Plateforme pour l’eau, le gaz et la chaleur
![Fig. 1 Structure du NIST Framework Core. (Source: [2])](/media/1930817/ag-05-2025-fa-reichhart-fig1.jpg?width=760&height=440&bgcolor=e8e8e8 "Fig. 1 Structure du NIST Framework Core. (Source: [2])")
![Fig. 3 Résumé des niveaux de maturité. (Source: [1])](/media/1930819/ag-05-2025-fa-reichhart-fig3.jpg?width=760&height=440&bgcolor=e8e8e8 "Fig. 3 Résumé des niveaux de maturité. (Source: [1])")
![Fig. 4 Schéma du processus permettant de déterminer le niveau de protection correspondant. Extrait du chapitre 5 de la norme minimale TIC.(Source: [1])](/media/1930820/ag-05-2025-fa-reichhart-fig4.jpg?width=760&height=440&bgcolor=e8e8e8 "Fig. 4 Schéma du processus permettant de déterminer le niveau de protection correspondant. Extrait du chapitre 5 de la norme minimale TIC.(Source: [1])")
![Fig. 6 Dangers particulièrement importants pour le sous-secteur de l’approvisionnement en gaz naturel. (Source: [3])](/media/1930822/ag-05-2025-fa-reichhart-fig6.jpg?width=760&height=440&bgcolor=e8e8e8 "Fig. 6 Dangers particulièrement importants pour le sous-secteur de l’approvisionnement en gaz naturel. (Source: [3])")
![Fig. 7 Interdépendance entre le sous-secteur de l’approvisionnement en gaz naturel et les autres sous-secteurs d’infrastructures critiques. (Source: [3])](/media/1930823/ag-05-2025-fa-reichhart-fig7.jpg?width=760&height=440&bgcolor=e8e8e8 "Fig. 7 Interdépendance entre le sous-secteur de l’approvisionnement en gaz naturel et les autres sous-secteurs d’infrastructures critiques. (Source: [3])")
À partir du 1er juillet 2025, les distributeurs de gaz seront tenus par ordonnance fédérale de prendre diverses mesures de cybersécurité. La «Norme minimale pour la sécurité des technologies de l’information et de la communication (TIC) dans l’approvisionnement en gaz» G1008 [1] servira de base. La version actuelle de cette norme minimale se base sur la recommandation G1008 que la SVGW avait déjà publiée en 2020 pour la branche en collaboration avec l’Office fédéral pour l’approvisionnement économique du pays (OFAE).
La pandémie de coronavirus, la guerre en Ukraine, les pénuries d’approvisionnement en énergie et l’énorme augmentation des cyberattaques ont fondamentalement changé le visage de notre société. Pour s’adapter à ce nouveau contexte, la recommandation G1008 (2020) a fait l’objet d’une révision complète et est désormais disponible en tant que norme minimale TIC G1008, édition mai 2024 [1]. Elle propose une approche commune pour organiser efficacement le processus de protection contre les cyberrisques. Le document a été élaboré par des experts de l’Office fédéral de l’énergie (OFEN), de l’Association Suisse de l’Industrie Gazière (ASIG), de SVGW et de la branche.
Le «Guide de mise en œuvre de la norme minimale TIC dans l’approvisionnement en gaz» G15004 a été élaboré [2] afin d’en faciliter la mise en œuvre tout en garantissant une cohérence au sein de la branche. Ce guide doit notamment aider les petites entreprises à pouvoir mettre en œuvre la norme minimale TIC avec leurs propres moyens et ceux de la branche.
La structure des deux documents, le contexte dans lequel ils s’inscrivent l’un par rapport à l’autre et le rôle central joué par l’outil d’auto-évaluation gratuit (Self Assessment Tool) de la Confédération sont décrits ci-après.
Le «NIST Cybersecurity Framework» (NIST CSF) est une approche globale, composée de normes, de directives et de bonnes pratiques qui aide les entreprises de toutes tailles à mieux comprendre, gérer et réduire les risques en matière de cybersécurité et à protéger leurs données. C’est l’agence fédérale américaine National Institute of Standards and Technology (NIST) qui a donné son nom au Cybersecurity Framework.
