Familiarisation avec le secteur du pétrole et du gaz

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

Décrire la nature des menaces numériques grandissantes qui pèsent sur le secteur du pétrole et du gaz
Présenter les complexités liées à la sécurisation des environnements d’exploitation industriels mondiaux
Expliquer l’importance des technologies opérationnelles pour se prémunir contre les cyberattaques

Ce module a été réalisé en collaboration avec le Forum économique mondial (FEM). Apprenez-en plus sur le contenu partenaire dans Trailhead.

Avant de commencer

Si vous avez suivi le module Développement de programmes de cyberrésilience, vous savez déjà ce qu’est la cyberrésilience, pourquoi nous nous en soucions, ce que vous devez faire pour l’instaurer et comment les membres du conseil d’administration de votre organisation peuvent la promouvoir et la renforcer au sein de celle-ci. À présent, creusons un peu plus ce sujet en découvrant quelles sont ses implications dans le secteur du pétrole et du gaz. À l’heure où ce secteur d’activité, l’un des plus complexes du monde, effectue une transition à multiples facettes (passage de l’analogique au numérique, d’un fonctionnement centralisé à décentralisé et d’un modèle économique axé sur les énergies fossiles à des activités à faible empreinte carbone), la gestion des cyberrisques et la prévention des cybermenaces deviennent rapidement des enjeux critiques pour les chaînes de valeur des entreprises qui le constituent.

Paysage des menaces numériques

La révolution numérique et la transition énergétique (réduction du recours aux énergies fossiles pour privilégier les sources d’énergie à faible émission de carbone) ont toutes les deux transformé le modèle économique du secteur du pétrole et du gaz (OG, Oil and Gas), vieux de plusieurs décennies, en seulement quelques années. L’avenir de ce secteur repose sur la digitalisation (processus de conversion des informations dans un format numérique) pour gérer un vaste réseau d’opérations et d’actifs énergétiques mondiaux. L’objectif est triple : maximiser les bénéfices, améliorer la sécurité et minimiser les émissions.

Aujourd’hui, les entreprises contrôlent les actifs énergétiques physiques en reliant des technologies opérationnelles à des réseaux relevant des technologies de l’information qui exploitent le Big Data, l’intelligence artificielle (IA) et l’automatisation. Les technologies opérationnelles permettent de surveiller et de gérer les actifs relatifs aux processus industriels ainsi que les équipements de fabrication/industriels. Les technologies de l’information englobent tout équipement, tout service ou toute technique utilisés par une entreprise, une institution ou n’importe quelle autre organisation qui traite des informations.

Ces nouveaux liens omniprésents entre technologies opérationnelles et technologies de l’information sont autant de facteurs clés permettant d’établir un modèle d’exploitation plus efficace, résilient et à faible émission de carbone pour le secteur de l’énergie. Cependant, ces changements entraînent des cyberrisques pour les secteurs d’infrastructures critiques, autrement dit ceux dont les actifs, les systèmes et les réseaux sont considérés comme si vitaux pour un pays que leur neutralisation ou leur destruction affaiblirait la sécurité économique et le système de santé publique de celui-ci, ainsi que sa sécurité et sa sûreté. Étant donné que des infrastructures critiques et des chaînes d’approvisionnement entières sont exposées aux cyberrisques, la cybersécurité constitue une considération essentielle pour le modèle économique du secteur du pétrole et du gaz.

Pour garder une longueur d’avance sur les cyberattaques dans ce secteur en évolution rapide, les sociétés doivent s’assurer que les initiatives d’atténuation des cyberrisques progressent au même rythme que les initiatives d’innovation. Un cyberrisque est la perte qui peut survenir lorsqu’une cybermenace a une incidence négative sur un actif et engendre un impact significatif sur une organisation. Le cyberrisque peut se mesurer comme la fréquence et l’impact probables d’une perte.

La clé de la gestion des cyberrisques est la cyberrésilience. Selon le National Institute of Standards and Technology (NIST), le terme « cyberrésilience » fait référence à la résilience organisationnelle face aux cybermenaces, dans le cadre de laquelle une importance toute particulière est accordée à la mise en œuvre efficace de bonnes pratiques en matière de cybersécurité et d’un plan de continuité des opérations. Pour réussir dans le contexte des menaces actuelles, les dirigeants du secteur du pétrole et du gaz doivent continuellement améliorer la cyberrésilience de leur organisation, évaluer les risques aussi bien nouveaux qu’existants et amorcer un dialogue entre les membres du conseil d’administration, les directeurs et des acteurs clés du secteur de la sécurité.

