Theo Yameogo : Bonjour Yogen, je suis heureux de vous parler aujourd’hui! Bienvenue à cette série! J’ai hâte d’entendre ton point de vue sur la cybersécurité dans le secteur des mines et métaux.
Yogen Appalraju : Heureux d’être ici, je suis impatient de commencer.
Theo Yameogo : Entrons dans le vif du sujet sans plus tarder. Quels conseils donnerais‑tu aux chefs de la sécurité de l’information et aux membres du conseil d’administration des entreprises du secteur des mines et métaux concernant les menaces à la cybersécurité?
Yogen Appalraju : Tout d’abord, tous les dirigeants doivent savoir que bâtir la cyberrésilience est un long parcours qui requiert des efforts et des investissements constants et plusieurs années de travail.
Par contre, quel que soit le degré de maturité de vos capacités, il importe de bien choisir vos investissements. Que faut‑il en déduire? Cela signifie que si vous avez un faible degré de maturité, vous devriez vous concentrer notamment sur des solutions comme l’authentification à deux facteurs, la protection des applications Internet et les correctifs des systèmes critiques. Ce sont celles sur lesquelles vous devriez vous pencher en premier.
Si vous êtes le chef de la sécurité de l’information, vous devez élaborer un plan et expliquer sa nature et son objectif aux dirigeants de l’entreprise afin d’obtenir le financement requis. Si vous êtes un dirigeant ou un administrateur, vous devez poser des questions sur le degré de sécurité actuel et le degré cible pour le secteur et l’entreprise. Assurez-vous ensuite d’avoir une approche fondée sur le risque. En d’autres mots, mettez l’accent sur vos activités et actifs essentiels et une fois cela établi, assurez-vous de donner le ton pour que le chef de la sécurité de l’information et le chef de l’information aient le soutien des autres dirigeants et membres du personnel et que les fonds sont disponibles pour exécuter le plan.
Theo Yameogo : Très intéressant, Yogen. Plus particulièrement, quelles menaces ou tendances les entreprises du secteur devraient‑elles surveiller lorsqu’il est question de cybersécurité?
Yogen Appalraju : Theo, de nombreuses études sont menées dans tous les secteurs. Une étude récente sur le secteur des mines et métaux indique qu’en ce qui concerne les attaques initiales, 89 % correspondent à des cyberattaques par piratage psychologique ou hameçonnage. Les autres ciblaient l’infrastructure TI ou les applications Web, mais la grande majorité visait les vulnérabilités des gens; par exemple, une personne clique sur un lien, ce qui déclenche le processus.
On note que ces attaques sont principalement motivées par le gain financier. En fait, 78 % de toutes les attaques étaient motivées par le gain financier et beaucoup sont des attaques par rançongiciel.
Dans d’autres secteurs, les chaînes d’approvisionnement ont été la cible d’attaques et nous croyons que le secteur des mines et métaux ne sera pas épargné. Il s’agit de l’attaque d’un fournisseur, mais dans le but d’atteindre une organisation comme une société minière.
Theo Yameogo : C’est très instructif, Yogen. Une récente attaque par rançongiciel dans le secteur pipelinier a interrompu les activités d’une entreprise pendant six jours et s’est répercutée sur la chaîne d’approvisionnement et toute l’entreprise. Prévois‑tu un tel événement dans le secteur des mines et métaux? Que conseilles‑tu pour éviter cela?
Yogen Appalraju : C’est une bonne question, Theo. Les entreprises du secteur des mines et métaux ressemblent beaucoup à celles des secteurs du pétrole et du gaz et des pipelines. Elles ont toutes recours à des TI et à des TO, soit des technologies opérationnelles, pour exploiter les installations et les activités et pour assurer la sécurité des employés.
La récente attaque contre le pipeline était une attaque au rançongiciel dont l’objectif était d’extorquer de l’argent, pas d’arrêter l’exploitation du pipeline, mais l’entreprise avait l’impression qu’ils disposaient de renseignements pouvant nuire au pipeline. Elle a donc interrompu ses activités. Cela prend beaucoup de temps à remettre en marche.
Des entreprises du secteur des mines et métaux pourraient aussi subir de telles attaques et devraient s’y préparer et être en mesure de les détecter rapidement, de comprendre ce qui leur arrive et de prendre de bonnes décisions à savoir si les activités sont touchées ou non afin d’éviter un événement comparable.
Theo Yameogo : Cette discussion a été très éclairante. Merci infiniment d’avoir été parmi nous.
Yogen Appalraju : Merci de m’avoir accueilli.