Un monde abstrait

La coopérative pour l'approvisionnement en eau de la région Rapperswil-­Jona (Genossen­schaft Wasserversorgung Rapperswil-­Jona, WVRJ) approvisionne près de 27'000 personnes en eau. Depuis plusieurs années, le fournisseur intensifie les mesures autour de la ­protection de son infrastructure contre les piratages informatiques.

« Nous considérons le risque d’un piratage informatique sur un approvisionnement en eau très important », explique Martin Büeler, chef de projets à la Régie de l’eau Rapperswil-­Jona. Pour lui, le risque n’est pas tant la manipulation des pompes ni celle des registres, mais plutôt qu’ils coupent complètement les technologies informatiques et de communication, soit le système TIC, et fassent du chantage pour reprendre l’approvisionnement en eau. Même en ne passant que quelques jours en mode manuel d’urgence, plus rien ne fonctionnerait au bureau sans les technologies informatiques.

La régie WVRJ de l’eau tient compte depuis bien longtemps de la sécurité TIC de toutes les installations, et décida donc de mandater un prestataire externe au printemps dernier pour évaluer le site et obtenir ainsi une vision objective sur ses systèmes. « Cette évaluation montra que nous ne respections pas encore le standard minimum mais nous étions en bonne voie. Il restait cependant certains points à revoir », résume M. Büeler. Comme au même moment le système d’exploitation devait lui aussi être remplacé, la régie WVRJ ­demanda de vérifier l’ensemble de l’installation. Martin ­Büeler : « Notre objectif était de mettre en œuvre les mesures de ­manière optimale. »

« Dès le début, Rittmeyer nous aida à interpréter le standard ­minimum TIC. Les directives étaient trop ­abstraites pour des personnes ‹ non spécialistes ›. »

Martin Büeler, chef de projets à la Régie de l’eau Rapperswil-Jona

La complexité technique des technologies informatiques et de communication, même chez une petite régie comme la sienne, le surprit. Pour M. ­Büeler, il s’agit ici de l’obstacle principal dans la majorité des petites exploitations car elles ne disposent pas des compétences ­internes spécifiques ­nécessaires. Même le cadre donné par le ­standard minimum TIC ne les aida pas vraiment. « Sans un partenaire comme Rittmeyer qui nous assista dès le départ pour interpréter les exigences ­requises, nous ne serions ­parvenus qu’à ne ­déchiffrer qu’une infime partie », comme le ­souligne le chef de ­projets.

« Du point de vue financier, l’extension représenta aussi un investissement lourd et pas forcément ­complètement prévisible », constate Michael Reiser, le Directeur de la régie WVRJ. C’est pourquoi il est important d’avoir confiance en son fournisseur pour montrer ce qui est vraiment nécessaire. Il est tout aussi essentiel d’accompagner la direction de l’organisation : « Notre atout est sans aucun doute notre organisation sous forme de confédération très proche du conseil d’administration, qui de son côté, évalue parfaitement les risques de la cyber-­criminalité. Nous avons ainsi pu argumenter en faveur des mesures et il nous accorda toute sa confiance. »

Afin d’optimiser la sécurité, la régie WVRJ travailla à différents niveaux. Pour mieux répondre aux exigences en matière de sécurité et de disponibilité de l’informatique bureautique et des technologies d’exploitation, on sépara complètement les deux réseaux grâce à une interface définie. Tous les postes extérieurs sont raccordés aux centrales électriques locales via des connexions FO rendant la régie WVRJ indépendante des réseaux de communication publics. Le système électrique d’urgence accumule l’électricité requise pour les composants critiques. À l’avenir le poste de conduite sera raccordé via deux accès différents du FAI. « Cela garantit la disponibilité car le service de garde a besoin d’un accès stable afin d’intervenir le cas échéant sur l’installation », explique Martin Büeler.

Le facteur clé reste définitivement le personnel, une chose dont M. Reiser et M. Büeler sont convaincus. Une prise de conscience de la sécurité TIC est impérative au sein de toute l’organisation, sans quoi cela peut se transformer très vite en un talon d’Achille. « Nous ­disposons de directives et pourtant les employés ont souvent peu conscience de l’importance de la sécurité TIC », ­explique Michael Reiser. C’est pourquoi, cette dernière ne peut se résumer qu’à une action unique. Le directeur mise sur la sensibilisation et les ateliers au cours desquels les mesures essentielles sont systématiquement rappelées. « Le personnel doit reconnaître de lui-même à quel point elle est importante. » Ils réfléchissent à un test réel pour vérifier la maîtrise des différents points.

Pour ce faire, il est important de définir une marche à suivre précise que le personnel se devrait de ­respecter. « Cela reviendrait un peu au même qu’avec les ­mesures prises pour la sécurité du travail. Ici aussi il est ­important de la rappeler. Il en va de même pour la ­sécurité TIC », constate M. Büeler.

« Nous devons avoir pleine conscience des risques et savoir ­lesquels nous sommes prêts à prendre. »

Michael Reiser, Directeur de la Régie de l’eau Rapperswil-Jona

Une des difficultés pendant tout ce processus a été de trouver le juste milieu entre les mesures de protection et par conséquence les restrictions qu’elles entraînent, par ex. pour le service de garde. Ils constatèrent ­aussi que le coût des mesures augmentait de manière exponentielle, plus la sécurité visée augmentait. « Nous ­devons avoir pleine conscience des risques et savoir lesquels nous sommes prêts à prendre », souligne Michael Reiser, Directeur de l’exploitation. « Un système à 100 % sécurisé n’existe pas, même du point de vue technique. »

Il est certain selon M. Büeler que personne n’est à l’abri d’un piratage. Rien que le flux des courriers électroniques indésirables et des tentatives largement professionnalisées de phishing en son bien la preuve selon Martin Büeler : « Il ne faut pas éviter le sujet de la ­sécurité TIC, mais au contraire s’y confronter. »