Toute l'énergie de Cisco au service de la protection des postes électriques européens

Pour les fournisseurs d'électricité, la sécurité est une priorité. Sans protéger le réseau électrique, impossible de garantir la fiabilité des services aux clients. Aujourd'hui, cela signifie à la fois assurer l'intégrité interne du système électrique et le défendre contre les menaces externes, y compris les cyberattaques qui peuvent provoquer l'arrêt ou prendre le contrôle des centrales électriques et des réseaux de distribution.

CKW AG est un fournisseur d'énergie suisse qui dessert aussi bien les industriels, les entreprises que les particuliers : foyers, hôpitaux, data centers, usines de première nécessité ou encore distributeurs communaux. Sa gamme de solutions intelligentes pour la maison comprend des panneaux solaires, des batteries, des pompes à chaleur et des applications qui surveillent et contrôlent la consommation d'énergie. L'entreprise exploite également des centrales hydroélectriques, et son département IT fournit des services de fibre optique, de data center et d'autres services professionnels aux entreprises suisses.

Je travaille chez CKW AG depuis 30 ans. Je m'occupe principalement de la transmission des données en tant qu'ingénieur système chargé de sécuriser nos ressources pour les technologies opérationnelles. Nous accordons une grande importance aux technologies opérationnelles (OT), au matériel et aux logiciels qui surveillent et contrôlent nos ressources physiques, y compris l'infrastructure réseau. Avant, nous gérions nos infrastructures OT et IT séparément, sans disposer des fonctionnalités de segmentation et d'automatisation dont nous avions besoin pour sécuriser et protéger l'ensemble.

En 2018, j'ai rejoint une équipe qui construisait un nouveau poste électrique (une installation qui abaisse la tension sur les lignes de distribution pour permettre leur utilisation) dans la zone industrielle de Rothenburg, à Lucerne. Face à la menace croissante que les cyberattaques représentent pour les infrastructures des systèmes électriques, nous avons repensé la défense de nos ressources OT pour cette nouvelle installation.

Repenser la sécurité du poste électrique de Rothenburg

Avant, CKW AG utilisait des commutateurs Siemens Ruggedcom dans ses postes électriques. Ces équipements ont été conçus à une époque où les réseaux des postes électriques fonctionnaient encore de manière autonome, sans supervision ni segmentation globales. À cette époque, intégrer des fonctionnalités de sécurité dans les postes électriques n'était pas une nécessité.

Le nouveau poste se base sur la norme IEC 61850, l'architecture de référence de la Commission électrotechnique internationale, qui définit les protocoles de communication pour les appareils électroniques intelligents dans les postes électriques. Il s'agit d'une norme complète qui inclut la sécurisation des technologies OT. Toutefois, elle ne tient pas compte des récents progrès en matière de gestion et de sécurité pour les réseaux IT. C'est pourquoi nous avons voulu aller au-delà du standard de base, en automatisant la gestion de notre infrastructure IT et en segmentant notre réseau de données en sections aussi petites que possible. Dans certains cas, cela signifie n'autoriser qu'un seul hôte sur un segment de réseau.

Pourquoi opter pour des segments aussi petits ? C'est simple. En cas de problème technique ou de détection de mouvement latéral, nous pouvons isoler uniquement le segment concerné sans affecter le reste du réseau. En cas de panne à l'échelle du système, nous pouvons restaurer en priorité les hôtes ou segments les plus critiques, avant de nous occuper des systèmes secondaires. Ce niveau de segmentation nous permet également d'ajuster l'accès à l'infrastructure OT au niveau du poste électrique. Nous pouvons définir des règles de pare-feu et des privilèges d'accès pour des hôtes spécifiques, créant ainsi des « air gaps » qui isolent les segments du réseau du poste électrique de notre réseau principal et du monde extérieur.

