Plateforme d’exploitation pétrolière jaune en mer

Goulot d’étranglement hier, accélérateur aujourd’hui : le rôle stratégique des contrôles d’identité numérique pour les entreprises des secteurs des produits industriels et de l’énergie

Photographic portrait
Tyler Williams

Leader, Cybersécurité – EY Canada, Produits industriels et énergie

14 minutes de lecture 18 févr. 2026

Coauteur : Vansh Narula, leader, Identité numérique, Produits industriels et énergie, EY Canada.

Bâtir un solide écosystème d’identité numérique est désormais essentiel dans les secteurs des produits industriels et de l’énergie, pour assurer la sécurité des activités, gérer les risques liés aux technologies de l’information (TI) et aux technologies opérationnelles (TO) et favoriser une transformation numérique résiliente.

En bref
  • Dans les secteurs des produits industriels et de l’énergie, l’identité numérique est devenue une pierre d’assise de la cybersécurité, et la convergence des TI et des TO rend nécessaire d’adopter une approche de gouvernance unifiée.
  • Les risques augmentent lorsque des privilèges d’accès sont donnés à des machines et à des tiers; il est donc crucial de se doter de contrôles d’identité numérique efficaces pour assurer la sécurité des activités.
  • Des capacités d’identité numérique renforcées appuient la modernisation en toute sécurité des activités, facilitent le respect des exigences de conformité et réduisent l’exposition aux risques opérationnels et réglementaires.

Dans un monde où la violation des données est une menace constante, il est possible de tirer parti des contrôles d’identité numérique pour stimuler l’innovation, renforcer la sécurité et augmenter la confiance dans les secteurs des produits industriels et de l’énergie.

Les dirigeants d’entreprise ont commencé à revoir leurs positions fondamentales à l’égard de l’identité numérique. Précédemment perçue comme une autre case à cocher en matière de conformité, cette exigence se mue en capacité stratégique. Pendant une vingtaine d’années, la gestion des identités dans les secteurs des produits industriels et de l’énergiesuivait un modèle prévisible : les contrôles étaient mis en œuvre pour satisfaire les vérificateurs, la mise à niveau suivait le rythme des changements réglementaires, et la fonction était traitée comme un autre centre de coûts relevant des services de TI.

Ce modèle est maintenant dépassé.

Dans l’article qui suit, nous examinerons les exigences actuelles à lumière du contexte réglementaire et de l’environnement de menaces, les raisons sous‑jacentes aux défis uniques des secteurs des produits industriels et de l’énergie, et les mesures prises par les principales organisations pour mettre en place des capacités d’identité qui soutiennent l’entreprise plutôt que de la limiter.

Les organisations qui gagnent du terrain ne sont pas celles qui disposent des budgets les plus importants en matière de gestion des identités et des accès (GIA). Ce sont plutôt celles qui ont résolu en premier le casse‑tête de la gouvernance des identités dans les technologies de l’information / technologies opérationnelles (TI/TO).

1

Chapitre 1

Pourquoi les secteurs des produits industriels et de l’énergie sont différents des autres

Chaque secteur prétend avoir des défis uniques en matière d’identité. Dans les secteurs des produits industriels et de l’énergie, cela est pourtant vrai, et il est important de tenir compte de ces distinctions dans l’élaboration de votre feuille de route.

La convergence des TI et des TO est une réalité

Dans la plupart des secteurs, la gestion des TI et la gestion des TO sont des domaines distincts, avec des points d’intégration occasionnels. Dans les secteurs des produits industriels et de l’énergie, cette distinction est en train de disparaître. Les systèmes de contrôle et d’acquisition de données (supervisory control and data acquisition – systèmes SCADA), qui contrôlaient les processus physiques en vase clos, alimentent maintenant en données les plateformes d’analyse infonuagiques. Les opérateurs dans les salles de contrôle ont besoin d’avoir un accès unifié, alors que les environnements n’ont jamais été conçus pour interopérer.

