Académique Documents
Professionnel Documents
Culture Documents
- Date d’applicabilité :
Date de fin de validité :
- NT DI CNER-DCCL-PIM 19 00210
Indice : 2
63 Pages 0 annexes
Domaine professionnel RD
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
DIFFUSION
Pour action Pour information
Direction des Achats : CNER/DCCL :
Mayeul GRAVIER, Vincent BOUSQUET.
Tévy VAY. Jean-Marie BOISSET,
Frédéric FOUSSERET,
Gilles GUILLET,
Tarik MACHKOUR,
Yann LELOUP.
DSIT/DESPA :
Frédéric LENOIR,
Paul RAZANAJATOVO.
HISTORIQUE
Projet ou
Indice Date Rédacteur(s) Modifications
Pour approbation
V. DIEMUNSCH
0 06/05/19 Projet B. ROHÉE
M. SALL
0.1 16/05/19 Pour signature Idem Remarques de Geoffroy et Volker
1 23/05/19 Pour signature Idem Remarques de Timothée et Volker
Mise à jour suite aux retours des
1.2 29/07/19 Projet Idem constructeurs lors du dialogue
compétitif.
2 9/09/2019 Pour signature V. DIEMUNSCH
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 3/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
SOMMAIRE
1. Planification ................................................................................................................... 4
1.1 Sans l’Infrastructure de Gestion de Clés de Rte ................................................... 4
1.2 Sécurisation de l’accès au réseau local ............................................................... 5
1.3 Contrôle d’accès aux automates basé sur les rôles .............................................. 5
1.4 Signatures et révocations .................................................................................. 6
1.5 Sécurisation des messages rapides .................................................................... 6
2. ADMS : Administration sécurisée................................................................................... 7
2.1 Description ...................................................................................................... 7
2.2 Exigences fonctionnelles ................................................................................... 7
3. EXPS : Exploitation sécurisée ......................................................................................14
3.1 Description .................................................................................................... 14
3.2 Exigences fonctionnelles ................................................................................. 14
4. GDOI : Service de distribution de clés de session dans un groupe. ..............................18
4.1 Description .................................................................................................... 18
4.2 Exigences fonctionnelles ................................................................................. 19
5. NAC : Contrôle d'Accès au Réseau Local du Poste Electrique (802.1X-2010)..............21
5.1 Description .................................................................................................... 21
5.2 Exigences fonctionnelles ................................................................................. 22
6. RBAC : Contrôle d'accès basé sur des certificats (62351-8 PUSH model)....................25
6.1 Description .................................................................................................... 25
6.2 Exigences fonctionnelles ................................................................................. 25
7. SYSLOG : Collecte des journaux de sécurité ...............................................................33
7.1 Description .................................................................................................... 33
7.2 Exigences fonctionnelles ................................................................................. 33
8. TLS : Sécurisation des flux TCP par TLS......................................................................57
8.1 Description .................................................................................................... 57
8.2 Exigences fonctionnelles ................................................................................. 57
9. Contraintes ...................................................................................................................61
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 4/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
1. Planification
Dans la suite du présent document, les exigences sont présentées en suivant une logique de
regroupement par fonctions, afin de faciliter la compréhension de la vision globale. Toutefois,
les contraintes industrielles amènent à planifier différentes phases de réalisation de la sécurité
sur site, qui se traduisent par les 5 paquets d’exigences détaillés ci-dessous.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 5/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 6/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 7/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Un même équipement peut avoir plusieurs flux d'administration sécurisés séparément. Chaque
flux d'administration sera sécurisé par chiffrement, au moyen d'une des deux options
suivantes :
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 8/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
préférentiellement par TLS 1.3. Toutefois TLS 1.2 est toléré sous réserve de suivre les
prescriptions de l'ANSSI en matière de suite de chiffrement (cf. RS-5936 - ANSSI-03 :
Recommandations sur TLS), reprises dans RS-6149 - TLS : Sécurisation des flux TCP
par TLS. Les rôles des utilisateurs seront portés par un attribut du certificat utilisé pour
authentifier la connexion (cf. RS-5825 - RBAC : Contrôle d'accès basé sur des certificats
(62351-8 PUSH model)).
sinon par SSH en utilisant l'authentification par clé publique, conformément aux
prescriptions de l'ANSSI (cf. RS-6329 - ANSSI-04 : Recommandations sur SSH). Les
rôles des utilisateurs devront être disponibles pour les équipements au moyen du
protocole LDAP (cf. RS-6210 - ADMS-08 : Clés publiques pour l'authentification sur les
équipements de réseau).
Remarque :
Sur les premiers sites pilotes, pour utiliser TLS en l'absence d'IGC, il faudra installer le certificat
auto-signé du Poste d'Administration lors de la configuration de l'IED pour s'assurer que lui
seul puisse administrer l'IED. Le logiciel propre au constructeur installé sur le poste
d'administration devra ignorer les contrôles d'identification de l'IED, car en l'absence
d'enrôlement de l'IED, son certificat sera générique.
Est imposée :
l'utilisation de TLS en suivant les exigences exprimée dans RS-6149 - TLS :
Sécurisation des flux TCP par TLS.
Est interdite :
l'utilisation de SSH, pour sécuriser SNMP, car cela imposerait des contraintes trop
fortes, soit organisationnelles (distribution des empreintes de clés publiques de tous
les équipements devant s'y connecter), ou le déploiement de DNS avec DNSSEC
(pour l'intégrité des champs SSHFP). De plus, comme de toute façon une IGC devrait
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 9/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
être utilisée étant donné les autres mesures de sécurité mises en place, le transport
sur SSH ne faciliterait en aucune façon le déploiement.
Sont imposées :
l'utilisation d'authentification basée sur HMAC-SHA-2 (standardisée par le RFC 7630),
la confidentialité basée sur AES (RFC 3826).
Sont interdites :
l'utilisation de mécanismes d’authentification basés sur MD5 et SHA-1,
l'utilisation de mécanismes de confidentialité basés sur Triple-DES.
Le bénéfice majeur de cette mesure est un contrôle technique par l'IED qui garantit une double
validation effective par Rte : d'une part la validation de la personne appliquant le changement
(exploitant), et d'autre part la validation de la personne ayant validé le logiciel (qualification).
Les équipements (IED) devront, lors d'une mise à jour logicielle (firmware),
respecter les exigences suivantes :
vérifier que le fichier est (contre-)signé par Rte, par une clé préalablement autorisée,
afin de s'assurer qu'il a été qualifié pour un déploiement en production.
vérifier que la date de contre-signature par Rte est postérieure à la date de signature
de la précédente installation.
Les deux formats de signature utilisés par Rte sont CMS (RFC 5652) et COSE (RFC
8152). L'IED doit supporter la vérification d'au moins un des deux formats de signature,
afin que l'infrastructure de Rte puisse générer une signature qui convienne à l'IED.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 10/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
La clé de signature de Rte aura l'attribut PKIX Extended Key Usage "Code signing" (OID
1.3.6.1.5.5.7.3.3).
Les IED devront refuser le positionnement d'une clé ne possédant pas cet attribut.
Finalement, vérifier que le fichier est signé par le constructeur, donc produit par celui-
ci, potentiellement avec un format de signature qui lui est propre.
Les équipements (IED) ou leur logiciel d'administration, devront, lors d'une mise à jour de leur
configuration :
vérifier que le fichier de configuration (FCPE) est signé par Rte, par une clé
préalablement autorisée, afin de s'assurer qu'il a été qualifié pour un déploiement en
production.
Les deux formats de signature utilisés par RTE sont CMS (RFC 5652) et COSE (RFC
8152). l'IED doit supporter la vérification d'au moins un des deux formats de signature,
afin que l'infrastructure de Rte puisse générer une signature qui convienne à l'IED.
Le bénéfice majeur de cette mesure est un contrôle technique par l'IED garantissant une
double validation effective à Rte : non seulement de la personne appliquant le changement
(exploitant ou maintenance), mais aussi de la personne en charge de la qualification de la
configuration.
Tous les mécanismes de sécurité de la norme IEC 62351 retenus reposent sur un certificat et
une clé privée associée sur chaque IED, afin qu'il puisse s'authentifier auprès de ses pairs. La
norme propose quatre mécanismes d'enrôlement des IED dans l'IGC, mais après une étude
des fonctionnalités offertes par ceux-ci, une revue de ceux qui bénéficiaient effectivement d'un
support logiciel, et le dialogue compétitif, Rte a choisi de n'en retenir que deux.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 11/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
à l'IGC de Rte, par un canal sécurisé défini conjointement, les machines livrées avec
les couples (numéro de série, mot de passe unique).
EST est un des protocoles d'enrôlement dans une IGC recommandés par l'IEC 62351. Il
commence à être largement implémenté, même si le support de SCEP est probablement encore
plus élevé.
EST le protocole le plus consensuel au sein de l'IETF, et son importance ne fera qu'augmenter,
son support est donc important pour l'interopérabilité à long terme. Par ailleurs, EST étant
relativement récent, les implémentations ne souffrent généralement pas de limitations vis à
vis du support des clés ECDSA.
R#SPACE pourra utiliser des fonctionnalités présentes dans EST mais pas dans SCEP, telle que
la demande de révocation à l'initiative d'un équipement enrôlé, utile par exemple en cas de
dépose (decommissioning) d'un équipement. Toutefois, il n'y a pas d'exigence de Rte de
support impératif de la révocation par EST.
Le support d'EST est donc demandé en priorité par rapport au support de SCEP.
