La Cyber Résilience dans l’industrie pétrolière et gazière est la thématique principale du dernier rapport du Forum économique mondial. Codirigé par Aramco et Siemens Energy, ce rapport dégage certains principes d’actions contre les cyberattaques. Un fléau, dont la multiplication sans précédent, pose des questions quant à la digitalisation des activités des entreprises énergétiques.
Cyber Résilience : prévenir la multiplication des cyberattaques
Depuis plusieurs années, les secteurs pétrolier et gazier sont profondément touchés par la transformation numérique. Les entreprises contrôlent leurs actifs énergétiques en les reliant à des technologies opérationnelles ou à des réseaux et des systèmes d’informations. L’automatisation et l’utilisation d’intelligences artificielles permettent aux entreprises de sécuriser leurs productions et de limiter leurs émissions de carbone.
Les compresseurs de gaz et les équipements de forage en mer sont, par exemple, reliés à un réseau informatique. Cela permet d’optimiser la récolte des donnés et de créer un système d’information facilement accessible. Une solution moins couteuse pour les entreprises qui acquièrent plus de profits.
20 fois plus de cyberattaques en 1 an
En 2025, 37 milliards de dispositifs industriels seront connectés. Une situation qui permet aux cyberhackers de viser plus facilement le secteur énergétique. En ce sens, selon le rapport Cyber Resilience in the Oil and Gas Industry du Forum Économique Mondial (WEF), le nombre d’attaques contre des actifs connectés aurait été multiplié par 20 entre 2018 et 2019.
Le coût moyen des atteintes aux données personnelles dans le secteur de l’énergie atteint ainsi 6,39 millions de dollars. Un chiffre plus élevé que la moyenne mondiale de 3,86 millions de dollars. Un chiffre en augmentation de 13% par rapport à 2019.
Par conséquent, les cybermenaces sont identifiées comme le principal défi commercial à court terme par le Global Risks Report 2021 du WEF.
Qu’est-ce que la cyber résilience ?
Ces menaces persistantes font de la cybersécurité une exigence fondamentale pour ce nouveau modèle économique reposant sur la numérisation. Pour faire face à ces nouveaux défis, les entreprises doivent donc continuellement améliorer la cyber résilience de leur organisation.
La cyber résilience consiste, pour l’entreprise en l’adoption d’une politique préventive pour faire face aux cyberattaques. Aussi, que l’entreprise cyber résiliente assure la continuité de ses activités. Pour cela, des moyens de relancer rapidement la productivité en cas d’attaques informatiques doivent être mis en place.
6 principes pour faire évoluer la cyber résilience dans l’industrie pétro-gazière
40 cadres supérieurs de l’industrie pétrolière et gazière ont contribué au rapport du WEF. Ces derniers ont identifié les meilleures pratiques à mettre en place en matière de cyber résilience.
Le rapport édicte ainsi six nouveaux principes pour aider les entreprises du secteur énergétique à renforcer leur cybersécurité. Ces dernières pourront notamment les reprendre dans leur politique de confidentialité. Une façon de garantir à leurs clients la protection de leurs données personnelles.
Instaurer une culture de la cyber résilience
Premier principe : mettre en œuvre une gouvernance de la cyber résilience. Cela suppose une supervision des systèmes informatiques et de sécurités, ainsi que des technologies opérationnelles. L’entreprise pourrait créer un poste de responsable de la cybersécurité, une structure de surveillance et mettre en place des protocoles.
Deuxièmement : sensibiliser les employés à cette thématique à travers la promotion d’une culture de la cyber résilience. Cette notion doit être appliquée tout au long de la chaîne d’approvisionnement et dans tous les aspects de l’entreprise. Les employés doivent posséder les moyens d’identifier une cyberattaque et réaliser régulièrement des rapports sur la situation.
Évaluer l’importance des cyber risques
Troisièmement : mettre en place une responsabilité des entreprises en matière de cyber résilience. Les entreprises doivent aussi établir le niveau de risque d’une cyberattaque pour leurs organisations et définir comment les gérer. Par exemple, le plan de continuité des activités peut être renforcé grâce à des mesures de récupération hors ligne.
Quatrièmement : adopter une approche holistique de la gestion des risques informatiques. Des ressources humaines, matériels et financières doivent, en effet, être fournies pour développer des programmes de cyber résilience.
Une collaboration à l’échelle de l’écosystème
La protection des données est un enjeu mondial. En effet, les fournisseurs d’infrastructures ou les partenaires commerciaux peuvent se situer dans d’autres pays. De même, la chaîne d’approvisionnement se limite rarement à une seule région du monde.
Cinquièmement : mettre en place une collaboration à l’échelle de l’écosystème pour éviter un effet en cascade des cyberattaques. Les différentes équipes doivent donc être mises en relation et recevoir le même enseignement en matière de cyber résilience.
Créer des stratégies collectives
Enfin sixièmement, mettre en place des stratégies et des plans communs entre les différents partenaires. C’est-à-dire aller plus loin qu’une collaboration seulement intra-entreprise. En somme, il est nécessaire de multiplier le nombre de rapports, mais aussi d’informations échangées entre les différentes entreprises d’un écosystème commun.
10 principes pour tous les secteurs
Le WEF développe également 10 autres grands principes de cyber résilience. Ces derniers sont applicables à tous les secteurs. On retrouve ainsi les principes de responsabilité en matière de cyber-résilience et la mise en place de formations ; la quantification de la tolérance de l’entreprise aux cyber risques et la réalisation d’examens.
Également, la définition d’un responsable de l’organisation de la cyber résilience et la création de stratégies de résilience. Il faut aussi intégrer les cyber risques dans tous les domaines de l’entreprise. Enfin, insister sur la collaboration entre partenaires en matière de cybersécurité.
Les industries pétrolières et gazières ne se sont jamais considérées comme des entreprises numériques. Pourtant, la numérisation du secteur les obliges aujourd’hui à développer leur cyber résilience pour résister à la menace informatique.
