Les entreprises canadiennes de services publics doivent tirer les leçons de ce qui s'est déroulé dans d'autres pays. Qu'il s'agisse de l'explosion de nitrate d'ammonium qui a secoué Beyrouth en 2020, des quelque 50 tremblements de terre dans le monde qui ont atteint une magnitude de 6 ou plus sur l'échelle de Richter cette année-là ou de la violente tempête hivernale qui a mis hors service le réseau électrique du Texas au début de 2021, il est clair que les choses peuvent mal tourner, très rapidement, et il est tout aussi clair que toutes ces choses peuvent se produire et se produiront au Canada. Les événements récents ne font que souligner les immenses risques et difficultés auxquels sont confrontées les populations civiles lorsque leurs services publics sont interrompus de façon inattendue ou font défaut, et notre dépendance critique à l'égard des services publics ne doit jamais être sous-estimée.
Menace principale : les cyberattaques
Au cours des deux dernières années, et parallèlement à l'émergence de la COVID-19, la communauté canadienne du renseignement et le gouvernement du Canada ont intensifié leurs efforts pour informer le public de la prolifération des cyberattaques contre les secteurs public et privé, qu'il s'agisse de ministères, d'entreprises de premier plan ou d'opérateurs de services publics.
Ces inquiétudes sont fondées. Comme le rapporte Morning Consult, des chercheurs en sécurité ont constaté que les services publics du monde entier ont subi 1 780 attaques par déni de service distribué (DDoS) rien qu'entre le 15 juin et le 21 août 2020, soit une augmentation stupéfiante de 595 % d'une année sur l'autre. Et il n'y a aucune raison de penser que le Canada est moins vulnérable que les autres pays. Voici un échantillon des « Cyberincidents significatifs » qui ont touché des services publics dans le monde entier et qui ont été documentés par le Center for Strategic and International Studies depuis le début de la pandémie de COVID-19 :
- Mars 2021 : Les services de sécurité polonais soupçonnent des pirates informatiques russes d'avoir brièvement pris le contrôle du site Web de l'Agence nationale de l'énergie atomique polonaise pour diffuser de fausses alertes concernant une menace radioactive.
- Mars 2021 : Des présumés pirates informatiques chinois ont ciblé des opérateurs de réseaux électriques en Inde dans une tentative apparente de jeter les bases d'éventuelles attaques futures.
- Février 2021 : Des pirates informatiques inconnus ont tenté de multiplier par 100 les niveaux d'hydroxyde de sodium dans l'approvisionnement en eau d'Oldsmar, en Floride (États-Unis), en exploitant un système d'accès à distance.
- Décembre 2020 : Des hackers inconnus ont mené une campagne de spear phishing contre six pays ciblant des environnements spéciaux à température contrôlée pour soutenir la chaîne d'approvisionnement COVID-19.
- Juillet 2020 : Israël a annoncé que deux cyberattaques avaient été menées contre les infrastructures hydrauliques et les systèmes de contrôle de la distribution israéliens. Les deux ont échoué.
- Mai 2020 : Des fonctionnaires allemands ont découvert qu'un groupe de pirates russes avait compromis les réseaux des entreprises d'énergie, d'eau et d'électricité en Allemagne en compromettant les fournisseurs des entreprises.
- Avril 2020 : Des présumés pirates informatiques iraniens ont ciblé sans succès les systèmes de commande et de contrôle des stations de traitement des eaux, des stations de pompage et des égouts en Israël.
- Avril 2020 : Les entités du gouvernement et du secteur de l'énergie en Azerbaïdjan ont été ciblées par un groupe inconnu axé sur les systèmes SCADA des éoliennes.
- Octobre 2019 : l'Inde a annoncé que des logiciels malveillants nord-coréens conçus pour l'extraction de données avaient été identifiés dans les réseaux d'une centrale nucléaire.
- Septembre 2019 : un groupe de pirates informatiques parrainé par l'état chinois, responsable d'attaques contre trois entreprises de services publics américaines en juillet 2019, s'est avéré avoir ensuite ciblé dix-sept autres entreprises.
- Juillet 2019 : des pirates chinois parrainés par l'État ont mené une campagne de spear-phishing contre les employés de trois grandes entreprises de services publics américaines.
