Site icon informatique Industrielle & IIoT

IEC 62443 : la norme incontournable pour la cybersécurité industrielle

Norme IEC 62443

Longtemps perçus comme limités à des secteurs sensibles comme la défense, l’énergie ou le nucléaire, les cyber-risques touchent aujourd’hui tous les réseaux qu’ils soient opérationnels (OT), ou du système informatique (IT) indépendamment de leur domaine.

La convergence croissante entre technologies opérationnelles et systèmes informatiques (IT) amplifie cette vulnérabilité en élargissant les surfaces d’attaque.

Dans ce contexte, la norme IEC 62443 se distingue comme un cadre clé pour sécuriser les systèmes d’automatisation et de contrôle industriels, en tenant compte des spécificités des environnements OT. Celle-ci est définie par la Commission électrotechnique internationale (CEI ou IEC pour International Electrotechnical Commission).Elle se veut complémentaire à l’ISO 27001, qui gère la sécurité au niveau organisationnel.

La IEC 62443 cible la protection technique des composants et systèmes industriels, offrant ainsi une approche plus globale de la cybersécurité.

La directive européenne NIS2 renforce cette dynamique en imposant des exigences aux opérateurs d’infrastructures critiques. La IEC 62443 fournit une solide base pour répondre à ces obligations et s’inscrit dans une stratégie holistique intégrant IT et OT, essentielle face à des cybermenaces croissantes.

Qu’est-ce que IEC 62443 ?

La norme IEC 62443 fournit des directives pour sécuriser les systèmes d’automatisation et de contrôle industriels (IACS) tout au long de leur cycle de vie, de la conception à la mise hors service.

Elle définit des critères de sécurité stricts pour les composants technologiques critiques, tels que les dispositifs embarqués, les infrastructures réseau, les logiciels et les systèmes hôtes, afin de garantir leur intégrité et leur protection contre les cybermenaces.

IEC 62443 en détails

La norme IEC 62443 couvre la cybersécurité des réseaux de communication industriels et des systèmes d’automatisation (IACS), répartie en quatre grandes sections :

Dans les environnements industriels, la cybersécurité doit être mise en œuvre tout en garantissant la fiabilité opérationnelle. C’est une exigence clé qui est bien prise en compte par cette norme quand on sait combien peut coûter un arrêt de production.

Zones, canaux et niveaux de risque

L’IEC 62443 recommande de définir les zones et canaux de l’infrastructure industrielle, d’évaluer les niveaux de risque associés et d’appliquer des mesures de sécurité adaptées :

Exemple de l’avantage de l’IEC 62443-4-2 contre l’attaque de la chaîne d’approvisionnement

La norme IEC 62443-4-2 joue un rôle clé dans la protection contre les attaques de la chaîne d’approvisionnement, qui exploitent les failles des fournisseurs pour infiltrer les systèmes d’une entreprise. En définissant des contrôles de sécurité rigoureux pour la conception et l’intégration des composants industriels, cette norme vise à prévenir et détecter les vulnérabilités avant qu’elles ne soient exploitées.

Ainsi, des mécanismes de vérification de l’authenticité et de l’intégrité des composants permettent de limiter les risques liés à l’introduction de composants compromis dans le système.

Elle renforce la résilience des chaînes logistiques en équilibrant cybersécurité et continuité opérationnelle, tout en assurant l’intégrité des opérations industrielles face à des menaces ou crises imprévues. Cela n’exclue en aucun cas l’importance de la définition de Plans de Reprise d’Activités (PRA) ou Plan de Continuité d’Activité (PCA).

Les 7 exigences fondamentales de l’IEC 62443

Pour chaque zone, les mesures de sécurité incluent :

Cette approche garantit une cybersécurité efficace tout en préservant la continuité des opérations industrielles.

« Cyber infections » industrielle historiques

BlackEnergy (2015)

C’est un malware qui a été déployé pour accéder à distances à des systèmes et réseaux SCADA et ainsi compromettre des équipements critiques. Il a causé une perturbation majeure de la distribution électrique en Ukraine, entraînant des pannes à grande échelle et démontrant la vulnérabilité de ces infrastructures critiques.

Triton (2017)

Triton a ciblé des systèmes de sécurité industrielle (SIS) dans des installations pétrochimiques pour modifier ou désactiver des protections critiques, exposant des risques importants pour la sécurité physique et environnementale.

Il en existe de nombreuses autres comme Stuxnet, l’attaque contre les infrastructures d’eau potable en Floride, ou encore l’attaque Colonial Pipeline aux Etats unis. Autant d’attaques qui ont principalement touchées des infrastructures industrielles.

Pourquoi la norme IEC 62443-4-2 est-elle importante ?

Face à l’augmentation des cyberattaques visant les infrastructures critiques (réseaux électriques, usines, stations d’eau), la norme IEC 62443-4-2 fournit un cadre commun pour sécuriser les systèmes d’automatisation et de contrôle industriels (IACS).

Elle guide la gestion des composants IACS tout au long de leur cycle de vie, en couvrant les mises à jour logicielles, la gestion des correctifs et les processus de fin de vie. La norme impose également des audits réguliers et des évaluations des risques pour garantir une sécurité tout au long de son existence.

L’IEC 62443-4-2 dépeint l’intégration sécurisée de technologies émergentes comme l’IoT et l’IA, prenant en compte la protection des secteurs clés tels que la santé, le transport, l’énergie et la gestion de l’eau. Pour obtenir la certification, les composants doivent respecter ses exigences, souvent alignées sur la norme 62443-4-1 dédiée au cycle de vie sécurisé des produits.

Enfin, cette norme à également pour objectif de renforcer la confiance des utilisateurs finaux et offre un avantage concurrentiel, prouvant une posture proactive en cybersécurité, essentielle pour les secteurs où fiabilité et sécurité sont critiques. Demain, avec l’avènement de NIS2 et de la CRA (Cyber Resilience Act), nombre de secteurs se trouveront impactés par ces standards.

Quitter la version mobile