Ce cours examinera les infrastructures d'eau potable et d'électricité, ainsi que les différentes politiques qui ont été développées pour aider à guider et à renforcer leurs programmes de cybersécurité. Les infrastructures d'eau potable et d'électricité sont deux des quatorze sous-secteurs qui composent ce que l'on appelle les "infrastructures de base". Le plan national de protection des infrastructures de 2013 identifie quatre secteurs d'infrastructures de base : 1) l'eau, 2) l'énergie, 3) les transports et 4) les communications. Ces secteurs sont qualifiés de "vitaux" parce que de nombreuses autres infrastructures en dépendent. Le sous-secteur de l'eau potable fait partie du secteur de l'eau, et le sous-secteur de l'électricité fait partie du secteur de l'énergie. Ces deux sous-secteurs sont supervisés par la Direction des programmes et de la protection nationale du ministère de la sécurité intérieure, qui gère le programme national de protection des infrastructures du ministère de la sécurité intérieure. Le NIPP utilise un programme d'amélioration continue en cinq étapes appelé "Risk Management Framework" (cadre de gestion des risques). La mise en œuvre du NIPP est supervisée par des agences sectorielles désignées par le DHS et composées de membres du personnel de divers départements fédéraux. Les agences sectorielles travaillent en coopération volontaire avec des représentants de l'industrie pour appliquer le cadre de gestion des risques et documenter les résultats dans les plans sectoriels correspondants. Le programme a débuté en 2007 et les plans sectoriels les plus récents ont été publiés en 2016. En février 2013, le président Obama a publié le décret 13636 demandant au National Institute of Standards and Technology d'élaborer une série de recommandations volontaires pour renforcer les mesures de cybersécurité des infrastructures. L'EO13636 demandait également aux agences fédérales dotées d'un pouvoir réglementaire de formuler une recommandation sur la nécessité de rendre obligatoire le cadre de cybersécurité du NIST. L'Environmental Protection Agency, qui est à la fois la SSA et l'autorité de régulation pour le sous-secteur de l'eau potable, a recommandé l'application volontaire du cadre de cybersécurité du NIST. Le ministère de l'énergie, qui est à la fois la SSA et l'autorité de régulation du sous-secteur de l'électricité, a répondu qu'il mettait déjà en œuvre le modèle de maturité des capacités de cybersécurité du sous-secteur de l'électricité, sur lequel le cadre de cybersécurité du NIST est basé. Le ministère de l'énergie, quant à lui, a recommandé l'application volontaire du modèle ES-C2M2. Ce module examine les sous-secteurs de l'eau potable et de l'électricité, ainsi que les éléments et l'application du cadre de cybersécurité du NIST et du modèle ES-C2M2.