Brief de plongée:

• La Federal Energy Regulatory Commission (FERC) et la North American Electric Reliability Corporation (NERC) ont publié le 31 juillet un guide de cybersécurité pour le secteur de l’énergie, qui couvre quatre techniques non invasives que les professionnels de la sécurité peuvent utiliser pour identifier les puces produites par Huawei et ZTE.
• Les opérateurs de réseau peuvent utiliser sans le savoir des contrôleurs d’interface réseau (NIC) ou d’autres appareils produits par Huawei et ZTE qui pourraient compromettre leurs opérations, selon le document. Les entités gouvernementales ont identifié les équipements des deux sociétés comme des menaces potentielles pour la sécurité.
• Le livre blanc guide l’industrie à penser au-delà de ses relations avec les fournisseurs d’équipements pour examiner les fournisseurs de composants, a déclaré Josh Sandler, directeur principal de la cybersécurité d’EY Energy, dans un e-mail. Le livre blanc complète également la nouvelle norme NERC de protection des infrastructures critiques (CIP) pour la gestion des risques de la chaîne d’approvisionnement en cybersécurité (CIP-013) qui entre en vigueur le 1er octobre, selon Sandler.

Aperçu de la plongée:

Les fournisseurs d’électricité comptent sur les capacités de réseautage et de télécommunications dans leurs opérations quotidiennes. Selon la FERC et la NERC, plusieurs entités gouvernementales, dont le Comité spécial permanent de la Chambre sur le renseignement, le Government Accountability Office (GAO), le Defense Innovation Board et la Federal Communications Commission (FCC), ont identifié les équipements produits par Huawei et ZTE comme des menaces potentielles.

Les inquiétudes concernant la cybersécurité du réseau électrique se sont accrues cette année. Le président Trump a publié un décret sur la sécurité physique et la cybersécurité du réseau électrique national et le ministère de l’Énergie a identifié six pays – la Chine, Cuba, l’Iran, la Corée du Nord, la Russie et le Venezuela – comme des « adversaires étrangers » auxquels le secteur de l’électricité ne peut pas acheter équipement.

Alors que le décret est axé sur l’infrastructure, le livre blanc se concentre davantage sur les cyberactifs et leurs composants, selon Sandler d’EY.

«De plus, le livre blanc fournit des exemples d’étapes techniques et pratiques que l’industrie peut prendre aujourd’hui pour mieux comprendre et évaluer ce qui a déjà été déployé dans son environnement», a déclaré Sandler.

Même si un opérateur de réseau n’a pas acheté d’équipement produit par Huawei ou ZTE, leurs composants sont si répandus sur le marché que des composants suspects peuvent avoir été utilisés dans des équipements achetés auprès d’autres fabricants, selon le livre blanc.

Il est difficile de savoir précisément à quel point les composants Huawei ou ZTE sont omniprésents dans le secteur de l’énergie, a déclaré Sandler.

Une porte dérobée dans une carte réseau peut permettre à des acteurs malveillants d’accéder au système d’un opérateur de réseau en contournant les pare-feu ou les logiciels de détection d’intrusions, selon le livre blanc. Alors que les exploitants de réseau pourraient ouvrir physiquement les appareils pour vérifier les numéros de série des composants par rapport à une liste de composants potentiellement malveillants, la FERC et la NERC ont suggéré quatre outils automatisés pour identifier les composants suspects.

Les techniques suggérées dans le livre blanc n’augmentent pas le fardeau de l’industrie, a déclaré Sandler, ajoutant que les méthodes sont alignées sur les bonnes pratiques de gestion des risques de la chaîne d’approvisionnement déjà en cours dans l’industrie.

«Au cours des dernières années, alors que les attaques ont augmenté en fréquence et en sophistication, la gestion des risques de cybersécurité a gagné en importance pour les services publics d’électricité et les régulateurs». Sandler »et« les services publics ont besoin d’une approche réfléchie de la gestion des fournisseurs de la chaîne d’approvisionnement pour aider à atténuer les risques de cybersécurité. »