SCEP est un des protocoles d'enrôlement dans une IGC recommandé par une IEC 62351, et
est de loin le protocole d'enrôlement le plus répandu. Il souffre néanmoins d'une absence de
standardisation (un RFC documentant les pratiques existantes tardant à sortir). Ceci peut
entrainer des problèmes d’interopérabilité entre une implémentation ancienne et une
implémentation moderne configurée pour rejeter les pratiques obsolètes.
Des implémentations anciennes souffrent de limitations, vis à vis de l'emploi de pratiques
cryptographiques modernes, que ce soit au niveau du protocole lui-même ou dans le support
de clés autres que RSA, spécifiquement ECDSA.
Rappelons que le support de SCEP est toléré, mais il est demandé en priorité le support du
protocole EST (cf. RS-6211 - ADMS-05-01 : support en priorité du protocole d'enrôlement
EST).
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 12/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
d'administration ne puisse pas envoyer des commandes sur le réseau d'exploitation. Pour cela,
il est impératif que les IEDs mettent à disposition une interface réseau à part (voir détails dans
l'exigence RS-5019 - LAN-03 Interface des équipements terminaux permanent). Les flux
d'administration attendus seront :
ceux entre les IEDs et leur logiciel d'ingénierie, propre à leur constructeur,
les traces des journaux de sécurité (Syslog),
les éventuels flux de supervision SNMP,
les messages du protocole d'enrôlement et de renouvellement des certificats.
Pour des raisons de sécurité, il est interdit que l'interface d'administration intègre un serveur
IEC 61850 (MMS, GOOSE et SV) ou qu'elle mettre à disposition les données et commandes du
procédé par n'importe quel autre moyen (par exemple un autre protocole de SCADA).
Sans activité de l'utilisateur, la session d'administration interactive d'un IED (web ou autre, par
exemple une session SSH) doit se déconnecter automatiquement au bout d’un temps
configurable dit « temporisation de déconnexion locale automatique de l'administration » et
clore la session.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 13/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Le répondeur OCSP (cf. RS-6123 - IGC 11 : Répondeur OCSP de validité des certificats) utilisé
par les mécanismes TLS, GDOI ou autre, devra être configurable sur les IED. En effet, même
si un répondeur OCSP peut être spécifié dans le certificat lui-même, celui-ci ne sera pas
forcément disponible localement. Dans le cas où et un répondeur OCSP est spécifié et dans la
configuration de l'IED et dans le certificat, le répondeur à contacter en premier est celui spécifié
par la configuration (sur le serveur local), et en cas d'indisponibilité de celui-ci, celui spécifié
par le certificat (sur le serveur national distant).
Le point de distribution de la liste de révocation des certificats, (CRL pour Certificate Revocation
List, cf. RS-6116 : IGC-10 Révocation du certificat d'un utilisateur ou d'une machine), utilisée
pour valider les certificats en cas d'indisponibilité du répondeur OCSP (cf. RS-6440) devra être
configurable sur les IED, que ce soit dans un contexte d'utilisation de TLS, GDOI ou de tout
autre mécanisme utilisant des certificats.
En effet, même si un point de distribution de liste de révocation (CRL) peut être spécifié dans
le certificat lui-même, celui-ci ne sera pas forcément disponible et local au poste électrique.
Dans le cas où et un point de distribution est spécifié et dans la configuration de l'IED et dans
le certificat, le point à utiliser en premier est celui spécifié par la configuration (sur le serveur
local), et en cas d'indisponibilité de celui-ci, celui spécifié par le certificat (sur un serveur
national distant).
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 14/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Cette fonction vise à regrouper les exigences de sécurité concernant les messages et les
systèmes nécessaires aux :
fonctions de protection,
fonctions d'exploitation,
commandes provenant de la conduite ou de la téléconduite,
informations remontant aux systèmes de conduite et de maintenance.
Exigences :
1. Afin de garantir l'intégrité de ces flux, les connexions TCP nécessaires à MMS sont
sécurisées par TLS 1.2, en authentification seule, en suivant la norme IEC 62351, cf.
RS-6149 - TLS : Sécurisation des flux TCP par TLS.
2. Un contrôle d'accès basé sur les rôles (RBAC) est implémenté sur l'IED serveur, en
utilisant les rôles transmis par le certificat du client (passerelle, poste opérateur...), cf.
RS-5825 - RBAC : Contrôle d'accès basé sur des certificats (62351-8 PUSH model).
3. L'IED doit supporter 10 connexions MMS simultanées (a minima). En cas d'atteinte de
la limite du nombre de connexions simultanées, une stratégie d'évitement du déni de
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 15/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
service doit être implémentée, cf. RS-4357 - EXPS-04 : Déconnexion automatique des
utilisateurs.
Le mécanisme qui doit être mis en œuvre pour garantir l'intégrité des SV et des GOOSE est
celui décrit dans l'IEC 62351-6. Il repose sur un code d'authentification (MAC, Message
Authentication Code), ici HMAC-SHA-256 ou AES-CMAC. Le choix entre les deux algorithmes
cryptographiques sera réalisé à la configuration de l'IED, et sera le même pour tous les IED
du site, de façon à ce que, si le traitement des SV et GOOSE est réalisé par une couche
matérielle, celle-ci n'ait pas à supporter les deux algorithmes simultanément.
La clé de session est obtenue et renouvelée par le mécanisme d'échange de clés de groupe,
cf. RS-5754 - GDOI : service de distribution de clés de session dans un groupe. En particulier,
le mécanisme d'anti-rejeu prévu par l'IEC 62351-6 devra impérativement être implémenté.
Remarques :
Le mécanisme initial de signature directe par la clé privée, décrit dans des versions antérieures
du standard l'IEC 62351-6, n'est pas retenu, car il est trop coûteux en calcul.
Notons que les Sampled Values peuvent servir à reconstituer les courbes de charges de clients,
lesquelles sont des Informations Commercialement Sensibles (ICS). Il conviendrait donc de les
chiffrer, cf. RS-5820 - CRE-01 : Confidentialité des Informations Commercialement Sensibles.
Toutefois, il n'y a pas pour l'instant, à notre connaissance, de mécanisme de chiffrement des
SV disponible dans la norme. D'autre part, les contraintes en matière de puissance de calcul
sont jugées aujourd'hui trop importantes pour les matériels actuels. Mais ce point pourra
évoluer au cours du projet R#SPACE.
Afin de répondre aux exigences de disponibilité de l'authentification sur les machines du fond
de poste (poste opérateur et poste d'administration) en situation de crise grave (perte des
réseaux de télécommunication, perte des centres de données nationaux, perte fonctionnelle
de l'Active Directory industriel...), il est nécessaire que les utilisateurs de ces machines puissent
s'authentifier au moyen d'un badge porteur de leur identité de de leurs rôles.
L'IGC centralisée de Rte créera un certificat X.509 avec l'identité et les rôles de la personne,
tirés de l'AD, au moment de l'attribution ou du renouvellement du badge. Puis le certificat sera
stocké dans le badge, avec la clé privée associée, dans la carte à puce du badge, pour
permettre une authentification par réponse à un défi (cf. RS-5770 - IGC-08-01 :
Authentification par badge avec carte à puce).
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 16/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Le serveur de sécurité du site maintiendra une liste des badges révoqués émise par l'IGC. Pour
limiter la taille de cette liste on jouera sur la durée de validité du certificat du badge
(typiquement 1 à 2 ans), cf. RS-6123 - SRV-01 et RS-6535 - SRV-02.
Les badges seront des cartes à puce compatibles avec le système de contrôle d'accès des
grands sites, CARTESE (technologie MIFARE DESFire EV1) et avec le SmartCardLogon. Un
second facteur d'authentification par code PIN sera ajouté pour la fonction Smart Card,
idéalement il sera le même que le code PIN de CARTESE.
Exigences :
Les IED devront mettre en œuvre l'authentification par certificat et le RBAC décrit dans
la fonction RS-5825 - RBAC : Contrôle d'accès basé sur les certificats (IEC 62351-8
PUSH model).
L'utilisation de mots de passe locaux doit être désactivée, car elle n'est pas gérable
industriellement sur les sites.
Les IED devront être durcis contre les cyber-attaques, en appliquant notamment la démarche
suivante :
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 17/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Les machines Linux (en particulier celles de fond de poste) doivent être durcies contre les
cyberattaques, en appliquant a minima les mesures suivantes :
Désactivation de toute interface externe de l'Intel Management Engine (ME) ou de
l'AMD Platform Security Processor (PSP) ou autre solution équivalente.
Positionnement d'un mot de passe fort et diversifié au niveau UEFI pour empêcher le
changement des paramètres de démarrage.
Interdiction de démarrage (boot) sur un média autre que la mémoire de masse interne
au niveau UEFI.
Activation du démarrage (boot) sécurisé UEFI (implique l'ajout de clé Rte au niveau
UEFI et la signature du bootloader par Rte).
Chiffrement intégral des supports permanents du système de fichier de façon à garantir
intégrité et confidentialité, en utilisant LUKS ou équivalent, avec une clé stockée
localement sur une puce TPM.
Application du principe de privilège minimal pour les applications, qui devront tourner
sous des utilisateurs dédiés, et renoncer à leurs privilèges dès que possible. L'utilisation
de "capacités" (capabilities en anglais) est recommandée pour éviter qu'une application
ait besoin des droits de super-utilisateur.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 18/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Pour répondre aux exigences de sécurisation des messages Ethernet portant les grandeurs
physiques échantillonnées et les ordres de déclenchement (cf. RS-6205 - EXPS-02 :
Sécurisation des Sampled Values et GOOSE), la CEI 62351-6 propose un mécanisme
garantissant :
soit uniquement l’intégrité des messages,
soit à la fois l'intégrité et la confidentialité des messages.
