Rapport NERC CIPC Electricity Sector Security Guidelines
Ce rapport indique les problèmes de violation de la réglementation NERC CIPC de votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
Pourquoi est-ce important
La Presidential Decision Directive 63 (PDD-63), "Protecting America's Critical Infrastructures," identifie de manière officielle l'électricité comme une infrastructure vitale. La PDD-63 recommande la mise en place d'une coopération entre les différents secteurs d'infrastructure individuels et le gouvernement dans le cadre de la mission essentielle de protection des infrastructures vitales américaines. Le U.S. Department of Energy est l'agence principale pour les secteurs de l'énergie et a désigné le North America Electric Reliability Council (NERC) en tant que coordinateur pour le secteur de l'électricité. Le NERC a émis des directives de sécurité pour aider les industriels du secteur à évaluer leurs propres risques et exposition aux vulnérabilités et menaces perçues. Les contrevenants incluent des personnes internes ou externes dont les actions peuvent être de nature cybernétique ou physique.Contrôle des cyberaccès
Des contrôles d'accès efficaces sont essentiels pour protéger les services et systèmes d'information électroniques qui sous-tendent et gèrent l'infrastructure électrique. Toute personne qui détient ou gère des services ou des systèmes d'information dont dépend l'infrastructure électrique doit mettre en place des stratégies et procédures documentées pour gérer les autorisations, l'authentification et la surveillance des accès physiques et logiques à ces services et systèmes d'information. Cette documentation doit clairement définir les rôles et responsabilités, les procédures d'autorisation et les méthodes d'authentification et de surveillance choisies.Cette directive est applicable à toute personne qui détient ou gère des services ou systèmes d'information qui sous-tendent l'infrastructure électrique.
Détection des cyberintrusions
Mettre en oeuvre et gérer un programme efficace de détection des cyberintrusions nécessite un effort continu et proactif. A mesure que la technologie évolue, il en va de même des outils utilisés dans les attaques réseau. Il est impératif que les organisations informatiques restent informées et à jour des changements technologiques afin de comprendre les nouveaux outils et méthodes d'attaque, ainsi que les attaques elles-mêmes lorsqu'elles se produisent. Une détection rapide est essentielle et il convient de prévoir la présence de personnel 24 h/24, 7 jours sur 7. Des alarmes de surveillance automatiques émettant des alertes et reliées aux systèmes de radiomessagerie, de courriel ou de messagerie vocale doivent également être prévues.Cette directive est applicable à toute personne qui détient ou gère des services ou systèmes d'information qui sous-tendent l'infrastructure électrique.
Sécurisation des cyberaccès à distance
Les systèmes de protection et de contrôle électronique (Electronic Control and Protection Systems - ECPS) contrôlent les systèmes qui génèrent, transmettent et distribuent l'électricité. Pour des raisons commerciales, il est nécessaire de donner aux utilisateurs un moyen d'accès à distance aux ECPS. L'accès à distance à ces systèmes peut exiger des considérations spéciales concernant la sécurité. Un accès à distance non autorisé à un ECPS peut se traduire par une interruption du service électrique, des dommages aux éléments du réseau électrique ou un danger pour la vie humaine ou les biens. Les fournisseurs d'ECPS et les autres personnels de support utilisent de plus en plus des outils d'accès à distance tels que pcAnywhere, telnet et FTP à des fins de support technique directement via Internet vers les réseaux de contrôle internes. Il en résulte qu'il est essentiel de préserver la sécurité de l'accès à distance aux ECPS. L'authentification de l'utilisateur est un élément vital de la stratégie de sécurité.Cette directive est applicable à toute personne qui détient, gère ou effectue la maintenance de services ou d'ECPS dont dépend l'infrastructure électrique.