Skip to main content

Instauration d’une culture de la gestion des risques

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Lister les problématiques à prendre en considération pour mettre en œuvre une approche globale de la gestion des risques
  • Identifier les actions favorisant la collaboration
  • Décrire comment élaborer des plans de cyberrésilience à l’échelle d’un écosystème entier

Continuons à découvrir les principes de cyberrésilience du Forum économique mondial (FEM) concernant le secteur du pétrole et du gaz (OG, Oil and Gas).

Principe OG4 : Gestion globale des risques

Le conseil d’administration de toute société pétrolière ou gazière doit gérer les cyberrisques dans l’ensemble de l’écosystème sectoriel en définissant les objectifs appropriés, en octroyant les fonds suffisants, en fournissant les ressources adéquates et en définissant les responsabilités pertinentes dans le cadre de la mise en œuvre des programmes de cyberrésilience. 

Lors de la mise en œuvre de la cyberrésilience dans son organisation, le conseil d’administration doit se poser les questions suivantes :

  • Quels risques pour l’organisation les parties internes et externes présentent-elles ?
  • Quelles ressources financières et humaines sont suffisantes pour atteindre les objectifs globaux appropriés en matière de gestion des risques relatifs à la cybersécurité ?
  • Comment l’approche actuelle de la gestion des risques intègre-t-elle les cyberrisques émanant de la chaîne d’approvisionnement ?

Mise en œuvre d’une approche globale de la gestion des risques

Voici quelques-unes des actions suggérées pour mettre en œuvre une gestion globale des risques :

Voici quelques-unes des métriques que nous suggérons d’employer :

  • Pourcentage de partenaires et fournisseurs stratégiques évalués (via un audit préalable de la cyberrésilience) et ayant des clauses de sécurité intégrées dans leur contrat
  • Nombre de risques systémiques critiques (ayant un impact négatif sur le secteur dans son ensemble) couverts par l’analyse des risques de l’organisation
  • Fréquence des évaluations des risques (processus globaux d’identification, d’analyse et d’évaluation des risques) menées pour les fonctions, les fournisseurs, les partenaires et les actifs métier critiques, par exemple, sur la base d’informations issues d’analyses relatives à l’impact commercial
  • Nombre d’actifs critiques couverts par le processus de gestion des risques

Examinons un exemple.

Processus évolutif d’acceptation des cyberrisques

Carolyn est directrice au sein d’une société de services pétroliers. Son approche consiste à documenter la gestion des cyberrisques, en traitant les cybermenaces comme un danger pour les opérations commerciales. Pour s’assurer que la cybersécurité est une priorité absolue, Carolyn conduit des examens de la sécurité en interne et chez les fournisseurs dans le cadre du processus d’achat et de construction de sa société. 

Ce processus comporte quatre étapes distinctes : la demande, l’évaluation, l’approbation et le suivi. Lorsqu’une demande est formulée, l’équipe de Carolyn procède à une évaluation axée sur les risques reposant sur un ensemble de contrôles stable, reproductible et évolutif, en tenant compte de facteurs tels que la classification des données et la criticité des processus métier. Ce processus nécessite ensuite l’approbation des services commerciaux, juridiques et informatiques, avec des niveaux d’acceptabilité définis en fonction du degré de risque. 

Enfin, Carolyn, dans le cadre de l’élaboration des rapports qu’elle transmet régulièrement à ses supérieurs, assure un suivi des cybermenaces et notamment des mesures prises pour les pallier. Ce processus reproductible et évolutif garantit l’application cohérente de contrôles axés sur les risques, avec des responsabilités clairement définies en ce qui concerne l’évaluation des risques ainsi que leur gestion transversale.

Principe OG5 : Collaboration à l’échelle de l’écosystème entier

Le conseil d’administration de toute société pétrolière ou gazière doit donner à son équipe de direction les moyens d’instaurer une culture de la collaboration permettant de superviser, de surveiller et de contrôler efficacement les risques à l’échelle de l’écosystème entier. 

Lors de la mise en œuvre de la cyberrésilience dans son organisation, le conseil d’administration doit se poser les questions suivantes :

  • Comment l’organisation interagit-elle avec des groupes d’action et des plates-formes de collaboration spécialisés dans la cyberrésilience ?
  • Quel plan d’action pour la cyberrésilience couvre le ou les écosystèmes de l’organisation ?
  • Comment les leçons tirées des activités de collaboration sont-elles utilisées pour renforcer les pratiques de l’organisation et de l’écosystème en matière de cyberrésilience et en quoi permettent-elles d’avoir accès à de nouvelles opportunités ?

