blog-background.png

Compteurs intelligents et sécurité des données

Michael Staudinger
By Michael Staudinger - 18 déc. 2018 10:23:05

Paul Ridderhof 04okt17 (1311)La stratégie énergétique prévoit l'introduction généralisée des systèmes intelligents de mesure. Toutefois, ces systèmes doivent être soumis à un contrôle sur la sécurité des données avant leur déploiement.

La Stratégie énergétique 2050 prévoit l'introduction généralisée des systèmes intelligents de mesure. À cette fin, l'article 8b de l'ordonnance du 1er  novembre 2017 sur l'approvisionnement en électricité (StromVV) stipule que seuls les systèmes ayant passé avec succès un test relatif à la sécurité des données peuvent être utilisés. Ainsi, et en raison de la sensibilisation croissante du public sur le sujet, la sécurité des données des appareils intelligents de mesure et la sécurité des infrastructures critiques sont au cœur des préoccupations de toutes les parties prenantes : des fabricants de logiciels et de matériel informatique, aux opérateurs de stations de mesure jusqu'aux clients finaux. Avec leurs « directives pour la sécurité des données des systèmes intelligents de mesure », VSE et Swissmig font un pas vers un environnement exigeant sur le plan technologique et réglementaire.

Les données des systèmes intelligents de mesure permettent de relever des défis tels que l'approvisionnement d'électricité produite à partir de sources décentralisées, la gestion de la demande et l'électromobilité et d'exploiter de nouveaux modèles économiques attractifs pour les fournisseurs d'énergie et les opérateurs de réseaux. En définitive, au niveau opérationnel, les analyses de réseau avancées permettent d'optimiser la gestion des actifs et le fonctionnement du réseau en s'appuyant sur les mêmes données.

Le traitement responsable et conforme à la loi des informations sensibles de consommation constitue la condition préalable à l'utilisation des données de l'appareil de mesure intelligent. Compte tenu de la complexité des différents rôles, tâches et responsabilités du réseau, il est nécessaire de recevoir des recommandations pratiques et spécifiques au secteur afin de répondre au mieux aux questions urgentes des fournisseurs d'énergie et des gestionnaires de réseau de distribution.

En étroite collaboration avec l'association Smart Grid Industry Suisse « Swissmig », l'association des entreprises d'électricité suisses VSE a élaboré des directives d'assistance. Swissmig a réuni 35 fournisseurs suisses de solutions technologiques pour les systèmes de Smart metering et les réseaux intelligents, qui jouent un rôle clé dans le processus de certification des systèmes intelligents de mesure. Lors de son colloque d'octobre 2018, Swissmig a présenté la directive ainsi que ses annexes. L'Annexe 1 porte sur les exigences techniques relatives au système intelligent de mesure et constitue la base du processus de certification défini par la loi. L'Annexe 2 est un guide pour l'installation et l'exploitation des systèmes intelligents de mesure.

Étapes et acteurs de la certification

Le contrôle sur la protection des données d'un système intelligent de mesure tel que requis par l'article 8b de l'ordonnance du 1er  novembre 2017 sur l'approvisionnement en électricité est précédé d'un mandat de vérification correspondant. En principe, celui-ci doit être fourni par le fabricant concerné qui, toutefois, ne supporte pas nécessairement la totalité des coûts de la procédure. Une prise en charge par le dernier opérateur du système de mesure est donc possible.

Le contrôle sur la protection des données d'un système intelligent de mesure tel que requis par l'article 8b de l'ordonnance du 1er  novembre 2017 sur l'approvisionnement en électricité est précédé d'un mandat de vérification correspondant. En principe, celui-ci doit être fourni par le fabricant concerné qui, toutefois, ne supporte pas nécessairement la totalité des coûts de la procédure. Une prise en charge par le dernier opérateur du système de mesure est donc possible.

Dans un deuxième temps, les fabricants remettent à l'organisme de contrôle en charge l'objet à tester ainsi qu'une documentation complète sur les mesures de protection. Dans la directive sur l'approvisionnement en électricité, l'Institut fédéral de métrologie Metas est jusqu'à présent désigné comme étant le seul organisme de contrôle, mais il peut confier cette tâche à un tiers. En règle générale, le contrôle est donc effectué par un laboratoire de contrôle agréé.

