Bannière sur les risques et solutions en matière de cybersécurité dans le secteur des métaux et minéraux

Cybersécurité, et métaux et minéraux : trouver un équilibre délicat

Portätfoto de Carlos Perez Chalico
Carlos Chalico

Leader, Cybersécurité dans le secteur des mines et métaux des Amériques, EY

9 minutes de lecture 20 juin 2025
Sujets connexes
Mines et métaux
Énergie et ressources

Une récente table ronde portant sur la cybersécurité dans le secteur des métaux et minéraux a ouvert des portes et offert des discussions sur certains des enjeux les plus importants du secteur.

En bref
  • À mesure que les entreprises du secteur des métaux et minéraux évoluent afin de consolider leur position de chef de file, la surface d’attaque du secteur attire l’attention en raison de la hausse des incidents liés à la cybersécurité.
  • Nous avons accueilli un groupe de professionnels de la cybersécurité provenant d’entreprises de premier plan et avons engagé des discussions sur certains des sujets de l’heure en matière de cybersécurité.
  • Les discussions sur les risques liés à l’IA, les interventions en cas d’incidents et l’incidence de l’erreur humaine ont donné lieu à des échanges intéressants assortis de mesures claires et de points à retenir pour les participants.

La cybercriminalité occupe une grande place dans les médias et les technologies utilisées par les acteurs malveillants évoluent chaque jour. Dans un tel contexte, pour conserver une longueur d’avance, il convient d’adopter une approche collaborative pour renforcer la protection des entreprises et lutter contre les risques.

Dans le cadre d’une table ronde organisée récemment par EY visant à faire converger les idées, des leaders en cybersécurité représentant certaines des entreprises du secteur des métaux et minéraux les plus novatrices se sont réunis afin de faire part de leurs expériences, d’apprendre de leurs défis respectifs et d’établir un réseau à partir duquel s’alimenter à mesure que les cybermenaces continuent de connaître une forte croissance et que les programmes des entreprises évoluent pour suivre le rythme.

Au programme Tirer parti de l’intelligence artificielle (IA) afin d’améliorer l’efficience opérationnelle et la sécurité, et partager les pratiques exemplaires relatives aux interventions en cas d’incidents et à la conformité ainsi que les dernières stratégies aux fins de la prévention de la fraude découlant de l’erreur humaine.

Comment EY peut vous aider

La cybercriminalité devrait coûter 10,5 billions de dollars aux entreprises en 20251, un montant qui devrait passer à près de 14 billions de dollars d’ici 20282. Le montant moyen à payer dans le cadre de rançongiciels a pratiquement doublé en un an, passant de 812 380 $ en 2022 à 1 542 333 $ en 20233. En outre, les entreprises ont engagé en moyenne 4,88 millions de dollars en 2024 afin de traiter des cas de violation de données4.

 

Les montants sont déconcertants. Que vous soyez au Canada ou au Cameroun, et que vos activités consistent à extraire de l’or et des diamants ou de la potasse et du gravier, aucune entreprise du secteur des métaux et minéraux n’est totalement à l’abri des attaques. Par contre, grâce à la collaboration et au partage de renseignements, le secteur peut demeurer à l’affût, mettre l’accent sur des stratégies éprouvées, combler les lacunes sur le plan de la vulnérabilité et réduire la surface d’attaque, et ainsi ajouter une couche de protection supplémentaire à des plans d’action sur la cybersécurité déjà bien établis.

 

Nouveaux horizons pour l’IA

 

Il ne fait aucun doute que l’IA dynamise les compétences de base au sein des entreprises et de l’ensemble des modes de fonctionnement organisationnel. La disponibilité immédiate des données fait progresser d’une façon exponentielle les capacités, et davantage d’entreprises se tournent vers l’IA pour générer de la valeur.

 

Il n’est plus nécessaire de faire appel à des spécialistes pour interagir avec l’IA. Les tâches autrefois effectuées par des humains, avec l’appui des données et des technologies, sont remplacées par la technologie alimentée par les données sous la surveillance et la gouvernance de l’humain. Les entreprises du secteur des métaux et minéraux tirent avantage de l’amélioration de la productivité, les cas d’utilisation variant de la prospection et de l’exploitation au traitement, au transport, aux ventes et à la commercialisation, alors que l’IA réalise des tâches telles que la modélisation géologique souterraine et les évaluations de la viabilité, l’analyse des carottes, la planification de l’extraction optimale et la réduction de l’incidence sur l’environnement de l’entretien prédictif pour n’en nommer que quelques‑unes.

