Plateforme pour l’eau, le gaz et la chaleur
Article technique
07. avril 2025

Traduction automatique - texte original en allemand

Cybersécurité

Normes minimales pour les TIC dans les secteurs de l'eau, du gaz et de la chaleur

Les secteurs suisses d'approvisionnement en eau, en gaz et en chaleur sont confrontés à de nouvelles exigences réglementaires, marquées par des normes telles que les normes minimales TIC. Cet article met en lumière les évolutions passées, les tendances futures et les conséquences pour les acteurs de différentes tailles dans le secteur.
Dario Walder 

La réglementation dans les secteurs suisses d'approvisionnement en eau, en gaz et en chaleur a pris de plus en plus d'importance ces dernières années. Des normes techniques telles que les normes minimales TIC pour l'eau potable (W1018) [1], le gaz (G1008) [2] ainsi que la chaleur et le froid (F1001) [3] ont été introduites afin de garantir la sécurité, l'efficacité et la qualité de l'approvisionnement en eau, en gaz et en chauffage/refroidissement urbain. Les normes minimales en matière de TIC fournissent une base systématique pour l'évaluation des cyberrisques et la gestion du secteur concerné. Elles constituent donc des piliers centraux du paysage réglementaire.

Protection contre les cyberrisques: actuelle et pertinente

Une approche similaire existe dans l'espace européen, où des normes européennes comme DORA [4], NIS2 [5], CRA [6] ou CSA [7] renforcent continuellement les exigences réglementaires en matière de cybersécurité. Ces normes illustrent l'actualité et la pertinence de la protection contre les cyberrisques en Suisse et dans l'UE. En même temps, elles placent les entreprises techniques devant de grands défis, car il faut mettre de plus en plus l'accent et les ressources à disposition pour respecter les exigences réglementaires.

En ce qui concerne les réglementations, le présent article poursuit deux objectifs:

  • Analyse des progrès rĂ©alisĂ©s jusqu'Ă  prĂ©sent et des dĂ©fis posĂ©s par la rĂ©glementation
  • Evaluation de l'impact sur les petites, moyennes et grandes entreprises de distribution en Suisse

Status quo des réglementations

En novembre 2024, la SVGW a publié, en collaboration avec l'OFPC (Office fédéral de la cybersécurité), le guide pour la mise en œuvre de la norme minimale TIC dans la distribution de gaz (G15004). Ce document marque la fin de l'élaboration des normes sectorielles pour les secteurs critiques, qui avait commencé en 2018 avec l'élaboration de la norme minimale TIC [8] (fig. 1).

L'objectif de la réglementation est de garantir la sécurité de l'approvisionnement et d'établir des responsabilités claires en cas d'urgence. Les normes se concentrent sur la prévention et la minimisation des risques tout au long de la chaîne d'approvisionnement. Toutes les normes de la boîte sont harmonisées, car elles utilisent comme noyau la norme minimale générale pour les TIC [8]. Néanmoins, leur mise en œuvre pose des défis aux entreprises de services publics, en particulier aux plus petites d'entre elles qui disposent de ressources limitées.

Perspectives et Ă©volutions futures
Exigences technologiques

La numérisation croissante modifie les exigences en matière d'infrastructure des fournisseurs de gaz, d'eau et de chaleur. L'intégration des systèmes IT (Information Technology) et OT (Operational Technology) devient de plus en plus importante. Les aspects de cybersécurité jouent ici un rôle central, car l'interconnexion croissante ouvre de nouvelles surfaces d'attaque. Parmi les exemples, on peut citer:

  • les systèmes de contrĂ´le des processus (p. ex. pour le contrĂ´le des pompes et des rĂ©servoirs)
  • les capteurs (p. ex. pour la surveillance de la qualitĂ© de l'eau ou du dĂ©bit)
  • les centres de contrĂ´le numĂ©riques pour le contrĂ´le et la surveillance des systèmes OT (traitement, stockage et distribution de l'eau, production, stockage et distribution de chaleur, distribution de gaz, etc.)

Pression réglementaire et tendances

On s'attend à ce que les exigences réglementaires continuent à augmenter. Ainsi, à partir du 1er juillet 2025, les fournisseurs de gaz seront tenus de mettre en œuvre la norme minimale en matière de TIC [10]. Parallèlement, il devient de plus en plus nécessaire de développer des approches efficaces et rentables pour garantir le respect de ces exigences. L'approche coopérative, dans laquelle plusieurs fournisseurs de gaz, d'eau ou de chauffage mettent en œuvre la norme ensemble, s'est révélée particulièrement efficace (voir encadré ci-dessous).

Conséquences pour les branches de la SVGW
Petits distributeurs

Les petits distributeurs, qui ne disposent souvent que de systèmes informatiques et OT minimaux (p. ex. un ordinateur portable et un système de commande séparé), sont confrontés à des défis particuliers. L'effort nécessaire à la mise en œuvre de la norme minimale en matière de TIC est relativement élevé pour eux. Des solutions simples et rentables peuvent y remédier, comme des modèles standardisés et des ateliers communs.