- Juin 2019 : le régulateur de réseau américain NERC a émis un avertissement selon lequel un important groupe de pirates informatiques ayant des liens présumés avec la Russie effectuait une reconnaissance dans les réseaux des services publics d'électricité.
- Mars 2019 : le ministère de l'Énergie des États-Unis a signalé que les opérateurs de réseau du comté de Los Angeles, en Californie, et de Salt Lake, en Utah, ont subi une attaque DDoS qui a perturbé leurs opérations.
- Mars 2019 : des pirates informatiques iraniens ont ciblé des milliers de personnes dans plus de 200 entreprises pétrolières, gazières et de machinerie lourde à travers le monde, volant des secrets d'entreprise et supprimant des données.
Menaces secondaires : après la COVID-19
Tout au long de la pandémie de COVID-19, les pays occidentaux se sont préparés à une escalade anticipée des menaces de sécurité envers les entreprises de services publics, en raison du lien bien établi entre les périodes de ralentissement économique et les troubles civils, qui peuvent à leur tour conduire à un ciblage accru des entreprises de services publics par le crime organisé et opportuniste. Les principales préoccupations en matière de sécurité concernant les entreprises de services publics sont les suivantes :
Vol de métaux : Les sites d'énergie renouvelable utilisent des fermes solaires et des éoliennes terrestres, qui occupent d'énormes surfaces au sol, souvent dans des endroits éloignés avec des périmètres non définis, voire non sécurisés. Par conséquent, ces installations peuvent être des cibles de choix pour les vols de métaux.
Activités de protestation : Les périodes de troubles civils s'accompagnent généralement d'une recrudescence des activités de protestation. L'histoire montre que les sites de production d'énergie (en particulier le charbon et le gaz) peuvent constituer une cible de choix pour les acteurs malveillants ou radicalisés qui espèrent avoir l'impact le plus perturbateur. Les demandes d'action en matière de changement climatique étant appelées à s'intensifier dans les années à venir, les menaces potentielles pesant sur les sites énergétiques vont également augmenter et doivent être considérées comme une préoccupation majeure en matière de sécurité à l'horizon 2022.
Travail solitaire : Travailler seul est déjà considéré comme un danger et une préoccupation importants pour les employés. Les employeurs du secteur des services publics doivent accorder une grande importance à l'évaluation et à l'atténuation du risque pour ces employés vulnérables, étant donné l'éloignement de nombreux sites de services publics. Les systèmes de protection des travailleurs isolés doivent être considérés comme essentiels, comme l'installation d'alarmes de détresse et de panique sophistiquées, dont certaines peuvent même surveiller automatiquement les signaux audio pour détecter les comportements agressifs à l'encontre d'un employé, sans que celui-ci ait besoin de déclencher l'alarme.
Gestion du lieu de travail : Les employés qui retournent sur leur lieu de travail après l'assouplissement de certaines restrictions liées à la pandémie ont besoin d'un environnement de travail amélioré et sûr dans lequel les employés, les visiteurs et les sous-traitants sont à l'aise avec les protocoles visant à imposer la distance physique et le port des EPI.
Menaces secondaires : avant la COVID-19
L'incertitude réglementaire, la rotation du personnel et la culture du risque d'une organisation font partie des menaces pour la sécurité des fournisseurs de services publics qui ont précédé l'apparition de la pandémie de COVID-19 et qui restent des sujets de préoccupation.
Ambiguïté réglementaire : Un manque de clarté entoure souvent l'introduction accélérée de nouvelles exigences réglementaires, ce qui entrave la mise en œuvre réussie des nouveaux changements de politique, même si les entreprises de services publics investissent dans des solutions logicielles de conformité et de gestion des risques pour gérer efficacement les opérations et les problèmes de conformité.
La rotation du personnel : Les connaissances institutionnelles sont essentielles à l'exploitation, la gestion et la gouvernance des services publics. Des taux plus élevés de départ à la retraite et de rotation générale du personnel peuvent donc présenter un risque majeur. Les entreprises de services publics ne sont déjà pas à l'abri de la pénurie croissante de talents. La planification de la relève est primordiale pour la conservation des connaissances institutionnelles, notamment par l'application de systèmes et de logiciels de gestion de l'information conçus pour centraliser les informations et les compétences et empêcher leur transfert vers d'autres entreprises de services publics concurrentes.
