Se conformer aux normes NERC CIP pour protéger les infrastructures énergétiques critiques

Les cyberattaques sur les réseaux électriques peuvent être dévastatrices, non seulement en provoquant des pannes de courant généralisées, mais aussi en créant des perturbations économiques, des problèmes de sécurité et des troubles alors que les services publics s’efforcent de rétablir le service. Le réseau électrique américain est un réseau complexe à protéger, avec 200 000 miles de lignes de transmission, 55 000 sous-stations et 5,5 millions de miles de lignes de distribution.

Jusqu’à présent cette année, plus de deux organisations de services publics sur trois à travers le monde ont été touchées par un type d’attaque de ransomware . Au sein de ce groupe, presque tous (98 %) déclarent que les attaquants ont également tenté de compromettre leurs sauvegardes.

À l’origine de ces attaques se trouvent :

• Des vulnérabilités exploitées (49 %)
• Des justificatifs d’identité compromis (27 %)
• Des e-mails malveillants (14 %)
• De l'hameçonnage (7 %)
• Des téléchargements (2 %)
• Des attaques par force brute (1 %)

C’est pourquoi il est essentiel de comprendre comment protéger vos systèmes critiques, et cela commence par les normes NERC CIP.

Ces normes évoluent au fil du temps pour s’adapter aux environnements de menaces en constante évolution auxquels sont confrontées les entreprises de transport et de distribution d’électricité. Par exemple, la norme CIP-015, Internal Network Security Monitoring, a été ajoutée dans la version 2023 pour guider les services publics dans la détection des activités réseau anormales ou non autorisées afin qu’ils puissent identifier et répondre rapidement à une attaque. En juin de cette année, la NERC a déposé une demande d’approbation auprès de la FERC. Une fois approuvée, cette norme entre en vigueur.

Que sont les normes NERC CIP ?

Les normes NERC CIP sont un ensemble de normes de protection des infrastructures critiques (CIP) élaborées par la North American Electric Reliability Corporation (NERC). Ce règlement est conçu pour protéger le système électrique en vrac (BES) nord-américain contre les cybermenaces allant des logiciels malveillants et des rançongiciels aux attaques DDoS.

L’ensemble de mesures de cybersécurité de base qu’il fournit au secteur est destiné à servir de cadre pour sécuriser les infrastructures critiques et vérifier que les bons contrôles de sécurité sont en place pour maintenir des opérations résilientes, sûres et fiables.

La NERC a été créée à la fin des années 1960 pour développer le premier ensemble de principes de fiabilité du secteur électrique en réponse à la panne d’électricité survenue en 1965 dans le nord-est, causée par un relais défectueux qui a laissé 30 millions de personnes dans le noir pendant des heures.

Les normes NERC CIP telles que nous les connaissons aujourd’hui ont été approuvées pour la première fois par la Federal Energy Regulatory Commission en 2008.

À qui s’adressent les normes NERC CIP ?

Les normes NERC CIP régissent l’infrastructure critique pour toutes les parties prenantes qui ont un impact sur la fiabilité de BES, y compris les propriétaires, les opérateurs et les utilisateurs. Ces normes s’appliquent aux services publics d’électricité et aux entreprises de production, de transport et de distribution d’électricité.

Que couvrent les normes NERC CIP ?

Les normes NERC CIP fournissent des conseils normatifs dans de grandes catégories. Les normes sont divisées en différents domaines en fonction de ces catégories. (Remarque : la norme CIP-001 a été retirée et ne fait pas partie des normes actives du CIP.)

Identification et classification des actifs (NERC CIP-002)

Cette norme exige que les services publics classent leurs cybersystèmes BES en fonction de leur impact sur la fiabilité du réseau : impact élevé, moyen ou faible. Elles établissent également les contrôles de sécurité requis en fonction des niveaux d’impact.

Politiques et gouvernance (NERC CIP-003)

La norme CIP-003 aide les entreprises de transport et de distribution d’électricité à établir et à superviser leurs plans de gestion de la cybersécurité et de la sécurité. Elle décrit également les exigences relatives à l’élaboration et au maintien de politiques et de procédures de sécurité.

Personnel et formation (NERC CIP-004)

Afin de minimiser la possibilité d’une compromission des BES causée par des équipes internes, qui pourrait entraîner des temps d’arrêt ou une instabilité, cette norme offre des conseils sur la sensibilisation et la formation à la cybersécurité. Elle couvre également la gestion des risques et du contrôle d’accès, comme la suppression des privilèges du personnel lorsqu’une personne quitte une entreprise.

Périmètre de sécurité électronique (NERC CIP-005)

La norme CIP-005 fournit des exigences pour aider les services publics à contrôler l’accès du réseau aux actifs stratégiques par le biais de périmètres de sécurité électroniques ou de barrières virtuelles pour surveiller le flux de données. Elle comprend également des conseils pour des éléments tels que l’accès à distance.

Sécurité physique (NERC CIP-006)

La cybersécurité ne concerne pas uniquement les composants du réseau, elle implique également des composants de sécurité physique. Cette norme CIP décrit les étapes à suivre pour créer des plans de sécurité physique, y compris le contrôle des visiteurs, la surveillance et les systèmes de détection d’intrusion physique.

Gestion de la sécurité du système (NERC CIP-007)

Pour minimiser la surface d’attaque des BES, cette norme offre des directives sur la façon de gérer, de contrôler et de limiter l’accès aux composants réseau tels que les ports et les services. Elle fournit également des conseils sur la gestion et les mises à jour des correctifs de sécurité, ainsi que sur la surveillance des événements de sécurité potentiels.