Les entreprises de services publics de taille moyenne

Les entreprises de taille moyenne comptant jusqu'à 100 collaborateurs disposent généralement d'une infrastructure plus complexe, comprenant à la fois des réseaux informatiques et des réseaux OT. Elles travaillent souvent avec plusieurs prestataires de services, ce qui complique la coordination et la mise en œuvre des exigences réglementaires. Des processus efficaces et des responsabilités claires sont ici essentiels.

Grandes entreprises de services publics

Les grandes entreprises sont généralement organisées de manière professionnelle et disposent de leurs propres départements informatiques. En tant que pionnières dans la mise en œuvre de nouvelles normes, elles pourraient jouer un rôle de modèle pour les acteurs plus petits. Toutefois, leur approche devrait être considérablement allégée pour les petites organisations.

Conclusion

L'introduction et le développement de normes réglementaires telles que la norme minimale TIC pour la distribution de gaz, d'eau et de chaleur présentent de nombreux avantages pour le secteur. Elles augmentent la sécurité et la résilience de l'infrastructure, favorisent l'efficacité et créent un cadre uniforme. Une approche coopérative, dans le cadre de laquelle les ressources et les connaissances sont partagées, peut contribuer à faciliter la mise en œuvre pour toutes les parties prenantes.

Recommandations d'action
Promouvoir la coopération

La coopération entre plusieurs entreprises de services publics (par exemple dans le cadre d'ateliers) permet d'exploiter les synergies (voir encadré ci-dessous).

Utiliser les meilleures pratiques

Le partage des meilleures pratiques permet une mise en Ĺ“uvre plus rapide et plus rentable.

Investir dans la cybersécurité

La sécurisation des systèmes IT et OT devrait être une priorité afin de faire face aux menaces croissantes.

 

Bibliogrpahie

[1] SVGW; OFAE (2019): Recommandation W1018 -Norme minimale pour garantir les technologies de l'information et de la communication (TIC) requises pour l'approvisionnement en eau.

[2] SVGW, OFAE (2024): Recommandation G1008 - Norme minimale pour garantir la sécurité des technologies de l'information et de la communication (TIC) requises pour l'approvisionnement en gaz.

[3] SVGW, TNS, OFAE (2023): Recommandation F1001 - Norme minimale pour garantir la sécurité des technologies
de l’information et de la communication (TIC) requises pour l’approvisionnement du chauffage et du froid à distance.

[4] Union européenne (2022): DORA - Règlement 2554 sur la résilience opérationnelle numérique dans le secteur financier (Digital Operational Resilience Act).

[5] Union européenne (2022): Directive SRI 2: nouvelles règles en matière de cybersécurité des réseaux et des systèmes d’information.

[6] Union européenne (2024): Cyber Resilience Act (CRA). Règlement 2847 sur les exigences horizontales de cybersécurité pour les produits contenant des éléments numériques et modifiant les règlements.

[7] Union européenne (2024): Règlement sur la cybersécurité de l’Union européenne.

[8] OFAE (2023): Norme minimale générale en matière de TIC.

[9] SVGW, ASIG, OFAE (2024): G15004 de mise en œuvre de la norme minimale pour la sécurité des technologies de l’information et de la communication dans l’approvisionnement en gaz (G1008).

[10] Reichart, K. (2024): Nouvelle norme TIC pour l'approvisionnement en gaz. Aqua & Gas online

Approche coopérative

Mettre en œuvre la norme minimale TIC avec ses 108 mesures représente un défi pour les entreprises de services publics. Les exigences varient considérablement en fonction de l'infrastructure informatique et de la taille de l'entreprise. Pour faire face à la complexité, une approche coopérative a fait ses preuves.

Les ateliers communs, clé du succès

Au lieu de mettre en œuvre la norme de manière isolée, un format d'atelier commun permet aux services publics d'échanger des connaissances et des ressources. Les solutions existantes peuvent y être discutées, les défis analysés en commun et les méthodes éprouvées adaptées. Il n'est donc pas nécessaire de réinventer la roue - au lieu de cela, on se base sur des approches éprouvées.

L'expérience de l'animateur de l'atelier comme facteur de réussite

La qualité d'une telle approche coopérative dépend fortement de l'expérience de l'animateur de l'atelier. Un atelier structuré, avec des exemples pratiques et une animation ciblée, garantit que tous les participants reçoivent une véritable valeur ajoutée et peuvent développer des solutions pragmatiques pour la mise en œuvre de la norme.

Kommentar erfassen

Kommentare (0)

e-Paper

Avec l'abonnement en ligne, lisez le E-paper «AQUA & GAS» sur l'ordinateur, au téléphone et sur la tablette.

Avec l'abonnement en ligne, lisez le E-paper «Wasserspiegel» sur l'ordinateur, au téléphone et sur la tablette.

Avec l'abonnement en ligne, lisez le E-paper «Gasette» sur l'ordinateur, au téléphone et sur la tablette.

© Copyright by SVGW | Contact | Made by Multi Digital | Cookie Settings