Le NIST Framework se compose de 108 mesures, réparties en 23 catégories, elles-mêmes attribuées aux 5 fonctions suivantes: Identifier, Protéger, Détecter, Réagir et Récupérer (fig. 1). Ces cinq fonctions reflètent la philosophie du NIST Framework: celle-ci considère la cybersécurité comme un processus dynamique qui nécessite des contrôles réguliers et un processus d’amélioration continue.
Comme il est question de cybersécurité, la plupart des 108 mesures relèvent de la fonction Protéger (39 mesures), suivie par les fonctions Identifier (29 mesures) et Détecter (18 mesures). Ainsi, sans identification solide, il n’est pas possible de prendre des mesures de protection correspondantes ni de détecter un incident de manière sûre.
L’une des premières étapes de l’application de la norme minimale TIC est l’évaluation de la mise en œuvre de toutes les mesures du du NIST Framework, pour laquelle les niveaux de maturité de 0 à 4 sont définis [1]. En outre, la G1008 définit trois niveaux de protection A, B et C auxquels les exploitants de réseau de gaz sont attribués en fonction du volume de gaz transporté et de leur criticité. Le chapitre 5 de la G1008 indique, pour chaque mesure individuelle, quel niveau de maturité doit être atteint au minimum dans le niveau de protection défini pour l’exploitant de réseau afin de satisfaire aux valeurs minimales exigées par la loi (= norme minimale).
Pour les niveaux de protection A et B, les 108 mesures doivent être respectées dans les 23 catégories des 5 fonctions. Pour le niveau de protection C, seules 39 mesures doivent être respectée du point de vue légal dans 15 catégories des 5 fonctions (fig. 2). Les 8 catégories suivantes n’en font pas partie: Environnement de l’entreprise, Gestion des risques, Stratégie pour gérer les risques, Incidents, Analyse, Améliorations (au niveau de réagir et récupérer) et Communication (au niveau de récupérer). Il est néanmoins recommandé de les évaluer, même si elles n’ont pas été déclarées obligatoires.
Les niveaux de maturité 0-4 pour les trois niveaux de protection A, B et C sont déterminés d’après les indications données au chapitre 4.5 de la G1008. Pour les niveaux de protection A et B, les objectifs à atteindre sont les niveaux de maturité 1, 2, 3 ou 4, alors que pour le niveau de protection C, seuls les niveaux de maturité 2 et 3 sont utilisés.
En ce qui concerne le degré de mise en œuvre des mesures, les niveaux de maturité signifient ce qui suit:
0: non mis en Ĺ“uvre
1: partiellement mis en œuvre, pas entièrement défini ni validé
2: partiellement mis en œuvre, entièrement défini et approuvé
3: entièrement ou très largement mis en œuvre, statique
4: mis en œuvre de manière dynamique, contrôlé continuellement et amélioré
Si une mesure ne peut pas être évaluée et appliquée dans des cas justifiés, elle peut être évaluée avec «n/a». Dans ce cas, il faut impérativement justifier pourquoi elle ne peut pas être appliquée.
La figure 3 présente un aperçu des 5 niveaux de maturité. On comprend rapidement comment l’état d’une organisation en matière de résilience TIC, tant normative/processuelle que technique, peut évoluer d’un état initial en grande partie réactif, passif et non formalisé vers un état véritablement proactif, formalisé et même – lorsque le niveau 4 est atteint – vers un état d’amélioration continue.
Conformément à l’art. 39a, al. 4 de l’ordonnance sur la sécurité des installations de transport par conduites (OSITC), les exigences de la norme minimale TIC seront considérées comme obligatoires pour les exploitants de gazoducs (exploitants de réseaux de gaz) à partir du 1er juillet 2025. Les exploitants doivent prouver, sur demande de l’autorité de surveillance, qu’ils ont satisfait aux exigences du niveau de protection déterminant selon le chapitre 5 de la norme minimale TIC (G1008, édition mai 2024).
La détermination du niveau de protection correspondant est décisive pour la suite de la procédure. Les grands exploitants de réseaux qui relèvent du niveau de protection A ou B doivent, comme nous l’avons déjà mentionné, évaluer toutes les 108 sous-catégories de la norme minimale TIC. Les petites entreprises, qui relèvent du niveau de protection C, doivent n’en évaluer que 39. L’objectif est de tenir compte à la fois de la criticité de l’infrastructure concernée et des ressources disponibles dans l’entreprise concernée (exploitant de réseau).