Les modèles des plateformes de GIA traditionnelles sont axés sur les TI : intégration d’Active Directory/d’Entra ID/d’IdP, fédération SAML, fournisseurs d’identité infonuagique. Les environnements des TO s’appuient sur des protocoles industriels dont les modèles d’authentification remontent à des décennies. L’intégration technique ne suffit pas à réunir ces deux mondes : il faut un cadre de gouvernance unifié, ce que la plupart des organisations n’ont toujours pas conçu.

Les conséquences sur la résilience opérationnelle sont importantes. Les activités de production d’énergie, d’exploitation minière et d’exploitation de pipelines reposent sur des écosystèmes complexes de systèmes et de fournisseurs tiers. Les accès non autorisés et les identifiants expirés peuvent perturber le flux et la sécurité des activités. Des infrastructures essentielles canadiennes ont déjà été ciblées : les cyberattaquants délaissent les systèmes de TI pour s’attaquer davantage aux environnements de TO. Les rapports sectoriels montrent une augmentation des cyberincidents liés aux TO dans les entreprises de services publics. La GIA permet d’endiguer les risques internes ainsi que les risques d’utilisation abusive par des sous‑traitants, mais seulement lorsque les contrôles s’appliquent à l’échelle des TI et des TO.

Des violations récentes mettent en relief les enjeux. Des cyberattaquants ont pu maintenir leur accès à des systèmes de services publics pendant des mois avant d’être détectés, ce qui a eu des répercussions sur de nombreux clients. Les analyses post‑incident ont révélé des lacunes en matière de gouvernance des identités au niveau de la séparation entre les TI et les TO, exactement là où la plupart des organisations des secteurs des produits industriels et de l’énergie sont les plus vulnérables.

Explorez nos services

L’essor des identités machines

Dans un environnement type des secteurs des produits industriels et de l’énergie, les identités machines sont désormais au moins dix fois plus nombreuses que les identités humaines. Comptes de service, clés API, certificats, identifiants des objets connectés, robots d’automatisation des processus par la robotique : chacun représente un point d’accès où la gouvernance est nécessaire. La plupart des organisations ont des processus matures pour la gestion des identités humaines. Mais beaucoup moins ont des processus aussi rigoureux pour les machines.

 

Cet écart se creuse à mesure que l’IA est adoptée à grande échelle. Un seul déploiement de maintenance prédictive peut nécessiter des dizaines de comptes de service ayant accès aux flux de données des TO. Les initiatives stratégiques (p. ex. la transformation de la main‑d’œuvre, la migration des progiciels de gestion intégrés (Enterprise Resource Planning – ERP), l’adoption d’écosystèmes multinuagiques et les programmes de prévention de la perte de données) multiplient les défis en matière d’identité. Lorsque les initiatives d’identité numérique prennent du retard, chaque nouveau projet alourdit la dette technique et élargit la surface d’exposition. La modernisation de la gouvernance des identités à la suite d’une violation est l’option la plus coûteuse.

 

Pour les principales organisations, la gouvernance des identités machines est une préoccupation de premier ordre : celles‑ci élaborent des systèmes automatisés qui peuvent donner accès ou le retirer rapidement et mettent en œuvre des programmes de surveillance pour détecter les comportements machines anormaux avant qu’une violation ne se produise. Investir dès maintenant en identité numérique permet de réaliser la transformation numérique en toute sécurité, d’éviter de payer le « coût de modernisation » et de faire des systèmes d’identité un moteur plutôt qu’un obstacle.
 

Le problème des identités dans la chaîne d’approvisionnement

Les chaînes d’approvisionnement des secteurs des produits industriels et de l’énergie sont complexes, interreliées et de plus en plus numériques. Les entrepreneurs doivent avoir accès aux systèmes de production. Les fournisseurs doivent avoir accès aux données de maintenance. Les partenaires de coentreprise ont besoin d’un accès partagé aux environnements opérationnels. Chaque relation crée des défis en matière de fédération d’identité, défis qui aggravent le risque organisationnel.

