Infrastructure : la NERC met l’accent sur la cyberplanification et le signalement d’incidents de cybersécurité dans le secteur de l’électricité

La North American Electric Reliability Corporation (la « NERC ») a récemment adopté une directive intitulée Cyber Security – Incident Reporting and Response Planning CIP-008-6 (la « Directive »), qui établit de nouvelles exigences de signalement d’incidents liés à la cybersécurité pour les réseaux de production-transport d’électricité catégorisés comme étant d’importance moyenne ou élevée en Amérique du Nord. La Directive souligne également l’importance de la cyberplanification et de la préparation en matière de cybersécurité. Son entrée en vigueur est prévue pour décembre 2020.

Les normes de la NERC étant obligatoires dans plusieurs provinces canadiennes, la Directive touchera des organisations de chaque côté de la frontière canado-américaine. Les organisations assujetties à ces normes devraient passer en revue attentivement les nouvelles exigences et adapter en conséquence leur plan et cadre d’intervention en cas d’incidents de cybersécurité.

CONTEXTE

Le 21 décembre 2017, la Federal Energy Regulatory Commission (la « FERC ») des États-Unis a adopté un avis d’ébauche de règle enjoignant à la NERC d’élaborer des exigences améliorées pour le signalement d’incidents liés à la cybersécurité. Cet avis d’ébauche de règle visait notamment à élargir la portée des exigences existantes de manière à ce que ces dernières comprennent les éléments suivants :

  • Le signalement des incidents liés à la cybersécurité qui portent atteinte, ou qui tentent de porter atteinte, à un périmètre de sécurité électronique ou à des systèmes connexes de contrôle ou de surveillance des accès électroniques;
  • La normalisation des rapports d’incidents afin d’en faciliter la comparaison;
  • La transmission de rapports d’incidents aux organisations afin de s’assurer que celles-ci disposent de l’information nécessaire pour évaluer les menaces et en aviser les intervenants de leurs secteurs.

Ces préoccupations ont été soulevées après la publication par la Maison-Blanche d’un rapport intitulé Assessment of Electricity Disruption Incident Response Capabilities en 2017. Ce rapport cernait d’importantes lacunes dans le cadre de cybersécurité actuel qui pourraient porter atteinte à la sécurité nationale des États-Unis, à la lumière des cybermenaces émergentes.

EXIGENCES EN MATIÈRE DE SIGNALEMENT DES INCIDENTS

Les exigences prévues à la Directive sont divisées en quatre parties :

1re partie : précisions sur les plans d’intervention en cas d’incident de cybersécurité

Les organisations doivent mettre sur pied un processus permettant de repérer et de classifier les incidents de cybersécurité, ainsi que d’intervenir en conséquence. Elles doivent aussi définir les critères permettant de déterminer si un incident (ou une tentative d’incident) de cybersécurité constitue un événement devant être signalé. Les organisations doivent également définir les rôles et les responsabilités des personnes responsables des interventions en cas d’incidents. De plus, elles doivent créer des procédures de traitement des incidents, telles que des documents sur l’endiguement, l’élimination et la résolution des incidents.

2e partie : mise en œuvre et évaluation

Les organisations doivent évaluer leur plan d’intervention tous les 15 mois, soit en intervenant dans le cadre d’un véritable incident, soit en menant un exercice d’évaluation sur papier ou sur table. Elles sont tenues de déployer leur plan d’intervention lorsque survient un incident de cybersécurité, mais également de documenter chaque incident et en conserver des traces, ainsi que conserver des traces de tout écart à leur plan d’intervention.

3e partie : mise à jour et communications

Au plus tard 90 jours après la réalisation d’une évaluation ou d’une intervention par suite d’un incident de cybersécurité, les organisations doivent documenter les leçons qu’elles en ont tirées, mettre à jour leur plan d’intervention et communiquer toute modification apportée à celui-ci aux personnes chargées de son exécution.

4e partie : signalement des incidents de cybersécurité et production de rapports

Les organisations doivent produire un rapport pour chaque atteinte et chaque tentative d’atteinte. Ces rapports doivent être transmis à l’Electricity Information Sharing and Analysis Center (l’« E-ISAC ») et, s’il y a lieu, au National Cybersecurity and Communications Integration Center (le « NCCIC ») des États-Unis. Chaque rapport doit décrire les incidences fonctionnelles de l’atteinte ou de la tentative d’atteinte, ainsi que le vecteur d’attaque utilisé et le degré d’intrusion. Toute mise à jour de ces renseignements doit être fournie aux organismes concernés dans un délai de sept jours civils.

CONFORMITÉ

La Directive comporte une section sur la conformité qui établit le processus de surveillance et d’application à mettre en œuvre par l’autorité chargée de la surveillance de la conformité ou l’autorité régionale précisée dans la Directive. Ce processus comprend les audits de conformité, l’autocertification, les contrôles ponctuels, les enquêtes en matière de conformité, les déclarations volontaires et les plaintes. La Directive décrit également les comportements interdits et les degrés correspondants de violation de la sécurité, lesquels varient de bas (« low ») à élevé (« severe »). Au Canada, la conformité à la Directive et l’application de celle-ci sont régies au niveau provincial. Dans certaines provinces, des amendes peuvent être imposées en cas de non-conformité à la Directive.

POINTS À RETENIR

La publication de la Directive met en valeur l’importance qui continue d’être accordée aux risques en matière de cybersécurité en Amérique du Nord, notamment en ce qui a trait au secteur de l’électricité et à ses intervenants principaux.

Les organisations canadiennes assujetties aux normes de la NERC doivent vérifier si elles ont des mécanismes appropriés en place assurant leur conformité aux exigences de la Directive. Les organisations devraient notamment réviser leur plan et cadre d’intervention en cas d’incidents de cybersécurité en y intégrant les nouvelles exigences de la NERC, telles que les échéances prescrites et la bonne matrice de criticité, entre autres. Les organisations devraient également envisager de réaliser des exercices sur table afin d’évaluer la robustesse de leur plan d’intervention.

Pour en savoir davantage, communiquez avec :

Katherine Barbacki                   514-982-4138
Darren Reed                             403-260-9640
Imran Ahmad                            416-863-4329

ou un autre membre de notre groupe Cybersécurité.

Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet.

Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l’adresse communications@blakes.com. © 2019 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.