Le mécanisme de vérification de l'intégrité est basé sur la protection des trames GOOSE/SV
par un code d’authentification (Message Authentication Code, MAC), calculé par une fonction
de hachage avec une clé symétrique de session partagée entre l’émetteur et les abonnés. La
clé de session est distribuée par le KDC (Key Distribution Center) aux machines du groupe par
le protocole GDOI (Group Domain of Interpretation), dédié au partage de clés symétriques,
qui est standardisé par le RFC 6407. L'utilisation de GDOI en environnement CEI 61850 est
standardisée par la CEI 62351-8.
GDOI permet de partager facilement une clé de session dans un groupe de machines
possédant chacune une clé privée et un certificat de clé publique associée, et offre un
mécanisme de renouvellement rapide permettant d’exclure rapidement un équipement
compromis (en ne l’informant pas de la nouvelle clé). Des valeurs spécifiques aux GOOSE/SV
ont été standardisées par le RFC 8052. GDOI est basé sur IKE (Internet Key Exchange), un
protocole d’établissement de liens sécurisés (SA) utilisé dans la suite IPsec, et plus précisément
sur sa version 1. Notons que dans le contexte d'IPsec, la version 1 est en fait obsolète et
remplacée par IKE v2.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 19/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
IKEv1 assure l'authentification des parties prenantes et la négociation de clés dans GDOI.
Authentification des clients :
Les équipements et le KDC GDOI doivent supporter de l'authentification par certificats
X509v3.
Les équipements et le KDC GDOI doivent supporter à la fois des clés ECDSA et des
clés RSA.
Les équipements et le KDC GDOI doivent supporter a minima les tailles de clés RSA
2048, 3072 et 4096 bits.
Le rejet des clés RSA de moins de 2048 bits doit être configurable (même si en pratique
l'IGC ne devrait pas en émettre).
Le rejet des clés dont le certificat utilise le MD5 ou SHA1 doit pouvoir être configuré
(même si en pratique l'IGC ne devrait pas en émettre).
IKEv1 est un protocole en deux phases (appelée ici 1 et 2). La phase 1 peut être effectuée de
deux façons, appelées "Main Mode" et "Aggressive Mode".
Les équipements et le KDC GDOI doivent supporter le "Main Mode" lors de la phase
1 de la partie IKEv1 de GDOI.
Les équipements et le KDC GDOI peuvent optionnellement supporter le "Aggressive
Mode" lors de la phase 1 de la partie IKEv1 de GDOI.
Des vulnérabilités touchent la plupart des algorithmes supportés par IKEv1, ne laissant que
très peu de choix encore acceptables. Ceci nécessite :
le support obligatoire d'AES-CBC, tel que défini par le RFC 3602.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 20/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Les vulnérabilités avérées de MD5 et SHA1 imposent l'utilisation des condensats de la famille
SHA-2 pour assurer l'intégrité des échanges. Ceci impose donc :
le support obligatoire de HMAC-SHA-256-128 tel que défini dans le RFC 4868,
le support souhaitable de HMAC-SHA-384-192 et HMAC-SHA-512-256 tels que définis
dans le RFC 4868.
Concernant les fonctions pseudo-aléatoires (PRF : Pseudo Random Function), il est demandé :
Le support obligatoire de PRF-HMAC-SHA-256.
Le support souhaitable de PRF-HMAC-SHA-384.
Le support souhaitable de PRF-HMAC-SHA-512.
Le RFC 8263 ajoute à GDOI une fonction d'acquittement du changement de clé de groupe
(GROUPKEY-PUSH Acknowledgement Message). Il est souhaitable que le serveur GDOI, et les
IED communiquant avec lui, supportent cette extension.
Le protocole OCSP, défini dans le RFC 6960 permet de vérifier si un certificat présenté est
toujours valide.
Le serveur GDOI devra vérifier par une requête OCSP la validité du certificat présenté
par le client.
Les clients GDOI (IED) devront vérifier par une requête OCSP la validité du certificat
présenté par le serveur.
Les clients GDOI (IED) devront disposer, pour pouvoir rejoindre le groupe :
de l'adresse du serveur GDOI,
d'un certificat pour s'authentifier auprès de celui-ci,
de l'ID numérique du groupe GDOI à rejoindre,
des caractéristiques du trafic à protéger (par exemple : source et destination, même
s’il s'agit d'un "broadcast Ethernet" dans le cas des GOOSE et SV).
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 21/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Bénéfices
Au-delà de la sécurité des communications, le fait que le commutateur puisse identifier
l'identité d'un équipement et potentiellement sa classe, pourrait ouvrir la possibilité d'assigner
le bon VLAN aux équipements basé sur leur identité, avec une configuration génériques (par
exemple, une machine dont le nom (Distinguished Name) contiendrait par exemple
"mergingunit.tranche1" irait dans le VLAN adapté, sans configuration plus spécifique. Ceci
pourrait faciliter les remplacements d'équipements sans reconfiguration des commutateurs.
(La décision est prise par le RADIUS, voir par exemple chez Cisco
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_8021x/configuration/xe-
3se/3850/sec-user-8021x-xe-3se-3850-book/sec-ieee-8021x-vlan-assign.html).
802.1X étant appliqué "port à port" et non "end to end", l'adoption partielle est possible. Des
équipements compatible peuvent communiquer avec des équipements non compatibles, le
commutateur assurant l'envoie de trames Ethernet compatible avec l'équipement connecté sur
le port.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 22/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
La version du protocole 802.1X devra être 802.1X-2010 ou ultérieure pour garantir une sécurité
acceptable. La version 802.1X-2001 pourra être tolérée pour les premiers sites afin de mettre
au point les procédures d'installation et de maintenance mais sera interdite à partir d'une date
fixée contractuellement.
Remarque :
Ni 802.1X-2001 ni 802.1X-2004 ne permettent la négociation de clés pour 802.1AE (cf. RS-
6134 - NAC-03 : Mécanisme de confidentialité et d'intégrité des trames Ethernet (MACsec,
IEEE 802.1AE)) or en l'absence de ce mécanisme, ils sont vulnérables à des attaques, en
particulier l'insertion d'une machine pirate - un implant configuré en pont ("bridge") - entre
l'équipement et le commutateur.
Pour des références, se reporter à :
https://www.researchgate.net/publication/327402715
https://www.digitalsilence.com/wp-content/uploads/2018/08/DEF-CON-26-Gabriel-
Ryan-Whitepaper-Bypassing-Port-Security-In-2018-Defeating-MacSEC-and-802.1x-
2010.pdf
Remarque :
EAP/TLS permet l'authentification mutuelle de l'équipement qui cherche à se raccorder et du
réseau auquel on le raccorde. La difficulté principale de déploiement est la nécessité d'un
certificat, obtenu par enrôlement de l'équipement dans l'IGC.
L'utilisation de MACsec (802.1AE) telle que spécifié par 802.1x-2010 (802.1AE-2006) est
impérative, afin d'éviter une connexion en intermédiaire d'un attaquant, entre un équipement
autorisé et le commutateur (attaque de type Man-in-the-middle). Seul le support de la suite
de chiffrement GCM-AES-128 est obligatoire (en mode AEAD : Authenticated Encryption with
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 23/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Remarque :
MACsec répond en partie au besoin d'intégrité et de confidentialité au niveau des trames
Ethernet. MACsec n'implémente pas de sécurité de machine à machine telle que TLS ou IPsec
peuvent l'assurer, mais une sécurité de port à port (sur le câble), le chiffrement étant effectué
directement au niveau des composants Ethernet des équipements et des commutateurs, les
commutateurs déchiffrant une trame en entrée et la chiffrant avec la clé du destinataire en
sortie. Cela signifie que les informations restent exposées à une interception, et surtout que
les commandes restent exposées à une usurpation, par les commutateurs du réseau eux-
mêmes, qui dans ce contexte, jouent un rôle clé dans la sécurité.
Pour l'établissement des clés de MACsec, même si une dépose manuelle des clés est
techniquement possible, l'utilisation des mécanismes d'établissement de clés de 802.1X-2010
est nécessaire sur un site industriel, étant donné le nombre d'équipements impactés.
Le support à la fois de 802.1AE et de 802.1Q (VLAN de niveau 2) est exigé des IED.
Remarque :
La nécessité du support des VLAN (de niveau 2), normalisés par l'IEEE 802.1Q, est imposée
par la nécessité d'assurer une qualité de service (QoS) suffisante pour le respect des
contraintes de temps-réel des GOOSE et des SV. Il apparaît que certains équipements
supportent les deux standards 802.1AE et 802.1Q mais pas en même temps. Toutefois, dans
le cadre R#SPACE, la cible est que tout le trafic soit protégé par MACsec, tout en gardant les
différents VLANs offerts par 802.1Q pour la qualité de service.
Pour un équipement nouveau - dans le cas de la mise en place d'un nouveau poste ou du
remplacement d'un équipement - en l'absence d'authentification réussie par 802.1X,
l'équipement devra être assigné par le commutateur à un VLAN non chiffrée permettant
seulement l'enrôlement, c'est-à-dire seulement l'accès à l'interface d'enrôlement d'une Autorité
d'Enregistrement de l'IGC et complètement séparé du reste du réseau d'administration (ou le
cas échéant du réseau d'exploitation).
Le réseau local d'exploitation est redondé pour des raisons de fiabilité. Les deux protocoles
utilisés avec la CEI 61850 sont PRP, pour deux réseaux parallèles en étoile, et HSR pour un
réseau en anneau. Cela conduit à avoir deux liaisons Ethernet physiques, avec les mêmes
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 24/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
adresses MAC et IP, ce qui est acceptable car les deux réseaux redondants sont séparés.
