Qu'est-ce que NERC CIP ?
Les standards NERC CIP (Critical Infrastructure Protection) sont les exigences obligatoires de cybersécurité pour le reseau electrique nord-americain. Publies par la North American Electric Reliability Corporation (NERC), ils s'appliquent aux proprietaires et operateurs des systèmes electriques en masse (BES - Bulk Electric System) aux Etats-Unis et au Canada. Les 11 standards CIP couvrent l'identification des actifs critiques, la gestion du personnel, les perimetres de sécurité electronique, la protection physique, la gestion des systemes, la gestion des incidents, les plans de reprise, la gestion des vulnérabilités, la protection de l'information, les communications et la gestion de la chaine d'approvisionnement.
Points cles
- CIP-002 : Identification des systèmes BES Cyber Systems et categorisation par niveau d'impact (High, Medium, Low)
- CIP-005 : Perimetres de sécurité electronique (ESP) pour les points d'acces et l'acces distant
- CIP-007 : Gestion des systemes, gestion des correctifs, journalisation et surveillance
- CIP-010 : Gestion de la configuration et evaluation des vulnérabilités
- CIP-013 : Gestion des risques de la chaine d'approvisionnement pour les composants BES
- Sanctions financieres pouvant atteindre 1 million USD par jour et par violation
Pourquoi Zaxyr
Zaxyr aide les operateurs electriques a gerer leur conformite aux 11 standards NERC CIP. La plateforme automatise la categorisation des BES Cyber Systems, suit les exigences par niveau d'impact, collecte les preuves de conformite et prepare la documentation pour les audits NERC. Le mapping vers IEC 62443 et NIST 800-82 permet une approche coherente de la sécurité OT.