transfer édition 02 | 2018

Un pour tous

Le standard minimum TIC pour l’approvisionnement en eau potable

Avec pour objectif de garantir un niveau minimum de protection sur l’ensemble du réseau d’eau potable en Suisse, la Société Suisse de l'Industrie du Gaz et des Eaux (SSIGE) et l’Office fédéral pour l’approvisionnement économique du pays (OFAE) ont œuvré pour un standard minimum dans les technologies d’information et communication (TIC) qui touches les approvisionnements en eau potable. Dario Walder de l’OFAE nous en donne un aperçu.

Une vision globale

En 2012, la stratégie nationale de protection de la Suisse contre les cyber-risques (SNPC) a été décidée afin d’améliorer la résistance des infrastructures critiques face aux risques TIC. Dans le cadre de sa mise en place, on réalisa à partir de 2013 une série d’analyses sur les risques et les failles dans 26 sous-secteurs critiques, un peu comme les études KRITIS en Allemagne. Contrairement à certains pays européens dans lesquelles on mis en place un cyber-organisme central, la Suisse mise sur des analyses décentralisées qui sont réalisées par les organismes en place. Dario Walder était directeur du projet sur les analyses des failles TIC à l’OFAE dans le cadre desquelles il se pencha sur l’analyse dans l’approvisionnement en eau potable. Au sein du groupe de travail de la SSIGE, il a réunit une équipe de spécialistes issus des fournisseurs en eau afin de rédiger le « standard TIC minimum pour l’approvisionnement en eau ».

Maintenir l'approvisionnement

Les analyses ont montré que la dépendance aux systèmes TIC dans l’approvisionnement en eau est considérable suite à la numérisation avancée du secteur. Celle-ci met le système de conduite des processus au premier plan des tentatives d'intrusion. En cas de défaillance des systèmes TIC, l’approvisionnement se trouverait très compromis. C’est ici que le standard minimum TIC entre en jeu : « Nos recommandations spécifiques au secteur visent à éveiller une prise de conscience uniforme quant à la sécurité dans l’approvisionnement en eau et l’échange des informations entre les organisations du secteur. »

« Le standard minimum TIC doit être une aide afin d’évaluer et analyser la sécurité des informations dans l’entreprise en vue de la perfectionner. »

L’association des Distributeurs d’eau romands (DER) a également accompagné cette mise en œuvre.

Un cadre adapté ...

Le standard TIC minimum se base sur le Core Framework du NIST (National Institute of Standards and Technology aux USA). Comme la protection de base IT du BSI ou les standards de la série ISO-27000, il s’agit d’un cadre qui montre comment mettre en place la cyber-sécurité et l’appliquer dans une organisation. Le Framework regroupe 106 activités cataloguées. Chaque activité correspond à une tâche précise et peut être évaluée à l’aide de l’utilitaire spécial. « Un Framework ne vaut pas mieux qu’un autre ! À nos yeux cependant, le Framework Core NIST est le plus pragmatique et le plus flexible lors de sa mise en place tout en offrant un maximum d’aides à la mise en œuvre. »

Dans le cadre du standard minimum TIC, chaque activité se réfère à au moins deux autres standards comme l’ISO 27001, la protection de base du BSI-IT ou encore le Framework COBIT. « Lorsqu’une personne travaille déjà avec un autre standard, elle peut ainsi simplement associer ses résultats et s’assurer du bon respect de la directive minimale. Ainsi personne n’a besoin de repartir du début et d’appliquer à tout prix la directive NIST pour sa cyber-sécurité. »

... pour toute la Suisse

Un autre avantage du cadre NIST est la globalité au niveau du territoire Suisse. L’Autorité fédérale de surveillance des marchés financiers FINMA fait appel au NIST dans le secteur bancaire. De son côté l’Association des entreprises électriques suisses (AES) a elle aussi opté pour ce cadre. Pour les entreprises mixtes regroupées, les standards TIC s’avèrent essentiels : « Avec ses approches génériques, le Core Framework reste en fait le même. Les différents secteurs se contentent de l’ajuster grâce à sa mise en place pragmatique et individuelle », explique Dario Walder.

