La NERC va étendre les normes de fiabilité du CIP

La Commission fédérale de réglementation de l'énergie (FERC) a publié le 848 juillet l'ordonnance n° 19, qui ordonne à la North American Electric Reliability Corp. (NERC) d'étendre les normes de fiabilité CIP pour inclure la déclaration obligatoire des incidents de cybersécurité susceptibles de nuire au système électrique en vrac (BES).

Cette ordonnance favorisera une vision plus proactive de la cybersécurité et permettra une évaluation plus efficace de l'exposition aux risques liés aux BES. Elle s'inscrit dans les meilleures pratiques du secteur, qui consistent à adopter des modèles CIP pour des mesures préventives et basées sur les risques afin de protéger les BES.

La menace est réelle

Les pirates informatiques russes viennent d'affirmer qu'ils étaient capables de pénétrer les salles de contrôle des services publics américains l'année dernière et aurait pu provoquer des pannes de courant généralisées. Alors que l'enquête se poursuit, il ne fait guère de doute parmi les experts de l'industrie qu’à tout moment, les cyberattaques peuvent compromettre les flux d’énergie.

Soulignant ce potentiel imminent, l'ordonnance 848 demande à la NERC de modifier les normes de fiabilité du CIP pour rendre obligatoire le signalement des « incidents de cybersécurité, y compris les incidents susceptibles de faciliter les efforts ultérieurs visant à nuire au fonctionnement fiable du BES [du système électrique en vrac] ».

L'impulsion derrière l'ordre

Un manque d'incidents liés à la cybersécurité signalés conformément à la norme de fiabilité actuelle de la NERC CIP-008-5 La réglementation relative au signalement des incidents de cybersécurité et à la planification des interventions a suscité des inquiétudes au sein de la FERC, et ce à juste titre. Signaler une compromission ou une perturbation d'« une ou plusieurs tâches de fiabilité » après la compromission peut être le signe d'un manque de vigilance intégré à un cadre global de gestion de la cybersécurité.

Les entités enregistrées seront bientôt tenues de signaler toute tentative de compromission de leur périmètre de sécurité électronique (ESP) ou de leur système de contrôle d'accès ou de surveillance électronique (EACMS) associé. Tout dispositif situé à l'intérieur du périmètre et considéré comme un actif cybernétique critique entre dans le cadre de ce seuil.

Impact sur la classification des risques et des menaces

La nouvelle norme permettra au BES de mieux comprendre les menaces de cybersécurité existantes et futures, ainsi que les vulnérabilités potentielles. De plus, la NERC devrait resserrer les délais de soumission des rapports d'incidents de cybersécurité, « en s'appuyant sur une évaluation de l'impact des risques et une approche de hiérarchisation des incidents ».

Le signalement des menaces pesant sur le BES avant une compromission confirmée permet aux régulateurs (E-ISAC, ICS-CERT) d'identifier, de suivre et de réagir à une menace potentielle au-delà du niveau de l'entité. L'approche d'investigation et de correction des risques significatifs démontre une vision globale et proactive de la cybersécurité et contextualise plus efficacement l'exposition aux risques.

Préparation et prévention

Tout comme la NERC a mis à jour les directives CIP pour contrôler l’accès à distance aux systèmes critiques de la chaîne d’approvisionnement, le même principe de préparation et de prévention s’applique à la future norme de cybervigilance.

La gestion des cyberrisques est un processus en constante évolution. Si aucun réseau n'est impénétrable, l'objectif est d'être en mesure de détecter les menaces, d'analyser les risques et d'y répondre grâce à un processus qui les atténue, favorise la conformité continue et conserve les preuves nécessaires à la préparation aux audits.

Une approche moderne de conformité NERC CIP

Les entités les mieux préparées à se conformer intégralement à l'Ordonnance 848 et au CIP de la NERC sont celles qui disposent déjà de systèmes de conformité en matière de cybersécurité électronique. Leurs caractéristiques communes sont les suivantes :

• Capacités de configuration et d'intégration puissantes
• Flux de travail automatisés basés sur les directives CIP actuelles du NERC
• Une plateforme unique comme source centralisée d'informations pour les rapports automatisés, les audits et la conformité réglementaire
• Un processus de gestion des documents et des données qui prouve la surveillance et l'application conformément au CIP
• Un processus collaboratif de contrôle des changements qui documente les méthodes et les autorisations
• Une vue holistique et un contrôle total de tous les actifs et accès, y compris les tiers disposant d'une connectivité et d'un accès aux réseaux de systèmes électriques en vrac

Conclusion

Conformité CIP s'est avérée complexe en raison de la rapidité et de l'évolution des exigences de conformité. Cependant, la menace qui pèse sur le secteur continuera de nécessiter des normes plus strictes pour détecter et contrer autant de vulnérabilités que possible. La NERC fournit des lignes directrices parmi les plus complètes de tous les secteurs, mais sans aucune restriction. système intégré de conformité NERC CIP En place, les entités enregistrées continueront à être à la traîne et à faire face à des sanctions et, pire encore, à une probabilité plus élevée de cyberattaques.

À propos d'AssurX, Inc.
Avec des décennies d'expertise intégrées dans notre logiciel de gestion de la qualité et de conformité réglementaire, la plateforme de gestion de la qualité AssurX aide les entreprises maintenir la qualité et la conformité normes, rationaliser les flux de travail et mieux gérer toute entreprise. Notre logiciel configurable Une compréhension approfondie des besoins des utilisateurs permet de créer un système unique qui s'adapte facilement à l'évolution de votre entreprise. AssurX est le partenaire idéal pour les entreprises réglementées qui recherchent un meilleur contrôle opérationnel et une meilleure efficacité tout en restant conformes. Pour en savoir plus, rendez-vous sur www.assurx.com.