Étude de marché sur la cybersécurité au 21e siècle

Protéger nos infrastructures

Avec l’importance mondiale croissante et l’intégration des ordinateurs dans tous les aspects de l’activité humaine, la cybercriminalité a proliféré et présente désormais un risque sérieux pour les populations, les nations, les gouvernements, les entreprises et les infrastructures critiques.  On estime que les activités criminelles générées par Internet coûtent à l'économie mondiale plus de $400 milliards par an.. ₁ Le prix monétaire et les dangers potentiels de la cybercriminalité continuera certainement à croître si rien n’est fait pour la contrôler.

Les attaques contre nos infrastructures énergétiques sont peut-être les plus potentiellement désastreuses. Initié par hacktivistes, gouvernements adversaires, États voyous, factions quasi religieuses, seules ou en tandem, les attaques informatiques se multiplient et parviennent dans certains cas à pénétrer les périmètres de remparts infrastructurels souvent obsolètes ou inadéquats.  Les implications de ces efforts criminels sont inquiétantes. Imaginez que les installations de traitement de l’eau, les pipelines d’énergie, les télécommunications, les systèmes satellitaires, les institutions bancaires et les centrales électriques soient désactivés, voire détruits par des cyberattaques. Les conséquences de telles incursions pourraient engendrer de l’anxiété, voire le chaos, parmi les populations touchées, tandis que les économies seraient sérieusement affaiblies et endommagées.

À chaque instant, ceux qui sont à l’origine de cette cybercriminalité en plein essor sont de plus en plus avancés technologiquement et cherchent des moyens de perturber, de saboter et de compromettre les systèmes d’infrastructures critiques dans des actes d’espionnage, de manœuvres politiques, de terrorisme et de guerre pure et simple. Rien qu'en 2013, les responsables de la sécurité intérieure aux États-Unis ont signalé 256 incidents de tentatives de cybercriminalité visant des infrastructures critiques, la plupart étant centrées sur le secteur de l'énergie. ₂ L’ancien secrétaire à la Défense Leon Panetta est allé jusqu’à affirmer que les États-Unis étaient confrontés à une menace qu’il a qualifiée de « cyber Pearl Harbor » et de « moment antérieur au 11 septembre ».  Il a brossé un tableau désastreux d’approvisionnements en eau potentiellement contaminés, de pannes d’électricité tentaculaires et de trains qui ont déraillé de force.₃

Il existe une multitude de façons de mener des cyberattaques, notamment les logiciels malveillants, les virus, les vers, les logiciels espions, les attaques par mot de passe, les intrusions par force brute et les attaques DoS (Denial of Service). Ces méthodes de cyberattaque peuvent surcharger ou infecter les systèmes de protection des infrastructures critiques, les rendant ainsi plus faciles à pénétrer. Les systèmes de défense et les infrastructures ciblées peuvent être désactivés, voire détruits, si les méthodologies d'attaque et les auteurs des cybercrimes ne sont pas correctement identifiés et contrecarrés.

Le 12 février^ème, 2013, le président américain Barack Obama a publié Décret exécutif 13636, « Améliorer la cybersécurité des infrastructures critiques » qui établit que « la politique des États-Unis consiste à améliorer la sécurité et la résilience des infrastructures critiques de la nation et à maintenir un cyber-environnement qui encourage l'efficacité, l'innovation et la prospérité économique tout en favorisant la sûreté, la sécurité, confidentialité des affaires, vie privée et libertés civiles.₄

Cette ordonnance a conduit à la création d'un cadre de cybersécurité conçu pour aider les organisations à faire face aux problèmes de cybercriminalité. Cet effort conjoint entre le secteur privé et le gouvernement s'est concentré sur l'établissement d'un langage de communication uniforme et sur des moyens soucieux des coûts de mettre en œuvre des mesures de cybersécurité efficaces. Aucune réglementation directe n’a été adoptée concernant le décret 13636.

Le président Obama a donné pour instruction NIST, l'Institut national des normes et de la technologie, pour travailler avec les institutions et les entreprises directement concernées par le décret dans le but de créer un plan volontaire conçu pour minimiser les risques de cybercriminalité sur les infrastructures critiques du pays.  Tous ces efforts ont été entrepris afin d'unifier les normes et les procédures dans un large éventail de secteurs et de créer des lignes directrices qui pourraient être mises en œuvre rapidement. À cette fin, la communication et la collaboration intersectorielles ont également été encouragées. Le NIST a dévoilé une première ébauche du cadre en février 2014, accompagnée d'une feuille de route révélant l'orientation future prévue par l'Institut pour le cadre.

Comme on pouvait s’y attendre, les efforts visant à réduire la cybercriminalité, l’hacktivisme, les activités cyberterroristes et la cyberguerre impliquent un réseau croissant d’agences gouvernementales et d’intérêts du secteur privé. Parmi ceux-ci se trouve NERC, la Société nord-américaine de fiabilité électrique.  Le NERC est «une autorité de réglementation internationale à but non lucratif dont la mission est d’assurer la fiabilité du système électrique de production en vrac en Amérique du Nord. ₅ Responsable des États-Unis, du Canada et d'une partie de la Basse-Californie, au Mexique, le NERC crée des normes de fiabilité et les applique. Elle participe également à la formation et à la certification du personnel de l'industrie.

Le CIPC (Critical Infrastructure Protection Committee) opère sous l’égide du NERC. Il est composé d’experts en cybersécurité, en opérations et en sécurité physique du secteur. Il comprend également le Conseil de coordination du sous-secteur de l'électricité. (ESCC) qui travaille en tandem avec le gouvernement fédéral pour développer des concepts et des ressources conçus pour protéger les infrastructures critiques et accélérer l'échange d'informations vitales concernant les faiblesses systématiques identifiées.

Le NERC est supervisé par FERC, la Commission fédérale de régulation de l'énergie. La FERC « est une agence indépendante qui réglemente le transport interétatique d’électricité, de gaz naturel et de pétrole. La FERC examine également les propositions visant à construire des terminaux de gaz naturel liquéfié (GNL) et des gazoducs interétatiques, ainsi qu'à autoriser des projets hydroélectriques. "₆   En 2005, la loi sur la politique énergétique a accordé encore plus de responsabilités à la FERC, notamment la promotion de la sûreté, de la fiabilité et de la sécurité des infrastructures.

Le président Obama, s'exprimant à l'Université de Stanford en février 2015, a demandé que le gouvernement américain et le secteur technique collaborent pour lutter contre la cybercriminalité. Cherchant à rétablir un sentiment de confiance suite aux fuites d'Edward Snowden liées à la National Security Administration (NSA), Le président Obama a reconnu qu'une grande partie des infrastructures critiques et des réseaux informatiques du pays se trouvent dans le secteur privé, ce qui nécessite l'effort conjoint proposé. Il a également souligné le fait que le gouvernement est souvent le premier à recevoir des informations relatives aux menaces de cybersécurité, renforçant ainsi les avantages d'une lutte unifiée contre les menaces. Les propos du président pourraient avoir été motivés par les récentes attaques qui auraient été perpétrées par la Corée du Nord. En outre, janvier a été marqué par des activités de piratage impliquant le commandement central américain, Twitter et YouTube commises par des sympathisants de l’État islamique au sein du réseau djihadiste. ₇ Home Depot, JP Morgan Chase et Anthem ont également été victimes de récents piratages. 

Les principaux conseillers du président ont révélé que trois nouveaux groupes de cybersécurité avaient été créés. Cela fait suite à un nouveau décret qui renforce la capacité de la Fed à rassembler des informations entre le secteur privé et le gouvernement. Les entités inaugurales comprennent le Cyber Response Group, le Cyber Threat Intelligence Integration Center et le National Cybersecurity and Communications Integration Center. L’avenir verra également le développement continu de ISAO (Information and Analysis Sharing Organizations) qui devraient grandement faciliter l’agrégation des informations critiques en matière de cybersécurité.

Facteurs clés pour la conformité NERC

Les normes de fiabilité du NERC ont eu un impact indélébile sur les compagnies d’électricité. Alors que les entités du secteur de l’énergie abordent la mise en œuvre obligatoire de ces nouvelles normes, les principaux facteurs de conformité et d’adoption varient en fonction de la taille des entreprises concernées, des attitudes de la C Suite, de la pression des actionnaires et de l’influence extérieure des fournisseurs. Le NERC continue de faciliter la formation et la certification des professionnels essentiels de la sécurité dans le but d'améliorer les compétences en matière de haut débit sur l'ensemble de la plate-forme et d'affirmer l'empreinte de cybersécurité au sein du système d'alimentation en vrac. À mesure que les capacités techniques des cybercriminels augmentent, ceux chargés de protéger nos infrastructures énergétiques vulnérables doivent garder une longueur d'avance grâce à la communication intersectorielle et en coopérant avec la NERC et les agences gouvernementales associées.

CIP NERC 

La conformité NERC CIP aide les services publics à élaborer des programmes et des protocoles de sécurité pour défendre les infrastructures importantes contre les cyberattaques et les interruptions de service. Protection des infrastructures critiques (CIP) les normes définissent les exigences essentielles de conformité et garantissent que les systèmes électriques en vrac maintiennent leur fiabilité. Les progrès technologiques rapides et les capacités croissantes des cyberattaquants rendent la conformité de plus en plus difficile et importante. Désormais dans la cinquième intégration (version 5), les normes CIP aident à identifier les actifs critiques d'une entreprise et aident à identifier qui est connecté à ces actifs et quelles entités y ont accès. Les CIP NERC englobent la protection logique, la sécurité physique et le contrôle de gestion de la sécurité. Les étapes 8 et 9 portent sur une réponse efficace en matière de cybersécurité et de reprise après sinistre.

Malgré ces normes et réglementations, certains estiment que l’on n’en fait pas assez. Des questions se posent ; la simple conformité est-elle suffisante ? Fournit-il réellement la sécurité et la protection nécessaires à nos infrastructures électriques essentielles au 21^St siècle? Ce document continuera à aborder cette question. 

Le cadre NIST

Le cadre de cybersécurité du NIST a le potentiel de déterminer les comportements futurs dans tous les secteurs.  Le Cadre est agnostique dans le sens où il facilite une normalisation du dialogue entre les personnes qui parlent de cybersécurité, permettant ainsi une fusion autour d’un ensemble d’idées, de concepts et de principes.

