Cybersécurité de Smart Grids d’un opérateur d’électricité
Cybersécurité de Smart Grids d’un opérateur d’électricité
Contexte et enjeux
Ce client, acteur dans le secteur du nucléaire, a souhaité mener sur l’ensemble de ses sites tertiaires en France un diagnostic de la sécurité logique des :
- Systèmes d’Informations de GTC/GTB (Gestion Technique Centralisée et Gestion Technique des Bâtiments), des capteurs jusqu’à la supervision et au pilotage à distance des installations techniques comme la climatisation, l’éclairage, les compteurs, l’incendie, les stores,…
- Systèmes d’Informations concourant à la protection physique (PP) des bâtiments, à savoir la vidéosurveillance, le contrôle d’accès, la détection d’intrusion, la signalisation d’alarmes et les moyens de communication…
Plusieurs centaines de sites (bureaux, centres de formation, R&D, bâtiments tertiaires, centres d'ingénierie) sont concernés par cette démarche globale.
Dans ce contexte, ce client a confié à Assystem l’établissement d’une méthodologie d’étude de la sécurité de ses sites tertiaires, sous l’angle de la cybersécurité.
Missions
Elaboration par Assystem d’une méthodologie basée sur une approche par les risques, inspirée des méthodologies ANSSI (Agence nationale de la sécurité des systèmes d'information) de classification des systèmes industriels et EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) et permettant :
- De classer les sites en fonction de leurs enjeux et risques de sécurité
- De proposer, pour chaque classe de site, un référentiel d’exigences de sécurité portant sur les systèmes GTC/GTB et PP, répondant aux principaux scénarios de risque identifiés pour cette classe
- D’établir pour chaque site un plan d’action de sécurisation, basé sur un référentiel de mesures de sécurité, permettant d’adresser ces principaux scénarios de risque
Trois sites pilotes ont été étudiés lors de la mission pour l’élaboration, le test et la mise au point de cette méthodologie, avec comme objectif la mise en application future à plusieurs centaines de sites.
Résultats
- Mise au point d’un outil de classification efficace et constitution d’un référentiel de mesures, prenant en compte l’évaluation des impacts liés aux risques identifiés ainsi que la complexité technique des systèmes industriels de GTC, GTB et protection physique répertoriés sur les sites du client
- Aide au diagnostic sécurité et à la mise en conformité de ces systèmes par rapport au niveau d’exigences attendu
- Bonne anticipation des particularités de chaque installation et de chaque système grâce aux compétences en gestion des risques cyber couplées aux savoirs faires historiques du contrôle-commande, de l’informatique industrielle, de la GTB/Sûreté et de la cybersécurité des systèmes industriels
