ACCUEIL DU BLOGUE

  • Lignes électriques avec un beau ciel rose mettant en valeur le secteur de l'énergie et des services publics

20 septembre

Selon le Société nord-américaine de fiabilité électrique (NERC)Les normes CIP représentaient sept des dix normes à risque grave et modéré les plus fréquemment violées en 2022.

Les trois normes les plus enfreintes sont les normes CIP-007, CIP-010 et CIP-004, soit un total de 200 violations. Chacune de ces normes offre des milliers d'occasions de manquer un événement ou un document lié à la conformité.

De plus, chaque exigence unique recèle des centaines d'opportunités similaires. C'est particulièrement vrai lorsque les services publics utilisent des processus de suivi basés sur des feuilles de calcul. Cet article détaille certains des défis les plus courants liés à ces normes CIP, souvent violées. Nous expliquons également comment l'automatisation peut aider les services publics à réduire les risques.

Lire gratuitement un exemple pour découvrir comment un service public a automatisé les processus de conformité NERC

CIP-007 : Cybersécurité – Gestion de la sécurité des systèmes

Les non-conformités à la norme CIP-007 ont représenté la majeure partie des signalements de non-conformité à risque grave et modéré auprès de la NERC (108 au total) en 2022. Cette norme exige l'inventaire, le contrôle, la surveillance et la mise à jour de plusieurs aspects de tous vos actifs concernés. Cela comprend les ports et services, les correctifs de sécurité, la détection de codes malveillants, les événements de sécurité et l'accès aux systèmes. Sachant que vous pouvez en posséder des dizaines, des centaines, voire des milliers. pour chaque actifLa quantité de données à suivre et à traiter est impressionnante. Un tel volume de données et toute manipulation manuelle de celles-ci augmentent le risque de non-conformité.

Un certain nombre de défis liés au suivi manuel contribuent au nombre élevé de non-conformités signalées pour cette norme, notamment :

  • L’absence d’escalades et de rappels augmente le risque de manquer les dates de conformité, par exemple, la fenêtre de 35 jours pour l’évaluation des correctifs ou la fenêtre de 15 jours pour examiner les journaux des événements de sécurité.
  • Les preuves de validation et de mise en œuvre décentralisées rendent difficile le suivi, le doublement, voire le triplement de l'effort requis pour les certifications annuelles ou les logiciels audit préparation.
  • Les contrôles manuels pour l’évaluation, l’approbation, l’installation et l’atténuation des correctifs sont sujets aux erreurs et difficiles à prouver, en particulier compte tenu du grand nombre de correctifs que les services publics doivent documenter.

Un automatisé Système de gestion de la conformité NERC simplifie ces processus avec la possibilité de :

  • Importez des lignes de base quotidiennes dans la plateforme et cataloguez-les automatiquement via l'intégration API avec un outil de base pour gagner du temps sur la collecte de preuves
  • Utilisez des flux de travail déclenchés par le temps pour rappeler aux PME d'évaluer les correctifs de sécurité, avec des escalades automatisées à l'approche des délais agissant comme une sécurité intégrée pour le système
  • Fournir des preuves liées aux correctifs, telles que la date d'évaluation des correctifs, les approbations, les plans d'atténuation et les signatures numériques

Ces fonctionnalités éliminent une grande partie des erreurs humaines contribuant aux violations de conformité NERC. Elles permettent aux services publics de fournir des preuves concises et facilement accessibles aux auditeurs. Elles permettent également un gain de temps considérable. Les PME peuvent alors se concentrer sur des activités plus importantes. L'automatisation de la gestion des correctifs, par exemple, permet de gagner jusqu'à deux heures par mois et par actif.

CIP-010 : Cybersécurité – Gestion des changements de configuration et évaluations des vulnérabilités

La norme CIP-010 a enregistré 55 signalements de non-conformité graves et modérées à la NERC en 2022. Cette norme vise à prévenir les modifications non autorisées de l'environnement, notamment via les actifs cybernétiques transitoires (TCA) et les supports amovibles. Là encore, un grand nombre de violations peuvent être imputées aux processus de suivi manuel. Ces processus créent des obstacles à la conformité de plusieurs manières :

  • Le suivi basé sur une feuille de calcul ne fournit pas de mécanisme permettant d'avertir les équipes des modifications non autorisées apportées à l'environnement.
  • Des preuves décentralisées autour la gestion du changement complique le processus de changement et limite l’efficacité des contrôles internes.
  • Les autorisations et les escalades sont difficiles à suivre manuellement et peuvent entraîner des dates de conformité manquées.
  • La documentation de l’identité et de l’intégrité de tous les logiciels, une nouvelle exigence à partir de 2020, peut facilement être manquée.

