Le NERC CIP expliqué : Ce que les entreprises du secteur de l'énergie doivent savoir

Comprendre la norme NERC CIP avec Josue Alvarez-DeGolia, ingénieur en sécurité chez Bureau Veritas Cybersecurity

Le réseau électrique nord-américain est l'un des systèmes les plus complexes au monde. C'est aussi l'un des plus importants à protéger. Plus il devient digital, plus il est exposé aux cybermenaces. C'est là qu'interviennent les normes de cybersécurité du NERC CIP (North American Electric Reliability Corporation's Critical Infrastructure Protection) : une série de normes obligatoires conçues pour préserver la fiabilité du réseau.

Pour comprendre ce que ces normes signifient en pratique, nous nous sommes entretenus avec Josue Alvarez-DeGolia, ingénieur en sécurité chez Bureau Veritas Cybersecurity. Josue travaille dans l'entreprise depuis un peu plus de trois ans et apporte à son poste un mélange rare d'expérience technique, opérationnelle et analytique. Il a commencé sa carrière dans la marine américaine en tant qu'officier de sous-marin, formé aux opérations et à la maintenance de l'énergie nucléaire, une expérience qui a façonné sa compréhension des systèmes à forts enjeux et à haute fiabilité. Après son service militaire, il a travaillé dans la construction de centrales électriques (centrales à vapeur et à turbine à gaz), la banque d'investissement et le conseil avant de s'orienter vers la cybersécurité.

Depuis qu'il a rejoint Bureau Veritas, Josue a travaillé avec des entreprises de technologie de fabrication, des fournisseurs de services cloud, et de plus en plus avec des organisations industrielles et énergétiques, les aidant à améliorer leur sécurité industrielle (OT) et à répondre aux exigences croissantes en matière de conformité et de sécurité.

Qu'est-ce que la norme NERC CIP et pourquoi est-elle importante ?

"NERC CIP fait référence aux normes de cybersécurité de la North American Electric Reliability Corporation (NERC) en matière de protection des infrastructures critiques", commence Josue. "Il s'agit d'un ensemble d'exigences obligatoires créées et conçues pour protéger le système électrique en vrac (BES) en Amérique du Nord contre les menaces de cybersécurité."

Ces normes ne sont pas volontaires. Elles sont approuvées par la Federal Energy Regulatory Commission (FERC) aux États-Unis. Elles ont également force de loi. La NERC et les entités régionales qui lui sont associées veillent à leur conformité et les font respecter par le biais d'audits. La FERC peut imposer des amendes en cas de non-conformité. Certaines provinces canadiennes ont adopté les normes de la NERC par le biais d'accords. Les mêmes exigences s'appliquent donc dans ces provinces et sont mises en œuvre par les régulateurs provinciaux.

Josue explique que le cadre évolue en fonction des menaces émergentes. "Les cyberrisques dans le secteur de l'énergie ne sont pas statiques. Au fur et à mesure que la technologie évolue, le NERC CIP est périodiquement mis à jour pour améliorer les bases de la sécurité." Pour les services publics, la Conformité ne consiste pas seulement à réussir un audit. Il s'agit de s'assurer que le réseau électrique reste stable et résilient face à des attaques de plus en plus sophistiquées.

En quoi le NERC CIP diffère-t-il des autres cadres de cybersécurité ?

"Il existe plusieurs normes telles que ISO 27001, IEC 62443 et d'autres. Chacune d'entre elles a un objectif différent", explique M. Josue. "La norme ISO 27001 est large ; elle sert à gérer la sécurité de l'information dans n'importe quelle organisation. La norme CEI 62443 est davantage axée sur l'automatisation industrielle et les technologies de l'information ; elle est donc populaire auprès des fabricants et des sociétés pétrolières et gazières.

"Mais le NERC CIP est spécifique au système électrique en vrac", poursuit-il. "Il se concentre sur la production, la transmission et la distribution d'énergie. En gros, tout ce qui permet de maintenir la stabilité du réseau électrique.

Une autre différence essentielle ? La Conformité au CIP de la NERC est obligatoire pour les réseaux électriques en vrac. "Les certifications ISO et CEI sont volontaires. Les entreprises les obtiennent parce qu'il s'agit d'une bonne pratique ou parce que les clients le demandent. La norme NERC CIP, en revanche, est imposée par la loi en Amérique du Nord. Vous n'avez pas le choix si vous opérez au sein du système électrique de masse".

