Comment se préparer à un audit NERC CIP-013-1 pour la sécurité de la chaîne d'approvisionnement ?

Les nouvelles normes de cybersécurité relatives à la protection des infrastructures critiques pour les partenaires de la chaîne d'approvisionnement publiées par la North American Electric Reliability Corporation (NERC) devraient entrer en vigueur le 1er juillet 2020. Êtes-vous prêts ?

Personnel de Mitratech
Personnel de Mitratech Avril 20, 2020 8 min de lecture
Decorative image

La norme de protection des infrastructures critiques (CIP) de la North American Electric Reliability Corporation (NERC) (CIP-013-1) établit de nouvelles exigences de cybersécurité pour les compagnies d'électricité et les services publics afin d'assurer, de préserver et de prolonger la fiabilité du système électrique en vrac (BES). Applicable à partir du 1er juillet 2020, les entités responsables ont 18 mois pour s'y conformer afin d'éviter les pénalités. La NERC est autorisée à sanctionner les entités enregistrées à hauteur d'un million de dollars par jour et par infraction non résolue.

La gestion des risques des tiers joue un rôle essentiel dans la sécurisation de la chaîne d'approvisionnement grâce à l'évaluation régulière des contrôles de sécurité internes des partenaires de la chaîne d'approvisionnement et à la surveillance continue des risques des fournisseurs en temps réel. Ensemble, cette vision interne et externe offre une visibilité plus complète des risques liés à la chaîne d'approvisionnement.

Ce blog passe en revue les exigences de la norme CIP-013-1 et met en correspondance les capacités disponibles dans la plateforme Prevalent Third-Party Risk Management avec ces exigences.

Répondre aux exigences de la norme NERC CIP-013-1

Ce blog se concentre sur les exigences fondamentales de la conformité à la norme CIP-013-1, en particulier dans les domaines des notifications de cybersécurité, de la gestion des actifs, des changements et des configurations, et de la gouvernance. Chacun de ces domaines peut être facilement évalué grâce aux fonctionnalités disponibles sur la plateforme Prevalent.

Critères de cybersécurité du NERC CIP-013

Au minimum, les entités évaluent si leur(s) fournisseur(s) peut(vent) répondre aux critères de sécurité de base :

1.2.1 Notification/reconnaissance des incidents de cybersécurité

Les fournisseurs doivent être en mesure d'identifier le moment où un incident s'est produit afin de s'assurer que le fournisseur peut notifier l'entité dans le cas d'un tel incident. Prevalent permet aux entités responsables d'évaluer régulièrement les plans de réponse aux incidents de leurs fournisseurs, en exigeant le téléchargement des plans sur la plateforme pour validation. Grâce à ce niveau d'examen, les entités ont une visibilité sur la manière dont un partenaire de la chaîne d'approvisionnement réagirait à une violation ou à un cyberincident. Les outils de surveillance et de notation ne peuvent pas fournir ce niveau de contrôle interne ou de visibilité des processus, mais ils peuvent compléter les évaluations pour déclencher la divulgation publique d'un incident.

1.2.2 Coordination des réponses aux incidents de cybersécurité

Les fournisseurs doivent coordonner avec l'entité leurs réponses aux incidents liés aux produits ou services fournis à l'entité et qui présentent un risque pour la cybersécurité de l'entité. Prevalent fournit une plateforme centrale pour l'examen des preuves à l'appui des plans de réponse et de communication en cas d'incident, avec la possibilité de créer des flux de travail, des tâches et des voies d'escalade personnalisés pour permettre une réponse rapide.