La publication spéciale 800-53 du NIST, révision 4, est une mise à jour du cadre « motivée principalement par l'expansion de l'espace des menaces, caractérisée par la sophistication croissante des cyberattaques et le rythme des opérations des adversaires (c'est-à-dire la fréquence de ces attaques, le professionnalisme des attaquants et la persistance du ciblage par les attaquants).₈ 800-53 accélère le développement de contrôles de sécurité directement liés à la sécurité des applications, à l'informatique mobile/cloud et à la défense de la chaîne d'approvisionnement.

Le cadre NIST est un élément clé dans l’amélioration de la cybersécurité de notre infrastructure énergétique critique. Il a le potentiel de générer le type de dialogue nécessaire pour mieux comprendre la base des menaces et la manière dont les professionnels du secteur peuvent répondre au mieux à ces cybermenaces, qu'il s'agisse de menaces avancées et persistantes ou qu'elles soient l'œuvre de pirates informatiques quotidiens.

Poussé à se conformer

À mesure que le secteur de l’énergie et d’autres industries progressent, la conformité elle-même est devenue un facteur de motivation et de changement majeur concernant la mise en œuvre de mesures de cybersécurité évoluées. Seules les plus grandes organisations pétrolières et gazières, qui font souvent partie d’entreprises multinationales de pipelines, sont considérées comme des cibles attractives pour les cyberattaques à l’échelle mondiale. Ce sont ces entreprises qui progressent volontairement en se conformant elles-mêmes aux normes de cybersécurité. Ce ciblage perçu est en effet un moteur. Les petites entreprises ont moins tendance à se sentir ciblées et sont donc principalement motivées par les exigences de conformité elles-mêmes.

Influence de la C-Suite

De nombreuses organisations sont principalement motivées par les décisions de leur C-Suite en matière de conformité NERC. Il existe de nombreuses luttes de pouvoir au sein des organisations concernées pour savoir qui contrôle quoi et qui a l'autorité et la volonté de faire bouger les choses au sein d'une entreprise donnée. Il existe souvent une déconnexion entre le personnel informatique et opérationnel, ce qui entraîne un manque de collaboration utile. Les réglementations ne peuvent être ignorées et elles incitent les organisations à fonctionner de manière obligatoire, mais la conformité est différente de la sécurité. Il existe de grandes différences d'une entreprise à l'autre quant à ce qui constitue une véritable sécurité ou si la conformité en elle-même est suffisante. Ceux qui se contentent de la simple conformité peuvent se rendre vulnérables au piratage et aux cyberattaques.

Satisfaire les parties prenantes et les actionnaires

Le gouvernement et l’industrie privée doivent prendre en compte d’autres acteurs dans la mise en œuvre des normes NERC. Les lobbyistes et ceux qu’ils représentent ont de gros enjeux en matière de cybersécurité, tout comme les actionnaires des industries du secteur privé. Les deux doivent être satisfaits et y parvenir n’est pas une mince affaire. Le gouvernement est sous pression pour maintenir le seuil de conformité à un niveau bas, ce qui rend difficile pour le secteur de l'électricité d'atteindre réellement cet objectif. réel sécurité contre les cyberattaques. Dans le secteur des services publics, toute surveillance réglementaire coûte de l'argent, ce qui constitue un résultat net qui, à son tour, affecte l'actionnaire. Tout échange significatif d’informations nécessitera un effort conjoint. Comme l'a déclaré le président Obama lors du récent sommet sur la cybersécurité : "Le gouvernement ne peut pas y parvenir seul. Mais le fait est que le secteur privé ne peut pas non plus y parvenir seul, car c'est souvent le gouvernement qui dispose des informations les plus récentes sur les nouvelles menaces.»₉

L'influence des vendeurs

Les fournisseurs tentent d’imposer leur propre influence dans la mise en œuvre continue de mesures de cybersécurité dans le secteur de l’énergie. La plupart des entreprises dotées de systèmes de contrôle internationaux utilisent des équipements provenant de différents fournisseurs.  Ces fournisseurs intègrent leur propre sécurité et visibilité dans leurs produits. « Aucune entité ne semble créer un HDB (système de base de données hétérogène) pour intégrer tous les systèmes de gestion de bases de données disparates et présenter aux utilisateurs une interface de requête unique et unifiée. » ₁₀ Cela nécessite non seulement que les organismes de normalisation communiquent avec les fabricants ; cela implique également que les fabricants discutent entre eux pour créer un consortium. Tout bien considéré, aucune entité ne sera le principal moteur de la conformité à la NERC. Les utilisateurs finaux, les organismes de normalisation et les fournisseurs internationaux de systèmes de contrôle doivent unir leurs efforts pour parvenir à une mise en œuvre réussie.

Principaux influenceurs dans la sécurité du secteur énergétique

Même si la NERC a sans doute la plus grande influence, d’autres sociétés extérieures, organismes de conformité et forums soutiennent et améliorent également les opérations de sécurité dans le secteur de l’énergie. La NERC est la plus puissante car elle constitue une autorité déléguée pour la Commission fédérale de régulation de l'énergie. (FERC). Ils disposent d'une surveillance réglementaire pour prescrire quelles normes de sécurité doivent être suivies et ils possèdent la capacité d'imposer des amendes qui ont un impact financier important. Le NERC a la capacité d’influencer les compagnies d’électricité sur les réseaux sociaux, d’influencer la culture de l’entreprise et de colorer leur réputation.  Malgré son influence évidente, il existe des doutes quant à la capacité technique du NERC à faire ce qui doit être fait.

Les CIP de la NERC doivent être respectés, sauf si une entité existe dans l’espace fédéral. Certaines centrales du côté fédéral comme TVA et Bonneville Power ont des travaux supplémentaires à faire. Ils doivent répondre aux normes de conformité NERC CIP et également répondre aux exigences et directives de la FISMA (Federal Information Security Management Act) et du NIST (National Institutes of Standards and Technology). Ils veulent s'assurer qu'ils atteignent les objectifs des CIP et des contrôles du NIST, et éviter de dupliquer le processus et de s'engager dans un travail inutile. 

ÉPICÉ (la Société pour la promotion des technologies de l'information) à Chandigarh, en Inde, a joué un rôle déterminant dans le développement d'un réseau intelligent pour la normalisation de l'industrie. En Europe, la Commission Electrotechnique Internationale (CEI) «fournit une plate-forme aux entreprises, aux industries et aux gouvernements pour se réunir, discuter et développer les normes internationales dont ils ont besoin. Plus de 10 000 experts de l’industrie, du commerce, du gouvernement, des laboratoires d’essais et de recherche, du monde universitaire et des groupes de consommateurs participent aux travaux de normalisation de la CEI.₁₁ La CEI travaille en collaboration avec l'Organisation internationale de normalisation (ISO) et l'Union internationale des télécommunications (UIT) intégrer et unifier les normes mondiales et fusionner les connaissances des experts de l’industrie du monde entier. 

Quel sera l’impact de l’avenir sur les normes NERC ?

La menace omniprésente de cyberattaque, de piratage et d’espionnage continuera de façonner et de dicter l’évolution future des normes NERC et des mesures industrielles connexes conçues pour sécuriser l’infrastructure énergétique. D’autres pays, gouvernements et factions politiques/religieuses hostiles peuvent potentiellement cibler l’Amérique du Nord et notre système énergétique de masse. Il s’agit certainement d’un facteur dynamique si l’on envisage l’avenir de la cybersécurité aux États-Unis et à l’étranger. Les prochaines années verront certainement l’avènement de davantage de capacités de détection en temps réel, par opposition à la dépendance actuelle à l’égard de prédictions éclairées et d’analyses de tendances.

Malgré les récents efforts déployés à l’échelle du secteur pour renforcer la sécurité des infrastructures énergétiques, certains estiment que les systèmes construits et déployés aujourd’hui ne peuvent pas résister aux cyberattaques haut de gamme. À cette fin, la publication spéciale 800-160 du NIST tente de définir « des processus d’ingénierie de sécurité des systèmes qui sont étroitement couplés et entièrement intégrés dans des systèmes et des processus d’ingénierie logicielle bien établis et basés sur des normes internationales ».₁₂ Opérant sous la devise « Construisez correctement, surveillez continuellement », ils ont lancé un projet en quatre phases qui permet aux développeurs et intégrateurs de systèmes d'incorporer les pratiques de sécurité du NIST dans leurs logiciels et systèmes. On espère également que 800-160 facilitera un meilleur dialogue entre les ingénieurs système et les ingénieurs en sécurité système dans le but de réduire la menace de cyberattaques.

Changement piloté par la technologie

Le temps ne semble pas jouer en faveur des efforts de cybersécurité du secteur énergétique en Amérique du Nord. Les organismes de réglementation tentent d’initier un changement progressif, mais les fournisseurs internationaux de systèmes de contrôle sont souvent lents et les grandes entreprises ne sont souvent pas disposées à investir dans quoi que ce soit qui va au-delà de leurs propres systèmes. Les technologies émergentes peuvent être les agents de changement nécessaires pour réveiller le marché et permettre au personnel OT d'installer des produits innovants qui ne perturbent pas leurs opérations. Ces technologies permettraient également aux professionnels de l'informatique de fournir des mesures de sécurité appropriées.

Le changement en lui-même constitue un obstacle pour la plupart des grandes entreprises du secteur privé de l’énergie. Souvent, la technologie dont ils disposent actuellement est opérationnelle depuis de nombreuses années. Il n’est pas conçu pour être intégré à des produits de sécurité plus récents et plus sécurisés. Les nouvelles approches présentées par les fournisseurs de sécurité d'entreprise se heurtent souvent à une résistance, et les nouveaux produits utilisés sont un mélange de différentes solutions d'entreprise qui doivent être ajustées pour être intégrées à un système existant.

Idéalement, il faudrait un tissu de protection et de sécurité technologique qui couvre le secteur de l’énergie en vrac, mais cela nécessite un investissement initial que peu de gens sont prêts à faire. Personne ne prône la consolidation de ces groupes informatiques et opérationnels afin qu’ils puissent réellement travailler ensemble à l’installation de nouvelles technologies. Même un processus aussi rudimentaire que l'application de correctifs aux IHM ou à toute machine liée aux opérations constitue un formidable défi. NERC version 5 a institué des réglementations en matière de correctifs, mais même lorsque le processus est automatisé, il faut souvent des mois aux fournisseurs pour approuver les correctifs, et entre-temps, les centrales électriques ne sont pas protégées.

