{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
des répondants affirment que pour leur conseil d’administration, les risques liés à la cybersécurité des TO sont les plus grands risques d’entreprise
des répondants déclarent que leur organisation a été confrontée à un incident lié à la cybersécurité des TO au cours des trois dernières années
des répondants indiquent que leur organisation a augmenté son budget pour la cybersécurité des TO au cours de la dernière année
Dans le contexte actuel, la sécurité des systèmes de technologie opérationnelle (TO) figure de plus en plus parmi les préoccupations des dirigeants.
Dans leur définition la plus simple, les technologies opérationnelles regroupent du matériel et des logiciels utilisés pour contrôler les infrastructures et les processus industriels. Aux fins de ce rapport, les TO comprennent à la fois les technologies opérationnelles traditionnelles et l’internet des objets industriel. Les systèmes de TO sont au cœur des industries comptant des actifs importants, comme la production et la distribution d’électricité, les services publics, la fabrication, la logistique et le transport. Ce faisant, les systèmes de TO sont des cibles critiques, tant au chapitre des gains pour les criminels lors d’intrusions que des conséquences pour les activités de l’entreprise et la sécurité publique et nationale.
Pourquoi la sécurité des systèmes de TO est-elle si préoccupante aujourd’hui? Au cours de la dernière année, nous avons constaté une augmentation du volume d’attaques contre ces systèmes, dont plusieurs incidents très médiatisés. Le gouvernement fédéral canadien a également reconnu l’importance de réglementer le cyberrisque avec son nouveau projet de loi qui vise à protéger les infrastructures et cybersystèmes essentiels. Mais en parallèle de l’augmentation des menaces à la sécurité, la numérisation des systèmes de TO s’accroît, de même que leur vulnérabilité. La sécurité des TO n’est donc pas seulement une question de gestion des risques, mais bien un facteur clé pour obtenir un avantage concurrentiel dans les années à venir.
Dans ce contexte, comment les organisations canadiennes réagissent-elles aux menaces croissantes et se positionnent-elles pour assurer leur succès futur? Au printemps 2022, nous avons discuté avec 200 dirigeants d’environ 175 organisations canadiennes différentes, afin d’évaluer leur niveau de préparation à la cybersécurité des TO. Plus de huit répondants sur dix (83 %) sont les principaux décideurs en matière de cybersécurité des TO dans leur organisation.
Explorez les principaux constats de notre enquête pour voir comment votre organisation se compare à ses pairs et découvrir les prochaines étapes que nous vous recommandons.
Les dirigeants des organisations doivent comprendre la gravité des décisions visant à assurer la sécurité des environnements de TO. Les répondants déclarent avoir subi à la fois des conséquences opérationnelles et cyber-cinétiques des atteintes à la sécurité des TO dans leur organisation.
Bien que les cyberrisques liés aux TO existent depuis longtemps, la sensibilisation générale à cet égard semble en augmentation, en particulier chez les dirigeants. Pour les conseils d’administration de 90 % des répondants à notre enquête, les risques liés à la cybersécurité des TO sont les plus grands risques d’entreprise ou des risques technologiques élevés. Cette constatation est conforme aux résultats d’autres enquêtes : dans notre 25e Enquête annuelle auprès des chefs de direction – La perspective canadienne, la majorité des chefs de direction canadiens (53 %) se disent extrêmement ou très préoccupés par les cyberrisques au cours de la prochaine année.
Question : Lequel des énoncés suivants décrit le mieux la façon dont votre conseil d’administration perçoit les risques liés à la cybersécurité des TO?
…perçus comme les plus grands risques d’entreprise par le conseil d’administration
…perçus comme des risques technologiques élevés par le conseil d’administration
…considérés uniquement comme un sous-ensemble des risques technologiques et opérationnels, et ne font pas l’objet de discussions ou de rapports au conseil d’administration en tant que catégorie distincte
La somme des pourcentages peut ne pas totaliser 100 % en raison des arrondis.
Cette augmentation de la sensibilisation, notamment attribuable à plusieurs incidents très médiatisés, est sans doute également alimentée par une hausse des incidents liés aux TO – et leurs répercussions négatives – vécus par les répondants.
54 % des répondants déclarent qu’ils ont été confrontés à un incident lié à la cybersécurité des TO au cours des trois dernières années
Lorsqu’on leur a demandé quelles étaient les conséquences pour leur organisation des incidents liés à la sécurité des systèmes de TO, les répondants ont identifié plusieurs répercussions importantes. Le plus grand nombre d’entre eux a indiqué la perte de renseignements exclusifs ou confidentiels (23 %) et des dommages à la qualité des produits et services (20 %).
