Conformité à la norme NERC CIP

Contacter un expert

Retour à tous les cas d'utilisation

NERC et gestion des risques liés aux tiers

La norme de protection des infrastructures critiques (CIP)dela North American Electric Reliability Corporation (NERC)établit de nouvelles exigences en matière de cybersécurité pour les entreprises d'électricité et de services publics afin de garantir, préserver et prolonger la fiabilité du réseau électrique (BES). La NERC est autorisée à infliger aux entités enregistrées des sanctions pouvant atteindre 1 million de dollars par jour et par infraction non réglée.

La gestion des risques liés aux tiersjoue un rôle essentiel dans la sécurisation de la chaîne logistique grâce àl'évaluationrégulière des contrôles de sécurité internes des partenaires de la chaîne logistique et àla surveillance continue des risques liés aux fournisseurs en temps réel. Prises ensemble, ces perspectives internes et externes offrent une visibilité plus complète sur les risques liés à la chaîne logistique.

Respect des exigences TPRM du NERC

Voici comment Prevalent peut vous aider à mettre en œuvre les meilleures pratiques de gestion des risques des tiers de la NERC :

Exigence Comment nous aidons
CIP-013 Critères de cybersécurité

1.2.1 Notification/reconnaissance des incidents de cybersécurité

Les fournisseurs doivent être en mesure d'identifier quand un incident s'est produit afin de pouvoir en informer l'entité concernée.

Prevalent permet aux entités responsables d'évaluer régulièrement les plans d'intervention en cas d'incident de leurs fournisseurs, en exigeant le téléchargement des plans sur la plateforme pour validation. Grâce à ce niveau d'examen, les entités ont une visibilité sur la manière dont un partenaire de la chaîne d'approvisionnement réagirait à une violation ou à un incident cybernétique.

Les outils de surveillance et de notation ne peuvent à eux seuls fournir ce niveau de contrôle interne ou de visibilité des processus, mais ils peuvent compléter les évaluations afin de déclencher la divulgation publique d'un incident.

1.2.2 Coordination des réponses aux incidents de cybersécurité

Les fournisseurs doivent coordonner avec l'entité leurs réponses aux incidents liés aux produits ou services fournis à l'entité qui présentent un risque pour la cybersécurité de celle-ci.

 Prevalent fournit une plateforme centrale pour l'examen des preuves à l'appui des plans d'intervention et de communication en cas d'incident, avec la possibilité de créer des flux de travail, des tâches et des procédures d'escalade personnalisés afin de permettre une réponse rapide.

1.2.3 Notification lorsque l'accès à distance ou sur place n'est plus nécessaire ou ne devrait plus être disponible pour les représentants du fournisseur

Les fournisseurs doivent réagir de manière appropriée aux changements de personnel. Un fournisseur doit être en mesure d'informer l'entité lorsqu'un changement de personnel susceptible d'avoir une incidence sur la possibilité pour ses représentants de continuer à bénéficier d'un accès à distance se produit.

 La plateforme Prevalent comprend un assistant de création d'enquêtes personnalisées qui permet aux organisations de créer et de diffuser une enquête personnalisable pour le départ d'un collaborateur, posant des questions spécifiques au fournisseur et à l'équipe interne concernant l'accès au système, la destruction des données et les paiements finaux, avec des workflows intégrés pour garantir la fluidité du processus de séparation.

1.2.4 Identification des vulnérabilités Les fournisseurs doivent informer une entité lorsqu'une vulnérabilité liée à un produit ou à un service est identifiée.

Afin de respecter cette obligation, un fournisseur doit savoir quand une vulnérabilité existe dans son environnement.

 La plateforme Prevalent offre des preuves et une validation des processus attestant de l'existence de telles politiques, exigeant du partenaire de la chaîne d'approvisionnement qu'il fournisse ces preuves. Des capacités de surveillance continue intégrées complètent les évaluations en effectuant une analyse externe des vulnérabilités des interfaces de services Web, dont les résultats sont intégrés dans un registre de risques unique.
1.2.5. Vérification de l'intégrité et de l'authenticité de tous les logiciels et correctifs fournis par le vendeur pour être utilisés dans le cyber-système BES La plateforme Prevalent comprend plus de 50 questionnaires standards intégrés (tels que ceux de CIP, NIST, ISO et autres), dont beaucoup posent des questions spécifiques sur la cadence des correctifs et les vérifications de l'intégrité des logiciels pour les systèmes internes. Les réponses à ces questions sont transformées en risques si les seuils de correctifs appropriés ne sont pas atteints, ce qui permet d'informer les entités responsables des risques potentiels.

