Colloque de l’AQPER, 10 Février 2016, Château Laurier ... · •GOP – Exploitant...
Transcript of Colloque de l’AQPER, 10 Février 2016, Château Laurier ... · •GOP – Exploitant...
Division : Automatisation et informatique industrielle
Colloque de l’AQPER, 10 Février 2016, Château Laurier – Québec Joël Cloutier ing.
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 2
Plan de la présentation
Historique de l’entreprise Description des services Mise en contexte Application des normes de fiabilité Applicabilité Normes et exigences NERC Description des normes NERC-CIP Comment s’y préparer / Recommandations Conclusion
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 3
Historique de l’entreprise
Création de l’entreprise 1982 Él
ectr
icité
Él
ectr
icité
M
écan
ique
Co
ntrô
le
Cam
pagn
es d
e
mes
ure
Diversification en mécanique et en automatisation de procédés
1990
1996
2006 2007
2015
Débuts en éolien
Création du département – Informatique industrielle Vente de notre division de fabrication de mâts météorologiques
Ouverture du service de Centre de contrôle 24/7 GONOCC
Info
rmat
ique
In
dust
rielle
Ce
ntre
de
co
ntrô
le
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 4
Automatisation / informatique industrielle Systèmes SCADA Historiens de données Réseautique Sécurité informatique Accompagnement normes de fiabilité Télécommunication et télémétrie spécialisées Système de détection de présence ou de surveillance vidéo Panneaux de contrôle Service de centre de contrôle 24/7
Description des services (suite)
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 5
Dans le secteur de l’énergie
Plus de 30 systèmes SCADA complets en éolien
Plus de 18 systèmes d’historien de donnée en éolien
Au total, participation à différents niveaux dans la conception, la construction ou l’opération et maintenance de plus de 45 projets éoliens
Conception et élaboration de la solution d’acquisition/transmission de données répondant aux exigences d’Hydro-Québec dans l’a/o de 1000MW en 2006/2007.
Micro-réseau Technocentre éolien: couplage éolien, diésel et air comprimé
Banc d’essais miro-réseau IREQ
Système SCADA centrale Tugliq – Mine Raglan: couplage éolien, diésel, stockage.
Nos principales réalisations
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 6
Centre de contrôle 24/7 Service de contrôle et de supervision à distance de procédés industriels
Client à ce jour: Cartier Énergie Éolienne – 393 éoliennes (589.5 MW)
À la recherche de nouveaux clients
Nos principales réalisations (suite)
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 10
Sur quel critère se base le coordonnateur pour identifier les entités qui doivent être visées ?
Pour le moment, le principal critère d’inclusion du coordonnateur de fiabilité concernant les
producteurs d’énergie du Québec est que leur installation de production dépasse les 50 MVA.
Bien que la version du registre des entités visées, mise à jour le 14 janvier 2016, inclus toujours
les unités de 50 MVA, la prochaine version de du registre traitera probablement de 75 MVA.
Toutefois, nous sommes toujours en attente d’une décision finale de la Régie à cet effet.
Application des normes de fiabilité
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 13
Si nous sommes un producteur avec un site de plusieurs unités de production de moins de 75 MVA est-ce que l’on est visé ?
Oui, dans la mesure que nous avons une agrégation des unités avec un seuil raccordement au réseau de transport et que la production globale dépasse le 75 MVA
Applicabilité
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 14
Applicabilité
Si nous avons un site de plusieurs autotransformateurs est-ce qu’il s’agit de deux entités visées ou une seule ?
Il s’agit d’une seule entité visée
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 15
Si nous avons une artère qui est réputée être une extension communautaire,
est-ce qu’il y a deux entités visées ?
Il s’agit ici aussi d’une seule entité visée
Applicabilité
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 16
Exemple de fiche des entités visées
Applicabilité
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 17
Exemple de fiche des entités visées
Applicabilité
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 18
Combien de producteurs d’énergie seront dans le registre ?
En respectant l'esprit de la méthodologie de la décision provisoire D-2015-213 : En février 2016 , 18 des 30 parcs éoliens en production et raccordés au réseau d’Hydro-Québec seront dans la liste des entités visées. Vers la fin 2017, 22 des 37 parcs y seront inclus. Cela représentera environ 3451 /3981 MW soit 86% de la production éolienne qui sera visé par les normes de fiabilité NERC.
