Depuis des années, la NERC (North American Electric Reliability Corporation) la conformité CIP s’est fortement concentrée sur la sécurisation du périmètre. La norme CIP-006 régissait l’accès physique, la norme CIP-007 verrouillait les ports et les services, et la norme CIP-005 définissait l’ESP (Electronic Security Perimeter). L’hypothèse sous-jacente était que si l’on contrôlait ce qui franchissait la frontière, on contrôlait le risque.
La proposition CIP-015-1 a rejeté cette hypothèse et est en vigueur depuis septembre 2025. La première échéance importante en matière de conformité étant fixée à septembre 2028, l'écart entre « nous avons pris connaissance de la norme » et « nous disposons d'une architecture opérationnelle » commence à prendre toute son importance.
Comprendre les exigences de la norme CIP-015-1
La FERC (Commission fédérale de régulation de l'énergie) a approuvé la norme NERC CIP-015-1 en tant que norme INSM (Internal Network Security Monitoring) le 26 juin 2025, par le biais de l'ordonnance 907. La norme est entrée en vigueur le 2 septembre 2025. La date limite de mise en conformité est fixée au 2 septembre 2028 pour les systèmes cybernétiques BES (réseau électrique de gros) à fort impact et les systèmes cybernétiques BES à impact moyen dotés d'une connectivité routable externe (ERC) dans les centres de contrôle. Tous les autres systèmes à impact moyen concernés doivent se conformer à cette norme d'ici le 2 septembre 2030.
Cette exigence fondamentale revêt une importance opérationnelle majeure :
- Les compagnies d'électricité doivent surveiller le trafic à l'intérieur de leurs ESP, et pas seulement ce qui entre et sort de leur périmètre.
- La norme R1 impose aux entités de collecter des flux de données réseau selon une approche fondée sur les risques, de détecter les activités anormales, d'évaluer les anomalies détectées et de conserver les données associées suffisamment longtemps pour permettre la conduite d'enquêtes.
- Les sections R2 et R3 traitent de la protection et du contrôle de l'accès aux données conservées.
Les autorités de régulation se tournent déjà vers l'avenir : la NERC a reçu pour instruction d'étendre la norme d'ici septembre 2026 afin d'inclure les systèmes EACMS (systèmes électroniques de contrôle d'accès et de surveillance) et PACS (systèmes physiques de contrôle d'accès) situés en dehors de l'ESP, qui seront intégrés àla future norme CIP-015-2. Cette échéance n'est plus qu'à quelques mois.
Pourquoi la mise en œuvre prend plus de temps que prévu
Le déploiement d'INSM au sein d'un environnement OT ne s'apparente pas au déploiement d'un SIEM (Security Information and Event Management) dans un centre de données d'entreprise. La surveillance doit être passive, car l'analyse active n'est pas envisageable dans les environnements ICS en production. Un large éventail de protocoles est souvent utilisé, notamment Modbus, DNP3, IEC 61850, PROFINET et EtherNet/IP, parallèlement au trafic IP standard. Les inventaires des actifs sont souvent incomplets, ce qui signifie que les projets INSM commencent généralement par une phase de découverte avant qu'une détection ne soit possible. De plus, le transfert des données de surveillance de la zone OT vers un système de conservation côté IT, sans introduire de nouveaux risques de sécurité, nécessite une planification architecturale réfléchie, et pas seulement une simple configuration.
Ce qui semble être un projet de modernisation de courte durée sur le papier peut facilement prendre 18 mois, voire plus, une fois pris en compte le déploiement, la gestion du changement et la documentation. Pour les compagnies d'électricité dont les actifs sont concernés par la norme 2028, le délai pour la planification à long terme s'amenuise.
Comment OPSWAT la mise en conformité avec la norme CIP-015-1
La gamme de solutions de sécurité OT OPSWATrépond directement aux exigences de la norme CIP-015-1.
Identification des ressources, inventaire et Patch Management du réseau
MetaDefender Security™ répond aux normes R1.1 à R1.3, grâce à une surveillance passive et sans agent du réseau via des architectures SPAN/TAP, sans injection de trafic ni perturbation des boucles de contrôle.
L'inspection approfondie des paquets sur des centaines de protocoles OT et IT permet la découverte des ressources, l'établissement de profils de référence du trafic et la détection des anomalies requises par R1. Cela permet aux équipes de sécurité d'identifier des anomalies comportementales telles que des commandes Modbus inattendues, des connexions non autorisées à des postes de travail d'ingénierie et des appareils inconnus, que les outils de sécurité informatique traditionnels négligent souvent.