Comme deux commutateurs redondants ne communiquent pas entre eux, la clé de session
MACsec (802.1X) est différente pour chaque liaison, même entre deux liaisons redondantes.
Un équipement a donc nécessité de s'authentifier deux fois pour une liaison redondante, une
fois sur chaque commutateur.
Exigence :
Il est nécessaire que le logiciel support de 802.1X soit compatible avec PRP ou HSR. La
renégociation sur un des deux ports physiques ne doit aucunement impacter l'autre port.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 25/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Cette fonction définit la manière dont le contrôle d'accès basé sur les rôles (RBAC) est réalisé
en profondeur dans le système de CCN, sur la base de certificats portés par des machines et
des utilisateurs.
Le modèle PUSH de la CEI 62351-8 repose sur les principes suivants :
chaque utilisateur ou machine possède un certificat, établi par l'IGC de Rte qui définit
son identité et ses rôles dans le système.
les machines du système distribué entrent en relation de type client-serveur par la
création de connexions sécurisées au moyen de TLS. Le client présente son certificat
au serveur, qui ouvre une session avec des droits correspondants aux rôles mentionnés
dans le certificat.
6.2 Exigences fonctionnelles
Remarques préliminaires :
Les rôles définis ci-dessous sont sensiblement différents de ceux de Smart Electre et des rôles
prédéfinis de la norme IEC 62351. Les spécifications de R#SPACE décriront, pour chaque
fonction, les droits associés à ces rôles. Notons que ces rôles peuvent aussi être attribués à
des processus informatiques. L'Active Directory industriel de Rte (cf. RS-5861 - AD : Contrôle
d'accès basé sur les rôles de l'Active Directory de Rte), permet de connaître et de gérer les
rôles attribués à chaque intervenant. Les rôles seront inscrits dans les certificats générés par
l'IGC.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 26/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 27/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 28/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Exigence :
Pour chaque fonction, les droits de réaliser les actions élémentaires - et en particulier les
passages de commandes - seront accordés à un ou plusieurs rôles, en suivant les orientations
données ci-dessus, dans les spécifications détaillées ou la modélisation des interfaces. La
configuration détaillera pour chaque commande les droits (lecture, écriture, exécution) de
chaque rôle.
Remarques préliminaires :
Seuls les rôles sont associés à des droits dans la spécification fonctionnelle. Toutefois, les rôles
sont regroupés dans des profils d'utilisateurs pour faciliter la gestion. Un profil correspond
simplement à un ensemble (non nul) de rôles. Un utilisateur possède un ou plusieurs profils.
Lorsqu'une session est ouverte, elle doit l'être pour la totalité des rôles de l'utilisateur,
indépendamment de ses profils. Ainsi les droits d'un utilisateur, dans une session ouverte sur
le système, seront la somme des droits associés à chacun de ses rôles.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 29/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Exigence :
À l'ouverture d'une session sur un IED avec un profil donné, les droits attribués à la session
seront le regroupement des ensembles de droits, chaque rôle du profil ayant un ensemble de
droits.
Remarques préliminaires :
La notion de séparation des responsabilités (separation of duties) doit être ajoutée au modèle
de base : certains rôles sont séparés, pour des raisons de sécurité, car les tâches qu'ils réalisent
sont incompatibles entre elles. Cela signifie que ces rôles ne peuvent pas être utilisés
simultanément par un utilisateur dans une même session. Ces rôles doivent bien sûr appartenir
à des profils différents.
Exigences :
Un serveur doit refuser d'ouvrir une session avec des rôles incompatibles entre eux. L'exigence
de séparation de l'administration et de la conduite est très forte. La non- séparation de la
conduite locale et de la téléconduite peut être tolérée au niveau d'un automate (IED).
Remarques :
Les différents profils prévus actuellement sont les suivants. Notez bien que Rte se réserve
le droit de modifier les profils lors de réorganisations internes.
Les automates (IED) et les Postes Opérateurs (IHM) de R#SPACE doivent être en mesure de
créer des sessions correspondant à ces profils, c'est-à-dire qu'une session aura les droits
conférés par l'ensemble des rôles du profil.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 30/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
EMASI
Gestionnai
Rôles \ GD PEAS / CASTE PDC Intégrate Systémi
re de
Profils P I PMSAS R D ur / CNER er
sécurité
I
Exploitatio
n locale
Assistance
à
l'exploitati
on
Analyse
d'incident
Maintenan
ce N1/N2
Curative
Maintenan
ce N1/N2
Préventive
Maintenan
ce N3
Maintenan
ce N3 PDM
Supervisio
n de
sécurité
Intégrateu
r
GDP : Groupement De Poste, dit « l’exploitant ».
PEASI : Pôle Étude d’Automatisme et Système Industriel.
EMASI : Équipe de Maintenance Automatisme et Système Industriel.
PMSASI : Pôle Maintenance Spécialisée Automatisme et Système Industriel.
CASTER : Centre d’Administration Supervision Télémaintenance régional.
PDCD : Pôle Dispatching Configuration de Données.
Remarques préliminaires :
Le standard ANSI INCITS 359-2004 sur lequel s'appuie en partie le standard IEC 62351-8 rend
obligatoire l'implémentation du Core RBAC model afin d'assurer l'interopérabilité sur l'ensemble
d'un système.
Ce modèle inclut : les utilisateurs (USERS), les rôles (ROLES), les objets ou ressources (OBS),
les opérations sur ces objets (OPS) et les permissions d'accès à ces objets (PRMS). A cela
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 31/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Exigences :
Pour les IED et machines de site, les opérations qui doivent être supportées sont :
ajout et suppression d'utilisateurs (AddUser et DeleteUser). L'ajout est réalisé
simplement par lecture du certificat de l'utilisateur, qui mentionne son identifiant et la
suppression est automatique à la fermeture de la session.
ajout et suppression de rôles (AddRole et DeleteRole) : cela est réalisé par
configuration de l'IED ou de la machine.
Exigence :
L'approche par sessions est choisie et sera mise en œuvre grâce à TLS (cf. RS-6149 - TLS :
Sécurisation des flux TCP par TLS).
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 32/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Remarques :
le profil C, basé sur une technologie Web JWT ne nous semble pas approprié à un
contrôle-commande numérique.
le profil D, est envisageable en solution de repli, mais pose soit un problème de sécurité
si la base de mots de passe est répliquée en local, soit un problème de disponibilité en
cas de perte du lien avec le centre de données.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 33/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Tous les équipements informatiques présents sur le poste électriques doivent remonter des
traces vers les journaux centralisés de sécurité, afin que le centre opérationnel de sécurité
(SOC) puisse superviser les installations. Le format des traces de sécurité doit suivre la RFC
5424 (Syslog) et les recommandations de la norme CEI 62351-14, qui - au moment où nous
écrivons - est encore en cours de rédaction (Committee Draft).
7.2 Exigences fonctionnelles
Les événements enregistrés doivent être systématiquement situés dans le temps afin de
pouvoir reconstituer les faits de manière précise, lors d’investigation d’incidents ou
d’anomalies, ils mentionneront donc la date et heure avec une précision absolue minimale de
50 ms et une résolution minimale de 1 ms.
Chaque application ou système déclenchant des événements à journaliser doit donc avoir
accès à l'horodatage, grâce à la synchronisation des horloges des différents équipements sur
une source de temps fiable (référentiel unique de temps) :
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 34/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
le protocole Network Time Protocol (NTP) est souvent utilisé pour cela (précis à 10 ms
sur les postes),
le protocole Precision Time Protocol (PTP) est bien sûr possible (relié à l'horloge locale
du poste, qui elle-même peut être synchronisée globalement, par satellite ou un autre
moyen).
La RFC 5424 décrit la structure générale des messages Syslog comme suit :
HEADER SP STRUCTURED-DATA [SP MSG], avec :
SP = caractère espace (i.e. blanc)
[] indique une partie optionnelle
Note : les blancs dans la description de la première ligne ne sont là que pour faciliter la lecture.
Lorsqu'un caractère blanc doit être présent, il est indiqué par les 2 lettres SP. Par exemple,
HEADER et STRUCTURED_DATA sont séparés par un blanc.
La partie entête (HEADER) d'un message syslog est décrit par la RFC 5424 de la manière
suivante :
HEADER = PRI VERSION SP TIMESTAMP SP HOSTNAME SP APP-NAME SP PROCID
SP MSGID
Le standard IEC 62351-14 spécifie les valeurs que doivent prendre les différents champs :
PRI = 1*3DIGIT : indique la priorité du message syslog. Il est de la forme <PRIVAL>, où
PRIVAL est un entier valant 8 * FACILITY + sévérité. L'IEC 62351-14 donne la valeur 13 à
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 35/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
FACILITY. Les valeurs de sévérité sont spécifiées par le standard et rappelées dans
l'exigence RS-6147 - SYSLOG-04 : Sévérité des événements.
VERSION = NONZERO-DIGIT 0*2DIGIT : indique la version du message syslog. L'IEC
62351-14 lui donne la valeur 1.
