Anticiper les réglementations de l’industrie électrique : Une session de questions/réponses avec James Holler
La protection des infrastructures essentielles est un problème majeur pour les organismes de réglementation. Bien qu’à l’origine basées sur le volontariat, les exigences de la norme de Protection des infrastructures essentielles (CIP) de la NERC (North American Electric Reliability Corporation) sont maintenant obligatoires et tout contrevenant risque une amende à six chiffres s’il ne présente pas des mesures concrètes démontrant sa volonté à se conformer à ces directives.
Les réglementations deviennent de plus en plus contraignantes – récemment, la FERC (Federal Energy Regulatory Commission) a proposé des révisions des normes de fiabilité CIP qui élargissent le champ de la CIP-008-5 à la déclaration des incidents et à la planification des mesures d’intervention. Ces nouvelles règles proposeraient l’obligation de signaler les incidents liés à la sécurité informatique qui peuvent compromettre le périmètre électronique sécurisé (ESP, Electronic Security Perimeter) d’une entité ou ses systèmes de contrôle d’accès ou de surveillance électroniques (EACMS, Electronic Access Control or Monitoring Systems). S’il est adopté, ce nouveau cadre imposerait aux entreprises de déclarer tout incident découvert, bien avant qu’il n’engendre des dégâts, et non simplement dans le cas où une ou plusieurs tâches de fiabilité ont été compromises. Cette situation changerait la donne pour de nombreuses équipes, les forçant à redoubler constamment d’efforts pour atténuer les risques.
Nous avons rencontré James Holler, le nouveau Directeur de la conformité réglementaire de Doble, pour avoir plus de détails sur les évolutions en cours. James est au premier rang des initiatives de mise en conformité et d’atténuation des risques de cybersécurité pour les clients de Doble, celles-ci comporteront des outils nécessaires à protéger efficacement les infrastructures, notamment une analyse d’écarts, des audits fictifs, des formations, des services gérés et des évaluations de la vulnérabilité attaques informatiques.
Qu’est-ce qui vous a amené dans l’industrie électrique ?
J’y suis arrivé par hasard. Durant la majorité de ma carrière, j’ai travaillé dans la mise en conformité, principalement dans les secteurs de la santé et des assurances pour des sociétés américaines. Un jour, un ami m’a demandé si j’avais entendu parler de NERC. Je lui ai répondu que non, il m’a alors donné un pavé de plus 1 700 pages de normes NERC à lire. Après un certain temps pour digérer toutes ces informations, j’ai réalisé que l’industrie électrique offrait de nombreuses opportunités de travail en normalisation. Je suis alors devenu consultant responsable des audits NERC et FERC de ma zone géographique chez Abidance Consulting.
Quels accomplissements, conseils extérieurs ou événements ont le plus marqués votre carrière ?
Lors de ma carrière dans l’armée, j’ai pu faire l’expérience du rythme rapide des évolutions en matière de normes. Mes collègues devaient déployer des efforts importants pour se conformer aux exigences réglementaires, et ceux responsables de leur application ne savaient pas toujours comment établir les différentes responsabilités. J’ai voulu résoudre ce problème en formant les clients sur ce qui était attendu d’eux d’un point de vue réglementaire et sur ce qu’ils pouvaient faire à cet effet. Ainsi, ils ont pu prendre des décisions bien plus éclairées.
Qu’appréciez-vous le plus dans votre travail ?
L’industrie est en mutation permanente. En comptabilité, deux plus deux font toujours quatre, mais dans la conformité réglementaire, ce qui est vrai hier ne l’est pas forcément aujourd’hui. C’est ce qui donne du piment à ce métier.
À quoi ressemble aujourd’hui le paysage réglementaire de l’industrie électrique ?
Il est en mouvement permanent et rapide. À tout instant, au moins une douzaine d’exigences sont soit modifiées soit créées. La « machine » NERC ne ralentit jamais. Ces réglementations vont continuer à affluer à toute allure, c’est pourquoi les entreprises doivent rester informés de leur développement pour s’assurer qu’elles n’enfreignent aucune d’entre elles par inadvertance.
Quelles sont les législations et les tendances auxquelles les compagnies d’électricité doivent être les plus attentives et pourquoi ?
Très certainement les directives NERC, car elles présentent les impacts les plus importants et les plus vastes. Il faut, cependant, ne pas oublier que de nombreuses entreprises ont leurs propres exigences métier qu’elles doivent respecter. Si celles-ci sont cotées en bourse, la loi Sarbanes-Oxley doit être respectée ; si elles sont en marché public, FISCAM est à prendre en compte ; si du personnel médical se trouve sur site, HIPAA entre en jeu. Sans oublier NIST 800-171, qui concerne le chiffrement et la sécurité des données.
Avec tout cela à l’esprit, les équipes doivent toujours se concentrer sur leur cœur de métier : produire et distribuer l’électricité. C’est pourquoi il est intéressant qu’une équipe soit exclusivement dédiée aux aspects réglementaires. Il peut être également plus économique de faire appel à une entreprise tierce, pour un coût bien moindre que le prix à payer pour la formation des équipes en interne.
Quel est actuellement le principal point noir relatif à la mise en conformité de l’industrie électrique ?
Les deux points noirs sont le temps et l’argent. Généralement, les effectifs du personnel des compagnies d’électricité sont très faibles et les journées sont trop courtes réaliser le travail « effectif » tout en étudiant les exigences réglementaires. En déployant ce nouveau programme de conformité, l’objectif de Doble est de permettre aux clients de se concentrer sur leur cœur de métier, la production et la transmission de l’électricité, et de nous laisser gérer la conformité aux exigences réglementaires NERC, FERC et OSHA. Grâce à cela, nous sommes certains de rassurer nos clients, ils sont non seulement en conformité avec les réglementations actuelles, mais sont également prêts pour celles à venir. Cette façon de procéder est aussi bien moins coûteuse, en temps et en finances, que l’approche existante.
Quelles seront, d’après vous, les orientations du secteur pour les cinq à dix années à venir ?
Je pense que les acteurs du secteur vont poursuivre leurs efforts d’identification et d’élimination des différents points de vulnérabilité, comme
les attaques par impulsion électromagnétique (IEM). L’administration actuellement en charge incite fortement à la création d’un « bouclier » protecteur du réseau électrique. L’affaire est tellement sérieuse que FERC et NERC sont en train de rédiger un avis de projet de réglementation à ce sujet. La conformité réglementaire joue un rôle important dans le cadre de la protection du réseau. La société-sœur de Doble, ETS-Lindgren, possède une forte expertise dans ce domaine et nous œuvrons ensemble pour répondre à ces questions pour nos clients.
Informations complémentaires
-
En savoir plus : Consultez les exigences CIP appropriées de la NERC et relatives à la sécurité des données d’appareils sur site.
-
Téléchargez le livre numérique : Field Testing in a Cyber Insecure World (Tests sur site en environnement informatique hostile)
