Le défi de la conformité des services publics

Les entreprises de services publics sont confrontées à une fragmentation et à un cloisonnement des services, ce qui empêche une approche simplifiée de la conformité. Il est nécessaire de mettre en place des bases plus solides, mais comment y parvenir ?

Par Kate O'Flaherty

Les entreprises de services publics exploitent de nombreux systèmes disparates, dont beaucoup n'ont jamais été conçus pour être connectés à Internet. Il n'est donc pas surprenant que les services de cybersécurité — et le respect des réglementations en vigueur dans ce domaine — demeurent l'un des plus grands défis du secteur.

En 2010, la division de Ver Stuxnet L’anéantissement de centrifugeuses utilisées dans le programme nucléaire iranien a démontré la menace bien réelle que représente une cyberattaque pour le secteur. Plus récemment, la guerre russo-ukrainienne a été marquée par plusieurs tentatives de cyberattaques commanditées par des États contre l’Ukraine. réseau électriquePendant ce temps, aux États-Unis, secteur de l'eau a également été la cible d'attaques.

Le risque croissant d'attaques de ce type et leurs conséquences dévastatrices ont conduit à un certain nombre de réglementations visant à renforcer la sécurité des services publics, notamment la directive européenne sur les réseaux et les systèmes d'information 2 (NIS2) et Royaume-Uni Projet de loi sur la cybersécurité et la résilience.

Alors que les entreprises de services publics s'efforcent de se conformer à ces multiples réglementations, certains leur reprochent leur lenteur d'adaptation. En effet, un rapport récent blog L'étude d'Ernst & Young met en évidence un besoin de l'intelligence artificielle (IA) technologie pour gérer des stratégies complexes de gestion des risques et garantir la conformité.

Mais dans un secteur déjà confronté à la fragmentation et au cloisonnement des services, l'ajout de nouveaux outils est-il vraiment la solution ?

Suivre le rythme de la réglementation

De nombreux experts s'y opposent. Ils estiment plutôt que les entreprises de services publics ont besoin d'une infrastructure de conformité unifiée et structurée, adaptée à la complexité des systèmes physiques qu'elles exploitent. Cela implique de consolider les fondations, plutôt que d'ajouter de nouvelles technologies à un système fragmenté existant.

Les récents incidents de cybersécurité ayant touché les entreprises de services publics mettent en lumière un défi qui dépasse la simple adaptation à la réglementation. La pression qu'elles subissent est bien réelle, mais elle n'est pas due à une évolution plus rapide des règles qu'à leur capacité de réaction.

C’est parce que le coût d’une conformité et d’une gestion des risques fragmentées et déconnectées « augmente plus vite que les services publics ne peuvent l’absorber », explique Darren Guccione, PDG et cofondateur de Keeper Security. IO.

Les entreprises de services publics exploitent certains des systèmes physiques les plus interconnectés au monde. Pourtant, les processus régissant la cybersécurité, la résilience opérationnelle, la protection de la vie privée, l'accès des tiers et la conformité réglementaire sont souvent déconnectés les uns des autres.

« Cybersécurité, technologie opérationnelle « Les équipes chargées de la sécurité, de la confidentialité, de l’audit et de la conformité réglementaire (OT) sont souvent organisées en fonctions parallèles, chacune avec ses propres contrôles, outils et lignes hiérarchiques, mais une visibilité et une coordination partagées limitées », souligne Guccione. « Cette fragmentation crée un risque réel. »

Ces cloisonnements entraînent « une mauvaise communication, des doublons, des malentendus et une lenteur dans la prise de décision », explique Tracey Hannan-Jones, directrice du conseil en sécurité de l'information chez UBDS Digital. « Ainsi, lorsque de nouvelles réglementations sont mises en place, chaque service les interprète et les applique différemment, voire pas du tout, ce qui engendre des incohérences, des inefficacités et des cadres de conformité mal conçus pour répondre aux exigences. »

Le concept de « dette technique » dans le domaine du logiciel — des raccourcis qui engendrent des coûts futurs croissants — « s'applique parfaitement à la conformité », explique Rayna Stamboliyska, PDG de RS Consulting. « Chaque fois qu'un fournisseur d'énergie ajoute une nouvelle exigence réglementaire à des systèmes existants fragmentés, au lieu de refondre l'infrastructure, il accumule une "dette de conformité". Le "coût de la conformité fragmentée" correspond en réalité aux intérêts payés sur cette "dette de conformité" — et les fournisseurs d'énergie britanniques paient des intérêts composés sans réduire le capital. »

Sous-outillage

Aucune nouvelle technologie ne peut résoudre le problème, surtout si elle est simplement greffée sur des systèmes fragmentés.