 

Les capacités modernes en matière d’identité numérique (y compris l’accès des fournisseurs « juste‑à‑temps », l’enregistrement des sessions et l’authentification sans mot de passe pour les systèmes SCADA) protègent le temps utilisable, réduisent le temps moyen d’intervention en cas d’incident et préviennent les interruptions pouvant se répercuter sur l’ensemble de la chaîne d’approvisionnement énergétique canadienne. Les organisations qui n’ont pas mis en œuvre une gouvernance rigoureuse des identités de tiers s’exposent à la fois à des risques de conformité et à des risques opérationnels, souvent simultanément.

2

Chapitre 2

Le contexte réglementaire

Les organismes de réglementation exigent désormais que l’efficacité des contrôles d’identité numérique soit démontrée en continu et en temps réel. Cela veut dire que la conformité doit être assurée continuellement pour prévenir les sanctions et les interruptions.

L’environnement réglementaire des identités numériques dans les secteurs des produits industriels et de l’énergie connaît sa plus importante transformation depuis des décennies. Les normes NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection), les directives de la Transportation Security Administration (TSA) sur les pipelines, la Loi sur la protection des cybersystèmes essentiels (LPCE) et les lois canadiennes sur la protection des renseignements personnels exigent toutes une gouvernance vérifiable de l’identité. Mais la nature des attentes réglementaires a fondamentalement changé. Les organismes de réglementation s’attendent de plus en plus à ce que la surveillance selon le principe de privilège minimal et la surveillance des sessions privilégiées puissent être démontrées en temps réel – non pas au moyen d’attestations annuelles, mais bien d’une démonstration continue du fonctionnement efficace des contrôles.

De récentes violations de données dans le secteur canadien de l’énergie accélèrent les efforts d’application des lois. Les organisations qui tardent à agir pourraient avoir des problèmes lors de la prochaine vague de mesures de lutte contre le manque de conformité. L’analyse de rentabilité des efforts pour rester à l’avant‑garde est simple : la conformité continue réduit les coûts liés aux vérifications, réduit les amendes et protège la capacité d’une organisation à exploiter ses activités sans interruption.

Projet de loi C‑8, Loi sur la protection des cybersystèmes essentiels

Le projet de loi C‑8 représente un virage fondamental dans la façon dont le Canada réglemente la cybersécurité des infrastructures essentielles. La LPCE impose des obligations en matière de cybersécurité aux exploitants désignés des secteurs des télécommunications, des finances, de l’énergie et des transports. Pour les organisations des secteurs des produits industriels et de l’énergie, ce n’est pas une préoccupation éloignée : il s’agit d’une obligation de conformité imminente, assortie d’importantes dispositions d’application.

La LPCE exige que les exploitants désignés établissent des programmes de cybersécurité comprenant des contrôles de gestion des identités et des accès. Les organisations doivent mettre en œuvre des mesures pour protéger les cybersystèmes essentiels contre les accès non autorisés, ce qui fait directement intervenir la gouvernance des identités, les mécanismes d’authentification et les politiques de contrôle des accès. La sécurité de la chaîne d’approvisionnement est explicitement visée : les organisations doivent atténuer les risques de cybersécurité liés aux produits et services de tiers en élargissant la gouvernance des identités au-delà des frontières organisationnelles.

Les exigences relatives au signalement des incidents créent de nouvelles obligations en matière d’identité. Les organisations doivent signaler les incidents de cybersécurité dans des délais prescrits, ce qui suppose une consignation intégrale des événements d’authentification, des activités d’accès et des changements d’identité. Les organisations qui n’ont pas de systèmes matures de surveillance des identités auront du mal à respecter leurs obligations en matière de signalement.

