ACCUEIL DU BLOGUE

  • Éléments d'alimentation électrique derrière un bâtiment pour le secteur de l'énergie et des services publics - AssurX ECOS

le 25 avril 2024

Selon le Administration internationale de l'énergieLes cyberattaques hebdomadaires contre les services publics mondiaux ont plus que doublé entre 2020 et 2022.

Même s'il n'y a pas encore eu de cyberattaques aux États-Unis qui aient eu un impact sur le réseau pendant une période prolongée, les experts s'accordent à dire que ce n'est qu'une question de temps avant qu'une violation ne se produise.

Et les actifs des réseaux électriques ne sont pas les seuls à être menacés. Ces dernières années, les compagnies d'électricité ont subi de nombreuses violations de données affectant les informations clients, notamment les coordonnées bancaires.

Il ne fait aucun doute que la cybersécurité est une préoccupation croissante pour les services publics d'électricité, ce qui rend la conformité NERC CIP plus importante que jamais.

Nous examinons ici dix raisons clés pour lesquelles la conformité NERC CIP est essentielle, avec une mise en garde :

La conformité de base ne devrait pas être votre objectif, car cela pourrait conduire à une mentalité de « cocher toutes les cases ». L'objectif des compagnies d'électricité devrait plutôt être de mettre en œuvre un programme de cybersécurité solide, dont la conformité aux normes CIP de la NERC est un résultat naturel.

Téléchargez gratuitement un exemple sur la façon dont Vermont Electric Power Company a automatisé son programme de conformité NERC

1. Atténuer les risques cybernétiques

Donner la priorité à la conformité NERC CIP est essentiel pour les services publics en raison des nombreux défis actuels liés aux cyberrisques. Parmi ceux-ci :

  • Des pirates de plus en plus sophistiquésLes acteurs malveillants sont de plus en plus intelligents, et les services publics doivent trouver de nouvelles façons de les devancer. Les attaques par rançongiciel sont particulièrement préoccupantes : le coût médian d'un rançongiciel pour un service public réalisant 500 millions de dollars de chiffre d'affaires dépasse 17 millions de dollars, selon une étude. rapport par ThreatConnect.
  • Évolution de la technologie:À mesure que la technologie évolue, les services publics sont obligés de sécuriser à la fois les nouvelles technologies et les technologies plus anciennes qui peuvent ne pas être aussi faciles à sécuriser.
  • Gestion de la sécurité informatique et opérationnelleLa sécurisation des environnements IT et OT nécessite deux approches distinctes, avec des types de composants à surveiller différents pour les deux. Si la gestion des correctifs informatiques peut être largement automatisée, leur installation sur les systèmes OT nécessite une planification avancée en raison de la nécessité d'isoler les systèmes.

2. Protection des infrastructures critiques

La conformité aux normes CIP du NERC est une priorité essentielle face à l'émergence de nouveaux vecteurs permettant aux acteurs malveillants d'attaquer les infrastructures critiques. Ces cyberattaques peuvent avoir de graves conséquences et représenter des risques importants pour la sécurité publique.

Prenez une 2015 attaque sur le réseau électrique ukrainien, par exemple. Ciblant plusieurs compagnies d'électricité, la cyberattaque a provoqué des pannes de courant généralisées qui ont privé d'électricité des centaines de milliers d'habitants pendant les mois froids de l'hiver.

Il est facile de comprendre comment les cyberattaques visant les services publics d'électricité aux États-Unis pourraient également entraîner des perturbations généralisées, voire des pertes humaines. Cela souligne l'importance de la conformité aux normes CIP de la NERC pour la protection des infrastructures critiques.

3. Réduire les risques réglementaires

Les risques étant si importants, les sanctions pour les services publics d'électricité qui ne respectent pas les exigences du CIP le sont tout autant. Pour les services publics souvent chargés de faire plus avec moins, éviter ces amendes est un facteur de motivation majeur pour garantir leur conformité.

Sanctions pour la NERC Violations du CIP Les amendes peuvent atteindre jusqu'à 1 million de dollars par jour et par infraction. En 2019, l'agence a infligé l'une de ses amendes les plus élevées jamais infligées à une organisation possédant plusieurs sites dans différentes régions du NERC, lui infligeant une amende de 10 millions de dollars.

