TroutTrout
Back to Blog
UtilitiesPower GridOT SecurityNERC CIP

Sécurité des sous-stations du réseau électrique : Zero Trust pour l'OT des énergies distribuées

Trout Team9 min read

NERC CIP : le point de départ

Pour les opérateurs de systèmes électriques en vrac en Amérique du Nord, les normes NERC CIP (Critical Infrastructure Protection) ne sont pas facultatives. Ce sont des réglementations contraignantes assorties de sanctions réelles. Pour la sécurité des postes électriques en particulier, elles définissent précisément ce que vous devez faire — même si elles n'indiquent pas comment le faire sur 400 sites distants sans personnel IT.

Cet article passe en revue les normes CIP les plus importantes pour les postes électriques, associe chacune d'elles au défi de sécurité concret qu'elle soulève, et montre comment la mise en réseau par overlay résout le problème logistique qui fait échouer les approches de conformité traditionnelles.

CIP-002 : Connaître son parc

L'exigence : Identifier et catégoriser tous les systèmes cyber BES (Bulk Electric System) dans chaque poste électrique.

Le défi des postes électriques : Un réseau de distribution régional typique exploite des centaines de postes. Chacun contient un parc hétérogène couvrant plusieurs décennies — des Remote Terminal Units (RTUs) fonctionnant avec un firmware propriétaire et des interfaces série, des relais de protection des années 1970-1980 côtoyant des Intelligent Electronic Devices (IEDs) modernes dotés de ports Ethernet et du support IEC 61850, des maîtres SCADA interrogeant via DNP3, et des postes de travail HMI sous Windows avec de longs cycles de mise à jour.

La plupart des postes sont sans personnel. Beaucoup sont situés dans des zones reculées, accessibles uniquement par des chemins de terre. L'« équipe IT » d'un poste, c'est un ingénieur qui se déplace avec un ordinateur portable quand quelque chose tombe en panne. Constituer et maintenir un inventaire précis des actifs sur l'ensemble de ces sites est le premier obstacle à la conformité — et la plupart des opérateurs y échouent faute de visibilité réseau permanente sur les sites distants.

La réponse Zero Trust : Un seul équipement ou VM dans chaque poste se connecte à un réseau overlay centralisé. Une fois connecté, il assure la découverte continue des actifs et la tenue de l'inventaire sur tous les sites — répondant aux exigences de CIP-002 sans nécessiter d'audits manuels site par site.

CIP-005 : Le périmètre de sécurité électronique

L'exigence : Établir et appliquer un périmètre de sécurité électronique (ESP) autour de chaque système cyber BES. Contrôler tous les accès aux frontières réseau.

Le défi des postes électriques : C'est la norme qui génère le plus de contraintes opérationnelles. CIP-005 exige un périmètre défini et surveillé sur chaque site disposant d'équipements OT en réseau. Pour un opérateur avec 300 postes, cela représente 300 périmètres à déployer, configurer et maintenir individuellement.

Approche traditionnelle : installer un pare-feu sur chaque site. Cela nécessite un technicien sur place pendant 4 à 8 heures par site — soit environ 1 800 heures-personnes rien que pour le déploiement initial, avant toute gestion des règles et maintenance continue. De nombreux sites sont connectés via des liaisons à faible bande passante (des connexions série à 9,6 kbps existent encore), ce qui rend les outils de sécurité cloud non viables.

La réponse Zero Trust : La micro-segmentation via le réseau overlay crée des périmètres de sécurité par site (et par équipement) à partir d'un moteur de politique centralisé. Un équipement préconfiguré est expédié dans chaque poste et s'installe en 15 minutes par les équipes terrain lors des maintenances de routine — aucune expertise en sécurité requise sur place. L'ESP est défini une seule fois au centre de contrôle et appliqué partout simultanément.

CIP-007 : Sécurité des systèmes sans agents sur les équipements

L'exigence : Gérer les ports et services, appliquer les correctifs, prévenir les malwares — sur chaque système cyber BES.

