Considérations en matière de sécurité pour les infrastructures essentielles (ITSAP.10.100)

Les infrastructures essentielles (IE) jouent un rôle dans la prestation et le soutien des nécessités de la vie quotidienne. Elles comprennent des services couramment utilisés tels que l’eau, l’énergie et les services bancaires. Une perturbation des IE pourrait mener à une impossibilité d’offrir des services essentiels, menacer la sécurité publique ou engendrer un décès. La présente publication contient de l’information sur les manières dont peuvent être compromis les secteurs des IE de même que des mesures de sécurité à mettre en place pour atténuer les risques.

Sur cette page

Secteurs des infrastructures essentielles

On entend par infrastructures essentielles l’ensemble des processus, des systèmes, des installations, des technologies, des réseaux, des biens et des services nécessaires pour assurer la santé, la sûreté, la sécurité ou le bien-être économique des Canadiennes et Canadiens ainsi que l’efficacité du gouvernement. Il s’agit souvent d’infrastructures caractérisées par des interconnexions et des interdépendances au sein d’une province ou d’un territoire, entre eux ou au-delà des frontières du pays.

La Stratégie nationale sur les infrastructures essentielles classe les IE en dix secteurs :

  • l’énergie et les services publics;
  • les finances;
  • l’alimentation;
  • le gouvernement;
  • la santé;
  • les technologies de l’information et des communications;
  • le secteur manufacturier;
  • la sécurité;
  • les transports;
  • l’eau.

Technologies opérationnelles et systèmes de contrôle industriels pouvant être ciblés par des menaces

Les technologies opérationnelles (TO) désignent les systèmes informatiques servant à automatiser les opérations et les procédés industriels dans de nombreux secteurs. Les systèmes de contrôle industriels (SCI) représentent un sous-ensemble important des TO qui permettent aux fournisseurs d’IE d’assurer la surveillance de leurs procédés à distance et de contrôler les dispositifs physiques dans leurs infrastructures.

Les systèmes de TO qui doivent être connectés à Internet ou à d’autres réseaux et systèmes représentent des cibles attrayantes pour les auteurs de menace dont l’objectif est de perturber les TO.

Incidences des cyberattaques sur les infrastructures essentielles

Les cyberattaques ciblant les IE peuvent engendrer des conséquences graves et dévastatrices. Parmi les conséquences possibles, notons les suivantes :

  • l’interruption de services essentiels tels que l’électricité, l’eau et le gaz naturel;
  • l’interruption de l’approvisionnement en denrées alimentaires et en fournitures médicales, et l’interruption de leur production;
  • une perte de confiance du public à l’égard de l’économie, de la sécurité et de la défense nationales, ainsi que des processus démocratiques;
  • des dommages à l’environnement et des risques pour la santé publique découlant de déversements chimiques ou toxiques, ou d’émissions atmosphériques dangereuses;
  • des pertes de revenus, des atteintes à la réputation, des pertes d’emplois ou des conséquences juridiques pour les entreprises et le personnel;
  • la perturbation des opérations dans un hôpital, ou même la compromission d’appareils médicaux, ce qui pourrait entraîner des décès;
  • des dommages à des composantes des IE qui pourraient engendrer l’interruption, la destruction ou la dégradation de processus et d’opérations.

Menaces principales visant les infrastructures essentielles

Les cybermenaces visant les secteurs des IE peuvent entraîner le vol d’informations essentielles à la mission, le verrouillage de fichiers sensibles ou la fuite de renseignements exclusifs ou sensibles. Les dommages subis par les IE peuvent menacer la sécurité nationale, la sécurité publique et la stabilité économique.

Des auteurs de menace peuvent cibler des secteurs des IE à des fins financières. Certains secteurs des IE, comme le secteur de la santé et le secteur manufacturier, constituent des cibles prisées, car il n’est pas envisageable pour leurs propriétaires et leurs opérateurs de subir la perte d’informations sensibles et l’interruption de leurs services essentiels à long terme. Ces secteurs des IE disposent souvent de ressources financières importantes et sont donc en mesure de payer des rançons.

Les auteurs de menace interne peuvent cibler des IE pour des motifs personnels et commettre, à titre d’exemple, des actes de vengeance parce qu’ils sont des clientes ou clients ou d’anciennes ou anciens employés mécontents.

Il se peut également que des auteurs de cybermenace parrainés par un État s’en prennent à des secteurs des IE pour recueillir de l’information qui appuie des objectifs stratégiques plus larges, comme influencer l’opinion publique ou l’élaboration de politiques.

Les paragraphes suivants présentent des exemples de menace visant les IE.

Rançongiciels

Un rançongiciel est un type de maliciel qui empêche les utilisatrices et utilisateurs d’accéder à des systèmes ou à des données jusqu’à ce qu’une rançon soit versée. D’autres types de maliciels (comme les effaceurs et les espiogiciels) sont employés pour infiltrer ou endommager les systèmes connectés des IE.