Examinons un exemple.

Établissement d’une approche à l’échelle de l’écosystème entier 

Gregory est le directeur du service informatique d’une entreprise énergétique dont l’écosystème dispersé s’appuie sur différents partenariats, organisations et coentreprises en amont et en aval de ses activités. Chaque partie de l’écosystème a ses propres normes environnementales et diverses approches de la cybersécurité, ce qui peut s’avérer difficile à gérer. 

Pour réduire le cyberrisque, Gregory a lancé une initiative visant à combler le fossé entre ces différents environnements d’exploitation et à mettre en contact les équipes chargées des technologies opérationnelles en amont et en aval. Son département informatique a pris trois mesures, consistant respectivement au financement d’une équipe centralisée pour garantir la mise en œuvre de pratiques et d’approches communes en matière de cyberrisque, à la mise en place d’une infrastructure standard ainsi que d’outils d’inventaire des actifs cohérents, et en l’harmonisation des processus pour surveiller en continu l’environnement technologique opérationnel. 

Grâce à cette équipe centralisée, la société de Gregory peut améliorer en permanence les plans et contrôles collectifs de cyberrésilience que partagent ses organisations partenaires en amont et en aval.

Illustration représentant un dispositif de forage en amont et des barils de pétrole en aval, reliés par une flèche arquée. Un bouclier sur lequel figure une coche est présent au-dessus de la flèche.

Cette méthodologie accorde une importance égale à la préparation et à la protection tout en améliorant les capacités de surveillance et de réponse. La collaboration et l’adoption collective d’approches et de contrôles unifiés permettent d’améliorer le suivi de l’environnement technologique opérationnel et la visibilité sur celui-ci. Le temps de détection et de mise en place des versions et correctifs des logiciels informatiques et des logiciels d’exploitation passe ainsi de plusieurs jours à quelques minutes seulement.

Mise en œuvre d’une collaboration à l’échelle de l’écosystème entier

Voici quelques-unes des actions que nous suggérons aux conseils d’administration d’entreprendre pour mettre en œuvre les principes de collaboration à l’échelle de l’écosystème entier :

  • Collaborez avec les partenaires de l’écosystème pour développer, améliorer et adopter des approches unifiées fondées sur les cadres, normes et outils du secteur.
  • Engagez des interactions avec les décideurs politiques et les organisations mondiales de normalisation pour faciliter la collaboration à l’échelle de l’écosystème entier et rendez compte de ces échanges.
  • Participez à des communautés et à des initiatives de cyberrésilience (sous la direction d’organisations sectorielles, nationales ou internationales) qui encouragent le partage d’informations, renforcent la collaboration dans l’ensemble de l’écosystème et stimulent l’action collective. Vous pouvez également en diriger vous-même.
  • Collaborez avec les parties prenantes de l’écosystème et engagez-vous activement au sein des organes généraux de diffusion d’informations sur la cybersécurité : Centre d’échange et d’analyse d’informations sur le pétrole et le gaz naturel (ONG-ISAC), Centre d’échange et d’analyse d’informations sur les technologies opérationnelles (OT-ISAC), American Petroleum Institute (API), Agence de l’Union européenne pour la cybersécurité (ENISA), etc.

Voici quelques-unes des métriques que nous suggérons d’employer :

  • Fréquence des événements et des engagements avec les pairs de l’écosystème et du secteur
  • Fréquence des réunions avec des responsables de la sécurité et des experts en cyberintervention (décideurs politiques, responsables de la sécurité nationale et du renseignement, experts juridiques et en cyberintervention du secteur privé, entre autres)
  • Nombre de rapports et de notes d’information sur les menaces échangés avec des pairs appartenant à l’écosystème

Principe OG6 : Plans de cyberrésilience à l’échelle de l’écosystème entier

Le conseil d’administration de toute société pétrolière ou gazière doit encourager l’équipe de direction à créer, à mettre en œuvre, à tester et à améliorer les plans et contrôles collectifs de cyberrésilience en collaboration avec d’autres membres de l’écosystème. 

Lors de la mise en œuvre de la cyberrésilience dans son organisation, le conseil d’administration doit se poser les questions suivantes :

  • Quelles données ou informations devons-nous protéger ? Quelles sont les activités incluses dans le plan de cyberrésilience ? Comment le plan couvre-t-il le ou les écosystèmes de l’organisation, notamment en ce qui concerne la réponse aux incidents, les communications, la continuité des activités et la reprise après sinistre ? Le plan est-il testé de manière adéquate avec la régularité appropriée ?
  • Quelles plates-formes de collaboration le conseil d’administration et l’équipe de direction doivent-ils soutenir pour plaider en faveur de l’élaboration de plans de résilience collectifs ?
  • Dans quelle mesure, au sein de l’écosystème, les plans de résilience collectifs donnent-ils une égale importance aux initiatives de préparation d’un côté et aux capacités d’intervention et de reprise de l’autre, et en quoi sont-ils représentatifs de ces enjeux ?

