Série sur la cybersécurité : réfléchir dès aujourd’hui pour répondre intelligemment aux incidents

Xylem s’associe avec des clients du monde entier pour les aider à construire un réseau résilient, y compris en améliorant leur protection relative à la cybersécurité. Lors des prochains mois, les experts de Xylem vont partager leurs points de vue sur les questions brûlantes qui agitent les esprits des opérateurs et des utilisateurs du secteur de l’eau, ainsi que sur les stratégies pour améliorer la cybersécurité. Clay Carter, Vice-Président, Chef de la sécurité produit, parle ici des meilleures pratiques pour répondre à un incident. Il explique que la réponse la plus efficace commence bien avant que l’incident ne se produise.

Dans le monde entier, les opérateurs et les utilisateurs du secteur de l’eau misent sur les technologies avancées pour répondre aux enjeux grandissants tels que la pénurie d’eau, l’accessibilité à l’eau et la résilience face au changement climatique. Chez Xylem nous pensons que renforcer la cybersécurité va de pair avec l’accroissement de ces solutions.

Alors que nous continuons à adapter nos manières de travailler pour optimiser les possibilités offertes par le digital, nous devons mettre la cybersécurité au centre de la discussion. Chez Xylem, nous croyons que cette responsabilité ne repose pas sur une seule entité ou un seul poste, mais que cela nécessite un effort concerté venant des services publics, des industries et des autres types d’organisations jusqu’aux prestataires de services et de solutions et aux intégrateurs. 

Des incidents importants récents dans le domaine du numérique ont renforcé l’urgence de tenir ce genre d’échanges autour des stratégies de protection. Mais le secteur de l’eau à encore beaucoup de travail.

Selon un sondage mené auprès des services américains par le Water Sector Coordinating Council (WSCC, instance américaine en charge de la coordination des acteurs du secteur de l’eau) en avril 2021, 38 % des organisations dédient moins de 1 % de leur budget à la cybersécurité des technologies de l’information (IT). 44 % des organisations dédient moins de 1 % de leur budget à la sécurité de leurs technologies d’exploitation (OT). Ces chiffres montrent que même si la cybersécurité est dans tous les esprits, beaucoup ne prennent pas encore de mesures. Nous devons prendre les choses en main pour gérer le risque de manière proactive. Nous devons passer d’une posture passive à une posture proactive afin de développer une cyber résilience.

Commencer à préparer la réponse à un incident dès aujourd’hui

La première étape pour gérer les risques cyber est de construire un plan qui met en évidence tous les acteurs et les activités proactives nécessaires pour surveiller en permanence les menaces liées à la cybersécurité et s’en protéger. Ces activités incluent : la formation pour sensibiliser aux menaces qui pèsent sur les services publics et aux mesures de protection des réseaux, la surveillance active des ressources et des processus, la mise à jour des systèmes suivant les recommandations des revendeurs, ainsi que la préparation des futures activités de récupération.

La planification est plus efficace si elle est basée sur une approche du risque cyber de type « quand pas si ». Notre équipe chez Xylem s’associe aux clients pour les aider à prévoir les incidents bien avant qu’ils ne se produisent et à prendre en compte de nombreux acteurs. 

Nous encourageons les opérateurs du secteur de l’eau à suivre ces principes dans leur planification :

1. Créez un plan opérationnel en vous assurant que le personnel comprend et s’approprie le plan. Le sondage du WSCC a montré que 51 % identifient le besoin d’éduquer les professionnels du secteur de l’eau et de leur proposer des formations sur mesure. Alors que nous adoptons de plus en plus de solutions connectées et intégrées, nous avons besoin de responsabiliser les équipes en leur donnant les connaissances relatives aux risques potentiels, des stratégies pour limiter les risques et attribuer à chaque partie prenante un rôle dans cet effort. Commencez par décider qui au sein de votre organisation devrait être impliqué dans le développement du plan et de sa future mise en place. Engagez-les rapidement et régulièrement pour entretenir une approche solidaire et collaborative.
   