Intégrer les processus organisationnels dans le cycle de vie de la sécurité

Une cartographie inter-agences est absolument nécessaire pour rendre les contrôles de sécurité plus complets et plus efficaces. NERC CIP, contrôles ISO 27000, quels que soient les produits que les entreprises utilisent pour améliorer leurs efforts de cybersécurité ; Est-ce que cela correspondra à ce que le NIST ou l'ISO ont fait ?  Un ensemble de « meilleures pratiques » devient nécessaire pour transcender ces normes et contrôles disparates. Pour les fabricants qui intègrent des contrôles d’accès ainsi que l’identification, l’authentification et la cryptographie des systèmes, le processus peut être encore plus complexe. Souvent, les codes sources et autres éléments de conception critiques importants pour les développeurs sont inaccessibles ; enfouis dans le matériel, les logiciels et les micrologiciels des systèmes auxquels ils n’ont pas accès. Pour remédier à cette situation, les contrôles NERC CIP, NIST et ISO doivent être intégrés dès le début du processus de conception et de développement du cycle de vie de la sécurité. En fin de compte, la défense en matière de cybersécurité est un sport d’équipe. Les infrastructures critiques doivent non seulement être opérationnelles, mais elles doivent également fonctionner 24h/24 et 7j/7. De nombreux acteurs clés sont impliqués dans les secteurs public et privé et, du côté positif, les promoteurs font déjà bon nombre des choses qu’ils doivent faire.

Assurance cybersécurité

Conçue pour minimiser les pertes résultant de cyber-incidents (vol de données, destruction de réseau et perturbation du commerce), l'assurance cybersécurité en est aux premières étapes de sa mise en œuvre. Cela est déjà évident dans le secteur des cartes de crédit et des paiements. Les compagnies d'assurance en sont aux premiers stades d'une campagne visant à tenter de modéliser ce qu'est un gros risque que serait l’assurance et à quoi ressemblerait l’assurance si les producteurs d’électricité étaient assurés contre les cyber-risques. Cela pourrait prendre du temps car il n’y a pas de prolifération de données cybercriminelles dans le secteur de l’énergie pour créer des tables actuarielles. "Les violations de la cybercriminalité coûtent en moyenne aux entreprises entre $1 et $3 millions de dommages, ce qui peut mettre les petites entreprises en faillite, inciter à des poursuites civiles et entraîner l'imposition d'amendes."₁₃

Les cyberattaques pourraient potentiellement être réduites par la présence d’un marché de l’assurance cybersécurité sain.
Les intérêts énergétiques qui instaurent des mesures préventives et des « meilleures pratiques » pourraient bénéficier d’une plus grande couverture. Actuellement, de nombreuses entreprises refusent la couverture disponible parce qu’elles estiment que les coûts sont prohibitifs, qu’elles ne savent pas exactement ce qui serait couvert et qu’elles sont prêtes à prendre le risque de ne pas être la cible d’une cyberattaque. Le Département de la Sécurité intérieure (DHS) a récemment réuni un vaste collectif d’intérêts des secteurs public et privé « pour examiner l’état actuel du marché de l’assurance cybersécurité et comment améliorer au mieux sa capacité à encourager une meilleure gestion des cyber-risques »..»₁₄

Principaux influenceurs de la mise en œuvre de la cybersécurité

Alors que les normes de sécurité de la NERC continuent d’évoluer et d’être révisées, la FERC et les sociétés de services publics fournissent des contributions importantes et des commentaires constructifs pour promouvoir des améliorations continues.  Les fournisseurs pilotent sans aucun doute l’élaboration des normes et contribuent également à l’élaboration des lignes directrices. L’influence de chaque faction est un sujet de débat. Partant du principe que chaque idée est la bienvenue et valable, ceux qui sont disposés à travailler avec les normes peuvent en fin de compte les influencer avant qu’elles ne soient finalisées. Une fois qu’ils sont en place, il n’y a rien d’autre à faire que d’attendre l’émergence de la prochaine version. Certains pensent que ceux qui obtiennent les meilleurs résultats sont ceux qui crient le plus fort. De nombreuses personnes brillantes partagent leurs précieuses opinions au sein de divers comités, et les plus influentes d’entre elles peuvent réellement apporter des changements.

DOE et sécurité intérieure

La plupart des professionnels de l'industrie citent le ministère de l'Énergie (DOE) et le ministère de la Sécurité intérieure comme principaux fournisseurs d'influence et de surveillance dans l'élaboration des normes et réglementations NERC CIP. Le DOE a identifié divers laboratoires et centres d'excellence qui ont pris l'initiative et se concentrent sur la mise à disposition de personnes de qualité dans différents domaines du paysage de la cybersécurité.  D'autres groupes comme le NEI peuvent grandement influencer l'élaboration des normes NERC. « Les lobbyistes du NEI ont exercé leur influence en 2014, attirant l'attention sur leur programme avec plus de $2 millions de dépenses de lobbying.»₁₅ Ces agences et bien d'autres interagissent avec les entités du système électrique en vrac pour résoudre les problèmes urgents qui ont un impact sur l'infrastructure énergétique du pays. Les entreprises les plus actives dans le processus, en particulier les plus grandes, ont tendance à influencer le processus dans une plus grande mesure.

Bien qu’elles offrent des lignes directrices utiles, le respect des normes suggérées ne constitue pas la loi. Les services publics et les fournisseurs ont suggéré certaines pratiques standards pratiques, mais celles-ci ne sont pas obligatoires, de sorte que chaque entreprise décide si elle souhaite ou non les suivre. Il est important que les sociétés de services publics et les fournisseurs collaborent plus activement pour créer des normes et des lignes directrices.  Le NERC et le NIST ne peuvent pas le faire seuls, bien que le NERC puisse influencer et finalement définir les critères par défaut.

Influence des compagnies d'électricité

L'équipe de rédaction du NERC est composée de personnel de l'industrie, il s'agit donc d'un effort de collaboration. Ce sont les véritables personnes travaillant sur le terrain qui effectuent le travail quotidien et apportent leur contribution à l'équipe de rédaction des normes. Beaucoup sont membres du secteur de l’énergie, qui est très décentralisé. Les entreprises du secteur de l'énergie ont des structures tarifaires différentes selon les États qui affectent leur rentabilité et ce qu'elles peuvent facturer pour les services qu'elles fournissent.

Lorsque les centrales électriques doivent améliorer leur cybersécurité, cela nécessite un investissement important et quelqu’un va payer pour cela. Les résultats financiers d'une entreprise doivent être pris en compte dans toute discussion sur la cybersécurité, car il s'agit d'une réalité commerciale et il y a des parties prenantes à satisfaire. Des considérations financières peuvent dicter la mise en œuvre ou non de contrôles de sécurité et ce fait doit être souligné dans toute discussion sur l'adaptation de nouvelles normes et réglementations.  La nation doit absolument avoir le pouvoir.  Il s'agit de l'un des secteurs d'infrastructures critiques les plus importants car, à l'instar des technologies de l'information,  cela transcende tout. 

L'influence des instituts de recherche

Des instituts de recherche tels que l'EPRI, le Cyber Security Center of Excellence et le NSCO ont une influence dans l'élaboration des normes de sécurité NERC CIP en raison de leur haut niveau d'expertise. Les parties prenantes de nombreuses organisations différentes se réunissent à la table par consensus pour créer la prochaine génération de normes. Bien entendu, chaque organisation a son propre programme à promouvoir, ce qui influence en fin de compte la manière dont les normes finissent, pour le meilleur ou pour le pire. Le processus de contrôle public et les normes inférieures jouent également un rôle dans la détermination des spécificités des nouvelles révisions des CIP de la NERC.

La difficulté de la conformité NERC

Une fois les réglementations et normes NERC CIP révisées et convenues, elles sont mises en œuvre dans le secteur de l’énergie. Malheureusement, les équipes de conformité, les équipes juridiques et les managers ont du mal à interpréter avec précision ces recommandations et exigences. Ils ne savent souvent pas quelles mesures prendre. Même si la plupart sont disposés et prêts à s'y conformer, certains ont du mal à discerner le sens officiel du langage réglementaire. Cela peut semer la confusion chez le personnel chargé de la conformité, obligé de se fier à ses caprices et à de vagues interprétations des normes et réglementations de la NERC.

Le EST UN (Instrumentation, Systems, and Automation) fournit une référence exhaustive de lignes directrices et d'instructions sur la manière dont les dispositions de la NERC peuvent être mises en œuvre, afin de garantir que tout le monde marche dans la même direction. La conférence sur la cybersécurité 2014 de l'ISA « a mis en lumière ce qui peut être fait pour protéger les réseaux industriels et les systèmes de contrôle contre les dommages graves, potentiellement dévastateurs, causés par les cybermenaces ».₁₆

Pour contrecarrer la nature floue des CIP NERC, de nombreuses entreprises documentent activement la manière dont elles entendent remplir, atténuer ou se conformer aux exigences et espèrent que les auditeurs trouveront utile cette tenue diligente des registres. Étant donné que de nombreuses interprétations sont actuellement en jeu, les auditeurs ne peuvent que noter si une entreprise a fait ou non ce qu'elle avait déclaré avoir l'intention de faire en ce qui concerne la conformité aux CIP de la NERC. Certaines centrales électriques ont également du mal à se conformer aux normes et réglementations parce qu’elles ne disposent pas des produits et dispositifs électroniques (tels que ceux fabriqués par Seimans et GE) qui rendent une telle conformité possible. 

L'influence du NIST et de l'Ir7628

Le National Institute of Standards and Technology (NIST) a récemment publié NISTIR 7628 Révision 1, Lignes directrices pour la cybersécurité des réseaux intelligents.  afin de fournir « un cadre complet que les organisations peuvent utiliser pour développer des stratégies de cybersécurité efficaces adaptées à leurs combinaisons particulières de caractéristiques, de risques et de vulnérabilités liés aux réseaux intelligents ».₁₇ Bien que les directives du NIST n'imposent pas la surveillance réglementaire des CIP NERC, elles ont néanmoins un impact dans le secteur de l'énergie.

Bien que la NERC soit peut-être prise plus au sérieux, les normes du NIST sont régulièrement intégrées dans de nombreuses plates-formes de cybersécurité, et elles peuvent indiquer la voie à suivre en matière de protection des infrastructures critiques. Les opinions varient sur l'importance du NIST. Étant donné que le respect des directives du NIST est volontaire, les entreprises n’ont aucune obligation de les suivre. De plus, le marché de l'énergie est extrêmement fragmenté et de nombreuses entreprises ne disposent pas du personnel adéquat ou du financement nécessaire pour mettre en œuvre un grand nombre d'actions suggérées par le NIST en matière de cybersécurité.

