Brochure technique
BT 796 GT D2.46

Cyber sécurité : Menaces futures et impacts sur les organisations et les activités des compagnies d'électricité

La Brochure technique donne un aperçu de l'évolution du panorama des menaces de sécurité, cyber et physiques, pour les 20 années à venir. L'approche suivie est en droite ligne avec les concepts présentés pour « l'Architecture du Réseau du Futur ». Sur la base des enseignements issus d'une enquête à échelle mondiale auprès des parties prenantes, les problèmes les plus importants ont été abordés. En utilisant un processus d'ingénierie de système bien défini basé sur un modèle, des solutions multiples ont été analysées pour améliorer la maturité de l'attitude de sécurité du personnel technique, et pour identifier les outils de détection des piratages, nécessaires pour répondre de manière proactive ou anticipatrice à ces menaces.

Téléchargez cet article
Membres

Chef de file (US)
D.K. HOLSTEIN

Secrétaire (US)
T.W. CEASE

C. NEWTON (US), V. KARANTAEV (RU), W. WEBB (US), R. KING (US), T. ZHANG (CN), J.M. STORM (NO), S. NESTEROV (RU), G. ARROYO- FIGUEROA (MX), P.K. AGARWAL (IN), M. TALJAARD (ZA), J. WACK (US), C.C. LIU (US), E. MORALES (CL)

 

Membre Correspondant : G. RASCHE (US)

Introduction

Le GT D2.46 a produit sa Brochure Technique en s'appuyant sur les recherches extensives réalisées par des parties tierces – 76 références sont répertoriées et mentionnées dans le corps et dans les annexes de la Brochure Technique. Les experts du sujet participant au Groupe de Travail ont ensuite adapté les enseignements de ces recherches aux besoins des EPU (compagnies d'électricité). Cette approche est en ligne avec les concepts décrits pour « l'Architecture du Réseau » dans la revue Power & Energy de l'IEEE de septembre-octobre 2019.

En partant des évaluations, et des données associées, trouvées dans les normes existantes, dans les Brochures Techniques, et dans la documentation en accès libre, on a pu dresser un tableau des menaces qui émergent aux horizons de planification court terme, à 10 ans, et à long terme, à 20 ans. En surimposition à ce tableau sont venues les nouvelles lois et réglementation locales. A ces deux horizons de planification, on en a estimé l'impact sur les politiques de cyber sécurité, les procédures et les dispositions organisationnelles des EPU. A chaque impact ont ensuite été associées des solutions recommandées pour améliorer la posture de sécurité des opérations d'exploitation des EPU. Par exemple on a examiné quelle architecture et quels moyens sont requis pour mettre en place, dans les années à venir, un centre opérationnel intégré de sécurité, et les besoins d'expertises techniques du personnel de ce centre. 

Pour orienter ces travaux une enquête à l'échelle mondiale a été lancée, avec pour objectif de connaitre les degrés d'importance des problèmes pour les parties prenantes des EPU. Cette enquête, et les informations trouvées dans les publications en accès libre, ont permis d'identifier plusieurs sujets prioritaires :

  1. La protection des fonctions vitales pour l'activité requiert des expertises spéciales de sécurité cyber et physique, et des outils avancés d'analyse de grands volumes de données (big data), pour détecter et limiter les conséquences d'une attaque, dès son début dans la chaîne de destruction de l'attaquant.
  2. Des actions exécutées au bon moment font appel à des capacités nouvelles, intégrées dans les dispositifs électroniques intelligents et dans les composants des systèmes de communication, pour fournir les données nécessaires pour des évaluations d'informations exploitables.
  3. La certification des solutions de sécurités cyber et physiques des fournisseurs, sur la base de la CEI 62443-2-4, est nécessaire pour assurer l'approche la meilleure à long terme.
  4. Le partage des informations doit faire appel à de nouvelles technologies pour garantir la protection des données sensibles lors des échanges, ou lors de leur stockage dans des bibliothèques autorisées.

Un processus d'ingénierie basé sur un modèle de système (MBSE) bien défini a été utilisé pour produire des représentations « boîte noire » et « boîte blanche » d'un choix de systèmes pertinents. Pour ce besoin un outil commercial, basé sur le langage de modélisation des systèmes de Gestion de Groupe Ouvert (OMG), a été utilisé. L'outil a été employé pour construire des modèles de processus d'activité, pour visualiser les processus et les interactions entre organisations EPU. Les modèles ont permis de comprendre :

  • Quels sont les acteurs impliqués dans le système concerné, et les flux d'information entre eux.
  • La pertinence des informations transmises aux humains et aux entités matérielles destinataires des informations.
  • L'utilisation des informations en termes d'actions exécutées.
  • La qualité des informations dont on a besoin pour exécuter l'action décidée.