Rapports d’incidence et planification des interventions (NERC CIP-008)

Lorsque les services publics sont victimes d’une cyberattaque, ils doivent être prêts à réagir. La norme CIP-008 offre des lignes directrices sur la façon d’élaborer et de tenir à jour un plan d’intervention en cas d’incident de cybersécurité, y compris la façon de signaler les tentatives de compromission et les compromissions réelles, et à qui les signaler.

Plans de rétablissement (NERC CIP-009)

Une reprise rapide après un incident de cybersécurité est vitale. La norme CIP-009 guide les services publics dans la planification et la continuité de leurs activités afin d’assurer la capacité de récupérer les actifs essentiels après une interruption.

Gestion des changements et des vulnérabilités (NERC CIP-010)

Afin de maintenir un environnement sécurisé, ces normes CIP décrivent les exigences relatives à la gestion des changements apportés aux cyberactifs et au traitement des vulnérabilités. Les utilisateurs trouveront des informations sur la façon de gérer les modifications de configuration et d’effectuer des évaluations de vulnérabilité.

Protection des informations des cybersystèmes BES (NERC CIP-011)

Pour aider les services publics à protéger les informations liées aux BES, la norme CIP-011 décrit comment identifier, classer et traiter les informations BES sensibles pour les protéger.

Communications du centre de contrôle (NERC CIP-012)

Afin de garantir un fonctionnement, un contrôle et une gestion fiables du réseau, cette norme définit les exigences en matière de systèmes de communication sécurisés et fiables, tels que le chiffrement et l’authentification, afin de prévenir les cyberattaques et les accès non autorisés.

Gestion des risques de la chaîne d’approvisionnement (NERC CIP-013)

Ajoutée aux normes NERC CIP à la fin 2020, la norme CIP-013 met en œuvre des contrôles de sécurité pour gérer les risques de la chaîne d’approvisionnement, répondant ainsi aux préoccupations qui sont devenues une priorité au cours des dernières années dans le secteur. Elle aide les services publics à évaluer et à gérer les risques associés à l’achat et à l’installation de composants BES auprès des fournisseurs en partageant des conseils sur la façon d’assurer la sécurité du matériel, des logiciels et des services utilisés dans les opérations des services publics.

Sécurité physique des sous-stations (NERC CIP-014)

Cette norme met l'accent sur la prévention des menaces pour les sous-stations critiques, qui agissent comme un lien entre les centrales électriques et les utilisateurs. Elle explique les exigences relatives à la réalisation d’évaluations des risques des sous-stations, à l’élaboration de plans de sécurité pour les protéger contre le sabotage et l’accès non autorisé, et au signalement des activités suspectes ayant une incidence sur les sous-stations.

Surveillance de la sécurité du réseau interne (NERC CIP-015)

Pour renforcer la sécurité du réseau, la norme CIP-015 est le dernier ajout aux normes NERC CIP. Elle explique comment surveiller le trafic dans les zones pour détecter les activités malveillantes et les accès non autorisés potentiels afin que les services publics puissent identifier et répondre plus rapidement aux activités néfastes.

À quelle fréquence la norme est-elle mise à jour ?

En fonction des changements technologiques, des tendances, des préoccupations émergentes et des cybermenaces, les normes NERC CIP évoluent au fil du temps. Par exemple, la norme CIP-001, qui portait sur le signalement du sabotage, a été retirée. Pas plus tard que l’année dernière, des mises à jour ont été apportées aux exigences en réponse à l’évolution du paysage du secteur. La norme CIP-015, dont nous avons parlé plus tôt, en est un bon exemple.

Mon entreprise doit-elle respecter les exigences NERC CIP ?

Parce que ces normes sont des règlements, elles sont aussi des exigences, ce qui signifie qu’elles sont imposées par la loi. Les services publics d’électricité et les entreprises de transport et de distribution d’électricité doivent se conformer à ces exigences.

Par le biais d'audits sur site et hors site et de vérifications ponctuelles, la NERC assure le suivi, l'évaluation, l'investigation et le respect de la conformité dans le cadre de son programme de surveillance et d'application de la conformité.

Si votre entreprise ne s'y conforme pas, elle s'expose à des conséquences potentielles, notamment des amendes, des sanctions et d'autres actions.

Vous aider à protéger votre infrastructure électrique

Nos experts du secteur ont des décennies d’expérience à aider les services publics à se préparer pour l’avenir tout en optimisant le fonctionnement et la valeur des équipements existants. Nos consultants en automatisation numérique, nos consultants en solutions et nos architectes de solutions comprennent les complexités du secteur des services publics d'électricité, ont travaillé sur le terrain et connaissent les défis auxquels vous êtes confrontés. Si vous avez des questions sur la meilleure façon d’appliquer les normes NERC CIP, nous sommes là pour vous aider.

Les experts de nos centres d’innovation client travaillent en étroite collaboration avec vous pour évaluer les points forts, les lacunes et les flux de travail de votre réseau de services publics. À partir de là, nous pouvons vous aider à définir des objectifs pratiques en matière de cybersécurité, vous montrer comment augmenter la valeur et traiter les KPI opérationnels, et créer un plan qui vous servira de guide tout au long du processus.

À mesure que les normes NERC CIP continuent d’évoluer, nous vous tiendrons au courant. Restez à l’écoute pour consulter plus de contenu éducatif de notre part sur les actualités, y compris plus d’informations sur la norme CIP-015.

En savoir plus sur les solutions énergétiques de Belden.

Liens associés

• Attaques contre les infrastructures électriques critiques : pourquoi la cybersécurité est nécessaire
• Livre blanc sur l’alimentation ininterrompue
• Power Up : les services publics doivent se préparer à répondre à la demande croissante d’énergie