Les membres des conseils d’administration et les directeurs des organisations du secteur du pétrole et du gaz ont un rôle important à jouer dans la promotion de la cyberrésilience au sein de leurs entreprises respectives. Les membres du conseil d’administration sont des fiduciaires chargés de superviser les stratégies de gestion ainsi que d’identifier et de planifier les réponses aux risques qui menacent non seulement l’ensemble de leur société, mais également la valeur qu’elle représente pour ses parties prenantes et ses actionnaires. Ils doivent trouver un équilibre entre l’avantage concurrentiel associé à la digitalisation de l’environnement d’exploitation industriel de leur société et le fait qu’un tel processus augmente l’exposition aux cybermenaces qui cherchent à perturber l’activité de leur société.

Les directeurs sont tenus de rendre compte de la capacité de leur organisation à gérer la cyberrésilience. Le responsable de la sécurité de l’information est souvent la personne qui est chargée de superviser le programme de cyberrésilience, qui vise à protéger l’infrastructure numérique de l’organisation contre les cybermenaces et à assurer la continuité des activités.

Avec un nombre de connexions d’appareils industriels qui devrait atteindre les 37 milliards d’ici 2025, la digitalisation transforme rapidement le secteur du pétrole et du gaz : autrefois axé sur l’exploitation de matières premières à l’aide d’équipements analogiques, il devient une industrie automatisée, contrôlée à distance et axée sur l’IA, qui prend des décisions fondées sur les risques plus vite que jamais. L’utilisation de capteurs pour surveiller les niveaux de stock des réservoirs de pétrole et envoyer automatiquement des camions lorsqu’il est temps de les vider constitue un exemple de situation où ont lieu des connexions d’appareils industriels dans le secteur du pétrole et du gaz. Ces capteurs surveillent également les performances des pompes en surface pour alerter les équipes de maintenance en cas de problème et fournissent aux employés des avertissements relatifs à la sécurité pour éviter les blessures et les décès. Les notifications en temps réel qu’envoient les capteurs des réservoirs de pétrole permettent de procéder au pompage en continu, tout en optimisant le transport des stocks et en minimisant le coût des interruptions.

Illustration représentant un réservoir de pétrole terrestre, un camion connecté et une pompe en surface.

Dans le même temps, alors que cette transformation digitale bat son plein, les acteurs malveillants voient de plus en plus le secteur de l’énergie comme une cible idéale pour lancer des cyberattaques à des fins financières, criminelles ou géopolitiques. Toutefois, bon nombre d’entreprises pétrolières et gazières ne sont pas habituées à se considérer comme des sociétés digitales. Elles ne disposent donc pas des technologies, des systèmes, du personnel et des protocoles de cybersécurité requis pour protéger leurs environnements d’exploitation industriels.

Sécurisation des environnements d’exploitation industriels

La cybersécurité dans le secteur du pétrole et du gaz est, par nature, difficile à mettre en œuvre en raison d’une double complexité : celle de devoir gérer des organisations de grande envergure avec des activités, des actifs et des personnels variés répartis dans le monde entier d’un côté, et celle de travailler avec une chaîne d’approvisionnement reliant divers clients et fournisseurs de l’autre. Le passage de nombreuses sociétés de ce secteur d’un fonctionnement fondé sur des systèmes opérationnels isolés à des modèles entièrement intégrés a provoqué une complexification des chaînes d’approvisionnement et l’intensification des interdépendances entre les activités d’amont, les activités médianes et les activités d’aval.

Une telle interdépendance numérique a élargi l’impact des cyberattaques potentielles. En outre, les équipements hérités n’ont pas été conçus en tenant compte des vulnérabilités de sécurité ou des besoins d’interconnectivité des environnements d’exploitation modernes. Cela pose donc problème pour moderniser la technologie sous-jacente du secteur.

En l’absence de technologies et de protocoles de cybersécurité robustes, les sociétés qui tardent à donner la priorité au déploiement d’une bonne cyberhygiène ainsi que de solutions de surveillance et de défense pour les appareils vulnérables se trouveront dans l’incapacité de rivaliser avec leurs concurrents cyberprotégés qui fournissent des produits et services de manière fiable et efficace. Les entreprises se retrouvent bien souvent confrontées à des défis liés à la cyberhygiène, car les systèmes sont interconnectés, mais les responsabilités relatives à ceux-ci sont cloisonnées ou partagées entre de nombreux partenaires aux priorités variées. Bon nombre de dirigeants trouvent la complexité de la cybersécurité écrasante. Cela est particulièrement vrai lorsqu’il est nécessaire de sécuriser à la fois les environnements informatiques et les environnements technologiques opérationnels.

