Le WIB – un groupement d'entreprises énergétiques – a mis en place des mesures standardisées pour faire face à la menace croissante de cyber-attaques visant les infrastructures industrielles.

Pour sa cyber-sécurité, le secteur énergétique a besoin de normes

Alors que les industries énergétiques – pétrole, gaz, électricité – dépendent de plus en plus d’infrastructures informatiques, il est essentiel de parvenir à établir des normes qui renforcent globalement la sécurité de ces installations. Le WIB (international Instrument Users Association) – qui rassemble d’importants industriels du secteur de l’automatisation – a du coup mis en place des standards de cyber-sécurité pour les systèmes IT. L’institution publie un document qui rassemble un certain nombre de bonnes pratiques pour les fournisseurs de dispositifs de contrôle, et qui s’adresse plus généralement à l’ensemble des acteurs du secteur de l’automatisation. L’objectif : assurer la fiabilité des systèmes et des réseaux, face aux logiciels malveillants de plus en plus sophistiqués.

Sécuriser l’environnement opérationnel

"Nos systèmes de production sont aujourd’hui connectés, et la menace devient quotidienne", explique Peter Kwaspen, l’un des auteurs du rapport. "Il faut faire en sorte de sécuriser l’environnement opérationnel", précise-t-il. Avant d’ajouter : "Ce document offre le langage commun dont nous avons besoin pour communiquer nos attentes concernant certains points de sécurité à nos fournisseurs de systèmes informatiques". Les mesures rassemblées dans le rapport concernent ainsi un large éventail de sujets de sécurité. Des procédures de sécurité internes aux données de protection liées à l’authentification, en passant par les questions de gouvernance, de contrôle, ou de management.

Des mesures amenées à évoluer

Les responsables soulignent l’importance d’un programme certifié, avec des standards communs à l’ensemble des acteurs. Ces derniers pouvant ainsi commencer, dès à présent, à suivre chacun de leur côté les principaux impératifs du document. "Non seulement ces nouvelles règles constituent des mesures efficaces aujourd’hui, mais elles permettent d’améliorer sans cesse les systèmes, en les adaptant aux cyber-menaces, en constante évolution", affirme Ernie Rakaczky, associé au projet. Le groupe - comprenant d’importantes entreprises comme Shell, BP, Aramco, Dow ou Laborelec, ainsi que des agences gouvernementales – a mis deux ans à développer ce programme certifié.