Le régime de sanctions mérite d’être souligné : les sanctions administratives pécuniaires peuvent atteindre 15 millions de dollars par organisation par jour en cas de récidive. Au‑delà des amendes, la non‑conformité peut donner lieu à des ordres de conformité, des injonctions judiciaires et des poursuites pénales.

Les normes NERC CIP

Pour les participants du secteur de l’électricité, les normes de protection des infrastructures critiques (CIP) de la North American Electric Reliability Corporation (NERC) imposent depuis longtemps des exigences de base en matière d’identité. La norme CIP‑004 traite de l’évaluation des risques liés aux membres du personnel et de la gestion des accès. La norme CIP‑005 régit les contrôles d’accès électroniques aux biens cybernétiques critiques. La norme CIP‑007 couvre les contrôles de sécurité du système, y compris l’authentification et la journalisation.

Ce qui a changé, ce sont les attentes des vérificateurs. De récentes tendances montrent que les autorités accordent une importance accrue aux processus d’autorisation des accès, à la rapidité de révocation des accès et à l’application du principe de privilège minimal. Les organisations qui ont mis en place des contrôles « juste suffisants » pour réussir les vérifications antérieures constatent que la barre a été relevée. Les vérificateurs utilisent de plus en plus les preuves d’identité comme indicateur de la résilience organisationnelle, et traitent la gouvernance mature des identités comme un baromètre de la maturité globale de la sécurité.

Les directives de sécurité de la TSA sur les pipelines

À la suite d’une attaque récente contre un pipeline, la TSA des États‑Unis a publié des directives de sécurité portant spécifiquement sur la cybersécurité des pipelines. Bien qu’elles soient axées sur les États‑Unis, ces directives ont une influence sur les exploitants canadiens qui ont des activités transfrontalières. Elles signalent l’orientation réglementaire que les organismes de réglementation canadiens pourraient suivre. Les directives exigent des mécanismes de contrôle des accès, une surveillance continue et des capacités d’intervention en cas d’incident : tous des éléments fondamentaux de la gouvernance des identités.

Les lois sur la protection des renseignements personnels

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) exige que les organisations prennent des mesures de sécurité adaptées à la sensibilité de l’information, ce qui donne lieu à des obligations en matière d’identité relatives à la limitation des accès, aux mécanismes d’authentification et aux pistes de vérification. La Loi 25 du Québec va plus loin : elle exige que les systèmes d’identité fassent l’objet d’une évaluation des facteurs relatifs à la vie privée et intègrent la protection des renseignements personnels par défaut. Les organisations qui ont des activités dans plus d’une province doivent composer avec un ensemble disparate d’exigences, qui ne feront que se complexifier.

Cadres internationaux

Aux États‑Unis, conformément à la version 2.0 du cadre de cybersécurité du National Institute of Standards and Technology (NIST), la gestion des identités est désormais un résultat de première importance au sein de la fonction Protection. La norme ISO 27001:2022 a restructuré les contrôles en y ajoutant de nouvelles exigences propres à l’identité. La loi Sarbanes‑Oxley (SOX) impose de nouvelles obligations en matière d’identité, par l’entremise d’exigences de contrôles internes applicables aux systèmes financiers. Pour les organisations qui exercent leurs activités à l’échelle internationale ou qui servent des clients ayant des exigences en matière de sécurité, l’harmonisation avec ces cadres est souvent une nécessité commerciale.

Le Cadre de confiance pancanadien (CCP) du Conseil d’identification et d’authentification numériques du Canada (CCIAN) reflète l’orientation actuelle des normes en matière d’identité. Bien qu’il soit volontaire pour l’instant, le CCP établit des critères de conformité pour la vérification des identités, l’authentification, les consentements et la gestion des justificatifs. Le CCIAN estime à 15 milliards de dollars par année la valeur de l’identité numérique de confiance pour l’économie canadienne. Pour les organisations en train d’élaborer des feuilles de route, l’alignement sur le CCP doit être perçu comme un positionnement stratégique face aux exigences émergentes.

