Brochure technique
BT 892 GT D2.45

Impacts des règlementations et des contraintes de gouvernance sur la distribution des données sensibles des EPU et la localisation de leur stockage

L'objet de la Brochure Technique (BT) est de proposer une directive pour évaluer l'impact, pour les compagnies d'électricité (EPU), des réglementations et des contraintes de gouvernance sur la distribution des données sensibles et leurs lieux de stockage, en conformité avec les termes de référence. Dans la BT le terme "données" a une définition large, et couvre toutes les informations, telles que les informations descriptives, les informations paramétriques, les schémas et les images. Les informations personnelles sont extrêmement sensibles parce qu'elles peuvent être utilisées pour contraindre le personnel habilité à collaborer à une attaque des systèmes d'une EPU. Les informations sur les infrastructures critiques d'EPU peuvent être utilisées pour accéder illégalement à leurs systèmes et les utiliser. Est également classée comme information sensible toute information qui appelle une notification de violation auprès d'une autorité désignée. Des recommandations sont données qui permettent de déterminer la relation entre les exigences de réponse de la gouvernance et leur rapport avec la nécessité de permettre aux systèmes de sécurité de garantir la confidentialité et l'intégrité des données sensibles. Plus spécialement la BT traite des réglementations qui imposent des contraintes concernant les autorisations de lecture/écriture et les lieux de stockage. On prend en compte également les restrictions locales qui concernent l'identification de l'autorité locale/nationale, les exigences de sécurité imposées sur les données sensibles, les définitions locales des données sensibles, les exigences en matière de transfert et de requêtes approuvées, et les spécifications de notification des violations de données sensibles.

Téléchargez cet article
Membres

Chef de file (AT)
H. KLIMA

Secrétaire (US)
D. HOLSTEIN

G. DONDOSSOLA (IT), D. BORDEA (RO)

Membres Correspondants
M. VERWORNER (AT), U. KRIEGELSTEIN (AT), K. SCHWABEL (AT)

Le Groupe de Travail (GT) D2.45 est entré dans une ère nouvelle de collaboration interdisciplinaire. Cependant le sujet des activités des GT du Comité d'Etudes (CE) D2, comme celui des GT communs avec d'autres CE, est essentiellement centré sur les technologies d'information et de télécommunication propres aux compagnies d'électricité (EPU). Le GT D2.45 a exploité la combinaison entre les questions techniques et les considérations juridiques. Du fait du développement des technologies de traitement d'information et de télécommunications (ICT), et tout spécialement des services ICT publics, tels que les services mobiles et les services du Cloud, des possibilités immenses de traitement et de partage de données sont apparues. Les EPU entrent dans une ère de partage des données dans un environnement sans frontières, rendu possible par les services de cloud, la mobilité généralisée, et le développement de l'utilisation des dispositifs personnels. Cette pratique sans frontière est à l'origine des problèmes qui ont conduit les autorités locales à développer de fortes règles de gouvernance. Un bon exemple en est la Réglementation Générale de la Protection des Données (RGDP) de l'Union Européenne (UE). Dans cet environnement les équipes d'évaluation des risques des EPU doivent adapter leur approche de la mise à jour des politiques de sécurité, des procédures, et des directives d'organisation. Ils doivent le faire avec les nombreux degrés de liberté qui rendent imprécis le périmètre de la sécurité, et ils doivent s'arranger de bonne grâce de la complexité et du domaine accrus de la gestion de la sécurité de leurs données. Ceci requiert la capacité de combiner l'analyse de l'entité de l'utilisateur et du comportement de l'utilisateur (EUBA) et l'analyse d'identité (IdA) pour obtenir des résultats à risques contrôlés. Il faut donc que les aspects technique et juridique soient vus dans un contexte unique et soient traités de manière coordonnée. Chacun influence l'autre.

