Colloque de l’AQPER, 10 Février 2016, Château Laurier ... · •GOP – Exploitant...

Division : Automatisation et informatique industrielle

Colloque de l’AQPER, 10 Février 2016, Château Laurier – Québec Joël Cloutier ing.

NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 2

Plan de la présentation

Historique de l’entreprise Description des services Mise en contexte Application des normes de fiabilité Applicabilité Normes et exigences NERC Description des normes NERC-CIP Comment s’y préparer / Recommandations Conclusion


Historique de l’entreprise

Création de l’entreprise 1982 Él

ectr

icité

Él

ectr

icité

M

écan

ique

Co

ntrô

le

Cam

pagn

es d

e

mes

ure

Diversification en mécanique et en automatisation de procédés

1990

1996

2006 2007

2015

Débuts en éolien

Création du département – Informatique industrielle Vente de notre division de fabrication de mâts météorologiques

Ouverture du service de Centre de contrôle 24/7 GONOCC

Info

rmat

ique

In

dust

rielle

Ce

ntre

de

co

ntrô

le


Automatisation / informatique industrielle Systèmes SCADA Historiens de données Réseautique Sécurité informatique Accompagnement normes de fiabilité Télécommunication et télémétrie spécialisées Système de détection de présence ou de surveillance vidéo Panneaux de contrôle Service de centre de contrôle 24/7

Description des services (suite)


Dans le secteur de l’énergie

Plus de 30 systèmes SCADA complets en éolien

Plus de 18 systèmes d’historien de donnée en éolien

Au total, participation à différents niveaux dans la conception, la construction ou l’opération et maintenance de plus de 45 projets éoliens

Conception et élaboration de la solution d’acquisition/transmission de données répondant aux exigences d’Hydro-Québec dans l’a/o de 1000MW en 2006/2007.

Micro-réseau Technocentre éolien: couplage éolien, diésel et air comprimé

Banc d’essais miro-réseau IREQ

Système SCADA centrale Tugliq – Mine Raglan: couplage éolien, diésel, stockage.

Nos principales réalisations


Centre de contrôle 24/7 Service de contrôle et de supervision à distance de procédés industriels

Client à ce jour: Cartier Énergie Éolienne – 393 éoliennes (589.5 MW)

À la recherche de nouveaux clients

Nos principales réalisations (suite)


Sur quel critère se base le coordonnateur pour identifier les entités qui doivent être visées ?

Pour le moment, le principal critère d’inclusion du coordonnateur de fiabilité concernant les

producteurs d’énergie du Québec est que leur installation de production dépasse les 50 MVA.

Bien que la version du registre des entités visées, mise à jour le 14 janvier 2016, inclus toujours

les unités de 50 MVA, la prochaine version de du registre traitera probablement de 75 MVA.

Toutefois, nous sommes toujours en attente d’une décision finale de la Régie à cet effet.

Application des normes de fiabilité


Si nous sommes un producteur avec un site de plusieurs unités de production de moins de 75 MVA est-ce que l’on est visé ?

Oui, dans la mesure que nous avons une agrégation des unités avec un seuil raccordement au réseau de transport et que la production globale dépasse le 75 MVA

Applicabilité


Applicabilité

Si nous avons un site de plusieurs autotransformateurs est-ce qu’il s’agit de deux entités visées ou une seule ?

Il s’agit d’une seule entité visée


Si nous avons une artère qui est réputée être une extension communautaire,

est-ce qu’il y a deux entités visées ?

Il s’agit ici aussi d’une seule entité visée

Applicabilité


Exemple de fiche des entités visées

Applicabilité


Combien de producteurs d’énergie seront dans le registre ?

En respectant l'esprit de la méthodologie de la décision provisoire D-2015-213 : En février 2016 , 18 des 30 parcs éoliens en production et raccordés au réseau d’Hydro-Québec seront dans la liste des entités visées. Vers la fin 2017, 22 des 37 parcs y seront inclus. Cela représentera environ 3451 /3981 MW soit 86% de la production éolienne qui sera visé par les normes de fiabilité NERC.

Normes et exigences NERC


•RC – Coordonateur de fiabilité

•BA – Responsable de l’équilibrage

•TOP – Exploitant de réseau de transport

•TO – Propriétaire de réseau de transport

•GO – Propriétaire d’installation de production

•GOP – Exploitant d’installation de production

• PA – Responsable de la planification

• TP – Planificateur du réseau de transport

• TSP – Fournisseur de service de transport

• RP – Planificateur des ressources

• DP – Distributeur

• LSE – Responsable de l’approvisionnement

Quelles sont les fonctions des producteurs d’énergie membre de l’AQPER ?



