Un examen plus approfondi du cadre de la NERC pour garantir la fiabilité énergétique : Partie 1

Dans cette série de blogs en deux parties, nous aborderons le cadre régional actuel de la NERC visant à garantir la fiabilité énergétique. Nous soulignerons les différences entre les organismes fédéraux, régionaux et canadiens, et aborderons les exigences du CIP en matière de collaboration, de protocoles de sécurité et de collaboration.

Ce blog fournit un aperçu du cadre régional du NERC et commence à identifier le rôle du régulateur dans la fiabilité, la sécurité et la résilience du réseau électrique.

Nouveau dans la conformité NERC : qu'ai-je fait de mal ?

Vous avez travaillé dur à l'école pour obtenir vos certifications et formations informatiques. Vous avez investi d'innombrables heures à perfectionner vos compétences, rêvant du jour où vous décrocheriez l'emploi de vos rêves dans une grande entreprise. Vous vous imaginiez configurer des réseaux critiques, mettre à jour des logiciels pour assurer la sécurité de l'entreprise et explorer les subtilités des implémentations de plateformes logicielles d'entreprise les plus innovantes. Vous étiez convaincu que votre connaissance de ces technologies complexes serait votre clé du succès. Vous enrichiriez votre CV et ouvririez la voie à de nouvelles opportunités menant à une carrière réussie, enrichissante et lucrative.

Vous recevez enfin l'offre d'emploi tant attendue et vous souhaitiez intégrer l'équipe informatique de la plus grande compagnie d'électricité de votre ville natale. Tous vos efforts ont porté leurs fruits ! Cependant, en entrant dans le monde de l'énergie, vous réalisez rapidement qu'une part importante de votre travail consiste à soutenir les équipes. Conformité NERC. Plutôt que de vous intéresser aux technologies de pointe que vous aviez anticipées, votre rôle consiste principalement à cocher une case (et à le prouver) plutôt qu'à être un pionnier de l'innovation et à tester des solutions innovantes. Vous occupez ce poste car vous possédez les connaissances informatiques nécessaires et êtes particulièrement qualifié pour extraire les informations de base des actifs OT. Déployez des correctifs dans les environnements d'infrastructure critiques qui permettent le déploiement du réseau et comprenez la différence entre IT et OT.

Attendez, est-ce la NERC ou la FERC ? Enregistrer

Eh bien, c'est un peu les deux. La NERC a été créée par la FERC (Federal Energy Regulatory Commission) pour être une collaboration entre les entités réglementées qui élaborent les normes de conformité de la NERC, sur la base des décisions de la FERC. Ainsi, l'industrie crée le langage et la formulation, les approuve, puis soumet le tout à la FERC pour approbation. Ce processus est long, et assister à la fabrication du produit est à la fois éclairant et frustrant. On peut débattre pendant 90 minutes de la définition du mot « fournisseur » sans parvenir à un consensus.

La bonne nouvelle, c'est que si vous maîtrisez les efforts de conformité de la NERC et comprenez les meilleures pratiques de cybersécurité pour les infrastructures critiques, vous conserverez un emploi rémunéré jusqu'à votre retraite ! Et vous pouvez honnêtement affirmer que vous contribuez à la protection de l'infrastructure la plus critique des États-Unis : le réseau électrique, ce qui vous confère un emploi important et un but.

Eh bien, vous voilà, et voici votre mission. Nous reconnaissons tous que, dans le monde interconnecté d'aujourd'hui, des infrastructures énergétiques fiables et sûres sont essentielles au maintien de notre mode de vie moderne. La North American Energy Reliability Corporation (NERC) joue un rôle essentiel dans la préservation de la stabilité et de la résilience du réseau électrique nord-américain. Votre mission est importante.

NERC CIB

Lorsque vous repensez à ce moment où l'on vous a proposé le poste, le terme NERC CIP était nouveau, et vous ne saviez même pas l'épeler si on vous le demandait après l'avoir entendu pour la première fois.

Vous savez désormais que cela signifie « Protection des infrastructures critiques » et c’est devenu votre priorité principale.

Le NERC CIP se concentre principalement sur la protection des infrastructures et des actifs critiques au sein de l'ESP (périmètre de sécurité électronique), ce qui signifie que si cette « chose » tombe en panne, vous risquez d'avoir une panne.

Les exigences CIP portent également sur des aspects tels que l'accès à ces systèmes ou actifs, tant du point de vue de la sécurité physique que de la cybersécurité. Vous devrez vous tenir informé de l'origine et de la provenance de ces systèmes informatiques, conformément aux exigences de la chaîne d'approvisionnement. Vous commencez à décortiquer la formation apparemment interminable nécessaire à votre réussite et découvrez qu'il vous faut approfondir 14 normes côté CIP, tandis qu'il existe un ensemble de normes complètement différent, celui de la norme NERC 693, pour les opérations et la planification. Vous devrez probablement maîtriser au moins deux d'entre elles, et vite ! Vous constaterez généralement que plus l'entreprise d'électricité est petite, plus vous devez assumer de responsabilités. Alors que vous commencez à comprendre le réseau complexe des réglementations NERC, votre responsable de la conformité vous présente le concept d'entité régionale et l'équipe d'audit attendue plus tard dans l'année.

Que se passe-t-il si vous vous trompez ou ne parvenez pas à prouver que vous avez raison (conformité) lorsque l'auditeur vous demande quelque chose ? L'entité, qui devient alors votre employeur, peut être citée à comparaître ou condamnée à une amende (jusqu'à un million de dollars par jour pour un seul incident). Personne ne souhaite que sa journée se déroule ainsi.

