Cybersécurité du secteur énergétique : entretien avec Martin Laberge, RSSI d'Énergir

Face à l’intensification des menaces sur les infrastructures critiques, Énergir déploie une stratégie de cybersécurité intégrée, fondée sur l’anticipation, la résilience opérationnelle et la collaboration intersectorielle. Martin Laberge, directeur exécutif cybersécurité, gouvernance et risques TI et responsable de la sécurité des systèmes d'information, détaille une approche concrète et systémique pour faire face aux attaques, sécuriser la chaîne d’approvisionnement, intégrer l’IA, et gérer la convergence IT/OT dans un secteur énergétique canadien en pleine mutation.

Quels sont les défis propres à la cybersécurité dans le secteur de l’énergie ?

Depuis quelques années, le secteur de l’énergie, en tant qu’infrastructure critique, est devenu une cible privilégiée pour les groupes d’attaquants qu’ils soient criminels ou soutenus par des États.

Le contexte géopolitique a changé. Quand on veut frapper un pays, un territoire ou une population, l’énergie devient une cible évidente. Avant, l’objectif principal des attaquants était de gagner de l’argent, de verrouiller des réseaux informatiques et de demander une rançon. Aujourd’hui, on observe de plus en plus d’attaques visant à détruire ou désactiver des infrastructures, avec des conséquences sur les populations.

Depuis le début de la guerre en Ukraine, on a constaté une hausse de ce type d’attaques. C’est une réalité : si on veut faire mal à une population, la priver d’énergie pendant plusieurs jours est très efficace. On ne peut tout simplement pas se permettre une interruption de service de plusieurs jours.

Il y a eu des cas : en Floride, par exemple, une région a été privée de carburant non pas parce qu’il n’y en avait plus, mais parce que le pipeline qui l’acheminait a été mis hors service pendant trois jours. Ça a provoqué une panique. Aujourd’hui, on a des cas concrets où des cyberattaques font mal aux populations et à l’économie. Ce sont des enjeux majeurs.

Pouvez-vous donner un exemple d’incident détecté et géré efficacement ?

Je ne peux pas partager de cas précis pour des raisons de confidentialité. En revanche, je peux dire que nous faisons beaucoup de simulations et de tests chez Énergir, y compris des exercices à grande échelle. On part toujours de l’hypothèse que ça va arriver un jour.

Il faut donc être capable de réagir, et cela va bien au-delà de l’informatique. Lors d’un incident cyber, il y a des impacts sur l’ensemble des opérations de l’entreprise. Toute l’organisation doit être prête à se poser les bonnes questions.

Nous rassemblons les gens en présentiel, dans nos bureaux, et nous simulons des crises majeures. Chaque année, nous modifions le scénario. Les participants vont du personnel opérationnel jusqu’au conseil d’administration. Tout le monde est installé dans des salles séparées, pour observer comment chacun réagit.

L’objectif est de voir si l’organisation fonctionne bien, s’il nous manque des procédures ou des ressources. Quand un incident réel arrive — et cela nous est arrivé —, on doit être capable de réagir, de maintenir les opérations, de contenir les attaques pour limiter l’impact.

On doit aussi être en mesure d’informer les parties prenantes : le public, les clients, les employés. Chez Énergir, c’est ainsi que nous avons structuré notre réponse. C’est une mécanique que nous testons chaque année. Nous avons eu des cas où nous avons réussi à gérer efficacement les incidents grâce à cette approche.

Quelle est la nature de votre collaboration avec les agences gouvernementales et d’autres partenaires ?

Nous travaillons étroitement avec le Centre canadien pour la cybersécurité, qui est très présent sur les questions liées aux infrastructures critiques. Ils nous soutiennent avec des outils de surveillance et de monitoring.

Nous collaborons aussi avec les autorités policières. Si un incident survient, on peut les solliciter. Aujourd’hui, ils veulent être impliqués car cela leur permet aussi de mieux protéger les autres acteurs.

Au niveau des régulateurs, s’il se passe quelque chose, nous devons informer la Régie de l’énergie du Québec. Et si cela devait avoir un impact sur la distribution d’énergie, on pourrait devoir alerter la sécurité civile.

