Skip to main content

Découverte de la gouvernance cyberrésiliente

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Énumérer les six principes applicables au secteur du pétrole et du gaz qui aideront les administrateurs d’une organisation à gérer les cyberrisques
  • Décrire comment établir un modèle complet de gouvernance de la cybersécurité pour le secteur du pétrole et du gaz
  • Lister les problématiques à prendre en considération pour promouvoir une culture de la sécurité et de la résilience dès la conception
  • Expliquer pourquoi les structures de direction devraient tenir compte des cyberrisques auxquels leur organisation et l’écosystème au sens large sont confrontés

Principes de cyberrésilience du secteur du pétrole et du gaz

Les six principes suivants sont propres au secteur du pétrole et du gaz (OG, Oil and Gas). Ils complètent les principes généraux de cyberrésilience du Forum économique mondial (FEM) visant à relever les principaux défis de la cyberrésilience

  • OG1. Gouvernance de la cyberrésilience
  • OG2. Résilience dès la conception
  • OG3. Responsabilité des entreprises relative à la cyberrésilience
  • OG4. Approche globale de la gestion des risques
  • OG5. Collaboration à l’échelle de l’écosystème entier
  • OG6. Plans de cyberrésilience à l’échelle de l’écosystème entier

Ces principes se rapportant aux activités propres au secteur du pétrole et du gaz aident les professionnels de la cybersécurité à mettre en œuvre leurs initiatives. Étudions-les plus en détail.

Principe OG1 : Gouvernance de la cyberrésilience

Remarque

Avant d’établir un modèle complet de gouvernance de la cybersécurité, il est recommandé de déterminer quelles données l’organisation protège et de prendre en compte des facteurs tels que la classification des données et la criticité des processus métier. Une fois cela fait, l’étape suivante consiste à développer un cadre de gouvernance de la cybersécurité avec des rôles, des responsabilités, une mission et une vision clairement définis. 

Le conseil d’administration de toute société pétrolière ou gazière doit exiger de la direction qu’elle établisse un modèle complet de gouvernance de la cybersécurité.

Lors de la mise en œuvre de la cyberrésilience dans son organisation, le conseil d’administration doit se poser les questions suivantes :

  • Comment le modèle de gouvernance crée-t-il une relation de collaboration entre les fonctions chargées des technologies de l’information, des technologies opérationnelles et de la sécurité physique ? Quels mécanismes efficaces sont en place pour appuyer cette relation ?
  • Quels rôles et responsabilités en matière de cyberrésilience ont été établis, intégrés et endossés dans l’ensemble des fonctions chargées des technologies de l’information, des technologies opérationnelles et de la sécurité physique ?
  • Quelles sont les mesures incitatives existantes visant à faire adopter les bonnes pratiques relatives à la sécurisation des environnements opérationnels et de sécurité ?
  • Comment le modèle de gouvernance de la cyberrésilience est-il révisé ?

Mise en œuvre de la gouvernance de la cyberrésilience

Voici quelques-unes des actions suggérées pour mettre en œuvre une gouvernance de la cyberrésilience :

  • Concevez un modèle de gouvernance complet permettant de gérer et de superviser la cyberrésilience sur le plan des technologies de l’information, des technologies opérationnelles, de la sécurité physique, de l’environnement de santé et de sécurité ainsi que de la transformation numérique.
  • Veillez à ce que les responsables et les experts techniques bénéficient du niveau approprié d’autorité et de commandement, et disposent de l’expérience et des ressources nécessaires pour exécuter les tâches relatives à la cybersécurité.
  • Communiquez régulièrement, à une fréquence adaptée, au sujet de la mise en œuvre de la stratégie de cyberrésilience et du budget associé, en collaborant étroitement avec les différents responsables des unités commerciales.
  • Favorisez une culture de la cyberrésilience en présentant régulièrement des bonnes pratiques en la matière lors de formations et d’exercices de sensibilisation effectués par l’ensemble de votre organisation.

Voici quelques-unes des métriques que nous suggérons d’employer :

  • Pourcentage d’employés ayant suivi avec succès des programmes de sensibilisation à la cybersécurité relatifs aux pratiques de cyberhygiène, en mettant l’accent sur les groupes à haut risque (par exemple, les membres du conseil d’administration, la direction et le personnel relevant des services de l’informatique, de l’ingénierie, des ressources humaines ou des finances)
  • Nombre d’initiatives en matière de cybersécurité menées en collaboration avec les unités commerciales

Principe OG2 : Résilience dès la conception

Le conseil d’administration de toute société pétrolière ou gazière doit promouvoir une culture de la sécurité et de la résilience dès la conception. Il doit également exiger de la direction qu’elle mette en œuvre des normes et valeurs connexes tout en faisant état des progrès réalisés en la matière. 