   
2. Ne le faites pas seul. Sachez qui vous pouvez appeler à l’aide et quand. Construire la résilience au risque cyber est un effort collectif. Cherchez une assistance pour la planification et la réponse aux incidents au-delà du cadre de votre organisation. 47 % des services américains ont identifié un besoin d’assistance technique, de conseils, d’audit ou d’un autre type d’aide. Tenez compte de l’écosystème de partenaires pour tirer parti de l’expertise offerte par les associations industrielles, les partenaires et les prestataires de services sous contrat. 

   Aujourd’hui, il existe des services spécialisés dans la réponse aux incidents sous contrat mandatés par les opérateurs du secteur de l’eau et des réseaux d’exploitation des eaux usées. Les services sont ainsi soulagés de la charge de maintenir une expertise spécialisée dans ce domaine. Par exemple, chez Xylem nous sommes associés à Dragos, un fournisseur international de solutions de cybersécurité, pour protéger nos clients grâce à un contrat qui permet de faire appel à leurs services en cas d’incident. Cette approche aide nos clients sur tous les aspects de planification et de réponse, du développement d’une stratégie de gestion de l’information (pour s’assurer que la connexion et les sauvegardes sont appropriées à la réponse souhaitée) à la réponse rapide durant une cyberattaque. Cela permet de rapidement réunir les données criminalistiques, de diagnostiquer les enjeux, et de rapidement remettre les réseaux opérationnels en sécurité.

3. Travaillez pour renforcer la capacité de réduire le risque. Alors que plus de la moitié des organisations interrogées par le WSCC (57 %) déclarent avoir un plan de gestion des risques qui prend en compte la cybersécurité, seulement une organisation sur quatre (23 %) réalise des audits annuels concernant les risques liés à la cybersécurité. Établissez des processus pour intégrer ces pratiques pour sensibiliser et responsabiliser les acteurs de votre organisation. 

Une approche collaborative ou écosystémique de la cybersécurité signifie que chaque participant a les moyens de gérer le risque là où il est le plus à l’aise. Par exemple, un fabricant de produit se concentre sur la sécurité de ce produit (p. ex. rendre le produit plus solide) et sécurise les instructions de déploiement ; l’intégrateur se concentre sur l’implémentation d’un déploiement sécurisé (p. ex. une architecture de réseau sécurisée) et fournit des instructions de vérification ; l’opérateur se concentre sur la maintenance continue de la sécurité (p. ex. la résilience opérationnelle) et la réponse efficace à un incident. Chaque acteur de l’écosystème s’appuie sur ses forces pour obtenir un résultat optimal et une amélioration continue.

Grâce à la planification collaborative et proactive et une attention soutenue portée à la gestion du risque cyber, nous pouvons avoir un coup d’avance sur les menaces cyber. La dynamique est là. Saisissons l’opportunité d’intégrer la cybersécurité comme élément essentiel dans la transformation de notre industrie.

Pour en savoir plus sur notre approche de la sécurité produit ou contacter notre équipe dédiée à la sécurité, consultez http://xylem.com/security.

Clay Carter est Vice-Président, Chef de la sécurité produit, chez Xylem, un leader mondial des technologies liées à l’eau. Clay dirige une équipe mondiale qui comprend des responsables de la sécurité des produits des unités commerciales, des architectes et des ingénieurs en sécurité, ainsi qu’une équipe de réponses aux incidents de sécurité des produits. Il a rejoint Xylem en mai 2019. Auparavant, il a travaillé pour GE dans de nombreux domaines industriels y compris la santé, les énergies renouvelables, l’aviation, la génération d’énergie, et les transports. En plus de son travail chez Xylem, Clay fait partie du comité consultatif dédié à la cybersécurité mondiale, ISA Global Cybersecurity Alliance, et a tenu des conférences lors des congrès S4, RSA et SecureWorld.