Il n'en reste pas moins que les normes se complètent. "Si vous suivez déjà les cadres ISO ou CEI, vous êtes en fait dans une bonne position", déclare Josue. "Il y a beaucoup de chevauchements dans les contrôles. Vous êtes déjà sur la bonne voie pour répondre aux exigences du NERC CIP".

Quels types de systèmes ou d'actifs le NERC CIP protège-t-il ?

"Le NERC CIP est conçu pour protéger la distribution d'électricité et l'infrastructure énergétique de l'Amérique du Nord", explique Josue. "De nos jours, tout est interconnecté. Toute interruption de l'alimentation électrique affecterait les compagnies aériennes, les communications et d'autres parties de l'infrastructure critique. L'objectif est de s'assurer qu'il n'y a pas d'impact sur le réseau, ou que tout impact est minimisé autant que possible".

Il note que les normes ne couvrent pas seulement les actifs du réseau. "Il ne s'agit pas seulement du réseau lui-même, mais aussi de la sécurité physique. Il faut s'assurer que le niveau de protection physique des sous-stations ou des postes de distribution éloignés est adéquat", précise-t-il. "Cela inclut également toutes les données collectées sur le réseau pendant la production, car ces informations sont précieuses en soi.

"Les systèmes que vous utilisez pour gérer l'accès électronique, à la fois localement et à distance, en font également partie", ajoute-t-il. "Et il s'étend à l'infrastructure de soutien qui va de pair avec l'exploitation du réseau.

En bref, le NERC CIP s'applique aux cyber-systèmes et aux actifs, qu'ils soient physiques ou digitaux, qui soutiennent directement l'exploitation du réseau électrique en vrac.

Quels sont les plus grands enjeux auxquels les organisations sont confrontées lorsqu'elles tentent de se conformer à la norme NERC CIP ?

"L'un des plus grands enjeux réside dans les systèmes hérités", explique Josue. "Une grande partie de l'infrastructure du réseau existe depuis des décennies, et vous ne pouvez pas simplement la mettre hors ligne et la remplacer. Une grande partie de la technologie n'a pas été conçue en tenant compte de la cybersécurité."

Il explique que les opérateurs doivent trouver des moyens pratiques de mettre les anciens systèmes en conformité avec les normes actuelles. "Vous pouvez avoir affaire à des équipements qui ne peuvent pas crypter les données ou restreindre l'accès de la même manière que les systèmes plus récents. Cela rend la Conformité difficile."

Trouver des solutions adaptées nécessite à la fois une compréhension technique et une awareness opérationnelle. "Il s'agit d'identifier des solutions qui permettent aux systèmes anciens et modernes de fonctionner ensemble en toute sécurité et en toute conformité", explique Josue. "Parfois, cela signifie qu'il faut introduire une technologie de transition ou isoler les systèmes d'une manière qui limite les risques tout en maintenant les opérations stables."

Des spécialistes connaissant à la fois les opérations industrielles et la cybersécurité peuvent aider les organisations à identifier les options les plus réalistes sans perturber le service, mais en fin de compte, ce sont les opérateurs qui connaissent le mieux leurs systèmes. "Ce sont eux qui comprennent ce qui est faisable au jour le jour. Des experts externes peuvent guider et recommander, mais les décisions doivent toujours être logiques pour les opérations."

Existe-t-il des idées fausses sur le NERC CIP ?

"L'une des grandes idées fausses est que la Conformité va être extrêmement perturbante", dit Josue. "Le personnel suppose qu'il devra refaire une grande partie de sa technologie ou mettre les systèmes hors service, mais le NERC CIP est vraiment un ensemble d'exigences minimales. Il s'agit d'examiner ce qui est déjà en place. Vos procédures existantes, votre configuration informatique, vos pare-feu, vos contrôles d'accès - et de voir comment ils s'accordent avec les normes."

Il explique que le Processus ne doit pas interférer avec les opérations. "Ce n'est pas aussi intrusif que le Personnel le pense", dit-il. "Vous ne mettez pas le réseau hors service. Il s'agit surtout de comprendre comment les choses fonctionnent aujourd'hui et de trouver les bons ajustements pour respecter la Conformité."

Travailler avec une organisation comme Bureau Veritas Cybersécurité, ajoute-t-il, peut aider à minimiser les perturbations. "Nous pouvons identifier ce qui est déjà efficace et où des améliorations peuvent être apportées, ce qui fait de la mise en conformité un processus plus fluide dans l'ensemble."

Quels sont les autres moyens par lesquels Bureau Veritas peut aider les entreprises à se conformer à la norme NERC CIP ?

