L’étude « Energy Cyber Priority 2023 : Closing the gap between awareness and action », de DNV, révèle que l'industrie de l'énergie augmente ses dépenses de cybersécurité cette année.
La cybersécurité est désormais régulièrement inscrite à l'ordre du jour des conseils d'administration, et la plupart (77 %) indiquent qu'elle est traitée comme un risque commercial au sein de leur organisation.
Ils estiment à une écrasante majorité (89 %) que la cybersécurité est un prérequis pour les initiatives de transformation numérique essentielles à l'avenir du secteur.
Ces investissements sont motivés par les tensions géopolitiques accrues et l'adoption accélérée d'infrastructures connectées. Résultat, une majorité (59 %) des 600 professionnels de l'énergie déclarent que leur organisation investira davantage dans la cybersécurité en 2023 par rapport à l'année dernière.
Une infrastructure vulnérable
Ils reconnaissent ainsi que les cyberattaques sur l'industrie sont une question de « quand » et non de « si ». Les deux tiers pensent que l'infrastructure de leur organisation est aujourd'hui plus vulnérable que jamais aux cybermenaces, et déclarent que leur attention sur la cybersécurité s'est intensifiée en raison des tensions géopolitiques.Mais les professionnels du secteur avertissent que les budgets sont encore trop faibles pour protéger les systèmes essentiels à la sécurité. Seul un professionnel sur trois est convaincu que des investissements suffisants sont consacrés à la sécurité des technologies opérationnelles.
Malgré une sensibilisation, une maturité et des investissements accrus en matière de cybersécurité, moins de la moitié (42 %) des professionnels de l'énergie estiment que leur organisation investit suffisamment.
Seul un professionnel sur trois (36 %) est convaincu que son entreprise a suffisamment investi dans la sécurisation de sa technologie opérationnelle (OT) - les systèmes qui gèrent, surveillent, automatisent et contrôlent les opérations industrielles.
Le poids de la réglementation
Les professionnels de l'énergie désignent la réglementation comme le facteur le plus susceptible de débloquer des budgets plus importants dans leurs organisations, comme le citent 49 % des professionnels de l'énergie en tant que troisième facteur le plus important.Le secteur doit se préparer à se conformer à une série de nouvelles exigences plus strictes en matière de cybersécurité dans les années à venir, car les autorités encouragent les entreprises du secteur de l'énergie à accroître leur résilience face aux nouvelles menaces.
Dans l'UE, par exemple, les organisations fournissant des services essentiels, dont beaucoup dans le secteur de l'énergie, sont confrontées à une réglementation plus stricte sous la forme de la directive révisée sur la sécurité des réseaux et des systèmes d'information (NIS2), qui doit être transposée dans les législations nationales en 2024.
Aux États-Unis, le ministère de l'énergie poursuit ses travaux sur la stratégie nationale d'ingénierie cybernétique, un plan bipartisan visant à renforcer les normes.
En revanche, le deuxième catalyseur le plus probable d'une augmentation des dépenses est un cyberincident (ou un incident évité de justesse), cité par 38 % d'entre eux.
Comme dans d’autres secteurs, la pénurie de compétences en matière de cybersécurité et les obstacles à la collaboration apparaissent comme les principaux défis à relever pour améliorer la résilience cybernétique.
