Élaboration d’un programme de conservation des pièces justificatives NERC efficace
Posséder un programme efficace de conservation des pièces justificatives relatives à vos données est essentiel pour rester en conformité avec les normes NERC. La conservation des pièces justificatives est un élément essentiel du processus d’audit, car ces pièces servent de registre prouvant que vous avez respecté les exigences NERC durant toute la période qui débute au dernier audit.
La conservation appropriée des pièces justificatives NERC est essentielle pour les entités soumises à un audit. Elle est particulièrement importante pour les entités à impacts moyen et élevé.
Les exigences de NERC en matière de conservation des pièces justificatives sont les suivantes :
« L’entité responsable doit conserver les données ou pièces justificatives attestant de sa conformité de la façon indiquée ci-après, à moins que son CEA lui demande de conserver certains documents plus longtemps dans le cadre d’une enquête ;
- chaque entité responsable doit conserver des pièces justificatives pour chaque exigence de la présente norme pendant trois années civiles.
- Si une entité responsable est jugée non conforme, elle doit conserver l’information relative à cette non-conformité jusqu’à ce que les correctifs aient été appliqués et approuvés ou pendant la période indiquée ci-dessus, selon la durée la plus longue.
- Le CEA doit conserver les derniers dossiers d’audit ainsi que tous les dossiers d’audit demandés et soumis par la suite. »
Points à prendre en compte
Comme vous pouvez le constater, il n’existe aucune directive sur l’emplacement, la façon de procéder, ni même sur le format de stockage des pièces justificatives. Des directives trop floues entraînent la sous-estimation par certaines entités de l’importance d’un programme de conservation des pièces justificatives approprié. Cependant, sans programme adapté, posez-vous les questions suivantes :
- Êtes-vous prêt en cas de perte, de dégradation, de vol ou de déplacement de vos pièces justificatives ?
- Avez-vous défini un processus à suivre pour restaurer vos pièces justificatives ?
- Qu’allez-vous faire si un tiers accède à vos données afin de les modifier ? Avez-vous mis en œuvre un système de contrôle des accès ?
La solution
Il est fortement recommandé d’utiliser une architecture reconnue et validée pour la conservation des pièces justificatives. Grâce à cela, en cas de questionnement de l’auditeur sur les processus de conservation des pièces justificatives, l’entité responsable est à même de fournir à celui-ci un ensemble valide de règles et de directives suivies, évitant ainsi des problèmes supplémentaires lors du processus d’audit.
Les normes NIST 800-171 relatives à la protection de pièces justificatives sur des systèmes non gouvernementaux constituent un programme valide. La norme détaille chaque aspect, notamment le contrôle des accès, la formation et la sensibilisation, la gestion de configuration et bien plus encore.
La réalisation proactive d’un programme de conservation des pièces justificatives NERC efficace vous permet de vous assurer d’avoir un programme résistant aux audits et qui protège vos pièces.
Vous souhaitez en savoir plus sur la sécurité informatique ? Téléchargez notre livre numérique, « Field Testing in a Cyber Insecure World » (Tests sur site en environnement informatique hostile).