Technologie

L’équilibre entre sécurité et innovationSi l’industrie minière connaît une transformation numérique sans précédent, les nouvelles technologies augmentent aussi sa vulnérabilité face aux menaces de cybersécurité

Si l’industrie minière connaît une transformation numérique sans précédent, les nouvelles technologies augmentent aussi sa vulnérabilité face aux menaces de cybersécurité

Par Lynn Greiner

27 octobre 2025

Shutterstock

La transformation numérique est à double tranchant pour les sociétés minières. D’un côté, elle permet d’améliorer les activités, de réduire les coûts ainsi que les dangers pour le personnel des mines. De l’autre, elle introduit des risques qui bouleversent totalement ces améliorations.

Ceci pousse souvent les responsables de la cybersécurité à rejeter l’innovation numérique, prévenant les sociétés qu’elles ouvrent les portes à des risques en matière de cybersécurité inacceptables en introduisant de nouvelles technologies. Mais il peut en être autrement. Si elle est gérée convenablement, la cybersécurité peut être une facilitatrice d’affaires.

« La transformation numérique amplifie la performance dans le secteur minier, mais elle élargit en même temps la surface d’attaque, autrement dit le nombre de possibilités pour les cybercriminels d’accéder aux systèmes internes d’une société », indiquait Matt Breuillac, directeur général de Cyber Node, une société basée à Perth, en Australie. « À mesure que les sociétés minières adoptent l’analytique dans le nuage, l’Internet des objets industriels (IIoT, de l’anglais Industrial Internet of Things) et les activités à distance, elles connectent plus étroitement que jamais les environnements de TO [technologie opérationnelle] et de TI [technologie informatique]. Ce faisant, elles s’exposent à de nouvelles catégories de menaces, qu’elles ne sont pas forcément à même de gérer. »

Ce n’est pas le genre de menaces que n’importe quelle entreprise rencontre, expliquait-il.

« Si les entreprises traditionnelles accordent la priorité à la sécurité des TI, les sociétés minières s’intéressent souvent plus à la sécurité des TO en raison de son lien direct avec son impact sur le temps exploitable, la sécurité et l’environnement », indiquait-il. « Les exploitations minières sont construites sur une base de systèmes d’IIoT et de TO hérités du passé, des technologies qui n’étaient pas conçues pour tenir compte de la cybersécurité, mais qui se trouvent aujourd’hui au cœur des processus critiques. Ces environnements sont criblés de capteurs, de systèmes SCADA [de l’anglais supervisory control and data acquisition, une architecture qui permet aux organisations industrielles de gérer, surveiller et contrôler les processus, les machines et les usines] et de schémas de surveillance à distance qui ne se réparent pas et ne se redémarrent pas aussi facilement qu’une infrastructure TI classique. »

S’ajoutent à cela des problèmes de connectivité souvent rencontrés dans les lieux isolés, qui rendent précaire le maintien de la sécurité de l’accès à distance (une condition incontournable pour de nombreuses technologies).

« Si elles sont essentielles aux sociétés minières à mesure qu’elles innovent, toutes ces technologies s’accompagnent d’une série de risques croissants en matière de cybersécurité si elles ne sont pas conçues et mises en œuvre de manière sécurisée », déclarait Lester Chng, conseiller supérieur en cybersécurité à Rogers Cybersecure Catalyst, le centre national de formation, d’accélération, de recherche appliquée et de développement et d’enseignement public à la cybersécurité de la Toronto Metropolitan University. « Le plus inquiétant est la campagne en faveur de l’optimisation des exploitations minières au travers du renforcement de la connectivité des réseaux et de l’équipement de TI avec ceux de la TO. »

Comme l’expliquait Carlos Chalico, dirigeant en cybersécurité dans le secteur des mines et des métaux d’Ernst & Young (EY) Amériques, du point de vue de la cybersécurité, les sociétés minières ne doivent pas seulement prêter attention aux enjeux en matière de TI, mais aussi à ceux de la TO. « Cette difficulté est directement liée au fait que, dans le passé, les dispositifs et réseaux de TO avaient leur propre protocole de communication et ils n’étaient pas connectés à des réseaux classiques de TI de bureaux », indiquait-il. « Toutefois, la situation a évolué, et ces deux réseaux peuvent désormais être reliés. Ainsi, si l’un est compromis, l’autre peut être affecté. »

Ces réseaux de TO peuvent aussi bien être des capteurs et des dispositifs dans la mine que des systèmes d’automatisation dans les usines de traitement et des véhicules autonomes transportant du minerai.