Les éléments des modèles de systèmes construits ont été utilisés pour déterminer ce qui devait être fait pour respecter les lois et les réglementations spécifiques. Il est apparu clairement, en retour, que des modifications des politiques, des procédures et des dispositions organisationnelles des EPU étaient requises pour intégrer en permanence la sécurité et la protection des données dans leur fonctionnement normal. A titre d'exemple, les modèles ont démontré la nécessité d'un plan de gestion du contrôle des accès, basé sur la combinaison de l'accès par rôle et de l'accès par attribut.

Voir une image plus grande

Résumé des enseignements et recommandations

Parmi les points clés à retenir de ces travaux on peut noter :

  • Il n'existe pas de méthodologie normalisée ou d'indicateur pour aider à la détermination des menaces émergentes, de la composition du réseau du futur, et de l'interaction entre eux.
  • La planification stratégique de la sécurité cyber et physique est vitale pour les EPU si elles veulent améliorer leur attitude de cyber sécurité de manière proactive plutôt que réactive. Le choix des plans et options les plus appropriés pour faire face aux menaces, aux réglementations et aux technologies qui arrivent, requiert qu'on puisse mesurer leur réussite.
  • Dans le contexte de la dynamique de l'environnement de menace, de progrès des solutions de sécurité, et de lois et réglementations nouvelles, les EPU doivent automatiser le processus d'évaluation et les outils d'analyse des alertes. Par exemple, les progrès en cours dans la sophistication des attaques imposent que les EPU développent une compréhension plus complète de l'approche de la chaîne de destruction, et la nécessité d'un partage des données avec les agences nationales et les autres EPU, au moment opportun et de façon sûre.  
  • Le plus surprenant dans les réponses à l'enquête est l'absence à ce jour, de la part des EPU, de toute exigence de certification de sécurité des fournisseurs, ou plus en rapport avec le sujet, de la conformité du fournisseur aux normes de sécurité.

Dans la Brochure Technique on identifie plusieurs sujets de travaux pour le futur :

  • Développer des études de cas pour évaluer les avantages et les difficultés, pour les EPU, à mettre en place une stratégie basée sur la détection d'un piratage en complément d'une stratégie basée sur la détection d'anomalie. Focaliser l'attention sur le couplage fort entre un modèle de maturité simplifiée et un modèle de chaîne de destruction
  • Développer des classes d'indicateurs qui pourraient être utilisées par les autres Comités d'Etudes du CIGRE pour quantifier les solutions de sécurité cyber et physique, en termes de taux de déploiement, de taux de réponse, et de degré de complexité.
  • Développer une architecture logique qui permet l'utilisation de services du cloud pour accroitre les possibilités d'un centre opérationnel intégré de sécurité.

En conclusion

La Brochure Technique offre une vue en profondeur des problèmes, des avantages et des questions, en rapport avec les solutions préconisées, et qui sont à prendre en compte par les équipes de sécurité. Ces considérations portent, d'une part, sur la nécessité d'améliorer l'expertise des personnels, sur les importants changements des politiques, des procédures et des directives d'organisation requises pour assurer la prise en charge et les responsabilités du maintien d'une posture de sécurité mature et, d'autre part, sur l'utilisation des technologies et des outils nouveaux pour mettre en œuvre une stratégie de sécurité proactive et anticipatrice.

Other Technical Brochures

BT 797 GT B1.50

Mise à la terre des écrans des câbles de transport AC – Dimensionnement, test et maintenance

BT 794 56 D1.56

Techniques de répartition des champs dans les systèmes d'isolation électrique

BT 792 GT B2.63

Lignes aériennes CA compactes

BT 795 GT C4.28

Extrapolation des valeurs des champs magnétiques à fréquence industrielle mesurées à proximité des liaisons électriques

BT 791 GT C1.38

La valorisation comme approche exhaustive de la gestion des actifs dans la perspective de développements nouveaux

BT 790 GT B5.66

Spécifications de cyber sécurité pour les PACS et résilience des architectures PAC

BT 793 31 C6.31

Etude de la faisabilité d'un réseau à courant continu à moyenne tension (CCMT)

D2

Information systems and telecommunication

The scope of this SC is focused on the fields of information systems and telecommunications for power systems. SC D2 contributes to the international exchange of information and knowledge, adding value by means of synthesizing state of the art practices and drafting recommendations.

Download
Top of page