Normes et exigences NERC
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 20
•RC – Coordonateur de fiabilité
•BA – Responsable de l’équilibrage
•TOP – Exploitant de réseau de transport
•TO – Propriétaire de réseau de transport
•GO – Propriétaire d’installation de production
•GOP – Exploitant d’installation de production
• PA – Responsable de la planification
• TP – Planificateur du réseau de transport
• TSP – Fournisseur de service de transport
• RP – Planificateur des ressources
• DP – Distributeur
• LSE – Responsable de l’approvisionnement
Quelles sont les fonctions des producteurs d’énergie membre de l’AQPER ?
Normes et exigences NERC
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 21
•TO – Propriétaire de réseau de transport 13 Normes comprenant 233 exigences
•GO – Propriétaire d’installation de production 12 Normes comprenant 205 exigences
•GOP – Exploitant d’installation de production 16 Normes comprenant 263 exigences
Quelles sont les normes de fiabilités qui se rattachent à ces fonctions ?
Normes et exigences NERC
Un total de 21 normes distinctes comprenant 331 exigences
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 22
•BAL-005-0.2b (GOP TOP) – 25 exigences •CIP-001-2a (GO GOP TO TOP) – 4 exigences •CIP-002-1 (GO GOP TO TOP) – 16 exigences •CIP-003-1 (GO GOP TO TOP) – 23 exigences •CIP-004-1 (GO GOP TO TOP) – 16 exigences •CIP-005-1 (GO GOP TO TOP) – 31 exigences •CIP-006-1 (GO GOP TO TOP) – 27 exigences •CIP-007-1 (GO GOP TO TOP) – 43 exigences •CIP-008-1 (GO GOP TO TOP) – 8 exigences •CIP-009-1 (GO GOP TO TOP) – 7 exigences •EOP-004-1 (GOP TOP) – 9 exigences
Liste des normes actuellement adoptées par le régie qui visent les
principales fonctions de producteurs d’énergie renouvelable
Normes et exigences NERC
•FAC-001-0 (TO) – 23 exigences •FAC-003-1 (TO) – 20 exigences •FAC-008-1 (GO TO) – 13 exigences •FAC-009-1 (GO TO) – 2 Exigences •IRO-001-1.1 (GOP TOP) – 9 exigences •PER-001-0.2 (TOP) – 10 exigences •PRC-001-1 (GOP TOP) – 12 exigences •TOP-001-1a (GOP TOP) – 11 exigences •TOP-003-1 (GOP TOP) - 7 exigences •VAR-002-1.1b (GO GOP) – 15 exigences
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 23
Qu’est-ce que les normes NERC CIP ? Le terme « CIP » désigne "Critical infrastructure Protection" qui signifie
protection des actifs critiques plus particulièrement, de la cybersécurité. Les
normes CIP ont été développées par NERC avant 2005. Ces normes, reconnues
dans l'industrie servant à mieux mieux protéger les actifs critiques face aux
nouveaux enjeux de sécurité et à assurer la fiabilité des réseaux électriques.
Description des normes NERC-CIP
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 24
Pourquoi la Régie a suspendu les normes CIP v1 avant leur application même si elles étaient adoptées?
La norme NERC CIP v1 adoptée dans le cadre du dossier R-3699-2009, mais l’application a été suspendu le 7 octobre 2015 dans la décision D-2015-168, car elle était trop désuète. Dans un souci d’adoption en continu des nouvelles normes, la version CIP v5 est actuellement à l’étude pour l’adoption dans le dossier R-3947-2015. Il est important de noter que dans le cas d’une adoption et d’une mise en vigueur rapide des normes CIP v5, les délais qui seront accordés pour mettre en place les nouvelles normes seront plus courts pour ceux qui étaient déjà visés par l’ancienne version v1. En effet, pour les entités qui n’étaient visées par les normes CIP v1, car elles étaient exemptées de l’application un délai de grâce supplémentaire leur sera accordé pour s’arrimer aux nouvelles versions.
Description des normes NERC-CIP
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 25
Dates d’entrée en vigueur proposées pour CIP v5
Description des normes NERC-CIP
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 26
Pourquoi nous passons de la version CIP v1 à la version CIP v5 ?
Les normes CIP connaissent un développement itératif. Les versions impaires présentent des versions avec des améliorations importantes tandis que les versions paires ne sont que des versions transitoires. Ainsi les versions qui ont été adoptées et mises en application sont les versions v1, v3 et V5.
2014-12-02_-_CIPv5_-_Sommaire.pdf
Description des normes NERC-CIP
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 27
Description des normes NERC-CIP
Est-ce que les normes NERC-CIP s’appliquent aux entités visées ?
En fait contrairement aux autres normes NERC, les normes CIP ne s’appliquent pas à toutes les entités qui sont visées dans le registre. En effet, bien que la norme CIP-002-5.1 s’applique à tous, elle permet à l’entité de déterminer si elle est visée par toutes les 10 autres normes CIP.
