Par David Batz, directeur général chargé du domaine cyber et de la sécurité d'infrastructure, Edison Electric Institute
Le Electricity Subsector Coordinating Council (ESCC) sert de liaison principale entre le gouvernement fédéral et le secteur de l’électricité et a pour mission de coordonner les efforts pour préparer et répondre à des catastrophes nationales ou des menaces envers des infrastructures essentielles. L’ESCC comprend des PDG d'entreprises du secteur de l'électricité et des chefs d'association représentant tous les secteurs de l'industrie.
La cyberattaque du 2015 décembre contre le système de distribution d’électricité de l’Ukraine a été un rappel important des graves conséquences des attaques contre les infrastructures critiques. Il a également démontré que la sécurité ne peut se limiter à la protection et à la défense des systèmes. Elle nécessite un plan pour réagir et se rétablir face à un adversaire déterminé.
Alors que certains ont qualifié l’événement ukrainien de « signal d’alarme », l’industrie nord-américaine de l’énergie électrique anticipe et se prépare à ce type de menace depuis des années.
L’industrie de l’énergie électrique adopte une approche de « défense en profondeur » pour protéger les actifs du réseau énergétique. À mesure que les cybermenaces évoluent, les défenses de notre secteur doivent évoluer pour suivre le rythme. Même si nous mettons en œuvre des normes réglementaires plus complètes pour sécuriser notre infrastructure, que nous investissons dans de meilleurs outils et technologies pour surveiller et défendre nos systèmes et que nous forgeons des partenariats plus solides avec nos partenaires gouvernementaux pour améliorer notre préparation, nous devons également nous préparer à réagir et à nous rétablir, car il n’existe pas de solution miracle pour assurer une sécurité totale.
L’entraide est un pilier de longue date de la stratégie de résilience de l’industrie pour gérer les événements météorologiques violents qui perturbent le service électrique à nos clients. Ce qui a commencé comme un partage informel d’équipes et d’équipements entre les compagnies d’électricité et les compagnies d’électricité voisines est devenu des groupes régionaux d’assistance mutuelle. Et, après l’ouragan Sandy en 2012, il est devenu évident qu’un cadre national était nécessaire pour déployer les ressources d’assistance mutuelle le plus efficacement possible lors d’événements régionaux ou nationaux importants. Aujourd’hui, ce cadre existe et est régulièrement mis à l’essai pour assurer la préparation.
La responsabilité de l’industrie de l’énergie électrique vis-à-vis des clients est d’anticiper les menaces et d’atténuer les risques pour le réseau énergétique. En novembre dernier, l’exercice « GridEx III » de la North American Electric Reliability Corporation a testé les protocoles d’intervention en cas d’incident pour une cyberattaque combinée combinée simulée qui a fait des ravages sur les opérateurs de réseau pendant des semaines. L’un des principaux points à retenir de GridEx III est la nécessité de faire évoluer le cadre d’assistance mutuelle de l’industrie au-delà du partage des équipes et de l’équipement lors de catastrophes naturelles traditionnelles.
En réponse, le Conseil de coordination du sous-secteur de l’électricité (CCSC), un partenariat entre le gouvernement et l’industrie, a mis sur pied le Groupe de travail sur l’assistance mutuelle en matière de cybersécurité afin de réunir des experts de l’industrie et d’élaborer un cadre d’assistance mutuelle en matière de cybersécurité qui aidera les compagnies d’électricité à reconstruire et à récupérer les systèmes informatiques nécessaires en cas de cyberincident régional ou national. Ce programme d’assistance mutuelle s’appuie sur les relations existantes de l’industrie en matière de partage des ressources afin d’offrir une « capacité d’appoint » si un cyberincident dépasse la capacité d’intervention d’une entreprise.
L’élaboration d’un cadre d’assistance mutuelle pour les cybermenaces comporte son propre lot de défis uniques. Le cyberdomaine ne respecte pas les frontières physiques ou géographiques et les compétences nécessaires pour identifier, répondre, réparer et se remettre d’un cyberincident généralisé sont très différentes des compétences nécessaires pour réparer et remplacer les équipements de transmission et de distribution. L’industrie de l’énergie électrique est également confrontée à une concurrence féroce en matière de recrutement de la part d’autres secteurs et du gouvernement fédéral, qui ont tous besoin d’experts en cybersécurité hautement qualifiés.
Le développement de la capacité de répondre à une cyberattaque à grande échelle est d’une importance cruciale pour l’industrie nord-américaine de l’énergie électrique. La bonne nouvelle, c’est qu’un premier groupe de travail sur la cyberassistance mutuelle dans le secteur de l’énergie électrique a été mis en place, et qu’il comprend des compagnies d’électricité de tous les États-Unis. À court terme, développer la capacité de partager des ressources devrait être une priorité. À le long terme, notre industrie doit développer la culture d’entraide et diriger ses efforts pour renforcer les capacités d'intervention suite à des cyberincidents dans tout le pays.