Lors de la mise en œuvre de la cyberrésilience dans son organisation, le conseil d’administration doit se poser les questions suivantes :

  • Les cyberrisques et leurs implications sont-ils évalués, intégrés et gérés dès le départ de manière appropriée dans tous les aspects de l’activité de l’entreprise ?
  • Comment la responsabilité transversale et interservice de la gestion des cyberrisques est-elle établie pour que la résilience fasse partie intégrante des activités ?
  • Comment les activités de gestion des risques sont-elles coordonnées entre les différents services de l’organisation ?
  • Comment les cyberrisques directs et indirects sont-ils gérés dans les activités en cours et pris en considération dans le cadre des nouvelles initiatives ?
  • Comment les membres clés du personnel sont-ils sensibilisés aux impacts de la cyberrésilience et aux attentes liées à leur rôle ?

Examinons un exemple.

Intégration du risque de cybersécurité dans une société pétrolière

Tim est membre du conseil d’administration d’une société pétrolière. Il s’efforce d’intégrer la cybersécurité dans tous les éléments de la chaîne de valeur, des appareils informatiques aux actifs énergétiques connectés par des systèmes de contrôle relevant des technologies opérationnelles. Pour souligner l’importance des cyberrisques, Tim et les autres membres du conseil d’administration, ainsi que le PDG ont élaboré et approuvé de grands cyberprincipes dans une note de service que le directeur de l’exploitation et le directeur des systèmes d’information ont communiqués à la société. Avec le soutien du conseil d’administration, l’équipe a pu renforcer son programme de cybersécurité en renvoyant à la hausse les effectifs et le financement qui lui sont associés. En outre, elle a établi un système de gouvernance dédié pour mieux gérer les risques.

Tim présentant un plan aux autres membres du conseil d’administration pour embaucher davantage de personnel et injecter davantage de fonds dans le programme de cybersécurité.

Mise en œuvre de la résilience dès la conception

Voici quelques-unes des actions suggérées pour mettre en œuvre la résilience dès la conception :

  • Définissez des métriques de cyberrésilience et des mesures incitatives appropriées pour toutes les unités commerciales afin de leur permettre de s’approprier la problématique de la cyberrésilience et de s’engager à mettre en œuvre de nouvelles exigences en la matière dans leurs opérations.
  • Déterminez une fréquence régulière à laquelle l’agent responsable du cyberrisque et de la résilience devra fournir des rapports sur la cyberrésilience.
  • Collaborez avec les unités commerciales et les fonctions chargées des risques pour adapter la posture en matière de cyberrisque aux besoins de l’entreprise.
  • Élaborez un programme de sensibilisation à la cybersécurité adapté aux besoins de chaque unité commerciale et aux risques spécifiques auxquels elle doit faire face.
  • Donnez au personnel la capacité d’identifier et de gérer les cyberrisques.
  • Assurez-vous que les capacités de cyberrésilience, de protection, de détection et de réponse sont intégrées dans les activités techniques et commerciales dès leur conception.

Voici quelques-unes des métriques que nous suggérons d’employer :

  • Pourcentage des processus d’unités commerciales qui adoptent et intègrent des pratiques de cyberrésilience dès leur conception
  • Pourcentage d’employés suivant une formation de sensibilisation à la cyberrésilience (adaptée à différents niveaux)
  • Pourcentage de projets phares servant de modèles qui intègrent la problématique de la cyberrésilience dès leur conception (le terme « phares » indique que ces projets peuvent servir de guide à d’autres personnes qui cherchent à employer des technologies de pointe telles que l’intelligence artificielle et les analyses de données avancées dans le cadre de la conception de systèmes cyberrésilients)
  • Temps moyen pour détecter un cyberincident critique entraînant une panne ou une perturbation du système, y répondre et gérer les conséquences de celui-ci

Principe OG3 : Responsabilité des entreprises relative à la cyberrésilience

Le conseil d’administration de toute société pétrolière ou gazière doit encourager la direction à prendre en considération les cyberrisques pour l’organisation et l’écosystème au sens large, à examiner la cyberculture de l’organisation ainsi que ses pratiques connexes et à explorer les moyens de gérer ces risques. 