TIMESTAMP = NILVALUE / FULL-DATE "T" FULL-TIME : indique la date et l'heure de
création du message syslog. Si l'équipement n'est pas capable de dater l'événement, la
valeur NIL doit être utilisée.Dans le cas contraire, ce champ a la forme FULL-DATE "T" FULL-
TIME avec :
FULL-DATE = FULLYEAR - MONTH - MDAY
FULL-TIME = PARTIAL-TIME TIME-OFFSET
PARTIAL-TIME = HOUR ":" MINUTE ":" SECOND [SECFRAC]
TIME-OFFSET = "Z" / TIME-NUMOFFSET
avec
FULLYEAR = 4DIGIT (4 chiffres= pour l'année
MONTH = 2DIGIT (2 chiffres) pour le mois de 01 à 12
MDAY = 2DIGIT (2 chiffres) pour le jour de 01 à 31 dépendant du mois dans l'année
HOUR = 2DIGIT (2 chiffres) pour l'heure de 00 à 23
MINUTE = 2DIGIT (2 chiffres) pour les minutes de 00 à 59
SECOND = 2DIGIT (2 chiffres) pour les secondes de 00 à 59
SECFRAC = "." 1*6DIGIT (1 point suivi de 1 à 6 chiffres) indique des fractions de
secondes (optionnel)
TIME-NUMOFFSET = ("+" / "-") HOUR ":" MINUTE
HOSTNAME = NILVALUE / 1*255PRINTUSASCII : indique l'hôte sur lequel a été généré le
message Syslog. Ce peut être son nom ou son adresse IP sous la forme d'une chaine de 1 à
255 caractères ASCII imprimables autres que le blanc. Si l'équipement ne peut pas
déterminer ce champ, la valeur NIL doit être utilisée.
APP-NAME = NILVALUE / 1*48PRINTUSASCII : indique le nom du composant qui a généré
l'événement de sécurité. Ce peut être un device ou une application. C'est une chaine de 1 à
48 caractères ASCII imprimables autres que le blanc. Si le composant n'a pas de nom, la
valeur NIL doit être utilisée.
PROCID = NILVALUE / 1*128PRINTUSASCII : indique le processus associé au message
Syslog. L'IEC 62351-14 demande que ce champ ne soit pas utilisé. La valeur NIL lui sera
donc attribuée.
MSGID = NILVALUE / 1*32PRINTUSASCII : ce champ est une chaine de 1 à 32 caractères
ASCII imprimables autres que le blanc. Dans le contexte de l'IEC 62351-14, il correspond au
champ LogType du standard et doit avoir la valeur IEC62351-14
Note : PRINTUSASCII = %d33-126
La forme générale de l'entête est donc la suivante pour un événement de type "notice" :
Priorité de l'événement (champ PRI de la RFC5424) avec Sévérité = "notice" (champ
Sev de l'IEC62351-14), cela donne la valeur 108
La version du message syslog (champ VERSION de la RFC5424). elle prend la valeur
1
Heure et date de l'événement (champ TIMESTAMP de la RFC5424)
L'hôte qui a émis le message syslog (champ HOSTNAME de la RFC 5424)
Le nom de l'entité qui a généré le message syslog (Champ ProdName de
l'IEC62351-14 et champ APP-NAME de la RFC5424) = "nom du produit ayant
transmis l’événement"
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 36/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Le corps (STRUCTURED-DATA) d'un message syslog est décrit par la RFC 5424 de la manière
suivante (voir également la RFC 5234) :
STRUCTURED-DATA = NIL / 1*SD-ELEMENT
SD-ELEMENT = "[" SD-ID *(SP SD-PARAM) "]"
SD-PARAM = PARAM-NAME "=" %d34 PARAM-VALUE %d34
SD-ID = SD-NAME
PARAM-NAME = SD-NAME
PARAM-VALUE = UTF-8-STRING ; characters '"', '\' and ']' MUST be escaped.
SD-NAME = 1*32PRINTUSASCII ; except '=', SP, ']', %d34 (")
PRINTUSASCII = %d33-126
Dans le contexte du standard IEC-62351 le champ SD-ID est obligatoirement comme suit :
SD-ID = IEC@62351
Note :
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 37/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Le corps du message Syslog est donc de la forme suivante : il est compris entre les
caractères [* et *] et comprend :
Le champ SD-ID qui prend la valeur IEC@62351
La version du standard sous la forme IECversion="1"
L'identification du type de l'événement de cyber sécurité. C'est le champ ID de
l'IEC62351-14. Il est de la forme ID="entier" ou ID="OID" (voir ci-dessous)
Une information textuelle sur l'événement. Il est de la forme Text="état du serveur
AD ou de l'action exécutée"
Les équipements qui ne peuvent pas formater les attributs IECversion, ID, Text, ExtraInfo,
SOE, Source et UsrID comme indiqués dans la table 13 du standard IEC62351-14 (cf. RS-
6165 - SYSLOG-04-02) doivent utiliser le champ MSG (la dernière partie optionnelle d'une
entrée Syslog) pour écrire ces informations.
L'IEC 62351-14 est encore en cours de rédaction de cette partie à l'heure où nous écrivons,
aussi cette partie ne peut être figée et devra être mise à jour.
Une première version définissait les identifiants des événements de cyber sécurité comme des
entiers. Elle associait pour cela des plages de valeur à différentes classes d'événements avec
des formules comme par exemple : (IEC standard number × 10000) to ((IEC standard number
× 10000) + 9999) ce qui correspond à une plage allant de 623510000 à 623519999. Cette
représentation n'est guère pratique à utiliser.
L'utilisation d'un OID à la place d'un entier a donc été proposée au groupe de normalisation
et est en cours d'évaluation. Dans les exigences décrivant en détail les informations remontées
(SYSLOG-20 à SYSLOG-27) l'utilisation d'OIDs a été privilégiée. Les OIDs des événements
commencent par 1.0.62351 (cf. http://oid-info.com/get/1.0.62351).
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 38/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Le standard IEC 62351-14 définit 6 niveaux de sévérité pour un événement de sécurité (les
valeurs correspondantes sont définies dans la RFC 5424) :
emergency (value 0) : l'équipement est inutilisable,
alert (value 1) : une action doit être entreprise immédiatement,
critical (value 2) : indique une situation critique (aucune action immédiate requise),
error (value 3) : indique une erreur,
notice (value 4) : indique une situation normal mais significative,
warning (value 5) : pour un avertissement.
La centralisation de journaux consiste à les exporter depuis les équipements où ils ont été
générés vers une machine centrale. Cette opération a pour objectifs de :
Disposer d’un environnement de stockage correctement dimensionné au regard des
contraintes fonctionnelles et légales,
Assurer la haute disponibilité des journaux sur un équipement central distinct de
l’équipement émetteur,
Simplifier la consultation des journaux en évitant aux personnes en charge de leur
exploitation à se connecter à plusieurs équipements,
Faciliter le recoupement d’événements entre plusieurs équipements sources,
Faciliter la sauvegarde de journaux et la régulation de la période d’archivage légal.
Exigence :
Chaque trace de sécurité doit être transmise dès que possible au serveur de collecte, afin de
limiter autant que possible la perte de journaux en cas d'indisponibilité de l'équipement. Notons
que le serveur de collecte pourra être un relai local au site, qui retransmettra les traces au
collecteur national distant (cf. RS-6562 - SRV-03 : Relai local de collecte de journaux (Syslog)).
Étant générés par des sources différentes, les événements de différents équipements n’ont
pas forcément exactement le même format, même s'ils sont censés se conformer à la CEI
62351-14. Par conséquent, des actions de conversion peuvent être nécessaires pour en faciliter
l’exploitation.
Toutefois, il est fortement déconseillé d’effectuer la conversion sur les équipements ayant
générés les journaux de peur de dénaturer les événements, de perdre certaines informations,
voire d'ouvrir la voie à des attaquants. Ces opérations seront donc faites sur l’équipement
central de collecte (SIEM), suite au transfert.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 39/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Exigences :
Les accès aux journaux de sécurité sont réservés au rôle "supervision de sécurité" (cf. RS-
5907 - RBAC-02 : Définition des rôles à Rte) et en lecture uniquement. Il est impératif
d'interdire la modification d'un journal de sécurité par un administrateur, y compris
l'effacement ou la suppression d'événements. Seuls les processus automatiques peuvent écrire
dans les journaux de sécurité, jamais un utilisateur.
Port de
Protocole RFC Mécanismes de sécurisation
destination
Authentification du serveur (voire du
Syslog sur client).
5425 TCP / 6514
TCP/TLS Chiffrement et Intégrité des données
Garantie de réception des paquets
Syslog sur TCP 6587 TCP / 514 Garantie de réception des paquets
Syslog sur UDP 5426 UDP / 514
Dans le cas recommandé (TLS), deux modalités de mise en œuvre sont possibles. La première
est la cible pour R#SPACE, la seconde tolérée pour les premiers postes 'd' :
Syslog chiffré en mode « Encrypted channel » et « peer checking » : chiffrement et
vérification de l’identité du serveur,
Syslog chiffré en mode « Encrypted channel » : chiffrement uniquement.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 40/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Le mode utilisé pour le transfert des journaux vers l’équipement central est le mode temps
réel : chaque trace est poussée au plus tôt par l'équipement qui l'a généré vers le collecteur
centralisé (mode push). Les paquets Syslog doivent être transmis aux serveurs de collecte à
des adresses IP v4 configurables :
Serveur de collecte Syslog - ADMIN.
Serveur de collecte Syslog - TCD.
Serveur de collecte Syslog - STCD.
En fonction du domaine de l'Active Directory industriel de Rte auquel le poste électrique est
rattaché. Les ressources SIIV devront centraliser leurs journaux sur les serveurs rattachés au
domaine STCD. Les autres sur les serveurs TCD.
Point d'attention :
L'adresse IP des ressources devant transmettre leurs journaux à un serveur de collecte Syslog
devra être connue de ce serveur de collecte, car un filtrage par liste blanche des adresses IP
sera réalisé.
