Retour au blog

Drones : Les nouveaux vecteurs de menace de l’industrie électrique

Par James Holler dans Gestion des équipements d’entreprise, Sécurité et conformité | June 21, 2018

Facebook

Twitter

*Crédits photo : Thomas Griesbeck, sur Unsplash*

Il n’y a pas si longtemps, j’ai échangé avec la North American Electric Reliability Corporation (NERC) à propos des drones, leur demandant s’ils représentaient ou non un vecteur de menace dans l’industrie électrique. Puisque j’étais certain qu’il n’existait pas d’exigences CIP concernant les drones de tout type, on m’a conseillé de suivre avec attention l’exigence CIP-014 suite aux déclarations de la NERC et des auditeurs régionaux en matière de drones lors des audits de ladite exigence.

CIP-014

Pour ceux d’entre vous qui ne savent pas en quoi consiste la CIP-014, le rôle de cette exigence est de « désigner et protéger les postes de transport et les centres de contrôle principaux connexes qui, s’ils devenaient inopérants ou étaient endommagés par suite d’une attaque physique, pourraient entraîner une instabilité, une séparation fortuite ou des déclenchements en cascade dans une Interconnexion ». Gardez à l’esprit que ce texte laisse place à l’interprétation. Cette exigence ne concerne pas les menaces causant des problèmes, mais bien celles qui sont susceptibles d’en causer.

Les responsabilités d’un propriétaire de lignes

En tant que propriétaire de lignes, il est important de commencer par réaliser une évaluation des risques initiale des postes de transport. Les postes de transport concernés regroupent, d’une part, les existants et, d’autre part, ceux qui seront mis en service dans les deux prochaines années (24 mois). Lors vous préparez les analyses, veillez à ce que les postes de transport susceptibles d’être mis hors service ou endommagés, entraînant ainsi une instabilité, une séparation fortuite ou des déclenchements en cascade dans une Interconnexion, soient identifiables.

Vérification des évaluations des risques

La NERC vous demande, en tant que propriétaire de lignes, d’engager un tiers indépendant pour vérifier l’évaluation des risques effectuée en vertu de l’exigence R1. Cette vérification peut avoir lieu en même temps que l’évaluation des risques, effectuée en vertu de l’exigence R1, ou après celle-ci. La NERC est très pointilleuse sur les normes, surtout concernant l’identité de la société qui effectue ou s’apprête à effectuer l’analyse des risques. En tant que propriétaire de lignes, vous devez choisir une entité tierce indépendante chargée de vérifier les évaluations (toutes les divisions et autres filiales sont donc exclues) parmi les suivantes : coordonnateur de la planification enregistré, coordonnateur de la fiabilité ou planificateur de transport enregistré, ou toute autre entité ayant déjà réalisé des analyses ou des planifications de transport. Si vous ne faites pas appel à un coordonnateur de la planification, un coordonnateur de la fiabilité ou un planificateur de transport enregistré auprès de la NERC, assurez-vous de posséder les documents prouvant aux auditeurs que l’entité indépendante a déjà réalisé des analyses ou des planifications de transport par le passé. Dans cette situation, une lettre d’attestation ne constituera pas une preuve suffisante. Vous devrez être en mesure de lister les précédentes missions de l’entité et de préciser le nom des acteurs ayant effectué l’analyse.

Une fois que vous avez choisi l’entité tierce indépendante, vous devrez vous assurer qu’elle vérifie votre évaluation des risques de manière appropriée, conformément à l’Exigence R1 et pouvant inclure l’ajout ou la suppression de postes de transport. Toujours en tant que propriétaire, vous devez vous assurer que la vérification ait lieu dans les 90 jours suivant la réalisation de l’évaluation des risques.

Par ailleurs, il vous faudra également mettre en œuvre des procédures, telles que l’entente de non-divulgation, pour protéger les informations sensibles ou confidentielles fournies par l’entité vérificatrice, tierce et indépendante, ainsi que pour protéger ou exclure toute information sensible ou confidentielle, élaborée en application de l’exigence CIP-014, d’une divulgation publique. En tant qu’auditeur, je reviendrais sur cette section et demanderais comment vous avez partagé les informations et/ou les données avec l’entité vérificatrice. N’oubliez pas : quand vous effectuez les tâches dans le cadre de l’exigence CIP-014, vous devez continuer d’adhérer aux exigences des autres CIP. Dans le cas présent, toutes les données, en circulation ou non, doivent être protégées. Une entente de non-divulgation n’est pas vraiment efficace pour protéger les données : vous devrez donc être capable de prouver que vous avez utilisé des clés USB cryptées et autres réseaux privés virtuels pour communiquer et transférer/transmettre des données.

REMARQUE : Si les clés USB que vous avez utilisées sont cryptées grâce à un logiciel de cryptage et non par un microprogramme, attendez-vous à ce qu’un auditeur vous demande de prouver que des attaques, des tests de pénétration ou des tentatives de piratage par exemple, ont été simulés contre votre matériel et déjoués par ce dernier.

