Il est temps de rendre obligatoire une cybersécurité stricte pour les entreprises d’infrastructure

Le 7 mai, un réseau de pipelines transportant près de la moitié du carburant utilisé sur la côte est des États-Unis a été paralysé par une cyberattaque majeure . L'arrêt de cinq jours du pipeline colonial a entraîné des pénuries de carburant généralisées et des achats de panique alors que la Virginie, la Caroline du Nord et la Floride ont déclaré l'état d'urgence.

L'attaque met en évidence la vulnérabilité des infrastructures critiques telles que les pipelines de carburant à une époque de menaces croissantes de cybersécurité. En Australie, nous pensons que le moment est venu d'obliger les entreprises d'infrastructures critiques à mettre en œuvre des mesures de cybersécurité sérieuses.

Dégâts collatéraux

Le risque de cyberattaques sur les infrastructures critiques n'est pas nouveau. À la suite des événements du 11 septembre 2001, la recherche a démontré la nécessité de faire face aux risques de sécurité mondiale alors que nous analysions les problèmes de vulnérabilité et de protection des infrastructures critiques. Nous avons également proposé des systèmes pour assurer la sécurité dans les infrastructures critiques de la chaîne d'approvisionnement telles que les ports maritimes et les pratiques, y compris la gestion du transport maritime de conteneurs.

La montée des attaques de « ransomware », dans lesquelles les attaquants saisissent des données importantes des systèmes d'une organisation et exigent une rançon pour leur retour , a accru le risque. Ces attaques peuvent avoir des conséquences inattendues.

Les preuves suggèrent que la fermeture coloniale était le résultat d'une telle attaque, ciblant ses données. Il semble que la société ait fermé le réseau de pipelines et certaines autres opérations pour empêcher la propagation du logiciel malveillant. Cela a entraîné une cascade d'effets imprévus à l'échelle de la société et de dommages collatéraux.

En effet, les attaquants ont peut-être été surpris par l'étendue des dommages qu'ils ont causés et semblent maintenant avoir mis fin à leurs propres opérations ].

Nous avons vu comment les infrastructures critiques de la chaîne d'approvisionnement peuvent être gravement perturbées en tant que dommages collatéraux. Nous devons considérer la gravité des retombées d'une attaque directe.

Les événements aux États-Unis soulèvent également une autre question importante : à quel point notre infrastructure de chaîne d'approvisionnement critique en Australie est-elle vulnérable ?

L'infrastructure critique est une cible attrayante[19659004]La société australienne dépend de nombreuses chaînes d'approvisionnement internationales et nationales. Celles-ci sont étayées par une infrastructure de chaîne d'approvisionnement critique qui est souvent gérée par des systèmes d'information et de communication avancés et interconnectés. Cela en fait des cibles attrayantes pour les cyber-attaquants.

Les cadres de risque cyber sont souvent dérivés d'approches traditionnelles de gestion des risques, abordant les problèmes d'une cyberattaque potentielle en tant que routinerisque conventionnel . Ces approches de gestion des risques comparent les coûts de prévention d'une cyberattaque aux coûts et à la probabilité d'une violation.

Dans certaines industries, cette évaluation prendra en compte le coût d'une clientèle perdue qui pourrait ne jamais revenir. Cependant, les fournisseurs de services essentiels tels que les transports, les soins médicaux, l'électricité, l'eau et la nourriture voient peu de risques de perdre des clients.

Après l'incident colonial, les clients sont retournés aux stations-service dès qu'ils le pouvaient et ont continué à acheter du carburant. . Ainsi, les industries critiques peuvent percevoir moins de coûts d'une violation que les entreprises d'autres industries parce que leurs clients reviendront.

Time for compliance

Les efforts nationaux de l'Australie en matière de cybersécurité sont coordonnés par le Australian Cyber ​​Security Centre ] (ACSC) sous les auspices de la Direction australienne des signaux. L'ACSC travaille avec des organisations des secteurs public et privé pour partager des informations sur les menaces et des conseils sur les meilleures pratiques en matière de sécurité.

Les documents de l'ACSC tels que Essential Eight fournissent des conseils aux organisations sur les mesures de sécurité de base. Celles-ci sont complétées par des ressources plus complètes, notamment le Australian Government Information Security Manual.

Cependant, nos recherches ont montré que les meilleures pratiques ne sont pas universellement suivies, même par les propres sites Web du gouvernement australien.

Le manque de connaissances n'est pas le problème. Les meilleures pratiques de sécurité sont généralement bien comprises et documentées par l'ACSC. L'ACSC fournit également des orientations spécifiques pour les secteurs et industries critiques, comme un cadre de sécurité développé pour le secteur de l'énergie.

Le défi ici est qu'il ne s'agit que de lignes directrices. Les entreprises peuvent choisir de les suivre ou non.

Ce dont l'Australie a besoin, c'est d'un programme de conformité en matière de cybersécurité. Cela signifierait obliger les entreprises qui gèrent des infrastructures critiques telles que les ports ou les pipelines à suivre une sorte de règles.

Une première étape pourrait consister à exiger de ces entreprises qu'elles se conforment aux directives existantes et exigent la certification d'une base de cybersécurité.

Leçons des États-Unis

Le gouvernement américain a répondu à la cyberattaque coloniale par un décret pour améliorer la cybersécurité et les réseaux du gouvernement fédéral. L'ordonnance propose une série de mesures pour moderniser les normes et améliorer le partage d'informations et les exigences en matière de rapports. Il s’agit de mesures précieuses, dont beaucoup relèvent déjà des fonctions existantes de l’ACSC australien.

Une autre mesure de l’ordonnance des États-Unis est la création d’un Cyber ​​Safety Review Board indépendant. L'Australie pourrait également établir un partenariat entre le gouvernement et l'industrie pour superviser la cybersécurité. Un organisme similaire réglemente déjà l'aviation : la Civil Aviation Safety Authority.

Une telle organisation fournirait une analyse et un signalement solides des cyberincidents. Il partagerait également des informations avec les responsables des technologies de l'information, les développeurs de logiciels et de matériel, les administrateurs publics, les gestionnaires de crise et autres.

Les menaces à la cybersécurité créent des niveaux élevés d'incertitude pour les secteurs public et privé. Les attaques qui perturbent les infrastructures critiques de la chaîne d'approvisionnement ont des impacts étendus sur la société et le commerce.

Un programme de conformité en matière de cybersécurité peut être coûteux sur le plan financier, mais constituerait un investissement rentable compte tenu de l'impact sociétal d'une cyberattaque réussie.

Cet article de Richard Oloruntobaprofesseur agrégé de Supply Chain Management & Supply Chain Management Lead, Curtin University et Nik ThompsonAssociate Professeur de systèmes d'information, Curtin University, est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.