"Ce que nous apportons, c'est une combinaison d'expertise en cybersécurité et de perspective extérieure", dit Josue. "Les opérateurs comprennent leurs systèmes mieux que quiconque, mais cette familiarité peut parfois conduire à des angles morts.

Bureau Veritas fournit des évaluations, des analyses de gap assessment et des recommandations pratiques adaptées à l'environnement opérationnel. "Nous examinons comment les contrôles existants s'alignent sur les exigences du NERC CIP, nous identifions les lacunes et nous suggérons des solutions réalisables", explique-t-il.

Bureau Veritas peut également aider ses clients à anticiper les changements à venir. "Par exemple, la norme CIP-015, qui couvre la surveillance de la sécurité des réseaux internes (INSM), est relativement récente", note Josue. "Et de nouvelles révisions comme CIP-003-9 ont déjà des dates d'application fixées à 2026. Nous aidons nos clients à interpréter ces mises à jour et à se préparer avant qu'elles ne deviennent obligatoires".

Avoir une évaluation indépendante, explique Josue, ajoute de l'assurance. "Il ne s'agit pas d'interpeller qui que ce soit, mais de confirmer que vous êtes réellement en conformité et en sécurité."

Comment le NERC CIP évolue-t-il ?

Le NERC CIP n'est pas statique. Il évolue en fonction de l'évolution des menaces. "Chaque norme fait l'objet de plusieurs révisions", explique Josue. "C'est parce que les cybermenaces évoluent. Ce qui fonctionnait il y a cinq ans n'est peut-être plus valable aujourd'hui.

Il cite la norme CIP-015 comme exemple de la façon dont le cadre s'étend à une surveillance plus proactive des systèmes et réseaux BES. "Il s'agit de savoir quand quelqu'un qui ne devrait pas l'être se trouve à l'intérieur de votre réseau", explique-t-il. "C'est un grand pas en avant dans la protection du réseau.

Josue prédit également que les nouvelles technologies comme l'IA pourraient influencer les futures mises à jour. "Je ne serais pas surpris de voir l'IA apparaître dans les prochaines révisions. Soit pour réglementer son utilisation, soit pour l'utiliser dans la détection des menaces. Nous voyons déjà l'IA être adoptée dans d'autres industries, et finalement elle atteindra aussi le secteur de l'énergie."

Quels conseils donneriez-vous aux organisations qui commencent dès maintenant ?

"Mon conseil est de commencer tôt", dit simplement Josue. "Commencez par lire les normes et comprenez quelles parties s'appliquent à vos systèmes. Identifiez ce que vous avez déjà mis en place et où se situent vos lacunes."

Il insiste sur l'importance de la collaboration interne. "Réunissez dès le départ vos équipes informatiques, OT et de conformité. Elles ont toutes des points de vue différents et le NERC CIP les concerne toutes".

Et si les entreprises peuvent faire cavalier seul, Josue affirme qu'un soutien externe peut accélérer les progrès. "Bureau Veritas fournit des conseils sur le NERC CIP et aide les clients à se référer à ce qui a fonctionné ailleurs. Une fois que vous comprenez votre base de référence, le chemin vers la Conformité devient beaucoup plus clair."

Pourquoi les entreprises devraient-elles commencer maintenant plutôt que plus tard ?

"Plus vous vous rapprochez des échéances de mise en œuvre, plus la conformité devient coûteuse et compliquée", prévient Josue. "Vous serez en concurrence pour les ressources. Les consultants, les équipements, et même l'attention des fournisseurs. Commencer maintenant vous donne de la flexibilité".

Il ajoute qu'une mise en conformité précoce ne sert pas seulement à éviter les amendes. Il s'agit d'une démarche commerciale intelligente. "Elle vous permet d'améliorer votre infrastructure, de réduire les risques opérationnels et d'instaurer la confiance avec les régulateurs et les clients. Conformité et sécurité vont de pair."

Renforcer la résilience pour l'avenir

Pour Josue, le NERC CIP ne consiste pas seulement à cocher des cases, mais aussi à garantir la fiabilité. "Ces normes ont pour but de maintenir la lumière allumée", explique-t-il. "Elles protègent les systèmes qui alimentent notre vie quotidienne.

Avec l'émergence de nouvelles technologies et menaces, cette mission ne fera que gagner en importance. "La cybersécurité n'est pas un effort ponctuel. C'est un effort continu", ajoute-t-il. "Le NERC CIP offre au secteur de l'énergie le cadre nécessaire pour garder une longueur d'avance, s'adapter et assurer la sécurité des infrastructures critiques de l'Amérique du Nord.