Les tendances en matière d’application de la loi

Plusieurs tendances réglementaires sont claires. Les preuves d’identité deviennent un indicateur fondamental de la résilience organisationnelle. La réglementation commence à englober la gouvernance des identités machines. La conformité continue remplace les attestations ponctuelles. Les flux de données transfrontaliers font l’objet d’une surveillance accrue. Les organisations qui devancent ces tendances seront bien positionnées pour assurer leur conformité, et celles qui attendent devront assumer les coûts de modernisation.

Le projet de loi C‑8 prévoit des sanctions pouvant atteindre 15 millions de dollars par jour. Toutefois, le véritable risque n’est pas de recevoir une amende, mais bien les six à dix‑huit mois de contraintes opérationnelles pendant la mise à niveau.

3

Chapitre 3

La dimension du financement du risque

Des systèmes d’identité matures sont désormais cruciaux pour l’obtention d’assurances et de capitaux, ainsi que pour réduire les primes.

Au‑delà de la conformité réglementaire, la maturité des systèmes d’identité détermine de plus en plus l’accès aux marchés financiers et aux marchés de l’assurance. Les assureurs et les vérificateurs des facteurs environnementaux, sociaux et de gouvernance (ESG) ont découvert ce que les professionnels de la sécurité savent depuis longtemps : la maturité des systèmes d’identité est un indicateur fiable de cyberrésilience.

Une gestion des accès privilégiés (GAP) rigoureuse, une surveillance continue et des systèmes d’identité décentralisés et de vérification des identités réduisent le cyberrisque perçu et déterminent de plus en plus si une couverture d’assurance est carrément envisageable. Les chiffres sont frappants. Au Canada, les coûts liés aux brèches de sécurité informatique s’élèvent en moyenne à près de 7 millions de dollars par incident. Les sociétés d’assurance haussent les primes ou refusent carrément d’offrir une couverture s’il n’y a pas de contrôles d’identité démontrables.

Les investisseurs en matière de facteurs ESG s’attendent à ce que les entreprises de services publics protègent bien les données des collectivités et les données essentielles, et ils posent des questions précises sur la gouvernance des identités. Les systèmes d’identité numérique matures réduisent les primes d’assurance, évitent les exclusions coûteuses et renforcent la confiance des investisseurs en intégrant l’identité dans les rapports ESG. Pour les chefs des finances qui évaluent les investissements en sécurité, l’analyse de rentabilité n’a jamais été aussi claire.

4

Chapitre 4

L’écart de maturité

Dans le cadre de notre travail avec des organisations des secteurs des produits industriels et de l’énergie partout au Canada, nous avons observé un écart grandissant entre les organisations qui traitent l’identité comme une capacité stratégique et celles qui la gèrent comme une obligation de conformité.

Ce que les leaders font différemment

Les organisations en tête du peloton règlent les questions de gouvernance avant les questions technologiques. Elles établissent des comités directeurs, des cadres de politiques et des modèles opérationnels sur la GIA avant de prendre des décisions liées aux plateformes. Elles unifient la gouvernance des identités pour les TI et les TO – pas nécessairement sur une plateforme unique, mais selon un cadre de gouvernance unique avec une responsabilité claire quant à la délimitation entre les environnements.

Dès le départ, leur approche tient compte des identités machines, et elles traitent la gouvernance de celles‑ci comme une préoccupation de premier ordre plutôt que comme une mise à niveau de processus axés sur l’humain. Elles investissent dans l’analyse des identités pour détecter les anomalies répétées et révéler les écarts en matière de gouvernance avant que les vérificateurs ne les découvrent. Enfin, elles associent les contrôles à plusieurs cadres simultanément, en concevant des processus qui répondent aux exigences de la loi SOX, des normes NERC CIP et de la norme ISO 27001 d’un seul coup.

