Comment se préparer à un audit CIP-013-1 du NERC pour la sécurité de la chaîne d'approvisionnement ?

La norme de protection des infrastructures critiques (CIP) de la North American Electric Reliability Corporation (NERC) ( CIP-013-1) établit de nouvelles exigences en matière de cybersécurité pour les entreprises d'électricité et de services publics afin d'assurer, de préserver et de prolonger la fiabilité du système électrique en vrac (BES). Applicable à partir du 1er juillet 2020, les entités responsables ont 18 mois pour se mettre en conformité afin d'éviter les pénalités. Le NERC est autorisé à pénaliser les entités enregistrées jusqu'à 1 million de dollars par jour et par violation non résolue.

Lagestion des risques liés aux tiers joue un rôle essentiel pour garantir la sécurité de la chaîne d'approvisionnement grâce à l'évaluation régulière des contrôles de sécurité internes des partenaires de la chaîne d'approvisionnement et à la surveillance permanente des risques liés aux fournisseurs en temps réel. Cette vision interne et externe offre une visibilité plus complète des risques liés à la chaîne d'approvisionnement.

Ce blog passe en revue les exigences de la norme CIP-013-1 et met en correspondance les capacités disponibles dans la plateforme de gestion des risques des tiers Prevalent avec ces exigences.

Respect des exigences de la norme CIP-013-1 du NERC

Ce blog se concentre sur les exigences fondamentales de la conformité à la norme CIP-013-1, notamment dans les domaines des notifications de cybersécurité, de la gestion des actifs, des changements et des configurations, et de la gouvernance. Chacun de ces domaines peut être facilement évalué grâce aux fonctionnalités disponibles sur la plateforme Prevalent .

Critères de sécurité de la norme CIP-013 du NERC Cyber

Au minimum, les entités évaluent si leur(s) fournisseur(s) peuvent répondre aux critères de sécurité de base :

1.2.1 Notification/reconnaissance des incidents de sécurité Cyber

Les fournisseurs doivent être en mesure d'identifier le moment où un incident s'est produit afin de s'assurer que le fournisseur peut notifier l'entité dans le cas d'un tel incident. Prevalent permet aux entités responsables d'évaluer régulièrement les plans de réponse aux incidents de leurs fournisseurs, en exigeant le téléchargement des plans sur la plateforme pour validation. Avec ce niveau d'examen, les entités ont une visibilité sur la façon dont un partenaire de la chaîne d'approvisionnement répondrait à une violation ou à un incident sur le site cyber . Les outils de surveillance et de notation ne peuvent pas fournir ce niveau de contrôle interne ou de visibilité des processus, mais ils peuvent compléter les évaluations pour déclencher la divulgation publique d'un incident.

1.2.2 Coordination des réponses aux incidents de sécurité Cyber

Les fournisseurs doivent coordonner avec l'entité leurs réponses aux incidents liés aux produits ou services fournis à l'entité qui posent un risque de sécurité pour l'entité ( cyber ). Prevalent fournit une plateforme centrale pour l'examen des preuves soutenant les plans de communication et de réponse aux incidents, avec la flexibilité de construire un flux de travail, des tâches et des voies d'escalade personnalisés pour permettre une réponse rapide.

1.2.3 Notification lorsque l'accès à distance ou sur place n'est plus nécessaire ou ne devrait plus être disponible pour les représentants du fournisseur

Les fournisseurs devraient réagir en conséquence aux changements de personnel. Un fournisseur devrait être en mesure d'informer l'entité lorsqu'un changement de personnel se produit, qui pourrait avoir une incidence sur la question de savoir si l'accès à distance doit encore être disponible ou non pour les représentants du fournisseur. La plateforme Prevalent comprend un assistant de création d'enquêtes personnalisées qui permet aux organisations de créer et d'émettre une enquête personnalisable pour le départ, posant des questions spécifiques au fournisseur et à l'équipe interne concernant l'accès au système, la destruction des données et les paiements finaux, avec des flux de travail intégrés pour garantir que le processus de séparation est transparent.

1.2.4 Identification des vulnérabilités Les vendeurs doivent informer une entité lorsqu'une vulnérabilité liée à un produit ou à un service est identifiée.

Afin de respecter cette obligation, un fournisseur doit savoir quand une vulnérabilité existe dans son environnement. La plateforme Prevalent offre des preuves et des processus de validation de l'existence de telles politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. Les capacités intégrées de surveillance continue complètent les évaluations en effectuant un balayage externe des vulnérabilités pour les interfaces de services Web, les résultats étant intégrés dans un registre unique des risques.

1.2.5. Vérification de l'intégrité et de l'authenticité de tous les logiciels et correctifs fournis par le vendeur pour être utilisés dans le système BES Cyber .

La plateforme Prevalent comprend plus de 50 questionnaires standard intégrés (tels que ceux de la CIP, du NIST, de l'ISO et d'autres), dont beaucoup posent des questions spécifiques sur la cadence des correctifs et les contrôles d'intégrité des logiciels pour les systèmes internes. Les réponses à ces questions sont transformées en risques si les seuils de correctifs appropriés ne sont pas atteints, ce qui permet d'informer les entités responsables des risques potentiels.

1.2.6 Coordination des contrôles pour l'accès à distance interactif initié par un fournisseur et l'accès à distance de système à système avec un fournisseur

Les fournisseurs doivent se coordonner avec les entités pour contrôler l'accès à distance interactif initié par le fournisseur et s'assurer que l'accès à distance de système à système avec un fournisseur est géré de manière appropriée. La plateforme Prevalent offre une preuve et un processus de validation de l'existence de telles politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir cette preuve.