Cependant, les risques cybercinétiques peuvent être un facteur important dans la hausse de la sensibilisation aux risques liés aux TO. Un pourcentage assez étonnant de 7 % des répondants a indiqué que les blessures et les décès d’employés comptent parmi les conséquences négatives subies par leur organisation, et 6 % ont affirmé que les blessures et les décès parmi le grand public en faisaient partie.
Lorsqu’ils ont été interrogés sur leurs principales préoccupations au sujet d’incidents futurs liés à la sécurité des TO, les répondants ont surtout indiqué (38 %) la perte de confiance des clients ou l’atteinte à l’image de marque et à la réputation de l’entreprise. Les cyberincidents qui touchent la vie des gens, le bien-être ou l’environnement pourraient s’avérer très dommageables pour la réputation d’une organisation, et entraîner une importante érosion de la confiance du public et des organismes de réglementation.
Question : Parmi les conséquences qui pourraient découler d’un incident de cybersécurité lié aux TO, quelles sont les trois principales préoccupations de votre entreprise?
Les pourcentages peuvent ne pas correspondre au total affiché en raison des arrondis.
Le coût de l’intervention en cas d’incidents et de l’atténuation de ceux-ci a été classé comme la conséquence la plus préoccupante qui pourrait découler d’un incident de cybersécurité lié aux TO par la plus forte proportion de répondants (11 %)
Tous ces risques ne feront qu’augmenter à mesure que les organisations numériseront davantage leurs systèmes de TO. Cela dit, il n’y a pas de tendance unique qui se dégage lorsque nous demandons aux répondants quelle tendance en matière technique ou de main-d’œuvre pourrait mener à l’augmentation la plus forte des cyberrisques liés aux TO.
Dans l’ensemble, les risques liés à la chaîne d’approvisionnement en matériel et en logiciels ainsi qu’aux tiers constituent la tendance la plus importante dans la hausse des risques liés à la sécurité des TO. Sans surprise, compte tenu des événements des dernières années, l’accès à distance pour les fournisseurs (24 %) et les employés (23 %), de même que le manque de compétences sur le marché (20 %) et l’attrition des effectifs (17 %) constituent d’autres sujets de préoccupation. Globalement, toutefois, les préoccupations concernant l’impact des tendances actuelles sur les risques liés à la cybersécurité sont aussi vastes que diversifiées, avec l’adoption de solutions d’AI et d’apprentissage machine, ainsi que l’adoption de l’infonuagique et de solutions SaaS prioritaires.
Question : Selon vous, quelles sont les tendances en matière technique et de main-d’œuvre qui entraînent la plus forte hausse des cyberrisques liés aux TO, à l’heure actuelle comme dans l’avenir?
Les pourcentages peuvent ne pas correspondre au total affiché en raison des arrondis.
Les dirigeants doivent veiller à ne pas trop compter sur le personnel et les politiques de TI pour combler les lacunes actuelles et futures en matière de sécurité des TO. Car à mesure que l’environnement de la sécurité des TO devient encore plus exigeant sur le plan technique, les défis liés à la collaboration entre les TO et les TI se multiplieront.
Compte tenu du contexte de risques actuel, quels sont les défis auxquels sont confrontés les répondants qui cherchent à sécuriser les systèmes de TO dans leur organisation? Le premier réside dans l’absence d’une distinction claire entre la sécurité des TI et celle des TO. Nous constatons cette confusion lorsque nous examinons les réponses aux questions touchant la responsabilité organisationnelle de la sécurité des TO.
En effet, bien que les réponses à la question visant à savoir qui est la personne responsable de la gestion des risques de cybersécurité pour les TO dans l’organisation soient variées, la plus forte proportion de répondants (22 %) indique le chef de la sécurité de l’information. Cela dit, il est intéressant de noter qu’en ce qui a trait à la gestion quotidienne des contrôles de cybersécurité des TO, la plus forte proportion de répondants (27 %) affirme que cela relève du service qui est le principal utilisateur des technologies de TO. Traditionnellement, le chef de la sécurité de l’information supervise la cybersécurité des TI, et non pas celle des TO. Le fait de lui confier la responsabilité ultime de la sécurité des TO peut donc créer des tensions au sein de l’organisation.
Nous constatons également un manque de clarté au chapitre des politiques : 84 % des répondants utilisent leur politique de sécurité des TI pour la sécurité des TO. Et, fait surprenant, 15 % des répondants n’ont aucune politique officielle de sécurité des TO.