La figure 4, tirée du chapitre 5 de la norme minimale TIC (G1008), permet de définir le niveau de protection approprié. Les exigences pour le niveau de protection A sont les plus élevées, tandis que les niveaux B et C comportent des exigences moindres.
L’outil Excel d’auto-évaluation (Self Assessment Tool)1 mis à disposition par la Confédération permet d’évaluer les niveaux de maturité dans les différents secteurs ou installations des entreprises (exploitants de réseaux de gaz).
À des fins de clarification, les exigences relatives aux mesures à évaluer, définies dans la réglementation G1008 (chap. 5, Tab. 24) pour les niveaux de protection A, B et C ont été analysées (fig. 5).
Comme on peut facilement le constater, selon la G1008, les 108 mesures prescrites dans le NIST Framework ou dans l’outil d’auto-évaluation doivent être évaluées pour les niveaux de protection A et B. Pour le niveau de protection C, seules 39 d’entre elles sont considérées comme obligatoires. L’analyse des risques réalisée par l’entreprise détermine si des mesures supplémentaires doivent être définies et évaluées.
Â
Le nombre de mesures à évaluer est identique pour les niveaux de protection A et B pour chacune des cinq fonctions du NIST Framework. Comme le nombre de mesures à évaluer obligatoirement est moins élevé pour le niveau de protection C et que huit catégories sont même totalement supprimées, le nombre par fonction est proportionnellement plus faible.
Il y a 39 mesures dans le domaine de la protection pour les niveaux de protection A et B et seulement 18 pour le niveau de protection C. Identifier comprend 29 ou 8 mesures, et enfin, Détecter n’en comprend plus que 18 ou 6 (tab. 1). Dans les niveaux de protection A et B, non seulement davantage de mesures doivent être évaluées, mais les exigences concernant le degré de mise en œuvre (niveaux de maturité) sont également plus élevées, comme indiqué dans la G1008, chapitre 5.2.
|  |  | Niveau de maturité 1 |
Niveau de maturité 2 |
Niveau de maturité 3 |
Niveau de maturité 4 |
Total |
| Â | Niveau de protection A | Â | Â | Â | Â | Â |
| ID | Identifier | Â | 4 | 25 | Â | 29 |
| PR | Protéger |  | 9 | 22 | 8 | 39 |
| DE | DĂ©tecter | 1 | 4 | 12 | 1 | 18 |
| RS | RĂ©agir | Â | 6 | 10 | Â | 16 |
| RC | RĂ©cuperer | Â | 3 | 3 | Â | 6 |
| Â | Niveau de protection B | Â | Â | Â | Â | Â |
| ID | Identifier | Â | 9 | 17 | 3 | 29 |
| PR | Protéger |  | 15 | 19 | 5 | 39 |
| DE | DĂ©tecter | Â | 12 | 5 | 1 | 28 |
| RS | RĂ©agir | Â | 8 | 7 | 1 | 16 |
| RC | RĂ©cuperer | 3 | 2 | 1 | Â | 6 |
| Â | Niveau de protection C | Â | Â | Â | Â | Â |
| ID | Identifier | Â | 2 | 6 | Â | 8 |
| PR | Protéger |  | 10 | 8 |  | 18 |
| DE | DĂ©tecter | Â | 6 | Â | Â | 6 |
| RS | RĂ©agir | Â | 6 | Â | Â | 6 |
| RC | RĂ©cuperer | Â | 1 | Â | Â | 1 |
L’analyse montre également que le niveau de maturité 4 – mise en œuvre dynamique, y compris surveillance et amélioration continues – est exigé pour un nombre presque identique de mesures pour les niveaux de protection A et B (9 pour le niveau de protection A et 10 pour le niveau de protection B), mais que les mesures ne se répartissent que sur deux fonctions pour A, et non sur quatre fonctions comme pour B. Une maturité similaire des entreprises (exploitants de réseaux) est donc requise à cet égard. Il convient de noter que le niveau de maturité 4 n’est pas obligatoire dans le niveau de protection C.