L’argent est probablement le facteur le plus important pour déterminer si les entreprises suivront ou non le NIST ou même le NERC. Compte tenu des centaines de priorités des entreprises énergétiques, l’impact budgétaire de la mise en œuvre de la cybersécurité passe souvent au second plan par rapport à ce qui semble être des préoccupations immédiates plus urgentes. Au-delà de sa présence en tant que mot à la mode, l'intégration du cadre est coûteuse et il arrive souvent qu'il n'existe pas de budget pour de telles dépenses. Au-delà de cela, nombreux sont ceux qui doutent que les fournisseurs de systèmes de contrôle industriels puissent fournir des solutions fonctionnelles fonctionnant en tandem avec les produits d'autres fournisseurs. Ils hésitent à impliquer des tiers. Les professionnels de la sécurité savent ce qu'ils doivent faire, mais ils ne savent pas où trouver le budget et ne savent pas quelle technologie utiliser pour mettre en œuvre les bonnes idées suggérées par le NERC et le NIST.

Les commentaires publics ont-ils vraiment une influence ?

« Des particuliers et des organisations à travers le pays ont fait part de leurs réflexions sur les normes, les meilleures pratiques et les lignes directrices qui amélioreraient considérablement la cybersécurité des infrastructures critiques. »₁₈ Les commentaires concernant l’orientation du cadre de cybersécurité ont toujours été les bienvenus. L’objectif ultime est de fournir aux entreprises, à leurs fournisseurs, à leurs clients et aux agences gouvernementales un langage et une méthodologie communs pour déterminer la meilleure façon de se protéger. Qu'ils viennent de Microsoft, de la FERC ou d'un citoyen intéressé ayant une idée géniale, ils sont tous traités avec le même respect. Le NIST s’intéresse principalement à savoir si l’idée est technologiquement solide, rentable et si elle est réalisable.

Parfois, le NIST a des contrats et reçoit le soutien de centres de recherche et de développement financés par le gouvernement fédéral liés à l'aérospatiale ou de l'Institut d'analyse de la défense qui les aide à créer une première ébauche. Une fois le projet terminé, il est publié sur le site Internet où les intérêts publics et privés peuvent le consulter et faire des commentaires. Le NERC résume les commentaires qu'il reçoit et les publie afin que les gens puissent évaluer eux-mêmes la réaction aux normes proposées. Le NIST utilise un processus de sélection dans lequel une équipe d'experts du secteur examine les commentaires individuels et fournit une réponse. Finalement, les commentaires aident le NIST à parvenir à une décision finale pour chaque commentaire particulier – un processus exhaustif. Ce que le NIST vise à réaliser, c’est une normalisation du dialogue qui a lieu lorsque les gens discutent de cybersécurité. Cela permet une fusion d'idées, de concepts et de principes issus de divers secteurs et présente de nombreux choix différents quant à la manière dont le Cadre est mis en œuvre. 

L'avenir du NIST

Les prochaines années verront la poursuite de la mise en œuvre des cinq révisions du Cadre qui ont été approuvées. Les versions six et sept sont en route et comporteront quelques changements de langage pour plus de clarté. Sauf bouleversement traumatique dans le Beltway, les CIP NERC poursuivent leur évolution, intégrant les normes et les données du NIST et ajoutant une spécificité supplémentaire aux directives de mise en œuvre. Les normes NIST existent pour prévenir les attaques et les intrusions de forces extérieures au sein du système électrique et pour maintenir le contrôle du réseau énergétique. Toutes les facettes du système d’alimentation en vrac sont prises en compte lorsqu’il s’agit de reprise après sinistre.

Comme pour les CIP du NERC, les lignes directrices du NIST sont vagues, ce qui laisse la mise en œuvre ouverte à de nombreuses interprétations. À l'heure actuelle, le NIST renvoie les entreprises à de nombreux documents tiers, ce qui semble manquer de détails. Document NIST  « La CEI 62443-2-1 : 2010(E) définit les éléments nécessaires à l'établissement d'un système de gestion de la cybersécurité (CSMS) pour les systèmes d'automatisation et de contrôle industriels (IACS) et fournit des conseils sur la manière de développer ces éléments.₁₉

Les technologies avancées continueront d’affecter tous les aspects de la vie dans un avenir proche, le matériel informatique et les logiciels étant au cœur de cette évolution. Une réflexion plus approfondie sera nécessaire concernant la création de produits et de systèmes de cybersécurité à mesure que les choses deviennent de plus en plus complexes. Il est possible que les scientifiques et les techniciens en arrivent à un point où ils ne comprennent pas pleinement ce qu'ils ont intégré à leur logiciel. Cela peut devenir si compliqué qu’ils ne comprennent pas comment le protéger. Certains estiment que l’industrie a déjà dépassé ce stade. Défendre les systèmes d'exploitation contre les cyberattaques d'aujourd'hui et de demain peut nécessiter une réingénierie importante de l'infrastructure informatique au niveau systémique et au niveau des produits. 

Cela nécessitera de faire confiance aux principes, concepts et méthodologies technologiques afin de construire des composants et des systèmes hautement sécurisés. Le plus grand défi sera de maintenir la taille des futurs systèmes d’exploitation à un niveau gérable et compréhensible afin que les meilleures pratiques puissent être appliquées. On espère que des systèmes plus résistants à la pénétration seront développés. Dans le cas où une attaque réussit et pénètre un périmètre extérieur, le secteur de l’énergie doit travailler à la création d’une technologie qui empêche les logiciels malveillants de faire tomber des centrales électriques entières ou l’ensemble du réseau.

L'avenir de la sécurité en temps réel

Le secteur de l’énergie en vrac sera confronté à d’énormes défis à l’avenir. Réorganiser les réseaux, les segmenter et mettre en œuvre une gestion de la sécurité coûtera extrêmement cher. Il existe un risque que les entreprises évaluent le coût élevé du matériel, des logiciels, des licences et de l'installation, ainsi que les dépenses d'exploitation et de maintenance de l'infrastructure, et les sous-estiment.  Dans de nombreux cas, ils opteront pour la solution la moins coûteuse et ne disposeront d’aucun logiciel d’automatisation pour planifier la maintenance récurrente ou requise par la conformité. Bien entendu, plus l’entreprise est grande, plus elle doit intégrer de produits de sécurité et plus elle doit suivre des procédures complexes. S'attendre à ce que des humains fassent fonctionner manuellement les systèmes de sécurité peut être risqué, mais dans l'intérêt du résultat net, de nombreuses centrales électriques renonceront à des systèmes d'automatisation plus fiables.

La maintenance des dispositifs de cybersécurité est un domaine relativement nouveau. Les services publics d’électricité savent comment maintenir leurs réseaux de transport opérationnels depuis 50 ans. Ils savaient comment concevoir, protéger, transporter l’énergie, se connecter au système de transport et distribuer l’énergie. Aujourd’hui, ces entreprises s’adaptent aux nouvelles technologies et la courbe d’apprentissage est dramatique. Des techniciens plus compartimentés sont nécessaires, tels que des experts en fichiers, serveurs et réseaux. Malgré toutes les défenses actuelles déjà en place, il n’existe peut-être pas encore d’infrastructure capable de détecter et de contrecarrer les attaques sur tout le spectre. Des capacités de surveillance accrues sont nécessaires pour formuler une défense proactive. À mesure que les entreprises de services publics utilisent davantage de services cloud, elles devront être plus conscientes des risques, car la pénétration des réseaux intelligents continuera d'augmenter.

Dans le domaine de la sécurité, il est difficile de prédire ce qui se passera dans cinq ou dix ans.  Certes, la détection en temps réel sera davantage utilisée parce que les gens veulent savoir ce qui va se passer.  De nombreuses stratégies et types d’attaques peuvent survenir. Les technologies plus anciennes telles que les pare-feu et les programmes antivirus tentent de détecter les logiciels malveillants en découvrant des séquences de code. Les logiciels les plus récents d'aujourd'hui examinent le code pour détecter les activités subversives de « chaîne de destruction », mais les humains sont toujours nécessaires pour prendre ces informations et en faire le lien. Malheureusement, cela prend du temps. Les produits de cybersécurité modernes sont incapables de détecter une chaîne d'événements. Ils peuvent détecter des logiciels malveillants, mais les violations se produisent en quelques instants et il est souvent trop tard pour adopter des mesures de contre-attaque significatives.

Les systèmes de défense en temps réel performants de demain seront capables d’analyser les données entrantes et de détecter et isoler les exploits malveillants immédiatement avant qu’ils n’avancent dans la chaîne de destruction. À ce stade, des systèmes automatisés ou des humains peuvent intervenir et prendre des mesures de protection.

Gestion des identités et des accès

L'authentification de l'identité reste un aspect important du maintien de mesures de sécurité efficaces dans le secteur de l'énergie. « Face au défi de la sécurisation de l’information et des technologies de l’information, ainsi que de la prévention des cybermenaces, le manque d’identification solide est souvent devenu l’un des points faibles du mécanisme de défense global.  Trop souvent, les identifiants existants peuvent être abusés, ont été mal mis en œuvre ou mal gérés et conduisent à des vulnérabilités ou des incidents majeurs..»₂₀

Les organisations s'éloignent du modèle de confiance élevé de la connexion partagée, non pas parce qu'elles n'ont pas confiance en leurs employés, mais dans l'intérêt de localiser l'impact d'événements accidentels ou malveillants. À long terme, ils continueront à tenter de surmonter les contraintes technologiques. Les services publics continueront à utiliser des outils informatiques standards tels que Sysco et Genévrier, mais d'autres facettes de leur fonctionnement (relais, RTU, automates) ne disposent pas des mêmes systèmes de protection. Jusqu'à ce qu'ils puissent l'acheter auprès de fournisseurs, ils devront peut-être atténuer les menaces avec un pare-feu local. Des informations apparemment anodines comme l'heure du réseau, l'emplacement d'un centre de contrôle, l'adresse IP, voire le fournisseur choisi pour gérer leur infrastructure, peuvent être importantes pour ceux qui ont l'intention de commettre une cyber-attaque.

Éventualités de prévention et d’atténuation des incidents 

Les outils de sécurité informatique actuels sont configurés pour surveiller le comportement « normal » des connexions, mais ils sont faibles face aux attaques avancées. Les adversaires ne veulent pas seulement pénétrer dans le système de contrôle, ils veulent infliger des dégâts dans une situation où l'opérateur n'intervient pas et où le système de sécurité ne fonctionne pas correctement. Les opérateurs ne peuvent pas vraiment savoir si les données qu'ils voient sont exactes ou si elles ont été manipulées, car il n'existe aucune technologie disponible pour valider si les informations sont exactes ou non. L'incident du pipeline de San Bruno met en lumière les dangers liés aux systèmes de sécurité obsolètes et aux données erronées.

