Secteur des mines et métaux – Pour rester à l’avant garde dans la lutte contre les cybermenaces

Il n’y a pas de temps à perdre : les entreprises du secteur des mines et métaux doivent procéder à des recherches exploratoires approfondies leur permettant de rester à l’avant‑garde dans la lutte contre les cybermenaces

Ey reframe your future digital city
EY Canada

Organisation de services professionnels multidisciplinaires

8 minutes de lecture 08 oct. 2024

Auteur : Juan Valbuena, leader, Cybersécurité dans le secteur des mines et métaux des Amériques, EY

Tandis que la transition énergétique suit son cours, ces entreprises se modernisent afin de garder une longueur d’avance sur les changements. Mais le recours grandissant aux technologies amènera‑t‑il les cybercriminels à chercher à tirer profit des progrès réalisés?

En bref

  • Le secteur des mines et métaux s’est engagé dans une transformation qui l’amènera à prendre sa juste place en tant qu’important contributeur à l’économie écologique de l’avenir.
  • La convergence, l’intégration et la cyberplanification proactive des TI et des technologies opérationnelles seront essentielles pour réduire au minimum les interruptions, les préoccupations en matière de cybersécurité et les risques d’atteinte à la réputation, ainsi que pour protéger les données et la propriété intellectuelle, tout en réduisant les pertes financières.
  • Dans un contexte où les cybercriminels s’efforcent de monétiser les données et d’influer sur la dynamique d’affaires, sur une toile de fond géopolitique aux perspectives sombres, la collaboration est appelée à jouer un rôle clé pour les entreprises qui souhaitent arrêter des plans et des protocoles de cybersécurité, tout en renforçant la résilience dont elles ont besoin pour réagir rapidement aux cybermenaces croissantes et les contourner.

Tandis qu’elles aspirent à tirer leur épingle du jeu et à participer à l’essor de l’économie écologique, les entreprises du secteur des mines et métaux font face actuellement à un grand dilemme. Il n’y a pas de doute quant à ce qui les incite à s’engager sur la voie du changement : pour prendre leur juste place dans le monde de demain, elles doivent se mettre à jour, se moderniser et évoluer.

Toutefois, malgré les avantages qui s’y rattachent, la détermination de la façon de procéder et la transition vers un environnement reposant sur l’automatisation, l’intelligence artificielle (IA), l’Internet des objets (IdO) et les technologies infonuagiques ne représentent pas les plus grands défis auxquels font face de nombreuses entreprises du secteur.

Pour les entreprises minières tournées vers l’avenir, l’acceptabilité sociale passe nécessairement par la conversion aux nouvelles technologies. Cependant, bien qu’elles permettent aux entreprises de réaliser des gains d’efficacité et de bénéficier de certains avantages en termes de cybersécurité – tout en leur faisant entrevoir des possibilités de réduction de coûts et d’amélioration de la rentabilité, ainsi qu’en favorisant la diminution de leur empreinte carbone et le renforcement de leur durabilité et de leur compétitivité à long terme –, les technologies peuvent aussi les exposer à des cyberrisques susceptibles d’entraîner la paralysie de leurs activités.

La cybersécurité doit être hissée au rang des principales priorités. En termes relatifs, bien que les entreprises du secteur aient tardé à s’engager sur la voie vers la transition, elles réalisent des progrès constants dans l’adoption et l’implantation de technologies opérationnelles. Vu leur complexité, leur ampleur et leur envergure, les changements à mettre en œuvre s’avèrent coûteux et peuvent souvent porter au découragement. En raison des lacunes en matière de culture et de compétences organisationnelles, les équipes ont du mal à s’habituer aux nouvelles façons de faire, ce qui occasionne des frictions internes, tandis que les exigences des autorités de réglementation et des parties prenantes ajoutent aux pressions auxquelles elles sont soumises.

Comment EY peut vous aider

Cependant, à mesure que les entreprises du secteur s’automatisent, se convertissent à l’infonuagique et augmentent leur dépendance à l’égard de données opérationnelles, elles prêtent de plus en plus le flanc aux cyberattaques. C’est ainsi que celles dont les programmes de cybersécurité sont inadéquats ou immatures s’exposent aux risques et deviennent vulnérables.

