Accroître la cyberrésilience dans le secteur de l’énergie

Introduction

Dans le secteur de l’énergie, la cybersécurité est une préoccupation de premier ordre depuis quelque temps, notamment en raison de certaines cyberattaques largement médiatisées ces dernières années qui ont non seulement fait les manchettes, mais aussi causé des perturbations opérationnelles, des pertes financières et des risques de poursuites. Tout le problème vient du fait que la stratégie utilisée pour mener des attaques ne cesse d’évoluer, ce qui impose aux organisations une vigilance constante et leur demande d’avoir toujours, autant que faire se peut, une longueur d’avance sur les cybercriminels. Pour compliquer encore davantage la situation, le secteur de l’énergie est considéré par les pouvoirs gouvernementaux comme une « infrastructure essentielle », ce qui en fait la cible parfaite pour les organisations cybercriminelles, mais également pour les agents sophistiqués parrainés par un État quelconque.

Néanmoins, une chose est claire : les organisations qui se préparent à d’éventuelles cyberattaques et y consacrent les fonds nécessaires limitent sensiblement les conséquences néfastes d’un incident important en matière de cybersécurité. La question n’est pas de savoir si une organisation sera la cible d’une cyberattaque, mais quand elle en fera les frais; tout le monde s’accorde sur ce point. De notre côté, nous pensons qu’il convient de recentrer la réflexion sur les moyens à mettre en œuvre pour y répondre.

Accroître la cyberrésilience

On ne saurait trop insister sur le rôle crucial que joue le secteur de l’énergie dans la société. Au Canada, il fait partie des « infrastructures essentielles » (tout comme aux États-Unis) : sa compromission (partielle ou totale) provoquerait une réaction en chaîne aux multiples effets néfastes dans d’autres secteurs de l’économie et la société dans son ensemble. Quant au secteur de l’énergie, une cyberattaque pourrait se traduire par une perturbation opérationnelle immédiate qui ébranlerait ses acteurs en amont comme en aval.

Pour répondre de manière efficace à une cyberattaque, les organisations devraient se doter d’une stratégie en matière de cybersécurité principalement axée sur le renforcement de leur cyberrésilience. Le terme « résilience » est souvent utilisé pour décrire la capacité d’une organisation à se remettre rapidement d’un événement perturbateur important. Dans le contexte de la cybersécurité, elle est évaluée d’après deux principaux paramètres : d’une part, la capacité à écourter au maximum la « période d’indisponibilité » et, d’autre part, la faculté de limiter les répercussions de l’incident (c.-à-d. de faire en sorte que les cybercriminels ne soient pas en mesure d’aller trop loin et de causer des dommages qui rendraient difficile ou impossible une reprise rapide du service).

Bien que le concept de résilience semble aller de soi, il repose sur une préparation et des tests réguliers. Les études ont montré une corrélation directe entre le niveau de préparation et la gravité des conséquences découlant d’un important incident de cybersécurité. En règle générale, les organisations qui se préparent à une telle éventualité, procèdent à des tests et y consacrent des fonds, le tout sur une base régulière, se remettront plus rapidement et subiront moins d’effets néfastes. Il n’est donc pas étonnant que la nouvelle proposition de loi déposée par le gouvernement fédéral vise à favoriser au maximum la cyberrésilience des organisations du secteur de l’énergie.

Projet de loi C-26

L’été dernier, le gouvernement fédéral canadien a déposé le projet de loi C-26 (projet de loi) portant sur les cybermenaces qui pèsent sur les infrastructures essentielles. Il prévoit entre autres d’édicter la Loi sur la protection des cybersystèmes essentiels qui vise à assurer une protection contre les cybermenaces envers les infrastructures essentielles canadiennes. Le projet de loi fait référence aux « cybersystèmes essentiels », qui comprennent les services ou systèmes désignés, soit les systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux ou les systèmes d’énergie nucléaire.

S’il est adopté, le projet de loi s’appliquera à une catégorie d’exploitants dont le travail relève de la compétence fédérale et à l’organisme réglementaire correspondant. Tous les exploitants visés par cette définition doivent mettre sur pied un programme de cybersécurité qui répond aux quatre objectifs énoncés précédemment ainsi qu’en aviser l’organisme réglementaire et le lui fournir.

Quels sont les aspects importants du projet de loi auxquels les organisations devraient prêter attention? Voici les trois principaux :

• Mise en place d’un programme de cybersécurité (PCS). Les organisations doivent mettre sur pied et en œuvre un programme de cybersécurité détaillant leurs responsabilités (p. ex. atténuer les risques associés à la chaîne d’approvisionnement et aux tiers, signaler les incidents de cybersécurité, veiller au respect des décrets en matière de cybersécurité et tenir des documents concernant toutes les mesures pertinentes).
  
  Le PCS doit présenter les mesures raisonnables prises pour repérer et gérer les risques pour la cybersécurité, protéger les cybersystèmes essentiels contre toute compromission, détecter les incidents de cybersécurité et en réduire au minimum les conséquences ainsi que prendre toute mesure prévue par règlement. Dès que le PCS est établi, les exploitants désignés doivent en aviser par écrit l’organisme réglementaire compétent et le mettre à sa disposition.

• Signalement des incidents de cybersécurité. Selon le projet de loi, un « incident de cybersécurité » est un incident qui peut nuire soit à la continuité ou à la sécurité d’un service ou système critique, soit à la confidentialité, à l’intégrité ou à la disponibilité d’un service critique. Si un exploitant désigné soupçonne qu’un incident de cybersécurité s’est produit, il doit le déclarer aussitôt au Centre de la sécurité des télécommunications (CST), organisme national de cryptologie du Canada, puis en aviser sans délai l’organisme réglementaire compétent, qui pourra demander une copie du rapport d’incident à l’exploitant désigné ou au CST. Contrairement à la plupart des obligations en matière de signalement des atteintes à la sécurité des renseignements personnels, la déclaration repose sur une compromission, présumée ou réelle, des systèmes essentiels plutôt que des renseignements contenus dans le système essentiel.

• Coût du défaut de conformité. Pour assurer la conformité, les organisations qui contreviennent au projet de loi ou ne s’y conforment pas s’exposent à des mesures d’application de la loi et des conséquences pénales, y compris des sanctions pécuniaires administratives pouvant atteindre 1 M$ par violation dans le cas d’une personne physique et 15 M$ dans les autres cas. S’il s’agit d’une violation continue ou répétée, chaque jour au cours duquel la violation continue ou se répète constitue une violation distincte.

De manière générale, le projet de loi reprend les exigences présentées par la Cybersecurity and Infrastructure Security Agency (CISA) aux États-Unis, ce qui n’a rien d’étonnant, compte tenu du niveau d’intégration entre les économies canadiennes et américaines, notamment dans le secteur de l’énergie.

Ainsi, bien que le projet de loi soit à l’étude devant le Parlement et n’ait pas encore été adopté, il le sera probablement en 2023. Son entrée en vigueur reste toutefois à déterminer.

Mesures que devraient prendre les entreprises dès maintenant

Bien que le projet de loi n’ait pas encore été adopté, les organisations devraient commencer par examiner et réviser leur stratégie en matière de cybersécurité, puis déterminer si leurs plans sont suffisants. Les exigences américaines énoncées par la CISA donnent une bonne idée des obligations que mettront probablement en place les autorités canadiennes pour les organisations du secteur de l’énergie.