Les sociétés pétrolières et gazières doivent agir maintenant en matière de cybersécurité

Les sociétés pétrolières et gazières doivent agir maintenant en matière de cybersécurité

Cyber ​​Resilience in the Oil and Gas Industry: Playbook for Boards and Corporate Officers du Forum économique mondial fournit un nouveau modèle pour sécuriser les infrastructures critiques

Le secteur de l’énergie n’est pas étranger aux cyberattaques. Pour de nombreuses familles et entreprises américaines, l’incident le plus personnellement perturbateur de mémoire récente est survenu en mai 2021 avec l’attaque de ransomware qui a fermé un important oléoduc américain responsable de l’approvisionnement de près de la moitié du pétrole de la côte est. Mais pour les leaders mondiaux de l’industrie énergétique – et les secteurs du pétrole, du gaz et des services publics en particulier – il s’agit d’un autre incident dans une série de cyberattaques contre des infrastructures critiques dans l’écosystème énergétique connecté numériquement de plus en plus sollicité qui nécessite une solution urgente.

Faire face aux grands défis, de la cyberattaque NotPetya contre un service public ukrainien en 2017 qui a fermé une grande partie du réseau électrique du pays, à l’attaque contre le pipeline Colonial en 2021, est une responsabilité qui incombe désormais aux hauts dirigeants et aux membres du conseil d’administration du secteur de l’énergie. . Ces dirigeants doivent atténuer les cyber-risques dans un secteur en pleine révolution numérique et qui est désormais fréquemment ciblé à des fins géopolitiques et à des fins de gain financier par les cybercriminels. Alors que les gouvernements du monde entier élaborent de nouvelles politiques, normes et conséquences pour les futures cyberattaques, les dirigeants et les membres du conseil d’administration du pétrole et du gaz ne peuvent pas attendre que le gouvernement parvienne à une détente géopolitique, promulgue de nouvelles réglementations ou aide aux efforts visant à sécuriser les systèmes énergétiques critiques.

Au lieu de cela, les PDG et les membres du conseil d’administration doivent tirer parti de leurs décennies d’expertise dans l’intégration d’actifs énergétiques avec la technologie opérationnelle (OT) et tirer parti des réseaux de technologie de l’information (TI) pour réduire les cyber-risques dans leurs environnements d’exploitation hyperconnectés. Pendant des décennies, les sociétés pétrolières et gazières ont recherché des gains de productivité en reliant les actifs énergétiques physiques aux systèmes de contrôle OT et aux réseaux informatiques. Cette tendance se poursuit aujourd’hui avec les organisations énergétiques à la recherche de solutions de big data, d’intelligence artificielle (IA) et d’automatisation pour réduire les coûts, améliorer l’efficacité et aider à réduire les émissions. Tout au long de ce processus, les dirigeants de l’industrie ont également mis au point des principes de gestion clés et des approches basées sur les risques pour sécuriser les technologies et les processus qui servent de base à leur modèle commercial Internet des objets (IoT) industriel hyperconnecté.

Pour se préparer à la nouvelle norme de cyberattaques plus fréquentes et plus sophistiquées contre l’énergie et les infrastructures critiques, les PDG du secteur de l’énergie et les membres du conseil d’administration d’entreprises doivent adopter les meilleures pratiques et les principaux enseignements tirés d’une décennie de réussite et d’apprentissage des échecs de la lutte contre les cyberattaques. risque.

Le Forum économique mondial (WEF) résume les meilleures pratiques actuelles en principes succincts dans une publication utile intitulée Cyber ​​Resilience in the Oil and Gas Industry: Playbook for Boards and Corporate Officers. Les leaders de l’industrie pétrolière et gazière qui cherchent à lutter contre les cyber-risques trouveront des conseils sur la façon de mettre en œuvre les recommandations clés au sein de leurs organisations et sur la façon d’améliorer les pratiques de sécurité tout au long de la chaîne de valeur et de l’écosystème énergétique au sens large.

Les six principes de cyber-résilience du WEF pour les infrastructures pétrolières et gazières sont tirés de l’expérience partagée du monde réel des principales entreprises du secteur pétrolier et gazier, et méritent d’être cités dans leur intégralité :

1. Gouvernance de la cyber-résilience – Les efforts de cybersécurité reposent sur une large participation au sein d’une organisation. L’alignement des efforts et l’établissement d’une responsabilité claire sont essentiels au succès.
2. Résilience dès la conception – Inclure la cybersécurité en tant que paramètre de conception et dans le cadre de la culture d’entreprise contribue à améliorer les résultats.
3. Responsabilité des entreprises en matière de résilience – Reconnaissant que les menaces sophistiquées et fréquentes sont susceptibles de se poursuivre ou de s’intensifier, les organisations devraient examiner leurs cyber-risques et assumer la responsabilité de gérer ces risques.
4. Approche holistique de gestion des risques – Comme pour les autres risques, la gestion des cyber-risques nécessite un mandat, des fonds, des ressources et une responsabilité. Dans le secteur pétrolier et gazier, il est particulièrement important de découvrir et d’atténuer les risques pour toutes les parties de la chaîne de valeur, afin qu’un seul maillon faible n’arrête pas la production.
5. Collaboration à l’échelle de l’écosystème – Les maillons faibles des défenses peuvent se situer à l’extérieur d’une organisation. Les efforts intentionnels pour partager les informations sur les cybermenaces, utiliser les meilleures pratiques et améliorer la maturité de la cybersécurité dans l’ensemble du secteur contribuent à la stabilité de l’ensemble du secteur.
6. Plans de cyber-résilience à l’échelle de l’écosystème – Reconnaissant que les cyberattaques continueront de se produire, les organisations doivent élaborer des plans de résilience pour aider à atténuer les dommages causés par ceux qui réussissent en tout ou en partie. Les exercices de cybersécurité permettent aux défenseurs de tester et d’améliorer les défenses, y compris la manière dont ils coopéreront avec d’autres partenaires de l’industrie.

Les leaders du secteur pétrolier et gazier devront renforcer la cyber-résilience dans leurs organisations et leurs partenariats pour continuer à fournir des livraisons de carburant fiables et opportunes à leurs clients dans un avenir plein de cybermenaces. Les efforts pour rassembler et partager une sagesse durement acquise seront certainement utiles.

Pour plus de détails et des exemples concrets de bonnes pratiques et de stratégies de mise en œuvre, consultez le manuel du WEF.