Mesure volontaire obligatoire

250 villes et communes et près de 100 millions de m³ d’eau potable par an, 3 millions de clients. Des conduites d’eau qui couvriraient la distance entre Stuttgart et Londres ou Rome : le service des Eaux Landeswasserversorgung (LW) qui siège à Stuttgart, exploite les installations très étendues d’une infrastructure critique. Le service de sécurité des informations BSI (Bundesamt für Sicherheit in der Informationstechnik) en Allemagne oblige les exploitants de tels mandats à mettre en œuvre les mesures de sécurité IT. Sylvia Wetzel partage ses expériences quant à la mise en place de ces exigences dans son entreprise qui comporte presque 300 employés.

Depuis 2015, la loi sur la sécurité IT est en vigueur. Elle contraint les exploitants d’infrastructures critiques à mettre en place une sécurité IT moderne et à signaler tout incident majeur dans ce secteur à la BSI. « Le gouvernement a défini ici les bases afin de respecter la directive européenne NIS et de garantir un maximum de sécurité aux réseaux et aux informations », explique Sylvia Wetzel. La directrice ISMS désignée par la LW Stuttgart répond à partir de janvier 2021 de la gestion du système de sécurité des informations (ISMS).

Tant que les mesures de sécurité répondent aux standards actuels, les exploitants en Allemagne sont libres de décider comment sécuriser leur infrastructure informatique. À la régie LW Stuttgart on mise sur le standard international ISO-27001. « Cette norme exige uniquement que nous nous faisions vérifier tous les deux ans », souligne S. Wetzel.

La régie LW Stuttgart débuta en 2013 à mettre en œuvre son système ISMS. En s’appuyant sur une matrice des risques, la régie évalue les failles de sécurité informatiques de tous les systèmes pertinents, leur probabilité et les dommages possibles. Ensemble avec Rittmeyer, elle prit diverses dispositions afin de mettre en place des systèmes de pointe pour les technologies d’information et les processus. Lors du premier audit en avril 2018, les auditeurs certifièrent que la régie LW Stuttgart a pris toutes les mesures nécessaires pour une grande entreprise, afin de protéger les installations critiques et les informations atteignant ainsi les objectifs du système de gestion.

« Nous ne pouvons pas simplement laisser la cyber-sécurité dans un tiroir pendant deux ans jusqu’au prochain audit. »

Sylvia Wetzel, Ingénieur en projets et Directrice ISMS désignée, Landeswasserversorgung Stuttgart

Entre l’audit de 2018 et le dernier audit en juin 2020, l’entreprise compléta ses mesures et précisa les directives de sécurité ainsi que les accords avec les prestataires externes. « Seule une infime partie de ce travail concerne vraiment l’IT. Nous n’avions auparavant pas conscience de l’ensemble des secteurs où nous devrions intervenir », poursuit S. Wetzel. Dans une entreprise d’une telle taille, les efforts prennent une toute autre proportion. « Les exigences envers la normalisation sont si vastes qu’on ne sait pas par où commencer. Mais grâce à l’aide d’un conseiller externe, nous avons pu nous appuyer sur des modèles et n’avons pas eu besoin de partir de rien. » La taille de la régie LW est aussi un avantage, clarifie la directrice ISMS. On s’appuie ainsi sur le savoir-faire interne. « Nous disposons aussi de la capacité à mettre en place rapidement nous-mêmes les mesures de sécurité. »

La sécurité est au cœur de toutes les préoccupations de la régie. Mais la directrice ISMS doit cependant concéder des compromis afin de ne pas trop restreindre la convivialité d’utilisation et les processus de travail des employés. « Nous avons dû en débattre. Nos mesures touchèrent bien entendu la télémaintenance. Elles touchaient cependant aussi d’autres choses plus banales comme la protection des postes opérateurs par mot de passe ou bien la désactivation des installations de protections des ouvrages à chaque accès. »

Grâce aux formations et à beaucoup de communication, Sylvia Wetzel essaie d’argumenter à long terme en faveur de la cyber-sécurité et de son importance. « Ces formations permettent d'aiguiser la sensibilité. Nous nous appuyons notamment sur des formations domino. Nous mettons régulièrement le ‹maitre› à jour et lui donnons les documents pour ses employés », explique S. Wetzel. De plus, le personnel technique est régulièrement sensibilisé. À cela s’ajoutent des formations spécifiques aux différents groupes ainsi que des informations internes régulières des employés par email. La spécialiste IT est convaincue que l'ingénierie sociale ne cesse de progresser. C’est pourquoi la régie LW va approfondir ce sujet encore plus dans ses mesures et ses formations.

Il est indispensable que la direction favorise ses mesures et soit consciente de l’importance de l’ISMS. « Cette prise de conscience est chez nous bien présente. Les nombreuses discussions avec les auditeurs externes y ont largement contribué. Mais bien entendu aussi les répercussions financières que cette sécurité a, si nous ne sommes pas contrôlés. » De plus, la sécurité IT trouve désormais sa place au début des projets. Pour Sylvia Wetzel, voilà bien la preuve que le sujet est bel et bien ancré dans l’entreprise.

« On doit pouvoir encore travailler. On ne peut pas tout verrouiller. Cela est voué à l’échec. »

Lors du premier audit en 2018, S. Wetzel n’était pas encore concernée. Elle est cependant convaincue qu’avec le temps, il est plus simple de rester à jour au niveau de la cyber-sécurité. « Avant la prise de conscience n’était pas encore autant enracinée dans l’entreprise. Le secteur des technologies aussi montrait de grandes brèches. Les mesures concernent désormais de plus en plus l’IT elle-même, une chose que nous observons régulièrement. »

Mais pour S. Wetzel, il n'est pas question de se reposer sur le dernier audit réussi lorsqu’il s'agit de sécurité : on ne peut pas simplement laisser un sujet si important dans un tiroir pendant deux ans. Grâce à des réunions mensuelles entre l’équipe de base et le conseiller externe en sécurité, la régie LW Stuttgart assure la continuité nécessaire.