La documentation couvre des éléments généraux comme le contrôle d'accès, les mécanismes d'identification et d'authentification, le cryptage, etc., ainsi que des informations détaillées sur les interfaces. Cette documentation comprend, entre autres, les numéros de série, les numéros de version d'un système de contrôle de la configuration et toutes les spécifications techniques relatives aux fonctionnalités de protection des Technologies de l'Information et de la Communication (TIC).

De plus, les processus associés à la sécurité sont documentés au cours du cycle de vie de l'objet à tester (sécurité pendant le développement, lors de la livraison, lors de la mise en service, fonctionnalités de mise à jour). Le contrôle est effectué conformément à la norme ISO 17025 avant d'être consigné. Durant la certification proprement dite, cette vérification est à nouveau effectuée par Metas afin d'exclure les sources d'erreur éventuelles. Là encore, les fabricants sont tenus de soumettre les documents pertinents.

La certification est une condition préalable à la mise sur le marché des composants d'un système intelligent de mesure mais elle n'exonère pas les fournisseurs de leurs responsabilités. Pendant la phase opérationnelle, ces derniers doivent s'assurer que les appareils peuvent être utilisés en toute sécurité à tout moment et peuvent être protégés par des mises à jour du logiciel et du micrologiciel lorsque de nouveaux risques surviennent, afin que l'intégrité, la confidentialité et la disponibilité des données de l'appareil intelligent de mesure soient pleinement garanties à long terme.

Le fonctionnement sécurisé d'un système intelligent de mesure

En qualité d'opérateur responsable d'une station de mesure, le gestionnaire du réseau de distribution (GRD) est chargé de veiller à ce que seuls les systèmes testés soient mis en service. Les exigences pour le fonctionnement sécurisé d'un système intelligent de mesure sont de nouveau stipulées pour le rôle de gestionnaire de données. Il peut s'agir du gestionnaire du réseau de distribution lui-même ou d'un tiers à qui l'exploitation de la station de mesure et le service de mesure ont été transférés. À elle seule, l'utilisation de systèmes intelligents de mesure certifiés ne suffit pas à prévenir tous les risques dans le cadre de l'analyse des besoins de protection.

C'est la raison pour laquelle, VSE et Swissmig stipulent dans les « exigences opérationnelles des systèmes intelligents de mesure pour la protection des données » les critères que le gestionnaire de données doit mettre en place lors de l'exploitation. Ces derniers sont considérablement plus vastes que les exigences du contrôle sur la protection des données et incluent également, en plus des composants principaux, tous les systèmes situés en aval du système de tête de réseau, ainsi que les interfaces pour la visualisation locale sur l'appareil intelligent de mesure et entre le système de tête de réseau et l'application Mobile Device Management. Ces critères incluent également des exigences relatives à la gestion des actifs, au contrôle d'accès, à la cryptographie, à la sécurité d'exploitation et de communication, à la gestion des incidents de sécurité, au développement et à la maintenance ainsi qu'à la conformité (Compliance). La sélection des exigences peut s'appuyer sur l'évaluation des risques personnelle du gestionnaire de données. La sécurité de fonctionnement des systèmes est régulièrement contrôlée et améliorée en continu grâce à des audits.

Perspectives

Grâce à l'élaboration des directives sectorielles, VSE et Swissmig ont pu rendre concrètes les responsabilités des acteurs du secteur de l'énergie résultant de la Stratégie énergétique 2050 et de l'article 8b de l'ordonnance sur l'approvisionnement en électricité. Les listes de contrôle actuellement en cours de validation constituent la base des prochains contrôles sur la protection des données et des certifications du fabricant.

En revanche, la disponibilité de systèmes de Smart metering correctement certifiés pour un déploiement complet à compter du 1er  janvier 2019 dépend de la date à laquelle les processus de certification pourront commencer. C'est alors que les fabricants seront consultés, tout comme Metas pour l'agrément des organismes de contrôle. Les opérateurs de réseaux de distribution et de stations de mesure devraient tirer profit du temps qu'il reste pour explorer le marché du fournisseur de matériel, de logiciels et de services et ajuster leurs propres processus et rôles à la lumière du potentiel considérable et des défis du Smart metering.

Source : cet article a été publié avec l'autorisation de bulletin.ch où il a été initialement diffusé.