Alors qu’on assiste à une escalade de la cybercriminalité au Canada, les organisations tentent de toute urgence de protéger leurs infrastructures essentielles contre des menaces de plus en plus sophistiquées. Depuis 10 ans, Hydro Ottawa – en activité dans la capitale fédérale d’un pays du G7 – priorise la protection et la résilience de son réseau et de ses systèmes électriques face au chaos qu’entraînerait une cyberattaque.
Compte tenu de l’adoption rapide des technologies intelligentes – pensons à l’intelligence artificielles, aux capteurs, aux détecteurs de défaillance, aux compteurs évolués et plus encore –, nos systèmes énergétiques sont plus interconnectés et dépendent plus que jamais d’un flux de données. Cette évolution comporte d’immenses avantages, dont un meilleur processus décisionnel, le rétablissement plus rapide des pannes et l’intégration fluide des ressources énergétiques décentralisées comme l’énergie solaire et le stockage d’énergie par batterie. Mais elle souligne aussi une réalité brutale : une hausse de la connectivité se traduit par une vulnérabilité accrue devant certains des risques les plus fréquents pour notre cybersécurité.
L’accès illicite aux infrastructures électriques n’est pas hypothétique. Des incidents comme les pannes de courant causées par des cyberattaques menées sur le réseau de l’Ukraine en 2015 et 2016 soulignent le potentiel dévastateur. Pour Hydro Ottawa, il est essentiel d’investir de manière proactive dans des dispositifs de protection et de contrôle en matière de cybersécurité afin de défendre nos systèmes, assurer leur fiabilité et protéger nos clients.
Dans une récente entrevue du balado ThinkEnergy, Jojo Maalouf, directeur de la cybersécurité et de l’infrastructure TI à Hydro Ottawa, discute des stratégies, défis et innovations qui caractérisent la défense de notre réseau local contre les cybermenaces. De l’intégration de dispositifs plus intelligents à l’importance cruciale de la sécurité numérique, M. Maalouf explique comment Hydro Ottawa parvient à garder une longueur d’avance sur l’échiquier de la cybersécurité tout en constituant un réseau plus intelligent et plus résilient pour l’avenir d’Ottawa.
Trevor Freeman (TF) : On entend parler d’entités patronnées par des États, de groupes à but lucratif, de pirates informatiques et de cyberactivistes. Qui incarne les menaces que nous redoutons dans l’industrie de l’énergie?
Jojo Maalouf (JM) : C’est une bonne question et, pour être honnête, tout ce que vous avez mentionné nous inquiète. En fonction du milieu d’où proviennent ces entités ou individus, ils représentent chacun un type de risque différent. Chaque jour, notre priorité consiste à assurer un approvisionnement en électricité fiable à nos clients, et ce, indépendamment des facteurs extérieurs en présence. Nous sommes déterminés à assurer une protection exhaustive et à prendre les mesures nécessaires pour rester à l’avant-garde en faisant évoluer nos systèmes de défense et en collaborant avec des partenaires de l’industrie pour échanger des connaissances et des pratiques exemplaires.
TF : Pouvez-vous nous parler des risques qu’amène la modernisation du réseau et comment nous les envisageons?
JM : Plus il y a de dispositifs interconnectés, plus les vulnérabilités potentielles augmentent. Alors idéalement, ce que nous voulons faire, c’est gérer de façon proactive les points d’accès possibles dans nos systèmes. On a parlé du potentiel de la modernisation des réseaux et, effectivement, les organisations vont bénéficier des nombreuses fonctionnalités qui en découlent. Mais en même temps, il est crucial qu’on puisse simultanément renforcer notre position de cybersécurité pour s’assurer que le réseau demeure fiable et sécurisé.
TF : Dans quelle mesure l’industrie de l’énergie est-elle préparée à réagir à une cyberattaque majeure et à s’en remettre, si une telle attaque devait cibler le réseau d’électricité?
JM : Honnêtement, j’estime que le secteur de l’énergie est bien préparé. Comme il s’agit d’une entité regroupant des infrastructures essentielles, le secteur de l’énergie a l’avantage de travailler avec un grand nombre de partenaires gouvernementaux et de s’appuyer sur un écosystème de partenaires, qu’il s’agisse de liens publics ou privés. Je pense qu’on a bien compris, au fil des années, que les menaces évoluent, que les menaces sont en train de changer. Ce que les organisations peuvent faire pour continuer d’être bien préparées, c’est mettre leur résilience à l’épreuve. L’autosatisfaction et la complaisance n’ont pas leur place dans ce domaine.
TF : En matière de cybersécurité, quelles sont les autres parties prenantes avec qui nous collaborons?
JM : Il y a beaucoup de collaboration dans l’industrie. Il y a plusieurs entités différentes pour qui la cybersécurité et la protection des infrastructures essentielles sont capitales et, donc, celles-ci font l’objet de discussions régulières. On voit aussi beaucoup de collaboration des gouvernements fédéral et provinciaux. En Ontario, notre organisme de réglementation – la Commission de l’énergie de l’Ontario – a élaboré le Cadre de cybersécurité de l’Ontario (en anglais seulement), qui est en vigueur depuis 2017.
TF : Y a-t-il des choses en particulier que les clients peuvent faire ou dont ils devraient être conscients sur le plan de la cybersécurité?
JM : À ce sujet, les clients doivent absolument réaliser l’importance de leurs renseignements personnels. Il y a des mesures simples à prendre. On peut par exemple choisir un mot de passe complexe, difficile à deviner, et éviter de le réutiliser sur de multiples plateformes. On peut investir dans un gestionnaire de mots de passe pour gérer tous ses mots de passe. Et il existe des solutions gratuites. On peut utiliser l’authentification multifactorielle, qui fait appel à un deuxième degré de vérification pour confirmer qu’on est réellement la personne qu’on prétend être. Sécurité publique Canada offre beaucoup d’information à ce sujet sur son site Web.
TF : Vous avez raison, ces mesures de base peuvent vraiment nous protéger. Et tout le monde devrait savoir que les employés d’Hydro Ottawa priorisent la sécurité des données. Comme membres du personnel, nous veillons à protéger nos systèmes, à protéger nos données et tous les éléments que vous avez mentionnés au chapitre de l’intégrité des mots de passe et de la protection des systèmes. Nous nous concentrons là-dessus tous les jours.
Pour savoir comment protéger votre identité, vos données et vos renseignements sensibles, visitez notre page sur la sensibilisation à la fraude ou lisez l’un de nos récents articles intitulé Déjouer la fraude à l’ère numérique. Pour notre part à Hydro Ottawa, nous continuons d’investir dans des systèmes de protection et de contrôle en matière de cybersécurité pour des infrastructures et systèmes clés, et ce, pour prévenir tout incident qui pourrait compromettre la fiabilité du réseau et comporter des risques pour nos clients.