 

Cette situation n’échappe pas aux auteurs de cybermenaces. Le nombre de cyberincidents dans le secteur minier est en hausse. Au Canada, le Mining and Metals Information Sharing Analysis Centre (MM‑ISAC) a ainsi recensé 11 incidents de cybersécurité en 2023, soit deux fois plus qu’au cours de l’année précédente1.

 

Par ailleurs, à l’aube de la quatrième révolution industrielle, tandis que 25 % des cyberattaques perpétrées en 2023 ont visé des entreprises de fabrication, on peut s’attendre à ce que les entreprises du secteur des mines et métaux figurent en tête de liste des cibles des cybercriminels, s’agissant d’un secteur réputé être particulièrement susceptible de faire l’objet de cyberattaques au cours de cette année2.

 

Qu’il s’agisse du virus Stuxnet qui aurait entraîné la destruction des technologies sur lesquelles reposait la production d’uranium en Iran il y a plus de vingt ans ou de l’attaque au rançongiciel perpétrée l’année dernière qui s’est soldée par la mise à l’arrêt des activités d’une entreprise canadienne et d’une entreprise allemande exploitant des gisements de cuivre, il y a des exemples aux quatre coins du monde.

 

En outre, même s’il sera plus facile d’assurer la protection des entreprises dont la surface d’attaque est moins étendue, aucune entreprise du secteur des mines et métaux ne sera à l’abri, tandis qu’elles sont de plus en plus nombreuses à recourir aux technologies et à dépendre de partenaires vulnérables dans l’exploitation de leurs chaînes d’approvisionnement sensibles à l’évolution de la conjoncture géopolitique.

 

Que doivent donc faire les entreprises du secteur des mines et métaux pour poursuivre sur leur lancée, tout en atténuant leurs risques à court et à long terme?

L’urgence d’agir

Pour se doter d’un environnement technologique plus sophistiqué, les entreprises en évolution doivent mieux cerner leurs risques, tout en évaluant leur appétit pour le risque et en dressant des plans en conséquence. De saines pratiques de gouvernance et un solide cadre de gestion des risques peuvent faciliter la cartographie de l’environnement télémétrique d’une entreprise, de même que la mise en place des bons processus et la préparation des équipes sur le terrain, aux fins de l’application de protocoles permettant de répondre adéquatement et agilement aux incidents urgents.

En revanche, une méconnaissance interne des véritables répercussions de grande ampleur découlant des cybermenaces constitue souvent un obstacle majeur qui empêche de passer à l’action. Par exemple, comme la direction est consciente qu’une atteinte à la cybersécurité peut entraîner la mise à l’arrêt des activités de production, elle peut appliquer les mesures d’urgence essentielles permettant d’y faire face. Mais qu’adviendrait‑il si une cyberattaque se traduisait par une manipulation de relevés entravant la capacité des systèmes de contrôle de détecter les atteintes à la cybersécurité? Ou, plus grave encore, que se passerait‑il si le piratage des contrôles sanitaires et des contrôles de sécurité d’une entreprise mettait à risque non seulement ses activités de production, mais également des vies humaines?

L’acquisition d’une position de force en matière de cybersécurité permettant d’anticiper adéquatement de tels problèmes et d’y réagir efficacement requiert l’établissement de connexions internes et externes, de même que l’harmonisation des synergies, des priorités et des activités de surveillance, suivant l’application d’une approche organisationnelle descendante. Selon le rapport d’EY sur les dix principaux risques et possibilités en 2024 dans le secteur des mines et métaux, outre les dangers physiques et les dangers pour les employés, les risques d’atteinte aux infrastructures, à la propriété intellectuelle, à la situation financière et à la réputation des entreprises du secteur, ainsi que les risques pour leurs chaînes d’approvisionnement, figurent en tête de liste des préoccupations en matière de cybersécurité avec lesquelles sont aux prises les dirigeants de ces entreprises. Cela prouve que la cybersécurité ne constitue plus simplement un enjeu technologique. Pour atténuer les risques dans un contexte où les disruptions se poursuivent, les membres de la haute direction des entreprises – à savoir les chefs de la direction, les chefs de l’exploitation, les chefs des finances, les chefs de l’information et les chefs de la sécurité de l’information –, ainsi que les fonctions gestion des risques et exploitation doivent agir de concert.

