ACCUEIL DU BLOGUE

  • Gros plan sur un gazoduc avec le crépuscule en arrière-plan pour l'énergie et les services publics

14 février 2024

En mai 2021, une attaque par rançongiciel a entraîné la fermeture de Colonial Pipeline, qui transporte près de la moitié du carburant consommé sur la côte Est. Pendant plusieurs jours, des foules anxieuses ont envahi les stations-service, formant de longues files d'attente, et les vols des compagnies aériennes ont été perturbés, les achats dictés par la panique ayant provoqué des pénuries et des flambées des prix de l'essence.

La cause première de l'attaque : les systèmes informatiques de Colonial Pipeline ont été piratés avec un mot de passe compromis exposé lors d'une violation de données distincte et probablement réutilisé.

À la suite de l'attaque coloniale, la Transportation Security Administration (TSA) a établi deux directives obligatoires sur la sécurité des pipelines. La première était Directive de sécurité Pipeline-2021-01: Amélioration de la sécurité des pipelines, qui a identifié des mesures critiques immédiates pour les propriétaires et les exploitants de pipelines. Cette directive exige des entités qu'elles effectuent une évaluation de la vulnérabilité conformément aux directives sur la sécurité des pipelines, créées comme l'un des objectifs initiaux de la TSA au lendemain du 9 septembre.

La seconde est Directive de sécurité Pipeline 2021-02Mesures d'atténuation de la cybersécurité des pipelines, planification d'urgence et tests. Cette directive comprend une série d'exigences visant à prévenir les cyberattaques et à améliorer la résilience globale des infrastructures critiques du pays.

Ci-dessous, nous discutons du contenu des exigences, y compris des trois plans distincts requis en vertu de la deuxième directive et de la manière dont les logiciels automatisés de gestion de la conformité peuvent aider à réduire les risques de cybersécurité.

Téléchargez une brochure gratuite sur la façon dont le Gestion des correctifs AssurX une solution qui aide les secteurs de l'énergie et des services publics à améliorer la sécurité des systèmes informatiques et opérationnels

Une approche axée sur les résultats pour la sécurité des pipelines

La deuxième directive de la TSA sur la sécurité des pipelines adopte une approche axée sur les performances pour protéger la sécurité des pipelines, afin que le secteur puisse s'adapter à l'évolution des menaces et exploiter les technologies émergentes. À cette fin, les mesures prises pour protéger cette infrastructure critique doivent atteindre les résultats suivants :

  1. Créer des politiques et des contrôles de segmentation du réseau afin que les systèmes de technologie opérationnelle (OT) ne soient pas affectés si un système de technologie de l'information (TI) est violé, et vice versa
  2. Mettre en place des contrôles d’accès pour empêcher l’accès non autorisé aux systèmes cybernétiques critiques
  3. Développer des processus de surveillance continue et de détection des menaces pour identifier les risques et corriger les anomalies qui pourraient avoir un impact sur les systèmes cybernétiques critiques
  4. Atténuez les risques d'exploitation grâce à des correctifs et des mises à jour de sécurité opportuns pour les systèmes d'exploitation, les applications, les pilotes et les micrologiciels, en utilisant une approche basée sur les risques. gestion des correctifs stratégie

Exigences relatives aux propriétaires et aux exploitants de pipelines

La directive originale exige des propriétaires et des exploitants de pipelines qu'ils :

  • Signalez rapidement les incidents de cybersécurité à la Cybersecurity and Infrastructure Security Agency (CISA)
  • Mettre en place un coordinateur de cybersécurité disponible pour la TSA et la CISA 24h/7 et XNUMXj/XNUMX
  • Effectuer une évaluation annuelle de la vulnérabilité en matière de cybersécurité

En outre, pour atteindre les résultats ci-dessus, la deuxième directive exige que les propriétaires et les exploitants de pipelines élaborent et exécutent trois plans spécifiques :

  • Plan de mise en œuvre de la cybersécurité approuvé par la TSA
  • Plan de réponse aux incidents de cybersécurité
  • Programme d'évaluation de la cybersécurité

Ci-dessous, nous discutons plus en détail de chacun des plans ci-dessus, y compris ce qu'ils devraient couvrir et comment un plan automatisé système de gestion de la conformité peut aider.

Plan de mise en œuvre de la cybersécurité approuvé par la TSA

Les propriétaires et les exploitants de pipelines sont tenus de mettre en œuvre un plan de mise en œuvre de la cybersécurité approuvé par la TSA décrivant les mesures de cybersécurité spécifiques utilisées et le calendrier pour atteindre les résultats de performance ci-dessus.

Ce plan doit identifier tous les systèmes informatiques critiques, définis comme tout système ou donnée informatique ou opérationnelle susceptible de perturber les opérations en cas de violation. Il doit également indiquer comment vous atteindrez chacun des quatre objectifs décrits ci-dessus, sans toutefois le prescrire.