Solutions de diodes de données et de passerelles de sécurité de niveau supérieur
MetaDefender offre tout ce qu'il faut pour relever le défi du transport de données R2. Sa passerelle de sécurité unidirectionnelle transfère les données de télémétrie INSM de la zone OT vers les plateformes d'analyse et SIEM du côté IT dans un seul sens, grâce à une mise en œuvre matérielle qui exclut tout chemin de retour. Les compagnies d'électricité peuvent ainsi satisfaire aux exigences en matière de transfert de données sans ouvrir de canal bidirectionnel susceptible de créer de nouvelles vulnérabilités.
Pour être précis, MetaDefenderNetWall sécurisé des données, tandis que les obligations en matière de conservation et de contrôle d'accès des niveaux R2 et R3 sont prises en charge par le système destinataire. L'architecture de conformité complète repose surOT Security et la détection,NetWall sécurisé, et un système SIEM côté informatique pour la conservation et le contrôle d'accès.
Une assistance simple pour les clients Emerson DeltaV et Ovation
Pour les compagnies d'électricité utilisant les plateformes d'automatisation DeltaV™ ou Ovation™ d'Emerson, le processus de mise en conformité est plus simple. Ces plateformes sont déployées dans des centaines d'installations de production d'électricité, de distribution d'eau et de traitement des eaux usées, et relèvent donc des propriétaires d'actifs BES visés par la norme CIP-015-1. OPSWAT Emerson ont annoncé un accord de distribution mondial en avril 2026, rendant ainsi la gamme de solutions de cybersécurité OPSWATdisponible via la suite de cybersécurité d'Emerson dédiée aux secteurs de l'énergie et de l'eau.
L'Alliance DeltaV existante intègre déjàMetaDefender etUnidirectional Security Gateway MetaDefender DefenderUnidirectional Security Gateway la plateforme DeltaV. Cette intégration offre un contrôle des supports amovibles et une architecture d'exportation de données unidirectionnelle qui répond respectivement aux exigences des normes CIP-003-9 et CIP-015-1 R2.
Le nouvel accord étend la gestion des correctifs OT OPSWATà la plateforme Ovation d'Emerson sur plus de 800 sites à travers le monde,MetaDefender et My Central Management site. Pour les clients DeltaV et Ovation, une architecture spécialement conçue et compatible CIP est disponible dans le cadre de la relation existante avec Emerson.
Comprendre toute la portée de la conformité aux normes CIP du NERC
La norme CIP 015-1 n'est pas isolée. C'est à l'intersection entre la norme CIP-003-9, qui entrera en vigueur le 1er avril 2026, et la norme CIP-015-1 que la gamme de solutions OPSWATse révèle particulièrement efficace. Les exigences réglementaires de la norme CIP-003-9 couvrent également les supports amovibles et les actifs cybernétiques transitoires pour les systèmes cybernétiques BES à faible impact.
Dans les environnements OT, les supports amovibles et les ressources informatiques temporaires sont couramment utilisés pour l'application de correctifs et les mises à jour de micrologiciels sur les systèmes isolés physiquement.OPSWAT permettent d'analyser et de désinfecter les supports amovibles et les ordinateurs portables des fournisseurs avant qu'ils n'entrent en contact avec une ressource du système de contrôle. Avec l'entrée en vigueur de la norme CIP-003-9, si votre programme repose sur des contrôles basés sur des politiques plutôt que sur des contrôles technologiques, cette lacune sera vérifiable lors de votre prochain cycle.
Mesures à prendre pour garantir la conformité future
Pour les entreprises d'électricité dont les actifs sont concernés par la réglementation de 2028, trois mesures doivent être prioritaires dès à présent :
- Complétez votre inventaire des actifs : la découverte passiveMetaDefender OT Security la base de référence sur laquelle repose la détection de R1.
- Concevez votre flux de données avant de choisir vos outils : déterminez où les données de télémétrie INSM doivent être acheminées et concevez le chemin OT-IT à l'aide d'une technologie de passerelle unidirectionnelle.
- Justification du périmètre du CIP-015-2 : les choix architecturaux adoptés aujourd'hui doivent permettre la prise en charge de la surveillance EACMS et PACS sans nécessiter de refonte complète lorsque l'extension sera mise en œuvre.
Les compagnies d'électricité qui s'empressent de mettre en œuvre les mesures de conformité à la norme CIP-015-1 sont celles qui sont passées directement de la phase d'étude à celle de la mise en œuvre. Les normes sont claires, la date butoir est fixée, et les décisions prises au cours des prochains trimestres en matière d'architecture permettront de distinguer les programmes conformes de ceux qui rencontreront des difficultés.
Les solutionsNetWall,Drive,Endpoint, My OPSWAT Central Management etKiosk OPSWATKiosk spécialementKiosk pour répondre précisément aux besoins de cet environnement.
Pour en savoir plus sur la manière dont OPSWAT vous aider à vous conformer aux exigences réglementaires NERC CIP, contactez un expert dès aujourd'hui.
