L'importance de la cybersécurité dans le domaine minier et les mesures d’atténuation des facteurs de risques
Bloc texte
Lors de son colloque annuel 2019 intitulé « La mine actuelle et future au Québec : formation, innovations et technologies », l’Institut national des mines a invité le coordonnateur des technologies de l’entreprise Newmont Goldcorp, monsieur Michel Samovojski. Lors de sa conférence, il a raconté son expérience en cybersécurité à l’ère industrielle 4.0. Intitulée « L’importance de la cybersécurité dans le domaine minier et les mesures d’atténuation des facteurs de risques », cette conférence met en relief notamment l’importance de la formation du personnel.
Les grandes lignes de la conférence
Considérant que des minières canadiennes ont déjà été la cible de cyberattaques, M. Samovojski a exposé l’état des risques en termes de cybersécurité ainsi que les mesures mises en place par les entreprises minières afin d’optimiser leur protection face aux cybermenaces.
Voici quelques éléments à retenir de sa conférence :
- La cybersécurité est un ensemble de technologies, de processus et de pratiques visant à protéger les réseaux, les ordinateurs et les bases de données contre les attaques et par conséquent à des dommages et à des accès non autorisés.
- Dans un contexte minier, la cybersécurité peut s’appliquer aux réseaux, aux ordinateurs et aux données produites notamment par le réseau d’automatisation ou du concentreur ainsi que tous équipements générant de la donnée tels que des robots, des détecteurs de gaz, la ventilation et des véhicules autonomes) que ce soit dans une mine souterraine ou une mine à ciel ouvert;
- Lors de cyberattaques, il est primordial de comprendre l’origine de l’incident et les moyens pour trouver diminuer le risque.
Selon la firme Cybersecurity Ventures, les dommages de la cybercriminalité dans le monde devraient atteindre 6 000 milliards de dollars par année d’ici 2021 (imagerie médicale, vols d’informations bancaires, etc.) selon
Présentation de différentes données recherchées et de la façon dont se réalisent les cyberattaques;
- L’importance de développer un programme de cybersécurité au sein de l’entreprise minière :
Programme de formation de la main-d’œuvre :
- Détection des courriels malveillants (test mensuel ou chaque quart de travail) pour aider les employées et les employés à mieux discerner les faux courriels;
Implantation d’authentification des usagers avec multiples facteurs par exemple l’implantation d’un deuxième mot de passe par message texte ou application dédiée.
Programme en entreprise
- Construire une feuille de route de la cybersécurité;
Vérifications annuelles des équipements sensibles de l’entreprise (pare-feu, réseau privé virtuel (VPN));
- Processus d’implantation d’équipements réseau permettant de visualiser ce qui se passe sur le réseau;
- Rapport et statistique du nombre d’usagers qui ont cliqué sur les courriels malveillants ou faux sites Web;
- Mise en place de processus de gestion de changements afin que toutes les solutions implantées soient bien comprises par tous selon les standards de cybersécurité de l’entreprise.
- Présentation du fonctionnement de certaines minières au Canada;
- Selon le conférencier, la gestion du changement et l’implantation de systèmes sont les deux orientations pour diminuer les risques de cyberattaques. Il propose notamment de faciliter la collaboration entre les employées et employés de Technologie de l’information (TI) et Technologie des opérations (TO) afin qu’ils puissent s’occuper des différents systèmes.
Développement d’un processus de gestion du changement mettant en place ses pratiques :
- Bien définir et bien cerner les raisons avant d’effectuer le changement ou l’implantation de nouveau système dans une organisation;
Comprendre le flux de données de l’application (interne, externe et infonuagique);
- Établir un plan d’implantation détaillée (diagramme réseau, règles de pare-feu, documents de projets, etc.) pour faciliter la diffusion de l’information auprès du personnel;
- Construire une matrice de rôles et responsabilités du personnel;
- Comprendre le besoin de formation de l’équipe dépendamment de leurs responsabilités;
- Pour atténuer les risques de cyberattaques, le conférencier rappelle : L’importance de la segmentation des réseaux (présentation Purdue Model);
- Exemple de formations qui pourraient être suivies :
L’importance de bien communiquer entre les différents départements pour bien comprendre le processus mis en place afin de faciliter l’intégration des systèmes et en assurer sa sécurité;
- Former la main-d’œuvre en Ti et To avec les différents fournisseurs pour assurer une plus grande autonomie par la suite. Si plusieurs personnes de l’organisation comprennent le fonctionnement, elles pourront mieux supporter les systèmes sans les fournisseurs.