La directive autorise une approche flexible, et le plan doit définir les processus et contrôles de sécurité dont la TSA inspectera la conformité. Une fois le plan approuvé, l'organisation est tenue de maintenir ces processus et contrôles, y compris tout calendrier défini dans le plan.

Plan de réponse aux incidents de cybersécurité

La directive TSA exige que les propriétaires et les exploitants de pipelines créent et maintiennent un plan de réponse aux incidents de cybersécurité mis à jour pour éviter toute perturbation opérationnelle en cas d'incident affectant les systèmes informatiques ou OT.

Le plan de réponse aux incidents de cybersécurité doit documenter les mesures spécifiques que vous prendrez pour garantir :

  • Confinement rapide de tout serveur ou appareil infecté
  • Ségrégation du réseau ou de l'appareil infecté pour empêcher la propagation de code malveillant
  • Sécurité et intégrité des données de sauvegarde, y compris la manière dont vous sécuriserez et séparerez les données de sauvegarde
  • Vous avez la capacité d'isoler les systèmes informatiques et OT en cas d'incident de cybersécurité
  • Test annuel d'au moins deux des objectifs du plan

Plan d'évaluation de la cybersécurité

Les propriétaires et exploitants de pipelines doivent élaborer un plan d'évaluation de la cybersécurité expliquant comment l'organisation évaluera l'efficacité de ses mesures de cybersécurité. Ce plan doit également indiquer comment elle prévoit d'identifier et de corriger les vulnérabilités des appareils, des réseaux et des systèmes.

Ce plan doit :

  • Évaluer l'efficacité du plan de mise en œuvre de la cybersécurité
  • Intégrer une revue semestrielle de la conception de l'architecture de cybersécurité
  • Inclure des évaluations telles que des tests de pénétration et des tests de perspective contradictoire
  • Établir un calendrier d’audit de l’efficacité des mesures ci-dessus, couvrant 30 % des politiques et processus chaque année pour couvrir 100 % sur une période de trois ans

De plus, les organisations doivent soumettre une mise à jour annuelle de ce plan pour approbation, qui comprend les résultats du plan d’évaluation de la cybersécurité de l’année précédente.

Répondre aux exigences et aux résultats de la TSA grâce à un logiciel automatisé de gestion de la conformité

Pour répondre aux exigences des directives de sécurité des pipelines de la TSA, il est nécessaire de collecter, de surveiller et d'agir sur une vaste gamme de données liées aux systèmes OT et IT.

Un système automatisé de gestion de la conformité rationalise ce processus, améliorant la cybersécurité en permettant aux entités de :

  • Créez et maintenez des calendriers d'évaluation des correctifs de sécurité et des évaluations de cybersécurité, en augmentant automatiquement les tâches à l'approche des délais
  • Recueillir des preuves liées à la gestion des correctifs et à l'évaluation de la cybersécurité, telles que la date d'évaluation, les plans d'atténuation, les approbations et les signatures numériques
  • Suivre l'achèvement en temps opportun des exigences de formation en matière de sécurité
  • Valider la conformité des contrôles techniques avec les politiques et les plans organisationnels
  • Générer des rapports sur les systèmes cybernétiques critiques et tous les actifs couverts par les directives du pipeline

Par ailleurs, les entreprises peuvent plus facilement documenter et suivre les preuves justificatives pour les plans de cybersécurité tels que les inventaires d'actifs, les documents de politique et les fichiers journaux. En cas d'inspection, la possibilité d'extraire facilement ces informations depuis un emplacement unique constitue un avantage indéniable par rapport aux processus de suivi manuels.

Conclusion

En 2021, l'attaque par rançongiciel de Colonial Pipeline n'a pris fin que lorsque les responsables du pipeline ont versé 75 bitcoins, soit une valeur de 4.4 millions de dollars à des cyberattaquants. Les directives et recommandations de la TSA en matière de sécurité des pipelines visent à prévenir de tels événements en exigeant un ensemble de plans, de politiques et de contrôles. Un système de conformité automatisé est essentiel pour maintenir la conformité aux exigences, afin que les organisations puissent s'assurer que leurs plans sont efficaces et bien documentés.

Téléchargez gratuitement un guide des meilleures pratiques pour Sélection et mise en œuvre d'un logiciel automatisé de gestion de la conformité NERC

À propos de l’auteur

Catherine Wagner Kathryn est vice-présidente des solutions industrielles, de l'énergie et des services publics chez AssurX. Forte de plus de 25 ans d'expérience en intégration et conformité des systèmes de fabrication, elle est responsable du développement et de l'évolution des offres de produits pour Conformité NERC et des systèmes connexes axés sur la fiabilité et la résilience.