 

Ces échanges présentent cependant des risques. Les « hallucinations » d’IA, soit des résultats inexacts ou erronés produits par les modèles d’IA, engendrent des préoccupations justifiées sur le plan de l’exactitude et de la confiance. La collecte et l’utilisation adéquates des données soulèvent des questions concernant la sensibilité des données mises à la disposition du public. En outre, compte tenu de la possible apparition de nouvelles vulnérabilités, alors que nous dépendons davantage de l’IA pour établir des liens entre les TI et la technologie opérationnelle, quelles mesures les entreprises doivent-elles prendre maintenant pour se préparer pour l’avenir?

 

Définir une gouvernance des données et des initiatives de gestion solides est un bon départ. Mais définir une gouvernance de l’IA est tout aussi important, si l’on souhaite obtenir des retombées positives des initiatives en IA. Par contre, même si les participants à la table ronde avaient déjà mis en place de telles stratégies sur le plan de la sécurité, la majorité d’entre eux ont admis appliquer les scénarios au cas par cas ou sur une échelle limitée. Ils appliquent ces scénarios, par exemple, pour faire le suivi des permis et des contrats, processus qui exigerait des mois de suivi de la part d’un être humain. Les possibilités de fuite de données et la gouvernance axée sur l’avenir viennent cependant en tête de liste de leurs préoccupations.

 

De plus, même si l’utilisation non autorisée de l’IA et de ChatGPT fait sourciller, la majorité des participants ont convenu qu’ils ont repéré l’information sensible et l’ont protégée, mais qu’ils étaient emballés à l’idée d’explorer de nouvelles capacités dans un environnement contrôlé, soulignant l’importance de la formation et de la sensibilisation de leurs équipes.

 

Les courriels d’hameçonnage sont devenus plus crédibles que jamais, et le piratage psychologique ou les médias synthétiques, comme l’hypertrucage des employés les plus estimés alimenté par l’IA, deviennent de plus en plus complexes.

La sensibilisation aux dernières tactiques en matière de cybersécurité et leur communication sont primordiales, mais elles doivent suivre de près les derniers contrôles visant à prévenir l’exposition des entreprises à toute forme de fraudes.

Dans le même ordre d’idée, la gestion des risques liés aux tiers est une préoccupation importante. Les entreprises cherchent à déterminer si elles ont les capacités à l’interne pour élaborer les outils requis ou si le fait de faire appel à des fournisseurs leur serait plus utile quand il s’agit d’assurer une protection de bout en bout.

« En vérité, il n’existe pas de solution magique unique pour l’IA », précise Carlos Perez Chalico, associé du groupe Cybersécurité et protection de la vie privée et des données d’EY Canada, qui ajoute que les chefs de la sécurité de l’information doivent expliquer la valeur de la cybersécurité aux entreprises et leur apporter l’assurance qu’ils sont en mesure d’intégrer les éléments et de gérer les nouvelles technologies en toute sécurité. « Les entreprises devront évaluer l’applicabilité à mesure que l’IA se redéfinit, en évaluant les cas d’utilisation par rapport à ce qui importe le plus, ainsi que les contrôles et les outils qu’elles ont mis en place contre les risques afin de s’assurer que ça en vaut la peine », ajoute Carlos Perez Chalico.

Prêt à réagir

Déterminer si l’IA convient à une entreprise est une décision propre à chacune. Par contre, les participants à la table ronde ont été unanimes quant à la nécessité d’élaborer un plan de préparation aux interventions en cas d’incidents dans le cadre duquel les rôles et les responsabilités des premiers répondants sont bien définis, surtout au moment d’intervenir lors d’incidents importants. En outre, la nécessité de mettre en place des processus de classification, d’étiquetage et de protection des données solides permettant de traiter les préoccupations en matière de sécurité et de confidentialité sera essentielle pour assurer le déploiement de concert avec les programmes d’IA.

Les cyberattaques sont en constante évolution. Compte tenu des dernières règles en matière de communication de l’information de la Securities and Exchange Commission (SEC) des États‑Unis, qui exigent que les incidents importants actuellement non définis soient communiqués dans les quatre jours ouvrables afin de fournir aux investisseurs de l’information utile, les priorités de l’entreprise devront être comparées à une matrice complète des risques afin de déterminer l’importance relative et d’orienter la prise de décisions.