En augmentant nos capacités d'automatisation, nous évitons les erreurs humaines, qui entraînent souvent des problèmes de sécurité. D'ailleurs, l'automatisation est essentielle pour gérer un grand nombre de périphériques et de configurations, et elle permet de réagir plus rapidement lorsque nous détectons une activité suspecte.

Un partenariat pour l'avenir

Pour notre nouveau site de Rothenburg, nous avions besoin d'un équipement réseau OT capable de fonctionner correctement dans l'environnement clos du poste électrique, ainsi que d'outils IT offrant une protection robuste contre les menaces extérieures. Nous voulions renforcer et simplifier la gestion du réseau tout en améliorant la sécurité, l'optimisation et l'automatisation. Le cycle de vie d'un poste électrique est de 10 à 15 ans, nous avions donc également besoin de matériel et de logiciels durables.

Après avoir dessiné une première version des plans du poste électrique, nous nous sommes mis en quête d'un partenaire en mesure de nous aider à réaliser notre projet. Notre fournisseur de l'époque ne proposait aucune offre suffisamment robuste pour notre projet, et ses connaissances en technologies réseau se bornaient aux technologies opérationnelles des postes électriques. C'est alors qu'un autre fournisseur d'électricité nous a recommandé Netcloud AG, un fournisseur de services IT suisse doté d'une vaste expertise dans les réseaux d'entreprises, la cybersécurité et l'optimisation de l'infrastructure.

Suite à nos premières discussions avec Netcloud AG, nous avons compris que cette entreprise disposait de l'expérience nécessaire pour nous aider à concrétiser notre projet. L'équipe de Netcloud AG ne s'est pas contentée d'examiner nos plans. Elle a analysé la situation dans son ensemble, cherchant les failles potentielles dans notre infrastructure réseau et notre sécurité. Après avoir soigneusement étudié nos besoins, Netcloud AG nous a suggéré de travailler avec Cisco.

Nous travaillions déjà depuis longtemps avec Cisco pour notre réseau principal, et Netcloud AG nous a montré que Cisco était également le partenaire qu'il nous fallait pour l'étendre à ce nouveau poste électrique. Le géant des réseaux proposait un large éventail de solutions parfaitement adaptées à la sécurité OT et à l'automatisation. Nous savions également que les produits Cisco étaient extrêmement fiables, faciles à mettre à niveau, incroyablement flexibles et parfaitement adaptés au long cycle de vie de nos postes électriques. En élargissant notre environnement Cisco pour inclure des solutions de réseau et de sécurité industrielles et OT, nous étions sûrs de pouvoir développer une configuration durable.

Construction de l'infrastructure du poste électrique à l'aide des solutions OT et IoT de Cisco

Les ingénieurs de CKW AG ont travaillé avec l'équipe Netcloud AG pour créer et déployer une solution de poste électrique à l'aide des technologies Cisco. Nous avons commencé par Cisco Secure Firewall Management Center pour unifier et rationaliser la gestion des pare-feu, le contrôle des applications, la détection des intrusions et le contrôle des ports et des protocoles. Nous avons construit notre poste autour d'un pare-feu Cisco Secure Firewall ISA 3000, une appliance Internet spécialement conçue pour les applications de sécurité OT et IoT. Tout ou presque était configuré et testé en laboratoire, puis transféré sur le site de l'installation haute tension. Une grande partie du travail était effectuée à distance, donc l'équipe Netcloud AG n'avait pas besoin de se rendre souvent sur site.

L'ISA 3000 est conforme à la norme IEC 61850 et offre une visibilité et un contrôle complets sur les protocoles et les applications industriels pour de nombreux fournisseurs d'automatisation, notamment Omron, Rockwell, GE, Schneider et Siemens. Il exploite également Cisco Talos pour protéger les équipements OT non corrigés.