Programmes de sécurité physique

En tant que propriétaire de lignes, vous devrez :

Vous assurer que votre programme de sécurité physique a de la résilience ou des mesures de sécurité conçues conjointement pour prévenir, détecter, retarder, communiquer et répondre aux potentielles menaces physiques et vulnérabilités identifiées au cours de l’évaluation effectuée dans le cadre de l’Exigence R4 ;
Disposer d’un moyen de contacter les forces de l’ordre et posséder des informations de coordination ;
Avoir préparé un agenda des mises en œuvre des améliorations et modifications relatives à la sécurité physique, mentionnées dans le plan de sécurité physique ;
Et prendre des dispositions pour évaluer l’évolution des menaces physiques et mettre en œuvre les mesures de sécurité appropriées aux postes de transport et centres de contrôle principaux connexes ;

Vos informations de contact relatives aux forces de l’ordre ne permettent pas d’associer le numéro d’appel d’urgence « 911 » à celui de la police. Vous devez également montrer à ou aux auditeur(s) que vous avez mis en place un programme de coordination avec les forces de l’ordre, en précisant notamment la nature de la coordination, l’identité du ou des contact(s), le fonctionnement du programme et un récapitulatif des formations qui ont été données.

REMARQUE : Un programme de sécurité n’est pas un vulgaire bout de papier avec quelques inscriptions ici et là. Il s’agit d’un programme bien pensé qui comprend, entre autres, un segment de formation et d’évaluation, des procédures d’urgence, des directives de réponse, le déplacement de biens, le contrôle des entrées et des sorties, etc.

Révision des programmes de sécurité

Maintenant que votre programme de sécurité physique est en place et que vous en êtes satisfait, vous devez demander à une entité vérificatrice indépendante de vérifier, comme nous l’avons vu précédemment, les dispositifs de sécurité mis en place en vertu de l’Exigence R5. La révision peut avoir lieu en même temps ou après la réalisation de l’évaluation effectuée en vertu de l’Exigence R4 et du dispositif de sécurité mis en place en vertu de l’Exigence R5.

Le tiers indépendant, qui a été choisi pour faire office de vérificateur, doit être :

Une entité ou une organisation ayant déjà réalisé des missions de sécurité physique dans l’industrie électrique et dont au moins un membre du personnel possède la certification CPP (Certified Protection Professional) ou PSP (Physical Security Professional) ;
Une entité ou une organisation approuvée par ERO ;
ou une agence gouvernementale disposant d’une certaine expertise en matière de sécurité physique, une entité ou organisation ayant une certaine expertise en matière de sécurité physique dans le cadre militaire, gouvernemental, ou policier.

Maintenant que nous avons passé en revue l’intégralité du CIP-014 et que vous avez tous compris ce que vous devez faire, laissez-moi vous démontrer pourquoi les drones représentent une menace pour l’industrie électrique.

Problèmes de sécurité rencontrés par les drones à proximité des installations

En conversant avec la NERC, nous nous sommes mis d’accord pour dire qu’un drone survolant un poste de transport n’est pas une menace en soi, étant donné que les données potentiellement collectées peuvent être récupérées via Google Earth ou d’autres ressources en libre accès. En revanche, un drone survolant un poste de transport peut représenter une menace s’il s’écrase sur un élément de la structure du poste, endommageant celle-ci et entraînant ainsi une interruption momentanée du service. Un autre scénario peut être évoqué, celui d’un drone transportant un engin explosif artisanal ou un produit chimique conçu pour mettre hors service le poste de transport.

Par ailleurs, nous pouvons également admettre qu’une personne pénétrant dans des zones réglementées à l’intérieur d’un bâtiment et filmée, de manière accidentelle voire délibérée, par le drone, constitue un vecteur de menace. Exemple : un drone est piraté par un groupe d’acteurs inconnu, dissimulé au niveau du parking. Ils décident d’activer les fonctionnalités d’enregistrement de l’appareil. Ils pourraient, en un rien de temps, envoyer toutes les informations qui leur sont nécessaires sur leurs propres équipements, puis s’enfuir avant même que quiconque ne se soit rendu compte qu’un drone enregistrait et transmettait des informations.

Lors de votre audit de conformité, vous devez être en mesure d’expliquer comment vous traitez ce genre de problèmes et bien d’autres encore. Pour en savoir plus sur les drones et de quelles manières ils peuvent représenter une menace pour vos installations, n’hésitez pas à contacter Doble Engineering.

Informations complémentaires

En savoir plus : Consultez les exigences CIP appropriées de la NERC et relatives à la sécurité des données d’appareils sur site.
Téléchargez le livre numérique : Field Testing in a Cyber Insecure World (Tests sur site en environnement informatique hostile)