Pour être efficaces, les plans doivent être résilients, conçus selon une approche descendante, l’importance relative et les obligations d’informations à fournir étant clairement définies, mais mis en place selon une approche ascendante afin que des mesures appropriées puissent être prises. Et, surtout, les plans doivent être continuellement mis à jour de façon à combler tout écart ou toute lacune.

Il a été convenu à l’unanimité au sein du conseil qu’un plan d’interventions en cas de cyberincident doit être facilement accessible. Ce plan doit contenir des directives précises, définir à l’avance les paramètres de signalement et de communication, préciser les responsabilités individuelles et détailler les étapes de gestion adaptées à chaque type de crise. L’élaboration de ce plan de manière interfonctionnelle en présence des équipes responsables des TI, de la cybersécurité, des risques et de la conformité et de l’exploitation permettra de s’assurer que des contrôles appropriés sont en place avant la survenance d’un incident.

« Certaines entreprises mentionnent qu’elles avaient mis en œuvre des processus de gouvernance et de surveillance ainsi que des procédures d’acheminement du travail préalable aux incidents. Et qu’elles soumettaient la technologie à des tests sous pression pour leur permettre de préparer leurs équipes », explique Umang Handa, leader, Cybersécurité, Services gérés d’EY Canada. « Par contre, des crises majeures auxquelles participent des groupes ne faisant pas partie des TI, notamment les services juridiques et les responsables de la réglementation, ou des incidents encore plus importants que le conseil s’efforce de résoudre, devront également faire l’objet d’exercices de simulation afin de déterminer l’efficacité des résultats. Les secteurs davantage réglementés ont mis en place de telles mesures depuis un certain temps, mais elles commencent à interpeller d’autres secteurs d’activité, notamment celui des métaux et minéraux, qui pourraient ne pas encore avoir mis en place de tels plans », ajoute Umang Handa.

Qu’en est‑il de la dépendance envers les guides intégrés aux outils tels que Microsoft Sentinel? Selon Umang Handa, il s’agit d’un bon départ, mais si un incident survient, combien de temps faudra‑t‑il pour le trouver? Les équipes au sein de l’entreprise savent-elles avec qui elles doivent communiquer et connaissent-elles les mesures devant être mises en place rapidement? Les liens hiérarchiques et les voies de communication sont‑elles clairement énoncées?

Même si les technologies permettent de faciliter le processus de planification, les solutions prêtes à l’emploi doivent tout de même être personnalisées. Les procédures de fermeture d’urgence d’une mine, par exemple, demandent que les ingénieurs locaux fassent un appel afin de déterminer si l’interruption des activités est requise. Si tous les joueurs conjuguent leurs efforts en vue de la mise en œuvre du processus et participent à des exercices de simulation réguliers, les membres de la direction et le personnel administratif seront assurément sur la même longueur d’onde. Si les ordinateurs devaient être affectés et la visibilité perdue au fil du temps, ou si les acteurs malveillants devaient infiltrer les conversations internes menées sur les plateformes de médias sociaux, telles que Microsoft Teams, et compromettre les communications, les intervenants pourront tout de même agir avec confiance, sachant qu’ils prennent des mesures dans le respect des plans convenus.

L’erreur est humaine

Outre ces défis, les plans de cybersécurité les plus soigneusement élaborés demeurent exposés à des risques liés à l’erreur humaine, souvent considérée comme le maillon faible du système. Il ne s’agit plus seulement de se protéger contre les attaques d’hameçonnage, mais également contre l’hameçonnage vocal, c’est‑à‑dire le clonage vocal, et l’hameçonnage par message texte, soit des attaques par message texte qui incitent les utilisateurs à partager leurs informations d’identification ou à cliquer sur des liens.

Supposons par exemple que vous ayez mis en place des contrôles de sécurité à l’aide d’une stratégie de défense multidimensionnelle et offriez des formations approfondies et obligatoires sur les risques en matière de cybersécurité destinées à tous les employés. Votre bulletin traite de l’importance de demeurer vigilant, et vous simulez des courriels d’hameçonnage tout au long de l’année de façon à ce que les membres du personnel demeurent aux aguets.