« Le cadre choisi évite l’apparition de nombreux standards différents pour le secteur, qui s’avéreraient très difficiles à mettre en place par les régies mixtes. » 

L’Association suisse des professionnels de la protection des eaux (VSA) a également prévu la mise en œuvre du NIST. L’approvisionnement en gaz ainsi que celle des aliments devrait toutes deux passer au Core Framework.

Applicable pour tous

Lors du développement du standard minimum, la mise en pratique pragmatique se trouvait au cœur de tous les débats. L’approche choisie se basant sur le risque permet de prendre une décision. « Chacun choisit son propre niveau de protection, dans la mesure où il dépasse le niveau minimum. Les activités, la priorité sur les catégories, la prise de risque et l’état ciblé sont également définis par le fournisseur », explique Walder.

Outre la partie principale du standard TIC, ses cinq annexes fournissent des informations pratiques complémentaires s’étendant de la cyber-sécurité théorique jusqu’à des exemples concrets de mise en place. L’utilitaire d’évaluation permet aux fournisseurs à partir de 5000 habitants une « auto-évaluation » en comparant l’état prévu et l’état de référence. Les plus petits fournisseurs trouvent en annexe des recommandations spécifiques et un peu moins complexes.

Les limites de la sécurité

Le standard s’est également particulièrement intéressé aux interfaces entre l’OT (Operational Technology, soit le système de conduite) et l’IT (bureautique). Dario Walder à propos de ses expériences pendant le projet : « Nous avons vu de petits fournisseurs qui utilisaient leurs appareils privés comme appareils professionnels et disposaient donc d’un accès distant au système de conduite. Et nous avons aussi rencontré de grands fournisseurs en eau qui interdisent purement et simplement tout accès distant au système de conduite depuis le réseau informatique. »

« Ce secteur normalement assez homogène, devient très hétérogène quand il est question de sécurité informatique. »

L’infrastructure à protéger est souvent plus étendue que ce l’on croyait : avec des technologies comme le Smart Metering, les limites du système de processus s’étendent jusqu’aux espaces privés et les zones d’attaques augmentent considérablement, comme le souligne Dario Walder en énonçant les risques possibles : « Les Smart Meter sont en principe des systèmes SCADA pour les particuliers. On peut lire, commander et intervenir sur différentes choses, voire détruire certaines choses. La question est de savoir où le fournisseur doit intervenir pour sa sécurité. C’est pourquoi des standards uniformisés sont indispensables. »

Une question de point de vue

Indépendamment de la taille et de l’organisation de l’approvisionnement en eau, il est essentiel de considérer la sécurité des TIC comme indispensable, s’en montre convaincu Dario Walder. « Souvent les fournisseurs sont techniquement forts, mais n’ont aucune stratégie et les processus ne sont pas clairement définis. La cyber-sécurité doit suivre une méthodique top-down dans son organisation. Grâce à ce standard nous sommes en mesure de la mettre en place dans l’organisation comme un processus normal, la vivre et la vérifier, le tout pour toujours continuer à la perfectionner. »

Cette vision de l’extérieur se révèle souvent comme une aide précieuse. Le standard minimum pose des définitions claires. « Elles facilitent ainsi la mise en place d’un concept de sécurité TIC et aident par la même les fournisseurs à commanditer sa mise en œuvre. Il est ici important que le conseiller se concentre sur la sécurité TIC. Il doit bien connaître le secteur de l’eau et s’appuyer sur une longue expérience avec les Frameworks, voire dans le meilleur des cas, avec les technologies d’exploitation », comme le recommande Dario Walder pour conclure.

En savoir plus:Le standard minimum TIC sera disponible à la fin 2018 sur le site Web de l’OFAE ainsi que pour les membres, sur celui de la SSIGE. Pour tous ceux qui souhaitent déjà s’informer sur le cadre, veuillez consulter le standard minimal général pour l’approvisionnement économique :www.bwl.admin.ch.