Même si des amendes de cette ampleur peuvent être l’exception, l’implication pour les services publics est la même : ne pas s’attaquer efficacement à la conformité CIP comporte de graves risques financiers.

4. Maintenir la confiance des clients

Réduire les risques d'atteinte à la réputation et préserver la confiance des clients est une autre raison importante pour laquelle les compagnies d'électricité doivent prioriser la conformité aux normes CIP de la NERC. Les compagnies piratées peuvent faire la une des journaux pour de mauvaises raisons, et les conséquences sur leur réputation peuvent être durables.

Chaque fois que l'alimentation électrique est perturbée, vous pouvez être sûr que les clients auront des questions à poser aux services publics. Cette méfiance peut être difficile à dissiper, comme en témoignent les répercussions sur la réputation des grandes entreprises de services publics suite aux incidents de sécurité survenus dans les postes électriques.

5. Atténuer les risques liés à la chaîne d'approvisionnement

La réduction des risques liés aux fournisseurs et aux composants tiers dans la chaîne d'approvisionnement est un élément central des normes CIP de la NERC. En effet, les vulnérabilités introduites dans la chaîne d'approvisionnement constituent souvent un point faible des programmes de cybersécurité, un domaine où la conformité aux normes est cruciale. NERC CIP-013 peut aider.

Imaginez, par exemple, ce qui pourrait arriver si un code malveillant était installé via un correctif logiciel tiers. Dans le cas de la cyberattaque SolarWinds de 2020, cette vulnérabilité de la chaîne d'approvisionnement a touché plus de 30,000 XNUMX organisations.

6. Gestion des accès de protection

Le respect des normes CIP de la NERC peut aider les compagnies d'électricité à prévenir les accès non autorisés susceptibles d'entraîner des incidents de cybersécurité. La norme CIP-004, en particulier, exige que les personnes disposant d'un accès fassent l'objet d'une vérification des antécédents tous les sept ans et suivent une formation CIP tous les 15 mois. La norme exige également que les compagnies d'électricité révoquent l'accès des employés dans les 24 heures suivant leur licenciement ou leur départ de l'entreprise.

Toutes ces tâches nécessitent une surveillance continue pour rester au fait des exigences afin que les employés soient formés de manière appropriée et que les employés potentiellement mécontents ne puissent pas accéder aux systèmes sensibles.

7. Renforcer la sécurité physique

La sécurité physique est aujourd'hui une préoccupation majeure pour les compagnies d'électricité. Les articles de presse abondent sur les postes électriques ciblés par des attaques physiques, et il est facile de comprendre comment une attaque contre des systèmes physiques peut mettre en péril la cybersécurité.

La conformité NERC CIP garantit que les services publics disposent de contrôles pour restreindre l'accès physique, contribuant ainsi à atténuer le risque d'attaques physiques.

8. Renforcement de la réponse aux incidents

La norme NERC CIP-008 exige des compagnies d'électricité qu'elles disposent de plans d'intervention en cas d'incident solides, et la norme NERC CIP-009 exige des compagnies d'électricité qu'elles disposent de plans de reprise d'activité documentés afin de garantir une reprise rapide après un incident avec un minimum de perturbations du réseau. Outre la mise en place de processus de sauvegarde et de stockage des informations, les exigences de cette norme portent sur :

  • Avoir une équipe de personnes identifiées afin que le plan puisse être activé immédiatement en cas d'incident de cybersécurité
  • Exercer chaque plan de reprise une fois tous les 15 mois, que ce soit par un exercice sur table, un exercice opérationnel ou la récupération après un incident réel
  • S'assurer que tous les membres de l'équipe sont informés chaque fois qu'un changement dans le ou les plans de reprise se produit
  • Réviser périodiquement le plan et le mettre à jour si nécessaire, par exemple en remplaçant une personne qui a quitté l'organisation

9. Protection de l'intégrité des données

Assurer l'intégrité des données opérationnelles critiques est important pour diverses raisons, notamment pour prévenir toute altération susceptible de compromettre le réseau. La conformité CIP protège l'intégrité des données en imposant des exigences concernant :

  • Contrôle d'accès pour empêcher la manipulation non autorisée des données
  • Cryptage des données pour empêcher l'interception pendant le transit
  • Systèmes de surveillance et de journalisation pour détecter et suivre les activités suspectes
  • Réalisation d'audits pour identifier les vulnérabilités susceptibles d'affecter l'intégrité des données

10. Préparation à l'audit

Une attention particulière portée à la conformité aux normes CIP de la NERC peut contribuer à garantir la préparation aux audits, un défi majeur pour les services publics. Les entreprises non préparées s'exposent à un risque accru de violations de la NERC, dont environ 10 % sont constatées lors des audits plutôt que par auto-déclaration, selon le dernier rapport de la NERC. rapport de conformité.

