27 février 2017
Le Société nord-américaine de fiabilité électrique (NERC) de presse rapport partager des idées et des conseils pour aider les professionnels du secteur des services publics à identifier, prévenir ou au moins atténuer les menaces pesant sur le Bulk Power System (BPS).
Catégories de risque
NERC, l'organisation de fiabilité électrique (ERO) couvrant l'Amérique du Nord, classe les risques en trois catégories :
- Risque élevé: Vulnérabilités en matière de cybersécurité, évolution de la composition des ressources, planification du BPS et adéquation des ressources.
- Risque modéré:Perte de conscience de la situation, vulnérabilités en matière de sécurité physique et événements naturels extrêmes.
- Risque faible:Gestion et maintenance des actifs, performance humaine et main d'œuvre qualifiée.
Si les événements météorologiques demeurent les menaces les plus courantes, il n'est pas surprenant que la NERC place les questions de cybersécurité au sommet de la pyramide des menaces. Les cybermenaces deviennent de plus en plus sophistiquées et nombreuses.
Les menaces de cybersécurité peuvent frapper fort
L’exploitation des vulnérabilités en matière de cybersécurité peut entraîner une perte de contrôle ou des dommages au BPS, aux communications vocales, aux données, aux systèmes de surveillance, de protection et de contrôle et autres, laissant les gens dans l’obscurité et le froid pendant de longues périodes.
La NERC demande l'aide de l'industrie
La NERC appelle l'industrie à collaborer avec elle pour adopter une approche agile et multidimensionnelle afin de faire face à l'évolution constante des menaces en matière de cybersécurité. Elle cite plusieurs exemples. Par exemple, elle souhaite une participation accrue aux centres de partage et d'analyse d'informations (E-ISAC) et à leurs produits, des évaluations par les pairs et des visites d'assistance pour évoluer vers ce qu'elle appelle un modèle de « bonnes pratiques ». Elle souhaite également des recommandations pour faire face aux menaces nouvelles et moins bien définies.
Importance de la planification et de la gestion des risques du BPS
La planification du BPS est également essentielle pour la gestion des risquesLa NERC recommande à l'ERO Enterprise de collaborer avec l'industrie, les fabricants et les développeurs de ressources asynchrones afin de développer et de mettre à disposition des modèles dynamiques précis. L'ERO devrait également collaborer avec l'industrie pour :
- Identifier le type et la fréquence des informations nécessaires provenant des ressources énergétiques distribuées.
- Créer des lignes directrices et des meilleures pratiques pour le développement et la maintenance de modèles de systèmes, dynamiques et électromagnétiques précis qui incluent la transmission, les ressources, la charge et les dispositifs contrôlables à utiliser dans la planification opérationnelle et à long terme
- Continuer d’évaluer les performances du système ERS afin d’élaborer les lignes directrices nécessaires pour déterminer si des normes de fiabilité sont requises.
- La NERC devrait également poursuivre sa collaboration avec les coordonnateurs de la planification afin d'étendre le développement de modèles d'interconnexion à l'échelle du réseau, en fonction des envois prévus. Cette collaboration permettra de réaliser des évaluations de planification à long terme plus efficaces.
Comment identifier les pièges liés aux ressources
Le rapport souligne également l'importance de l'adéquation des ressources et de la performance. Il stipule notamment que l'entreprise ERO devrait :
- Continuer à améliorer la modélisation et les méthodes probabilistes avec l’industrie pour évaluer l’adéquation des ressources afin d’inclure les impacts de l’ERS, les mises hors service d’unités et la variabilité de la charge et des ressources au cours de différentes périodes, y compris les mois intermédiaires.
- Évaluer et élaborer des recommandations d’atténuation pour traiter les points de perturbation uniques, tels que les imprévus liés au carburant, qui entraîneront d’importantes pannes de ressources.
- Développer de nouvelles mesures de fiabilité au-delà des marges de réserve, y compris la suffisance des réserves obligatoires de réserve.
- Continuer d’évaluer les vulnérabilités de la disponibilité du carburant dans le cadre de l’évaluation de l’adéquation des ressources et de la capacité opérationnelle.
Analyse supplémentaire nécessaire
Le secteur des services publics doit également apporter sa contribution, souligne le rapport. Il devrait évaluer les possibilités de développer des modèles de prévision de la charge à court terme plus précis.
L'industrie devrait également analyser les besoins en données nécessaires pour garantir une information suffisamment détaillée sur la capacité et la performance du BPS, impacté par les ressources énergétiques décentralisées. Elle devrait également collecter des données au-delà des simples prévisions de la demande et les élargir pour identifier la capacité des ressources, leur localisation et la capacité des ERS.
Des solutions puissantes de gestion de la conformité NERC sont nécessaires
Compte tenu du niveau et de l'intensité de ces menaces plus sophistiquées, les responsables de la conformité des services publics doivent adopter un système performant et automatisé de gestion de la conformité NERC. AssurX a collaboré étroitement avec un grand service public pour la mise en œuvre complète de son système de gestion d'entreprise pour l'énergie et les services publics.
La mise en œuvre a permis de créer des flux de travail hautement automatisés et intégrés, conçus pour répondre aux nouvelles réglementations de conformité NERC CIP. Plus précisément, ils ont pris en compte les normes NERC Cyber CIP-002-5.1 et CIP-007-6. Les flux de travail AssurX couvrent la gestion des actifs, la gestion des correctifs logiciels/micrologiciels, la gestion des modifications et les contrôles.
Les solutions fournissent un audit complet et en temps réel de toutes les modifications apportées à un actif pendant sa durée de vie. Cela inclut l'historique des correctifs logiciels/micrologiciels installés. Les workflows AssurX incluent des tâches de révision récurrentes basées sur un calendrier, des rappels, des escalades, des notifications par e-mail et des signatures électroniques des responsables de la conformité et des opérations.