Examinons un exemple.

Les initiatives d’une société énergétique contribuent à sécuriser la chaîne de valeur

Rebecca est membre du conseil d’administration d’une société énergétique. Elle a soutenu une initiative consistant à s’associer avec un centre de recherche dédié à la sécurité de l’information pour mener une enquête auprès des dirigeants et des responsables de multinationales du secteur du pétrole et du gaz afin d’évaluer leur état de préparation en matière de cybersécurité. Les résultats ont montré que, dans l’ensemble du secteur, la plupart des organisations avaient du mal à embaucher des spécialistes de la cybersécurité ayant une connaissance approfondie des actifs énergétiques liés aux technologies opérationnelles, qui est nécessaire pour identifier et traiter les cyberattaques avant qu’elles ne se produisent.

La société de Rebecca a reconnu qu’un moyen d’améliorer la cybersécurité dans l’ensemble du secteur du pétrole et du gaz était de garantir que les petites et moyennes entreprises puissent accéder à des solutions avancées de surveillance et de détection s’appuyant sur l’intelligence artificielle (IA), ce qui contribue à renforcer les maillons faibles contre les cyberattaques dans l’écosystème numérique. En combinant des technologies IA interopérables et indépendantes de leurs concepteurs et en tirant efficacement parti de l’expertise humaine native en matière de technologies opérationnelles, les petites et moyennes entreprises énergétiques peuvent disposer de capacités de surveillance, de détection et de prévention des cyberattaques. Seules les sociétés disposant de budgets adéquats pouvaient auparavant atteindre en interne un tel niveau de protection.

Mise en œuvre de plans de cyberrésilience à l’échelle de l’écosystème entier

Voici quelques-unes des actions suggérées pour mettre en œuvre les principes des plans de cyberrésilience à l’échelle de l’écosystème entier :

  • Faites de l’élaboration d’un plan de cyberrésilience l’une des priorités stratégiques de votre organisation, en étroite collaboration avec tous les responsables des fonctions et unités commerciales, et en faisant intervenir clairement le conseil d’administration.
  • Fixez une cadence régulière pour rendre compte des plans de cyberrésilience. Vos rapports doivent contenir des informations sur les mises à jour critiques, la fréquence des tests et les résultats obtenus.
  • Effectuez régulièrement des exercices de cybersécurité et des tests de cyberrésilience, axés sur une défaillance systémique et une reprise ultérieure ou intégrant ces événements.
  • Vérifiez que la stratégie et le programme de cybersécurité sont associés à des sources internes et externes, à la procédure de gestion des incidents et aux capacités de réponse et de récupération (du point de vue du personnel, des processus et de la technologie).

Voici quelques-unes des métriques que nous suggérons d’employer :

  • Nombre de tests effectués et mesures correctives adoptées
  • Nombre d’heures d’interruption ou de perturbation des services métier essentiels et impact financier des perturbations
  • Pourcentage d’actions critiques en cours et menées à bien résultant d’exercices de préparation à la cybersécurité, qui incluent la réalisation de tests de défaillance systémique comme composante ou comme objectif
  • Pourcentage de systèmes critiques pour lesquels des plans d’urgence et de reprise après sinistre ont été mis en œuvre et testés avec succès durant le trimestre

Conclusion

Dans cette unité, vous avez été initié à la mise en œuvre d’une approche globale de la gestion des risques dans le secteur du pétrole et du gaz. Vous avez également appris à favoriser la collaboration à l’échelle d’un écosystème entier et découvert l’importance d’élaborer des plans de cyberrésilience à une telle échelle. 

Dans l’unité suivante, vous en apprendrez davantage sur la façon de mettre en pratique les principes de cyberrésilience dans le secteur du pétrole et du gaz. Vous découvrirez aussi les mesures que les organisations de ce secteur peuvent prendre pour permettre l’adoption de nouvelles cyberpolitiques et de nouveaux principes connexes. 

Ressources

Partagez vos commentaires sur Trailhead dans l'aide Salesforce.

Nous aimerions connaître votre expérience avec Trailhead. Vous pouvez désormais accéder au nouveau formulaire de commentaires à tout moment depuis le site d'aide Salesforce.

En savoir plus Continuer à partager vos commentaires