Nous n’avons heureusement jamais eu à aller jusque-là, mais nos processus sont prévus pour ces cas extrêmes. Si nécessaire, nous avons des procédures de communication jusqu’au bureau du Premier ministre ou à la Sécurité civile.

Cette collaboration s’est renforcée avec le temps. Les autorités ont pris conscience que le secteur de l’énergie était de plus en plus ciblé par les cybermenaces. Elles sont désormais plus impliquées, plus collaboratives, et beaucoup plus proactives.

Il y a aussi une coopération entre les opérateurs énergétiques au Canada. On a structuré des réseaux formels de partage d’informations. Dans le secteur gazier canadien, on participe à des groupes de travail sur la sécurité où l’on échange des indicateurs de compromission pour que chacun puisse prévenir et agir à l’avance.

Il y a même des projets communs, par exemple pour mutualiser certains outils de surveillance et mieux analyser ce qui se passe dans le réseau électrique canadien.

Avec mes homologues RSSI d’autres secteurs, au Québec notamment, on a aujourd’hui des réseaux d’échange formels, ce qui n’était pas le cas il y a cinq ou six ans.

Avant, on apprenait qu’une entreprise avait été attaquée dans les journaux. Aujourd’hui, les gens se rendent compte qu’il ne faut pas garder l’info pour soi. Si une entreprise est attaquée, les autres peuvent être touchées à leur tour. On est tous interconnectés, notamment par les gazoducs. Une attaque en Ontario peut impacter mon approvisionnement au Québec. On doit être informé.

Et concernant la chaîne d’approvisionnement ?

C’est un sujet que nous prenons très au sérieux. Plus on a d’intervenants, plus on a de points d’entrée. On a de plus en plus de fournisseurs, d’entreprises partenaires, qui peuvent se connecter à nos environnements. Il faut donc les gérer correctement.

On a mis en place une politique de revue complète de nos fournisseurs, surtout ceux qui ont un lien avec nos environnements. On utilise une classification selon leur criticité, avec des exigences de sécurité adaptées à chaque niveau.

Mais au-delà de ça, il faut aussi évaluer la résilience de ces fournisseurs. Un fournisseur peut sembler peu critique, mais s’il est attaqué et qu’il ne peut plus livrer un équipement essentiel, ça peut bloquer certaines opérations.

Par exemple, un fournisseur de gants de protection pour nos techniciens : s’il ne peut pas livrer, on ne peut pas envoyer les équipes sur le terrain. Donc même s’il n’est pas critique en cybersécurité, il est essentiel opérationnellement. Il faut un plan B.

C’est ce qu’on a commencé à intégrer dans nos pratiques depuis un an. Évaluer si, en cas de défaillance d’un fournisseur, nous sommes capables de poursuivre nos opérations. C’est une orientation que nous prenons et je pense que c’est aussi en train d’être compris dans l’industrie.

Quelles innovations technologiques ou stratégies voyez-vous émerger pour renforcer la cybersécurité ?

Évidemment, l’intelligence artificielle va jouer un rôle majeur. Ce n’est plus une théorie : on voit déjà son usage dans les cyberattaques, avec des deepfakes, de fausses vidéos, etc. C’est très accessible maintenant. Des vidéos très crédibles de dirigeants peuvent être fabriquées.

Il va falloir utiliser l’IA pour contrer l’IA. C’est un enjeu de court terme. Il y a des bénéfices à tirer de cette technologie pour améliorer nos capacités défensives.

L’autre grand sujet, c’est la convergence IT/OT. Historiquement, les technologies de l’information et les technologies opérationnelles étaient séparées. Aujourd’hui, ce n’est plus possible : pour des raisons géographiques ou logistiques, il faut interconnecter les environnements.

Cette convergence crée de nouvelles vulnérabilités qu’il faut apprendre à gérer. Chez Énergir, cela fait déjà plusieurs années que nous avons intégré la sécurité OT. Mais lors d’un sommet auquel j’ai assisté récemment, j’ai vu que certains en sont encore à se poser les questions de base. Il y a donc des niveaux de maturité très variables.