soulignent à la fois la sophistication et l’ingéniosité des pirates informatiques malveillants. Ceci place la cybersécurité à l’ordre du jour de nombreux conseils d’administration.

Les bonnes pratiques de sécurité limitent considérablement les risques d’intrusion. Dans de grandes organisations, les dépenses annuelles dans les technologies de l’information (TI) sont en moyenne de 4 à 5 % des revenus. Un bon indicateur du coût annuel d’un programme de cybersécurité est d’envisager l’équivalent de 4 à 8 % du budget consacré aux TI, qui inclut le coût des logiciels, du personnel ainsi que des dépenses en capital pour l’équipement.

Cependant, les organisations dédiées aux ressources sont souvent enclines à injecter un moindre pourcentage de leur budget dans la cybersécurité ; en effet, elles pensent être moins exposées aux risques car elles ont moins de données client à protéger. De fait, dans le secteur des ressources, c’est l’intrusion malveillante touchant l’usine de traitement et l’équipement qui est la menace la plus grave, et qui peut se révéler particulièrement dramatique. Stuxnet, un ver informatique qui cible les types de systèmes de commandes industriels utilisés dans l’infrastructure soutenant les installations (par exemple les installations pétrolières et les conduites de gaz), a gravement compromis une centrale énergétique en Iran en 2010.

Un facteur important de différenciation entre le secteur des ressources et d’autres industries est que les organisations dédiées aux ressources doivent investir relativement plus dans la protection de leurs actifs d’exploitation, et moins dans les retombées d’une intrusion (en termes de compensation légale et du client). Par exemple, 500 millions de comptes clients des hôtels Marriott ont récemment été compromis. Cet incident n’aura sans doute aucune incidence sur les activités de la chaîne d’hôtels, mais la fidélité des clients pourrait en être affectée en raison de l’intrusion dans des données personnelles, et les répercussions pourraient se révéler importantes.

Ainsi, la question que doit se poser toute organisation dédiée aux ressources est de savoir combien investir et que protéger. Il convient de protéger trois domaines, à savoir le réseau de la société, son équipement et ses données.

Le réseau d’une organisation constitue pour les intrus une première cible. Les actions d’un agresseur commencent généralement par une période de reconnaissance visant à déterminer le meilleur moyen d’attaquer, qui mène à l’installation d’un logiciel malveillant sur les systèmes de la cible, lequel aboutira à l’exploitation de données précieuses. La détection précoce d’un intrus malveillant limite les coûts liés à l’attaque, aussi est-ce une bonne idée d’investir dans des systèmes de défense en prévention.

Les outils dédiés au matériel de défense comprennent des systèmes pare-feu et des systèmes de détection d’intrusion (SDI), dont la sophistication varie en fonction de leur prix. La meilleure façon de se défendre est de s’équiper d’un système pare-feu qui surveille ce qui entre et sort du réseau et qui bloque les intrusions. Si les systèmes pare-feu sont devenus plus complexes de manière à combattre la sagacité des agresseurs, beaucoup de ceux commercialisés répondent aux vulnérabilités perçues de la plupart des organisations.

Un SDI recherche activement des tentatives d’intrusion et détourne les attaques en repoussant les données malveillantes. Certains pirates informatiques utilisent des réseaux d’ordinateurs contrôlés (appelés robots) pour commettre une intrusion. L’achat d’un filtre à réseau de zombies est une mesure efficace contre ces attaques. Au vu de la prolifération des dispositifs personnels, de nombreux systèmes actuels de défense recherchent des anomalies dans les communications entre un utilisateur à distance et les systèmes locaux. Les organisations sophistiquées utilisent des pièges pour attirer un agresseur dans une partie contenue du système où l’attaque est neutralisée.

Tous les grands fabricants d’équipement réseau fournissent du matériel et des logiciels de défense compatibles. Lors de la sélection, les organisations dédiées aux ressources doivent tout d’abord envisager les fabricants ayant une expertise dans l’infrastructure et les actifs d’exploitation. Le personnel de gestion de toute organisation dédiée aux ressources doit être informé des risques qu’engendrent les menaces à la cybersécurité et de la façon d’adopter une culture de la sécurité. On comprend bien l’importance de ces risques dans les autres sections de l’exploitation, aussi pourquoi ne pas l’appliquer aux systèmes d’information ?

Vous trouverez ci-dessous cinq mesures de sécurité essentielles à suivre :

1. Évaluez ce que vous souhaitez protéger. Ceci dictera les sommes à investir. Toutes les données, qu’il s’agisse des actifs d’exploitation ou des données client, qui vous confèrent votre avantage concurrentiel, doivent constituer pour vous une priorité.

2. Chaque employé(e) a un rôle à jouer dans la protection des systèmes et des données. Les politiques et la formation continue doivent renforcer la culture de la cybersécurité.

3. Restreignez l’accès au matériel et aux données aux personnes qui doivent réellement y avoir accès.

4. Maintenez la haute qualité de votre matériel et la mise à jour de vos logiciels. Les pirates informatiques sont davantage susceptibles d’exploiter des systèmes plus anciens.

5. Ayez une équipe d’intervention prête à agir en cas d’attaque.

En bref, l’investissement dans des systèmes pour contrer les cyberattaques est essentiel, mais la cybersécurité ne doit pas se confiner au service des TI. Comme pour tout actif professionnel, tous les employés sont responsables d’assurer la sécurité des données, de les utiliser en toute sécurité et de les protéger contre les dégâts ou le vol. De même, la direction a la responsabilité d’évaluer les risques et de déployer les ressources nécessaires pour défendre efficacement sa société contre les attaques.


Bill Ross, anciennement cadre supérieur dans le secteur de l’énergie, dirige aujourd’hui Vercerta, un cabinet d’experts-conseils se spécialisant dans les conseils en matière de gestion des risques.

Traduit par Karen Rolland