•CIP-001-5 : catégorisation des systèmes électroniques BES •CIP-003-5 : Mécanismes de gestion de la sécurité •CIP-004-5 : Personnel et formation •CIP-005-5 : Périmètre de sécurité électronique •CIP-006-5 : Sécurité physique des systèmes électroniques BES •CIP-007-5 : Gestion de la sécurité des systèmes •CIP-008-5 : Déclaration des incidents et planification des mesures d’intervention •CIP-009-5 : Plans de rétablissement des systèmes électroniques BES •CIP-010-5 : Gestion des changements de configuration et analyse de vulnérabilité
•CIP-002-5.1 : Catégorisation des systèmes électroniques BES
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 28
#1 La norme CIP-002-5 propose un nouveau processus pour identifier les actifs critiques du système production-transport #2 L’utilisation d’un nouveau glossaire pour CIP #3 L’ajout de deux nouvelles normes (CIP-010-1 et CIP-011-1 ) #4 L’identification si vous êtes visés par les normes CIP ne se fait plus par le coordonnateur #5 Le sommaire des impacts
Quelles sont les grandes différences entre NERC-CIP v5 quand on le compare à NERC-CIP v1 ?
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 29
À l’aide de critères clairs et définis “Bright-line criteria” et l’utilisation de l’approche du NIST pour catégoriser les impacts “Faible-moyen-élevé”
#1 La norme CIP-002-5 propose un nouveau processus pour identifier les actifs critiques du système production-transport
Description des normes NERC-CIP
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 30
#2 L’utilisation d’un nouveau glossaire pour les normes CIP
• Point d'accès électronique • Système électronique BES • Système intermédiaire • Système de contrôle des accès physiques • Systèmes de contrôle ou de surveillance des accès électroniques • Actifs électroniques • Incident de cybersécurité • Périmètre de sécurité électronique • Périmètre de sécurité physique
19 Nouveaux mots ou expressions ont été ajoutés : • Accès distant interactif • Actif électronique BES • Actifs électroniques protégés • Cadre supérieur CIP • Centre de contrôle • Circonstance CIP exceptionnelle • Connectivité externe routable • Connectivité par lien commuté • Incident de cybersécurité à déclarer • Information de système électronique BES
Deux expressions ont été retirées : • Actifs critiques • Actifs électroniques critiques
Description des normes NERC-CIP
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 31
CIP-010-1 “Gestion des changements de configuration et analyses de vulnérabilité” CIP-011-1 “Protection de l’information”
Pour la plupart des spécialistes, il s’agit des deux normes les plus “ crunchy “ ou il risqué essentiellement d’avoir le plus de non-conformité.
#3 L’ajout de deux nouvelles normes par rapport à la version CIP v1
Description des normes NERC-CIP
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 32
#4 L’identification comme entité visée pour les normes NERC-CIP
Pour l’application de CIP v5, il est donc de la responsabilité de chaque producteur d’évaluer s’il est visé par les normes CIP. Pour ce faire, il devra réaliser la norme CIP-002-5 et à l’aide du “bright line criteria” déterminer s’il est une entité visée. Cela est évidemment différend des autres normes, car les autres normes sont
Description des normes NERC-CIP
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 33
#5 Le sommaire des impacts pour CIP v5
Le sommaire des impacts présente les efforts nécessaires pour se conformer. Nous pouvons noter qu’en général il est jugé que cela nécessite d’allouer des ressources matérielles humaines ou financières importantes. Dans le cas du non-respect de l’implantation et du maintien et suivi de la conformité entraînerait, les sanctions seraient proportionnelles et donc dans les sanctions les plus sévères.
Description des normes NERC-CIP
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 34
Évolution des impacts par rapport aux normes CIP v3 à V5
Description des normes NERC-CIP
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 35
Déroulement du processus CIP
Description des normes NERC-CIP
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 36
Comment seront classées les installations de production au Québec ?
Description des normes NERC-CIP
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 37
Combien de normes viseront les producteurs d’énergie du Québec si la le projet actuellement en consultation devient adopté ?
BAL COM EOP FAC INT IRO PER PRC TOP VAR
+ CIP BAL COM EOP FAC INT IRO PER PRC TOP VAR
Producteur de moins de 300 MVA
Producteur de plus de 300 MVA
Description des normes NERC-CIP
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 38
Comment s’y préparer
• Il est important que ce ne soit pas un sous-traitant, mais bien un employé.