Pour que toutes les parties prenantes puissent avoir voix au chapitre, les équipes de cybersécurité doivent collaborer et travailler avec les membres du personnel des entreprises du secteur des mines et métaux dans la sélection des applications de services essentiels. Des communications ouvertes reposant sur la visibilité et la transparence complètes des activités de gestion des risques et de leurs répercussions globales sur le plan de la production, de la sécurité, de la marque et de la réputation peuvent aussi favoriser le développement de la culture de la cybersécurité, le renforcement de la résilience et l’amélioration des préparatifs en vue d’éventuelles interventions, de sorte que l’incidence du « facteur humain » soit réduite à l’échelle organisationnelle.

Préparation du terrain

Malgré les difficultés qui s’y rattachent, il est essentiel d’amener les équipes de direction, les équipes TI et les équipes opérationnelles à participer à la définition du profil de risque de leur entreprise, ainsi qu’à établir son plan de cybersécurité global. Les équipes d’EY accompagnent les entreprises, de façon à faciliter les interactions, en procédant à l’évaluation de leurs capacités et de leurs risques, en définissant et en mettant en œuvre leur stratégie d’atténuation des cyberrisques, voire en procédant à des simulations de cyberattaques inspirées d’incidents réels qui sont orientées vers les parties touchées et permettent de mieux cerner les lacunes présentant des dangers.

Les membres de nos équipes mondiales mettent leurs compétences au service des clients, en assurant une continuité essentielle même dans la mise en œuvre de leurs plans d’intervention en matière de cybersécurité les plus complexes et en anticipant de façon proactive les défis à relever, qu’il s’agisse d’évaluer leur cadre de gouvernance et leur environnement en place, de mettre sur pied des équipes d’intervention, de faciliter les interactions ou d’examiner les politiques.

Grâce à notre réseau mondial au service des entreprises du secteur des mines et métaux des quatre coins du monde, nous pouvons facilement interagir avec différents sites, peu importe où se déroulent leurs activités. Les centres d’excellence en capacités numériques wavespaceMC d’EY permettent de générer des possibilités de collaboration entre diverses salles de réunion virtuelles, en faisant abstraction des frontières physiques, de sorte que chacun puisse se faire entendre et faire valoir son propre point de vue.

L’exploitation de fonctionnalités contextuelles et mobiles nous donne la possibilité de nous installer dans les sites ou les bureaux des entreprises du secteur des mines et métaux, en intégrant les équipes présentes sur place, de façon à permettre la livraison de solutions sur mesure sécuritaires et plus rapides. En outre, grâce à notre réseau mondial d’environnements wavespace, les équipes d’EY peuvent fournir du soutien aux équipes des clients dans l’exploration et la mise à l’essai d’idées en temps réel, la présentation de démonstrations, et la mise sur pied de laboratoires d’incubation de données et d’ateliers, en leur donnant accès à des compétences particulières et à des solutions technologiques exclusives.

Les activités d’apprentissage de haut niveau offertes dans le cadre de nos laboratoires, ainsi que celles que dispense le centre d’excellence d’EY des Amériques pour le secteur des mines et métaux, permettent aux entreprises du secteur d’obtenir des conseils et de se familiariser avec des approches novatrices reposant sur des scénarios prenant en compte les risques auxquels beaucoup d’entre elles font face actuellement ou sont susceptibles d’être exposées dans l’avenir. Nos équipes multidisciplinaires mettent à leur disposition des capacités opérationnelles spécialisées et des connaissances poussées en matière de technologies novatrices qui facilitent l’interprétation et la mise en œuvre de plans d’intervention axés sur l’optimisation des diagnostics reposant sur des données, la réalisation des objectifs de santé et de sécurité au travail, ainsi que la protection de leur transformation numérique.