« Pacific Gas and Electric Co.… a lutté pendant près de deux décennies avec un système informatique destiné à suivre les caractéristiques de ses canalisations de transport de gaz naturel, une bataille qui a abouti à un manque d'informations cruciales pour comprendre les faiblesses potentielles de ses canalisations. … Des omissions ou des erreurs de saisie de données commises lors du développement du système – et non corrigées – peuvent expliquer pourquoi PG&E ignorait que le pipeline datant de 1956 qui a explosé à San Bruno le 9 septembre, tuant huit personnes, avait été construit avec un joint. , selon les dossiers et les entretiens. … Les experts affirment que le fait que le tuyau ait une soudure continue est une information fondamentale qui aurait dû être disponible d'un simple clic de souris dans n'importe quelle base de données de pipelines décente.₂₁

Malgré la vulnérabilité des installations électriques, le personnel de sécurité semble comprendre l’importance de la planification d’urgence. Le réseau électrique est globalement très fiable, mais lorsqu’un incident survient, des plans de réponse doivent être mis en œuvre avant que les logiciels malveillants puissent s’implanter et endommager les systèmes d’exploitation critiques. Il est essentiel que les gens sachent exactement comment réagir dans une situation donnée. Les plans d'urgence pour les centrales électriques peuvent inclure des sites de traitement alternatifs, des capacités de communication alternatives et des installations de stockage alternatives. Ce sont trois niveaux sur lesquels on se concentre généralement.  Le but ultime est de faire face à une attaque et de continuer à être opérationnel dans un état affaibli ou dégradé. Des plans d'urgence existent pour quatre grands types de menaces, notamment les catastrophes naturelles, les défaillances structurelles, les cyberattaques et les erreurs d'omission ou de commission.

Trous noirs et menaces inconnues

Des mesures de cybersécurité sont constamment mises en œuvre pour faire face aux menaces connues qui pèsent sur les infrastructures énergétiques, mais l’avenir sera certainement rempli de dangers inconnus et de « trous noirs » qui nécessiteront des capacités de défense et de réponse innovantes. Heureusement, l'ES-ISAC et tous les réseaux de communication collaborative désormais en place améliorent les perspectives de maintenance du réseau de manière sûre et efficace. Les menaces sont surveillées 24 heures sur 24 et 7 jours sur 7 et ES-ISAC est continuellement mis à jour.

De nombreux systèmes de contrôle internationaux, bien que différents de ceux installés au niveau national, sont connectés à un réseau mondial de cybersécurité. Bien entendu, de nombreuses inquiétudes subsistent concernant les entrefers, les protections primitives et les licornes. Le secteur de l’énergie dépend d’entreprises avant-gardistes qui proposent des solutions progressistes pour faire face aux problèmes de sécurité existants. Les cybercriminels possèdent des compétences d'attaque impressionnantes et les outils de piratage dont ils disposent facilitent la découverte de nouvelles tentatives d'attaque, en particulier lorsqu'il s'agit d'anciens équipements de systèmes de contrôle industriels.

Les menaces inconnues constituent tout ce qui peut pénétrer dans les périmètres d'un système de sécurité. Les nouveaux systèmes sont si complexes qu’ils sont connectés d’une manière que leurs fabricants ne comprennent peut-être même pas. Les utilisateurs finaux ne savent peut-être pas que les interfaces des systèmes de contrôle qu'ils exploitent sont accessibles au public sur Internet. Les cybercriminels peuvent rechercher un site géographique particulier ou un fournisseur spécifique et violer l'interface utilisateur (IHM) de ce système de contrôle. Si les utilisateurs finaux n'ont pas modifié le mot de passe et le nom d'utilisateur standard fournis par le fournisseur, les cyberattaquants peuvent réellement lancer les opérations.

Zéro jour

De nombreuses recherches ont été effectuées concernant les Zero Days, qui personnifient la vulnérabilité inconnue. « …  un « exploit du jour zéro »…  est un virus ou un ver qui peut exploiter une vulnérabilité d'un logiciel que d'autres, y compris les créateurs du logiciel, n'ont pas encore découverte. Les exploits Zero Day sont rares car les créateurs de logiciels travaillent dur pour s'assurer qu'ils publient des programmes qui ne présentent pas ce genre de vulnérabilités.  … Lorsqu’on en découvre un dans un malware, cela suggère un objectif plus élevé, quelque chose qui va au-delà d’un cybercriminel espérant récupérer des numéros de carte de crédit.₂₂

Un autre type de menace sérieuse est le « travail interne », créé au sein d’une organisation ou d’un système tel qu’une centrale électrique ou une agence fédérale.  À la suite d’une cyberattaque, les auteurs peuvent effectivement prendre le contrôle du système et le créer avec de nouvelles vulnérabilités, qu’ils pourront ensuite revenir exploiter. Le secteur de l’énergie s’appuie plus que jamais sur des technologies de base et il est vulnérable. 

Les caméras de surveillance et les données de connexion sont-elles suffisantes ?

Détecter et dissuader la cybercriminalité à l’aide de caméras de surveillance standards n’est pas le moyen le plus efficace de protéger les infrastructures critiques. Les caméras ne sont aussi efficaces que les personnes qui les surveillent et les gens sont facilement distraits. Les caméras doivent être associées à des analyses qui alertent et alarment. Ce type de technologie existe et peut grandement améliorer les systèmes de sécurité existants. Les logiciels deviennent de plus en plus cogitatifs. La main-d'œuvre peut être réduite grâce aux nouvelles technologies, mais il est difficile de recruter des personnes possédant des compétences technologiques et de les rémunérer suffisamment pour les retenir. Il existe donc un taux de rotation énorme au sein du secteur de l’énergie. 

Les nouveaux départements de cybersécurité coûtent cher à entretenir et il peut être difficile de convaincre les dirigeants et les actionnaires d'une entreprise que ces départements peuvent être rentables à long terme. Il faut parfois un incident coûteux pour mettre ce fait en évidence.

Plateformes automatiques ?   Semi-automatique?

Malgré la nature de plus en plus automatisée des systèmes de plateforme informatique, la plupart des experts estiment qu’une interface humaine restera nécessaire à l’avenir. Cela étant dit, lorsqu’un grand service public dispose de plusieurs centaines d’actifs qui le surveillent, il n’est pas possible pour deux ou trois opérateurs de sécurité de maintenir une sécurité visuelle dans cet espace. L’analyse visuelle et les systèmes d’alerte automatique continueront à être de plus en plus utilisés car il n’est pas possible pour les individus de surveiller physiquement les flux de données en permanence pour voir si des aberrations pourraient se produire. L’avenir verra davantage d’analyses en temps réel utilisées pour détecter les incidents. au fur et à mesure qu'ils se produisent, ou de les détecter à l'avance. Encore une fois, il y aura très probablement une interface humaine impliquée pour analyser les données et reconnaître la source de toute incursion et menace, ou pour gérer les problèmes d'alarmes multiples, de météo ou même de gibier sauvage.

Qui a besoin d’être informé des cyberattaques ?

Finalement, des incidents surviennent malgré les meilleurs efforts des équipes de sécurité. Il existe un débat quant à savoir si les informations concernant la cybercriminalité dans le secteur de l'énergie devraient être partagées publiquement. De nombreux acteurs du secteur pensent qu’il n’est pas nécessaire que ces renseignements soient transmis à ceux qui n’en ont pas besoin. La plupart semblent préférer que les informations soient partagées en privé entre les services publics afin que, si une attaque est coordonnée, elle puisse être défendue collectivement. Les compagnies d'électricité font un travail acceptable en partageant des informations concernant les menaces ou les événements de sécurité qui se produisent entre divers groupes. Aux États-Unis, il existe huit régions dotées chacune d'une surveillance réglementaire et de groupes de conseils d'administration issus de l'ES-ISAC.

Il est logique que le secteur des services publics partage des informations, mais il n’existe actuellement pas beaucoup de moyens mis en place pour faciliter ce processus. Dans la plupart des cas, les utilisateurs finaux divulguent des informations liées à la cybercriminalité alors qu'ils n'ont pas le choix, en raison de la publicité négative qui peut entourer un tel événement. Il existe un consortium réunissant certains fournisseurs de sécurité qui a été créé dans le but de partager des informations. En outre, Symantec et d’autres grands acteurs se seraient échangés des renseignements. Certains ont appelé à la création d’une version ICS de ce modèle de partage d’informations, mais il faudra peut-être encore quelques années avant que cet objectif ne soit atteint. « Les menaces contre les systèmes de contrôle peuvent provenir de nombreuses sources, notamment de gouvernements hostiles, de groupes terroristes, d'employés mécontents et d'intrus malveillants. Pour se protéger contre ces menaces, il est nécessaire de créer une cyber-barrière sécurisée autour du système de contrôle industriel (ICS).₂₃

Certains préfèrent une approche holistique du problème de la cybersécurité.  Cela impliquerait de créer des produits et des systèmes aussi défendables que possible, puis de les surveiller en permanence. Même si tout est construit selon les meilleures spécifications possibles, un petit nombre d’attaques se produiront inévitablement. Comprendre les différents types de cyberattaques et partager des informations pertinentes concernant ces événements peut être très utile, mais là encore, la plupart des entreprises seraient réticentes à les partager en raison de l'effet néfaste que cela pourrait avoir sur leur réputation. En fin de compte, c'est un sport d'équipe. S'il existe une vulnérabilité spécifique dans une centrale électrique et que les mêmes composants commerciaux développés par un fournisseur commun sont utilisés dans l'ensemble du secteur, des informations rapidement diffusées pourraient aider d'autres entreprises à remédier rapidement à ces vulnérabilités, avant qu'elles ne deviennent la prochaine victime. 

La plupart des acteurs du secteur de l’énergie semblent penser que le public n’a qu’une priorité limitée en matière de besoin de savoir en ce qui concerne les incidents de cyberattaque. Il est considéré comme plus important que les agences sélectionnées, la communauté technologique et les fournisseurs reçoivent des informations critiques afin de prévenir de futurs incidents. Dans le cas contraire, il serait difficile d'établir une analyse des tendances de la cybercriminalité ou d'informer les fournisseurs des produits susceptibles d'avoir été compromis.

Attaques potentielles

On a beaucoup parlé de la création d'un centre d'échange d'informations pour les entreprises du secteur de l'énergie en matière de cybersécurité. Le réseau d’information du ministère de la Sécurité intérieure tente en fait de devenir exactement cela. Les compagnies d’électricité doivent être informées des attaques potentielles de phishing ou de logiciels malveillants afin de pouvoir accroître leur sensibilisation et travailler à atténuer ces menaces potentielles.

