Renforcer la résilience opérationnelle

Perspectives sur la sécurité des technologies opérationnelles au Canada

45 %

des répondants affirment que pour leur conseil d’administration, les risques liés à la cybersécurité des TO sont les plus grands risques d’entreprise

54 %

des répondants déclarent que leur organisation a été confrontée à un incident lié à la cybersécurité des TO au cours des trois dernières années

71 %

des répondants indiquent que leur organisation a augmenté son budget pour la cybersécurité des TO au cours de la dernière année

Dans le contexte actuel, la sécurité des systèmes de technologie opérationnelle (TO) figure de plus en plus parmi les préoccupations des dirigeants.

Dans leur définition la plus simple, les technologies opérationnelles regroupent du matériel et des logiciels utilisés pour contrôler les infrastructures et les processus industriels. Aux fins de ce rapport, les TO comprennent à la fois les technologies opérationnelles traditionnelles et l’internet des objets industriel. Les systèmes de TO sont au cœur des industries comptant des actifs importants, comme la production et la distribution d’électricité, les services publics, la fabrication, la logistique et le transport. Ce faisant, les systèmes de TO sont des cibles critiques, tant au chapitre des gains pour les criminels lors d’intrusions que des conséquences pour les activités de l’entreprise et la sécurité publique et nationale.

Pourquoi la sécurité des systèmes de TO est-elle si préoccupante aujourd’hui? Au cours de la dernière année, nous avons constaté une augmentation du volume d’attaques contre ces systèmes, dont plusieurs incidents très médiatisés. Le gouvernement fédéral canadien a également reconnu l’importance de réglementer le cyberrisque avec son nouveau projet de loi qui vise à protéger les infrastructures et cybersystèmes essentiels. Mais en parallèle de l’augmentation des menaces à la sécurité, la numérisation des systèmes de TO s’accroît, de même que leur vulnérabilité. La sécurité des TO n’est donc pas seulement une question de gestion des risques, mais bien un facteur clé pour obtenir un avantage concurrentiel dans les années à venir.

Dans ce contexte, comment les organisations canadiennes réagissent-elles aux menaces croissantes et se positionnent-elles pour assurer leur succès futur? Au printemps 2022, nous avons discuté avec 200 dirigeants d’environ 175 organisations canadiennes différentes, afin d’évaluer leur niveau de préparation à la cybersécurité des TO. Plus de huit répondants sur dix (83 %) sont les principaux décideurs en matière de cybersécurité des TO dans leur organisation.

Explorez les principaux constats de notre enquête pour voir comment votre organisation se compare à ses pairs et découvrir les prochaines étapes que nous vous recommandons.

Établir une référence : comment les organisations perçoivent les risques liés à la sécurité des TO

À retenir

Les dirigeants des organisations doivent comprendre la gravité des décisions visant à assurer la sécurité des environnements de TO. Les répondants déclarent avoir subi à la fois des conséquences opérationnelles et cyber-cinétiques des atteintes à la sécurité des TO dans leur organisation.

Bien que les cyberrisques liés aux TO existent depuis longtemps, la sensibilisation générale à cet égard semble en augmentation, en particulier chez les dirigeants. Pour les conseils d’administration de 90 % des répondants à notre enquête, les risques liés à la cybersécurité des TO sont les plus grands risques d’entreprise ou des risques technologiques élevés. Cette constatation est conforme aux résultats d’autres enquêtes : dans notre 25e Enquête annuelle auprès des chefs de direction – La perspective canadienne, la majorité des chefs de direction canadiens (53 %) se disent extrêmement ou très préoccupés par les cyberrisques au cours de la prochaine année.

Les risques liés à la cybersécurité des TO sont…

Question : Lequel des énoncés suivants décrit le mieux la façon dont votre conseil d’administration perçoit les risques liés à la cybersécurité des TO?