1.2.3 Notification lorsque l'accès à distance ou sur place n'est plus nécessaire ou ne devrait plus être disponible pour les représentants du fournisseur

Les fournisseurs doivent réagir en conséquence aux changements de personnel. Un fournisseur doit être en mesure d'informer l'entité lorsqu'un changement de personnel se produit et peut avoir une incidence sur le maintien ou non de l'accès à distance pour les représentants du fournisseur. La plateforme Prevalent comprend un assistant de création d'enquêtes personnalisées qui permet aux organisations de créer et d'émettre une enquête personnalisable pour l'intégration des fournisseurs, posant des questions spécifiques au fournisseur et à l'équipe interne concernant l'accès au système, la destruction des données et les paiements finaux, avec des flux de travail intégrés pour garantir que le processus de séparation se déroule sans heurts.

1.2.4 Identification des vulnérabilités Les fournisseurs doivent informer une entité lorsqu'une vulnérabilité liée à un produit ou à un service est identifiée.

Afin de respecter cette obligation, un fournisseur doit savoir quand une vulnérabilité existe dans son environnement. La plateforme Prevalent offre des preuves et des processus de validation de l'existence de telles politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. Des capacités intégrées de surveillance continue complètent les évaluations en effectuant une analyse des vulnérabilités externes pour les interfaces de services en ligne, les résultats étant intégrés dans un registre des risques unique.

1.2.5. Vérification de l'intégrité et de l'authenticité de tous les logiciels et correctifs fournis par le vendeur pour être utilisés dans le cyber-système BES

La plateforme Prevalent comprend plus de 50 questionnaires standards intégrés (tels que ceux de CIP, NIST, ISO et autres), dont beaucoup posent des questions spécifiques sur la cadence des correctifs et les vérifications de l'intégrité des logiciels pour les systèmes internes. Les réponses à ces questions sont transformées en risques si les seuils de correctifs appropriés ne sont pas atteints, ce qui permet d'informer les entités responsables des risques potentiels.

1.2.6 Coordination des contrôles pour l'accès à distance interactif à l'initiative du fournisseur et l'accès à distance de système à système avec un fournisseur

Les fournisseurs doivent se coordonner avec les entités pour contrôler l'accès à distance interactif initié par le fournisseur et s'assurer que l'accès à distance de système à système avec un fournisseur est géré de manière appropriée. La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves.

Exigences du NERC en matière de gestion des actifs, des changements et des configurations

Lorsqu'une entité procède à une évaluation des risques et examine l'exposition aux risques des produits ou services à acquérir dans son environnement, des contrôles de cybersécurité supplémentaires peuvent s'avérer nécessaires pour protéger l'environnement opérationnel de l'entité. Une entité peut envisager d'obtenir et d'évaluer des informations supplémentaires concernant les capacités du fournisseur dans les domaines de sécurité suivants.

Gestion des actifs, des changements et des configurations Inventaire des dispositifs autorisés et non autorisés, contrôle des changements et considérations relatives à la gestion des configurations

La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques encourus par les fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail afin de favoriser le respect de la politique et des meilleures pratiques.

  • Les dispositifs physiques et les systèmes au sein de l'organisation sont inventoriés
  • Les plates-formes logicielles et les applications au sein de l'organisation sont inventoriées
  • La communication organisationnelle et les flux de données sont cartographiés
  • Les systèmes d'information externes sont catalogués
  • utilise un cadre reconnu pour ses processus en matière de technologies de l'information (par exemple, ITIL)
  • Inclut la sécurité dans son cycle de développement du système
  • dispose d'un processus mature de contrôle des changements
  • Maintien d'environnements de développement et de production distincts
  • Maintient des environnements distincts pour différents clients
  • Dispose d'un mécanisme pour assurer l'intégrité du logiciel (par exemple, ICP avec cryptage, signature numérique).
  • Le produit permet un durcissement pour minimiser la surface d'attaque
  • Processus d'identification, de découverte, d'inventaire, de classification et de gestion des actifs informationnels (matériels et logiciels).
  • Processus de détection des modifications non autorisées des logiciels et des paramètres de configuration
  • Capacité à déterminer si le matériel, les logiciels ou les composants proviennent des États-Unis ou de l'étranger.

