Qu’est-ce que la norme minimale pour les TIC ?
Adrian Märklin: La constitution investit la Confédération d’une responsabilité vis-à-vis de la population en ce qui concerne les infrastructures critiques comme celles de l’approvisionnement en énergie. La Confédération doit ainsi mettre à disposition des moyens afin de protéger les infrastructures. Dans le cas des technologies de l'information et de la communication (TIC), elle a mis en place une «norme minimale». Ce cadre de cinq modules et 106 points de contrôle permet aux fournisseurs d’énergie de renforcer leur résilience informatique. La norme minimale pour les TIC s’oriente aux normes de cybersécurité du National Institute of Standards and Technology (NIST) américain. Elle est également comparable à la norme ISO 27001 de sécurité de l’information mais présente une approche plus pragmatique. Chacun des 106 points de contrôle est également associé à une norme ISO.
Comment a procédé EW Höfe AG lorsque la Confédération a introduit la norme minimale pour les TIC il y a trois ans ?
Roman Brunschwiler: Tout d’abord, nous nous sommes informés dans le détail sur la norme minimale. Nous avions déjà conscience de l’importance de la cybersécurité et nous procédions chaque année à un audit informatique, principalement axé sur les aspects techniques. Avec la recommandation de la Confédération pour la norme minimale, nous avons décidé d’aborder la thématique de manière encore plus globale et de procéder à un audit plus complet.
Vous avez récemment finalisé l’audit portant sur la norme minimale pour les TIC avec le soutien de Swisspower. Quels bénéfices en avez-vous tiré ?
Roman Brunschwiler: Un état des lieux détaillé de notre sécurité informatique. Nous avons identifié dans quels domaines des mesures supplémentaires étaient nécessaires afin d’augmenter encore la sécurité. Un exemple : désormais, nous nous prémunissons plus fortement par contrat vis-à-vis de prestataires tiers qui accèdent à nos systèmes et nous sommes techniquement plus restrictifs à leur égard. Nous n’autorisons les accès plus que s’ils sont vraiment nécessaires pour des travaux de maintenance et nous les rebloquons ensuite.
Comment se déroule un tel audit et quel travail représente-t-il ?
Adrian Märklin: Nous examinons et évaluons l’entreprise au fil des 106 points de contrôle. Pour cela, nous procédons à un examen des documents établis à cet effet et de l’ensemble de l’architecture informatique. Il en résulte au final un nombre total de points qui indique la maturité de la sécurité informatique. Nous formulons aussi des recommandations quant aux mesures supplémentaires à mettre en œuvre et aux points sur lesquels compléter les documents. Le processus dure six à douze mois. Chez EW Höfe AG, les travaux ont été très rapides.
Roman Brunschwiler: Nous avons organisé une dizaine d’ateliers à deux semaines d’intervalle chacun pour discuter de manière détaillée à quel point nos dispositifs de sécurité répondaient aux énoncés des points de contrôle. La charge de travail a donc été importante – encore plus que nous ne l’avions prévu. Mais elle en a valu la peine car nous connaissons maintenant nos failles et nos points faibles et nous pouvons les éliminer. Nous savons par exemple très concrètement comment se répercute la défaillance d’un élément du système comme un pare-feu ou un commutateur réseau sur l’exploitation et sur la sécurité de l’approvisionnement.
Adrian Märklin: Le terme «norme minimale» ne rend pas justice à l’envergure de l’audit. Pour de nombreux points de contrôle, un Oui ou un Non ne suffisent pas et il faut fournir une description détaillée des technologies et des processus.
Quelle a été votre expérience de la collaboration avec Swisspower ?
Roman Brunschwiler: Très agréable. Nous avons trouvé en Swisspower un partenaire compétent et soutenant, et avons pu bénéficier de nombreux conseils pratiques.
«Enfin, je recommande aux entreprises de former régulièrement leurs collaborateurs et collaboratrices. Car environ 80% des attaques s’effectuent par le biais d’e-mails.»
Au-delà de la norme minimale pour les TIC, que peuvent faire les fournisseurs d’énergie pour se protéger contre les cyberattaques – en particulier les entreprises de plus petite taille ?
Adrian Märklin: La cybersécurité n’est pas un projet mais un processus continu. Ce processus requiert des ressources et de l’expertise. C’est seulement ainsi que les fournisseurs d’énergie pourront identifier les menaces et les failles dans leur défense. Le plus grand danger en matière de sécurité informatique, c’est l’ignorance. Les entreprises de taille trop limitée pour disposer à l’interne des connaissances spécialisées nécessaires à une approche professionnelle du sujet devraient faire appel à un partenaire externe. Les coopérations sont également précieuses car les échanges permettent de prendre conscience des menaces actuelles. Enfin, je recommande aux entreprises de former régulièrement leurs collaborateurs et collaboratrices. Car environ 80% des attaques s’effectuent par le biais d’e-mails. Les fournisseurs d’énergie devraient rendre impossible aux hackers de parvenir à leurs fins aussi simplement.
Roman Brunschwiler: C’est pourquoi Swisspower réalise chez nous une formation de sensibilisation en cinq volets. Nous accordons une priorité élevée à ce sujet et attirons l’attention de nos collaborateurs et collaboratrices sur les menaces informatiques à chaque occasion qui se présente.