Le défi des postes électriques : Les RTUs et les relais de protection fonctionnent avec un firmware propriétaire. Il n'y a pas de système d'exploitation à mettre à jour selon un calendrier. Il n'y a pas de terminal sur lequel installer un agent — installer un logiciel sur un relais certifié annule sa certification de sécurité. Toute modification d'un relais de protection nécessite une revue d'ingénierie, des tests et une fenêtre de maintenance. Il est impossible de déployer des correctifs de sécurité chaque semaine. Et une règle mal configurée qui bloque un signal de déclenchement peut provoquer des dommages matériels ou une instabilité du réseau.

La réponse Zero Trust : L'application au niveau réseau prend en charge ce que les agents sur les équipements ne peuvent pas faire. Bloquer les ports et services non autorisés à la frontière réseau. Restreindre le trafic aux protocoles connus (DNP3, IEC 61850) entre équipements connus. Le contrôle de sécurité enveloppe l'équipement plutôt que de s'exécuter dessus.

CIP-010 : Gestion des changements de configuration

L'exigence : Suivre toutes les modifications de configuration des systèmes cyber BES. Réaliser des évaluations de vulnérabilités.

Le défi des postes électriques : Des modifications sont effectuées sur des sites distants, souvent par des ingénieurs terrain se connectant directement aux équipements de protection avec un ordinateur portable. Suivre qui a modifié quoi, quand et pourquoi sur des centaines de sites dispersés est un cauchemar lors des audits quand chaque site fonctionne de manière indépendante.

La réponse Zero Trust : Gestion centralisée des politiques avec une piste d'audit complète. Les règles de sécurité sont définies une seule fois et déployées sur tous les sites simultanément. Chaque modification de politique est enregistrée avec horodatage, auteur et systèmes concernés. Quand un auditeur demande « montrez-moi l'historique des modifications du Site 347 », la réponse est une simple requête dans un tableau de bord — pas un appel téléphonique à un ingénieur terrain.

CIP-011 : Protection des informations sur les systèmes cyber BES

L'exigence : Empêcher tout accès non autorisé aux informations relatives aux systèmes cyber BES — schémas réseau, paramètres des relais, configurations SCADA.

Le défi des postes électriques : Les données d'ingénierie transitent entre les centres de contrôle et les postes via des réseaux étendus. Le trafic DNP3 entre un RTU et le maître SCADA emprunte souvent des liaisons non chiffrées — fibre, micro-ondes, cellulaire ou satellite.

La réponse Zero Trust : Des tunnels overlay chiffrés pour toutes les communications inter-sites. Le trafic DNP3 entre un RTU et le maître SCADA transite par un tunnel authentifié et chiffré — même sur des liaisons micro-ondes héritées. Quiconque intercepte le trafic WAN ne peut pas en lire le contenu.

CIP-013 : Gestion des risques liés à la chaîne d'approvisionnement

L'exigence : Gérer les risques de cybersécurité liés aux fournisseurs et prestataires ayant accès aux systèmes cyber BES.

Le défi des postes électriques : Les fabricants de relais, les éditeurs SCADA et les intégrateurs système ont tous besoin d'un accès distant pour la maintenance. Le schéma habituel repose sur des identifiants VPN persistants partagés entre les membres du personnel fournisseur — le même vecteur d'attaque que des groupes de menace comme SYLVANITE ciblent dans d'autres secteurs.

La réponse Zero Trust : Accès fournisseur à durée limitée avec enregistrement des sessions via une passerelle centrale. Aucun tunnel VPN persistant. Chaque session est attribuée à un individu précis, restreinte à des équipements spécifiques et journalisée à des fins d'audit.