Utilisation des technologies opérationnelles dans le cadre de la prévention des cyberattaques

Afin de mieux comprendre l’importance des technologies opérationnelles pour prévenir les cyberattaques, étudions un exemple. Erika est membre du conseil d’administration d’une raffinerie. À son insu, durant plusieurs années, un adversaire a violé les cyberdéfenses de sa société par le biais d’un logiciel malveillant spécifique permettant de cibler les systèmes de sécurité utilisés pour la production dans le secteur du pétrole et du gaz. Un logiciel malveillant est un fichier ou un code, généralement diffusé sur un réseau, qui infecte des systèmes, explore des données, vole des informations ou adopte pratiquement tout comportement souhaité par un pirate.

Après être passé inaperçu pendant trois ans aux yeux des membres de l’équipe de sécurité de la raffinerie, l’adversaire en question a activé son dispositif pour perturber le système de sécurité. Toutefois, au moment de l’attaque, une erreur dans le logiciel malveillant a provoqué l’arrêt de l’usine au lieu de causer des dommages physiques considérables comme cela était prévu.

Immédiatement après l’attaque, les membres du personnel de sécurité de l’usine (tout comme les tiers impliqués) n’ont pas considéré que cet arrêt brutal pouvait être le résultat direct d’une cyberattaque. Ils n’ont donc pas étudié cette possibilité lorsqu’ils ont enquêté sur les causes profondes de la panne. Un mois plus tard, le logiciel malveillant étant toujours actif, le pirate a tenté une nouvelle fois de perturber le système de sécurité de la raffinerie, mais en s’en prenant à une infrastructure encore plus critique. Heureusement, il a de nouveau échoué en raison d’une autre erreur. Au cours de l’enquête qui a suivi, l’équipe de sécurité de l’usine a demandé l’aide de spécialistes des technologies opérationnelles pour enquêter sur ces arrêts. À l’issue de cette seconde enquête, les experts en sécurité ont conclu que le pirate manipulait les systèmes technologiques opérationnels de l’usine.

Le rétablissement complet après cet incident de sécurité a pris plus de soixante-dix jours et coûté des dizaines de millions de dollars. Des attaques comme celles-ci ne sont pas rares et auraient pu être détectées si certaines mesures et un plan de réponse aux incidents bien travaillé avaient été en place. Le temps perdu et l’impact du piratage s’en seraient trouvés considérablement réduits.

Dans ce cas précis, les erreurs de l’adversaire l’ont empêché de causer des dommages physiques. Cela dit, la gouvernance exercée par le conseil d’administration peut (et doit) rendre l’organisation plus résiliente contre les cybermenaces visant les technologies opérationnelles qui pèsent sur les infrastructures de sécurité critiques. En tant que membre du conseil d’administration, Erika est chargée de promouvoir la mise en œuvre de cette approche afin de minimiser le risque qu’un incident comme celui-ci se reproduise.

Les six principes du cyberrisque pour le secteur du pétrole et du gaz

Dans les organisations dotées d’un conseil d’administration, celui-ci est l’entité responsable en dernier ressort de la sûreté et de la sécurité des décisions financières, juridiques, stratégiques et éthiques de la société. Dans les petites organisations, les responsables concernés peuvent appliquer les principes que nous énonçons pour améliorer la cyberrésilience. Nous allons découvrir des conseils destinés aux membres des conseils d’administration qui visent à les aider à assumer leur rôle de surveillance et à obtenir des informations exploitables afin d’améliorer la cyberrésilience.

Les directeurs chargés de la cyberrésilience doivent clairement exposer au conseil les raisons pour lesquelles leur domaine d’action joue un rôle important pour garantir la sécurité et la réussite de leur organisation. Ce module présente aux directeurs et aux responsables des recommandations d’actions à entreprendre qui permettent de faciliter la mise en œuvre des principes de cyberrésilience et de mieux communiquer au sujet des risques auprès des membres exécutifs du conseil d’administration.

Selon le Forum économique mondial (FEM), il existe six principes qui aident les conseils d’administration des sociétés pétrolières et gazières à mûrir leur approche relative à la cybersécurité. Vous en apprendrez davantage au sujet de ces principes dans l’unité suivante.

Besoin d'aide ?