•TO – Propriétaire de réseau de transport 13 Normes comprenant 233 exigences

•GO – Propriétaire d’installation de production 12 Normes comprenant 205 exigences

•GOP – Exploitant d’installation de production 16 Normes comprenant 263 exigences

Quelles sont les normes de fiabilités qui se rattachent à ces fonctions ?


Un total de 21 normes distinctes comprenant 331 exigences


•BAL-005-0.2b (GOP TOP) – 25 exigences •CIP-001-2a (GO GOP TO TOP) – 4 exigences •CIP-002-1 (GO GOP TO TOP) – 16 exigences •CIP-003-1 (GO GOP TO TOP) – 23 exigences •CIP-004-1 (GO GOP TO TOP) – 16 exigences •CIP-005-1 (GO GOP TO TOP) – 31 exigences •CIP-006-1 (GO GOP TO TOP) – 27 exigences •CIP-007-1 (GO GOP TO TOP) – 43 exigences •CIP-008-1 (GO GOP TO TOP) – 8 exigences •CIP-009-1 (GO GOP TO TOP) – 7 exigences •EOP-004-1 (GOP TOP) – 9 exigences

Liste des normes actuellement adoptées par le régie qui visent les

principales fonctions de producteurs d’énergie renouvelable


•FAC-001-0 (TO) – 23 exigences •FAC-003-1 (TO) – 20 exigences •FAC-008-1 (GO TO) – 13 exigences •FAC-009-1 (GO TO) – 2 Exigences •IRO-001-1.1 (GOP TOP) – 9 exigences •PER-001-0.2 (TOP) – 10 exigences •PRC-001-1 (GOP TOP) – 12 exigences •TOP-001-1a (GOP TOP) – 11 exigences •TOP-003-1 (GOP TOP) - 7 exigences •VAR-002-1.1b (GO GOP) – 15 exigences


Qu’est-ce que les normes NERC CIP ? Le terme « CIP » désigne "Critical infrastructure Protection" qui signifie

protection des actifs critiques plus particulièrement, de la cybersécurité. Les

normes CIP ont été développées par NERC avant 2005. Ces normes, reconnues

dans l'industrie servant à mieux mieux protéger les actifs critiques face aux

nouveaux enjeux de sécurité et à assurer la fiabilité des réseaux électriques.

Description des normes NERC-CIP


Pourquoi la Régie a suspendu les normes CIP v1 avant leur application même si elles étaient adoptées?

La norme NERC CIP v1 adoptée dans le cadre du dossier R-3699-2009, mais l’application a été suspendu le 7 octobre 2015 dans la décision D-2015-168, car elle était trop désuète. Dans un souci d’adoption en continu des nouvelles normes, la version CIP v5 est actuellement à l’étude pour l’adoption dans le dossier R-3947-2015. Il est important de noter que dans le cas d’une adoption et d’une mise en vigueur rapide des normes CIP v5, les délais qui seront accordés pour mettre en place les nouvelles normes seront plus courts pour ceux qui étaient déjà visés par l’ancienne version v1. En effet, pour les entités qui n’étaient visées par les normes CIP v1, car elles étaient exemptées de l’application un délai de grâce supplémentaire leur sera accordé pour s’arrimer aux nouvelles versions.



Dates d’entrée en vigueur proposées pour CIP v5



Pourquoi nous passons de la version CIP v1 à la version CIP v5 ?

Les normes CIP connaissent un développement itératif. Les versions impaires présentent des versions avec des améliorations importantes tandis que les versions paires ne sont que des versions transitoires. Ainsi les versions qui ont été adoptées et mises en application sont les versions v1, v3 et V5.

2014-12-02_-_CIPv5_-_Sommaire.pdf




Est-ce que les normes NERC-CIP s’appliquent aux entités visées ?

En fait contrairement aux autres normes NERC, les normes CIP ne s’appliquent pas à toutes les entités qui sont visées dans le registre. En effet, bien que la norme CIP-002-5.1 s’applique à tous, elle permet à l’entité de déterminer si elle est visée par toutes les 10 autres normes CIP.