Pièges courants

L’erreur la plus fréquente est de sauter les étapes et de sélectionner des technologies sans établir le niveau de base. Certaines organisations sautent l’étape fondamentale consistant à déterminer quelles sont les identités existantes, quels sont les accès dont elles disposent et quelles sont les lacunes à combler, s’exposant à des refontes coûteuses lorsque la mise en œuvre révèle leurs suppositions erronées.

Une deuxième tendance consiste à traiter l’identité comme un projet de TI plutôt que comme une initiative d’entreprise. Les systèmes d’identité touchent les RH, les services juridiques, l’exploitation, l’approvisionnement et les finances. Les organisations dont les programmes d’identité sont composés uniquement de professionnels de TI sous-estiment constamment le travail que cela suppose en matière de gestion du changement.

Troisièmement, les organisations concentrent souvent leurs efforts dans les mauvaises phases en accordant une attention excessive à la mise en œuvre initiale, suivie d’un investissement insuffisant dans les phases ultérieures de l’assurance automatisée et de la gouvernance adaptative. Ce sont ces dernières phases qui séparent les organisations dotées de capacités matures de celles qui possèdent des plateformes coûteuses mais sous‑utilisées.

5

Chapitre 5

Feuille de route stratégique d’EY en matière d’identité numérique pour les entreprises des secteurs des produits industriels et de l’énergie

La voie à suivre n’est pas la même pour toutes les organisations. Votre point de départ dépend de votre situation.

Explorez nos services

Chez EY, notre équipe a élaboré un cadre stratégique destiné spécifiquement aux organisations des secteurs des produits industriels et de l’énergie, afin de leur fournir une approche structurée pour l’élaboration des capacités d’identité au fil du temps.

 

Cette feuille de route présente une vision stratégique supposant des contrôles d’identité numérique minimaux comme point de départ. Si votre organisation dispose déjà de certaines capacités, ce cadre peut vous aider à identifier les lacunes, les possibilités d’amélioration ou les domaines nécessitant une intégration plus poussée. Il est conçu pour susciter des discussions sur la portée de vos contrôles actuels et sur les aspects où il faut accroître la résilience, l’extensibilité et l’assurance.

 

Phase 0 : Mobilisation et élaboration d’une stratégie
 

Objectif : Établir une stratégie d’identité numérique globale s’alignant sur les priorités de conformité et en préparer l’exécution
 

Avant de prendre des décisions en lien avec les plateformes ou de commencer la mise en œuvre, les organisations doivent clarifier leur stratégie. Cette phase est l’établissement des éléments fondamentaux : une évaluation détaillée de l’état actuel, une vision de l’état cible alignée sur la stratégie d’affaires et des structures de gouvernance qui orientent le processus décisionnel. Les activités essentielles comprennent le recensement des identités existantes à l’échelle des TI et des TO, l’identification des exigences réglementaires applicables, la création d’un comité directeur sur la GIA et l’élaboration d’une analyse de rentabilité qui montre comment les capacités d’identité se transforment en résultat, d’une manière qui trouve écho auprès de la haute direction.

 

Phase 1 : Établissement des fondements réglementaires
 

Objectif : Assurer le respect immédiat des exigences de conformité au moyen de politiques et de contrôles manuels

Une fois la stratégie établie, cette phase consiste à mettre en œuvre les politiques, les procédures et les contrôles manuels nécessaires pour respecter les obligations de conformité immédiates. Les activités comprennent la documentation des politiques de contrôle d’accès qui respectent les exigences des normes NERC CIP, du projet de loi C‑8 et d’autres cadres; la mise en œuvre de processus manuels de revue des accès; l’établissement de procédures d’attribution et de retrait des accès; et la création de pistes de vérification. Bien que les contrôles manuels ne représentent pas l’état final, ils jettent les bases de la conformité, tandis que des capacités plus automatisées sont développées.