Lors de la mise en œuvre de la cyberrésilience dans son organisation, le conseil d’administration doit se poser les questions suivantes :

  • Comment la direction perçoit-elle les cyberrisques que l’organisation introduit dans l’écosystème, leur impact en cascade potentiel et les risques associés en matière de réputation ?
  • Comment les effets primaires et secondaires des cyberrisques sont-ils évalués et gérés dans tous les aspects de l’activité de l’entreprise, et comment l’impact en cascade potentiel ainsi que les risques associés en matière de réputation sont-ils évalués ?
  • Comment l’organisation prévoit-elle de communiquer auprès des parties concernées au sujet d’un cyberrisque, d’une vulnérabilité ou d’un incident potentiels introduits dans l’écosystème ?

Examinons un exemple.

Passage de la cybersécurité à la cyberrésilience dans une société du secteur énergétique et pétrochimique

Bon nombre d’organisations abritent différentes cultures avec divers niveaux d’appétence au risque, ce qui peut nuire à la mise en œuvre de politiques et de bonnes pratiques concernant la cybersécurité dans une entreprise donnée. L’appétence au risque est la disposition d’une organisation ou d’une partie prenante à assumer un risque après avoir mis en œuvre des solutions de contrôle des risques pour atteindre ses objectifs. Les exigences juridiques et réglementaires doivent être prises en considération pour définir cette appétence au risque afin que les organisations ou les parties prenantes restent dans les limites fixées par le législateur.

Alison, qui occupe le poste de responsable de la sécurité de l’information au sein d’une entreprise énergétique et pétrochimique, doit réduire l’impact potentiel des cyberattaques sur cette dernière. Dans cette optique, elle a reconnu la nécessité de trouver un équilibre entre les niveaux d’appétence au risque au sein des unités commerciales et les attentes des parties prenantes relatives à la mise en œuvre d’une stratégie de cyberrésilience globale dans sa société. Le conseil d’administration a apporté son soutien à un programme de formation et de sensibilisation. En outre, il a fourni des ressources visant à développer la cyberrésilience de l’entreprise. En veillant à ce qu’Alison dispose des ressources et du soutien appropriés, le conseil d’administration lui a donné les moyens de trouver des alliés pour mettre en œuvre de nouvelles politiques et procédures liées à la cyberrésilience.

Mise en œuvre du principe de responsabilité d’entreprise en matière de cyberrésilience

Voici quelques-unes des actions suggérées pour mettre en œuvre le principe de responsabilité d’entreprise en matière de cyberrésilience :

  • Collaborez avec des personnes désignées par d’autres unités commerciales et individus chargés d’intégrer la cyberrésilience dans leurs processus.
  • Prenez des mesures pour faire face au cyberrisque interne pesant sur les partenaires de la chaîne d’approvisionnement et l’écosystème global dans le cas où l’organisation devrait subir une attaque ou une violation.
  • Complétez les plans de continuité des activités existants par des mesures de reprise hors ligne, des méthodes de communication hors bande et le recours à des sites de récupération indépendants pour gérer les événements liés à la cybersécurité et accroître la résilience dès la conception.
  • Mettez en place des activités collaboratives et relatives au plan de résilience concernant l’ensemble de l’écosystème.

Voici quelques-unes des métriques que nous suggérons d’employer :

  • Nombre de cyberrisques critiques/élevés liés aux fournisseurs/partenaires commerciaux, par statut (acceptés, évités, atténués, transférés)
  • Nombre de cyberincidents détectés/partagés au sein de l’écosystème et actions en place pour remédier aux vulnérabilités signalées par trimestre
  • Fréquence des révisions d’allocation de ressources et de budget (pour rendre compte de façon adéquate de l’appétence au cyberrisque de l’organisation)
  • Nombre de scénarios de cyberincidents inclus dans les plans de continuité des activités et de reprise après sinistre

Conclusion

Dans cette unité, vous avez découvert comment établir un modèle complet de gouvernance de la cybersécurité pour les organisations du secteur du pétrole et du gaz en découvrant trois des six principes existants en la matière. Vous avez également appris à promouvoir une culture de la sécurité et de la résilience dès la conception, et découvert l’importance de la prise en considération du cyberrisque pour l’organisation et l’écosystème au sens large.

Dans l’unité suivante, vous en apprendrez davantage sur la manière de mettre en œuvre une approche globale de la gestion des risques pour assurer la cyberrésilience dans le secteur du pétrole et du gaz. Vous découvrirez aussi les mesures que les organisations de ce secteur peuvent prendre pour promouvoir la collaboration.

Ressources

Partagez vos commentaires sur Trailhead dans l'aide Salesforce.

Nous aimerions connaître votre expérience avec Trailhead. Vous pouvez désormais accéder au nouveau formulaire de commentaires à tout moment depuis le site d'aide Salesforce.

En savoir plus Continuer à partager vos commentaires