Gestion de l'énergie

En quoi le niveau de sécurité 2 (SL2) de la norme IEC 62443 est-il important pour les systèmes de gestion de l’énergie (PMS) ?

En quoi le niveau de sécurité 2 de la norme IEC 62443 est-il important pour les systèmes de gestion de l’énergie ?

J’expliquerai dans cet article ce que signifient ces niveaux de sécurité, pourquoi ils impliquent de choisir une technologie certifiée, et pourquoi la nouvelle certification de niveau de sécurité 2 d’EcoStruxure Power Operation est une excellente nouvelle.

La digitalisation de la distribution de l’énergie bouleverse la manière dont les organisations gèrent leur énergie électrique. Et ce n’est pas un hasard. Les systèmes intelligents de gestion de l’énergie maximisent la disponibilité de l’énergie, génèrent des économies d’énergie et de maintenance de 20 % en moyenne, optimisent l’empreinte CO2 de 20 % en moyenne également et diminuent les dépenses d’investissement de 5 à 20 %.

Aujourd’hui, les solutions de gestion de l’énergie reposent sur des réseaux d’équipements intelligents, des applications logicielles et appareils mobiles souvent connectés au cloud. Cette transformation digitale s’inscrit dans le cadre de la convergence des technologies de l’information (IT) et des technologies opérationnelles (OT) actuellement à l’œuvre entre de nombreuses installations système en entreprise. De fait, IDC assure que  « la convergence IT/OT s’est accélérée ces dernières années » et prédit « qu’en 2024, 60 % des organisations industrielles intégreront les données des systèmes de contrôle OT avec des rapports et analyses disponibles sur le cloud pour passer d’une vue d’ensemble à une connaissance opérationnelle à l’échelle d’un site ».

Cependant, la connectivité et la convergence IT/OT représentent des enjeux de cyber-menaces, car tout système et tout équipement peut devenir la cible d’une attaque. Les exemples d’atteintes préjudiciables du point de vue fonctionnel et financier des systèmes IT/OT ne manquent pas. On peut citer la célèbre attaque menée contre Target par l’intermédiaire du système CVC.

La sécurisation des systèmes de distribution d’énergie connectés est essentielle pour protéger les investissements des propriétaires et exploitants de bâtiments dans ces systèmes. Et, compte tenu de la tendance à l’intégration multiplateforme, cette sécurisation empêche également les pirates d’accéder à d’autres systèmes connectés.

Distribution d'énergie

Distribution d’énergie

ISA / IEC 62443 : normaliser les bonnes pratiques en matière de cybersécurité

Pour une résilience maximale face aux cybermenaces, la conception, la mise en œuvre et l’exploitation des systèmes de distribution de l’énergie ne doivent jamais perdre de vue l’impératif de cybersécurité. Les normes internationales aident les fournisseurs de technologies, les intégrateurs, les utilisateurs finaux et les prestataires de services à appliquer des pratiques de cybersécurité efficaces et clairement définies.

L’International Electrotechnical Commission (IEC) et l’International Society of Automation (ISA) ont élaboré l’une des normes de cybersécurité les plus strictes : ISA / IEC 62443. Ces normes encadrent la sécurisation des systèmes d’automatisme et de contrôle industriels (IACS) et des technologies opérationnelles (OT). La gestion de l’énergie rentre dans cette catégorie.

Ces normes couvrent tous les aspects de la cybersécurité, répartis en quatre niveaux : la couche des composants (produits), la couche des systèmes (composants connectés), les politiques et procédures, et les sujets généraux tels que les concepts et les cas d’utilisation.

Voici un bref aperçu de quelques composants et normes de système qui sont importants pour notre propos.

Au niveau des composants :

  • 62443-4-1 : Cette partie décrit le processus sécurisé de développement de produits, qui comprend huit « pratiques » de développement, de maintenance et de retrait du matériel, des logiciels et des microprogrammes.
  • 62443-4-2 : Cette partie énonce les exigences techniques relatives aux équipements embarqués, composants réseau, composants hôtes et applications logicielles. Elle précise les capacités de sécurité qui atténuent les menaces pour un niveau de sécurité donné. Nous examinons les niveaux de sécurité plus en détail ci-dessous.

Au niveau des systèmes :

  • 62443-3-2 : La cybersécurité consistant essentiellement à gérer des risques, cette partie propose un guide d’évaluation des risques qui invite à prendre en compte la pertinence des menaces, l’exposition aux risques (équipements affectés), la probabilité des événements, les vulnérabilités des systèmes et les conséquences des attaques.
  • 62443-3-3 : Cette partie définit les exigences techniques de cybersécurité applicables aux systèmes, ainsi que la notion de niveaux de sécurité.

