Étude de cas : Iconic Power Systems

Aperçu

Exposée à une hausse du nombre de cyberrisques, l’entreprise du secteur de la construction devait combler plusieurs lacunes contractuelles révélées par un client et se heurtait à des exigences réglementaires de plus en plus strictes entourant la protection des infrastructures essentielles.

MNP a donc examiné les écarts de conformité de l’entreprise à l’égard de la protection des infrastructures essentielles et l’a aidée à mettre en œuvre un solide programme de gouvernance et de gestion pour répondre aux attentes des parties prenantes, voire les dépasser.

Services

Cybersécurité et protection des données • Énergie et services publics

 Le défi

Les services publics tels que les installations de production et de transport d’électricité sont des cibles de plus en plus prisées des cybercriminels, des terroristes et des assaillants parrainés par des États. Face à ce risque d’attaques virtuelles pouvant infliger d’importants dommages dans le monde réel, les entreprises comme Iconic Power Systems (Iconic) doivent prévoir des mesures pour répondre aux exigences strictes visant la protection des infrastructures essentielles.

Iconic a contacté MNP pour l’aider à concevoir et à mettre en œuvre des processus et des contrôles pratiques nécessaires à la sécurité de ses travaux de construction dans le secteur des services publics. Les changements apportés à ses politiques, procédures et processus lui ont permis de remplir ses obligations contractuelles avec ses clients et de répondre aux exigences réglementaires de l’Alberta Electric System Operator (AESO).

 L’approche

Évaluation de base et analyse des lacunes

Nous avons tout d’abord examiné les processus en place par Iconic et les conclusions d’une évaluation effectuée par l’un de ses clients afin de comprendre où se trouve l’information essentielle dans son environnement de sécurité des données ainsi que les risques inhérents liés à la protection des infrastructures essentielles. Nous avons ensuite utilisé ces données pour effectuer une analyse des écarts, ce qui nous a permis d’identifier les changements à apporter pour atteindre notre objectif.

Gouvernance des données et de la sécurité

Par la suite, MNP a mis à jour les politiques, processus et procédures d’Iconic et a conçu des formulaires pour la gestion des renseignements de ses systèmes afin de les harmoniser aux exigences de protection des infrastructures essentielles, à ses obligations contractuelles et aux recommandations du client. Nous avons aussi développé des composantes du programme de gestion de la conformité, dont les suivantes :

• Examens et évaluation de la gestion de la sécurité physique et électronique;
• Rapports, enquêtes et notifications sur la gestion des incidents liés à la sécurité;
• Examens et évaluation des renseignements confidentiels du client et des données sur la sécurité des bâtiments en fonction du contrat d’affiliation et des politiques d’Iconic;
• Contrôles, examens et évaluations de la gestion des tiers/sociétés affiliées.

Enfin, nous avons émis des recommandations au fournisseur de services TI d’Iconic afin qu’il puisse répondre à ses besoins en gestion des incidents et en rétablissement.

La société a aussi demandé à MNP de l’aider à concevoir et à mettre en œuvre des processus et des contrôles pratiques pour assurer la sécurité de ses travaux de construction dans le secteur des services publics. Les changements qui y ont été apportés lui ont permis de remplir ses obligations contractuelles auprès de ses clients et de répondre aux exigences réglementaires de l’Alberta Electric System Operator (AESO).

 Le résultat

Grâce à l’aide et aux recommandations de MNP, Iconic est allé au-delà des exigences de son client et de l’AESO et elle se positionne désormais dans son secteur d’activité comme un chef de file de la protection des infrastructures essentielles.

« Nous avons été proactifs et avons fait appel à la bonne équipe pour faire le travail pour nous », a déclaré Jay Bruchet, président d’Iconic Power Systems.