Les données de vos équipements de terrain – sécurisation et conformités aux exigences NERC CIP
Le noyau dur de la cybersécurité est constitué des informations sensibles à protéger des intrusions extérieures. En quoi cela concerne les réseaux électriques ?
Les attaques les plus sophistiquées, similaires à celle survenue en Ukraine, présentent une phase très longue de collecte des informations : l’attaquant effectue des intrusions de reconnaissance et tente de comprendre le système pour identifier les cibles les plus cruciales. En connaissance de ce mécanisme, la norme NERC CIP-011-2 établit des exigences relatives à la protection des informations, celles-ci imposent aux fournisseurs d’électricité d’identifier les informations critiques du système informatique du réseau de production et de transport (BCA) et de les protéger lors de leur stockage, leur transmission et leur utilisation.
Les fournisseurs d’électricité ont acquis de fortes compétences en protection des données d’entreprise et des centres de contrôle. Cet objectif a pu être atteint grâce à la mise en œuvre de pratiques strictes de gouvernance et de contrôle des données et au déploiement de technologies innovantes de prévention des pertes de données (DLP). Il reste cependant un maillon faible, les données présentes sur le terrain.
Les ordinateurs portables et les tablettes utilisées dans le cadre des activités de terrain, telles que la réalisation de tests et la maintenance des équipements, sont sous étroite surveillance en raison de l’application de l’exigence NERC CIP TCA (Transient Cyber Asset ou équipements informatiques transitoires) entrée en vigueur le 1er avril 2017. L’exigence TCA (NERC CIP-010-2, exigence R4) a été élaborée en réponse aux préoccupations de la FERC au sujet du déplacement des équipements transitoires au sein de périmètres électroniques sécurisés et le risque de propagation de logiciels malveillants dans les systèmes informatiques des réseaux de production et de transport. L’exigence TCA de NERC CIP cible particulièrement le risque de prolifération des logiciels malveillants.
Une préoccupation importante et cependant négligée est la sécurité des informations présentes sur ces équipements transitoires ainsi que celles auxquelles elles peuvent avoir accès. Par exemple, les équipements informatiques transitoires utilisés sur les relais de protection sont susceptibles de contenir des paramètres de ces relais, des informations sur la connectivité réseau et des informations d’identification de connexion.
Les attaquants, qui élaborent des techniques sophistiquées, développent généralement leur propre logiciel malveillant ou en modifient un pour que sa signature ne soit plus reconnue par les programmes antivirus. Si un tel logiciel malveillant infecte un équipement de terrain, il est potentiellement capable de collecter et de transmettre des données sensibles au sujet des BCA (systèmes informatiques des réseaux de production et de transport). Ces informations sont très utiles à l’attaquant pour élaborer une stratégie efficace et procéder à une attaque contre les BCA.
Les mesures de sécurité d’entreprise nécessaire à contrecarrer ces attaques sont arrivées à maturité et sont bien comprises. Bien que certaines de ces mesures soient utilisées, telles que le chiffrement des données, la plupart ne sont pas directement applicables aux équipements de terrain.
Alors, comment protéger les informations de ces équipements de terrain ?
- Mettre en œuvre des dispositions de chiffrement efficaces et robustes, par exemple en chiffrant l’intégralité du disque dur et en demandant une autorisation avant démarrage, afin de s’assurer que les informations contenues dans l’équipement ne pourront être récupérées, même en cas d’accès physique à celui-ci.
- Limiter les capacités de communication pour que ces équipements se bornent à communiquer avec des bases de données et des serveurs privés, nécessaires à la gestion des données et équipements. Ainsi, les informations sur ces équipements ne pourront pas être transmises à l’attaquant. Un aspect essentiel de cette stratégie et d’imposer que ces équipements de terrain ne puissent pas être utilisés comme des ordinateurs polyvalents pour un usage général.
- Effacer régulièrement les informations sensibles de ces équipements de terrain pour que les informations obtenues par leur vol restent minimales et partielles.
- Mettre en œuvre un programme d’administration des équipements de terrain pour pouvoir suivre précisément tous les équipements présents sur le terrain et repérer les activités inhabituelles, telles que l’absence de rapport pendant une période trop longue.
Doble apporte toute l’aide nécessaire aux fournisseurs d’électricité pour mettre en œuvre leurs programmes de test de conformité aux normes NERC CIP, destinées à protéger leurs équipements informatiques transitoires et les données présentes sur ces dernières. Notre approche comprend des mesures de sécurité des informations robustes et multicouches, en complément des dispositifs de sécurité existant sur l’équipement.
Un défaut courant des mesures de sécurité des informations et que, généralement, elles rendent l’accès à ces informations aussi difficiles pour les utilisateurs autorisés. Chez Doble, notre vaste expérience en tests et notre besoin de comprendre pleinement les flux de travail de l’industrie nous ont permis de concevoir des mesures de sécurité qui vous facilitent le travail et ne constituent pas une entrave à vos tâches quotidiennes. Par exemple, la transmission automatique de plans et de paramètres de tests vers les équipements de terrain permet d’améliorer l’efficacité des testeurs. Cette méthode améliore également la sécurité en supprimant l’utilisation de clés USB ou l’accès à des sites Internet tiers pour obtenir ces informations.
Ressources supplémentaires :
- Glossaire des termes NERC
- Normes NERC et dates d’entrée en vigueur
- Analyse de l’attaque informatique menée sur le réseau électrique ukrainien
- Exigence NERC CIP-010-2 R4 à destination des équipements informatiques transitoires et des médias amovibles
- NERC CIP-011-2 – Protection des informations
- Publication de blog : Les réglementations relatives à la sécurité informatique changent – Votre programme de tests est-il prêt ?
- Publication de blog : L’échéance approche : Vos tablettes et ordinateurs sont-ils prêts pour les nouvelles réglementations relatives à la sécurité informatique ?