Exigences de la NERC en matière de gouvernance

Lorsqu'une entité procède à une évaluation des risques et examine l'exposition aux risques des produits ou services à acquérir dans son environnement, des contrôles de cybersécurité supplémentaires peuvent s'avérer nécessaires pour protéger l'environnement opérationnel de l'entité. Une entité peut envisager d'obtenir et d'évaluer des informations supplémentaires concernant les capacités du fournisseur dans les domaines de sécurité suivants.

Établir et mettre en œuvre un programme de sensibilisation à la sécurité ; considérations relatives à la journalisation et à la surveillance ; considérations relatives à la protection de l'information.

La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques encourus par les fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail afin de favoriser le respect de la politique et des meilleures pratiques.

  • Documenter et mettre en œuvre la politique et les procédures de sécurité
  • Tous les utilisateurs sont informés et formés aux politiques et procédures en matière de cybersécurité.
  • Les parties prenantes tierces comprennent leurs rôles et responsabilités et sont tenues de respecter les mêmes exigences.
  • Les cadres supérieurs comprennent leurs rôles et responsabilités
  • Le personnel chargé de la sécurité physique et de la sécurité de l'information comprend son rôle et ses responsabilités
  • Capacité à fournir une assistance permanente pour les logiciels et le matériel informatique
  • Vérification des antécédents du personnel
  • Capacité à conserver les données en cas d'événements tels que la mise en suspens d'un litige ou des incidents de cybersécurité
  • La séparation des tâches est suffisante pour garantir l'efficacité de la journalisation et de la surveillance afin de détecter les anomalies.
  • Localisation des centres de données (aux États-Unis/au Canada ou à l'étranger)
  • Maintient un programme d'enregistrement, de surveillance et d'analyse continus de ses systèmes afin d'identifier les événements significatifs.
  • utilise des contrôles appropriés pour gérer les données au repos (données du fournisseur ou de l'entité)
  • Possibilité de fournir du matériel supplémentaire en cas de défaillance
  • Cryptage des informations d'identification en transit, en interne et en externe
  • Cryptage des données d'identification au repos
  • Utilise les algorithmes de cryptage standard les plus puissants (par exemple, AES ou SHA-2).
  • Contrôles d'accès physique des fournisseurs au matériel, aux logiciels et aux centres de fabrication
  • Les dispositifs physiques et les systèmes au sein de l'organisation sont inventoriés

Prevalent peut aider à la mise en conformité avec la NERC

La plateforme Prevalent Third-Party Risk Management (TPRM) contribue à la conformité NERC CIP en permettant aux compagnies d'électricité de centraliser l'évaluation des contrôles internes de leurs partenaires de la chaîne d'approvisionnement, en fournissant un référentiel de preuves et de documentation qui peut être utilisé pour auditer et valider la présence de la mesure de sécurité appropriée de la chaîne d'approvisionnement. Avec une cybersécurité continue intégrée et une surveillance des activités qui peut informer l'émission d'évaluations secondaires basées sur des critères déclenchés, la plateforme Prevalent fournit une solution plus complète pour la gestion des risques de la chaîne d'approvisionnement que ce qui est offert par les outils de notation uniquement.

En outre, la plateforme d'évaluation Prevalent prend en charge les questionnaires, les registres de risques et le reporting par rapport à plusieurs cadres standards de l'industrie, notamment le NIST CSF, PCI DSS 3.2, HIPAA et SOC 2, à l'aide du Prevalent Compliance Framework. Les organisations n'ont qu'à poser une seule série de questions et à faire correspondre les résultats à n'importe laquelle de ces réglementations, ce qui simplifie et accélère la production de rapports de conformité.

Pour en savoir plus sur la façon dont Prevalent peut aider à répondre aux exigences de conformité de plusieurs réglementations, téléchargez notre livre blanc : The Third-Party Risk Management Compliance Handbook (Manuel de conformité pour la gestion des risques liés aux tiers).

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.