•CIP-001-5 : catégorisation des systèmes électroniques BES •CIP-003-5 : Mécanismes de gestion de la sécurité •CIP-004-5 : Personnel et formation •CIP-005-5 : Périmètre de sécurité électronique •CIP-006-5 : Sécurité physique des systèmes électroniques BES •CIP-007-5 : Gestion de la sécurité des systèmes •CIP-008-5 : Déclaration des incidents et planification des mesures d’intervention •CIP-009-5 : Plans de rétablissement des systèmes électroniques BES •CIP-010-5 : Gestion des changements de configuration et analyse de vulnérabilité

•CIP-002-5.1 : Catégorisation des systèmes électroniques BES


#1 La norme CIP-002-5 propose un nouveau processus pour identifier les actifs critiques du système production-transport #2 L’utilisation d’un nouveau glossaire pour CIP #3 L’ajout de deux nouvelles normes (CIP-010-1 et CIP-011-1 ) #4 L’identification si vous êtes visés par les normes CIP ne se fait plus par le coordonnateur #5 Le sommaire des impacts

Quelles sont les grandes différences entre NERC-CIP v5 quand on le compare à NERC-CIP v1 ?


À l’aide de critères clairs et définis “Bright-line criteria” et l’utilisation de l’approche du NIST pour catégoriser les impacts “Faible-moyen-élevé”

#1 La norme CIP-002-5 propose un nouveau processus pour identifier les actifs critiques du système production-transport



#2 L’utilisation d’un nouveau glossaire pour les normes CIP

• Point d'accès électronique • Système électronique BES • Système intermédiaire • Système de contrôle des accès physiques • Systèmes de contrôle ou de surveillance des accès électroniques • Actifs électroniques • Incident de cybersécurité • Périmètre de sécurité électronique • Périmètre de sécurité physique

19 Nouveaux mots ou expressions ont été ajoutés : • Accès distant interactif • Actif électronique BES • Actifs électroniques protégés • Cadre supérieur CIP • Centre de contrôle • Circonstance CIP exceptionnelle • Connectivité externe routable • Connectivité par lien commuté • Incident de cybersécurité à déclarer • Information de système électronique BES

Deux expressions ont été retirées : • Actifs critiques • Actifs électroniques critiques



CIP-010-1 “Gestion des changements de configuration et analyses de vulnérabilité” CIP-011-1 “Protection de l’information”

Pour la plupart des spécialistes, il s’agit des deux normes les plus “ crunchy “ ou il risqué essentiellement d’avoir le plus de non-conformité.

#3 L’ajout de deux nouvelles normes par rapport à la version CIP v1



#4 L’identification comme entité visée pour les normes NERC-CIP

Pour l’application de CIP v5, il est donc de la responsabilité de chaque producteur d’évaluer s’il est visé par les normes CIP. Pour ce faire, il devra réaliser la norme CIP-002-5 et à l’aide du “bright line criteria” déterminer s’il est une entité visée. Cela est évidemment différend des autres normes, car les autres normes sont



#5 Le sommaire des impacts pour CIP v5

Le sommaire des impacts présente les efforts nécessaires pour se conformer. Nous pouvons noter qu’en général il est jugé que cela nécessite d’allouer des ressources matérielles humaines ou financières importantes. Dans le cas du non-respect de l’implantation et du maintien et suivi de la conformité entraînerait, les sanctions seraient proportionnelles et donc dans les sanctions les plus sévères.



Évolution des impacts par rapport aux normes CIP v3 à V5



Déroulement du processus CIP



Comment seront classées les installations de production au Québec ?



Combien de normes viseront les producteurs d’énergie du Québec si la le projet actuellement en consultation devient adopté ?

BAL COM EOP FAC INT IRO PER PRC TOP VAR

+ CIP BAL COM EOP FAC INT IRO PER PRC TOP VAR

Producteur de moins de 300 MVA

Producteur de plus de 300 MVA



Comment s’y préparer

• Il est important que ce ne soit pas un sous-traitant, mais bien un employé.

• Cette personne devrait rester à l’affut des changements au registre • Cette personne devra faire un suivi des activités de la Régie et bien connaître s’il y a changement de la règlementation

• Cette personne devrait également bien maîtriser vos infrastructures

Que vous soyez ou non présent dans le registre des entités visé qui est actuellement en vigueur, voici quelques actions que vous

devriez prochainement réaliser :

#1 Établir une ressource qui s’occupera des normes de fiabilité pour vos sites



• Votre responsable des normes de fiabilité devrait réaliser la norme CIP-002-5.1 afin d’identifier les éléments BES. • Il devrait également faire l’inventaire de vos infrastructures technologiques, mais également les schématiser et les comprendre. • Connaître les fonctions selon le modèle de la NERC et identifier les normes qui pourraient potentiellement vous viser. • Suivre précisément l’adoption des nouvelles normes, plusieurs seront adoptées en rafale en 2016 et 2017.