La situation est différente pour le niveau de maturité 3. Au niveau de protection A, on exige la mise en œuvre complète ou quasi-complète de 72 mesures au total. Dans ces domaines, la maturité de l’entreprise paraît plutôt statique. En revanche, pour le niveau de protection B, le niveau de maturité 3 n’est exigé que pour 49 mesures. On voit ici clairement que la rigueur du niveau de protection A dépasse celle du niveau de protection B. Si, dans le premier cas, l’accent est plutôt mis sur le niveau 3 en ce qui concerne la maturité de l’entreprise, il oscille entre les niveaux 2 et 3 dans le second cas. Pour le niveau de protection C, le niveau de protection 3 ne représente qu’un aspect partiel avec 14 mesures.
Pour le niveau de maturité 2, c’est-à -dire la mise en œuvre partielle, la définition complète et la réception des mesures, la situation s’inverse. Pour le niveau de protection A, cette maturité doit être atteinte pour 26 mesures, alors que pour le niveau de protection B, avec un total de 46, ce nombre est presque deux fois plus élevé. En ce qui concerne la maturité de l’entreprise, l’accent est mis sur les niveaux 2 et 3. Pour le niveau de protection C, l’accent est mis sur le niveau 2 en ce qui concerne la maturité de l’entreprise.
Le niveau de maturité 1, c’est-à -dire une mise en œuvre partielle sans définition ou mesures complètes, n’est suffisant qu’une seule fois dans le cas du niveau de protection A et trois fois pour le niveau de protection B. Pour le niveau de protection C, elle n’apparaît pas du tout.
Selon l’outil d’auto-évaluation, la maturité globale exigée (Overall Cyber Security Rating), c’est-à -dire la moyenne globale (arithmétique), pour toutes les mesures pertinentes pour le niveau de protection A se situe à 2,8 – donc plutôt au niveau 3. Pour le niveau de protection B, la valeur de 2,5 se situe plutôt à mi-chemin entre les niveaux de maturité 2 et 3, pour le niveau de protection C, elle se situe plutôt au niveau 2 avec une valeur de 2,3. Cela confirme l’idée selon laquelle une entreprise (exploitant de réseau de gaz) doit agir en fonction du niveau de protection adapté à son cas (A, B ou C) afin de pouvoir être résiliente face aux cyber-risques.
Comme l’indique le glossaire du guide G15004, les cyberattaques désignent «toute activité délibérée visant à porter atteinte à la disponibilité, à l’intégrité ou à la confidentialité des données». Il y est également expliqué que l’infrastructure TIC comprend «tous les éléments de l’équipement d’information et de télécommunication dont une organisation a besoin pour accomplir ses processus opérationnels. Par exemple les ordinateurs de bureau, les téléphones portables, les centres de données, etc.», en bref: les technologies de l’information et de la communication (TIC).
Dans l’approvisionnement en énergie notamment, les systèmes de contrôle industriels, par ex. les systèmes de contrôle des processus, revêtent une importance cruciale et doivent être protégés contre les cyberattaques pour garantir la sécurité de l’approvisionnement. Dans le glossaire de la G15004, les systèmes de contrôle industriels sont définis comme suit: «les éléments utilisés pour commander et surveiller des installations ou des processus industriels. Un tel système comprend typiquement des capteurs, des centres de calcul, des centres de contrôle, des lignes et des installations». Les termes anglais Industrial Control System (ICS) et Supervisory Control and Data Aqcuisition System (SCADA) sont utilisés comme synonymes, comme on peut le lire dans le glossaire. Toutes les technologies citées font partie de la technologie opérationnelle (Operational Technology, OT).
L’infrastructure critique de la Suisse comprend 9 secteurs, subdivisés en 27 sous-secteurs (branches). La fiche d’information2 de trois pages de l’Office fédéral de la protection de la population (OFPP) sur le sous-secteur critique de l’approvisionnement en gaz naturel résume les points les plus importants. Les dangers (fig. 6), les mesures de résilience et les interdépendances du sous-secteur de l’approvisionnement en gaz naturel (fig. 7) suivantes sont particulièrement pertinentes:
En ce qui concerne les interdépendances du sous-secteur de l’approvisionnement en gaz naturel, le critère de «dépendance» à l’égard de l’approvisionnement en électricité, des services financiers et des services informatiques, ainsi que l’approvisionnement en gaz naturel, ont été classés comme «importants pour» la chimie et les produits thérapeutiques ainsi que l’approvisionnement en denrées alimentaires, chacun avec une valeur «moyenne».