Un programme de conformité CIP solide peut éliminer les inquiétudes et les risques réglementaires liés à un audit CIP, qui impliquera l'évaluation d'un large éventail d'exigences et de preuves. Adopter une approche proactive de la conformité CIP à la NERC démontre aux régulateurs que vous prenez la cybersécurité au sérieux, renforçant ainsi la confiance dans vos systèmes et votre capacité à maintenir la fiabilité du réseau.

Conformité automatisée NERC CIP : relier le tout

Avec autant d’exigences et de preuves requises pour démontrer la conformité, les services publics ont besoin d’un meilleur moyen de gérer la cybersécurité que les méthodes manuelles telles que le suivi basé sur des feuilles de calcul.

Les services publics adoptent désormais des systèmes automatisés de conformité NERC afin d'uniformiser leur approche en matière de cybersécurité. Un système automatisé de conformité NERC répond à de nombreux défis abordés ici :

  • Importer automatiquement les lignes de base quotidiennes et surveiller le système pour détecter tout changement devant être catalogué et évalué
  • Permettre des tâches initiées dans le temps, telles que l'évaluation des correctifs de sécurité, la révision du plan de récupération et la révision de la gestion des accès, pour éviter que les délais clés ne soient dépassés
  • Coordonner les données provenant de sources multiples et surveiller l'intégrité des données, par exemple en identifiant lorsqu'il y a un champ vide qui ne devrait pas être présent dans les données sources
  • Fournir un système centralisé gestion de documents référentiel pour la gestion de toute la documentation relative à la conformité, y compris les plans de reprise
  • S'assurer que les listes d'actifs sont complètes et à jour et disposent de toutes les preuves requises pour démontrer la conformité aux exigences du CIP
  • Suivi des activités autour des fournisseurs tiers pour réduire les risques liés à la chaîne d'approvisionnement, y compris les accords avec les fournisseurs, les communications et l'historique des incidents
  • Surveiller tous les accès aux documents électroniques, physiques et sensibles pour appliquer les contrôles et le principe du moindre privilège

Globalement, les logiciels de conformité NERC contribuent à protéger la cybersécurité à l'échelle du système en simplifiant le processus d'organisation, de suivi et de gestion des contrôles internes et de collecte de preuves. Ainsi, les experts métier peuvent consacrer moins de temps aux détails administratifs de la conformité CIP et davantage à l'évaluation des opportunités de renforcement de la sécurité de l'organisation.

Conclusion

Les menaces de cybersécurité sont en augmentation pour les services publics du monde entier, les services publics d'électricité étant de plus en plus la cible d'acteurs malveillants cherchant à détruire les actifs du réseau et à provoquer des pannes de courant généralisées.

De plus, à mesure que les menaces se complexifient, les technologies dont les services publics sont chargés de sécuriser le deviennent également. Face à cette complexité croissante, il incombe aux services publics de trouver de nouveaux moyens de renforcer la cybersécurité afin d'empêcher les cyberattaques de perturber le fonctionnement du réseau.

Le logiciel de conformité NERC aide les organisations à atteindre cet objectif et à garantir qu'elles répondre aux exigences du CIP. Cependant, au-delà de la simple contribution au respect des exigences de conformité, une approche automatisée aide les services publics à élaborer un programme de cybersécurité plus solide, atténuant ainsi les risques pour l’organisation et le public en général.

Téléchargez une brochure gratuite sur le Système de conformité énergétique d'entreprise AssurX (ECOS)

À propos de l’auteur

Catherine Wagner Kathryn est vice-présidente des solutions industrielles, de l'énergie et des services publics chez AssurX. Forte de plus de 25 ans d'expérience en intégration et conformité des systèmes de fabrication, elle est responsable du développement et de l'évolution des offres de produits pour Conformité NERC et des systèmes connexes axés sur la fiabilité et la résilience.