Polaris Infrastructure Inc. est une société canadienne cotée en bourse qui conçoit et exploite des projets d’énergie renouvelable en Amérique latine. Elle gère actuellement des centrales électriques par l’entremise de filiales au Nicaragua et au Pérou, et compte prendre de l’expansion dans la région.

Au Nicaragua, la société exploite une centrale géothermique d’une puissance installée de 77 mégawatts. Il s’agit de l’une des plus importantes centrales de production d’énergie renouvelable du pays; elle répond à une part considérable de ses besoins énergétiques. Polaris exploite également trois centrales hydroélectriques au Pérou, qui peuvent générer collectivement 32 mégawatts d’électricité. L’entreprise compte un portefeuille de projets de soutien aux premières étapes de développement qui pourraient porter ses capacités de production d’énergie au Pérou à environ 189 mégawatts.

Polaris, une multinationale qui s’appuie fortement sur les technologies, a relevé des déficiences dans sa stratégie en matière de cybersécurité. Elle avait besoin d’aide pour élaborer, dans les plus brefs délais, un programme de cybersécurité exhaustif qui lui permettrait de définir clairement les mesures à prendre pour assurer sa sécurité et sa conformité dans un environnement où les menaces évoluent constamment. Il lui fallait notamment bien comprendre ses vulnérabilités, les failles dans sa sécurité et ses lacunes sur le plan technologique, et obtenir des recommandations quant aux investissements en cybersécurité qui lui procureraient le plus de valeur.

Sachant que la cybercriminalité est une certitude dans un monde où le numérique prend de plus en plus de place, notre client cherchait à souscrire une assurance en matière de cybersécurité. Il avait toutefois besoin d’aide pour démontrer que ses mesures de protection actuelles étaient suffisantes pour lui permettre de bénéficier de la couverture souhaitée.

Toutes les entreprises, peu importe leur secteur d’activité, possèdent des actifs numériques qu’elles doivent protéger contre les cyberattaques, par exemple les plans de leurs établissements, leurs listes de clients ou leurs informations financières. Les entreprises du secteur de l’énergie doivent toutefois tenir compte de risques additionnels qui leur sont propres.

Les entreprises du secteur des ressources naturelles et des services publics utilisent des systèmes d’acquisition et de contrôle des données (SCADA) pour surveiller le rendement de leurs installations et s’assurer de leur bon fonctionnement. Elles doivent donc veiller à la sécurité de leurs technologies de l’information (« TI ») ainsi que de leurs technologies opérationnelles (« TO »).

Les entreprises du secteur de l’énergie ont reconnu l’importance d’intégrer les infrastructures de TI et de TO aux fins de résilience à long terme. Cette façon de faire ouvre toutefois la porte à un nombre accru de menaces à la sécurité. Les cyberattaques visant les entreprises du secteur des ressources naturelles sont de plus en plus fréquentes, graves et sophistiquées. Il est donc plus important que jamais de connaître ses vulnérabilités et de mettre en place des politiques et des pratiques pour les atténuer.

La cybersécurité dépend simultanément des personnes, des processus et des technologies. Des lacunes dans un seul de ces aspects peuvent avoir de graves conséquences. Sachant que la sécurité de Polaris n’était aussi robuste que le plus faible de ses maillons, BDO a élaboré un plan de cybersécurité axé sur ces trois éléments.

La première étape a consisté à évaluer de façon approfondie la situation actuelle. Nous avons ciblé avec précision les vulnérabilités de Polaris et les mesures de contrôle les plus efficaces pour atténuer ces risques. Nous avons ensuite établi une feuille de route en cybersécurité proactive et évolutive, alignée sur les objectifs stratégiques globaux de Polaris, et assurant une reprise rapide des activités en cas d’atteinte à la sécurité.

Voici ce qu’il a fallu faire pour chacun des aspects :

Personnes : Selon Dishank Rustogi, les personnes sont considérées comme étant le maillon le plus faible de la chaîne de la cybersécurité. Notre équipe a produit des documents de formation à l’intention des employés pour les aider à reconnaître différents types de cybermenaces et à y réagir correctement.

Processus : Nous avons évalué l’efficacité des politiques et procédures de cybersécurité en place, repéré les lacunes et analysé la résilience globale de l’entreprise.

Technologies : Notre équipe a passé en revue les contrôles technologiques en place susceptibles d’être exploités par des pirates.

Dans cette optique, BDO a mis au point des solutions adaptées au secteur d’activité de Polaris afin d’améliorer sa situation globale en matière de sécurité, et a préparé des analyses des coûts de mise en œuvre de chacune des propositions.

Voici un aperçu des principaux livrables et accomplissements :

• Documentation des politiques selon les pratiques exemplaires du secteur, comprenant un plan d’intervention en cas d’incident, un guide stratégique en matière de cybersécurité et une politique de gestion des correctifs.
• Documentation des processus de gestion des vulnérabilités Web et de l’administration de la sécurité.
• Norme de renforcement des serveurs et des postes de travail, définissant des exigences de base pour chacun des systèmes.
• Test d’intrusion dans des applications Web, visant à y découvrir les failles.

  Politiques en matière de mots de passe et d’authentification multifacteurs.

• Évaluations de sécurité des tiers et des fournisseurs, aidant Polaris à analyser les risques liés à sa collaboration avec des partenaires externes.

• Matériel de formation pour les employés au sujet de la sécurité liée à la mobilité et aux appareils portables.

Nous avons pu établir une feuille de route en cybersécurité proactive et évolutive, alignée sur les objectifs stratégiques globaux de Polaris, et assurant une reprise rapide des activités en cas d’atteinte à la sécurité.

Dans l’économie numérique actuelle, les cybermenaces inquiètent de plus en plus les entreprises de toutes les tailles. Des mesures de contrôle proactives et préventives peuvent en réduire l’incidence et vous aider à reprendre vos activités plus rapidement.

Polaris dispose maintenant d’un atout très précieux : une vision tactique pour sa stratégie actuelle et future en matière de cybersécurité. En orientant son approche sur les personnes, les processus et la technologie, BDO a non seulement aidé Polaris à corriger ses manquements à la sécurité, mais il lui a également fourni les connaissances, les outils et les ressources dont elle avait besoin pour la suite des choses.

Grâce aux mesures rigoureuses qui ont été mises en place, notre client peut maintenant comparer l’état de sa cybersécurité aux normes sectorielles, optimiser ses investissements dans les contrôles en cybersécurité en déterminant quelles sont ses véritables priorités, et communiquer efficacement sa stratégie de sécurité aux membres de son personnel et à ses dirigeants. Qui plus est, après avoir procédé à l’évaluation exhaustive de sa cybersécurité et mis en place les stratégies nécessaires à cet égard, Polaris est maintenant admissible à la couverture d’assurance dont elle avait besoin.

La résilience face à la cybercriminalité est un processus continu, et non un exercice ponctuel. Polaris accorde toujours sa confiance aux conseillers de BDO. Nous poursuivons ainsi notre travail d’amélioration de la feuille de route stratégique de l’entreprise relative aux TI afin de renforcer sa sécurité, de mettre à profit les nouvelles technologies et de l’aider à se rapprocher de ses objectifs en matière de facteurs environnementaux, sociaux et de gouvernance (« ESG »).

« Les facteurs ESG sont au cœur des priorités de toutes les entreprises du secteur des ressources naturelles. Nos efforts sur le plan de la cybersécurité ont aidé Polairis à progresser dans son parcours vers le développement durable. »

— Stephen Payne, associé et chef des Services au secteur de l’énergie et des ressources naturelles