Les journaux générés sont stockés localement en attendant d’être transférés vers une entité
centrale. Suffisamment d’espace doit être prévu selon les besoins de l'équipement. Les
recommandations suivantes s’appliquent à l’ensemble des serveurs d’infrastructures système
et réseau (stockage local) :
Créer un espace de stockage limité et dédié aux journaux, afin d’éviter de saturer le
stockage de masse des équipements.
Mettre en place une politique de rotation (un mécanisme de tampon circulaire où les
nouvelles informations remplacent les plus anciennes), pour gérer dans la durée
l'espace limité et éviter une saturation ; en aucun cas une saturation des journaux ne
doit perturber le fonctionnement d'un équipement.
Le dimensionnement de l'espace de stockage dédié sera basé le conseil de l'IEEE 1686-
2013 § 5.2.2 : à savoir au moins 2048 événements dans un tampon circulaire.
Il est nécessaire de superviser l’espace de stockage dédié au journal de sécurité pour les
raisons suivantes :
Éviter l’indisponibilité des équipements, à cause d’une saturation du stockage. Notons
que l'utilisation de tampons circulaires permet d'éviter une saturation.
Signaler la perte de traces en cas d'écrasement d'éléments non encore transmis par le
réseau au collecteur.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 41/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Note :
La détection de proportions inhabituelles de journalisation par rapport à une activité normale,
qui peut être le signe d'un incident de sécurité en cours, sera réalisée par le collecteur et non
par l'IED lui-même.
La section 6.3.5 de la future norme IEC 62351-14 spécifie les événements de cyber sécurité
qui sont associés à la gestion des clés de cyber sécurité (mise en œuvre des certificats et de
la GDOI) dans le cadre de l'IEC 62351-9, et qui doivent être journalisés. Ces événements sont
rappelés ci-dessous.
Cyber security
Severity event Object
MNEMONIC Text
(Sev) Identifier
(OID)
Certificate profile
CERT_PROFILE_MISMATCH warning 1.0.62351.9.0
mismatch
Algorithm mismatch,
CERT_ALG_MISMATCH alarm 1.0.62351.9.1 result: failed
verification
Format mismatch,
CERT_FORM_MISMATCH warning 1.0.62351.9.2 result: failed
verification
Mandatory format
CERT_PKCS12_MISMATCH warning 1.0.62351.9.3
(PKCS #12) mismatch
Optional format
CERT_PKCS8_MISMATCH warning 1.0.62351.9.4 (PEM., PKCS#8)
mismatch
OID errors when
using Certificate
Authorization List
CERT_OID_ERROR_AVL_EXT warning 1.0.62351.9.5
Extensions
(avl62351Extention
mismatch)
OID errors when
using Certificate
Authorization List
CERT_OID_ERROR_AVL_ENTRY warning 1.0.62351.9.6
Entry Extensions
(avl62351EntryExt
mismatch)
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 42/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 43/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
device certificate
error)
CERT_SCEP_PROT_ERROR error 1.0.62351.9.19 Errors related to SCEP
CERT_EST_PROT_ERROR error 1.0.62351.9.20 Errors related to EST
Errors related to EST
during the update of
CERT_EST_TA-UPDATE_ERROR error 1.0.62351.9.21
CA certificates (using
Root CA Key Update)
Errors related to
CERT_TAMP_ERROR error 1.0.62351.9.22
TAMP
CERT_VAL_EXPIRED alarm 1.0.62351.9.23 Certificate expired
CA signature
CERT_VAL_SIG_ERROR alarm 1.0.62351.9.24
verification failure
CERT_VAL_REVOKED alarm 1.0.62351.9.25 Certificate revoked
Certificate not
CERT_VAL_NO_AVL_MATCH warning 1.0.62351.9.26
contained on CertAVL
CertAVL signature
AVL_VAL_SIG_ERROR alarm 1.0.62351.9.27
validation error
Failures for CertAVL
AVL_VAL_COMP_ERROR warning 1.0.62351.9.28
components
AVL_VAL_EMPTY_LST notice 1.0.62351.9.29 Empty list provided
Remarques :
Les erreurs suivantes spécifiées dans IEC 62351-9 sont absentes de l’IEC 62351-14 :
Severity Cyber security event Object
MNEMONIC Text
(Sev) Identifier (OID)
Invalid hash
warning 1.0.62351.9.30
information
Authentication
warning 1.0.62351.9.31
failure
Invalid id
warning 1.0.62351.9.32
information
Attributes not
warning 1.0.62351.9.33
supported
warning 1.0.62351.9.34 SA payload error
warning 1.0.62351.9.35 ID Payload error
Certificate payload
warning 1.0.62351.9.36
error
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 44/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
IEC 62351-9 s'appuie sur les RFC 2407, 2408 et 2409 rendues obsolètes par une succession
de RFC dont la plus récente spécifie un certain nombre d'erreurs non présentes dans l’IEC
62351-14.
La section 6.3.4 de la future norme IEC 62351-14 spécifie les événements de cyber sécurité
associés au RBAC (décrit dans IEC 62351-8) qui doivent être journalisés, par les équipements
qui ont implémenté les mécanismes correspondants. Ces événements sont rappelés ci-
dessous.
Cyber security
Severity event Object
MNEMONIC Text
(Sev) Identifier
(OID)
Successful user
authentication
RBAC_USR_AUTH_AUTHZ_SUCCESS notice 1.0.62351.8.0
and association
on server
Successful
update of
RBAC_PERM_ASSIGN_SUCCESS notice 1.0.62351.8.1
permission
assignment
LDAP repository
RBAC_NO_REPO_CONN_LDAP warning 1.0.62351.8.2
not accessible
RADIUS server
RBAC_NO_REPO_CONN_RADIUS warning 1.0.62351.8.3
not accessible
JWT provider not
RBAC_NO_REPO_CONN_JWT warning 1.0.62351.8.4
accessible
revocation
RBAC_NO_REPO_CONN_PKI warning 1.0.62351.8.5 repository not
available
No RBAC
credential
provided
(missing RBAC
RBAC_NO_CRED warning 1.0.62351.8.6 extension in
certificates or no
JWT token or no
RADIUS
information)
authentication of
RBAC_INVALID_TOKEN alarm 1.0.62351.8.7
subject failed
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 45/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
validity period of
access token
RBAC_TOKEN_VALIDITY_ERROR alarm 1.0.62351.8.8
could not be
verified
authentication of
RBAC_TOKEN_VERIFICATION_FAILED alarm 1.0.62351.8.9 access token
failed
RBAC_TOKEN_ROLEID_UNKNOWN alarm 1.0.62351.8.10 RoleID unknown
role definition
RBAC_TOKEN_ROLEDEF_UNKNOWN warning 1.0.62351.8.11
unknown
AoR could not be
RBAC_TOKEN_AOR_UNKNOWN warning 1.0.62351.8.12
resolved
revision number
RBAC_TOKEN_REV_MISMATCH warning 1.0.62351.8.13
mismatch
Cryptographic
RBAC_TOKEN_ALG_MISMATCH alarm 1.0.62351.8.14 algorithm
mismatch
revocation
RBAC_TOKEN_NO REVOCATION warning 1.0.62351.8.15 information not
available
revocation
RBAC_TOKEN_NO REVOCATION_EXP warning 1.0.62351.8.16 information
expired
Operation not
possible (DNP3) -
RBAC_TOKEN_EXT_OP_INVALID_USR warning 1.0.62351.8.17
No matching
user
Access token out
RBAC_TOKEN_EXT_OUT_OF_SEQ warning 1.0.62351.8.18 of sequence
(DNP3)
Validity period of
RBAC token
RBAC_ATTRIB_INVALID alarm 1.0.62351.8.19
outside the base
credential validity
No matching
RBAC_ATTRIB_NO_MATCH_BASE_CRED warning 1.0.62351.8.20 base credential
for RBAC token
Revocation
RBAC_ATTRIB_NO_REV_INFO warning 1.0.62351.8.21 information not
available
Validity period of
RBAC_JWT_INVALID alarm 1.0.62351.8.22
RBAC token
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 46/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Remarque : les événements suivants sont spécifiés dans l’IEC-62351-8, mais absents de
l’IEC-62351-14 :
Severity Cyber security event
MNEMONIC Text
(Sev) Object Identifier (OID)
warning 1.0.62351.8.26 access token issuer unknown
warning 1.0.62351.8.27 operation unsuccessful
sequence number already
warning 1.0.62351.8.28
used
warning 1.0.62351.8.29 access token not provided
certificate revocation
warning 1.0.62351.8.30
information unavailable
warning 1.0.62351.8.31 expired public-key certificate
revocation state could not be
warning 1.0.62351.8.32
verified
warning 1.0.62351.8.33 revoked public-key certificate
validity period of access
warning 1.0.62351.8.34
token could not be verified
La section 6.3.3 de la future norme IEC 62351-14 spécifie les événements de cyber sécurité
associés aux GOOSE (IEC 61850-8-1) et aux Sampled Values (IEC 61850-9-2) qui doivent être
journalisés. Ces événements sont rappelés ci-dessous.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 47/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Cyber security
Severity
MNEMONIC event Object Text
(Sev)
Identifier (OID)
No GOOSE
GOOSE_NON_EXISTENT notice 1.0.62351.6.0
subscription
GOOSE subscription
GOOSE_ACTIVATE notice 1.0.62351.6.1
activated
GOOSE message
GOOSE_SUBSCRIBE notice 1.0.62351.6.2
received
Received GOOSE
GOOSE_SEC_CHECK_PASS notice 1.0.62351.6.3 message security
check passed
Received GOOSE
GOOSE_SEC_CHECK_FAIL alarm 1.0.62351.6.4 message security
check failed
Received GOOSE
GOOSE_REPLAY_DETECTED alarm 1.0.62351.6.5 message replay
detected
Received GOOSE
GOOSE_NO_REPLAY_DETECTED notice 1.0.62351.6.6 message no replay
detected
Received GOOSE
message does not
GOOSE_NO_AUTHVALUE notice 1.0.62351.6.7
have authentication
value
Received GOOSE
GOOSE_AUTHVALUE notice 1.0.62351.6.8 message have
authentication value
GOOSE MAC
GOOSE_MAC_GEN_OK notice 1.0.62351.6.9
generation successful
GOOSE MAC
GOOSE_MAC_GEN_FAIL alarm 1.0.62351.6.10
generation failed
GOOSE MAC
GOOSE_MAC_VERIFY_OK notice 1.0.62351.6.11
verification pass
GOOSE MAC
GOOSE_MAC_VERIFY_FAIL alarm 1.0.62351.6.12
verification failed
SV_NON_EXISTENT notice 1.0.62351.6.13 No SV subscription
SV subscription
SV_ACTIVATE notice 1.0.62351.6.14
activated
SV_SUBSCRIBE notice 1.0.62351.6.15 SV message received
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 48/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Received SV message
SV_SEC_CHECK_PASS notice 1.0.62351.6.16
security check passed
Received SV message
SV_SEC_CHECK_FAIL alarm 1.0.62351.6.17
security check failed
Received SV message
SV_REPLAY_DETECTED alarm 1.0.62351.6.18
replay detected
Received SV message
SV_NO_REPLAY_DETECTED notice 1.0.62351.6.19
no replay detected
Received SV message
SV_NO_AUTHVALUE notice 1.0.62351.6.20 does not have
authentication value
Received SV message
SV_AUTHVALUE notice 1.0.62351.6.21 have authentication
value
SV MAC generation
SV_MAC_GEN_OK notice 1.0.62351.6.22
successful
SV MAC generation
SV_MAC_GEN_FAIL alarm 1.0.62351.6.23
failed
SV MAC verification
SV_MAC_VERIFY_OK notice 1.0.62351.6.24
pass
SV MAC verification
SV_MAC_VERIFY_FAIL alarm 1.0.62351.6.25
failed
Remarque : Il n'y a pas de message Syslog pour indiquer qu'il y a eu une perte de message
pour les GOOSE (cf. état 8 de la section 6.2.1.1 de l’IEC 62351-6) et pour les Sample Values
(cf. état 8 de la section 6.2.2.2 de l’IEC 62351-6) :
La section 6.3.1 de la future norme IEC 62351-14 spécifie les événements de cyber sécurité,
relatifs à la sécurité des communications IP, laquelle est garantie par le protocole TLS (cf. IEC
62351-3), qui doivent être journalisés par les équipements qui ont implémenté ce protocole.
