L’Alberta instaure des exigences en matière de cybersécurité à l’égard des infrastructures énergétiques essentielles

Le 31 mai marquait l’entrée en vigueur du règlement albertain intitulé Security Management for Critical Infrastructure Regulation (le Règlement). Ce Règlement fait partie de la loi intitulée Responsible Energy Development Act et oblige certaines installations essentielles désignées par l’Alberta Energy Regulator à mettre en place un programme de gestion de la sûreté conformément à la norme Z246.1 de la CSA intitulée Gestion de la sûreté des installations liées à l’industrie du pétrole et du gaz naturel (la norme de la CSA). Le Règlement accorde de larges pouvoirs à l’Alberta Energy Regulator lui permettant de vérifier le programme de gestion de la sûreté d’une installation essentielle et de délivrer des ordonnances lorsque le programme est jugé non conforme à la norme de la CSA.

En quoi consiste une installation essentielle?

Le Règlement s’applique aux « installations essentielles » incluses dans la « liste d’infrastructures essentielles » qui sera établie et tenue par l’Alberta Energy Regulator. Les types d’installations pouvant être inscrits sur la liste comprennent les suivants :

• une usine de traitement du charbon
• une exploitation in situ
• une mine
• une exploitation minière
• un pipeline
• une usine de traitement
• un puits.

Pour déterminer si une installation devrait être inscrite sur la liste, l’Alberta Energy Regulator tiendra compte de facteurs tels que la taille et le type d’installation, la proximité d’une installation par rapport aux personnes et aux biens, le débit d’une installation et l’interdépendance d’une installation avec d’autres infrastructures. L’Alberta Energy Regulator avisera les exploitants si leurs installations ont été incluses dans la liste.

Que prévoit le Règlement?

Le Règlement exige que les installations essentielles mettent en œuvre un programme de gestion de la sûreté conformément à la norme de la CSA. 

La norme de la CSA établit certains critères pour l’établissement d’un programme de gestion de la sûreté qui s’assure que les menaces à la sécurité sont efficacement repérées et gérées. Plus particulièrement, les installations doivent élaborer et mettre en œuvre des processus de gestion des risques de sécurité afin de repérer et de classer les risques de sécurité propres à leurs activités. En ce qui concerne les risques repérés, la norme de la CSA décrit certaines mesures que les installations doivent prendre dans plusieurs domaines clés de la sécurité, notamment :

• Cybersécurité
• Sécurité de l’information
• Sécurité du personnel
• Sécurité physique

Exigences en matière de cybersécurité

La dernière édition de la norme de la CSA a notamment instauré une rubrique sur la cybersécurité. Dans cette rubrique, les installations doivent mettre en œuvre des mesures de cybersécurité qui reflètent le profil de risque des technologies de l’information (TI) et des systèmes de contrôle industriel (SCI). Les TI désignent les systèmes utilisés pour les fonctions commerciales autres que le contrôle des processus opérationnels. Les SCI désignent les systèmes utilisés pour surveiller et contrôler l’équipement industriel.

La norme de la CSA prévoit des particularités précises pour l’élaboration et la mise en œuvre de mesures de cybersécurité dans le cadre du programme de gestion de la sûreté : 

• Inventaire des actifs : Tenir à jour un inventaire du matériel et des logiciels autorisés
• Politiques d’utilisation acceptable : Mettre en œuvre des politiques d’utilisation acceptable pour régir l’utilisation des actifs des TI et des SCI
• Contrôle d’accès : Appliquer le principe du droit d’accès minimal pour les droits d’administration et les droits d’utilisateur
• Segmentation du réseau : Séparer les réseaux de TI et de SCI l’un de l’autre et d’Internet.
• Protection des séparations : Mettre en œuvre des mesures de protection pour surveiller et contrôler les communications non autorisées
• Configuration sécurisée : Configurer les hôtes des TI et des SCI en fonction d’une base de référence qui réduit la surface d’attaque
• Gestion des correctifs : Gérer les installations, les changements et les correctifs au moyen de procédures établies
• Restrictions d’accès : Établir des moyens de prévenir l’accès non autorisé aux réseaux des TI et des SCI
• Détection des intrusions : Installer et surveiller les méthodes de prévention et de détection des intrusions sur les réseaux de TI et de SCI
• Sauvegarde et récupération : S’assurer que les systèmes font régulièrement l’objet de sauvegardes et que les processus de récupération sont mis à l’essai

Comment le Règlement est-il appliqué?

Le Règlement confère à l’Alberta Energy Regulator des pouvoirs accrus pour vérifier le programme de gestion de la sûreté d’une installation essentielle et pour en assurer la conformité à la norme de la CSA. Si l’Alberta Energy Regulator détermine qu’une installation n’a pas mis en œuvre un programme conforme, elle peut ordonner l’élaboration d’un tel programme. Dans les cas plus graves, l’Alberta Energy Regulator a le pouvoir d’ordonner la fermeture de l’installation et de fixer les conditions selon lesquelles l’installation peut reprendre ses activités.

Points à retenir

L’Alberta Energy Regulator n’a pas encore publié de liste des installations essentielles visées par le Règlement. Cependant, étant donné les conséquences graves d’une non-conformité, les exploitants d’installations d’infrastructures essentielles qui pourraient relever du champ d’application du Règlement devraient se familiariser avec la norme de la CSA, évaluer leurs mesures de sécurité actuelles et s’assurer qu’un programme de gestion de la sûreté documenté est en place et que celui-ci reflète les risques de sécurité propres à leurs activités et qu’il est conforme à la norme de la CSA.