Impacts des règlementations et des contraintes de gouvernance sur la distribution des données sensibles des EPU et la localisation de leur stockage
L'objet de la Brochure Technique (BT) est de proposer une directive pour évaluer l'impact, pour les compagnies d'électricité (EPU), des réglementations et des contraintes de gouvernance sur la distribution des données sensibles et leurs lieux de stockage, en conformité avec les termes de référence. Dans la BT le terme "données" a une définition large, et couvre toutes les informations, telles que les informations descriptives, les informations paramétriques, les schémas et les images. Les informations personnelles sont extrêmement sensibles parce qu'elles peuvent être utilisées pour contraindre le personnel habilité à collaborer à une attaque des systèmes d'une EPU. Les informations sur les infrastructures critiques d'EPU peuvent être utilisées pour accéder illégalement à leurs systèmes et les utiliser. Est également classée comme information sensible toute information qui appelle une notification de violation auprès d'une autorité désignée. Des recommandations sont données qui permettent de déterminer la relation entre les exigences de réponse de la gouvernance et leur rapport avec la nécessité de permettre aux systèmes de sécurité de garantir la confidentialité et l'intégrité des données sensibles. Plus spécialement la BT traite des réglementations qui imposent des contraintes concernant les autorisations de lecture/écriture et les lieux de stockage. On prend en compte également les restrictions locales qui concernent l'identification de l'autorité locale/nationale, les exigences de sécurité imposées sur les données sensibles, les définitions locales des données sensibles, les exigences en matière de transfert et de requêtes approuvées, et les spécifications de notification des violations de données sensibles.
Membres
Chef de file (AT)
H. KLIMA
Secrétaire (US)
D. HOLSTEIN
G. DONDOSSOLA (IT), D. BORDEA (RO)
Membres Correspondants
M. VERWORNER (AT), U. KRIEGELSTEIN (AT), K. SCHWABEL (AT)
Le Groupe de Travail (GT) D2.45 est entré dans une ère nouvelle de collaboration interdisciplinaire. Cependant le sujet des activités des GT du Comité d'Etudes (CE) D2, comme celui des GT communs avec d'autres CE, est essentiellement centré sur les technologies d'information et de télécommunication propres aux compagnies d'électricité (EPU). Le GT D2.45 a exploité la combinaison entre les questions techniques et les considérations juridiques. Du fait du développement des technologies de traitement d'information et de télécommunications (ICT), et tout spécialement des services ICT publics, tels que les services mobiles et les services du Cloud, des possibilités immenses de traitement et de partage de données sont apparues. Les EPU entrent dans une ère de partage des données dans un environnement sans frontières, rendu possible par les services de cloud, la mobilité généralisée, et le développement de l'utilisation des dispositifs personnels. Cette pratique sans frontière est à l'origine des problèmes qui ont conduit les autorités locales à développer de fortes règles de gouvernance. Un bon exemple en est la Réglementation Générale de la Protection des Données (RGDP) de l'Union Européenne (UE). Dans cet environnement les équipes d'évaluation des risques des EPU doivent adapter leur approche de la mise à jour des politiques de sécurité, des procédures, et des directives d'organisation. Ils doivent le faire avec les nombreux degrés de liberté qui rendent imprécis le périmètre de la sécurité, et ils doivent s'arranger de bonne grâce de la complexité et du domaine accrus de la gestion de la sécurité de leurs données. Ceci requiert la capacité de combiner l'analyse de l'entité de l'utilisateur et du comportement de l'utilisateur (EUBA) et l'analyse d'identité (IdA) pour obtenir des résultats à risques contrôlés. Il faut donc que les aspects technique et juridique soient vus dans un contexte unique et soient traités de manière coordonnée. Chacun influence l'autre.
Par conséquent la BT, prend en compte l'aspect technique et juridique des données des EPU :
- On identifie la structure des données des EPU, et le besoin correspondant, dans une approche systémique.
- On classe les données issues des demandes d'informations de données traitées, de données administratives, d'informations paramétriques et d'informations descriptives.
- On évalue la mise en place de plusieurs ensembles de données dans les EPU, telles que les transmissions de données, les origines des données et les stockages.
- On évalue le contexte légal en matière de transmission des données, de protection des données et de localisation du stockage des données.
- On décrit les processus et interactions prenant place dans les EPU en matière de transmission et de stockage des données, intégrant les solutions mobiles, en conformité avec les normes, lois et réglementations.
- On identifie les questions techniques et légales en rapport avec les mesures et les directives de traitement des volumes de données dans les EPU.
Les EPU sont des institutions particulièrement complexes qui ont un besoin très important d'échanges d'information, qui se traduit par des volumes énormes de données. Les échanges d'information sont un besoin fondamental de tout système. Les informations sont un composant du système et si l'information vient à manquer, d'une manière ou d'une autre, le système s'écroulera rapidement. Du fait de la complexité du système, avec tous ses constituants, les informations internes au système, ainsi que les échanges d'information et leur environnement, constituent un ensemble d'une haute complexité. Le fort niveau d'automatisation est un moteur important de la croissance du volume de données, et il progresse encore.
Une EPU est un système comportant plusieurs unités et peut être analysé de différentes façons. Une de ces façons est de la voir comme un système technique comportant plusieurs unités techniques qui sont nécessaires à son fonctionnement. Ces unités sont bien structurées et sont habituellement géographiquement dispersées. La...
Abonnez-vous pour lire l'article complet
Vous avez déjà un compte ? Connectez vous