Partage d'informations avec d'autres pays

Parfois, lors de la mise en œuvre de mesures de défense en matière de cybersécurité, il peut être nécessaire de partager des informations avec d'autres pays, comme dans le cas de l'Europe et de l'Amérique du Nord, où la stabilité du réseau traverse nos frontières politiques. Si des pays individuels surveillent les mauvais comportements et les cyber-conditions dangereuses, il serait avantageux pour eux de partager plus que des histoires anecdotiques avec les pays voisins. C'est le cas aujourd'hui.  Il y a peu d’informations échangées entre les nations concernant la cybersécurité. Les compagnies d'assurance et le secteur de la sécurité s'efforcent de compiler de nombreuses données statistiques, mais nombreux sont ceux qui, dans le domaine de l'énergie, continuent d'opérer dans ce qu'on appelle, le l'âge des histoires.

Y a-t-il de la place pour les fournisseurs étrangers ?

L'idée du partage d'informations entre les services publics du secteur de l'énergie et les inquiétudes suscitées par le partage d'alertes de menace entre les pays ont suscité une certaine anxiété. Est-il prudent de confier à des fournisseurs étrangers le développement de systèmes de sécurité conçus pour prévenir les cyberattaques ? Y a-t-il des éléments de xénophobie et des craintes infondées dans la résistance à laquelle ces entreprises étrangères sont parfois confrontées, ou une certaine prudence est-elle justifiée ? 

Bon nombre de ces appréhensions ont été surmontées par nécessité, car les menaces à la cybersécurité sont universelles, partout dans le monde. En fin de compte, le partage mondial de l’information est essentiel. Pourtant, certains estiment qu'il est très peu probable que les fournisseurs étrangers puissent infiltrer le marché américain. L’industrie est bien implantée et les relations commerciales sont anciennes. Le réseau énergétique fonctionne avec un niveau de confort et de confiance. Il faudrait un tiers venant d’un pays étranger doté de technologies et de capacités uniques pour s’imposer sur le marché énergétique nord-américain et y trouver sa faveur.

Israël a créé une niche et un positionnement solide sur le marché de la cybersécurité. Le pays a investi massivement dans le lancement de nouvelles startups et la formation de professionnels talentueux en cybersécurité. Le pays accueille chaque année une grande conférence mondiale sur la cybersécurité et a construit une communauté de « Friendly Hackers » qui identifient les bugs et sont rémunérés par des « Bug Bounties ».

Nerc sur le marché de la sécurité Ic

Alors que les infrastructures industrielles critiques continuent d'être menacées par Flamme, Stuxnet, Dragon de Nuit, et Duqu attaques, le marché de la sécurité ICS continuera à se développer. Les analystes de TechNavio prévoient que le marché mondial des systèmes de contrôle industriel connaîtra une croissance de 8,15 % au cours de la période 2013-2018.₂₄ NERC continue d'avoir une empreinte considérable dans l'industrie avec plus de 50 000 sous-stations et plusieurs centaines de sociétés de services publics. Dans l'ouest des États-Unis, la NERC compte près de 500 services publics enregistrés qui adhèrent aux normes de la NERC.

Le marché de la cybersécurité ICS a été estimé entre $3 et $4 milliards par an. Les sociétés de conseil et les fournisseurs de solutions de sécurité pour entreprises sont des acteurs majeurs dans ce domaine. La NERC a le pouvoir de réglementation et exerce une forte influence auprès des services publics d’électricité, des secteurs pétroliers et gaziers., mais ça Il est difficile d’évaluer le ratio ou la taille du marché du NERC sur le marché des solutions de sécurité car il n’existe aucun moyen de procéder à une segmentation appropriée. De nombreux produits utilisés pour atteindre un certain niveau de valorisation des CIP NERC pourraient également être utilisés pour fournir une visibilité et des capacités de gestion de la sécurité dans d'autres secteurs tels que l'industrie manufacturière.

Les défis liés à la réponse à la menace de cybersécurité

Suivre l'évolution constante des technologies constitue un énorme défi opérationnel pour les services publics du secteur de l'énergie. Il peut être difficile de déployer les « meilleures » mesures de sécurité pour faire face aux menaces futures alors que de nouvelles avancées technologiques en matière de cyberdéfense se produisent constamment. De plus, les systèmes sont de plus en plus connectés les uns aux autres, de sorte que la probabilité que ces réseaux soient compromis ou attaqués augmente de façon exponentielle. « Les cyberattaques contre les infrastructures sont devenues une préoccupation majeure pour les services publics depuis le virus informatique Stuxnet de 2010, qui, selon les experts, a été utilisé par Israël et les États-Unis pour détruire certaines centrifugeuses nucléaires iraniennes. La menace a été renforcée… par l’apparition d’un virus informatique connu sous le nom de cheval de Troie Havex, que les pirates semblent avoir utilisé pour attaquer les sociétés pétrolières et gazières.₂₅

Il est impératif que la technologie déployée dans l’infrastructure aujourd’hui puisse être mise à niveau et intégrée à la prochaine génération de systèmes en évolution. Certaines entreprises fabriquent les produits les plus impressionnants, mais ils ne sont compatibles avec rien d’autre. En parallèle, considérons les iPhones. Combien y a-t-il d’iPhone et combien de chargeurs ? C'est une situation similaire avec la cybersécurité. Des milliards de dollars sont dépensés pour sécuriser les produits les plus récents, mais les choses doivent souvent être reconfigurées parce que les produits ne sont pas compatibles. Pendant ce temps, les cyberattaquants savent garder une longueur d’avance. Les équipes de sécurité doivent donc faire de leur mieux pour rester à la pointe de la course technologique en matière de cybersécurité. Ce n'est pas une mince affaire. Une grande majorité des services publics donnent la priorité aux investissements nécessaires à une mise à niveau adéquate. Malheureusement, les petites coopératives n'ont souvent pas le capital financier nécessaire pour faire de même.

Structuration des effectifs en sécurité opérationnelle

En termes de déploiement de main-d'œuvre pour les compagnies d'électricité et de leurs organigrammes internes pour la sécurité des opérations, il existe généralement un responsable de la sécurité de l'information (RSSI) et un responsable de l'information (CIO). « Les DSI jouent un rôle de plus en plus important dans le calcul de la manière d'augmenter les bénéfices grâce à l'utilisation des cadres TIC, ainsi que dans le rôle vital de réduction des dépenses et de limitation des dommages en mettant en place des contrôles et en planifiant d'éventuelles catastrophes.₂₆

Les grands services publics d'investissement dans le secteur de l'énergie ont un CIO avec plusieurs étapes de séparation jusqu'au niveau de directeur principal de l'informatique. Les petites entreprises ont tendance à avoir une situation universelle ; une personne ou un petit groupe de personnes en tête de table qui possèdent un ensemble de compétences à multiples facettes dans le domaine de la cybersécurité. Parfois, il s’agit d’un ingénieur électricien ou d’une équipe de maintenance spécialisée. Certaines organisations embauchent ou développent un groupe technologique informatique industrielle ou opérationnelle OT dans lequel une équipe composée de plusieurs membres est constituée pour résoudre les problèmes. Dans les années 80, les entreprises n'avaient pas de service informatique, mais aujourd'hui c'est une évidence. Les services publics créent des agrégations qui opèrent quelque part entre les groupes de contrôle et les organisations informatiques, dans l'espoir de pouvoir comprendre les points forts et les problèmes des deux.

Fournisseurs de solutions de sécurité et « réflexion extérieure »

Les compagnies d’électricité dépendent beaucoup des fournisseurs de solutions de sécurité pour leur « réflexion extérieure ». Ces fournisseurs fournissent des services de gestion du cycle de vie et entretiennent de bonnes relations avec des personnes qui comprennent les problèmes de compatibilité et la manière dont les produits de sécurité sont déployés. Étant donné que les services publics ne sont pas des entreprises technologiques, ils dépendent des fournisseurs de sécurité pour leur fournir l'expertise technologique dont ils ont besoin. Cela étant dit, les entreprises du secteur de l’énergie ont tendance à s’en tenir à des fournisseurs avec lesquels elles ont travaillé dans le passé et en qui elles ont confiance.  Cette fidélité peut reposer sur une relation individuelle et durable. Les services publics ont tendance à continuer à utiliser des produits que leur personnel connaît bien, car la formation au déploiement de nouvelles technologies coûte cher.

Les fournisseurs les plus influents

Alors que la plupart des acteurs du secteur sont réticents à citer des noms lorsqu'il s'agit d'identifier des fournisseurs particulièrement influents, de nombreux services publics recherchent un EPC (Engineering, Procurement, Construction) ou une société d'ingénierie telle que Flur. Ces fournisseurs seraient responsables de la conception d’une usine en ce qui concerne les schémas de béton, de métallurgie et d’électricité. Le système de contrôle est souvent proposé aux enchères auprès de fournisseurs extérieurs. Un utilitaire préparera des spécifications traitant des fonctionnalités et des types d’appareils auxquels ils se connectent. Les fournisseurs soumissionneront ensuite pour le projet, en concurrence avec d'autres fournisseurs de solutions de sécurité pour fournir les spécifications au meilleur prix. Les entreprises du secteur de l’énergie doivent faire face à des problèmes de conformité et ajustent donc leurs directives d’achat et leurs contrats pour inclure la cybersécurité dans leurs spécifications.

Futures solutions et produits de sécurité

L’avenir verra une évolution rapide et continue de nombreuses nouvelles solutions et produits de sécurité conçus pour relever le défi de la défense des infrastructures énergétiques contre les cyberattaques. De nombreux acteurs du secteur de l'énergie souhaitent notamment disposer d'une plate-forme intégrée de solutions de sécurité intégrant les procédures politiques d'une entreprise. Plusieurs plateformes sont déjà opérationnelles et continuent d’être peaufinées et améliorées.

Des mises à niveau du système de contrôle sont nécessaires pour les institutions et les organisations disposant d’une base de code archaïque ou héritée. Surtout si le système de contrôle d'une centrale électrique est opérationnel depuis dix ans ou plus. Certains de ces systèmes peuvent avoir des bases de code vieilles de 20 ans. Il est peu probable que ces organisations régressent et réécrivent chaque ligne de code. Ils développeront plutôt de nouvelles pratiques sécurisées dans l’espoir de pouvoir montrer que l’ensemble de leur base de code est sécurisée. Bien entendu, de nouvelles normes de certification viendront inévitablement et devront être respectées, ce qui accélérera l'évolution en cours vers l'amélioration de la sécurité du réseau.