En s’appuyant avant tout sur la mise en œuvre de saines pratiques de gestion des risques, notre groupe Cybersécurité applique une approche globale axée sur l’évaluation des solutions technologiques opérationnelles et des risques liés aux actifs essentiels, y compris les risques de perturbation des chaînes d’approvisionnement, afin d’intégrer une excellente visibilité à l’échelle organisationnelle. En articulant chacune de ces dimensions en fonction du degré d’appétit pour le risque d’une entreprise, de ses contrôles et de son environnement de gouvernance, nous pouvons aider celle‑ci à se doter d’un cadre personnalisé grâce auquel elle pourra procéder au recensement continu de ses lacunes, réduire ses vulnérabilités et accroître sa cyberrésilience, en évoluant dans une culture organisationnelle bien établie qui est sensible au risque.

Peu importe le stade où en est votre entreprise dans son parcours de mise en œuvre de la cybersécurité, qu’elle amorce tout juste la transformation numérique de ses activités ou même qu’elle ait déjà été infiltrée par des auteurs de cybermenaces, nous pouvons l’aider à se préparer à intervenir, ainsi qu’à faire face à une cyberattaque et à atténuer ses pertes potentielles.

Communiquez avec un membre de notre équipe pour commencer à échanger avec nous. Nous serons ravis de vous faire part de nos expériences, de vous aider à prendre des décisions éclairées, à planifier une visite de notre laboratoire ou à exécuter une simulation axée sur la détection des vulnérabilités de votre entreprise, de vous conseiller dans l’établissement de vos stratégies de cybersécurité, et de contribuer à la définition détaillée de vos procédures et stratégies, de même qu’à l’établissement de l’ordre de priorité de vos projets.


Résumé

Aucun secteur d’activité n’a échappé à la révolution numérique. À mesure que le rythme de succession des changements ira en s’accélérant et que les technologies de soutien à l’exploitation et à la cybersécurité évolueront, la gestion des cybermenaces ne relèvera pas simplement du chef de la sécurité de l’information ou du chef de l’information, elle constituera un problème opérationnel dont le règlement reposera sur l’ensemble des équipes organisationnelles. Tandis qu’une éventuelle réglementation en matière de cybersécurité se profile à l’horizon, les entreprises dont la fonction cybersécurité est intégrée au plan de gestion de crise seront en mesure de surmonter les prochaines cybermenaces, en se montrant proactives et en ayant l’assurance que leurs infrastructures, leurs investissements technologiques et leurs employés sont protégés et qu’elles disposent, à l’échelle organisationnelle, des protocoles dont elles ont besoin pour intervenir rapidement, en toute sécurité, ainsi que pour atténuer les risques que surviennent des cyberattaques et des interruptions d’activités pouvant s’avérer coûteuses.

Article connexe

Femmes leaders dans le secteur minier – Épisode 7 – Effie Simanikas

Regardez Effie Simanikas, dirigeant et administratrice de société minière en Amérique de Nord et lauréate du prix Top 100 des Canadiennes les plus influentes

    Americas Metals & Mining Forum 2024

    Visionnez une webémission sur demande dans le cadre de laquelle d’éminents leaders du secteur discutent et échangent leurs points de vue sur divers sujets, dont les suivants :

    • Minéraux critiques : composer avec les défis et possibilités associés aux chaînes d’approvisionnement de bout en bout
    • Culture organisationnelle et main‑d’œuvre : faire figure de leader de la promotion d’une culture organisationnelle plus inclusive et multigénérationnelle
    • Tendances et innovations opérationnelles : redéfinir les activités en fonction de nouveaux niveaux de productivité
    • Métaux et minéraux responsables : adhérer à l’intendance responsable des ressources
    Rediffusion sur demande
    Homme travaillant avec des données en temps réel

    À propos de cet article

    Ey reframe your future digital city
    EY Canada
    Organisation de services professionnels multidisciplinaires
    Sujets connexes
    Mines et métaux
    Énergie et ressources

    EY désigne l’organisation mondiale des sociétés membres d’Ernst & Young Global Limited, et peut désigner une ou plusieurs de ces sociétés membres, lesquelles sont toutes des entités juridiques distinctes. Ernst & Young Global Limited, société à responsabilité limitée par garanties du Royaume‑Uni, ne fournit aucun service aux clients.