ACCUEIL DU BLOGUE

  • Gros plan de panneaux solaires avec de l'herbe verte et un ciel nuageux

2 novembre 2023

La gestion des risques liés à la chaîne d'approvisionnement est primordiale pour la cybersécurité des services publics. En effet, toute perturbation de la chaîne d'approvisionnement peut avoir de graves conséquences pour ces fournisseurs d'infrastructures critiques, ce qui est devenu de plus en plus évident ces dernières années.

Pour faire face à ce risque, la Federal Energy Regulatory Commission (FERC) exige le respect des exigences fournies par la North American Electric Reliability Corporation (NERC) CIP-013 : Cybersécurité – Gestion des risques de la chaîne d'approvisionnement pour les services publics.

Nous examinons ici pourquoi cette norme est si importante, ses exigences et ses preuves, et ce que les services publics doivent savoir sur leurs plans de gestion des risques de cybersécurité de la chaîne d’approvisionnement.

Téléchargez un eBook gratuit sur Sélection et mise en œuvre d'un logiciel automatisé de gestion de la conformité NERC

L'importance de la gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement des services publics

Les cyberattaques gagnent en sophistication, les attaquants ciblant fréquemment les chaînes d'approvisionnement pour infiltrer les systèmes des services publics. Dans ce contexte, le renforcement des contrôles de cybersécurité de la chaîne d'approvisionnement permet aux services publics de :

  • Protéger les infrastructures critiques: Les failles de sécurité informatique peuvent entraîner des pannes généralisées, représentant des menaces importantes pour la sécurité publique. Prenons l'exemple de la crise de 2015. Cyberattaque contre le réseau électrique ukrainien via des mises à jour de logiciels infectées par des logiciels malveillants qui ont laissé environ 225,000 XNUMX clients sans électricité.
  • Empêcher tout accès non autorisé : Les vulnérabilités peuvent exposer des composants, du matériel et des logiciels aux cyberattaques, comme lors de la cyberattaque SolarWinds de 2020. Cet événement, probablement le plus important du genre, a touché plus de 30,000 XNUMX organisations. Les pirates ont alors installé un code malveillant dans un correctif logiciel tiers pour accéder aux comptes des victimes et échapper à la détection des antivirus.
  • Atténuer les menaces internes : Les fournisseurs tiers qui effectuent la maintenance et les mises à jour logicielles peuvent introduire des menaces internes s'ils ne sont pas soumis à des normes de sécurité strictes.
  • Assurer la conformité réglementaire : Le non-respect de la norme NERC CIP-013 peut entraîner des amendes et pénalités importantes pour les services publics. La NERC peut imposer des pénalités pouvant aller jusqu'à 1 million de dollars par jour aux entités enregistrées qui ne respectent pas la norme.

Exigences CIP-013

Le CIP-013 exige que les entités responsables élaborent des plans de gestion des risques de cybersécurité de la chaîne d'approvisionnement qui incluent des processus d'approvisionnement pour identifier et évaluer les risques de cybersécurité liés aux produits ou services découlant :

  • Acquisition et installation de nouveaux équipements et logiciels fournisseurs
  • Transition d'un fournisseur à un autre

En outre, les processus d’approvisionnement doivent aborder plusieurs éléments clés :

  • Exigences de notification des fournisseurs pour les incidents tels que les violations identifiées par les fournisseurs ou les failles de sécurité qui présentent un risque de cybersécurité
  • Comment vous réagirez à ces incidents une fois que le fournisseur vous aura notifié
  • Exigences pour que les fournisseurs vous informent lorsque l'accès à distance ou sur site doit être révoqué aux représentants des fournisseurs, par exemple lorsqu'un employé du fournisseur est licencié
  • Divulgation par le fournisseur des vulnérabilités connues dans les produits ou services
  • Vérification de l'intégrité et de l'authenticité de tous les correctifs logiciels fournis par le fournisseur
  • Comment vous coordonnerez les contrôles pour l'accès à distance interactif initié par le fournisseur et l'accès à distance de système à système

Il est important de noter que la norme CIP-013 couvre spécifiquement les nouveaux contrats et achats. Autrement dit, les services publics n'ont pas besoin de modifier les contrats existants ni d'analyser les logiciels existants. Cependant, lors de l'achat de nouveaux logiciels, vous devez suivre les procédures définies dans votre plan de gestion des risques de cybersécurité de la chaîne d'approvisionnement.

Par ailleurs, il convient de souligner que la norme ne précise pas les conditions générales des contrats d'approvisionnement. Elle n'impose pas non plus de niveau spécifique de performance des fournisseurs ni de respect des contrats. Les services publics doivent plutôt suivre leurs processus d'approvisionnement établis pour gérer les risques de cybersécurité dans la chaîne d'approvisionnement au fur et à mesure des événements.