Si des intrus parviennent à compromettre le réseau de TI ou de TO, ils pourraient élargir leur attaque à l’autre, ciblant à la fois le volet commercial et le volet opérationnel de la société. « En définitive, nous devons trouver un moyen de segmenter correctement le réseau, afin de bien gérer ces dispositifs afin qu’ils répondent à l’exploitation, mais qu’ils aident aussi à réduire le risque d’exposition de tous ces éléments », expliquait M. Chalico.

Les spécialistes de la sécurité doivent aussi protéger divers emplacements connectés, ce qui complique encore davantage leur travail. Comme le faisait remarquer M. Chng, la différence importante entre les sociétés minières et les autres entreprises concerne l’ampleur de la perturbation provoquée par une cyberattaque. « La perturbation peut entraîner une perte considérable de revenus en raison de l’impossibilité de surveiller et de gérer des incidents qui touchent les systèmes de TO », expliquait-il. « Un incident qui touche la TO peut aller d’un arrêt catastrophique de la production au décès ou à la perte d’un membre. »

Les impacts potentiels sur la sécurité des activités minières découlant de cyberattaques sur la TO peuvent être considérables, indiquait M. Chng. Par exemple, une cyberattaque sur des camions de transport ou des systèmes de contrôle d’un engin d’excavation peut entraîner des changements soudains dans l’accélération, le freinage ou la conduite, et mettre en danger les opérateurs et opératrices ainsi que le personnel à proximité. Les attaques sur les contrôles de l’aérage peuvent stopper le débit d’air ou inverser les ventilateurs, entraînant une accumulation dangereuse de gaz toxiques ou un manque d’oxygène. Enfin, l’arrêt brutal d’un transporteur à courroie ou sa remise en marche soudaine peut entraîner le déversement de substances et des risques de broyage, et les équipes de maintenance peuvent se retrouver piégées.

Améliorer la résilience

Ces risques ne doivent toutefois en aucun cas faire reculer les sociétés devant l’innovation numérique, déclarait Rob Labbé, directeur général et responsable de la sécurité des systèmes d’information (RSSI) par intérim au Mining and Metals Information Sharing and Analysis Centre (MM-ISAC, le centre de partage et d’analyse des informations dans le domaine des mines et des métaux), une organisation à but non lucratif engagée à améliorer la résilience face à la cybersécurité des sociétés du secteur des mines et des métaux. Au contraire, elles doivent s’intéresser aux manières d’améliorer la résilience de leur exploitation.

La solution consiste à disposer d’un plan d’atténuation solide. Toutefois, faisait remarquer M. Labbé, lorsque les sociétés introduisent la technologie, elles peuvent omettre de réévaluer la continuité de leur entreprise, sa résilience et les plans de reprise des activités après un sinistre. « Il y a deux sortes de problèmes, ceux " d’actualité " et les " moins urgents ". Il est très facile de placer ces problèmes dans la catégorie des " moins urgents " », indiquait-il.

Le gros problème en matière de cybersécurité dont personne n’ose parler est, bien évidemment, l’intelligence artificielle (IA). Si elle peut s’avérer très porteuse pour les sociétés minières, par exemple en surveillant et en optimisant les variables impliquées dans l’extraction du minerai en temps réel pour parvenir à un meilleur rendement, elle est aussi toujours plus utilisée à des fins criminelles.

