Une citation célèbre attribuée au directeur du FBI de l’époque, Robert Mueller, en mars 2012, a déclaré que: « Il n’y a que deux types d’entreprises: celles qui ont été piratées et celles qui le seront. »
Avec l’augmentation rapide du fléau actuel des cyberattaques, un enjeu clé pour les organismes de réglementation continue d’être la protection des infrastructures essentielles. Au cours des dernières années, divers organismes de réglementation des États-Unis ont établi (et mettent à jour périodiquement) des normes pour améliorer la capacité de détecter, d’atténuer et de réagir aux menaces croissantes à la cybersécurité qui pèsent sur les infrastructures essentielles. Les organismes de réglementation canadiens et les participants de l’industrie, en particulier dans les secteurs où il existe des connexions transfrontalières, ont également établi (et mettent à jour périodiquement) leurs normes connexes.
Par conséquent, les exploitants canadiens d’infrastructures électriques sont bien avisés de surveiller les récents développements aux États-Unis où la Federal Energy Regulatory Commission (FERC) a, le 21 décembre 2017, publié un projet d’avis de projet de réglementation répondant à la menace pour la cybersécurité.
La FERC a proposé qu’en vertu de l’article 215(d)(5) de la Federal Power Act, modifie les normes de fiabilité du Plan des infrastructures essentielles (PIC) de la NERC afin d’améliorer la déclaration obligatoire des incidents de cybersécurité. La préoccupation que la FERC identifie est que le seuil actuel de déclaration des incidents de cybersécurité peut entraîner la sous-estimation de la véritable portée de ces menaces auxquelles est confronté le système électrique en vrac.
La règle proposée exigerait des modifications aux normes de fiabilité de la NERC CIP afin d’inclure la déclaration obligatoire des incidents de cybersécurité « qui compromettent ou tentent de compromettre », le périmètre de sécurité électronique, le système de contrôle d’accès électronique ou de surveillance des entités applicables.
Les rapports proposés ciblent également les normes de déclaration afin d’améliorer la qualité de ces rapports et de faciliter la comparaison et l’analyse des incidents. Une date limite pour le dépôt de ces rapports est proposée, tout comme les rapports annuels à la FERC.
Par conséquent, les participants de l’industrie canadienne de l’électricité sont bien avisés de se demander si ces projets d’aménagement aux États-Unis entraîneront des changements semblables aux normes applicables en matière d’infrastructures essentielles au Canada.