Cybersécurité
GRI 103: Approche managériale (103-1, 103-2, 103-3)
Pertinence
Le nombre croissant de cyberattaques à travers le monde et le professionnalisme avec lequel les organisations cybercriminelles opèrent mettent toutes les entreprises face à un défi, notamment celui d’élaborer, de mettre en œuvre et de vérifier en permanence leurs stratégies de sécurité. Les exploitants d’infrastructures critiques sont également tenus de mettre en œuvre une stratégie de cybersécurité qui assure une protection complète de leurs installations de production et de leurs systèmes informatiques critiques. La grande majorité des centrales électriques d’Alpiq jouent un rôle important pour assurer un approvisionnement fiable en électricité dans leurs pays respectifs. Malheureusement, les cybermenaces en constante évolution représentent un réel danger pour tous les fournisseurs d’énergie. La protection contre les cyberattaques ciblées est donc un élément important des normes de sécurité de nos centrales électriques.
Approche managériale et évaluation
Des lignes directrices sont élaborées au sein de l’entreprise pour la gestion et l’organisation de la sécurité d’entreprise. La gestion de la continuité d’activité (BCM) garantit que tous les processus opérationnels critiques peuvent être poursuivis ou restaurés en temps utile en cas d’incidents internes ou externes. La cybersécurité des centrales électriques et des systèmes informatiques critiques fait partie de cette approche de BCM.
En cas d’incidents de cybersécurité importants, Alpiq est en mesure de mettre en place des cellules d’urgence et de crise. L’entreprise prend toutes les mesures organisationnelles nécessaires pour garantir que tous les incidents susceptibles d’avoir un impact négatif sur l’environnement informatique soient traités en temps utile. Les incidents de sécurité sont traités et documentés selon des plans de déroulement et d’intervention définis avec précision. La sécurité est surveillée à plusieurs niveaux. Par exemple, lors de leur implémentation dans le Cloud, les applications professionnelles sont vérifiées en matière de conformité avec les exigences de l’architecture de sécurité. De même, l’exploitation des applications est surveillée de manière active. La gestion bien établie des points vulnérables garantit la correction rapide et durable de ces derniers. Par ailleurs, la gestion efficace des points vulnérables comprend la mise à jour constante de tous les systèmes informatiques critiques au niveau des serveurs et des utilisateurs, notamment l’utilisation de logiciels de sécurité les plus récents.
Les plans de gestion de crises contiennent un nombre minimum de scénarios. Par exemple, des lignes directrices en matière de gestion du risque sont utilisées pour les centrales hydroélectriques afin d’évaluer annuellement les risques de cybersécurité et de prendre les mesures appropriées.
Pour maintenir un haut niveau de compétence, Alpiq organise régulièrement des formations et des exercices de simulation basés sur des scénarios réalistes. Les exercices de simulation permettent à Alpiq de tester les processus en activant les équipes d'urgence et de gestion de crise ainsi que les systèmes, qui sont alors mis en situation réelle de cyberattaques, via par exemple des tests de pénétration ou des pannes de systèmes critiques. Des audits internes réguliers permettent de déterminer le degré de maturité de la sécurité.
Le degré de maturité des politiques de cybersécurité est également évalué périodiquement sur la base des normes minimales suisses dans tous les domaines de la cybersécurité.
En tant que membre du secteur énergétique suisse, Alpiq est informé par le Centre national pour la cybersécurité des dernières menaces qui sévissent dans le domaine. Alpiq met en œuvre les recommandations et participe à différents groupes de travail.