Assurer la sécurité des centrales électriques

Assurer la sécurité des centrales électriques

Dans tous les domaines de notre vie, nous pouvons observer à quel point notre monde est devenu interconnecté. Nous sommes connectés à un monde de possibilités et nous bénéficions d'une capacité et d'une efficacité accrues. Cela inclut nos infrastructures énergétiques. 

Cependant, cette interconnectivité peut également rendre le réseau plus vulnérable. C’est pour cette raison que la Federal Energy Regulatory Commission (FERC) a approuvé la norme de protection des infrastructures critiques pour les mesures de sécurité physique (CIP-000) de la North American Electric Reliability Corporation (NERC).

Cette norme concerne les stations de transmission et les sous-stations essentielles (ainsi que leurs principaux centres de commande) qui, s’ils sont rendus inopérants ou endommagés à la suite d’une attaque physique, pourraient entraîner une instabilité, une séparation incontrôlée ou une réaction en chaîne en raison de leurs interconnexions.1

Un climat de confusion

Alors que la norme est en place depuis près de deux ans, de nombreuses questions restent sans réponse, selon Rachel St. John, responsable des grands comptes chez Bosch Security Systems. « C’est la première fois qu’un mandat de sécurité physique est confié aux services publics et il y a très peu de détails sur la façon dont le mandat devrait être respecté », dit-elle.

Bien qu’il y ait eu de la confusion au sujet de la formulation utilisée, les six exigences, ou étapes, incluses dans la norme sont une autre grande source de confusion. En règle générale, ces exigences sont  :

  1. Effectuer une évaluation des risques initiale et des évaluations des risques subséquentes.
  2. Demander à une tierce partie non affiliée de vérifier chaque évaluation des risques. 
  3. Avertir les propriétaires des centres de commande principaux jugés critiques selon les évaluations. 
  4. Évaluer les risques d'attaque physique et les vulnérabilités potentielles de chaque station, sous-station et centre de commande identifiés.
  5. Élaborer et mettre en œuvre un plan de sécurité physique documenté qui couvre ces installations. 
  6. Demander à une tierce partie non affiliée d’examiner l’évaluation effectuée en vertu de la quatrième exigence et des plans de sécurité élaborés en vertu de la cinquième exigence. 

Mais que devrait inclure l'évaluation des risques? Quelle devrait être la portée du plan de sécurité et à quoi devrait-il ressembler?

« Certains services publics sont en avance et ont déjà des mesures de sécurité physiques avancées en place », souligne St. John. « Mais beaucoup ne savent pas par où commencer. »

Elle conseille de ne pas oublier que les services publics sont des experts en transmission d’électricité, et non en sécurité physique. Pour mieux comprendre cet aspect, ajoute-t-elle, il est préférable que les services publics fassent appel à des consultants professionnels.

La question de la cybersécurité

Alors que la norme CIP-000 traite spécifiquement de la sécurité physique, St. John soulève le fait que bon nombre des mesures de sécurité physique actuelles sont elles-mêmes interconnectées, dans le cadre d'un plus grand réseau informatique. Cela peut soulever une foule d'autres questions, notamment si les coûts de la mise à niveau des systèmes de sécurité physique devraient être couverts, en partie, par le service des TI du service public. Cela peut aussi avoir une incidence sur la sécurité physique liée à la cybersécurité (qui est couverte en grande partie par les normes CIP-006 et CIP-007).

Est-ce que ce problème est abordé?

« À l’heure actuelle, toutes les normes CIP, à l’exception du CIP-014, favorisent la cybersécurité d’une manière ou d’une autre », déclare Jon Kerner, associé et responsable de la pratique informatique chez ScottMadden, Inc. Bien que l’industrie s’accorde à dire que la cybersécurité des biens matériels est importante, on ne sait pas si les changements seront apportés dans une révision de la CIP-014 ou en tant que normes CIP complémentaires (telles que les normes CIP-006 et CIP-007).

Avec tant de questions qui demeurent sans réponse, il est plus important que jamais pour les services publics de rester vigilants et d'obtenir de l'aide.

« L'industrie est consciente depuis longtemps de la nécessité de mettre en place des mesures de sécurité robustes afin de garantir que le réseau électrique reste opérationnel et stable malgré des attaques extérieures », déclare Kerner. « Même s'il y a encore place à l'amélioration, la norme CIP-014 est une étape importante qui garantit que les plans et les procédures sont en place pour protéger les infrastructures essentielles à la stabilité du système électrique. »


Sources

1. http://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-014-2.pdf