En 2024, les grandes entreprises utilisaient en moyenne 45 outils de cybersécurité, selon GartnerCela indique que le manque d'outils n'est pas le problème principal, explique Rik Ferguson, vice-président du renseignement en sécurité chez Forescout. « Sur le papier, cette richesse d'outils peut sembler rassurante. En pratique, elle engendre souvent un autre problème : un environnement de sécurité surchargé, bruyant et difficile à gérer de manière cohérente. »

« Les conseils d'administration constatent souvent la présence de nombreux outils et présument que la couverture est exhaustive », explique Ferguson. « Or, les équipes de sécurité consacrent un temps considérable à compiler des informations, à valider des alertes et à traquer des activités qui ne se traduisent pas toujours par une réduction des risques mesurable. »

Dans ce contexte complexe, les organisations pourraient être tentées de se tourner vers l'IA comme solution miracle. Or, comme l'explique Hannan-Jones d'UBDS Digital, cette approche est vouée à l'échec car l'IA repose sur des données intégrées et de haute qualité. « Dans les services publics fragmentés, les données sont souvent de mauvaise qualité, dispersées, incohérentes ou inaccessibles. Sans données unifiées, les modèles d'IA ne peuvent produire que des analyses limitées, voire peu fiables. »

Un autre facteur à prendre en compte est que l'IA ne peut pas éliminer le cloisonnement organisationnel, explique Hannan-Jones. « L'IA peut automatiser des tâches ou générer des recommandations, mais elle ne peut pas forcer les services à collaborer ou à partager des informations. »

Approche simplifiée

Plutôt que de se contenter d'ajouter de nouveaux outils, les entreprises de services publics devraient privilégier une approche simplifiée de la conformité. Cela facilitera la coordination centrale, la responsabilisation locale, des contrôles uniformes, une surveillance continue et une vision intégrée des risques.

Dans ce cadre, la normalisation fournit « un vocabulaire et un ensemble de procédures unifiés » pour les risques, la sécurité, la confidentialité et l'IA, explique Hannan-Jones. Par exemple, ISO 27001 couvrant la sécurité de l'information, ISO 22701 sur la vie privée et ISO 42001 Gouvernance de la gestion de l'IA.

Ces cadres de référence exigent une attribution claire des rôles et des responsabilités par le biais d'une approche centralisée. Cela permet à chacun de savoir qui est responsable de quoi, ce qui améliore la coordination et la communication et réduit les écarts, explique Hannan-Jones. « Les organisations peuvent ainsi mettre en œuvre des processus documentés et reproductibles pour l'évaluation des risques, la gestion des incidents et favoriser l'amélioration continue », précise-t-elle.

Parallèlement, les normes ISO, fondées sur l'analyse des risques, exigent des organisations qu'elles les considèrent de manière globale et non isolée. L'alignement de la gestion des risques sur les objectifs de l'entreprise garantit que tous les services « œuvrent à la réalisation des mêmes objectifs avec une approche cohérente », explique Hannan-Jones.

Pour optimiser votre organisation, la première étape consiste à cartographier et à standardiser vos processus clés, conseille Hannan-Jones. « Documentez tous les flux de travail essentiels au sein de l'organisation, notamment la gestion des actifs, la maintenance, la gestion des incidents et la gestion des risques. Cela permettra d'y voir plus clair, de repérer les doublons et les lacunes, et de fournir une base solide pour la standardisation. »

Il est essentiel que tous, y compris la direction, adhèrent à la démarche, affirme Hannan-Jones. « Les hauts dirigeants doivent promouvoir l’approche unifiée en matière de conformité, en communiquer la valeur et allouer les ressources nécessaires. Un changement durable exige un soutien manifeste de la direction et une communication claire à l’ensemble de l’organisation. »

Avantages de la conformité

Malgré les défis persistants, la réglementation ne se complexifie pas. Elle met plutôt en lumière la fragilité et la complexité des structures internes. Dans le secteur des services publics, le risque ne devient un atout que lorsqu'il est appréhendé comme le réseau lui-même : un système fonctionnel, interconnecté, surveillé en permanence et conçu pour la résilience.

Les avantages sont évidents : lorsque la conformité est coordonnée et intégrée, les entreprises de services publics bénéficient d’une réponse réglementaire plus rapide, d’une meilleure posture en matière de cybersécurité, de modèles d’IA plus fiables, d’une meilleure assurance de la part du conseil d’administration, ainsi que d’une réduction des doublons et des coûts.

Une conformité coordonnée et intégrée permet aux entreprises de « récupérer leur capacité opérationnelle » et de consacrer leurs efforts à l'amélioration de la sécurité, explique Conor Sherman, RSSI chez Sysdig. « Elles peuvent ainsi renforcer la résilience du réseau plutôt que de se disputer sur la provenance d'une capture d'écran pour un auditeur. »