Formation : Les nouveaux employés ont besoin d'une formation appropriée par le biais d'un processus de normalisation conçu pour introduire les nouveaux travailleurs dans la mentalité de l'entreprise. Un logiciel de gestion de la formation peut aider à la gestion des ressources et des normes de formation afin de garantir la conformité.
La cybersécurité : Les compteurs intelligents, les thermostats intelligents, les appareils électroménagers intelligents et autres dispositifs domestiques « Intelligents » sont de plus en plus populaires, à l'instar des dispositifs connectés dans les centrales électriques, des équipements intelligents, des capteurs et des EPI intelligents. Les infrastructures intelligentes offrent un vaste potentiel aux entreprises de services publics, mais elles présentent en même temps une nouvelle série de risques liés aux violations des données des clients, à l'accès non autorisé aux actifs physiques et au cyberterrorisme. Si les entreprises de services publics souhaitent éviter les cybermenaces, elles doivent augmenter considérablement leurs investissements dans la cybersécurité.
Risque climatique : Les entreprises de services publics sont parmi les premières à ressentir les effets du changement climatique, car elles prennent indépendamment des mesures pour réduire les impacts et annoncent des plans de retrait des générateurs au charbon au profit d'énergies renouvelables moins coûteuses. Les entreprises de services publics doivent établir un cadre pour identifier et traiter les risques liés au climat, tels que les dommages physiques, les perturbations et les divulgations non souhaitées d'informations. L'incapacité à atténuer ces risques de manière suffisante et transparente peut avoir de graves conséquences sur la réputation et les actifs physiques de l'entreprise, ainsi que sur l'environnement.
La mentalité du consommateur : Grâce à la récente prolifération d'appareils connectés tels que les thermostats, compteurs et appareils intelligents, les consommateurs ont un contrôle toujours plus grand sur leur consommation d'énergie. Par conséquent, les consommateurs désireux de réduire leur empreinte carbone sont plus exigeants envers leurs fournisseurs de services publics et, dans certains cas, explorent les nouvelles options d'énergie renouvelable. Les services publics doivent reconnaître les besoins et les attentes de leurs clients s'ils veulent réussir.
Culture du risque : La culture du risque peut être définie comme le comportement, la perception, l'attitude, les valeurs, les capacités et le niveau d'engagement organisationnel d'un employé sur son lieu de travail. Les employés doivent être encadrés par des normes de gestion des risques solides, adoptées par la haute direction et intégrées à l'éthique de l'entreprise. Tout manque de dévouement des employés aux normes de conformité de sécurité du département restera invariablement la menace d'initié la plus décisive au sein d'une organisation.
Nous dépendons de la consommation d'électricité, de chaleur, d'eau et d'autres produits pour le fonctionnement courant de la société et notre survie quotidienne. La perturbation ou la privation de l'un de ces éléments peut provoquer une catastrophe, la panique, la désobéissance civile, voire la mort.
Les services publics sont les mécanismes opérationnels et structurels les plus fondamentaux qui nous permettent de travailler, de vivre confortablement et de prospérer en tant que société, ce qui en fait des cibles de premier plan pour les acteurs hostiles et les gouvernements étrangers. Si le moment est bien choisi, un acteur peut contrôler l'accès d'une nation à ses services publics ou les supprimer complètement par le biais d'une cyberpénétration plutôt que par le terrorisme ou une attaque physique. Cet acteur sera alors secrètement parvenu à neutraliser un adversaire sans utiliser d'armes ou de technologies militaires conventionnelles.
Les entreprises de services publics peuvent se défendre contre certaines des menaces évoquées ci-dessus en renforçant leurs normes de sécurité numérique et physique. Investir dans un programme de sécurité véritablement convergent qui englobe les activités de sécurité physique, électronique et cybernétique est sans conteste la meilleure méthode pour maximiser les efforts d'atténuation d'une organisation par rapport aux risques et dangers, qu'ils soient d'origine étrangère ou nationale.