La norme NERC-CIP : cybersécurité de la production et du transport d’électricité

Cette norme nord-américaine est l’un des quatre référentiels présentés dans un précédent article. C’est la seule qui est contraignante : elle s’applique sur toutes les installations des USA et du Canada, produisant ou transportant de l’électricité à partir d’un seuil fixé à 1500MW.

La version 4 a été mise à jour début 2011 et est donc d’actualité. Elle couvre peu d’installations en nombre (3%) selon une analyse de Joe Weiss, une part minoritaire du réseau électrique en termes de puissance, et avant tout les centrales nucléaires pour la production.

Explicitons les acronymes : NERC pour North-American Electrical Reliability Committee (donc fiabilité électrique pour USA+Canada), et CIP pour Critical Infrastucture Protection.

NERC CIP est l’une des rares normes de cybersécurité contraignantes, et donc mérite notre attention. Peut-être un jour fera-t’elle des petits de ce côté-ci de l’Atlantique ?

Elle couvre l’ensemble des aspects de la sécurité, y compris deux originalités : le processus de déclaration d’un incident, et celui de continuité d’activité (PCA). Elle est entièrement décrite et disponible ici, en anglais : http://www.nerc.com/pa/Stand/Pages/CIPStandards.aspx.

Une autre particularité est que… dans la mesure où c’est une norme nord-américaine, cela inclut le Canada, et donc le Québec. Grâce à Hydro Québec vous pouvez ainsi récupérer la version française de CIP 002, et des autres chapitres en modifiant l’URL (mais attention : il s’agit de la version 1, datant de 2009).

La structure de la norme

Les différents chapitres sont ceux-ci (traduction par mes soins) :

* CIP-002 Identification des actifs  (NDLR : actifs au sens large – pas seulement informationnels)
* CIP-003 Indicateurs et mesures
* CIP-004 Gestion du personnel et formation (« fiabilité » du personnel selon Hydro Québec)
* CIP-005 Périmètre de sécurité logiques
* CIP-006 Périmètre de sécurité physique
* CIP-007 Système de management de la sécurité
* CIP-008 Rapports et gestion des incidents
* CIP-009 Plan de continuation d’activité (PCA)

Il y a de nombreux documents, blogs, et « tutoriaux » discutant de la manière d’appliquer la norme, et de la façon de se préparer aux audits. En effet, s’il y a des exigences de mise en place de méthode d’analyse de risques, ou sur un aspect plus technique, de contrôle des ports et services ouverts sur les systèmes informations, il n’y a pas de descriptions précises des mesures à mettre en œuvre.

Utilisation nécessaire d’un autre référentiel

On trouve donc dans les guides d’applications de NERC CIP des correspondances entre les exigences NERC CIP et les chapitres ISO 27002 correspondants : on considère qu’une bonne mise en œuvre de NERC CIP passe par l’utilisation d’un référentiel de bonnes pratiques, et, peut-être parce qu’il est déjà très connu et utilisé dans le domaine SI Gestion, c’est ISO 27002 qui a été choisi, et non pas un référentiel « industriel », tel ISA 99 ou SP 800-82. Pour cette dernière c’est logique, car sa publication en Juin 2011 est postérieure à NERC CIP v4.

On trouve ainsi sur un site dédié une présentation de l’utilisation d’ISO 27002 pour la mise en œuvre de NERC CIP, avec notamment la table de correspondance ci-dessous :

Correspondance NERC-CIP et ISO 27002

A noter qu’une étude de 2006 montre qu’il est également possible d’être conforme à la norme NERC CIP en appliquant les mesures telles que définies dans NIST 800-53, qui est un peu la norme états-unienne équivalente à ISO 27002, conçue pour la protection de l’information en SI de Gestion.

Conclusion sur NERC CIP

Sauf à être obligé d’appliquer NERC CIP – soit par la nature de l’installation, soit sur demande d’un client – il n’y a pas vraiment d’intérêt à investir dans la maîtrise de la norme, puisque à ce jour les supports proposés se basent sur des référentiels de SI de gestion (ISO 27002 ou NIST 800-53), qui ne sont pas les plus adaptés. Je fais cependant le pari que NIST 800-82 sera bientôt supporté…

Toutefois la liste des mesures n’est pas fondamentalement différente de ce que l’on trouve dans les autres référentiels, un « professionnel » de la sécurité saura s’y retrouver, au contraire de FIPS, DOE ou autre NEI !

Tags: , , ,

2 Commentaires sur “La norme NERC-CIP : cybersécurité de la production et du transport d’électricité”

  1. Patrice Bock dit :

    Update: la version à date pour la plupart des cahiers est la version 6, focus plus fort sur la traçabilité des changements, la preuve de la conformité, la profondeur de l’analyse de risques (selon analyses tierces). Je mettrai à jour cet article si je la mets en oeuvre réellement pour un client.

  2. Patrice Bock dit :

    N.B. la version NERC CIP en vigueur (début 2017) est la version 5, sa structure a un peu évolué, les points clés de cet article sont toujours valides.

Répondre à Patrice Bock

Note: Vous êtes responsable de vos commentaires, veillez à rester courtois et factuel. En postant votre commentaire, vous accordez de fait un droit de diffusion à Secur'id.