Les fournisseurs de solutions de sécurité disposent d'appareils capables de détecter les anomalies et les aberrations dans les systèmes d'exploitation, nécessaires pour combler le déficit technologique auquel sont aujourd'hui confrontés les services publics. Ces fournisseurs peuvent également assurer la sécurité de la journalisation des amplis, des correctifs, de la gestion des modifications, du MOC (Maintenance of Certification) et de l'accès à distance. Différents fournisseurs peuvent être nécessaires pour répondre aux besoins spécifiques créés par ces lacunes technologiques. Le fournisseur retenu créera des produits de sécurité qui satisfont aux spécifications de l’environnement OT et sont aussi autonomes que possible. Idéalement, ils doivent faire un meilleur travail de sécurisation des opérations que de nombreux autres produits de sécurité réunis. Bien entendu, cette tâche est plus facile à imaginer qu’à exécuter.

Certains acteurs du secteur de l'énergie estiment que de nombreux grands fournisseurs de ICS n'excellent pas en matière d'innovation. Il leur sera peut-être difficile d’imaginer à quoi ressemblera l’avenir. Les grands fournisseurs se concentrent sur la création de produits meilleurs et plus sécurisés, mais ils négligent souvent de reconnaître que les utilisateurs finaux intègrent des produits de nombreux fournisseurs. Les services publics réclament des solutions hétérogènes offrant une meilleure vue sur l'ensemble du réseau et ne dépendant pas de l'équipement d'un seul fournisseur. « L’un des principaux défis lors de la construction de réseaux intelligents est de faire face au caractère hétérogène des technologies appliquées. Étant donné que les cycles de vie des produits peuvent s'étendre sur plusieurs décennies, la complexité globale du système va considérablement augmenter dans les années à venir en raison de l'application de nombreux protocoles et solutions techniques différents. Cette hétérogénéité augmente à terme les surfaces d’attaque d’un réseau intelligent et pourrait également conduire à une vulnérabilité accrue.₂₇

Les fournisseurs de ICS sont traditionnellement de grandes entreprises bien établies dans leurs modes de fonctionnement. À l’heure actuelle, il existe un certain degré de bouleversement sur le marché qui s’étend également du côté des fournisseurs. Une nouvelle société appelée Bedrock Automation conçoit des systèmes de contrôle industriels à partir de zéro. Ils relèvent bon nombre des défis actuels de la cybersécurité et tentent d’innover, ce que les grands fournisseurs sont réticents à faire parce que leurs efforts sont intrinsèquement moins ciblés.

Il existe de nombreux fournisseurs de solutions de sécurité impliqués dans la cyberdéfense des services publics, mais peu d'entre eux le sont. hautement spécialisé et s'est concentré sur la création de composants utilisés dans les systèmes ICS. Cela peut être avantageux pour ceux qui espèrent influencer l’orientation de ce que fabriquent les fournisseurs de l’industrie.

De nouveaux produits arrivent désormais dans la sphère ICS du monde entier et ils sont incroyablement complexes, parfois au-delà même d'être vraiment compréhensibles par les entreprises qui les achètent. Cela permet aux adversaires de cacher plus facilement des éléments dans leurs produits et de causer de graves dommages aux systèmes d'exploitation et aux structures de code. Cette menace a poussé des entreprises autrefois insulaires à se regrouper et à former des consortiums dans le but de créer des solutions plus fiables.

Compteurs intelligents, produits analytiques, infrastructure de gestion de clés et tout produit facilitant la détection des cybermenaces avancées ou croissantes ; ce sont autant de domaines de sécurité supplémentaires ouverts à l’innovation dans lesquels des fournisseurs avant-gardistes pourraient trouver une niche ou créer des incursions dans des marchés nouveaux et viables.

L’avenir de l’accès aux identifiants et de l’authentification

Les mots de passe faibles et les logiciels rarement mis à jour sont un thème récurrent derrière les 48 000 cyberincidents signalés au ministère de la Sécurité intérieure – y compris le vol de données sur les barrages les plus faibles du pays par un « intrus malveillant » et un incident au cours duquel des pirates informatiques ont diffusé un avertissement malveillant concernant une attaque de zombies via plusieurs chaînes de télévision américaines, selon un rapport du DHS.₂₈

De nombreuses cyberattaques sont lancées en compromettant les identifiants ou en exploitant des mots de passe faibles. La gestion de l'authentification des identités est un élément clé d'un système plus fiable. Contrairement aux contrôles au niveau public, opérationnel et managérial, les contrôles techniques sont les produits que les sociétés de services publics utilisent pour améliorer leur capacité opérationnelle. Ainsi, lorsqu'il s'agit de contrôles d'accès, d'authentification lors de la connexion et d'exclusion des agents indésirables du système, ces contrôles ne peuvent être intégrés aux produits qu'au niveau du fournisseur, et cela devient la priorité de ce dernier.

Authentification à deux facteurs peut empêcher un individu d’accéder à un système d’exploitation avec la simple saisie d’un nom d’utilisateur et d’un mot de passe. Dans les systèmes ICS contemporains, les fournisseurs construisent souvent des produits en sachant qu'une maintenance sera nécessaire dans le futur. Ils peuvent fournir au personnel de maintenance une capacité de connexion qui est intrinsèquement faible, n'employant peut-être que quatre caractères. Ces mots de passe sont parfois distribués avec le produit et ne sont jamais modifiés par l'utilisateur final, ce qui rend le système facile à infiltrer par des cyberattaquants qui connaissent le mot de passe et le nom d'utilisateur communément connus. Il s’agit d’un exemple de quelque chose de basique, réparable et non prohibitif, qui peut être utile pour dissuader les cyberattaques. Les mots de passe à usage unique et les jetons de sécurité sont également des moyens utiles pour authentifier les utilisateurs du système lors de la connexion.

Il est évident que les jours de l’authentification à deux facteurs sont comptés. Dans un monde de plus en plus cyberconnecté, des moyens plus sûrs de prouver l’identité devront être développés. « La biométrie… représente un changement fondamental dans la façon dont nous sommes identifiés. Contrairement aux identifications traditionnelles dont vous devez vous souvenir ou avoir sur vous, la biométrie sont vous, comprenant l'analyse de la voix, les modèles d'iris, la correspondance des veines, l'analyse de la démarche, etc. De tels traits sont propres à un individu et sont incroyablement difficiles à simuler..»₂₉ La biométrie et des méthodes d’authentification encore plus sécurisées se profilent à l’horizon. Le secteur de l’énergie s’adaptera et évoluera pour relever le défi consistant à éliminer les menaces de cybersécurité, mais les adversaires du secteur sont extrêmement intelligents et font partie de la même course pour exploiter les nouvelles technologies.

Facteurs d'achat clés  Dans Sélection des fournisseurs de sécurité

Les sociétés de services publics d’électricité sélectionnent soigneusement leurs fournisseurs de ICS et de solutions de sécurité. Ils examinent l'historique des fournisseurs pour avoir une idée du type de recherche qu'ils ont effectué dans le passé et prennent également en compte le pays d'origine des produits et les implications de cela. Bien entendu, les relations de longue durée et les liens de confiance sont importants dans le secteur de l’énergie.  Il est peu probable qu’un grand service public s’engage dans une vente directe avec une petite startup proposant quelque chose de potentiellement perturbateur. Dans la plupart des cas, une startup devra passer par un partenaire de distribution tel qu'une société de sécurité ou un fournisseur ICS afin d'obtenir l'approbation et la crédibilité que ces canaux peuvent offrir. 

De nombreuses entreprises souhaitent respecter les normes et critères de conformité de la NERC. Certains diront que l’accent doit être mis en fin de compte sur la sécurité, estimant que le sous-produit d’une bonne sécurité est une bonne conformité. Encore et encore, la conformité l'emporte en raison du coût élevé de la sécurité. Les produits de sécurité fournis par les fournisseurs doivent fonctionner correctement au sein de divers systèmes de contrôle, s'intégrer aux produits et opérations existants, et être rentables et compétitifs.   

Malgré les obstacles, il y a est espace pour les start-ups et les innovateurs. Le marché n’est pas actuellement sécurisé et il recherche des solutions réalisables, d’où qu’elles viennent. De nouveaux systèmes arrivent constamment. Les sociétés énergétiques recherchent des fournisseurs dotés des capacités système nécessaires pour les protéger et y répondre rapidement. Ils veulent des fournisseurs qui proposent des solutions viables qui peuvent être facilement mises à jour à mesure que les situations évoluent. « Le rôle d'innovateur est revenu aux entreprises qui n'ont pas d'héritage et qui sont prêtes à aborder les problèmes sous un nouvel angle… est une opportunité pour les petits vendeurs d’obtenir des financements et de faire une brèche dans le domaine de la sécurité.₃₀

Avec tous les enjeux liés à la cybersécurité, la réputation des fournisseurs est un facteur majeur pour les compagnies d’électricité. Le personnel informatique/OT et de sécurité physique participe à plusieurs conférences chaque année et la réputation des fournisseurs est toujours un sujet d'intérêt. Il existe un consensus général quant à savoir quels fournisseurs sont bons et lesquels sont mauvais. Les responsables de la sécurité sont très conscients de ceux qui font des promesses excessives et de ceux qui ne tiennent pas leurs promesses, la réputation est donc primordiale.

Peut-on faire confiance aux fournisseurs étrangers en matière de sécurité américaine ?

Dans un monde commercial mondialisé, les sociétés énergétiques sélectionnent parfois des fournisseurs étrangers pour des raisons de sécurité, mais la décision d'externaliser peut être difficile à prendre et peut s'avérer problématique lorsqu'il s'agit de vérifier les antécédents des fournisseurs qui ont accès à distance à leurs expéditions. . Certains y verraient une vulnérabilité distincte. Parfois, des situations politiques peuvent empêcher les entreprises de sélectionner certains fournisseurs (exemple : les entreprises nord-américaines ne peuvent pas vendre leurs produits au Moyen-Orient parce que certains composants sont fabriqués en Israël). Les petites entreprises ne semblent pas aussi exigeantes quant à l'origine des produits tant qu'elles font le travail.

Il existe actuellement quelques petites start-ups de sécurité ICS en Italie, en France et aux Pays-Bas. Aux États-Unis, peu d’entre eux fournissent des services aux sociétés de services publics qui possèdent une capacité développée et mature de réponse aux incidents. Si les fournisseurs étrangers veulent réussir aux États-Unis, ils devront avoir une réponse aux incidents basée aux États-Unis.. Les fournisseurs étrangers trouveront avantageux de respecter les frontières géographiques et les intérêts de sécurité nationale en ayant une représentation physique importante aux États-Unis.