Puis, un courriel urgent du chef de la direction est transmis demandant au service de la comptabilité de mettre à jour les coordonnées d’un fournisseur dans le système et de payer une facture en suspens. Le courriel semble légitime, mais il ne s’agit pas d’un message du chef de la direction. Et le fournisseur dont il est question n’est pas votre fournisseur. Les contrôles n’ont pas échoué. Les acteurs malveillants ont simplement fait leurs devoirs, ce qui leur a donné les moyens de manipuler l’information transmise, en fonction de ce qu’ils ont découvert.

Imaginez maintenant recevoir un appel d’une personne semblant avoir la même voix que le chef de la direction demandant un transfert de fonds. Il s’agit cependant d’un hypertrucage et la personne qui appelle est un fraudeur. L’essor des médias synthétiques et des hypertrucages a mené à l’émergence du contournement de l’ensemble du dispositif de contrôle.

Lorsque l’on s’appuie sur de tels processus humains, la sensibilisation constitue la première ligne de défense. L’exemple ci‑dessus partagé par un participant à la table ronde a été en fait une véritable leçon qui a incité les participants à penser autrement.

Pour se protéger contre l’erreur humaine, il est important de changer des comportements, surtout ceux des membres du personnel les plus vulnérables, ceux qui ont le plus de privilèges ou ceux des membres potentiellement ciblés. Les évaluations des risques humains permettent d’établir le niveau de cybersécurité, les profils de risque et les cotes de risque des membres du personnel et de définir les mesures à prendre afin de mieux les protéger. Parmi ces mesures, on compte les formations spécialisées et les initiatives de sensibilisation.


Résumé

La gestion de crise a toujours existé, mais la croissance des éléments déclencheurs est aujourd’hui plus difficile à prédire. Renforcer la position en matière de sécurité peut permettre d’économiser des coûts, de limiter les obligations et de réduire les efforts de rétablissement.

Mettre à contribution l’IA là où elle se trouve demande une gestion efficace des processus, des politiques, des rôles et des normes d’utilisation.

En permettant aux entreprises d’adopter des outils, tels que l’outil de gestion de posture de sécurité des données Microsoft Purview (Data Security Posture Management ou DSPM) et l’outil de gestion de posture de sécurité des données pour l’IA (DSPM for AI), et de surveiller les incidents liés à la sécurité en recherchant, en repérant et en atténuant de manière proactive les menaces grâce aux services gérés de détection et d’intervention (Managed Detection and Response ou MDR), nous jumelons l’expérience approfondie du secteur des métaux et minéraux aux connaissances pour permettre à vos équipes de se concentrer sur ce qui compte le plus, à savoir façonner l’avenir avec confiance.

Articles connexes

Remède universel ou solution pratique : l’avenir et les promesses de l’autonomie dans le secteur minier

L’exploitation minière en mode autonome revêt un grand potentiel, mais son succès dépend de la gestion efficace de la main‑d’œuvre, des infrastructures et de la complexité opérationnelle.

EY Canada

Les dépenses d’exploration en Colombie‑Britannique diminuent à mesure que les projets phares arrivent à maturité, ce qui constitue un appel à la croissance  locale

Les résultats du sondage révèlent que les investissements dans les minéraux critiques pour les batteries et le charbon sidérurgique sont en hausse en 2024.

EY Canada

Composer avec l’avenir du secteur des mines et métaux

Présentation par des leaders sectoriels d’EY d’informations clés inspirées du classement 2025 des dix principaux risques et possibilités dans le secteur des mines et métaux

    À propos de cet article

    Portätfoto de Carlos Perez Chalico
    Carlos Chalico
    Leader, Cybersécurité dans le secteur des mines et métaux des Amériques, EY
    Professionnel chevronné de la cybersécurité, de la gestion des risques informatiques et de la protection des renseignements personnels. Utilise une approche stratégique pour protéger l’entreprise et gérer les risques. Adepte de lecture, d’écriture, de vélo de route, de bénévolat, il aime jouer de la batterie.
    Sujets connexes
    Mines et métaux
    Énergie et ressources

    EY désigne l’organisation mondiale des sociétés membres d’Ernst & Young Global Limited, et peut désigner une ou plusieurs de ces sociétés membres, lesquelles sont toutes des entités juridiques distinctes. Ernst & Young Global Limited, société à responsabilité limitée par garanties du Royaume‑Uni, ne fournit aucun service aux clients.