Vous pouvez voir que deux de ces normes mentionnent des « niveaux de sécurité » pour les composants et les systèmes. Définissons-les et voyons en quoi ils sont importants.

Digital Power

Digital Power

Les niveaux de sécurité : déterminer le degré de protection nécessaire

La norme IEC 62443 établit sept exigences fondamentales en matière d’intégrité des données, de disponibilité des ressources, de temps de réaction à un événement ou encore de contrôle de l’accès et de l’utilisation.

Chacune de ces exigences essentielles est associée à un niveau de sécurité. Les niveaux de sécurité décrivent les fonctions de cybersécurité qui permettent aux appareils et systèmes d’atteindre la résistance nécessaire aux cybermenaces

Les différents niveaux de sécurité correspondent aux différentes catégories de cyberattaques.

  • SL1 protège contre une mauvaise utilisation involontaire ou accidentelle (par un employé, par exemple).
  • SL2 protège contre une attaque menée intentionnellement par une personne malveillante.
  • SL3 et SL4 protègent contre des menaces qui ne cessent de gagner en complexité (terroristes, États, etc.).

Pour chaque niveau de sécurité, la conformité à la norme IEC 62443 exige qu’un certain nombre de conditions soient remplies. Par exemple, l’obtention de la certification SL1 nécessite de satisfaire à 37 exigences. La certification SL2 reprend les 37 exigences de SL1 et en ajoute 23.

Des produits et systèmes plus robustes sont mieux armés face aux cybermenaces. Au moment d’évaluer des solutions de gestion de l’énergie, il convient donc de demander aux fournisseurs de technologie de vérifier que leurs composants et systèmes soient conformes au niveau de cybersécurité que votre équipe a jugé adapté aux risques auxquels votre installation est confrontée. Vous pouvez, par exemple, avoir besoin de vous protéger contre les attaques malveillantes (SL2), mais pas contre les attaques d’un État (SL4).

Power Operation

Power Operation

Certification par une tierce partie : confiance dans la conformité de la cybersécurité de la gestion de l’énergie

Il est bon d’appliquer les exigences de la norme IEC 62443, mais il est encore mieux de faire certifier sa conformité. La certification donne aux consultants en ingénierie, aux intégrateurs et aux utilisateurs finaux la certitude que la conformité d’un fournisseur a fait l’objet d’une vérification indépendante. Cette certification est délivrée par un organisme de contrôle reconnu au niveau international, tel que TÜV Rheinland ou Exida.

Schneider Electric prend la question de la cybersécurité très au sérieux, parce qu’elle est essentielle pour nos clients. Ainsi, nous nous conformons aux exigences de la norme IEC 62443 et nous plaçons même en tête du secteur de la gestion de l’énergie avec des certifications indépendantes pour nos processus, logiciels et systèmes. D’ailleurs, nos ingénieurs en sécurité produits ont participé au groupe de travail qui a élaboré la norme ISA/IEC 62443-4-1.

Récemment, nous avons annoncé que le logiciel EcoStruxure Power Operation (anciennement Power SCADA Operation) avait obtenu la certification de conformité à la norme IEC 62443-4-2 au niveau de sécurité 2 (SL2).

Nous sommes fiers de dire qu’il s’agit du premier (et pour le moment du seul) produit de gestion de l’électricité au monde à avoir obtenu la certification SL2. Notre solution étant essentielle pour la gestion de l’énergie dans les bâtiments critiques, cette certification SL2 donnera à nos partenaires et à nos clients la certitude d’être bien protégés contre les cybermenaces.

EcoStruxure Power Operation est par ailleurs inclus dans un système certifié SL1 selon la norme IEC 62443-3-3 qui comprend aussi les disjoncteurs à air MasterPact™ MTZ ainsi que les compteurs PowerLogic ION9000 et PowerLogic PM8000, par exemple. Un grand nombre de nos produits sont certifiés conformes aux normes IEC 62443-4-1 ou IEC 62443-4-2 (niveau de sécurité 1). On peut citer le logiciel EcoStruxure Power Monitoring Expert ou encore les relais de protection Easergy P5.

Pour en savoir plus sur les meilleures pratiques en matière de cybersécurité pour les systèmes électriques, téléchargez nos livres blancs “Understanding cybersecurity for IoT-enabled electrical distribution systems” et “Practical Overview of Implementing IEC 62443 Security Levels in Industrial Control Applications.” Et découvrez le logiciel EcoStruxure Power Operation.

Schneider Electric a reçu le titre d’entreprise la plus durable du monde en 2021 selon l’indice Corporate Knights Global 100.

 

Traduit de Why is IEC 62443 Security Level 2 important for power management systems ?


Pas de réponses

Laisser un commentaire

  • (ne sera pas publié)