Pour atténuer les menaces engendrées par l’IA, une formation mixte est nécessaire (par exemple, il faut savoir reconnaître les messages d’hameçonnage générés par l’IA, ce qui peut parfois être difficile). Une bonne gestion et une bonne gouvernance des données dans tous les domaines de l’organisation sont également indispensables à tous les échelons de l’organisation, de la direction jusqu’aux sites. Le résultat d’un outil d’IA qui tourne mal et sème le désordre dans un processus en raison de données de formation médiocres ou corrompues, ou d’un courriel hameçon généré par IA qui entraîne une atteinte à la protection des données, peut s’avérer tout aussi coûteux.

« Atténuer les risques en matière de cybersécurité dans des environnements industriels commence par l’adoption d’une approche à plusieurs niveaux, qui traite la TI et la TO comme deux domaines distincts mais interconnectés », indiquait M. Breuillac. « La segmentation entre les deux est essentielle pour éviter le mouvement latéral si la protection de l’une des parties est compromise. La visibilité constitue un autre obstacle majeur. Nombre de sociétés minières ne disposent toujours pas d’un inventaire complet de leurs actifs connectés, notamment des dispositifs IIoT et de shadow IT, ou informatique fantôme [toute technologie non approuvée ou non gérée, telle que des dispositifs, des logiciels ou des services dans le nuage utilisés sur un réseau d’entreprise sans la connaissance ou la supervision de l’équipe de TI ou de sécurité], qui épient en marge du réseau. »

M. Chng indiquait que « l’étape essentielle » consiste à créer et à maintenir un inventaire complet des actifs de TI et TO, afin que les sociétés sachent ce qu’elles doivent protéger.

Les contrôles de base, tels qu’une authentification des utilisateurs plus forte, une stratégie solide de sauvegarde des données et un plan d’intervention en cas d’incident sont essentiels pour protéger l’exploitation, insistait M. Chng. Tout comme le sont la mise en œuvre de bonnes pratiques en matière de ségrégation de réseau, le contrôle de l’accès, la gestion des risques des tiers et, essentiellement, la formation pour sensibiliser à la cybersécurité.

D’après M. Breuillac, la technologie à elle seule ne suffit pas. « La formation constitue encore la plus efficace des lignes de défense », indiquait-il. « Elle ne doit pas concerner uniquement le personnel de bureau, mais s’étendre aux ingénieurs et ingénieures, aux prestataires extérieurs, et à toutes celles et tous ceux qui ont accès aux systèmes critiques, surtout celles et ceux qui se trouvent dans des lieux isolés ou sauvages. »

Par ailleurs, les essais en temps réel tels que les tests de pénétration et la méthode de l’équipe rouge pour simuler les attaques et mettre en évidence des angles morts de couverture dans les défenses sont importants. « [Toutefois], même avec une forte détection, l’intervention en cas d’[incident] reste un point faible », prévenait-il. « Trop de sociétés n’ont pas de manuels vérifiés d’interventions en cas d’incident pour les cyberattaques qui perturbent les systèmes et l’équipement en temps réel. »

Par ailleurs, M. Breuillac faisait remarquer que la sécurité physique est tout aussi importante que la cybersécurité.

Les sociétés peuvent apaiser leurs inquiétudes et tester la nouvelle technologie en toute sécurité à l’aide de pilotes à petite échelle qui incluent les contrôles nécessaires en matière de cybersécurité, ajoutait M. Chng, faisant remarquer que le secteur est à l’aise avec ce mécanisme. Selon lui, ceci renforcera leur confiance et augmentera les chances d’adoption.