Ces événements sont rappelés ci-dessous.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 49/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Cyber security
Severity
MNEMONIC event Object Text
(Sev)
Identifier (OID)
TLS ciphersuites
(proposed and
TLS_CIPHER_MISMATCH alarm 1.0.62351.3.0
configured) not
matching
TLS Version negotiation
TLS_WRONG_VERSION alarm 1.0.62351.3.1 results in TLS version <
1.0
TLS Version negotiation
TLS_WEAK_VERSION warning 1.0.62351.3.2 results in 1.0 < TLS
version > 1.2
TLS Version change
during session
TLS_VERSION_CHANGE alarm 1.0.62351.3.3
renegotiation or session
resumption
No renegotiation
TLS_NO_RENEG alarm 1.0.62351.3.4
performed by TLS client
No matching root CA
TLS_NO_ROOT_MATCH alarm 1.0.62351.3.5 certificate available for
verification
Received certificate too
TLS_CERT_SIZE_MISMATCH alarm 1.0.62351.3.6
large
No certificate material
TLS_NO_LOCAL_CERT alarm 1.0.62351.3.7 available (either locally
or received)
Certificate Validation:
TLS_NO_CA_MATCH alarm 1.0.62351.3.8 no matching CA
certificate available
Certificate Validation:
TLS_NO_IND_TRUST_MATCH alarm 1.0.62351.3.9 no matching local root
of trust available
TLS_NO_CRL warning 1.0.62351.3.10 CRL not accessible
OCSP responder not
TLS_NO_OCSP warning 1.0.62351.3.11
accessible
Revocation check error,
TLS_CRL_EXP warning 1.0.62351.3.12
if CRL expired
Revocation check error,
TLS_OCSP_RES_EXP warning 1.0.62351.3.13 if OCSP response
expired
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 50/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
La section 6.2 de la future norme IEC 62351-14 spécifie les événements de cyber sécurité
génériques (c'est à dire indépendants des normes IEC) qui doivent être journalisés. Ces
événements sont rappelés ci-dessous.
Cyber
security
Severit event
MNEMONIC Text
y (Sev) numerical
event
identifier (ID)
LOGIN_OK notice 1.0.62351.14.0 Log-in successful
Password expired,
LOGIN_OK_PW_EXPIRED notice 1.0.62351.14.1
Log-in successful
Log-in failed -
LOGIN_FAIL_WRONG_CR notice 1.0.62351.14.2
Wrong credentials
Log-in failed -
LOGIN_FAIL_PW_EXPIRED alarm 1.0.62351.14.3
Password expired
LOGIN_FAIL_3_TIMES alarm 1.0.62351.14.4 Log-in failed 3 times
Log-in failed too
LOGIN_FAIL_SESSIONS_LIMIT alarm 1.0.62351.14.5
many user sessions
User locked – Wrong
LOCK_USER_WRONG_CR alarm 1.0.62351.14.6
credentials
Log-out (user logged
LOGOUT_USER notice 1.0.62351.14.7
out)
Log-out by user
LOGOUT_TIMEOUT notice 1.0.62351.14.8
inactivity (timeout)
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 51/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Viewed Security
VIEW_SEC_EV_LIST_OK notice 1.0.62351.14.9 Event logs
successfully
1.0.62351.14.1 File hash check
FILE_HASH_CHECK_FAIL alarm
0 failed
1.0.62351.14.1 File digital signature
FILE_DS_CHECK_FAIL alarm
1 check failed
Storing and writing
1.0.62351.14.1
WRITE_CERTS_FAIL notice certificates in the
2
entity failed
1.0.62351.14.1 Software update
SW_UPDATE_OK notice
3 was successful
1.0.62351.14.1 Software update
SW_UPDATE_FAIL alarm
4 failed
1.0.62351.14.1 View of Security
VIEW_SEC_EV_LIST_FAIL notice
5 Event list failed
Admin password
1.0.62351.14.1
PW_RESET_FACTORY_DEF alarm reset to factory
6
default
1.0.62351.14.1 Clear Security
SEC_EV_CLEAR_FAIL notice
7 events failed
1.0.62351.14.1 User account
USER_ACCNT_CREATE_OK notice
8 created successfully
1.0.62351.14.1 User account
USER_ACCNT_ENABLE_OK notice
9 enabled successfully
1.0.62351.14.2 User account
USER_ACCNT_DISABLE_OK notice
0 disabled successfully
1.0.62351.14.2 User account
USER_ACCNT_DEL_OK notice
1 deleted successfully
1.0.62351.14.2 User account
USER_ACCNT_CREATE_FAIL notice
2 creation failed
1.0.62351.14.2 User account
USER_ACCNT_ENABLE_FAIL notice
3 enabling failed
1.0.62351.14.2 User account
USER_ACCNT_DISABLE_FAIL notice
4 disabling failed
1.0.62351.14.2 User account
USER_ACCNT_DEL_FAIL notice
5 deletion failed
1.0.62351.14.2 New role assigned to
USER_NEW_ROLE_OK notice
6 user successfully
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 52/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 53/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
1.0.62351.14.4
ROLE_DELETED_FAIL notice Role deletion failed
5
TCP communication
1.0.62351.14.4
TCP_COMM_LOG_SUBS_FAIL alarm with security log
6
subscriber failed
Log data hash check
1.0.62351.14.4
LOG_DATA_HASH_FAIL alarm failed (Log data
7
altered)
TCP communication
1.0.62351.14.4
TCP_COMM_LOG_PUBL_FAIL alarm with security log
8
publisher failed
TCP communication
1.0.62351.14.4 with security log
TCP_COMM_LOG_SRV_FAIL alarm
9 server failed - Event
not sent
Communication
1.0.62351.14.5
COMM_CS_NEGOTIATION_FAIL alarm failure - Cipher suite
0
negotiation failed
Communication
1.0.62351.14.5
COMM_KEY_NEGOTIATION_FAIL alarm failure - Key
1
negotiation failed
Communication
1.0.62351.14.5
COMM_PEER_AUTHENTICATION_FAIL alarm failure - Peer
2
authentication failed
Communication
COMM_PACKET_AUTHENTICATION_FAI 1.0.62351.14.5
alarm failure - Packet
L 3
authentication failed
1.0.62351.14.5 Security log file
LOG_FILE_DEL_BY_USER alarm
4 deleted by user
1.0.62351.14.5 Security log file
LOG_FILE_DEL_BY_SYS notice
5 deleted by system
1.0.62351.14.5 Security logs edited
LOG_FILE_EDIT_BY_USER alarm
6 by user
1.0.62351.14.5 SSL Connection
SSL_CONN_OK notice
7 successful
SSL
1.0.62351.14.5
SSL_CERT_ACCEPTED_OK alarm connection/certificat
8
e accepted
TLS certificate
1.0.62351.14.5
TLS_CERT_CHECK_DIS_OK alarm validation check
9
disabled successfully
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 54/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
SSL Connection
1.0.62351.14.6
SSL_CONN_FAIL_CERT alarm failed - Certificate
0
validation failed
1.0.62351.14.6 SSL Connection
SSL_CONN_FAIL_IKE alarm
1 failed - IKE failed
1.0.62351.14.6 Time sync source
TIME_SYNC_SRC_OK notice
2 OK
1.0.62351.14.6 Time sync source
TIME_SYNC_SRC_FAIL notice
3 failed
Virus detected by
1.0.62351.14.6 Antivirus software
AV_VIRUS_FOUND alarm
4 running on the
source
Failed to update
1.0.62351.14.6
AV_UPDATE_FAIL notice Antivirus signatures
5
on the source
New certificate
1.0.62351.14.6
NEW_CERT_GEN_OK notice generated
6
successfully
CSR approved and
1.0.62351.14.6
PKI_CSR_OK alarm certificate issued
7
successfully
1.0.62351.14.6 Certificate Signing
PKI_CSR_FAIL alarm
8 request failed
1.0.62351.14.6 Certificate about to
PKI_CERT_EXP_NEAR alarm
9 expire
1.0.62351.14.7 Certificate validation
X509_CERT_OK alarm
0 succeeded
1.0.62351.14.7 Certificate validation
X509_CERT_FAIL alarm
1 failed
Certificate validation
1.0.62351.14.7
X509_CERT_EXPIRED alarm failed - Certificate
2
expired
Certificate validation
1.0.62351.14.7
X509_CERT_REVOKED alarm failed - Certificate
3
revoked
Certificate validation
1.0.62351.14.7 failed - Certificate
X509_CERT_UNTRUSTED alarm
4 signature check
failed
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 55/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 56/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
La section 6.3.6 de la future norme IEC 62351-14 spécifie les événements de cyber sécurité
relatifs à la sécurité des documents XML (cf. IEC 62351-11) qui doivent être journalisés par
les équipements qui ont implémenté les mécanismes correspondants. Ces événements sont
rappelés ci-dessous.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 57/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Transport Layer Security (TLS), ou en français sécurité pour la couche de transport est un
protocole de sécurisation des échanges TCP/IP. TLS a pour prédécesseur « Secure Sockets
Layer (SSL) ». Les flux TCP sont protégés en intégrité et authenticité, ou en intégrité
seulement, par le protocole TLS.