Par conséquent la BT, prend en compte l'aspect technique et juridique des données des EPU :

  • On identifie la structure des données des EPU, et le besoin correspondant, dans une approche systémique.
  • On classe les données issues des demandes d'informations de données traitées, de données administratives, d'informations paramétriques et d'informations descriptives.
  • On évalue la mise en place de plusieurs ensembles de données dans les EPU, telles que les transmissions de données, les origines des données et les stockages.
  • On évalue le contexte légal en matière de transmission des données, de protection des données et de localisation du stockage des données.
  • On décrit les processus et interactions prenant place dans les EPU en matière de transmission et de stockage des données, intégrant les solutions mobiles, en conformité avec les normes, lois et réglementations.
  • On identifie les questions techniques et légales en rapport avec les mesures et les directives de traitement des volumes de données dans les EPU.

Les EPU sont des institutions particulièrement complexes qui ont un besoin très important d'échanges d'information, qui se traduit par des volumes énormes de données. Les échanges d'information sont un besoin fondamental de tout système. Les informations sont un composant du système et si l'information vient à manquer, d'une manière ou d'une autre, le système s'écroulera rapidement. Du fait de la complexité du système, avec tous ses constituants, les informations internes au système, ainsi que les échanges d'information et leur environnement, constituent un ensemble d'une haute complexité. Le fort niveau d'automatisation est un moteur important de la croissance du volume de données, et il progresse encore.

Une EPU est un système comportant plusieurs unités et peut être analysé de différentes façons. Une de ces façons est de la voir comme un système technique comportant plusieurs unités techniques qui sont nécessaires à son fonctionnement. Ces unités sont bien structurées et sont habituellement géographiquement dispersées. La dispersion géographique combinée à l'automatisation, fait que les unités commerciales des technologies opérationnelles (IT), les unités opérationnelles des technologies opérationnelles (OT) du système et leurs systèmes de télécommunication, appellent un besoin croissant de traitement de données et de transmission de données, dans leurs domaines de responsabilité commerciale et opérationnelle.

Mais les EPU et leurs prestataires doivent prendre en compte une palette de sujets plus large. Au cours des dernières décennies le besoin d'informatique et de télécommunications s'est accru du fait de la demande, de plus en plus forte, d'automatisation dans tous les domaines d'activité des organisations commerciales concernées. Ceci a fait que la communauté industrielle, dont CIGRE, a réagi en identifiant ses besoins de progrès dans les technologies d'informatique et de télécommunication. Un autre domaine fondamental est celui des activités commerciales. Comme ses prestataires, une EPU doit à tout instant rechercher l'économie dans ses activités. 

Dans la BT on présente un nouveau sujet, la "régulation de la gouvernance", qui s'ajoute à la large palette des activités des EPU.A cause du développement de l'environnement légal toutes les entreprises sont concernées par ce sujet, les EPU comme leurs prestataires.

L'introduction de l'internet, il y a de cela de nombreuses années, a conduit plusieurs pays à établir de nouvelles lois régissant la nouvelle technologie, et cela a rendu nécessaire un alignement international de ces lois. Les possibilités et les performances de l'internet, logiciel comme hardware, ont crû et continuent à le faire. De nombreuses possibilités d'accéder aux données et de les traiter, d'une manière ou d'une autre, sont disponibles. Tous les secteurs des EPU sont concernés, ceux de la technique, du personnel, et de l'administration, et dans ces domaines des nombreuses questions d'informatique et de télécommunications doivent pouvoir être traitées par des utilisateurs nomades, depuis n'importe où.

En conséquence la demande de traitement de données requiert l'utilisation de plusieurs serveurs installés dans les centrales, les postes, leurs bâtiments d'exploitation, ou à proximité. Ces exigences impliquent de mettre en place de multiples systèmes et réseaux pour assurer la résilience et la sécurité. La résilience est normalement spécifiée dans les lois, réglementations et directives locales, et mises en exergue dans de nombreuses normes.