Des technologies pour catalyser, et non pour paralyser

M. Breuillac observait que certaines sociétés minières mettent en pause leur adoption de l’innovation numérique, pas parce qu’elles n’y trouvent aucune valeur, mais parce qu’elles perçoivent souvent les risques comme étant accablants. « Il existe un malaise subsistant autour de la perte de contrôle, particulièrement avec les plateformes sur le nuage et les systèmes tiers à distance », indiquait-il. « L’idée d’une cyberattaque perturbant les activités physiques n’est plus hypothétique. Si on y ajoute les retombées et les atteintes à la réputation, il est facile de voir pourquoi certaines entreprises hésitent à avancer trop rapidement. »

Ces inquiétudes, associées à la négativité de l’équipe de sécurité, peuvent inciter la direction à mettre un frein à l’innovation numérique. Toutefois, comme le faisait remarquer M. Chalico, les organisations doivent changer les perspectives des responsables principaux de la sécurité et de la direction quant à la sécurité pour mettre fin au « département du non ».

« Nous devons trouver une manière d’équilibrer l’atténuation des risques et l’efficacité opérationnelle », indiquait-il. « Nous devons bien évidemment vérifier que les risques sont correctement contrôlés, que le goût du risque est bien défini, afin de faire des choses conformément au goût du risque de l’organisation. »

Pour ce faire, expliquait-il, les spécialistes de la cybersécurité doivent parler la langue des affaires.

« On observe une dichotomie intéressante [entre] la manière dont la cybersécurité est menée dans la plupart des sociétés minières, et celle dont l’équipe et ses objectifs sont évalués et ses récompenses définies, [ce qui] démotive l’innovation par dessein et constitue un obstacle pour cette dernière. C’est un problème », ajoutait M. Labbé. « Certaines des recherches que j’étudie montrent que 40 % des projets d’innovation dans les sociétés minières ou du secteur sont étouffés dans l’œuf par les équipes de cybersécurité. Ce n’est pas une victoire. »

Le succès d’une équipe de sécurité est souvent mesuré sur la base d’éléments tels qu’un score de maturité élevée, ou le cadre de contrôle utilisé, et non sur la manière dont elle facilite les activités, indiquait-il. « Quelles sont les probabilités que l’innovation que vous trouvez aujourd’hui réponde aux spécificités d’un système construit il y a cinq ans ? », interrogeait-il.

M. Labbé mentionnait une société minière avec laquelle il s’était entretenu l’année dernière, et dont l’équipe d’innovation, composée de dix spécialistes des données, avait proposé plusieurs initiatives, toutes rejetées par l’équipe de sécurité.

« Quel est le coût de dix spécialistes des données pour une année dont vous ne tirez aucune valeur ? Vous les payez, mais n’obtenez rien d’eux. Le coût est sans doute élevé », faisait-il remarquer. « Quel est le coût de substitution de ce qu’ils pourraient avoir proposé, et quelle valeur l’entreprise a-t-elle perdue ? Ils n’ont livré aucun des projets proposés. Le coût est certainement encore plus élevé. »

Provoquer le changement culturel

La sécurité est tout autant un état d’esprit qu’une technologie.

« Un facteur primordial qui est souvent laissé de côté concerne le changement culturel nécessaire lorsqu’il est question de cybersécurité », indiquait M. Chng. « Pour que la cybersécurité soit adoptée et considérée comme une partie intégrante de la transformation numérique d’une organisation, il faut insister sur l’importance de changer la culture. »

Le secteur minier, indiquait-il, est un parfait exemple. « La culture de la sécurité dans le secteur minier est un parfait exemple sur lesquels devraient se calquer les responsables alors qu’ils prêchent la cybersécurité dans leurs organisations », expliquait-il. « Les analogies sont troublantes, et les responsables devraient prendre modèle sur les programmes de formation, la structure de gouvernance, les normes et les comportements culturels ainsi que l’attention accordée à l’esprit d’initiative afin d’engager ce changement culturel. »

Traduit par Karen Rolland

Plus dans la catégorie Technologie

La révolution de l'automatisation

Alexandra Lopez-Pacheco

Cela ne fait aucun doute, l'avenir de l'industrie minière passe par l'automatisation. Cependant, à quoi ressemble cet avenir et par quel chemin allons-nous y arriver?

La conscience des coûts dans la ville que l’on surnomme « Sin City »

Ryan Bergen

Efficacité et rendement : la philosophie du dernier Minexpo