Un pour tous

Avec pour objectif de garantir un niveau minimum de protection sur l’ensemble du réseau d’eau potable en Suisse, la Société Suisse de l'Industrie du Gaz et des Eaux (SSIGE) et l’Office fédéral pour l’approvisionnement économique du pays (OFAE) ont œuvré pour un standard minimum dans les technologies d’information et communication (TIC) qui touches les approvisionnements en eau potable. Dario Walder de l’OFAE nous en donne un aperçu.

En 2012, la stratégie nationale de protection de la Suisse contre les cyber-risques (SNPC) a été décidée afin d’améliorer la résistance des infrastructures critiques face aux risques TIC. Dans le cadre de sa mise en place, on réalisa à partir de 2013 une série d’analyses sur les risques et les failles dans 26 sous-secteurs critiques, un peu comme les études KRITIS en Allemagne. Contrairement à certains pays européens dans lesquelles on mis en place un cyber-organisme central, la Suisse mise sur des analyses décentralisées qui sont réalisées par les organismes en place. Dario Walder était directeur du projet sur les analyses des failles TIC à l’OFAE dans le cadre desquelles il se pencha sur l’analyse dans l’approvisionnement en eau potable. Au sein du groupe de travail de la SSIGE, il a réunit une équipe de spécialistes issus des fournisseurs en eau afin de rédiger le « standard TIC minimum pour l’approvisionnement en eau ».

Les analyses ont montré que la dépendance aux systèmes TIC dans l’approvisionnement en eau est considérable suite à la numérisation avancée du secteur. Celle-ci met le système de conduite des processus au premier plan des tentatives d'intrusion. En cas de défaillance des systèmes TIC, l’approvisionnement se trouverait très compromis. C’est ici que le standard minimum TIC entre en jeu : « Nos recommandations spécifiques au secteur visent à éveiller une prise de conscience uniforme quant à la sécurité dans l’approvisionnement en eau et l’échange des informations entre les organisations du secteur. »

« Le standard minimum TIC doit être une aide afin d’évaluer et analyser la sécurité des informations dans l’entreprise en vue de la perfectionner. »

L’association des Distributeurs d’eau romands (DER) a également accompagné cette mise en œuvre.

Le standard TIC minimum se base sur le Core Framework du NIST (National Institute of Standards and Technology aux USA). Comme la protection de base IT du BSI ou les standards de la série ISO-27000, il s’agit d’un cadre qui montre comment mettre en place la cyber-sécurité et l’appliquer dans une organisation. Le Framework regroupe 106 activités cataloguées. Chaque activité correspond à une tâche précise et peut être évaluée à l’aide de l’utilitaire spécial. « Un Framework ne vaut pas mieux qu’un autre ! À nos yeux cependant, le Framework Core NIST est le plus pragmatique et le plus flexible lors de sa mise en place tout en offrant un maximum d’aides à la mise en œuvre. »

Dans le cadre du standard minimum TIC, chaque activité se réfère à au moins deux autres standards comme l’ISO 27001, la protection de base du BSI-IT ou encore le Framework COBIT. « Lorsqu’une personne travaille déjà avec un autre standard, elle peut ainsi simplement associer ses résultats et s’assurer du bon respect de la directive minimale. Ainsi personne n’a besoin de repartir du début et d’appliquer à tout prix la directive NIST pour sa cyber-sécurité. »

Un autre avantage du cadre NIST est la globalité au niveau du territoire Suisse. L’Autorité fédérale de surveillance des marchés financiers FINMA fait appel au NIST dans le secteur bancaire. De son côté l’Association des entreprises électriques suisses (AES) a elle aussi opté pour ce cadre. Pour les entreprises mixtes regroupées, les standards TIC s’avèrent essentiels : « Avec ses approches génériques, le Core Framework reste en fait le même. Les différents secteurs se contentent de l’ajuster grâce à sa mise en place pragmatique et individuelle », explique Dario Walder.

L’Association suisse des professionnels de la protection des eaux (VSA) a également prévu la mise en œuvre du NIST. L’approvisionnement en gaz ainsi que celle des aliments devrait toutes deux passer au Core Framework.

Lors du développement du standard minimum, la mise en pratique pragmatique se trouvait au cœur de tous les débats. L’approche choisie se basant sur le risque permet de prendre une décision. « Chacun choisit son propre niveau de protection, dans la mesure où il dépasse le niveau minimum. Les activités, la priorité sur les catégories, la prise de risque et l’état ciblé sont également définis par le fournisseur », explique Walder.

Outre la partie principale du standard TIC, ses cinq annexes fournissent des informations pratiques complémentaires s’étendant de la cyber-sécurité théorique jusqu’à des exemples concrets de mise en place. L’utilitaire d’évaluation permet aux fournisseurs à partir de 5000 habitants une « auto-évaluation » en comparant l’état prévu et l’état de référence. Les plus petits fournisseurs trouvent en annexe des recommandations spécifiques et un peu moins complexes.

« Ce secteur normalement assez homogène, devient très hétérogène quand il est question de sécurité informatique. »

En savoir plus