Le 31 mai 2025, le Règlement sur la gestion de la sécurité des infrastructures essentielles de l’Alberta (le Règlement) entrera en vigueur et devrait modifier les exigences de sécurité existantes pour les infrastructures de ressources essentielles en Alberta. Notamment, les installations d’infrastructures essentielles désignées comme telles par l’organisme de réglementation de l’énergie de l’Alberta seront tenues de se conformer à la norme CSA Z246.1 : Gestion de la sécurité des systèmes de l’industrie pétrolière et gazière publiée par l’Association canadienne de normalisation, avec ses modifications ou ses remplacements de temps à autre (la norme CSA).
Auparavant, les critères de sécurité pour l’infrastructure des ressources essentielles étaient établis conformément au plan de gestion de crise antiterroriste de l’Alberta en vertu de la Loi sur la gestion des urgences. En vertu du Règlement, la norme CSA fournira désormais de tels critères; et les installations essentielles doivent s’y conformer.
Publiée par le Groupe CSA, anciennement connu sous le nom d’Association canadienne de normalisation, la norme CSA établit des critères pour les programmes de gestion de la sécurité dans l’industrie pétrolière et gazière. Ces normes sont généralement mises à jour par le Groupe CSA tous les quatre ans, et la plus récente édition a été publiée en 2021. Ces critères visent directement plusieurs domaines de sécurité, notamment :
La plus récente édition de la norme CSA adopte certaines exigences en matière de cybersécurité. En ce qui concerne ces exigences, la norme CSA stipule que les mesures de cybersécurité doivent refléter la « caractérisation et le risque des actifs des technologies de l’information et des systèmes de contrôle industriel qui doivent être protégés ».
Entermes simples, la norme CSA semble prescrire que les installations essentielles doivent tenir compte de la nature des « actifs de technologie de l’information et de systèmes de contrôle industriel » utilisés dans l’installation essentielle et mettre en œuvre des mesures en conséquence. La norme CSA énumère, entre autres, les éléments suivants à prendre en considération dans la réalisation de la présente évaluation : (1) un inventaire du matériel et des logiciels autorisés; (2) la façon dont les systèmes de technologie de l’information et de contrôle industriel sont zonés et séparés les uns des autres; (3) la façon dont les hôtes des systèmes de technologie de l’information et de contrôle industriel sont configurés selon une base de référence qui réduit la surface d’attaque; et (4) si des méthodes de prévention et de détection des intrusions sont installées et surveillées.
Le Règlement permet à l’Alberta Energy Regulator : (1) de vérifier les programmes de gestion de la sécurité des installations essentielles; et (2) de fermer ou de fermer une installation essentielle en cas de non-conformité.
Les exigences de sécurité décrites ci-dessus s’appliquent à toute installation ou infrastructure industrielle qui a été : (1) désignée comme « installation essentielle » par l’Alberta Energy Regulator; et (2) inscrite sur sa « liste des infrastructures essentielles ». Le Règlement élargit les types d’installations qui peuvent être désignées comme des installations essentielles. Par conséquent, les installations qui pourraient maintenant être placées sur la liste des infrastructures essentielles comprennent :
Les facteurs pertinents pour la désignation des installations essentielles comprennent la taille, le type et l’emplacement d’une installation, ainsi que son débit et son interdépendance avec d’autres infrastructures.
Notamment, la liste des infrastructures essentielles doit demeurer confidentielle, mais les installations doivent être avisées si elles y figurent.
L’entrée en vigueur du Règlement représente un changement important à la réglementation des installations essentielles en Alberta. Par conséquent, ces installations doivent s’assurer de mettre en œuvre et de maintenir un programme de gestion de la sécurité qui, entre autres, tient compte de la mesure dans laquelle les technologies de l’information et les systèmes de contrôle industriel sont importants pour leur fonctionnement.
Si vous souhaitez discuter de la façon dont votre organisation est prête à se conformer au Règlement, nous vous invitons à communiquer avec l’un des auteurs.