Le logiciel de gestion de la conformité NERC répond à ces défis en fournissant un processus de gestion des changements intégré avec :

  • Escalades automatiques, collecte de preuves et étiquetage pour les contrôles CIP-005 et CIP-007
  • La capacité de rationaliser les tests d'identité des logiciels, la validation de l'intégrité et la collecte de preuves dans les environnements de test et de production
  • Évaluations de vulnérabilité, flux de travail et collecte automatisée de preuves initiés dans le temps, garantissant qu'ils sont exécutés à temps
  • Flux de travail automatisés pour suivre toutes les données, toute la documentation et toutes les approbations nécessaires dans le processus de changement d'actifs

Ce dernier élément est particulièrement important, car de nombreux services publics ont du mal à rester au courant de tous les changements de configuration dans leurs environnements distribués et variés.

CIP-004 : Cybersécurité – Personnel et formation

En 2022, les entités ont signalé 37 cas de non-conformité à risque grave et modéré au titre de la norme CIP-004. Dans ce contexte, de nombreux services publics peinent à garantir le respect de nombreuses conditions préalables avant d'accorder l'accès au système, ainsi qu'à respecter les délais de révocation de l'accès.

Les domaines souvent négligés avant d’accorder l’accès aux employés sont la vérification des antécédents, l’évaluation des risques du personnel et la formation à la sensibilisation à la cybersécurité.

La norme CIP-004 impose également des délais stricts en matière de révocation des accès. Cela inclut la révocation de certains types d'accès dans les 24 heures suivant la résiliation. Là encore, la décentralisation du suivi manuel constitue un défi majeur. Il est donc difficile de recueillir des preuves et des autorisations lors de l'octroi ou de la révocation des accès. De plus, l'absence de remontée d'informations peut entraîner le non-respect des délais de conformité pour la norme CIP-004 R.5.

L'automatisation du processus de gestion des accès résout ces problèmes en empêchant l'accès si les conditions préalables ne sont pas remplies. Autrement dit, le système interrompt le processus tant que les preuves de conformité ne sont pas disponibles. Les experts reçoivent des rappels des dates et des activités de conformité. De plus, des notifications sont transmises à la direction si ces activités ne sont pas terminées. L'intégration avec des logiciels tiers automatise la collecte et l'étiquetage des preuves liées à l'octroi et à la révocation des accès.

Globalement, ces fonctionnalités réduisent considérablement le temps nécessaire à la collecte des preuves. Elles fournissent également un système d'archivage unique pour toutes les preuves, les flux de travail et les demandes de modification d'accès liés à la conformité.

Conclusion

Les activités de conformité répétitives impliquant un suivi basé sur des feuilles de calcul sont propices aux erreurs humaines. Face à des centaines, voire des milliers, d'occasions d'échouer dans les tâches de conformité, les services publics ont besoin d'un meilleur système pour rester au fait des obligations de la NERC.

Un système automatisé de gestion de la conformité NERC standardise la collecte des preuves afin de minimiser les écarts de conformité. Des remontées d'informations et des rappels périodiques constituent une sécurité supplémentaire pour garantir le respect des exigences par les organisations. Au final, cela signifie également que les PME peuvent consacrer plus de temps à la surveillance des contrôles internes et à la validation de la conformité des preuves aux objectifs de sécurité, l'essence même de la conformité.

Téléchargez un eBook gratuit sur Sélection et mise en œuvre d'un logiciel automatisé de gestion de la conformité NERC

À propos de l’auteur

Catherine Wagner Kathryn est vice-présidente des solutions industrielles, de l'énergie et des services publics chez AssurX. Elle possède plus de 25 ans d'expérience en intégration et conformité des systèmes de fabrication. Elle est responsable du développement et de l'évolution des offres de produits conformes à la norme NERC. Ces systèmes sont axés sur la fiabilité et la résilience.