Cependant l'EPU n'est pas seule dans le monde. Beaucoup de systèmes et services anciens sont interconnectés avec les réseaux EPU, comme par exemple les connexions avec les clients. Ces derniers veulent être informés de leur gestion de l'énergie, ainsi que de leurs factures ou offres spéciales. Les EPU peuvent également être interconnectées avec leurs prestataires et fournisseurs, qui reçoivent des informations sur leurs équipements qui permettront d'optimiser leur support et leur maintenance, et leur développement, chacun pour ses équipements

Beaucoup de membres du personnel utilisent des dispositifs mobiles, calculateurs portables ou téléphones. Du fait de la pandémie de Covid 19 beaucoup travaillent depuis leur domicile. Cette situation fait que les EPU sont devenues fortement interconnectées avec les services ICT publics.

La sécurité de l'information est une exigence fondamentale qui doit être intégrée à chaque niveau de la gouvernance des EPU et des directives de mises en œuvre. Il faut donc que les systèmes de gestion de la sécurité des informations soient partie intégrante des processus et de la structure générale de direction l'EPU. La BT se propose d'aider à évaluer la situation effective d'une organisation et, au besoin, de faciliter une certification. La mise en place d'un système de gestion de la sécurité des informations est une décision stratégique de l'EPU. La façon de prendre cette décision, et la façon dont elle va être mise en place, vont imposer de modifier de nombreux processus organisationnels ainsi que la structure de l'organisation et sa taille. Les contraintes des lois, réglementations, et normes locales vont aussi influencer les conditions de mises en place.

La série 27000 est un groupe cohérent de normes, une "famille de règles", comportant plusieurs normes. Par exemple ISO/CEI 27001 est une norme de spécification, ISO/CEI 27002 est une directive d'application, et 27019 est une directive d'application spécifique au secteur EPU.

Du fait l'émergence des technologies nouvelles et du développement de l'internet depuis les années 90, le mot confidentialité a acquis une grande importance. Pratiquement tous les systèmes d'IT et de télécommunication, dont ceux de l'industrie électrique, traitent couramment des données personnelles. La mise au point du cadre réglementaire de protection des données personnelles a progressé rapidement en parallèle. En plus des normes et accords internationaux fondamentaux, aux niveaux des Nations Unies (UN) et du Conseil de l'Europe, des organisations non gouvernementales (NGO) se sont créées avec pour objectif de surveiller à l'échelle mondiale la bonne application des règles de protection des données, et de les perfectionner.

Avec sa Réglementation Générale de la Protection des Données (RGPD), l'UE a la première réussi à établir un règlement continental rigoureux qui s'applique à ses 27 Etats membres. Cette réglementation a également servi de modèle de règlement national, en dehors de l'Europe.

La conséquence est que les grandes compagnies internet telles que Google, Amazon, Apple et les autres, se sont conformés à cette norme, tout du moins pour leurs marchés européens, et ont apporté depuis plusieurs améliorations aux règles de protection de leurs produits et services.

Dans les pays hors Europe, il n'existe pas, globalement, un ensemble commun de règles telles que le RGPD. Il faut noter que l'appréciation politique des droits humains et de la protection de la confidentialité est, dans beaucoup de pays, différente du point de vue européen. Cette position politique et sociale a naturellement un impact sur la conception, la signification et le traitement de la protection des données personnelles dans les pays concernés.

La protection des données est devenue aujourd'hui un facteur qui peut avoir une influence forte sur le développement rapide de la digitalisation globale.

Aujourd'hui toutes les industries, dont l'industrie électrique, sont impactées par la digitalisation et la protection des données. La libéralisation des marchés de l'électricité a créé de nouveaux produits et services, qui ne peuvent être gérés en termes commerciaux et techniques qu'au moyen de systèmes IT de haute performance. Les règles de protection des données les plus strictes s'appliquent à tous les systèmes, comme s'appliquent aussi les règles spécifiques à la sécurité et la cyber sécurité du traitement de l'information.

