Ces dernières années, le paysage des menaces de cybersécurité pesant sur les technologies opérationnelles (OT) a considérablement évolué, mettant en évidence les risques financiers potentiels auxquels les entreprises pourraient être confrontées. Une étude récente a quantifié ces risques et estimé que l'exposition financière mondiale due aux cyberincidents liés aux OT pourrait dépasser 14329 milliards de livres sterling par an dans des circonstances extrêmes. Cette étude, basée sur un ensemble complet de données relatives aux sinistres et aux incidents survenus sur une décennie, fournit des informations précieuses sur le paysage des menaces économiques qui pèsent sur les systèmes OT.
L'étude modélise trois principaux scénarios financiers basés sur l'historique des sinistres liés aux interruptions d'activité (IA) résultant d'incidents liés aux OT. Pour une année considérée comme typique, le risque financier est estimé à environ 12,7 milliards de livres sterling (1 TP4T). Ce montant atteint 31,1 milliards de livres sterling (1 TP4T) si l'on considère chaque incident lié aux OT, indépendamment du dépôt d'une demande d'IA. Dans les cas les plus graves, décrits comme des événements rares et à fort impact, avec une probabilité de 0,41 TP3T par an, les pertes liées aux IA pourraient atteindre 172,4 milliards de livres sterling (1 TP4T). En incluant les coûts directs et indirects, ces scénarios catastrophes pourraient voir les risques grimper à 329,5 milliards de livres sterling (1 TP4T).
Un élément essentiel à prendre en compte dans ces calculs de risques est l'impact des coûts indirects, qui jouent un rôle significatif. L'étude indique qu'environ 70% de violations liées aux technologies opérationnelles (OT) entraînent des conséquences indirectes, telles que des interruptions d'exploitation ou des perturbations des systèmes interconnectés. Ces effets ont tendance à s'accumuler au fil du temps, éclipsant parfois les dépenses de remédiation directe, en particulier pour les grandes entreprises où la complexité opérationnelle et les interdépendances sont plus importantes.
Parmi les différents secteurs d'activité, le secteur manufacturier se distingue par sa vulnérabilité, avec une probabilité générale de 0,71% de subir un incident OT chaque année. Des secteurs comme la chimie et l'industrie pharmaceutique présentent des risques encore plus élevés. Les services publics, le pétrole et le gaz, la construction et les systèmes d'automatisation des bâtiments sont également fortement exposés. Géographiquement, la prévalence des incidents OT est plus marquée en Amérique du Nord et en Europe, bien que la sous-déclaration soit préoccupante dans les régions où les cadres réglementaires ou de surveillance sont moins bien établis. Les grandes organisations sont particulièrement vulnérables, une situation attribuée à leur visibilité accrue et à la complexité de leurs environnements OT.
Face à ces chiffres alarmants, l'étude suggère que la mise en œuvre de contrôles de cybersécurité OT spécifiques peut atténuer considérablement la probabilité et l'impact des pertes financières. S'appuyant sur des stratégies basées sur les 5 contrôles critiques du SANS ICS, elle identifie des mesures concrètes. Par exemple, l'élaboration de plans de réponse aux incidents robustes est considérée comme une étape cruciale, permettant de réduire l'exposition financière de 18,46%. Des protections supplémentaires, telles que des architectures réseau défendables et une visibilité et une surveillance complètes du réseau, pourraient entraîner des réductions des risques de 17,09% et 16,47%, respectivement. D'autres contrôles essentiels concernent la gestion des vulnérabilités et l'accès distant sécurisé, permettant des réductions de 13,87% et 12,18%.
Bien que ces contrôles ne soient pas de simples mesures additives et que leurs effets combinés soient difficiles à quantifier précisément, les données fournissent un cadre d'orientation aux responsables de la sécurité informatique. Investir dans des stratégies de cybersécurité sur mesure est particulièrement pertinent lorsque les budgets sont limités.
Le message principal de l'étude est que le cyberrisque lié aux OT est à la fois quantifiable et gérable. Pour les responsables de la sécurité des systèmes d'information (RSSI), cela implique une approche à double objectif : prioriser la planification des interventions en cas d'incident spécifique aux OT et garantir une visibilité continue sur les environnements OT. Cela nécessite une intégration avec les équipes d'ingénierie et d'exploitation afin de simuler des scénarios de menace réalistes et de se préparer aux failles potentielles. Sans surveillance continue, les organisations peuvent avoir du mal à détecter les signes avant-coureurs, à recueillir les données forensiques nécessaires ou à mettre en place une réponse efficace en cas d'incident.
L'impact financier potentiel sur les industries souligne l'importance d'utiliser des données d'assurance indépendantes pour valider et soutenir les investissements en sécurité OT. En exploitant ces données, les experts en cybersécurité peuvent convaincre les dirigeants de s'engager et garantir que les ressources nécessaires sont allouées à la protection de leur infrastructure opérationnelle.
