Le Canadien Rob Labbe est cofondateur du Centre d'analyse et d'échange d'informations sur les mines et les métaux (Mining and Metals Information Sharing and Analysis Centre). Lorsqu'il aborde le sujet de la cybersécurité, Rob Labbe admet que "traditionnellement, la cybersécurité dans le secteur minier n'est pas considérée comme une priorité majeure". La raison en est qu'il soupçonne en partie "une attitude de 'personne n'en a après nous'. Nous n'avons rien qui intéresse qui que ce soit". C'était le sentiment qui prévalait dans les conseils d'administration" jusqu'à ce que les sociétés minières basées au Canada commencent à être piratées.
Généralement, lorsque nous pensons aux cyber-risques, nous pensons aux virus informatiques de faible qualité du début des années 2000 qui provoquent des fenêtres publicitaires et qui sont facilement résolus par l'installation d'un programme antivirus McAfee ou Norton sur notre ordinateur. Les temps ont changé au cours des 20 dernières années. Un pare-feu et un centre d'opérations de sécurité ne suffisent plus.
Les opérations minières sont de plus en plus intégrées à la technologie et à l'internet des objets : systèmes de contrôle automatisés et industriels, systèmes de sécurité des personnes, systèmes sans fil d'évitement des collisions dans les camions, systèmes de contrôle de l'environnement, etc.
M. Labbe souligne en outre que "des pirates informatiques ont augmenté à distance la température et détruit un haut fourneau dans une aciérie allemande". Cela va au-delà des pop-ads localisés sur un seul ordinateur ou des attaques de phishing (ces courriels dans lesquels on vous demande de virer de l'argent à quelqu'un et où la grammaire est généralement un peu défectueuse).
Le résumé du rapport de Telstra sur la cybersécurité, publié par le Mining Journal, souligne cette évolution, ce progrès et cette intégration de la technologie. "L'industrie minière connaît le changement le plus important depuis l'introduction de l'équipement industriel moderne. La convergence des technologies de l'information et des technologies opérationnelles grâce à l'automatisation industrielle, l'adoption d'appareils intelligents pour la gestion des opérations en temps réel et les opérations à distance, ainsi que l'adoption de services basés sur le cloud, entraînent des changements significatifs, créant une industrie axée sur les données."
Pourquoi les hacktivistes s'intéressent à vous (et pourquoi vous devez vous intéresser à eux)
Les données, qu'elles soient basées sur le cloud, stockées à distance ou même sécurisées sur site, présentent une exposition unique au risque et sont potentiellement l'élément le plus critique pour le succès d'une entreprise minière.
La phase d'exploration génère des ensembles de données volumineux que les géologues analysent pour identifier de nouveaux gisements de minerai. Les données d'exploration sont coûteuses à produire et sont essentielles à la croissance et au succès futurs de l'entreprise, ce qui en fait une cible lucrative pour les campagnes de cyberespionnage.
Imaginez que votre entreprise soit engagée dans la prospection minière. Vous avez trouvé un gisement minéral de grande valeur. Vous avez rédigé votre prospectus. Vous avez publié un communiqué de presse. Demain, vous commencerez à lever des fonds auprès de votre réseau d'investisseurs. Cet après-midi, vous avez une réunion pour obtenir un financement par actions.
Imaginez maintenant que vous receviez un courriel vous informant qu'il est impossible d'accéder aux données des trois dernières années relatives à ce projet spécifique. Des pirates informatiques ont pénétré dans vos systèmes et toutes vos données techniques font l'objet d'une demande de rançon. Dans le scénario actuel, sans accès à vos données, votre projet n'existe pratiquement plus.
"La question la plus fréquemment posée est la suivante : "Avons-nous une couverture pour ce type d'attaque ? Votre police d'assurance couvre-t-elle les rançongiciels ? Votre police d'assurance prévoit-elle une couverture suffisamment large pour la recréation des données ? Pouvez-vous vous permettre de payer la rançon ou la recréation des données si vous ne le faites pas ? Quel impact cela aura-t-il sur l'ensemble de vos activités ?
En réalité, ces risques sont réels. Le fait d'opérer à l'étranger et dans des juridictions internationales les accentue. Le magazine Mining met en lumière le cas de Nautilus Minerals dont le paiement de 10 millions de dollars à un fournisseur a été intercepté pour un projet en Papouasie-Nouvelle-Guinée.
3 principes clés pour la cybersécurité dans l'industrie minière Stratégie
Le fait qu'Ernst & Young partage les risques les plus importants pour l'industrie minière met en évidence le lien entre les systèmes numériques et la cybersécurité. La cybersécurité et le paysage numérique ne se limitent pas à la protection. "Une stratégie de cybersécurité innovante est essentielle. L'accent doit être mis sur la manière dont la cybersécurité soutiendra et permettra la croissance de l'entreprise. L'objectif doit être d'intégrer la sécurité dans les processus d'entreprise et de créer un environnement de travail plus sûr pour tous.
Toute transformation de la cybersécurité doit promouvoir trois principes clés en matière de culture, de gouvernance et de capacités :
- Attendre l'excellence dans les fondamentaux de la sécurité
- Mettre en place un programme de gouvernance solide et une culture de la responsabilité
- S'engager dans une démarche d'amélioration continue
L'un des éléments clés de l'engagement en faveur de l'amélioration continue est la souscription d'une police d'assurance cybernétique complète. En réalité, la plupart des sociétés d'exploration et d'exploitation minières n'ont pas de cyber-assurance. Certaines continuent de penser, comme Rob Labbe, que "personne ne nous poursuit" ou que "nous n'avons rien qui intéresse qui que ce soit". Cette approche s'est avérée coûteuse.
En outre, la couverture de l'assurance cybernétique est généralement peu coûteuse et le rapport coût-bénéfice est extrêmement positif. Pour que vos besoins en cyber-assurance soient correctement et professionnellement évalués, obtenez gratuitement notre Guide de l'assurance pour l'exploitation minière et la prospection minière :