…perçus comme les plus grands risques d’entreprise par le conseil d’administration

…perçus comme des risques technologiques élevés par le conseil d’administration

…considérés uniquement comme un sous-ensemble des risques technologiques et opérationnels, et ne font pas l’objet de discussions ou de rapports au conseil d’administration en tant que catégorie distincte

45 % 45 % 11 %

La somme des pourcentages peut ne pas totaliser 100 % en raison des arrondis.

Cette augmentation de la sensibilisation, notamment attribuable à plusieurs incidents très médiatisés, est sans doute également alimentée par une hausse des incidents liés aux TO – et leurs répercussions négatives – vécus par les répondants.

54 % des répondants déclarent qu’ils ont été confrontés à un incident lié à la cybersécurité des TO au cours des trois dernières années

Lorsqu’on leur a demandé quelles étaient les conséquences pour leur organisation des incidents liés à la sécurité des systèmes de TO, les répondants ont identifié plusieurs répercussions importantes. Le plus grand nombre d’entre eux a indiqué la perte de renseignements exclusifs ou confidentiels (23 %) et des dommages à la qualité des produits et services (20 %).

Cependant, les risques cybercinétiques peuvent être un facteur important dans la hausse de la sensibilisation aux risques liés aux TO. Un pourcentage assez étonnant de 7 % des répondants a indiqué que les blessures et les décès d’employés comptent parmi les conséquences négatives subies par leur organisation, et 6 % ont affirmé que les blessures et les décès parmi le grand public en faisaient partie.

Lorsqu’ils ont été interrogés sur leurs principales préoccupations au sujet d’incidents futurs liés à la sécurité des TO, les répondants ont surtout indiqué (38 %) la perte de confiance des clients ou l’atteinte à l’image de marque et à la réputation de l’entreprise. Les cyberincidents qui touchent la vie des gens, le bien-être ou l’environnement pourraient s’avérer très dommageables pour la réputation d’une organisation, et entraîner une importante érosion de la confiance du public et des organismes de réglementation.

Principales préoccupations au sujet d’incidents liés à la cybersécurité des TO

Question : Parmi les conséquences qui pourraient découler d’un incident de cybersécurité lié aux TO, quelles sont les trois principales préoccupations de votre entreprise?

1er rang 2e rang 3e rang
Perte de confiance des clients ou atteinte à l’image de marque et à la réputation de l’entreprise Perte de contrats ou d’opportunités d’affaires Perte de renseignements exclusifs ou confidentiels Dommages à la qualité des produits et services Coût de l’intervention en cas d’incidents et de l’atténuation de ceux-ci Dommages à des équipements 38 % 10 % 14 % 15 % 10 % 13 % 11 % 10 % 12 % 10 % 10 % 12 % 8 % 11 % 6 % 9 % 33 % 32 % 29 % 26 % 10 % 7 % 8 % 25 %
Responsabilités juridiques pénales ou civiles Pénalités/sanctions pour non-conformité réglementaire Incidence sur la sécurité nationale Dommages environnementaux Blessures et décès parmi le grand public Blessures et décès d’employés 6 % 8 % 10 % 5 % 8 % 6 % 24 % 7 % 4 % 8 % 18 % 7 % 5 % 5 % 17 % 7 % 8 % 3 % 17 % 8 % 4 % 5 % 17 % 19 %

Les pourcentages peuvent ne pas correspondre au total affiché en raison des arrondis.

Le coût de l’intervention en cas d’incidents et de l’atténuation de ceux-ci a été classé comme la conséquence la plus préoccupante qui pourrait découler d’un incident de cybersécurité lié aux TO par la plus forte proportion de répondants (11 %)

Tous ces risques ne feront qu’augmenter à mesure que les organisations numériseront davantage leurs systèmes de TO. Cela dit, il n’y a pas de tendance unique qui se dégage lorsque nous demandons aux répondants quelle tendance en matière technique ou de main-d’œuvre pourrait mener à l’augmentation la plus forte des cyberrisques liés aux TO.