Bien qu’il soit essentiel que les groupes de TI et de TO collaborent pour sécuriser efficacement l’environnement de TO, il existe des différences techniques qui limiteront l’application des contrôles de TI aux systèmes de TO. Et celles-ci se complexifieront au gré de l’adoption croissante de la connectivité cellulaire. Or, plus des trois quarts (78 %) des répondants utilisent déjà une certaine connectivité cellulaire pour leurs systèmes de TO, dont 60 % avec des réseaux privés.
97 % des répondants indiquent que leur organisation prévoit d’utiliser la connectivité cellulaire pour les TO
Au fil du temps, nous continuerons d’avoir besoin de talents dotés de compétences hautement spécialisées et techniques pour comprendre les systèmes et les risques convergents des TI et des TO. La bonne nouvelle, c’est que nos répondants semblent le comprendre. En effet, lorsque nous leur avons demandé quels étaient les obstacles habituels à la mise en œuvre de la cybersécurité des TO, ils ont plus souvent répondu le manque d’expertise en cybersécurité des TO (45 %) et l’absence d’un budget formel pour la cybersécurité des TO (44 %), le manque d’expertise étant l’obstacle le plus susceptible d’être classé au premier rang (23 %).
Question : Quels sont les obstacles ou causes de retard habituels dans la mise en œuvre des initiatives de cybersécurité des TO dans votre organisation?
Les pourcentages peuvent ne pas correspondre au total affiché en raison des arrondis.
Les dirigeants doivent commencer à réfléchir de façon créative au moyen de combler la pénurie actuelle de compétences en sécurité des TO. La majorité des répondants indiquent qu’ils ont alloué un budget aux efforts de cybersécurité des TO au cours de la dernière année, et que des améliorations ont été apportées sur trois fronts : les personnes, les processus et la technologie.
Quelles mesures les organisations prennent-elles pour surmonter ces obstacles et se protéger contre les menaces imminentes? Un peu plus de sept répondants sur dix (71 %) indiquent que le budget pour la cybersécurité des TO de leur organisation a été augmenté au cours de la dernière année, et qu’une grande partie de celui-ci est consacrée aux talents.
Lorsqu’on leur a demandé d’indiquer leurs plus grandes priorités d’investissement pour la prochaine année, les répondants ont d’abord souligné la nécessité d’améliorer les compétences du personnel de sécurité de l’information et de cybersécurité du groupe des TI dans des contextes propres aux TO (26 %). Viennent ensuite le perfectionnement du personnel d’ingénierie et d’opérations en matière de cybersécurité (22 %) et l’embauche d’experts en cybersécurité des TO (21 %).
Sans surprise, considérant la difficulté qu’éprouvent actuellement de nombreuses organisations à retenir les talents, en particulier ceux ayant une formation spécialisée, nous constatons également un certain intérêt des répondants pour l’impartition. Sur ce sujet, la plus forte proportion de répondants (30 %) manifeste de l’intérêt pour le soutien et l’expertise de tiers sur des questions de sécurité, de fuites de données et de menaces.
16 % des répondants affirment que les services de sécurité gérés seront l’une des principales priorités d’investissement en matière de cybersécurité des TO pour leur organisation au cours de la prochaine année
Question : Quelles sont vos trois principales priorités d’investissement pour la cybersécurité des TO au cours des 12 prochains mois?
Les pourcentages peuvent ne pas correspondre au total affiché en raison des arrondis.
En ce qui concerne les améliorations de processus, 16 % des répondants se concentrent sur celles qui touchent la gouvernance des cyberrisques propres aux TO. Pour les mises à jour technologiques, qui nécessiteront également des changements de processus dans plusieurs cas, les solutions de gestion des vulnérabilités des TO (21 %) ainsi que les solutions de gestion des actifs de TO et l’intégration de la gestion des actifs avec d’autres contrôles de cybersécurité (18 %) se retrouvent en tête des priorités.
Il convient toutefois de mentionner que les mises à jour des processus et des technologies dépendront de talents qualifiés pour mettre en œuvre et superviser ces changements et solutions, en particulier dans l’environnement de sécurité actuel, qui est en constante évolution.
Les systèmes de TO deviennent de plus en plus numériques, dans un contexte de risque croissant. Il sera donc essentiel pour les organisations de protéger leur personnel et leurs infrastructures critiques, ainsi que d’assurer leur résilience opérationnelle. Nous avons identifié trois étapes clés que les dirigeants doivent envisager.
Associé et leader national, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada
Tél. : +1 416 815 5306