Preuve CIP-013

Pour démontrer votre conformité à la norme CIP-013, vous aurez besoin d'un ou plusieurs plans documentés de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement, ainsi que de la documentation de leur mise en œuvre. Cette documentation peut inclure :

  • Documents de politique
  • Contrats fournisseurs
  • Correspondance avec les fournisseurs
  • Évaluations des risques des fournisseurs
  • Rapports d'un outil de gestion de la conformité qui montrent que vous utilisez votre plan

Le cadre supérieur du CIP ou son délégué doit examiner et approuver le plan au moins une fois tous les 15 mois, avec des preuves qui peuvent inclure :

  • Date d'examen et d'approbation
  • Documents de politique
  • Historique des révisions
  • Examiner les preuves
  • Preuves du flux de travail provenant du gestion de documents Système

Que contient le plan de gestion des risques de cybersécurité de la chaîne d’approvisionnement ?

Le Forum nord-américain sur la transmission (NATF) a développé l'orientation Ce modèle vise à aider le secteur des services publics à déterminer comment se conformer à la norme CIP-013. Le modèle NATF pour l'élaboration du plan de gestion des risques de cybersécurité de la chaîne d'approvisionnement s'articule autour de cinq étapes principales :

  1. Collecte d'informations
  2. Évaluer ces informations et gérer les risques
  3. Réaliser une évaluation des risques
  4. Prendre la décision d'achat
  5. Mettre en œuvre vos contrôles et surveiller vos risques

Sur le Site Web de la NATF Les services publics peuvent trouver les critères de sécurité de la chaîne d'approvisionnement de la NATF et le questionnaire sur les risques de la chaîne d'approvisionnement du secteur de l'énergie (ESSCR) pour les aider à éclairer leurs plans de gestion des risques.

Les critères de sécurité de la chaîne d'approvisionnement de la NATF comprennent un aperçu de haut niveau des meilleures pratiques à rechercher auprès des fournisseurs dans des domaines tels que :

  • Contrôle et gestion des accès
  • Gestion des actifs, des changements et de la configuration
  • Gouvernance
  • Réponse aux incidents
  • Protection de l'information
  • Gestion des vulnérabilités

L'ESSCR examine les informations sur les fournisseurs à un niveau plus granulaire, en fournissant plus de 200 questions que les services publics peuvent poser aux fournisseurs tiers sur les pratiques liées à :

  • Pratiques de la chaîne d'approvisionnement et dépendances externes
  • Procédures de gestion des effectifs
  • Gestion des identités et des accès
  • Gestion des programmes de cybersécurité
  • Gestion des changements et des configurations
  • Outils et architecture de cybersécurité
  • Protection des données
  • Procédures de réponse aux événements et aux incidents
  • Appareils et applications mobiles
  • La gestion des risques
  • Gestion des vulnérabilités

Simplification de la conformité CIP-013

Au-delà de la simple documentation de votre plan de gestion des risques de cybersécurité de la chaîne d’approvisionnement, les services publics doivent disposer de processus solides pour les mettre en œuvre et les documenter.

Un automatisé Système de gestion de la conformité NERC soutient ces efforts en leur fournissant un système centralisé pour :

  • Suivi des produits et services des fournisseurs
  • Stockage des accords avec les fournisseurs
  • Documenter la communication avec les fournisseurs
  • Enregistrement des incidents et historique des réponses
  • Suivi et analyse comparative des performances des fournisseurs
  • Relier les informations sur les risques des fournisseurs aux informations de suivi des actifs

Non seulement cela aide les services publics à rester en conformité avec la norme CIP-013, mais cela les aide également à prendre des décisions de sélection plus intelligentes concernant les fournisseurs, tout en offrant une meilleure visibilité sur les risques.

Conclusion

La gestion des risques liés à la chaîne d'approvisionnement est primordiale dans le secteur des services publics, notamment en matière de cybersécurité et de protection des infrastructures critiques. Les attaques contre le secteur des services publics ont souvent eu lieu via la chaîne d'approvisionnement et peuvent avoir des conséquences considérables pour les clients et les services publics eux-mêmes.

La norme CIP-013 exige des plans rigoureux de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement, garantissant que les processus d'approvisionnement ne mettent pas involontairement en danger l'infrastructure. Un système automatisé de gestion de la conformité NERC peut garantir la mise en place et le bon fonctionnement de ce plan, en fournissant une source unique de documentation et de performance des fournisseurs.

Téléchargez un guide gratuit sur Planification d'une préparation réussie de l'outil de demande de preuves NERC CIP (ERT)

À propos de l’auteur

Catherine Wagner Kathryn est vice-présidente des solutions industrielles, de l'énergie et des services publics chez AssurX. Elle possède plus de 25 ans d'expérience en intégration et conformité des systèmes de fabrication. Elle est également responsable du développement et de l'évolution des offres de produits conformes à la norme NERC et des systèmes connexes axés sur la fiabilité et la résilience.