Le ministère de l’énergie indien et la Central Electricity Authority (CEA) ont récemment publié des lignes directrices en matière de cybersécurité afin d’améliorer la préparation du secteur de l’électricité aux risques cyber. C’est la première fois en Inde que ce genre de réglementation en matière de cybersécurité est dédiée à ce secteur. Elle préfigure des évolutions réglementaires similaires dans d’autres pays ou régions du monde, notamment au sein de l’Union européenne, qui prépare un code de réseau « cybersécurité ».
La Central Electricity Authority of India (CEA) est un organisme public qui conseille notamment le gouvernement indien sur les questions de politiques nationales en matière d’électricité et qui est, en outre, chargé de l’établissement de normes techniques pour ce secteur. Jusqu’à maintenant, bien que de nombreuses réglementations existent en matière de cybersécurité, aucune d’entre elles ne visait spécifiquement le secteur de l’électricité. La CEA a donc été chargée d’émettre des lignes directrices sur la cybersécurité dans le secteur de l’électricité.
1. Des objectifs ambitieux
Les objectifs affichés des guidelines sont nombreux et ambitieux. Le texte les énonce ainsi :
1) Sensibiliser à la cybersécurité
2) Créer un cyber écosystème sécurisé,
3) Créer un cadre de cyber-assurance,
4) Renforcer le cadre réglementaire,
5) Créer des mécanismes d’alerte précoce des menaces pour la sécurité, de gestion de la vulnérabilité et de réponse aux menaces pour la sécurité.
6) Sécuriser les opérations et les services à distance,
7) Protection et résilience des infrastructures d’information critiques,
8) Réduire les risques liés à la cyberchaîne d’approvisionnement,
9) Encourager l’utilisation de standards ouverts,
10) Promotion de la recherche et du développement en matière de cybersécurité,
11) Développement des ressources humaines dans le domaine de la cybersécurité,
12) Développer des partenariats public-privé efficaces,
13) Partage de l’information et coopération
14) Mise en œuvre de la politique nationale de cybersécurité.
2. Un panel large d’entités concernées
Les entités concernées par les obligations de cybersécurité sont nombreuses. Les prestataires de services, les fournisseurs d’équipements et les consultants engagés dans le secteur de l’électricité ont tous une part de responsabilités pour la cybersécurité. Mais le texte prévoit surtout des obligations spécifiques pour celles qu’il nomme les entités responsables (« Responsible Entities ») :
- Les gestionnaires de réseaux de transport,
- Les centres de conduite nationaux et régionaux,
- Les producteurs d’électricités (hydraulique, thermique, nucléaire, renouvelables),
- Les distributeurs,
- Les agrégateurs,
- Les bourses,
- Les comités régionaux de l’énergie, et
- Les commissions de régulation.
3. Des outils multiples mis en place
Les articles des Guidelines s’articulent autour des sujets que l’on retrouve communément dans les réglementations visant à encadrer la cybersécurité, notamment les principes de la politique de sécurité, la mise en conformité à des normes internationales de référence, l’obligation de nomination d’un responsable conformité, l’identification des infrastructures critiques pour l’information, l’évaluation des cyber-risques et la mise en place de plans d’atténuation, la mise en place de formations cybersécurité, les règles de gestion des risques liés à la chaîne d’approvisionnement, l’obligation de rédiger des rapports d’incident de cybersécurité et des plans de traitement, les tests des cyber-actifs, les audits de cybersécurité.
Henri MARIA
Transitions électriques ⇝ 