 

Phase 2 : Mise en œuvre des plateformes/capacités de base
 

Objectif : Déployer le fournisseur d’identité (Identity provider – IdP) centralisé, la plateforme de gouvernance et d’administration des identités (GAI), et la gestion des accès privilégiés (GAP); officialiser la gouvernance au moyen d’« usines‑modèles »

Cette phase consiste à mettre en œuvre les plateformes technologiques de base suivantes : IdP pour l’authentification centralisée, GAI pour la gestion du cycle de vie et la vérification des accès, et GAP pour la sécurisation des comptes à haut risque. Au‑delà de la technologie, c’est au cours de cette phase que sont établies les « usines‑modèles », soit des processus normalisés pour l’intégration des applications, qui créent des modèles reproductibles et établissent une gouvernance cohérente.

Cadre stratégique pour une feuille de route sur l’identité numérique

Phase 3 : Intégration des TO, surveillance et amélioration des TI

Objectif : Étendre les contrôles aux TO, élargir les usines‑modèles, intégrer la surveillance et adopter des contrôles adaptatifs

Cette phase cible la séparation critique entre les TI et les TO. Il s’agit souvent du travail le plus complexe, mais qui apporte le plus de valeur aux organisations des secteurs des produits industriels et de l’énergie. Les activités comprennent la mise en place de contrôles d’accès vérifiant les identités pour les systèmes SCADA et les systèmes de contrôle industriel, l’établissement d’une surveillance couvrant les écosystèmes de TI et TO, la mise en œuvre de systèmes d’authentification adaptatifs et l’expansion des usines-modèles aux exigences propres aux TO. Cette phase va au‑delà des exigences ponctuelles en matière de conformité et est axée sur l’assurance continue.

Phase 4 : Modernisation des activités de l’assurance et mise à l’échelle

Objectif : Automatiser les activités de l’assurance, mettre à l’échelle les processus avancés d’authentification et développer les usines jusqu’à maturité

Grâce aux capacités fondamentales et à l’intégration précédente des TO, cette phase consiste à faire progresser la maturité par l’automatisation de la surveillance en matière de conformité, par la mise en œuvre à grande échelle de systèmes d’authentification avancés (p. ex., sans mot de passe, fondés sur le risque, biométriques), par des systèmes matures d’analyse des identités et par l’optimisation des usines‑modèles. Cette phase consiste à transformer les exigences de conformité en matière d’identité, perçues comme un fardeau, en une capacité opérationnelle qui propulse l’entreprise.

Phase 5 : Préparation pour l’avenir et résilience

Objectif : Établir des capacités d’adaptation et assurer la conformité transfrontalière ainsi que la résilience des fournisseurs

La gouvernance des identités n’est pas un projet à durée déterminée. Cette phase consiste à établir un modèle opérationnel et les fondements architecturaux pour une transformation continue qui s’adapte à des exigences changeantes, aux menaces émergentes et aux besoins d’affaires évolutifs. Cette phase consiste aussi à examiner les complexités de la conformité transfrontalière et la résilience des fournisseurs, dans le but de réduire la dépendance à l’égard de fournisseurs uniques. Les organisations qui atteignent cette phase ont transformé leurs systèmes d’identité en une capacité stratégique qui favorise la transformation numérique et les positionne pour l’avenir.

6

Chapitre 6

Comment EY peut vous aider durant cette transformation

Notre approche à l’égard de l’identité numérique dans les secteurs des produits industriels et de l’énergie repose sur une seule prémisse.

La stratégie en matière d’identité doit découler de la stratégie d’affaires, et non l’inverse. Nous avons élaboré des cadres et des méthodologies visant spécifiquement les écosystèmes des secteurs des produits industriels et de l’énergie, c’est‑à‑dire des approches conçues à cette fin qui tiennent compte de la convergence des TI et des TO, de la prolifération des identités machines et des exigences réglementaires propres au secteur.

