Renforcer la frontière TO/TI : ingénieurs en sécurité chevronnés intégrés, détection livrée à forfait

Le client exploite des infrastructures essentielles : des actifs de production et de distribution où un incident de disponibilité est un événement de sécurité publique, pas un billet d'assistance. Son équipe de sécurité était compétente et surchargée — gérant bien les contrôles TI, mais à court de ressources du côté TO, où la culture d'ingénierie, les protocoles et les contraintes de disponibilité diffèrent d'un réseau d'entreprise.

Deux réalités se sont heurtées. D'abord, le marché du talent. La pénurie mondiale de main-d'œuvre en cybersécurité a atteint 4,8 millions de personnes en 2024, en hausse de 19 % sur un an, laissant environ 47 % de la demande non comblée (ISC2, 2024). Au Canada, un poste en cybersécurité sur six demeure vacant — plus de 25 000 postes ouverts (Robert Half, 2025). Pour un profil de niche en sécurité TO/SCI, le bassin de candidats est encore plus mince : SANS constate que seulement ~10 % des équipes SCI/TO utilisent l'IA en sécurité et que 51 % n'ont aucune certification pertinente (SANS, 2024).

Ensuite, le temps. Plus du tiers des organisations mettent de trois à six mois à pourvoir un poste en sécurité, peu importe le niveau (ISC2 / TechRepublic, 2024). Pour un service public, six mois de poste senior en sécurité TO vacant représentent six mois d'exposition non atténuée sur des actifs assujettis à des obligations légales de fiabilité.

Trois lacunes concrètes, par ordre de priorité :

1. La frontière TO/TI était poreuse. Des chemins réseau quasi plats subsistaient entre l'environnement d'entreprise et les zones TO — précisément la voie d'attaque qui transforme un clic d'hameçonnage en incident sur un système de contrôle. NERC-CIP exige des périmètres de sécurité électronique définis et un contrôle d'accès à ces frontières ; le client avait l'intention de politique, mais une application incomplète et une journalisation incohérente à l'interface.

2. Le SIEM était bruyant mais aveugle. Il ingérait du volume, mais ne contenait presque aucun contenu de détection adapté à la TO. Les analystes triaient un déluge d'alertes TI de faible valeur tandis que les événements TO au niveau protocole — connexions inattendues de postes d'ingénierie, tentatives de poussée de micrologiciel, motifs Modbus/DNP3 anormaux — passaient inaperçus.

3. La pénurie de personnel était structurelle, pas saisonnière. Le client ne pouvait pas s'en sortir par l'embauche dans le délai requis, et la pénurie s'aggrave : plus de la moitié des organisations victimes d'une brèche ont signalé de graves pénuries de personnel en sécurité — une hausse de 26,2 % sur un an (IBM, 2024).

Le coût de l'échec n'a rien d'abstrait. La brèche moyenne dans le secteur industriel a coûté 5,56 M$ US en 2024 — 18 % de plus sur un an et 13 % au-dessus de la moyenne mondiale (IBM, 2024). Et les organisations en grave pénurie de personnel ont payé 1,76 M$ US de plus par brèche que leurs pairs adéquatement dotés (IBM, 2024). Sur le plan réglementaire, les violations des normes de fiabilité NERC-CIP peuvent entraîner des pénalités civiles allant jusqu'à 1 M$ US par jour, par violation (FERC, 2024).

Nous avons réparti le travail selon ses deux formes naturelles : capacité continue (renfort de personnel) et résultat délimité (forfait).

Renfort de personnel — chevronnés, intégrés, facturation hebdomadaire. Deux ingénieurs seniors en sécurité TO ont rejoint l'équipe du client sous la direction de son responsable sécurité, et non comme un pod sous-traitant en boîte noire. Ils traitaient les billets du client, participaient à ses mêlées et répondaient à sa chaîne de commandement. Tous deux étaient compétents en IA — à l'aise avec les copilotes d'ingénierie de détection et les outils d'analyse de journaux, pas seulement à cliquer dans une console. Cela compte, car les organisations qui utilisent largement l'IA et l'automatisation en prévention ont vu un coût de brèche inférieur d'environ 2,2 M$ US et une détection et un confinement plus rapides d'environ 100 jours (IBM, 2024) ; au Canada, on parle de 2,84 M$ CA de moins et d'un cycle de vie de brèche raccourci de 54 jours (IBM Canada, 2024).

Forfait — réingénierie de la détection avec portée et prix définis. En parallèle, une équipe de mandat Maverin a pris en charge un livrable délimité : repenser la détection sur la frontière TO/TI, avec des critères d'acceptation et un prix fixe. Le client ne portait aucun risque de taux journalier sur le travail de résultat ; les ingénieurs intégrés portaient la capacité courante. Aucune dépendance à une plateforme — nous avons bâti sur le SIEM et les pare-feu existants du client plutôt que de l'orienter vers un outil que nous revendons.

Le marché canadien évolue ainsi pour une raison : 54 % des dirigeants techno canadiens ont accru leur recours au talent contractuel au 2e semestre 2025 (Robert Half, 2025). Le but n'est pas « des contractuels au lieu d'employés » — c'est la bonne forme pour chaque type de travail.

Le travail s'est organisé autour de la frontière TO/TI et de ce qui la traverse.