1.2.6 Coordination des contrôles pour l'accès à distance interactif à l'initiative du fournisseur et l'accès à distance de système à système avec un fournisseur

Les fournisseurs doivent se coordonner avec les entités afin de contrôler l'accès distant interactif initié par le fournisseur et de s'assurer que l'accès distant de système à système avec un fournisseur est géré de manière appropriée.

 La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques encourus par les fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail afin de favoriser le respect de la politique et des meilleures pratiques.
Gestion des actifs, des changements et des configurations

Gestion des actifs, des changements et des configurations Inventaire des appareils autorisés et non autorisés

  • Les dispositifs physiques et les systèmes au sein de l'organisation sont inventoriés
  • Les plates-formes logicielles et les applications au sein de l'organisation sont inventoriées
  • La communication organisationnelle et les flux de données sont cartographiés
  • Les systèmes d'information externes sont catalogués
 La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques encourus par les fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail afin de favoriser le respect de la politique et des meilleures pratiques.

Considérations relatives au contrôle des modifications et à la gestion de la configuration

  • utilise un cadre reconnu pour ses processus en matière de technologies de l'information (par exemple, ITIL)
  • Inclut la sécurité dans son cycle de développement du système
  • dispose d'un processus mature de contrôle des changements
  • Maintien d'environnements de développement et de production distincts
  • Maintient des environnements distincts pour différents clients
  • Dispose d'un mécanisme pour assurer l'intégrité du logiciel (par exemple, ICP avec cryptage, signature numérique).
  • Le produit permet un durcissement pour minimiser la surface d'attaque
  • Processus d'identification, de découverte, d'inventaire, de classification et de gestion des actifs informationnels (matériels et logiciels).
  • Processus de détection des modifications non autorisées des logiciels et des paramètres de configuration
  • Capacité à déterminer si le matériel, les logiciels ou les composants proviennent des États-Unis ou de l'étranger.
 La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques encourus par les fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail afin de favoriser le respect de la politique et des meilleures pratiques.
Gouvernance

Établir et mettre en œuvre un programme de sensibilisation à la sécurité

  • Documenter et mettre en œuvre la politique et les procédures de sécurité
  • Tous les utilisateurs sont informés et formés aux politiques et procédures en matière de cybersécurité.
  • Les parties prenantes tierces comprennent leurs rôles et responsabilités et sont tenues de respecter les mêmes exigences.
  • Les cadres supérieurs comprennent leurs rôles et responsabilités
  • Le personnel chargé de la sécurité physique et de la sécurité de l'information comprend son rôle et ses responsabilités
  • Capacité à fournir une assistance permanente pour les logiciels et le matériel informatique
  • Vérification des antécédents du personnel
  • Capacité à conserver les données en cas d'événements tels que la mise en suspens d'un litige ou des incidents de cybersécurité
  • Présence de ressources formées, compétentes et suffisantes en matière de cybersécurité
  • Le fournisseur dispose de certifications pour son processus de fabrication (par exemple, ISO).
 La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques encourus par les fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail afin de favoriser le respect de la politique et des meilleures pratiques.

Considérations relatives à la journalisation et à la surveillance

  • Maintient un programme d'enregistrement, de surveillance et d'analyse continus de ses systèmes afin d'identifier les événements significatifs.
  • La séparation des tâches est suffisante pour garantir l'efficacité de la journalisation et de la surveillance afin de détecter les anomalies.
 La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques encourus par les fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail afin de favoriser le respect de la politique et des meilleures pratiques.

Considérations relatives à la protection des informations

  • utilise des contrôles appropriés pour gérer les données au repos (données du fournisseur ou de l'entité)
  • Capacité à fournir du matériel supplémentaire en cas de panne • Crypte les identifiants en transit, en interne et en externe
  • Cryptage des données d'identification au repos
  • Utilise les algorithmes de cryptage standard les plus puissants (par exemple, AES ou SHA-2).
  • Contrôles d'accès physique des fournisseurs au matériel, aux logiciels et aux centres de fabrication
  • Les dispositifs physiques et les systèmes au sein de l'organisation sont inventoriés
  • Localisation des centres de données (aux États-Unis/au Canada ou à l'étranger)
 La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques encourus par les fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail afin de favoriser le respect de la politique et des meilleures pratiques.

Ressources complémentaires

Blog

La LPDP et la gestion du risque pour les tiers

Blog

Liste de contrôle de la conformité au GDPR pour la gestion des risques liés aux tiers

Blog

Liste de contrôle de la conformité à la CCPA et à l'ACPR pour la gestion des risques liés aux tiers

Guide

Alignez votre programme de gestion des risques technologiques sur la CCPA, le GDPR, l'HIPAA, etc.

Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.