• Cette personne devrait rester à l’affut des changements au registre • Cette personne devra faire un suivi des activités de la Régie et bien connaître s’il y a changement de la règlementation
• Cette personne devrait également bien maîtriser vos infrastructures
Que vous soyez ou non présent dans le registre des entités visé qui est actuellement en vigueur, voici quelques actions que vous
devriez prochainement réaliser :
#1 Établir une ressource qui s’occupera des normes de fiabilité pour vos sites
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 39
Comment s’y préparer
• Votre responsable des normes de fiabilité devrait réaliser la norme CIP-002-5.1 afin d’identifier les éléments BES. • Il devrait également faire l’inventaire de vos infrastructures technologiques, mais également les schématiser et les comprendre. • Connaître les fonctions selon le modèle de la NERC et identifier les normes qui pourraient potentiellement vous viser. • Suivre précisément l’adoption des nouvelles normes, plusieurs seront adoptées en rafale en 2016 et 2017.
#2 Si vous possédez une infrastructure de production supérieure à 75 MVA
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 40
Comment s’y préparer
• Le non-respect des normes pourrait entraîner des pertes financières importantes au niveau des sanctions, mais également au niveau de la perte de revenu si cela occasionne des pertes de production.
• Il est probable que les normes CIP demandent des investissements supplémentaires avec des frais récurrents. Il est souvent plus aisé pour les entreprises d’étaler les dépenses sur plusieurs années.
• Il est probable que les changements nécessitent de la formation et entraîne des changements majeurs sur les procédures de travail ce qui nécessite un temps d’adaptation important.
• Il est possible que les changements nécessitent des interruptions de la production donc une bonne préparation d’avance permettrait de réduire la durée des interruptions. • Finalement, il vaut mieux vous prendre d’avance pour éviter des surprises.
#3 Prévoyez des budgets et une mise aux normes graduelle
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 42
Contact
Merci de votre attention!
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 43
Cas de figure #1
Question : « Prenons un producteur qui se fait installer un lien IP MPLS dédié ou une fibre noire non commutée entre deux sites qu’il possède. Si des informations sensibles sont transmises sur ce lien de télécommunication, est-ce que le fournisseur d’accès internet doit être NERC-CIP ? »
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 44
Cas de figure #1
Réponse : Non, le fournisseur d’accès internet est considéré comme un médium de transport des données. Toute communication d’information “sensible” hors de votre périmètre de sécurité électronique devrait être cryptée. Finalement au niveau de la section applicabilité au début de chacune des normes CIP nous avons l’exclusion suivante :
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 45
Contact
Information additionnelle
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 46
•BAL-005-0.2b (GOP TOP) – 25 exigences : Réglage automatique de la production (1 janvier 2016) •COM-001-1.1 (TOP) – 10 exigences : Télécommunication (1 avril 2015) •COM-002-2 (TOP) – 3 exigences : Communication et coordination (1 janvier 2016) •CIP-001-2a (GO GOP TO TOP) – 4 exigences : Signalement des actes de sabotage (À venir) •CIP-002-1 (GO GOP TO TOP) – 16 exigences : Identification des actifs électroniques critiques (À venir) •CIP-003-1 (GO GOP TO TOP) – 23 exigences : Mécanismes de gestion de la sécurité (À venir) •CIP-004-1 (GO GOP TO TOP) – 16 exigences : Personnel et formation (À venir) •CIP-005-1 (GO GOP TO TOP) – 31 exigences : Périmètre(s) de sécurité électronique(s) (À venir) •CIP-006-1 (GO GOP TO TOP) – 27 exigences ; Sécurité physique des actifs électroniques critiques (À venir) •CIP-007-1 (GO GOP TO TOP) – 43 exigences : Gestion de la sécurité des systèmes (À venir) •CIP-008-1 (GO GOP TO TOP) – 8 exigences : Déclaration des incidents et planification des mesures d’intervention (À venir) •CIP-009-1 (GO GOP TO TOP) – 7 exigences : Plans de rétablissement des actifs électroniques critiques (À venir) •EOP-001-2.1b (TOP) – 17 exigences : Planification des mesures d’urgence ( 1 avril 2015) •EOP-003-1 (TOP) – 8 exigences : Plans de délestage (À venir) •EOP-004-1 (GOP TOP) – 9 exigences : Déclaration des perturbations (À venir) •FAC-001-0 (TO) – 23 exigences : Exigences relatives au raccordement des installations (À venir) •FAC-003-1 (TO) – 20 exigences : Programme de maitrise de la végétation dans les emprises des lignes de transport (À venir)
Quel est le statut de ces normes ?
Information normes NERC
NERC au Québec, comment s’y préparer – Le Groupe Ohméga – Février 2016 48
Où pouvons-nous retrouver les normes actuellement adoptées ?
Information normes NERC