Préface
Ce document constitue la deuxième édition de CSA N290.7, Cybersécurité des installations nucléaires. Il remplace l’édition antérieure publiée en 2014 sous le titre Cybersécurité pour les centrales nucléaires et les installations dotées de petits réacteurs. Les modifications apportées à cette édition incluent :
a) remplacement du terme « vulnérabilité » par le terme « sensibilité » ;
b) remplacement de l’article 7 précédent (Architecture de cybersécurité) par un nouvel article 7 (Architecture de cybersécurité défensive) qui définit un concept d’architecture de cybersécurité défensive basé sur des regroupements (appelés zones) d’actifs cybernétiques ayant les mêmes exigences ou des exigences similaires en matière de sécurité informatique ;
c) révision de l’article 8 (Contrôles de sécurité) pour améliorer les critères d’applicabilité du contrôle des BÉE (élimination du tableau 1) en réponse à l’expérience de l’industrie avec l’édition antérieure ;
d) amélioration des exigences de la chaîne d’approvisionnement dans l’article 9 (Gestion du cycle de vie) ;
e) inclusion d’un nouvel article 10 (Réponse aux incidents de cybersécurité); et
f) suppression de l’ancienne annexe A (Définitions des contrôles de la cybersécurité) et inclusion du contenu applicable dans le corps de la norme en tant que lignes directrices.
Les normes CSA de la série N fournissent un ensemble interrelié d’exigences relatives à la gestion des installations et des activités nucléaires. CSA N286 énonce les directives générales de gestion pour élaborer et mettre en oeuvre de saines pratiques de gestion et mesures de contrôle; les autres normes CSA du secteur nucléaire stipulent les exigences techniques et les lignes directrices relatives au système de gestion. Cette norme doit être utilisée de concert avec CSA N286. Elle ne reproduit pas les exigences générales de CSA N286, mais peut fournir des directives plus précises relatives à ces exigences.
Cette norme reflète l’expérience en matière d’exploitation de l’industrie nucléaire canadienne.
Les utilisateurs de cette norme sont priés de se rappeler que la conception, la fabrication, la construction, la mise en service, l’exploitation et le déclassement des installations nucléaires au Canada sont assujettis à la Loi sur la sûreté et la réglementation nucléaires et à ses règlements d’application.
Groupe CSA tient à remercier Jacques Plourde qui a bien voulu effectuer la vérification de l’exactitude technique de la version française de cette norme.
La version française de cette norme a été préparée par Groupe CSA, d’après l’édition anglaise publiée en octobre 2021, laquelle a été élaborée par le Sous-comité sur la cybersécurité des installations nucléaires, sous l’autorité du Comité technique sur les systèmes de contrôle des réacteurs, les systèmes de sûreté et l’instrumentation des centrales nucléaires, et du Comité directeur stratégique sur les normes nucléaires.
Domaine d’application
1.1
Cette norme couvre la cybersécurité des centrales nucléaires et des installations dotées de petits réacteurs, qu’elles soient nouvelles ou existantes.
Note : Cette norme peut fournir des directives pour des installations nucléaires autres que des centrales nucléaires et des installations dotées de petits réacteurs, en adoptant une approche graduelle fondée sur les risques.
1.2
Cette norme concerne la cybersécurité des systèmes et composants qui effectuent ou ont un impact sur :
a) des fonctions importantes pour la sûreté nucléaire ;
b) des fonctions de sécurité nucléaire ;
c) des fonctions de préparation aux situations d’urgence ;
d) des fonctions de protection ; et
e) des fonctions auxiliaires qui, si elles sont compromises, exploitées ou défectueuses, pourraient avoir un impact négatif sur les alinéas a), b), c) ou d).
Note : Cette norme peut s’appliquer à d’autres fonctions, telles que celles liées à la fiabilité de la production.
1.3
Cette norme concerne la sécurisation des biens électroniques essentiels en vue de les protéger contre les cyberattaques entraînant une dégradation ou une perte de la capacité à remplir la fonction pour laquelle ils ont été conçus, la compromission de leur disponibilité et de leur intégrité, ainsi que la perte de confidentialité des informations qu’ils stockent, traitent ou transmettent.
1.4
Cette norme ne s’applique pas aux systèmes de l’entreprise (p. ex., gestion du travail) ni aux systèmes d’ingénierie hors ligne, sauf pour les systèmes de l’entreprise qui font partie de l’environnement de développement sécurisé au moment de l’élaboration.
1.5
Dans cette norme, le terme « doit » indique une exigence, c’est-à-dire une prescription que l’utilisateur doit respecter pour assurer la conformité à la norme ; « devrait » indique une recommandation ou ce qu’il est conseillé mais non obligatoire de faire ; et « peut » indique une possibilité ou ce qu’il est permis de faire.
Les notes qui accompagnent les articles ne comprennent pas de prescriptions ni de recommandations. Elles servent à séparer du texte les explications ou les renseignements qui ne font pas proprement partie de la norme.
Les notes au bas des figures et des tableaux font partie de ceux-ci et peuvent être rédigées comme des prescriptions.
Les annexes sont qualifiées de normatives (obligatoires) ou d’informatives (facultatives) pour en préciser l’application.
Demander des autorisations de copyright
