L’échéance approche : vos tablettes et ordinateurs sont-ils prêts pour les nouvelles réglementations relatives à la sécurité informatique ?
De nombreux services d’électricité ont travaillé 24h/24 pour garantir la conformité des exigences CIP V5/6 qui sont entrées en vigueur le 1er juillet 2016. Une seule exigence, particulièrement riche en conséquences, n’est pas entrée en vigueur à ce moment : l’exigence TCA (Transient Cyber Asset ou équipements informatiques transitoires) qui s’applique aux ordinateurs portables et clés USB utilisées par les personnels de maintenance sur site. Cette exigence est entrée en vigueur le 1er avril 2017, au terme d’une période d’adaptation de 9 mois accordée aux services d’électricité pour se mettre en conformité.
L’exigence TCA a pour objectif de sécuriser les équipements les plus vulnérables : les ordinateurs portables et les tablettes transportées dans des environnements sensibles tels que les sous-stations. Comme l’a remarqué la FERC dans son Ordonnance 791, ces équipements transitoires sont transportés au sein de périmètres électroniques sécurisés et risquent de propager des logiciels malveillants dans les systèmes informatiques des réseaux de production et de transport.
Un des aspects primordiaux des exigences TCA est qu’elles s’appliquent également aux ordinateurs portables reliés à des équipements des réseaux de production et de transport (BCA) uniquement par un port série. Auparavant, dans CIP V3, les équipements utilisant une communication série uniquement étaient exclus du champ d’application, la définition des BCA de CIP V5/6 est plus générique et inclut tout équipement programmable, sans considération des moyens de communication utilisés. En clair, un professionnel de la gestion du parc qui se connecte aux équipements du réseau à l’aide d’un ordinateur portable ou d’une tablette doit utiliser un équipement mobile conforme à cette nouvelle exigence NERC CIP.
Enjeux actuels
Maintenant que l’exigence TCA est en application, êtes-vous en conformité ? Les nombreuses tentatives menées au sein des entreprises pour renforcer la sécurité informatique se sont heurtées aux problèmes suivants :
- ÉQUIPEMENTS DATÉS : En raison de l’âge de certains BCA, tels que des vieux relais, les applications logicielles utilisées pour les tester nécessitent Windows XP ou tout autre environnement antérieur. De telles applications se prêtent mal à la sécurité informatique.
- PROBLÈMES LORS DES TESTS : Des problèmes peuvent être rencontrés sur le terrain, par exemple s’il faut se connecter à un port série par le biais d’un port USB verrouillé. Ce problème n’est pas facile à résoudre sur le terrain sans accorder de privilèges administrateur au testeur.
Quelle est donc la bonne approche ?
Commencez par déterminer les processus de travail à protéger et adaptez les contrôles de sécurité informatique à ces derniers. Voici quelques éléments du processus de travail lié aux tests et à la maintenance :
- Les plans et les configurations de tests doivent être facilement accessibles.
- Les résultats de tests doivent être sauvegardés sur des systèmes de stockage adaptés.
- Les installations sont souvent isolées, sans accès facile à l’assistance technique en cas de problème.
- Différents ports de communication, tels qu’Ethernet, USB et série sont nécessaires pour se connecter à l’instrument de test et au BCA.
- Certains BCA sont trop anciens et ne peuvent être testés qu’avec un logiciel ancien, non pris en charge.
Pour faciliter le respect de ces exigences, les éléments suivants sont requis :
- Une communication transparente pour automatiquement synchroniser les plans et résultats de tests de l’équipement avec les serveurs concernés, en toute sécurité.
- Un système de gestion des communications qui désactive les communications avec l’extérieur lorsque l’appareil est raccordé au BCA.
- Une assistance à distance sécurisée, conforme aux exigences NERC CIP.
- Une gestion efficace des ports pour permettre de réaliser les tests, tout en désactivant les ports non sollicités.
- Un environnement sécurisé pour l’exécution de logiciels datés et non pris en charge, nécessaires pour tester les BCA les plus anciens.
Doble assiste ses clients dans la mise en œuvre de programmes de test de conformité qui respectent et dépassent les nouvelles réglementations sur les équipements informatiques transitoires.
Ressources supplémentaires
- Glossaire des termes NERC
- Normes NERC et dates d’entrée en vigueur
- Exigence NERC CIP-010-2 R4 à destination des équipements informatiques transitoires et des médias amovibles
- Publication de blog : Les réglementations relatives à la sécurité informatique changent – Votre programme de tests est-il prêt ?