Dans l’ensemble, les risques liés à la chaîne d’approvisionnement en matériel et en logiciels ainsi qu’aux tiers constituent la tendance la plus importante dans la hausse des risques liés à la sécurité des TO. Sans surprise, compte tenu des événements des dernières années, l’accès à distance pour les fournisseurs (24 %) et les employés (23 %), de même que le manque de compétences sur le marché (20 %) et l’attrition des effectifs (17 %) constituent d’autres sujets de préoccupation. Globalement, toutefois, les préoccupations concernant l’impact des tendances actuelles sur les risques liés à la cybersécurité sont aussi vastes que diversifiées, avec l’adoption de solutions d’AI et d’apprentissage machine, ainsi que l’adoption de l’infonuagique et de solutions SaaS prioritaires.

Tendances entraînant des risques liés à la cybersécurité des TO

Question : Selon vous, quelles sont les tendances en matière technique et de main-d’œuvre qui entraînent la plus forte hausse des cyberrisques liés aux TO, à l’heure actuelle comme dans l’avenir?

1er rang 2e rang 3e rang
Adoption de solutions d’IA et d’apprentissage automatique dans les environnements de TO Risques liés à la cybersécurité de la chaîne d’approvisionnement ou de tiers Adoption de l’infonuagique et de solutions SaaS Utilisation de composants libres dans les solutions de TO Accès à distance pour les fournisseurs 28 % 9 % 13 % 7 % 10 % 10 % 7 % 6 % 10 % 7 % 13 % 7 % 6 % 10 % 7 % 8 % 27 % 25 % 25 % 24 %
Accès à distance pour les employés Adoption de solutions d’IdO ou d’IIdO du marché secondaire dans les environnements de TO Manque de compétences sur le marché Utilisation de l’informatique de périphérie Nomenclature logicielle (SBoM), nomenclature de cybersécurité (CBoM) et nomenclature (BoM) complexes 8 % 8 % 7 % 8 % 10 % 6 % 6 % 6 % 8 % 4 % 6 % 8 % 7 % 3 % 8 % 23 % 23 % 20 % 17 % 17 %
Attrition des effectifs Réseaux de communication 5G Adoption de solutions basées sur la chaîne de blocs Utilisation de drones Utilisation de la robotique 4 % 5 % 8 % 5 % 6 % 4 % 6 % 5 % 4 % 3 % 3 % 5 % 2 % 3 % 4 % 17 % 15 % 14 % 11 % 9 %

Les pourcentages peuvent ne pas correspondre au total affiché en raison des arrondis.

Comprendre les obstacles à une sécurité des TO efficace

À retenir

Les dirigeants doivent veiller à ne pas trop compter sur le personnel et les politiques de TI pour combler les lacunes actuelles et futures en matière de sécurité des TO. Car à mesure que l’environnement de la sécurité des TO devient encore plus exigeant sur le plan technique, les défis liés à la collaboration entre les TO et les TI se multiplieront.

Compte tenu du contexte de risques actuel, quels sont les défis auxquels sont confrontés les répondants qui cherchent à sécuriser les systèmes de TO dans leur organisation? Le premier réside dans l’absence d’une distinction claire entre la sécurité des TI et celle des TO. Nous constatons cette confusion lorsque nous examinons les réponses aux questions touchant la responsabilité organisationnelle de la sécurité des TO.

En effet, bien que les réponses à la question visant à savoir qui est la personne responsable de la gestion des risques de cybersécurité pour les TO dans l’organisation soient variées, la plus forte proportion de répondants (22 %) indique le chef de la sécurité de l’information. Cela dit, il est intéressant de noter qu’en ce qui a trait à la gestion quotidienne des contrôles de cybersécurité des TO, la plus forte proportion de répondants (27 %) affirme que cela relève du service qui est le principal utilisateur des technologies de TO. Traditionnellement, le chef de la sécurité de l’information supervise la cybersécurité des TI, et non pas celle des TO. Le fait de lui confier la responsabilité ultime de la sécurité des TO peut donc créer des tensions au sein de l’organisation.

Nous constatons également un manque de clarté au chapitre des politiques : 84 % des répondants utilisent leur politique de sécurité des TI pour la sécurité des TO. Et, fait surprenant, 15 % des répondants n’ont aucune politique officielle de sécurité des TO.

