L’évolution du monde numérique a permis l’essor des technologies de l’information et de la communication (TIC). Les entreprises industrielles sont de plus en plus nombreuses à automatiser et interconnecter leurs systèmes de contrôle. La numérisation optimise la productivité et simplifie l’exécution des tâches quotidiennes, mais fragilise aussi la fiabilité et la sécurité des systèmes industriels. L’objectif de la norme minimale TIC pour le secteur du gaz est d’améliorer la cybersécurité des infrastructures gazières afin de garantir l’approvisionnement de la Suisse en gaz.
La norme minimale TIC pour l’approvisionnement gaz élaborée en collaboration entre l’OFAE et la SSIGE (Société Suisse de l’Industrie du Gaz et des Eaux), constitue un cadre permettant aux organisations travaillant dans le secteur du gaz de non seulement se prémunir contre d’éventuelles attaques ou erreurs de manipulation, mais aussi de restaurer leurs systèmes le plus rapidement possible en cas d’incident. Ce cadre permet à l’entreprise d’évaluer elle-même le risque encouru et de mettre en œuvre les mesures appropriées.
La norme minimale TIC repose sur des bases concrètes et éprouvées comme le NIST Framework Core et l’analyse des risques et de la vulnérabilité de l’approvisionnement en gaz, menée par l’OFAE. Cette norme permet de garantir une méthode uniforme débouchant sur des résultats comparables dans une branche et d’optimiser le niveau de sécurité des systèmes TIC requis pour l’approvisionnement en gaz.
La présente norme minimale TIC est divisée en sept chapitres. Le premier constitue une introduction à la norme minimale et au secteur du gaz en tant qu’infrastructure critique pour l’approvisionnement du pays. Le deuxième se concentre sur le secteur gazier en développant sa structure, ses processus TIC ainsi que l’évaluation de ses activités critiques permettant ainsi de prioriser certaines mesures du programme de cybersécurité afin que les organisations gazières puissent cibler et sécuriser les éléments indispensables au bon fonctionnement de leurs installations.
Le chapitre trois se concentre sur les besoins et les contraintes particuliers d’un ICS. Les chapitres quatre et cinq détaillent les différentes parties du programme de cybersécurité de la norme minimale TIC comprenant la gestion des risques, la stratégie de defense-in-depth et les mesures de cybersécurité du NIST Framework Core. Finalement, les chapitres six et sept clôturent ce rapport en contenant, respectivement, la conclusion et les annexes.