Le rapport technique ISO/IEC TR 27019:2013, intitulé « Technologies de l’information – Techniques de sécurité – Lignes directrices de management de la sécurité de l'information fondées sur l'ISO/IEC 27002 pour les systèmes de contrôle des procédés spécifiques à l'industrie de l'énergie », a récemment été publié par le comité technique de normalisation ISO/IEC JTC 1/SC 27 dédié aux techniques de sécurité de l’information. Avec des contrôles et des mesures de sécurité spécifiques au secteur de l’énergie, ce nouveau rapport technique entend fiabiliser le fonctionnement des infrastructures énergétiques.
L’ambition de l’ISO/IEC TR 27019 est de permettre à l’industrie de l’énergie de mettre en œuvre un système de management de la sécurité de l’information (SMSI) normalisé. Les services de distribution et les fournisseurs d’énergie sont en effet soumis à des exigences particulières en matière d’environnement informatique, et ce nouveau rapport technique prend en compte les différences fondamentales par rapport aux systèmes informatiques classiques, notamment concernant :
- Les fonctions de sécurité : les systèmes de contrôle de processus présentent des exigences accrues en termes d’intégrité et de disponibilité ;
- L’architecture du système : la prise en compte de systèmes distants est nécessaire dans les infrastructures énergétiques complexes qui peuvent comporter :
- Des systèmes de contrôle de processus et de surveillance dans les sous-stations et dans les stations de régulation et de mesure de pression de gaz,
- Des systèmes de contrôle de processus et de surveillance pour la production décentralisée (comme les parcs éoliens ou les unités de production photovoltaïque),
- Des dispositifs numériques de comptage et de mesure,
- L’entretien : en raison des exigences de disponibilité, les périodes de maintenance doivent être planifiées et programmées à l’avance.
Le rapport technique ISO/IEC TR 27019 fournit ainsi 42 ajouts et recommandations spécifiques au secteur de l’énergie par rapport à la norme ISO/IEC 27002. Il constitue une étape importante dans la protection de l’information, notamment dans le cadre du développement du réseau de distribution d’énergie intelligent (Smart Grid). A ce propos, le groupe de travail « Smart Grid Information Security » (SGIS) du CEN-CENELEC-ETSI Smart Grid Coordination Group, estime que ce rapport technique devrait jouer un rôle majeur dans la définition de la réglementation européenne concernant les exigences de sécurité pour les réseaux intelligents et les infrastructures énergétiques critiques.
Pour rappel, les normes publiées par le sous-comité technique de normalisation ISO/IEC JTC 1/SC 27 peuvent être achetées via l’e-Shop de l’ILNAS (catalogue en ligne des normes). De plus, il est aussi possible de consulter ces normes gratuitement dans les locaux de l’ILNAS en contactant au préalable l’Organisme Luxembourgeois de Normalisation par courriel à normalisation@ilnas.etat.lu