Bien qu’il soit essentiel que les groupes de TI et de TO collaborent pour sécuriser efficacement l’environnement de TO, il existe des différences techniques qui limiteront l’application des contrôles de TI aux systèmes de TO. Et celles-ci se complexifieront au gré de l’adoption croissante de la connectivité cellulaire. Or, plus des trois quarts (78 %) des répondants utilisent déjà une certaine connectivité cellulaire pour leurs systèmes de TO, dont 60 % avec des réseaux privés.

97 % des répondants indiquent que leur organisation prévoit d’utiliser la connectivité cellulaire pour les TO

Au fil du temps, nous continuerons d’avoir besoin de talents dotés de compétences hautement spécialisées et techniques pour comprendre les systèmes et les risques convergents des TI et des TO. La bonne nouvelle, c’est que nos répondants semblent le comprendre. En effet, lorsque nous leur avons demandé quels étaient les obstacles habituels à la mise en œuvre de la cybersécurité des TO, ils ont plus souvent répondu le manque d’expertise en cybersécurité des TO (45 %) et l’absence d’un budget formel pour la cybersécurité des TO (44 %), le manque d’expertise étant l’obstacle le plus susceptible d’être classé au premier rang (23 %).

Obstacles habituels à la mise en œuvre de la cybersécurité des TO

Question : Quels sont les obstacles ou causes de retard habituels dans la mise en œuvre des initiatives de cybersécurité des TO dans votre organisation?

1er rang 2e rang 3e rang
Manque d’expertise en cybersécurité des TO Absence de budget formel pour la cybersécurité des TO Surabondance de décideurs qui retarde l’exécution Longs délais d’approbation Sélection des fournisseurs 45 % 23 % 9 % 14 % 14 % 17 % 14 % 15 % 13 % 12 % 10 % 15 % 14 % 9 % 14 % 14 % 44 % 39 % 39 % 36 %
Risque pour la production jugé inacceptable Longueur du processus d’achat Volonté des autres services d’obtenir un droit de vote 14 % 10 % 11 % 7 % 10 % 10 % 8 % 9 % 6 % 35 % 26 % 23 %

Les pourcentages peuvent ne pas correspondre au total affiché en raison des arrondis.

Réactions des organisations à l’évolution de l’environnement des TO

À retenir

Les dirigeants doivent commencer à réfléchir de façon créative au moyen de combler la pénurie actuelle de compétences en sécurité des TO. La majorité des répondants indiquent qu’ils ont alloué un budget aux efforts de cybersécurité des TO au cours de la dernière année, et que des améliorations ont été apportées sur trois fronts : les personnes, les processus et la technologie.

Quelles mesures les organisations prennent-elles pour surmonter ces obstacles et se protéger contre les menaces imminentes? Un peu plus de sept répondants sur dix (71 %) indiquent que le budget pour la cybersécurité des TO de leur organisation a été augmenté au cours de la dernière année, et qu’une grande partie de celui-ci est consacrée aux talents.

Lorsqu’on leur a demandé d’indiquer leurs plus grandes priorités d’investissement pour la prochaine année, les répondants ont d’abord souligné la nécessité d’améliorer les compétences du personnel de sécurité de l’information et de cybersécurité du groupe des TI dans des contextes propres aux TO (26 %). Viennent ensuite le perfectionnement du personnel d’ingénierie et d’opérations en matière de cybersécurité (22 %) et l’embauche d’experts en cybersécurité des TO (21 %).

Sans surprise, considérant la difficulté qu’éprouvent actuellement de nombreuses organisations à retenir les talents, en particulier ceux ayant une formation spécialisée, nous constatons également un certain intérêt des répondants pour l’impartition. Sur ce sujet, la plus forte proportion de répondants (30 %) manifeste de l’intérêt pour le soutien et l’expertise de tiers sur des questions de sécurité, de fuites de données et de menaces.