Segmentation et périmètre de sécurité électronique. Nous avons resserré la frontière vers un modèle aligné NERC-CIP : zones et conduits définis, périmètre appliqué entre la TI d'entreprise et la TO, et contrôle d'accès à l'interface. Les chemins des postes d'ingénierie et des hôtes-relais vers la TO ont été inventoriés, verrouillés et journalisés. L'objectif : une frontière qu'on peut décrire, appliquer et prouver en audit — pas un schéma qui ne correspond plus au réseau.

Contenu de détection conçu pour la TO, pas emprunté à la TI. Sur le SIEM existant, nous avons rédigé une logique de détection pour les événements qui comptent vraiment sur un réseau de contrôle : connexions inattendues vers les zones TO, tentatives de poussée de micrologiciel et de modification de configuration, comportements anormaux de protocoles industriels (Modbus/DNP3) et usage non autorisé d'identifiants d'ingénierie. Chaque détection a été rédigée avec une hypothèse documentée, une source de données et un seuil ajusté — pour qu'une alerte signifie quelque chose et qu'un analyste sache quoi en faire.

Journalisation et visibilité à l'interface. La surveillance côté TO mûrit dans le secteur — la surveillance propre à la TO est passée de 33 % en 2019 à 52 % en 2024 (SANS, 2024) — mais une couverture partielle laisse des trous précisément là où vivent les attaques de frontière. Nous avons d'abord comblé les angles morts les plus risqués : les chemins entre TI et TO.

Humain dans la boucle, par conception. L'outillage assisté par IA a accéléré la rédaction des détections et le tri des journaux, mais chaque détection susceptible de toucher un système de contrôle a été livrée derrière une revue humaine. Sur une infrastructure essentielle, une action automatisée avec un faux positif peut être l'incident lui-même.

• Couverture senior continue pendant la pénurie d'embauche. Deux ingénieurs seniors en sécurité TO intégrés et productifs en quelques semaines, et non dans la fenêtre d'embauche sectorielle de trois à six mois — fermant la fenêtre d'exposition sur les actifs visés par NERC-CIP.
• Une frontière TO/TI renforcée. Zones et conduits définis, périmètre de sécurité électronique appliqué, chemins de postes d'ingénierie inventoriés et verrouillés, et journalisation à l'interface.
• Contenu de détection adapté à la TO sur le SIEM existant. Une bibliothèque de détections ajustées et documentées pour les événements de franchissement de frontière et de protocoles industriels — bâtie sur l'outillage du client, sans nouvelle plateforme à licencier.
• Un flux de travail d'analyste au bruit réduit. Alertes TI de faible valeur dépriorisées et événements pertinents pour la TO mis en avant, pour que l'équipe consacre ses heures au signal.
• Documentation et transfert. Guides d'exploitation, justification des détections et description de l'architecture de frontière que l'équipe du client peut auditer et maintenir — plus un transfert de connaissances pour que la capacité survive au mandat.

Le résultat principal, c'est le délai. Contre une référence sectorielle où le tiers des postes en sécurité prennent de trois à six mois à pourvoir (ISC2, 2024), une couverture senior intégrée était en place en quelques semaines. Pour des actifs visés par NERC-CIP, cette compression fait la différence entre un trimestre d'exposition et quelques semaines.

L'avant/après sur la détection est qualitatif mais concret : la frontière est passée de poreuse à définie-et-journalisée ; le SIEM, de gros volume / faible signal à adapté à la TO ; les analystes, du tri du bruit TI au traitement d'événements pertinents pour la TO.

Une note sur les chiffres ci-dessous. Les données sectorielles (coût des brèches, pénalité de pénurie de personnel, économies liées à l'IA et à l'automatisation, délai d'embauche) sont réelles et citées. Les résultats propres au mandat sont illustratifs — modélisés pour un service public de ce profil, et non un résultat d'audit mesuré chez un client nommé. Nous étiquetons chaque mesure en conséquence. La version honnête de l'affirmation : voici la forme du résultat qu'un service public dans cette situation peut attendre, avec le contexte réglementaire et de marché qui la rend crédible.

Répartissez le travail selon sa forme, pas selon la commodité du fournisseur. Une capacité qui tourne indéfiniment relève du renfort de personnel, facturé à la semaine, sous votre direction. Un livrable délimité avec critères d'acceptation relève d'un mandat à forfait où le fournisseur — pas vous — porte le risque de taux journalier. Ne laissez pas une firme de dotation vous vendre un « pod géré » de six mois pour ce qui est en réalité un résultat que vous devriez pouvoir chiffrer.

Exigez des profils seniors et intégrés. Des contractuels juniors sous la direction à distance d'un fournisseur créent une taxe de coordination que vous payez à jamais. Des ingénieurs seniors sous votre direction, dans vos mêlées, redevables à votre chaîne de commandement, prolongent votre équipe — et transfèrent le savoir au lieu de l'accumuler.

Réparez la frontière avant d'acheter d'autres outils. L'interface TO/TI est l'endroit où une compromission d'entreprise devient un incident de système de contrôle. Zones définies, périmètre appliqué, journalisation à l'interface et détection adaptée à la TO sur le SIEM que vous possédez déjà surpasseront une nouvelle plateforme greffée sur un réseau non défini.

Exigez l'absence de dépendance et un transfert propre. Si la capacité meurt au départ des contractuels, vous avez acheté de la main-d'œuvre, pas un résultat. Guides d'exploitation, justification des détections, description auditable de la frontière et transfert de connaissances font partie du livrable — pas d'un supplément.