Attaque par déni de service

Un déni de service (DoS pour Denial of Service) désigne une activité visant à rendre un service inutilisable pour des utilisatrices ou utilisateurs légitimes ou à ralentir l’exploitation et les fonctions d’un système. Un auteur de menace pourrait ainsi rendre indisponibles des parties substantielles d’un secteur des IE et causer des pannes potentiellement catastrophiques.

Menaces internes

On entend par menace interne toute personne qui connaît ou qui connaissait l’infrastructure ou l’information d’une organisation, ou qui y a ou y avait accès, et qui l’utilise, consciemment ou non, pour nuire à l’organisation. Les menaces internes peuvent avoir une incidence notable sur un secteur des IE et ses opérations.

Ces menaces peuvent causer une perte de visibilité et de contrôle temporaire ou permanente dans les TO ou les processus des IE. En cas de perte de contrôle, les opérateurs pourraient être incapables d’exécuter des commandes pour atténuer l’interférence malveillante. Il pourrait alors y avoir des dommages incontrôlables et une interruption des composantes du système, ce qui exigerait une intervention directe de l’opérateur sur les TO.

Mesures pour protéger votre secteur contre les cyberattaques

Les opérateurs réseau des IE peuvent réduire les risques de cyberattaque qui les guettent en appliquant les mesures de sécurité suivantes.

Isoler les services et les composantes des IE

Mettez en œuvre des coupe-feux, des réseaux privés virtuels (RPV) et une authentification multifacteur (AMF) pour les connexions d’accès à distance à des réseaux organisationnels. Mettez à l’essai les contrôles manuels des TO pour garantir que les fonctions essentielles demeurent opérationnelles si votre réseau devenait indisponible ou non fiable. Utilisez des postes de travail administratifs sécurisés pour séparer les tâches et les comptes de nature délicate des utilisations non administratives telles que le courrier électronique et la navigation Web. Mettez en œuvre des zones de sécurité de réseau afin de contrôler les accès et les flux de communication de données pour que seules les composantes et les utilisatrices et utilisateurs autorisés puissent y accéder. Les systèmes de TO devraient être sur un réseau isolé et ne pas être connectés à Internet.

Améliorer la posture de sécurité

Mettez en place des sauvegardes hors ligne qui font l’objet de tests fréquents pour assurer un prompt rétablissement en cas d’incident.

Adopter une approche axée sur les risques et veiller aux mises à jour

Évaluez les exigences liées à votre système par rapport à la gestion des vulnérabilités pour déterminer les mises à jour à apporter. De nombreuses mises à jour pourraient s’avérer inutiles et poser plutôt un risque pour votre environnement de TO. Certains fournisseurs produisent des correctifs d’urgence pour pallier les vulnérabilités de sécurité critiques; il est donc important de se tenir au courant des besoins pour vos systèmes.

Élaborer un plan d’intervention en cas d’incident

Il comprend les processus, les procédures et les documents liés aux mesures de détection, d’intervention et de reprise que prendra votre organisation en cas de cyberattaques. Mettez en place un plan précis pour les TO et assurez-vous que les composantes essentielles de vos systèmes peuvent fonctionner en toute sécurité en mode manuel. Mettez à l’essai le plan périodiquement et apportez-y des ajustements au besoin pour assurer la continuité des fonctions et des opérations essentielles advenant des interruptions imprévues ou des perturbations système.

Former le personnel

Formez votre personnel pour qu’il comprenne l’importance des pratiques exemplaires en matière de cybersécurité telles que la reconnaissance de l’hameçonnage, l’utilisation de phrases de passe ou de mots de passe robustes, et le signalement des incidents dès qu’ils sont détectés. Définissez clairement des procédures normales d’exploitation pour les pratiques de sécurité et l’utilisation acceptable des systèmes de commande de processus qui ont un lien direct avec la commande des systèmes et des environnements.

Surveiller les activités organisationnelles

Recueillez, analysez et conservez les données qui sont associées aux activités que mènent les utilisatrices et utilisateurs sur les systèmes d’information. Activez la journalisation pour faciliter les enquêtes sur les problèmes et les événements. Assurez la surveillance du trafic sur vos passerelles Internet et établissez la base de référence des tendances suivies par le trafic normal. Les auteurs de menace dotés de moyens sophistiqués peuvent influencer des employées ou employés ou leur forcer la main (par exemple en ayant recours à des techniques de piratage psychologique, de corruption, de chantage ou d’intimidation) pour qu’ils les aident à compromettre la sécurité. Vous pouvez vous défendre contre ces auteurs en intensifiant la surveillance des menaces internes et en envisageant d’appliquer la règle de l’intégrité assurée par deux personnes lorsque des fonctions administratives essentielles sont réalisées.

Si vous souhaitez connaître d’autres mesures de sécurité, consultez la Boîte à outils des objectifs relatifs à l’état de préparation en matière de cybersécurité intersectoriels du Centre pour la cybersécurité.