Qu’est-ce que la norme NERC-CIP ?
NERC-CIP est la norme de cybersécurité appliquée par les compagnies d’électricité aux États-Unis, qui sont responsables de la production et de la gestion des réseaux électriques. NERC signifie « North America Electric Reliability Corporation » et CIP « Critical Infraestructure Protection ». Cette norme a pour objectif de définir un ensemble d’exigences spécifiques pour la gestion de la sécurité des infrastructures critiques liées à la production et à la gestion des réseaux électriques.
La gestion et la production d’énergie électrique ont évolué au fil des ans afin de satisfaire une demande croissante avec des niveaux élevés de disponibilité, ce qui a impliqué l’inclusion de nouvelles technologies et de mécanismes de contrôle qui, bien qu’ils aient permis de répondre à ces besoins, ont introduit, en raison de la nature même des technologies impliquées, des faiblesses et des vulnérabilités qui doivent être correctement gérées afin d’atténuer les risques dans ces systèmes complexes, qui sont généralement la cible d’attaques sophistiquées par des organisations et des groupes criminels.
Initialement, cette norme a été développée en 2003 par NERC dans le but de créer une norme de sécurité industrielle pour les entreprises du secteur de l’électricité. La version initiale a été nommée NERC CSS (Cyber Security Standards). Après des améliorations et des évolutions successives, la version la plus actuelle est NERC-CIP. Bien que son origine soit nord-américaine, elle est actuellement mise en œuvre dans plusieurs pays d’Amérique latine tels que le Mexique, la Colombie, l’Équateur, le Brésil, le Chili et le Pérou.
Structure de la norme NERC-CIP
Cette norme est actuellement composée de 12 standards qui définissent les contrôles de sécurité qui doivent être appliqués pour la protection des infrastructures critiques, des informations et du personnel gérant les installations et la gestion des systèmes de sécurité et des plans de reprise des actifs et infrastructures considérés comme critiques.
• CIP-002-5.1a BES (bulk electric system) Cyber System Categorization
• CIP-003-8 Security Management Controls
• CIP-004-6 Personnel &Training
• CIP-005-6 Electronic Security Perimeter(s)
• CIP-006-6 Physical Security of BES Cyber-Systems
• CIP-007-6 System Security Management
• CIP-008-6 Incident Reporting and Response Planning
• CIP-009-6 Recovery Plans for BES Cyber-Systems
• CIP-010-3 Configuration Change Management and Vulnerability Assessments
• CIP-011-2 Information Protection
• CIP-013-1 Supply Chain Risk Management
• CIP-014-2 Physical Security
Objectifs de la norme NERC-CIP
Cette norme a pour objectif d’améliorer la sécurité des systèmes de distribution électrique. Pour ce faire, en plus de réaliser des contrôles et des suivis du respect de la mise en œuvre de contrôles, des évaluations du risque sont réalisées afin d’identifier et de traiter les vulnérabilités des systèmes concernés, dans le but de garantir la fourniture sécurisée des services de distribution d’électricité. Pour cela, les actifs critiques des infrastructures de production et de distribution d’électricité doivent être identifiés, en mettant en place des mécanismes de contrôle et de surveillance afin de prévenir et de signaler des événements liés à la sécurité.
Outre le suivi, il convient d’appliquer des mécanismes de contrôle d’accès à ces actifs et aux systèmes de contrôle industriel (ICS), ainsi que d’établir des procédures de gestion et de réponse en cas d’incidents, avec des plans de reprise et d’urgence, que ce soit en cas d’attaques intentionnelles, d’accidents industriels ou de catastrophes naturelles, afin de garantir la continuité de la fourniture des services.
La mise en œuvre de normes et de stratégies de cybersécurité au sein des infrastructures dites critiques, comme le secteur de la production et de la distribution d’électricité, permet de prévenir d’éventuelles situations de vulnérabilité ou de catastrophe et aux entreprises concernées de réagir plus efficacement et avec un impact moindre sur les utilisateurs et les organisations qui en dépendent.
Chez GlobalSuite Solutions, nous disposons du logiciel GlobalSuite® pour mettre en œuvre la norme NERC-PIC. L’outil permet la mise en œuvre, la gestion et la maintenance d’un système de gestion des risques basé sur les objectifs établis, ainsi que l’évaluation et le suivi du traitement des risques définis.
