Travailler avec des relais à l’ère des sanctions records imposées par la NERC
La première action coercitive de la NERC en 2019 a été un coup de théâtre : une amende de 10 millions de dollars imposée à un service d’électricité présent dans plusieurs états pour violation des normes de protection des infrastructures essentielles (CIP). Il s’agit d’un signal d’alarme pour le secteur de l’énergie électrique. Premièrement, le niveau de détail du rapport de la NERC, qui comprend plus de 700 pages en quatre parties, indique que les services d’électricité ne peuvent pas faire d’économies sur la mise en conformité aux normes CIP. Deuxièmement, l’ampleur de l’amende, qui est la première à présenter huit chiffres pour violation du CIP, est un avertissement des graves conséquences financières en cas de non-respect flagrant. Cette dernière action de la NERC fait suite à celle de 2018, qui avait affiché un montant record de 2,7 millions de dollars.
L’examen de l’avis de pénalité relatif à cette mesure révèle que la NERC s’attend à une approche réfléchie de la mise en conformité au CIP. Par exemple, dans le cadre de la réglementation, l’entité s’engage notamment à ajouter des ressources en matière de sécurité et de conformité, à investir dans des outils, à mener des enquêtes auprès de l’industrie et à évaluer les meilleures pratiques de mise en conformité. En d’autres termes, il ne suffit pas d’avoir un programme qui en fait le minimum. On s’attend clairement à ce que les organisations identifient et mettent en œuvre les meilleures pratiques de l’industrie.
Quelles sont les implications de cette nouvelle approche agressive de la NERC pour les ingénieurs des sous-stations ? Quelles sont les meilleures pratiques relatives à la conformité CIP lors de l’utilisation de relais et d’autres équipements informatiques essentiels dans les sous-stations ? Nous nous orientons ici sur deux axes essentiels : (1) Les équipements informatiques transitoires (TCA) utilisés avec les équipements des sous-stations, et (2) la gestion des correctifs de sécurité qui assure l’identification, l’évaluation et la mise en œuvre rapides des correctifs de sécurité. D’après notre expérience, ces deux exigences comptent parmi les plus difficiles, car elles impliquent des tâches fréquentes exécutées par divers membres d’une équipe, qui doivent tous tenir leur rôle respectif.
Équipements informatiques transitoires (TCA)
Les approches classiques en matière de TCA sont centrées sur l’informatique : les fournisseurs et les services d’électricité adaptent les solutions informatiques existantes aux tâches des sous-stations et postes électriques. Dans le cas de TCA, l’entreprise devra les adapter, conformément à des références approuvées, avant de les utiliser. Elle peut également placer de manière permanente un ordinateur portable renforcé dans la sous-station pour tout travail sur les équipements de celle-ci. Ces approches sont lourdes et finalement inefficaces pour des environnements de sous-stations.
Par exemple, des circonstances imprévues peuvent se produire sur le terrain, comme le besoin de se connecter à des ports série par une interface USB, cette situation est difficile à résoudre dans le cas de sous-stations éloignées. Il s’agit d’un problème commun à tous les TCA qui sont renforcés de façon identique. Dans le cas d’ordinateurs portables placés en permanence dans la sous-station, ces TCA ne sont pas maintenus, car ils ne sont pas administrés de manière centralisée et continuellement mis à jour. En outre, le personnel sur le terrain ne connaît pas bien le TCA s’il est situé en permanence dans la sous-station. Ce n’est pas un équipement qu’ils transportent et utilisent au quotidien.
Une approche plus efficace de la sécurité et de la mise en conformité des TCA consiste à commencer par déterminer les processus de travail à protéger et à adapter les contrôles de sécurité informatique à ces derniers. Afin de concrétiser cette vision, les services informatiques, d’exploitation et de conformité doivent travailler en collaboration étroite pour élaborer une compréhension commune claire des processus de travail et des exigences de la mise en conformité. Les solutions de sécurité disponibles dans le commerce risquent d’ignorer les problématiques uniques des équipements de terrain, et des contrôles de sécurité personnalisés peuvent être nécessaires.
En partenariat avec les principaux services d’électricité, nous avons développé et largement déployé une solution TCA, DUCe (Doble Universal Controller enterprise), qui adopte une approche globale en prenant en compte les points de vue de l’informatique, de l’exploitation et de la conformité. La solution DUCe comprend plusieurs contrôles de sécurité pouvant être configurés pour s’adapter au mieux à l’infrastructure et aux processus de travail des services d’électricité. En voici les principaux aspects :
- Les TCA ne sont pas utilisés pour le courrier électronique, l’accès à Internet ou toute activité non professionnelle.
- L’infrastructure sous-jacente aux TCA est séparée et isolée de l’infrastructure informatique de l’entreprise de service d’électricité, empêchant ainsi la propagation de programmes malveillants du réseau d’entreprise au réseau de la sous-station.
- Toutes les interfaces, autres que celles requises pour la connexion au BCA, sont désactivées avant de travailler sur le BCA.
- Les fonctionnalités de gestion des données transmettent automatiquement des éléments de travail, tels que des plans de test et des fichiers de paramètres, à l’appareil de terrain et récupèrent les produits finis dans des bases de données ou des fichiers partagés désignés.
Gestion des correctifs de sécurité
Dans le cas de la gestion des correctifs de sécurité, les exigences CIP-007 en matière de recherche de correctifs et les délais très stricts de traitement des correctifs découverts peuvent être onéreux. Satisfaire aux exigences peut impliquer que plusieurs équipes effectuent des tâches répétitives, dans des délais stricts. La recherche de correctifs peut être particulièrement gourmande en ressources. Tout compte fait, une entreprise d’électricité de grande taille peut posséder des centaines, voire des milliers de modèles de produits et d’applications. Pour son parc, le service d’électricité doit identifier les sources de mise à jour, maintenir ces sources à jour et les vérifier régulièrement. Lorsqu’une mise à jour est détectée, il faut généralement communiquer avec le fournisseur pour obtenir les notes de version et des informations supplémentaires, car un grand nombre d’entre eux ne les fournissent pas dans le cadre de la publication. Il faut ensuite vérifier l’authenticité et l’intégrité des mises à jour.
La solution de gestion des correctifs de Doble PatchAssure fournit la découverte de correctifs pour les équipements des sous-stations et les équipements transitoires, et intègre un workflow permettant aux correctifs et aux instructions vérifiés d’être automatiquement transmis aux équipements de terrain pour installation. Le workflow est conçu pour englober tout le cycle de vie de la gestion des correctifs, de manière à combler le fossé généralement constaté entre la découverte et l’analyse des correctifs par les analystes de la sécurité, et le déploiement et la vérification des équipements de terrain par le personnel dans les sous-stations. Il y a souvent un décalage entre ces deux processus métier, ce qui crée un vide propice aux manquements et aux infractions. Lorsque PatchAssure et DUCe sont déployés ensemble, ils fournissent une expérience sécurisée et transparente de l’utilisation des équipements des sous-stations. De telles approches synergiques et coordonnées assurent la conformité au CIP et augmentent également la productivité.
INFORMATIONS COMPLÉMENTAIRES
- Informations : Gestion des correctifs Doble PatchAssure
- Lectures complémentaires : NERC Enforcement Actions 2019 (en anglais)
- En savoir plus : Grid regulator hits utility with record $10M fine (en anglais)
- En savoir plus sur NERC : FERC approves $2.7M cyber fine without naming names (en anglais)
- Informations sur le produit : Doble DUCe TCA