La fusion de plusieurs disciplines des EPU apporte une façon de penser interdisciplinaire nouvelle pour aller vers une intégration élégante des systèmes ICT. La protection des données n'est pas seulement une question technique et elle demande un équilibre cohérent entre les aspects technique et juridique. Il faut pour cela des équipes d'évaluation des risques, qui doivent aligner les approches de mises à jour des politiques et des procédures de sécurité et les directives organisationnelles. Les lois et les normes appropriées (c. à d. NERC-CIP, RGDP, ISO/CEI 27000) constituent pour cela des guides d'application utiles.

Comme cela s'est passé avec la protection des emplois et la sécurité dans l'industrie qui se sont développées aux cours des dernières décennies, les aspects juridiques vont aider les organisations.

Des audits et des certifications de conformité à des normes telles celles de la 27000 sont par conséquent fortement recommandés. Les mesures qui en découleront deviendront aussi des facilitateurs des activités des EPU.

Publicité, continuez à lire ci-dessous

Due to new technologies and the development of the Internet since 1990, the term privacy has gained immense importance. Practically all IT and telecommunications systems, including those in the electricity industry, currently process personal data. The development of the regulatory framework for personal data protection has dynamically progressed accordingly. In addition to fundamental international standards and agreements at the level of the United Nations (UN) or the Council of Europe.  Non-government organizations (NGO)s have also established themselves with the aim of ensuring worldwide monitoring of data protection standards and improving the standards.

With EU’s General Data Protection Regulation (GDPR), the EU has succeeded for the first time in establishing a strict continental standard that applies to all 27 member states. This regulation has also served as a model for national regulations outside Europe.

Thus, large internet companies such as Google, Amazon, Apple, and others have come under this regime at least in their European markets and have since made several improvements to the data protection standards of their products and services.

In countries outside of Europe, there is largely no uniform and strict set of rules like the GDPR. It should be noted that the political assessment of human rights and privacy protection differs from the European perspective in many countries. This political and social attitude naturally has an impact on the design, meaning, and handling of personal data protection in the relevant countries.

Data protection has become a factor today that is capable of strongly influencing the rapid development of global digitalization.

Today, all industries, including the electricity industry, are affected by digitalization and data protection.. The liberalization of the electricity markets has created new products and services that can only be managed in commercial and technical terms with high-performance IT systems. The strict rules of data protection apply to all systems, as do the relevant standards for IT security and cybersecurity.

Merging several EPU disciplines introduces new interdisciplinary thinking to gracefully integrate modern ICT systems. Data protection is not only a technical issue, it requires a coherent balance of technical und juridical aspects. This requires risk assessment teams, and they must adjust the approach to updating security policies, procedures, and organizational directives. For that the corresponding laws and standards (i.e., NERC-CIP, GDPR, ISO/IEC 27000) are helpful guidelines.

Like the comparison with the employment protection and industrial safety, which developed in last decades, the legal aspects will support the organizations as well.

Hence, audits and certification along corresponding standards like 27000 are strongly recommended. These measures then become enablers for EPU operations as well.

Achetez la brochure technique
complète 892 sur eCIGRE

AcheterBrochure technique 892

Other Technical Brochures

BT 895 GT B3.57

Installation en extérieur des GIS HT: Impacts sur l'ingénierie et la gestion de leur durée de vie

BT 894 GT D1.54

Principes de base et méthodes pratiques de mesure de la résistance CA et CC des conducteurs des câbles électriques

BT 893 GT C5.33

Utilisation des systèmes blockchain pour le trading de l'électricité

BT 891 GT B5.60

Architectures de Protection, Automatismes et Contrôle dont les fonctions sont indépendantes des équipements matériels

D2

Information systems telecommunications and cybersecurity

This Technical Brochure has been created by a Working Group from the CIGRE Information systems telecommunications and cybersecurity Study Committee which is one of CIGRE's 16 domains of work.
D2 provides guidance, shares knowledge, and develops best practices and publications for the application of information technology to the critical and core business systems in the electricity supply chain, including smart meters, asset performance monitoring and management, energy management systems (EMS), internet of things (IoT) and machine learning/ big data.

Learn more
Download
Top of page