Exigences du NERC en matière de gestion des actifs, des changements et de la configuration

Lorsqu'une entité effectue une évaluation des risques et considère l'exposition aux risques des produits ou services à acquérir dans son environnement, des contrôles de sécurité supplémentaires sur cyber peuvent être nécessaires pour protéger l'environnement opérationnel de l'entité. Une entité peut envisager d'obtenir et d'évaluer des informations supplémentaires concernant les capacités du fournisseur en ce qui concerne les domaines de sécurité suivants.

Gestion des actifs, des changements et de la configuration Inventaire des dispositifs autorisés et non autorisés et considérations relatives au contrôle des changements et à la gestion de la configuration

La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques.

• Les dispositifs et systèmes physiques de l'organisation sont inventoriés.
• Les plateformes et applications logicielles de l'organisation sont inventoriées.
• La communication organisationnelle et les flux de données sont cartographiés.
• Les systèmes d'information externes sont catalogués
• Utilise un cadre reconnu pour ses processus de technologie de l'information (par exemple, ITIL)
• Inclure la sécurité dans son cycle de vie de développement du système
• dispose d'un processus mature de contrôle des changements
• Maintien d'environnements de développement et de production distincts
• Maintenir des environnements distincts pour les différents clients
• Possède un mécanisme pour l'intégrité du logiciel (par exemple, PKI avec cryptage, signature numérique).
• Le produit permet un durcissement pour minimiser la surface d'attaque
• Processus permettant d'identifier, de découvrir, d'inventorier, de classer et de gérer les actifs informationnels (matériel et logiciels).
• Processus de détection des modifications non autorisées du logiciel et des paramètres de configuration
• Capable d'identifier si le matériel, les logiciels ou les composants proviennent des États-Unis ou de l'étranger.

Exigences de gouvernance du NERC

Lorsqu'une entité effectue une évaluation des risques et considère l'exposition aux risques des produits ou services à acquérir dans son environnement, des contrôles de sécurité supplémentaires sur cyber peuvent être nécessaires pour protéger l'environnement opérationnel de l'entité. Une entité peut envisager d'obtenir et d'évaluer des informations supplémentaires concernant les capacités du fournisseur en ce qui concerne les domaines de sécurité suivants.

Établir et mettre en œuvre un programme de sensibilisation à la sécurité ; considérations relatives à la journalisation et à la surveillance ; et considérations relatives à la protection de l'information.

La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques.

• Documentation et mise en œuvre de la politique et des procédures de sécurité
• Tous les utilisateurs sont informés et formés aux politiques et procédures de cybersécurité.
• Les parties prenantes tierces comprennent les rôles et les responsabilités et sont responsables du respect des mêmes exigences.
• Les cadres supérieurs comprennent les rôles et les responsabilités
• Le personnel chargé de la sécurité physique et de l'information comprend les rôles et les responsabilités
• Capacité à fournir un soutien continu pour les logiciels et le matériel.
• Vérification des antécédents du personnel
• Capacité à conserver les données pour des événements tels que les retenues pour litige, cyber incidents de sécurité
• La séparation des tâches est suffisante pour garantir que la journalisation et la surveillance sont efficaces pour détecter les anomalies.
• Emplacement des centres de données des fournisseurs (basés aux États-Unis/Canada ou à l'étranger)
• maintient un programme de journalisation, de surveillance et d'analyse continues de ses systèmes afin d'identifier les événements significatifs.
• Utilise des contrôles appropriés pour gérer les données au repos (données du fournisseur ou de l'entité)
• Possibilité de fournir du matériel supplémentaire en cas de défaillance
• Cryptage des informations d'identification en transit, en interne et en externe.
• Cryptage des informations d'identification au repos
• Utilise les algorithmes de cryptage standard les plus puissants (par exemple, AES ou SHA-2).
• Contrôles d'accès physique des fournisseurs au matériel, aux logiciels et aux centres de fabrication
• Les dispositifs et systèmes physiques de l'organisation sont inventoriés.

Prevalent Peut aider à la mise en conformité avec le NERC

La plateforme de gestion des risques des tiers (TPRM)Prevalent contribue à la conformité à la norme CIP du NERC en permettant aux compagnies d'électricité de centraliser l'évaluation des contrôles internes de leurs partenaires de la chaîne d'approvisionnement, en fournissant un référentiel de preuves et de documents justificatifs qui peuvent être utilisés pour auditer et valider la présence de la mesure de sécurité appropriée de la chaîne d'approvisionnement. Grâce à la surveillance continue intégrée de la sécurité et de l'activité de cyber qui peut informer l'émission d'évaluations secondaires basées sur des critères déclenchés, la plateforme Prevalent fournit une solution plus complète pour la gestion des risques de la chaîne d'approvisionnement que ce qui est offert par les outils de notation uniquement.

De plus, la plateforme d'évaluation Prevalent prend en charge les questionnaires, les registres de risques et les rapports par rapport à plusieurs cadres standard de l'industrie, notamment le NIST CSF, PCI DSS 3.2, HIPAA et SOC 2, en utilisant le cadre de conformité Prevalent . Les organisations n'ont qu'à poser une seule série de questions et à faire correspondre les résultats à un certain nombre de ces réglementations, ce qui simplifie et accélère les rapports de conformité.

Pour en savoir plus sur la façon dont Prevalent peut aider à répondre aux exigences de conformité de plusieurs réglementations, téléchargez notre livre blanc : Le manuel de conformité de la gestion des risques liés aux tiers.