Entités régionales

Je consacrerai le reste de mon article à détailler les différentes régions du périmètre de la NERC et à éclaircir l'approche d'audit régional, vous fournissant ainsi les bases de ce que vous devez savoir. Examinons le fonctionnement de la NERC et l'importance de l'application régionale. Cet article vise à simplifier le fonctionnement des entités régionales de la NERC, en mettant en lumière leur objectif, leur structure et leurs mécanismes d'application.

La Mission

Tout d'abord, il est essentiel de comprendre la mission globale de cet organisme de réglementation. L'objectif principal de la NERC est d'assurer la fiabilité et la sécurité du réseau de transport d'électricité en vrac, qui couvre les États-Unis, le Canada et une partie du Mexique. En élaborant et en appliquant un ensemble de normes obligatoires, la NERC s'efforce de maintenir l'intégrité et la résilience de cette infrastructure essentielle. Mais le « R » de NERC signifie « Fiabilité » et c'est bien là l'objectif. J'ai déjà discuté avec des auditeurs afin de mieux comprendre leur travail et leur état d'esprit, et je me souviens qu'un ancien auditeur RF m'avait rappelé que RF signifie « Fiabilité d'abord ». C'est la mission des entités régionales de la NERC.

Afin de gérer et d'appliquer efficacement les normes, la NERC a initialement créé huit entités régionales en Amérique du Nord. L'entité régionale de Floride a été absorbée par la SERC, tandis que l'entité régionale du centre du pays, SPP, a vu la majeure partie de son empreinte transférée vers le MRO. Ces entités jouent le rôle d'organismes de réglementation de première ligne, responsables du suivi de la conformité, de l'application de la réglementation et des activités de soutien dans leurs régions respectives. Leurs principaux objectifs sont de faciliter la communication et la collaboration, de réaliser des audits et des évaluations, et de promouvoir le respect constant des normes de la NERC.

Chaque entité régionale opère dans une zone géographique définie et est composée d'experts du secteur, de professionnels de la réglementation et de spécialistes techniques. Ces entités servent d'intermédiaires entre la NERC et les services publics, garantissant la mise en œuvre et le suivi efficaces des efforts de conformité. Elles travaillent en étroite collaboration avec les services publics, les agences gouvernementales et les autres parties prenantes afin de favoriser une culture de fiabilité et d'améliorer la sécurité du réseau électrique.

Les audits

Les entités régionales avaient autrefois une approche assez unique en matière d’audits et une région pouvait se concentrer sur un domaine d’activité. NERC CIB et un autre se concentrait sur un autre. Certaines régions, et même certains auditeurs, étaient plus exigeants que d'autres. Les audits multirégionaux étaient les plus difficiles, car des personnes de différentes régions cherchaient toutes à être les plus intelligentes. La discussion pouvait aller n'importe où et, en matière de conformité NERC, le plus difficile est d'avoir raison à chaque fois. Il faut pouvoir prouver des faits du passé, parfois même remontant à trois ans.

La réussite des entités régionales de la NERC repose sur la collaboration et le partage d'informations entre les différentes parties prenantes afin de les aider à mieux élaborer et suivre leurs processus et, surtout, à prouver qu'ils les ont suivis. Conscientes de l'interdépendance du secteur de l'électricité, ces entités facilitent l'échange de bonnes pratiques, d'expériences et de menaces émergentes au sein de leurs régions. Elles constituent également une ressource précieuse pour les services publics, en leur offrant conseils et soutien pour améliorer la conformité et la fiabilité.

Alors que le secteur des services publics d'énergie continue d'évoluer, les entités régionales de la NERC sont confrontées à de nouveaux défis et opportunités. Avec l'augmentation de l'offre d'énergies renouvelables, les avancées technologiques et l'émergence de cybermenaces, le rôle de ces entités dans la garantie d'un réseau résilient et sécurisé devient encore plus crucial. Pour s'adapter à ces changements, les entités régionales adaptent constamment leurs stratégies d'application et s'efforcent de favoriser l'innovation et la collaboration.

Bringing It Home

Les entités régionales de la NERC sont au cœur des efforts de conformité et d'application de la réglementation au sein du réseau électrique nord-américain. En comprenant mieux leur objectif, leur structure et leurs fonctions, les professionnels du secteur de l'énergie peuvent s'y retrouver avec plus de confiance dans le contexte complexe de la conformité à la NERC. Face à l'évolution constante du secteur de l'énergie, les entités régionales de la NERC joueront un rôle essentiel pour préserver l'intégrité de nos infrastructures critiques, favoriser la collaboration et relever les défis émergents. Elles peuvent même infliger des amendes de plusieurs millions de dollars à votre entreprise si vous ne respectez pas toutes les normes. Bienvenue dans votre rôle de conformité à la NERC CIP !

Toutes les entités régionales de la NERC (ERC) se sont donné la même mission principale : garantir la fiabilité du réseau électrique en élaborant et en appliquant des normes de fiabilité obligatoires. Elles veillent à ce que les services publics, les opérateurs de transport et les autres parties prenantes de leur juridiction respectent ces normes, qui couvrent divers aspects tels que la planification, l'exploitation, la maintenance et la cybersécurité du réseau de transport.

Rejoignez-nous pour la deuxième partie de cette série de blogs où nous discutons de l’importance et de l’impact des audits régionaux et appelons les différentes entités régionales et comment elles sont structurées.

Regardez notre récent webinaire, où nous approfondissons les solutions pratiques pour rationaliser la conformité CIP-004 dans votre organisation.

À propos de l’auteur

Scott Crow Scott est stratège senior en systèmes d'entreprise pour l'énergie et les services publics chez AssurX. Il a fait ses preuves en fournissant des solutions IT/OT performantes pour relever les défis de la cybersécurité des infrastructures critiques. Passionné par l'innovation, il se spécialise dans l'interaction entre les personnes, la technologie et les processus.