Je me suis récemment jointe à une communauté de pratique composée de gestionnaires du Programme d’excellence en eau potable – Traitement (PEXEP-T) organisée par Réseau Environnement à Windsor (Québec). J’étais attirée par le thème très en vogue de la rencontre : « Cybersécurité – Protégeons nos stations ». J’étais également curieuse de savoir ce que les invités spéciaux pourraient nous apprendre. Et je n’ai pas été déçue ! Ce fut une belle rencontre structurée qui regroupait des gestionnaires de plusieurs usines de traitement de l’eau à travers le Québec.
Elle a débuté de façon classique avec une présentation diligemment préparée par des représentants du ministère de la Cybersécurité et du Numérique du Québec, plus précisément de la direction du renseignement et du comité de gestion de crise gouvernementale en sécurité de l’information. Après avoir présenté le ministère et ses différentes activités, les intervenants ont expliqué les diverses manières d’attaquer les organisations. À ce sujet, je vous invite à effectuer vos recherches sur les notions d’hameçonnage, de harponnage, de rançongiciel, d’attaque par déni de service, d’ingénierie sociale et de données cryptées. Les conférenciers ont expliqué les manières dont les criminels s’organisent et se raffinent. La nouvelle tendance est celle du « ransomware as a service », soit des rançongiciels en libre-service que l’on peut louer pour quelques dollars. Il n’est même plus nécessaire d’être un expert de la programmation ! Les intervenants ont ensuite exposé quelques statistiques préoccupantes sur la croissance exponentielle de la menace globale, sur l’activité de groupes politisés et sur le fait que le secteur industriel n’est plus épargné. Les attaques avec répercussions physiques sont en croissance. Un cas concret est survenu dans le secteur de l’eau : une usine de Floride a été piratée. L’intrus avait réussi à prendre le contrôle du poste d’opération et était en train de modifier les consignes de dosage de chlore. Par chance, l’opérateur a été vigilant et a vu le curseur de la souris bouger. Il a alerté ses supérieurs et cette attaque a pu être contrecarrée. L’usine l’a échappé belle ! Toutefois, plusieurs autres cas moins heureux ont entraîné des arrêts de production. Toyota, au Japon, a récemment vécu un tel arrêt de production en raison d’une faille de sécurité chez un partenaire d’affaires. En conclusion de cette présentation, les intervenants nous ont exposé quelques ressources : documentation, normes, associations, services offerts.
Après cette présentation, l’équipe des usines de la Ville de Laval nous a parlé de son approche visant à améliorer sa cyberposture. De beaux échanges portant sur les solutions techniques déployées, notamment sur la méthode d’authentification aux postes d’opération, ont eu lieu. J’ai retenu qu’outre la solution technique mise en œuvre, il a fallu investir du temps pour amener les équipes à adopter de nouveaux comportements et pour développer des processus au cas où la solution ne fonctionnerait pas. En matière de cybersécurité, il ne s’agit pas seulement d’instaurer de nouvelles technologies; il faut aussi travailler sur l’humain. Mon exemple préféré pour illustrer l’importance des aspects humains est celui-ci : pour sécuriser une piscine, on ne doit pas seulement mettre une clôture. Il faut aussi fermer et verrouiller la porte. Il faut surveiller les enfants, les éduquer aux dangers de l’eau et enfin leur apprendre à nager. C’est un tout ! Une autre notion qui m’a accrochée, c’est que la cybersécurité, ce n’est pas un projet avec un début et une fin. C’est plutôt un continuum. On audite, on met en place des mesures de mitigation, on simule des attaques, on apprend, et on recommence. Il est vrai que lorsqu’on prend conscience de l’enjeu, on doit traverser une phase de rattrapage qui se gère bien en mode projet, mais il demeure qu’il faut constamment se réévaluer.
Les échanges se sont poursuivis au sujet de plusieurs problématiques vécues dans les différents sites. De nombreuses suggestions intéressantes ont été abordées, comme le retour au mode d’opération manuel ou, à la rigueur, au mode dégradé. Plusieurs usines réactivent leur mode manuel et s’exercent. Certains ont aussi suggéré l’outil de nettoyage de données (« data scrubber ») comme solution aux fameuses clés USB lorsque l’on n’arrive pas à s’en débarrasser. Il a également été question de gestion de mots de passe et de mécanismes pour en faciliter la gestion en usine.
Les gestionnaires se sentent bien petits face à l’ampleur de la menace. Aussi, profitant de l’écoute active de représentants des ministères présents (relevant de domaines comme l’environnement, la cybersécurité et la gestion de crise), certains participants ont lancé l’idée que si des subventions concernent l’amélioration des procédés, il serait judicieux de prévoir une forme d’aide financière ou technique pour sécuriser les activités des usines. Enfin, considérant les enjeux budgétaires à prévoir au cours des prochaines années, les municipalités gagneraient à travailler davantage en collaboration et à favoriser le partage de connaissances et de bonnes pratiques.
Profitant de cet élan, j’ai donc proposé de créer un nouveau comité axé sur les systèmes opérationnels, et commençant par la cybersécurité. Les objectifs :
- Créer un réseau de contacts pour partager des informations sensibles lors d’incidents. Il est démontré que ce genre de réseau est très utile et qu’il permet de mettre en place un plan de réponse aux incidents rapide et efficace ;
- Partager de bons coups et les leçons apprises ;
- Influencer les ministères et les législateurs, au besoin.
Entre municipalités, je crois qu’il faut davantage d’entraide. Nous devons mettre nos efforts en commun pour mieux protéger nos infrastructures essentielles. Dans un contexte de rareté de ressources, avons-nous même le choix ?
Si ce nouveau comité vous intéresse, écrivez-moi sur LinkedIn. Nous pourrions nous rencontrer au début 2024 pour en définir la tournure.