#2 Si vous possédez une infrastructure de production supérieure à 75 MVA



• Le non-respect des normes pourrait entraîner des pertes financières importantes au niveau des sanctions, mais également au niveau de la perte de revenu si cela occasionne des pertes de production.

• Il est probable que les normes CIP demandent des investissements supplémentaires avec des frais récurrents. Il est souvent plus aisé pour les entreprises d’étaler les dépenses sur plusieurs années.

• Il est probable que les changements nécessitent de la formation et entraîne des changements majeurs sur les procédures de travail ce qui nécessite un temps d’adaptation important.

• Il est possible que les changements nécessitent des interruptions de la production donc une bonne préparation d’avance permettrait de réduire la durée des interruptions. • Finalement, il vaut mieux vous prendre d’avance pour éviter des surprises.

#3 Prévoyez des budgets et une mise aux normes graduelle


Période de questions


Contact

Merci de votre attention!


Cas de figure #1

Question : « Prenons un producteur qui se fait installer un lien IP MPLS dédié ou une fibre noire non commutée entre deux sites qu’il possède. Si des informations sensibles sont transmises sur ce lien de télécommunication, est-ce que le fournisseur d’accès internet doit être NERC-CIP ? »


Cas de figure #1

Réponse : Non, le fournisseur d’accès internet est considéré comme un médium de transport des données. Toute communication d’information “sensible” hors de votre périmètre de sécurité électronique devrait être cryptée. Finalement au niveau de la section applicabilité au début de chacune des normes CIP nous avons l’exclusion suivante :


Contact

Information additionnelle


•BAL-005-0.2b (GOP TOP) – 25 exigences : Réglage automatique de la production (1 janvier 2016) •COM-001-1.1 (TOP) – 10 exigences : Télécommunication (1 avril 2015) •COM-002-2 (TOP) – 3 exigences : Communication et coordination (1 janvier 2016) •CIP-001-2a (GO GOP TO TOP) – 4 exigences : Signalement des actes de sabotage (À venir) •CIP-002-1 (GO GOP TO TOP) – 16 exigences : Identification des actifs électroniques critiques (À venir) •CIP-003-1 (GO GOP TO TOP) – 23 exigences : Mécanismes de gestion de la sécurité (À venir) •CIP-004-1 (GO GOP TO TOP) – 16 exigences : Personnel et formation (À venir) •CIP-005-1 (GO GOP TO TOP) – 31 exigences : Périmètre(s) de sécurité électronique(s) (À venir) •CIP-006-1 (GO GOP TO TOP) – 27 exigences ; Sécurité physique des actifs électroniques critiques (À venir) •CIP-007-1 (GO GOP TO TOP) – 43 exigences : Gestion de la sécurité des systèmes (À venir) •CIP-008-1 (GO GOP TO TOP) – 8 exigences : Déclaration des incidents et planification des mesures d’intervention (À venir) •CIP-009-1 (GO GOP TO TOP) – 7 exigences : Plans de rétablissement des actifs électroniques critiques (À venir) •EOP-001-2.1b (TOP) – 17 exigences : Planification des mesures d’urgence ( 1 avril 2015) •EOP-003-1 (TOP) – 8 exigences : Plans de délestage (À venir) •EOP-004-1 (GOP TOP) – 9 exigences : Déclaration des perturbations (À venir) •FAC-001-0 (TO) – 23 exigences : Exigences relatives au raccordement des installations (À venir) •FAC-003-1 (TO) – 20 exigences : Programme de maitrise de la végétation dans les emprises des lignes de transport (À venir)

Quel est le statut de ces normes ?

Information normes NERC


Où pouvons-nous retrouver les normes actuellement adoptées ?



Quels sont les installations dont l’application est suspendue dans la décision D-2015-213 ?


Colloque de l’AQPER, 10 Février 2016, Château Laurier ... · •GOP – Exploitant...

Documents

Transcript of Colloque de l’AQPER, 10 Février 2016, Château Laurier ... · •GOP – Exploitant...