Le guide G15004, édition novembre 2024, est en particulier destiné aux petites entreprises (exploitants de réseaux de gaz) qui relèvent du niveau de protection C. Ce guide a pour but d’aider à la mise en œuvre de la règlementation G1008 et fournit des instructions concrètes pour les 39 mesures à évaluer.
L’aide mise à disposition peut également être utilisée par les exploitants de réseaux soumis au niveau de protection A ou B, pour la mise en œuvre de ces mesures dans le cadre de la vérification de la résilience aux cyberattaques contre les TIC.
Le guide comprend une première partie qui décrit la situation initiale et l’objectif ainsi que quelques notions de base et une deuxième partie qui précise les exigences des 5 fonctions du NIST Framework.
Pour chacune des 39 mesures du niveau de protection C, il est répondu aux questions suivantes:
La cinquième question est posée dans deux cas seulement, à savoir dans la fonction «Identifier» (ID) de la sous-catégorie «Rôle et responsabilité en matière de cybersécurité» (ID.AM-6) et dans la fonction «Protéger» (PR) de la sous-catégorie «Cybersécurité – formation et sensibilisation» (PR.AT-1).
En répondant systématiquement et de manière récurrente à quatre ou cinq questions par sous-catégorie, telles que celles mises à disposition dans le guide G15004, il est possible de déterminer de manière récurrente le degré de mise en œuvre (maturité) et de déterminer ainsi la maturité moyenne de l’entreprise face aux cyberrisques (niveau de protection C).
L’utilisation de listes de contrôle d’audit sous forme papier classique ou d’applications numériques de gestion des audits peuvent également constituer des outils utiles pour la mise en œuvre de la norme minimale TIC. Si des exigences ne sont pas satisfaites ou seulement partiellement, il faut bien entendu définir les mesures correspondantes pour pouvoir progressivement combler ces lacunes. La répétition continue d’audits internes et/ou externes – que ce soit de façon périodique avec un calendrier défini ou en fonction d’autres déclencheurs tels que les cyberincidents – ainsi que l’application systématique des mesures appropriées en cas d’écarts, conduisent à long terme à une amélioration constante de la résilience des entreprises face aux attaques de pirates et, en fin de compte, à la sécurité d’approvisionnement souhaitée au sein du secteur gazier.
1 L’outil d’auto-évaluation peut être téléchargé gratuitement auprès de l’OFAE.
2 La «Fiche info sur le sous-secteur critique Approvisionnement en gaz naturel» peut être téléchargée sur le site de l’OFPP
[1] VSG, BFE, SVGW (2024): G1008 - Norme minimale pour la sécurité des technologies de l’information et de la communication (TIC) dans l’approvisionnement en gaz
[2] VSG, BFE, SVGW (2024): G15004 Leitfaden zur Umsetzung des Minimalstandards fĂĽr die Sicherheit der Informations- und Kommunikationstechnologie in der Gasversorgung mit Fokus auf das Schutzniveau C
[3] BABS (2023): Nationale Strategien Schutz kritischer Infrastrukturen SKI / Cyber NCS; Factsheet zum kritischen Teilsektor Erdgasversorgung, Stand August 2023
 |
La norme minimale pour la sécurité des technologies de l’information et de la communication (TIC) dans l’approvisionnement en gaz (G1008) ainsi que le guide G15004 de mise en œuvre de la norme minimale peuvent être téléchargés gratuitement dans la boutique en ligne de SVGW: |
Avec l'abonnement en ligne, lisez le E-paper «AQUA & GAS» sur l'ordinateur, au téléphone et sur la tablette.
Avec l'abonnement en ligne, lisez le E-paper «Wasserspiegel» sur l'ordinateur, au téléphone et sur la tablette.
Kommentare (0)