Aux États-Unis, nombreux sont ceux qui parlent de l’importance de « acheter américain ». L'industrie automobile offre un parallèle intéressant. Les voitures sont constituées de divers composants construits dans des endroits à travers le monde avant d’être finalement assemblées au Tennessee. Alors, est-ce vraiment une voiture américaine ou pas ? Les sociétés énergétiques opèrent sur un marché mondial et les fabricants étrangers produiront de plus en plus de produits dont les entreprises américaines ont besoin. Pendant de nombreuses années, l'informatique, les ordinateurs et les logiciels étaient fabriqués aux États-Unis, mais l'externalisation est désormais de plus en plus répandue et elle continuera à proliférer, des entreprises telles que Seimens en Allemagne en étant un excellent exemple. 

Bientôt, l’origine d’un produit n’aura plus d’importance s’il est construit selon les spécifications et s’il est digne de confiance. Les acheteurs ne voudront peut-être pas installer de produits de sécurité spécifiques chaque système, mais peut choisir d’incorporer une diversité de produits. Lors d’une cyberattaque, un type de produit réparti sur un réseau peut faire tomber une infrastructure entière. La diversité des composants conduit à une meilleure résilience des systèmes d'exploitation. Quelle que soit l’origine des composants, il sera essentiel pour les fournisseurs de solutions de sécurité de fournir à leurs clients un sentiment d’assurance et de fiabilité concernant leurs produits.

Bien entendu, les États-Unis entretiennent des relations étroites avec de nombreux pays « de passage » tels que le Royaume-Uni, le Canada, la Nouvelle-Zélande et l’Australie. Ces lieux ont également une parenté étroite avec la communauté du renseignement et sont habitués à interagir et à partager des informations.

Relations avec les régulateurs

Les fournisseurs étrangers qui espèrent percer sur le marché de la cybersécurité peuvent considérer que le réseautage et l’établissement de relations étroites avec les régulateurs sont bénéfiques, mais ils voudront peut-être être prudents dans ces interactions. Il existe des politiques et des directives qui interdisent de telles relations dans l’intérêt des régulateurs pour maintenir leur objectivité. Les grandes entreprises avec beaucoup de personnel pourraient interagir davantage avec les régulateurs, faisant avancer leurs différents programmes, mais cela n'est pas aussi important pour ceux qui sont impliqués dans la création de technologies de base.

Idéalement, les régulateurs sont censés agir au-dessus de la mêlée. Ils ont un travail à faire et un secteur à réglementer et c'est ce qu'ils font. Dans le monde de la cybersécurité, l’impartialité, l’exactitude technique, le contrôle public et la transparence globale sont primordiaux. Rien de moins peut affecter négativement les relations dans les deux sens.

Les nouveaux vendeurs peuvent-ils prendre pied ?

La plupart des gens connaissent les fournisseurs dominants du secteur de l’énergie.. Shell, Exxon et Chevron sont les leaders du pétrole et du gaz. Honeywell et Seimens se démarquent des autres en tant que fournisseurs de systèmes de contrôle DCS. Il peut être difficile de définir clairement un leader du secteur, mais une chose est sûre. Les grandes entreprises ont des enjeux plus importants et sont toujours confrontées à des problèmes plus importants liés à l’opinion publique.

Pour les nouveaux fournisseurs qui tentent de s’implanter sur le marché des solutions de sécurité, cela peut s’avérer incroyablement difficile. Beaucoup de ces entreprises naissantes échouent au cours des deux premières années. Malgré la menace des cyberattaques, les fournisseurs sont toujours confrontés à la tâche de gagner le cœur et l'esprit des clients potentiels. Il doit y avoir des raisons convaincantes pour que de nombreuses entreprises énergétiques investissent massivement dans les protections nécessaires pour assurer une sécurité adéquate. « Si le fournisseur ne parvient pas à identifier l'existence d'un problème réel et d'un manque de bonnes solutions, il aura probablement du mal à se lancer sur le marché… l'approche d'une startup doit être prometteuse et pouvoir être adaptée à l'environnement d'une organisation. Il doit également avoir le sentiment que le fournisseur dispose d’une équipe cohérente et suffisamment agile pour répondre aux conditions changeantes du marché et aux tendances changeantes en matière de sécurité.₃₁

Une partie du problème pour les fournisseurs, le secteur de l’énergie et la société dans son ensemble réside dans le fait qu’il n’existe pas vraiment de paramètres clairement définis pour définir ce qu’est la diligence raisonnable en matière de sécurité. Les réglementations dans certains domaines aident à définir le comportement requis concernant la mise en œuvre et l’amélioration des mesures de cybersécurité, mais le secteur est toujours embourbé dans une zone grise entre « ce qui est nécessaire et ce qui est agréable à faire », et il se peut qu’il soit encore nécessaire d’atteindre un objectif. point de la douleur où se produit une catastrophe qui change la conversation et rend soudainement raisonnable ce qui semblait déraisonnable.

Oui, ils peuvent!

D’autres pensent que de nouveaux fournisseurs ingénieux peuvent en effet gagner des parts de marché dans le domaine de la conformité. Après tout, le monde est toujours à la recherche d’une bonne chose… quelque chose de nouveau et de révolutionnaire. De nombreux petits fournisseurs établissent des relations précieuses parce qu’ils sont francs, dignes de confiance, francs et transparents. Ce n’est pas parce qu’une entreprise est grande qu’elle est nécessairement la meilleure. Une petite entreprise dotée d’un système technologique qui aide réellement peut réussir. Les produits, outils et GRC impressionnants ne manquent pas  (gouvernance, gestion des risques et conformité), mais il manque encore des personnes capables de les exploiter et de les entretenir. Les fournisseurs qui gagneront au final doivent proposer des produits nécessitant moins d’intervention humaine et de maintenance. Des améliorations sont nécessaires dans ce domaine et de grandes opportunités existent donc.

Malgré cette opportunité, il ne faut pas occulter le fait qu’il n’est pas facile d’atteindre le statut de commercialisation. Un nouveau fournisseur propose peut-être un bon produit, mais permettre la convergence de l'informatique et de l'OT et répondre aux demandes et aux défis d'organisations spécifiques est un défi de taille. Il est souvent avantageux pour un fournisseur nouveau et/ou plus petit d'essayer de s'associer à une entreprise plus grande dans le but de nouer de nouvelles relations avec les services publics. En fin de compte, les fournisseurs devront présenter des arguments convaincants expliquant pourquoi leur technologie fournira de véritables solutions de sécurité. Le marché attend ce type d’innovation. Les applications de niche constituent un autre domaine d’opportunités prometteuses en matière de conformité. Les petites solutions hyper ciblées ont également leur place sur le marché, mais là encore, les fournisseurs devront peut-être s'associer à un acteur plus important.

Solutions d’études de marché sur la cybersécurité

La cybersécurité est une nouvelle frontière et son importance dans le secteur énergétique et au-delà ne fera que croître dans les années à venir. Les principaux domaines de croissance concernent le cryptage, la protection des données, les virus, l'IA et la blockchain dans la cybersécurité. La véritable menace de cyberattaque est omniprésente et en augmentation à mesure que ceux qui cherchent à créer le chaos, à tirer des profits illégaux ou à régler des comptes politiques perçus comme tels, continuent de perfectionner leurs compétences et d’incorporer des technologies en évolution rapide dans leurs arsenaux de cyberattaque. Les fournisseurs de solutions de sécurité ont un rôle important à jouer dans la protection des infrastructures énergétiques critiques et des personnes qu’elles servent. Les véritables innovateurs prospéreront, tout comme ceux qui démontrent que leurs produits fonctionnent et contribuent à la fonctionnalité globale du réseau électrique de notre pays et à la fiabilité de la fourniture d'énergie dans le monde entier.

Les liens suivants correspondent aux sources utilisées dans la création de cet article.

2. http://securityaffairs.co/wordpress/25240/hacking/critical-infrastructure-hackers-targeted-public-utility-scada.html

3. http://usnews.nbcnews.com/_news/2013/02/19/17019005-successful-hacker-attack-could-cripple-us-infrastructure-experts-say?lite

4. http://itlaw.wikia.com/wiki/Cybersecurity_Framework

7. http://www.dw.de/at-cybersecurity-summit-obama-asks-tech-sector-to-help-government-fight-hackers/a-18257609

8. http://csrc.nist.gov/publications/drafts/800-53-rev4/sp800_53_r4_draft_fpd.pdf

10. http://en.wikipedia.org/wiki/Heterogeneous_database_system

11.  

12. http://csrc.nist.gov/publications/drafts/800-160/sp800_160_draft.pdf

13. http://phys.org/news/2014-06-breaches.html

14. http://www.dhs.gov/publication/cybersecurity-insurance

17. http://csrc.nist.gov/publications/nistir/ir7628/nistir-7628_vol3.pdf

18. http://www.whitehouse.gov/blog/2013/10/29/seeking-comments-preliminary-cybersecurity-framework

20. http://www.leadersinsecurity.org/events/icalrepeat.detail/2015/01/29/84/-/-.html

24. http://www.marketwatch.com/story/global-industrial-control-systems-ics-security-market-2014-2018pdf-2014-08-28

25. http://news.yahoo.com/smart-technology-could-utilities-more-vulnerable-hackers-013153609–finance.html

27. http://www.jocm.us/uploadfile/2013/0827/20130827022712405.pdf

28. http://www.welivesecurity.com/2014/02/05/weak-passwords-and-ancient-software-left-u-s-government-data-vulnerable-dhs-report-finds/

29. http://www.pbs.org/wgbh/nova/next/tech/biometrics-and-the-future-of-identification/

30. http://www.darkreading.com/small-vendors-driving-innovation-in-security-venture-capitalists-say/d/d-id/1134669

Matériel source supplémentaire :

http://itlaw.wikia.com/wiki/Cybersecurity_Framework

http://www.dw.de/at-cybersecurity-summit-obama-asks-tech-sector-to-help-government-fight-hackers/a-18257609

https://news.vice.com/article/what-the-hell-is-going-on-with-the-new-us-cybersecurity-initiative

http://www.dhs.gov/protective-investigations-program-0

http://www.quora.com/Do-you-agree-that-real-time-attack-detection-is-the-future-of-cyber-security

http://www.securitymagazine.com/articles/85752-the-most-influential-people-in-security-2014