Les systèmes municipaux d’eau potable et de traitement des eaux usées jouent un rôle essentiel dans la sécurité publique.
Lorsqu’un incident survient, les conséquences sont bien réelles : interruptions de service, impacts environnementaux et perte de confiance du public.
Une municipalité de l’Ouest canadien savait que son environnement présentait des vulnérabilités, mais ne disposait pas d’une vue claire et défendable de ses risques en cybersécurité OT (technologies opérationnelles). Sans cette visibilité, il devenait difficile de prioriser les actions ou d’obtenir le financement nécessaire.
Compugen a réalisé une évaluation complète de la sécurité OT alignée sur la norme ISA 62443, un cadre reconnu mondialement pour l’évaluation des risques et la protection des infrastructures critiques. Résultat : une feuille de route claire et crédible permettant à la municipalité de passer des préoccupations à l’action concrète.
Cette municipalité est responsable de l’exploitation et de l’entretien d’infrastructures critiques liées à l’eau potable et aux eaux usées — des systèmes reposant sur les technologies opérationnelles pour surveiller et contrôler les débits, les traitements et les mécanismes de sécurité.
Comme dans plusieurs organisations du secteur public, l’environnement avait évolué au fil du temps. Les infrastructures vieillissaient. Les systèmes prenaient de l’expansion. La connectivité augmentait. La sécurité, elle, n’avait pas toujours suivi le rythme.
Plusieurs enjeux se démarquaient :
Des infrastructures vieillissantes soutenant des opérations critiques, incluant des composantes réseau largement au-delà de leur cycle de vie recommandé
Une architecture réseau peu segmentée, facilitant les déplacements latéraux en cas de menace
Une séparation limitée entre les environnements TI et OT, augmentant l’exposition potentielle aux autres services municipaux
Plusieurs méthodes d’accès à distance, souvent liées à des fournisseurs externes et difficiles à gérer de façon centralisée
L’absence de structure formelle de gouvernance et de responsabilités en cybersécurité OT
La municipalité savait que des risques existaient. Ce qui manquait, c’était une façon structurée de les mesurer, de les communiquer et d’agir efficacement.
Dans un environnement où les systèmes contrôlent la qualité de l’eau, le dosage des produits chimiques et les débits, cet écart représente un enjeu majeur.
Le changement a commencé par une seule initiative.
Un membre de l’équipe d’ingénierie responsable du traitement des eaux a identifié la cybersécurité comme une préoccupation croissante et a soulevé l’enjeu à l’interne. Cette démarche a permis de relier les risques opérationnels aux priorités plus larges des équipes TI et de la direction.
En parallèle, la municipalité reconnaissait de plus en plus que les approches informelles ne suffisaient plus. Elle devait s’appuyer sur une norme reconnue et adopter une approche cohérente pour évaluer et gérer les risques.
Cette prise de conscience a créé l’occasion de prendre du recul, d’évaluer correctement l’environnement et d’établir une base solide pour soutenir des décisions concrètes.
Compugen a dirigé une évaluation complète des écarts et des risques en sécurité OT, alignée sur la norme ISA 62443, un cadre reconnu mondialement pour la sécurisation des environnements industriels et des infrastructures critiques.
L’approche était structurée, rigoureuse et conçue pour résister à l’examen des parties prenantes.
Afin de renforcer la crédibilité de l’évaluation, l’audit a été réalisé par une organisation indépendante certifiée. Cette approche garantissait des résultats objectifs pouvant soutenir les discussions internes liées à la planification et au financement.
Le mandat comprenait notamment :
Une analyse détaillée des systèmes OT des environnements d’eau potable et d’eaux usées
Une évaluation des contrôles alignés sur ISA 62443
L’identification des écarts en matière de gouvernance, d’architecture réseau, de contrôle des accès et de gestion des systèmes
Une feuille de route priorisée présentant des actions immédiates et des initiatives à plus long terme
En cours de mandat, des exigences d’approvisionnement ont entraîné un processus d’appel d’offres (RFP). Compugen a maintenu sa position, s’est adapté au changement et a élargi la portée du projet afin d’inclure l’environnement de traitement des eaux usées.
Tout au long du projet, Compugen a collaboré étroitement avec les équipes d’ingénierie, de TI et de direction. Des suivis réguliers ont permis d’assurer l’alignement du projet et de refléter à la fois les réalités techniques et opérationnelles.
L’évaluation a apporté une vision claire d’un environnement complexe.
Elle a démontré qu’une part importante des contrôles évalués n’était pas entièrement alignée, mettant en lumière des écarts pouvant affecter autant la sécurité que la résilience opérationnelle.
Plus important encore, la municipalité disposait désormais de ce qui lui manquait auparavant :
Une vision défendable et fondée sur des normes reconnues de sa posture de sécurité OT
Une visibilité claire sur les risques existants et leurs impacts potentiels sur les opérations
Une liste d’actions priorisées, incluant des mesures immédiates pouvant être prises par les équipes internes
Une feuille de route structurée pour guider les investissements futurs et les initiatives de modernisation
Parmi les gains rapides identifiés :
L’amélioration des contrôles d’accès
Le renforcement des pratiques liées aux mots de passe et aux identifiants
La mise à jour de la documentation
L’amélioration de l’hygiène de base des systèmes
Les priorités à plus long terme incluaient :
Une meilleure segmentation réseau et une architecture renforcée
La centralisation de la surveillance et de la journalisation
Le renforcement des contrôles d’accès à distance
L’élaboration de politiques formelles de sécurité OT et de plans d’intervention en cas d’incident
Le changement était concret.
Au lieu d’une inquiétude générale, la municipalité disposait maintenant d’un plan clair — un plan pouvant être communiqué, financé et exécuté.
L’évaluation influence déjà les prochaines étapes.
Les équipes internes utilisent les résultats pour orienter leur planification et prioriser les efforts de remédiation. Des discussions sont en cours concernant des mises à niveau d’infrastructures, des améliorations réseau et un accompagnement continu en cybersécurité.
Le projet crée également un effet d’entraînement au-delà d’une seule municipalité. Plusieurs organisations du secteur public font face à des défis similaires et cherchent à apporter plus de structure et de clarté à leurs environnements avec l’aide de Compugen.
Il ne s’agissait pas d’un mandat transactionnel.
Compugen a d’abord travaillé avec un seul contact opérationnel avant de rapidement établir un alignement entre les équipes d’ingénierie, de TI et de direction. Cet aspect était essentiel, puisque la sécurité OT touche directement ces trois groupes.
L’équipe a maintenu une communication constante, traduisant les constats techniques en impacts d’affaires concrets afin que chaque partie prenante comprenne les risques et son rôle dans leur gestion.
La crédibilité du projet reposait sur deux éléments : une expertise approfondie des environnements OT et une approche structurée fondée sur des normes reconnues et validées indépendamment.
Au moment de la remise des résultats, les parties prenantes étaient alignées et confiantes quant à la suite.
Cette base solide soutient maintenant la prochaine phase du projet, avec Compugen positionné comme un véritable allié technologique de confiance.
Si vous êtes responsable d’infrastructures municipales ou critiques, vous faites probablement face aux mêmes enjeux. Vous savez que des risques existent. La vraie question est de savoir si vous pouvez les définir clairement et agir efficacement.
Compugen aide les organisations du secteur public à évaluer leurs environnements, prioriser les actions importantes et bâtir une feuille de route crédible et durable. Entamez la conversation.