Le 16 avril 2013, un incident à San Jose, en Californie, a conduit à l'élaboration d'une nouvelle norme de sécurité physique pour les propriétaires et les exploitants de stations de transmission et de sous-stations. Lors de l'incident de 2013, une attaque de tireurs d'élite contre une sous-station de transmission de Pacific Gas & Electric a détruit 17 gros transformateurs qui alimentaient la Silicon Valley. L'attaque de tireurs d'élite a servi de réveil dramatique pour l'industrie et a soulevé des craintes concernant la vulnérabilité du réseau électrique du pays aux attaques terroristes. Les plus de 160,000 XNUMX miles de lignes de transmission qui composent le réseau électrique américain sont conçus pour faire face aux catastrophes naturelles et causées par l'homme, ainsi qu'aux fluctuations de la demande ; mais qu'en est-il de la sécurité physique pour les attaques physiques des services publics ?

À la suite de l'assaut de San Jose, la Federal Energy Regulatory Commission (FERC) en avril 2014 a demandé à la North America Energy Reliability Corporation (NERC) d'établir Critical Infrastructure Protec(CIP) pour « traiter les risques de sécurité physique et les vulnérabilités liées à l'exploitation fiable » du système d'alimentation en vrac.

Le NERC a élaboré et publié ce qui est maintenant communément appelé CIP-014-1. Il s'agit d'une norme de sécurité physique dont l'objectif déclaré est d'identifier et de protect les stations de transmission et les sous-stations de transmission et leurs centres de contrôle primaires associés qui, s'ils étaient rendus inopérants ou endommagés à la suite d'une attaque physique, pourraient entraîner une séparation incontrôlée ou une cascade au sein d'une interconnexion.

CIP-014-1 comporte essentiellement deux composantes principales, chacune avec trois exigences spécifiques. Le premier élément majeur est l'applicabilité et le second est la sécurité. Voici une ventilation de ce que chaque service public devrait savoir sur les exigences de CIP-014-1.

Applicabilité : Exigences 1-3
R1 : L'objectif principal de la première exigence est de déterminer si vos stations de transmission et/ou sous-stations de transmission particulières sont couvertes par la norme. Le processus R1 nécessite une évaluation initiale des risques et des évaluations ultérieures des risques de vos stations de transmission et sous-stations de transmission pour déterminer si elles répondent aux critères spécifiés dans la section Applicabilité 4.1.1. De plus, le propriétaire du réseau de transport doit identifier le centre de contrôle principal qui contrôle opérationnellement chaque station de transport ou sous-station de transport lors de l'évaluation des risques R1.

R2 : La deuxième partie de la norme exige que chaque propriétaire de réseau de transport fasse vérifier par un tiers non affilié l'évaluation des risques effectuée conformément à l'exigence R1. Un tiers non affilié dans ce contexte est considéré comme une personne extérieure à la structure de l'entreprise.

R3 : La troisième exigence implique la notification des opérateurs de centres de contrôle des centres de contrôle primaires identifiés dans l'évaluation R1.

Sécurité : Exigences 4-6
R4 : Pour les emplacements identifiés dans les processus R1, R2 et R3, les propriétaires sont tenus de procéder à une évaluation des menaces et des vulnérabilités potentielles d'une attaque physique sur leur emplacement. L'évaluation doit inclure des caractéristiques uniques (par exemple, le terrain, les statistiques sur la criminalité, les conditions météorologiques), les antécédents d'attaques contre des installations similaires et les renseignements ou les avertissements de menace.

R5 : Cette étape nécessite l'élaboration, et éventuellement la mise en œuvre, d'un plan de sécurité documenté qui traite de chacun des emplacements touchés identifiés à la suite de l'évaluation R4 et de leurs menaces et vulnérabilités identifiées. Les éléments essentiels du plan doivent inclure :

• Mesures de résilience ou de sécurité conçues collectivement pour dissuader,tect, retarder, évaluer, communiquer et répondre aux menaces et vulnérabilités physiques potentielles identifiées ;
• Contact et coordination avec les forces de l'ordre ;
• Un calendrier pour l'exécution des améliorations ou modifications de la sécurité physique ; et,
• Dispositions pour évaluer les menaces physiques évolutives et toutes les mesures de sécurité correspondantes nécessaires.




R6 : La dernière étape nécessite l'engagement d'un « tiers qualifié et non affilié » pour examiner l'évaluation effectuée en vertu de R4 et le plan de sécurité élaboré en vertu de R5 afin de porter un jugement professionnel sur l'évaluation.

En plus du résumé ci-dessus, les autres exigences dont les propriétaires de services publics doivent être conscients incluent :

• Les propriétaires doivent mettre en place des procédures de non-divulgation pour protect informations sensibles ou confidentielles de la divulgation publique.
• Ce n'est pas un "accord unique". Des évaluations des risques ultérieures sont requises en vertu de la norme pour maintenir la sécurité physique des stations de transmission et des sous-stations à l'avenir.
• L'engagement de tiers non affiliés n'est pas limité à R2 et R6 ; des tiers peuvent être engagés tout au long du processus pour assurer la conformité à la nouvelle norme. Que vous fassiez appel à un tiers seulement au besoin ou à chaque étape du processus, plus ce tiers est engagé tôt, plus il est probable que des solutions approfondies, pratiques et rentables puissent être trouvées.

La norme CIP-014-1 peut être consultée dans son intégralité sur le site Web de la NERC.

Les propriétaires de services publics qui comprennent et agissent rapidement pour se conformer à la nouvelle norme se protégeront non seulement des sanctions futures en cas de non-conformité, mais protégeront également l'infrastructure électrique essentielle de notre pays des conséquences potentiellement catastrophiques d'une attaque physique.

Cet article sur la sécurité physique des services publics : ce que vous devez savoir a été initialement publié dans Intelligent Utility Newsletter, janvier 2015. William E. Reiter II est un professionnel certifiétection Professional (CPP), un SOCMA Membre du comité de sûreté et de sécurité et vice-président des opérations de sécurité pour Telgian Corporation, un cabinet mondial d'ingénierie et de conseil en gestion des risques, spécialisé dans les projets complexes et multidisciplinaires des secteurs public et privé.

Pour plus d'informations sur la sécurité physique pour les services publics, les médias et les demandes d'interview, contactez :
Susan McNeill, responsable des communications d'entreprise
Telgian Holdings, Inc
smcneill@telgian.com
480-621-5031