16 % des répondants affirment que les services de sécurité gérés seront l’une des principales priorités d’investissement en matière de cybersécurité des TO pour leur organisation au cours de la prochaine année

Priorités d’investissement pour la cybersécurité des TO

Question : Quelles sont vos trois principales priorités d’investissement pour la cybersécurité des TO au cours des 12 prochains mois?

1er rang 2e rang 3e rang Amélioration des compétences du personnel de sécurité de l’information et de cybersécurité du groupe des TI en matière de défis et de solutions propres aux TO Amélioration des compétences du personneld’ingénierie, d’opérations et autresen matière de cybersécurité Solutions de gestion des vulnérabilités des TO Embauche d’experts en cybersécurité Solutions de gestion des actifs de TO etintégration de la gestion des actifs avecd’autres contrôles de cybersécurité 26 % 11 % 6 % 9 % 22 % 6 % 8 % 8 % 21 % 7 % 8 % 7 % 21 % 9 % 8 % 5 % 18 % 5 % 6 % 7 %
Évaluation des cyberrisques et desvulnérabilités des TO Améliorations de la gouvernance descyberrisques propres aux TO Services de sécurité gérés pour les TO(ou expansion des services de sécuritégérés des TI vers les TO) Solutions de surveillance et dedétection propres aux TO Initiatives de continuité des affaires et dereprise après sinistre liées aux TO 16 % 8 % 4 % 5 % 16 % 4 % 8 % 5 % 16 % 5 % 6 % 6 % 15 % 4 % 6 % 6 % 14 % 4 % 5 % 6 %
Renseignements sur les menaces propresaux TO Renforcement des systèmes de TO Mise en œuvre ou mise à niveau descontrôles de sécurité physique Segmentation entre les réseaux de TO et de TI Découverte complète des actifs de TOet classification des actifs 14 % 5 % 4 % 5 % 13 % 3 % 4 % 6 % 13 % 4 % 4 % 5 % 12 % 4 % 5 % 3 % 12 % 4 % 4 % 4 %
Mise en œuvre ou mise à niveau dessystèmes de sécurité instrumentés Initiative ponctuelle d’application de correctifs aux systèmes de TO pour rattraper les cyclesd’application de correctifs Gestion des identités et des accès (IAM) etgestion des accès privilégiés (PAM) pour les TO Isolement critique des systèmes de TO 11 % 3 % 4 % 5 % 11 % 6 % 3 % 3 % 11 % 5 % 3 % 4 % 10 % 5 % 4 % 2 %

Les pourcentages peuvent ne pas correspondre au total affiché en raison des arrondis.

En ce qui concerne les améliorations de processus, 16 % des répondants se concentrent sur celles qui touchent la gouvernance des cyberrisques propres aux TO. Pour les mises à jour technologiques, qui nécessiteront également des changements de processus dans plusieurs cas, les solutions de gestion des vulnérabilités des TO (21 %) ainsi que les solutions de gestion des actifs de TO et l’intégration de la gestion des actifs avec d’autres contrôles de cybersécurité (18 %) se retrouvent en tête des priorités.

Il convient toutefois de mentionner que les mises à jour des processus et des technologies dépendront de talents qualifiés pour mettre en œuvre et superviser ces changements et solutions, en particulier dans l’environnement de sécurité actuel, qui est en constante évolution.

Trois prochaines étapes pour les organisations

Les systèmes de TO deviennent de plus en plus numériques, dans un contexte de risque croissant. Il sera donc essentiel pour les organisations de protéger leur personnel et leurs infrastructures critiques, ainsi que d’assurer leur résilience opérationnelle. Nous avons identifié trois étapes clés que les dirigeants doivent envisager.

La première étape du développement d’une stratégie de sécurité des TO et de l’allocation efficace du budget de cybersécurité consiste à choisir une approche d’évaluation et de gestion des risques en matière de sécurité des TO. La pérennité de la mission opérationnelle de l’entreprise repose sur une approche fondée sur les risques pour l’identification, l’évaluation et la priorisation des cybermenaces. L’élaboration de politiques, de procédures et de responsabilités internes pour une gouvernance efficace des cyberrisques en matière de TI et de TO permet d’améliorer l’allocation du budget de cybersécurité et la réponse aux crises et, ultimement, de réduire l’exposition aux cyberrisques.