NIS2 pour les opérateurs de réseaux électriques européens

Les opérateurs d'énergie européens sont soumis aux obligations NIS2 en tant qu'« entités essentielles ». Les exigences recoupent celles de NERC CIP mais ajoutent :

  • Notification des incidents dans les 24 heures suivant leur détection
  • Planification de la continuité d'activité prenant en compte les incidents cyber
  • Responsabilité de la direction — responsabilité au niveau du conseil d'administration pour la posture de cybersécurité
  • Mesures de sécurité fondées sur les risques proportionnées à l'environnement de menace

Pour les opérateurs de réseaux, NIS2 pose le même défi fondamental que NERC CIP : démontrer une couverture de sécurité sur chaque poste électrique, pas seulement sur les centres de contrôle. Un auditeur demandera comment vous appliquez le contrôle d'accès au Site 347, le poste sans personnel situé à 130 km de votre bureau le plus proche.

Le calcul logistique

La différence opérationnelle entre l'approche traditionnelle et l'approche overlay est frappante :

Approche traditionnelleApproche réseau overlay
Déploiement par siteInstallation, configuration et test du pare-feu — 4 à 8 heures sur siteÉquipement préconfiguré, branchement et enregistrement — 15 minutes
Modifications de politiqueMise à jour des règles pare-feu site par siteDéploiement d'une politique unique sur tous les sites
Accès fournisseurIdentifiants VPN par site, souvent partagésSessions à durée limitée et enregistrées via une passerelle centrale
Preuves de conformitéCollecte des journaux sur chaque site individuellementTableau de bord d'audit centralisé
PersonnelNécessite du personnel terrain formé à la sécuritéLes équipes terrain gèrent l'installation physique ; l'équipe sécurité administre à distance

Pour un opérateur avec 300 postes, l'approche traditionnelle nécessite environ 1 800 heures-personnes rien que pour le déploiement initial — avant toute maintenance continue. L'approche overlay réduit ce chiffre à moins de 100 heures de travail terrain, la configuration de sécurité étant gérée entièrement depuis le centre de contrôle.

La sécurité des réseaux électriques n'est pas un problème technologique. C'est un problème logistique. Les opérateurs qui résolvent la logistique réussissent l'audit de conformité et réduisent leur surface d'attaque en même temps. Pour une vue d'ensemble du fonctionnement de ce modèle de gestion centralisée sur toute infrastructure distribuée, consultez notre guide sur la mise à l'échelle du Zero Trust sur plus de 50 sites. Les opérateurs de réseaux d'eau font face à un ensemble de contraintes très similaires — notre analyse de la cybersécurité des réseaux d'eau, de la station de traitement au robinet couvre ce parallèle.

Pour plus de ressources Zero Trust OT, des guides d'architecture et des comparaisons, visitez le hub Zero Trust pour les réseaux OT.

Other Articles

Zero TrustOT Security

Agent-Free Zero Trust: Why OT Environments Can't Use Endpoint Software

IT Zero Trust relies on endpoint agents. OT devices cannot run them. Here is why, and how network-layer enforcement provides equivalent protection without touching the device.

Zero TrustCISA

What the New CISA Zero Trust OT Guide Means for On-Premise Deployments

CISA, the Department of War, DOE, FBI, and Department of State published joint Zero Trust OT guidance on April 29, 2026. Three findings matter most for on-premise deployments: agentless network-layer enforcement is endorsed for legacy OT, microsegmentation must operate without redesign, and air-gap alone is called out as a false sense of security.

CMMCManufacturing

CMMC Level 2 for Manufacturers: Why VLANs Are Not Enough for Shop Floor OT

VLANs segment traffic at the switch level. CMMC Level 2 requires identity-based access control, audit logging, and encryption. VLANs provide none of these. Here is what assessors actually look for on the shop floor.

News & Insights

Resources & Insights.

Securing Modbus whitepaper
WhitepaperWhitepaper

Securing Modbus in Modern Industrial Environments

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

OT network architecture diagram
ArchitectureGuide

Reference Architectures for OT Security

All articles