Nous avons associé l'ISA 3000 à Cisco ASA-5500-X avec fonctionnalités FirePOWER, le premier pare-feu de nouvelle génération axé sur les menaces qui bloque les cyberattaques avancées. Sur les sites centraux (data centers), nous utilisons déjà Cisco ASA-5500-X. Par défaut, la mise en réseau de l'ISA 3000 via le réseau de transit avec le pare-feu Cisco ASA-5500X est coupée et elle n'est activée par le relais matériel qu'en cas de besoin. Les messages syslog de l'ISA 3000 sont envoyés à Cisco CSM via une diode de données. Cela garantit la surveillance continue du système.

Ensuite, nous avons ajouté les commutateurs Cisco IE (Industrial Ethernet) 4000 et 4010 pour les interfaces Gigabit Ethernet de couche 2 et de couche 3. Ces commutateurs sont gérés de manière centralisée via Cisco DNA Center et servent également de nœuds SD-Access.

Enfin, nous avons déployé Cisco Secure Network Analytics au sein de notre réseau principal. À mesure que nous nous familiariserons avec la solution et que nous déploierons Secure Network Analytics dans nos postes électriques courant 2022, nous obtiendrons une visibilité totale sur l'infrastructure de nos postes, une télémétrie avancée et une segmentation plus intelligente du réseau. Quand le pare-feu ISA 3000 est connecté au réseau principal, Secure Network Analytics vérifie les connexions respectives.

Nous avons également acheté Cisco Identity Services Engine (ISE) pour le contrôle logiciel des accès au réseau. Le moteur Cisco ISE fournit les services d'authentification, d'autorisation et de traçabilité (AAA) pour la technologie de contrôle dans les postes électriques. Le réseau est segmenté de manière statique avec un VLAN et le pare-feu ISA 3000 contrôle les transitions réseau. Un IDS tiers fournit des analyses des terminaux d'IA dans les postes électriques et surveille tous les contrôles de flux sur le réseau. Le principal avantage de Cisco ISE est qu'il fournit tous les services AAA. Nous pouvons donc mettre en œuvre à la fois la méthode d'authentification MAB et des contrôles d'accès basés sur des certificats. En outre, Cisco ISE est utilisé comme serveur Radius pour le contrôle d'accès en fonction des rôles des utilisateurs (RBAC), que nous pouvons entièrement implémenter. Ce moteur dispose de toutes les fonctions nécessaires pour fournir des services AAA complets dans les postes électriques à mesure qu'ils évoluent.

Résultat : nous disposons d'une solution monofournisseur qui offre une visibilité accrue sur le réseau de nos postes, un contrôle amélioré de l'infrastructure OT et IT et un environnement évolutif avec des normes de cybersécurité renforcées.

En travaillant avec un seul fournisseur comme Cisco, nous savons à qui nous adresser en cas de problème. Il y a plusieurs avantages à travailler avec un géant du secteur qui exerce depuis plusieurs dizaines d'années. Nous sommes notamment sûrs que Cisco ne risque pas de disparaître du jour au lendemain, contrairement à certains petits fournisseurs.

Construire le réseau électrique de demain en Suisse

Je suis fier que CKW AG soit le premier distributeur d'électricité en Europe à construire l'infrastructure de ses postes électriques autour des produits Cisco, et je suis convaincu que d'autres entreprises suivront cet exemple. Nous avons récemment présenté notre réseau de postes électriques lors d'une conférence à Berlin, et mes homologues du secteur ont été épatés par nos résultats. Ils n'avaient encore jamais vu de configuration monofournisseur capable d'intégrer de manière transparente la gestion de l'OT et de l'IT, la segmentation et l'automatisation des postes électriques.

CKW AG a fait le pari de s'associer à des entreprises qui n'utilisent pas exclusivement les technologies IEC 61850, et nos efforts collectifs ont payé. Nous avons déjà déployé un deuxième poste électrique basé sur les technologies Cisco et nous en prévoyons 10 de plus. Avec l'aide de Cisco et de Netcloud AG, nous innovons sur le marché de la distribution d'électricité en Suisse.