Toutefois, une collaboration étroite entre les équipes de TI et de TO est essentielle pour comprendre entièrement les cyberrisques en matière de TO. Les équipes de TI comprennent généralement mieux les différentes catégories de cybermenaces aux systèmes informatiques et aux communications et savent comment ces menaces peuvent se répercuter sur l’environnement des TO. Pour leur part, les équipes de TO peuvent correctement évaluer l’impact des cybermenaces sur les processus physiques sous-jacents et l’entreprise, en tenant compte de la réduction des risques qu’offrent les systèmes de sécurité actifs ou les solutions de contournement manuelles.

Un repérage des dispositifs de TO doit être effectué pour identifier tous les actifs de TO et les importer dans une solution de gestion des actifs. Les solutions de visibilité des TI et des TO se croisent rarement. L’approche privilégiée doit donc comprendre des outils de repérage des actifs dans les réseaux utilisés par les deux équipes. Aucun outil de repérage des actifs automatisé ne permet d’identifier tous les actifs de TO. Une approche exhaustive doit donc comprendre une étape manuelle de compilation de l’information provenant de sources multiples.

L’un des plus grands défis auxquels font face de nombreuses entreprises est une visibilité limitée de la surface d’attaque des TI et TO. Sans un inventaire exhaustif des actifs de TO, des problèmes de sécurité inconnus et non vérifiés peuvent survenir.

Il faut envisager d’évaluer et de gérer les vulnérabilités des TO, pour mieux identifier ces vulnérabilités à un moment précis et pour élaborer des plans d’atténuation des risques qui permettent de protéger l’environnement de l’entreprise. Ce processus permet également d’instaurer une approche d’évaluation et de gestion régulière et continue des vulnérabilités, qui aide à gérer les risques les plus importants d’abord.

Il importe de mettre en place et de suivre un ensemble de meilleures pratiques et de contrôles largement acceptés en cybersécurité, afin de maintenir un niveau de sécurité de base dans l’environnement de TO. Il s’agit de réduire les risques en maintenant une bonne hygiène de cybersécurité.

Il est également utile de tenir compte de solutions plus sophistiquées. Les solutions de surveillance et de détection propres aux TO et les centres d’opérations de TO internes ou externes permettent également de détecter et de contenir rapidement les menaces à l’environnement des TO, avant de subir un impact majeur. La gestion des accès privilégiés spécifiques aux TO, ainsi que les processus et solutions de gestion des identités et des accès, peuvent aider à contrôler les accès aux TO et aux systèmes connectés aux TO.

Il faut développer une réponse aux incidents propre aux TO, qui préparera l’entreprise à rapidement contenir et à éliminer les menaces à l’environnement de TO. À retenir : la réponse aux incidents de TO est plus complexe que la réponse aux incidents informatiques et diffère de celle-ci, et exige la participation d’un plus grand nombre de parties.

Suivre PwC Canada

Les champs obligatoires sont marqués d'un astérisque(*)

En indiquant votre adresse de courrier électronique, vous confirmez avoir lu notre politique sur la vie privée et consentez à ce que vos données soient traitées conformément à cette dernière (y compris dans le cadre d'affectations internationales). Si entre-temps vous changez d'idée, veuillez envoyer un message à Chef de la protection des renseignements personnels.

Contactez-nous

Marin Ivezic

Marin Ivezic

Associé, Cybersécurité et protection des renseignements personnels, PwC Canada

Tél. : +1 416 687 8672

Naren Kalyanaraman

Naren Kalyanaraman

Associé, leader national, Services financiers et leader, Cybersécurité et lutte contre la criminalité financière, PwC Canada

Tél. : +1 416 815 5306

Jennifer Johnson

Jennifer Johnson

Leader, Stratégie et transformation, PwC Canada

Tél. : +1 416 947 8966

Masquer