Les seules versions du protocole autorisées pour R#SPACE seront TLS 1.2 et TLS 1.3, en
application des règles ANSSI R3, R4 (voir guide ANSSI sur le déploiement de TLS).
Pour la sûreté, seule l'intégrité des informations et des commandes est impérative. Aussi
lorsqu'il est nécessaire que le trafic soit observable, une suite cryptographique offrant intégrité
seule doit être utilisée. Le support d'au moins une des deux suites suivantes est demandé côté
serveur. Côté client, les deux suites suivantes doivent être supportées, pour pouvoir interagir
avec n'importe quel serveur.
TLS_ECDHE_ECDSA_WITH_NULL_SHA (clé du serveur ECDSA, PFS, mais HMAC-SHA1
pour l'intégrité).
TLS_RSA_WITH_NULL_SHA256 (clé du serveur RSA, pas de PFS, mais HMAC-SHA256
pour l'intégrité).
Nota :
l'utilisation de SHA1, bien que déconseillée (car non conforme au RGS de l'ANSSI) ne
pose pas de problème dans le cas d'un HMAC.
les clés RSA sont en phase d'obsolescence, car les tailles de clés deviennent trop
grandes.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 58/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Quand la confidentialité est nécessaire, seules des suites avec PFS (Perfect Forward Secrecy,
la clé de session ne peut pas être retrouvée a posteriori) sont conservées, et seul le support
des clés ECDSA et RSA est demandé (pas de PSK). Ne sont conservées que des suites encore
recommandées par l'IETF et conformes au RGS, afin d'atteindre les objectifs d'interopérabilité,
de performance et d'agilité cryptologique en cas de découverte de vulnérabilités. Parmi les
suites recommandées sur https://www.iana.org/assignments/tls-parameters/tls-
parameters.xhtml, ne sont donc conservées que les suites suivantes :
Nous listons ici les extensions nécessaires, dans le cadre de l'utilisation de TLS 1.2 dans
R#SPACE. Par souci d’exhaustivité, nous mentionnons à la fin les extensions non utiles et donc
non nécessaires.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 59/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Pour la sûreté, seule l'intégrité des informations et des commandes est impérative. Aussi
lorsqu'il est nécessaire que le trafic soit observable, une suite cryptographique offrant
seulement l'intégrité, sans chiffrement, doit être utilisée. Une telle suite est en cours de
standardisation (https://tools.ietf.org/html/draft-camwinget-tls-ts13-macciphersuites-02) et
sera certainement prise en compte dans la CEI 62351.
Cas du 0-RTT
TLS 1.3 implémente un mécanisme de rétablissement immédiat de connexion en réutilisant
une clé précédemment négociée, sans aucun échange de paquet (d'où le 0-RTT). Ce
mécanisme permet une attaque par rejeu (replay attack), même si l'attaquant ne sais pas a
priori ce qu'il rejoue (mais souvent le contexte lui permet). Il s'ensuit que le 0-RTT ne devra
être activé que pour accéder à des ressources statiques ou des actions idempotentes.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 60/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
remplis une seule fonction, un attaquant en position d'observer le trafic n’obtiendrait pas moins
d'information en présence de SNI chiffré). L'extension n'a néanmoins pas d'effet négatif, et si
elle est supportée, n'a pas besoin d'être désactivée.
Le protocole OCSP, défini dans le RFC 6960 permet de vérifier si un certificat présenté est
toujours valide (cf. RS-6123 - IGC-11 : Répondeur OCSP de validité des certificats). Les clients
TLS devront supporter l'extension TLS status_request RFC 6066, OCSP stapling), et en cas de
support par le serveur, devront vérifier la réponse OCSP attachée par celui-ci à la connexion.
Note : il n'y a pas de service agrafage de réponse OCSP (OCSP stapling) pour le certificat du
client dans TLS.
Le protocole OCSP, défini dans le RFC 6960 permet de vérifier si un certificat présenté est
toujours valide. La pile TLS du serveur doit supporter l'extension status_request ( RFC 6066,
couramment appelée "OCSP stapling" que l'on peut traduire par « agrafage OCSP »), afin que
le serveur puisse fournir dès l'établissement de la connexion une preuve courante de non
révocation de son certificat. Les serveurs TLS devront renouveler régulièrement la réponse
OCSP, agrafée à leur certificat, qui indique qu'à l'heure de l'émission de la réponse, le certificat
n'avait pas été révoqué.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 61/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
9. Contraintes
ANSSI-01 : Non-réplication des mots de passe nationaux RS-5959
L'ANSSI demande que les mots de passe nationaux de l'AD industriel ne soient pas répliqués
localement sur les machines du site, ceci afin d'éviter d'exposer les hachés des mots de passe.
Algorithmes de condensat :
MD5, même dans la construction HMAC,
SHA-1, même dans la construction HMAC.
Algorithmes de chiffrement :
RC4, à cause du biais exploitable,
TripleDES (taille de bloc trop petite, niveau de sécurité effectif de la clé inférieur à
128 bits d’entropie).
En découle par ailleurs l'interdiction des tailles trop faibles pour le dimensionnement de
certains algorithmes :
L'interdiction de clés RSA de taille inférieure à 2048 bits,
L'interdiction des groupes DH de taille inférieure à 2048 bits pour les échanges de
clés.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 62/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Nos exigences font un travail d'unification des recommandations ANSSI, IETF et IEC 62351,
en rendant ainsi certaines fonctionnalités - optionnelles pour l'IEC 62351 - obligatoires pour
RTE.
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)
NT-DI-CNER-DCCL-PIM-19-00210 Date d’approbation : 23/09/2019
Indice : 2 - Page : 63/63
Projet R#SPACE - Spécifications de cyber sécurité des équipements des lots SAMU, SCU et BCU.
Le code de l'énergie (article L.111-72) prévoit que « chaque gestionnaire de réseau public de
transport d'électricité préserve la confidentialité des informations d'ordre économique,
commercial, industriel et financier ou technique dont la communication serait de nature à
porter atteinte aux règles de concurrence libre et loyale et de non-discrimination. La liste de
ces informations est déterminée par décret en Conseil d'État. Les mesures prises par les
opérateurs pour assurer leur confidentialité sont portées à la connaissance de la Commission
de Régulation de l'Énergie ». Ces Informations Commercialement Sensibles (ICS) sont définies
dans le code l'énergie.
Les courbes de charge des clients de Rte - hormis celles des producteurs de plus de 100 MW
- sont considérées comme des Informations Commercialement Sensibles et ne doivent pas
être divulguées en dehors de Rte. Pour les producteurs avec un raccordement de plus de
100 MW, les données de production sont libres (règlement REMIT).
Au sein de Rte, les ICS peuvent être de diffusion confidentielle ou restreinte, selon l’analyse
de la typologie des données faites par les métiers. La directive confidentialité (DIR-ACI-DAR-
04-00023 indice 3) actuellement en vigueur recommande d’utiliser la classification "diffusion
restreinte" dans la majeure partie des cas. Pour mémoire, une donnée classifiée "RTE" est
confidentielle vis-à-vis de l’externe.
On notera par ailleurs que les sanctions en cas de non-respect des règles de confidentialité
sont très fortes, nominatives et relèvent du droit pénal, d'où l'importance des actions de
sensibilisation réalisées à RTE et l'importance des mesures mises en œuvre pour éviter tout
incident de confidentialité.
FIN DU DOCUMENT
Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est
interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)