Nos équipes comprennent des professionnels qui ont travaillé dans les secteurs des produits industriels et de l’énergie, et qui comprennent les contraintes pratiques liées à la mise en place de contrôles d’identité lorsque le temps utilisable n’est pas négociable et que la sécurité est primordiale. Cette perspective opérationnelle façonne notre conception de solutions : nous ne voulons pas de solutions seulement techniquement correctes, nous voulons des solutions qui sont aussi viables sur le plan opérationnel.

Pour chaque mandat, nous apportons notre connaissance approfondie de la réglementation. Nos équipes comprennent les exigences de conformité liées au projet de loi C‑8, les attentes en matière de vérification selon les normes NERC CIP, les directives de la TSA sur les pipelines, les exigences provinciales de protection des renseignements personnels et les cadres internationaux. Nous pouvons vous aider à mettre en place des cadres de contrôle qui répondent efficacement à des exigences multiples de conformité grâce à une conception intégrée plutôt que par des flux de travail distincts.

Nous travaillons avec vous du début jusqu’à la maturité des systèmes. Si vous ne faites que commencer votre parcours, nous pouvons établir des bases, c’est‑à‑dire les évaluations, les cadres de gouvernance et les feuilles de route. Si vous êtes plus avancé, nous nous concentrerons sur des capacités avancées comme l’analyse des identités, l’intégration de l’IA et l’assurance continue. Si vous faites face à des pressions immédiates en matière de conformité, nous vous offrons un soutien ciblé tout en jetant les bases d’une maturité à plus long terme.

Résumé 

La façon d’équilibrer les investissements de conformité et le renforcement des capacités stratégiques dépend de votre profil de risque, de votre exposition aux risques réglementaires et de votre stratégie d’affaires. La façon dont vous abordez la convergence des TI et des TO dépend de votre architecture opérationnelle. La priorité accordée à la gouvernance des identités machines dépend de vos ambitions en matière d’IA.

Ce qui est clair, c’est que ces questions nécessitent une attention immédiate. La trajectoire réglementaire est fixée. L’environnement de menaces continue d’évoluer. Les organisations qui attendent des éclaircissements vont devoir se précipiter pour répondre sous pression à des échéances irréalistes.

Le Forum économique mondial a classé le Canada au 7e rang en matière de compétitivité numérique; pourtant, notre réglementation en matière de protection des renseignements personnels et des identités accuse un retard par rapport aux autres pays du G20. Cet écart sera comblé. La seule question est de savoir si votre organisation aura une longueur d’avance ou si elle devra se précipiter pour rattraper son retard.


Articles connexes

Cybersécurité : comment passer de la protection de la valeur à la création de valeur?

Selon l’étude Global Cybersecurity Leadership Insights Study de 2025 d’EY, les chefs de la sécurité de l’information représentent 36 millions de dollars américains pour chaque initiative stratégique à laquelle ils participent. En savoir plus.

EY Canada

Aperçu des cybermenaces en 2025 | EY Canada

Le rapport d’EY Canada donnant un aperçu des cybermenaces intègre une analyse exhaustive de l’environnement des cybermenaces en 2025, tout en communiquant des informations que les leaders en cybersécurité peuvent exploiter. Pour en savoir plus.

Nick Galletto

    À propos de cet article

    Photographic portrait
    Tyler Williams
    Leader, Cybersécurité – EY Canada, Produits industriels et énergie
    Pionnier de la cybersécurité. Innovateur d’entreprise. Champion de la transition énergétique.
    Sujets connexes
    Pétrole et gaz
    Énergie et services publics
    Cybersécurité
    Énergie et ressources

    EY désigne l’organisation mondiale des sociétés membres d’Ernst & Young Global Limited, et peut désigner une ou plusieurs de ces sociétés membres, lesquelles sont toutes des entités juridiques distinctes. Ernst & Young Global Limited, société à responsabilité limitée par garanties du Royaume‑Uni, ne fournit aucun service aux clients.