IEC 62443 (ISA-99), cybersecurite des systemes industriels
Guide, IEC 62443
IEC 62443 est la reference internationale pour la cybersecurite des systemes d'automatisation et de controle industriels (IACS, Industrial Automation and Control Systems). Nee en 2002 sous le nom ISA-99 au sein de l'International Society of Automation (ISA), la serie a ete transferee a partir de 2007 sur un rail conjoint ISA/IEC au sein de l'IEC TC 65 / WG 10 et est publiee aujourd'hui sous la forme de la famille multi-parties IEC 62443. La serie s'adresse aux proprietaires d'actifs, aux integrateurs systeme et aux fabricants de composants, autour d'un meme chassis conceptuel : zones et conduits, Security Levels (SL 0 a 4) et sept exigences fondamentales. Ce guide parcourt la structure de la serie, les parties cles en detail, le modele SL et FR, le role de 62443-4-1 pour les developpeurs de composants, l'ecosysteme de certification (ISASecure, TUV Rheinland, TUV SUD, DEKRA), les accroches reglementaires (NIS 2, CRA, NERC CIP, NIST SP 800-82r3) et les pieges recurrents.
D'ISA-99 a IEC 62443
Section intitulée « D'ISA-99 a IEC 62443 »ISA-99 a ete lancee en 2002 par l'ISA, comme premier standard dedie a la cybersecurite industrielle, a une epoque ou les cadres de securite IT (ISO/IEC 17799, puis ISO/IEC 27001) ne traitaient pas des specificites du controle de procedes. Les premiers documents ISA-99 ont introduit le concept de zones et de conduits, et l'idee que la disponibilite et la securite des personnes en environnement OT priment souvent sur la confidentialite.
A partir de 2007, la serie a ete transferee sur un rail conjoint ISA/IEC. Le Comite technique IEC 65 (Mesure, commande et automation des processus industriels) et son Working Group 10 ont repris le developpement, l'ISA conservant la co-redaction. La numerotation est passee a IEC 62443-x-y, et la serie est devenue multi-parties par construction, chaque partie traitant un public et un perimetre definis.
Aujourd'hui, le label ISA-99 est surtout historique. Les parties actives sont publiees sous la designation IEC 62443 et forment un corpus coherent, meme si les parties individuelles sont a des etats de revision differents (certaines en revision, certaines recemment mises a jour, certaines stables).
Structure de la serie IEC 62443
Section intitulée « Structure de la serie IEC 62443 »La serie est organisee en quatre groupes, par public et perimetre.
| Groupe | Public | Perimetre |
|---|---|---|
| 62443-1-x | Tous les acteurs | Concepts generaux, terminologie, cycle de vie, glossaire maitre |
| 62443-2-x | Proprietaire d'actifs, prestataire de services | Politiques, procedures, programme de securite |
| 62443-3-x | Integrateur systeme | Exigences niveau systeme, zones et conduits, Security Level systeme |
| 62443-4-x | Fabricant de composant | Exigences niveau composant, SDL, exigences techniques composant |
Ce decoupage est deliberement segmente : un proprietaire d'actifs exploitant une raffinerie, un integrateur systeme livrant une architecture de controle et un vendeur de composant commercialisant un PLC ne consomment pas les memes exigences. Chaque acteur lit la partie 62443 qui le concerne et renvoie aux autres par voie contractuelle.
Parties cles en detail
Section intitulée « Parties cles en detail »Les parties suivantes forment l'ossature pratique de tout programme 62443.
| Partie | Titre (abrege) | Edition | Public |
|---|---|---|---|
| 62443-1-1 | Terminologie, concepts et modeles | 2009 (revision en DIS, attendue 2025) | Tous |
| 62443-2-1 | Exigences programme de securite pour proprietaires IACS | 2024 (remplace l'edition 2010) | Proprietaire d'actifs |
| 62443-2-4 | Exigences programme de securite pour prestataires IACS | 2015 + A1:2017 | Prestataire, integrateur |
| 62443-3-2 | Evaluation de risque pour la conception systeme | 2020 | Integrateur, proprietaire |
| 62443-3-3 | Exigences de securite systeme et security levels | 2013 | Integrateur systeme |
| 62443-4-1 | Exigences de cycle de developpement securise produit | 2018 | Fabricant de composant |
| 62443-4-2 | Exigences techniques de securite pour composants IACS | 2019 | Fabricant de composant |
La combinaison 62443-3-2 + 62443-3-3 + 62443-4-1 + 62443-4-2 est ce que la plupart des programmes de certification evaluent en pratique.
Security Levels (SL 0 a 4)
Section intitulée « Security Levels (SL 0 a 4) »L'echelle des Security Levels modelise la force de la menace que le systeme ou le composant est cense supporter. Elle s'applique par exigence fondamentale (voir section suivante).
| Niveau | Modele de menace |
|---|---|
| SL 0 | Aucune protection specifique requise contre violation intentionnelle |
| SL 1 | Protection contre violation accidentelle ou fortuite |
| SL 2 | Protection contre violation intentionnelle par moyens simples, ressources limitees, competences generiques, motivation faible |
| SL 3 | Protection contre violation intentionnelle par moyens sophistiques, ressources moderees, competences specifiques IACS, motivation moderee |
| SL 4 | Protection contre violation intentionnelle par moyens sophistiques, ressources etendues, competences specifiques IACS, motivation elevee (typiquement etatique) |
Chaque SL se decline en trois variantes :
- SL-T (Target, cible) : le niveau requis par conception, fixe pendant l'analyse de risque 62443-3-2 par zone et par FR.
- SL-C (Capability, capacite) : le niveau qu'un systeme ou un composant est capable de soutenir dans un deploiement correctement configure.
- SL-A (Achieved, atteint) : le niveau effectivement atteint dans l'environnement deploye, en tenant compte de la configuration, des controles compensatoires et de la pratique operationnelle.
Une erreur courante en communication commerciale consiste a afficher un SL-C comme s'il s'agissait d'un SL-A. Les deux ne sont pas equivalents : SL-C est une propriete du produit, SL-A est une propriete du systeme deploye.
Exigences fondamentales (FR 1 a FR 7)
Section intitulée « Exigences fondamentales (FR 1 a FR 7) »Les sept exigences fondamentales structurent toutes les exigences techniques de securite a travers les standards systeme et composant.
| FR | Nom | Sujet |
|---|---|---|
| FR 1 | Identification and Authentication Control (IAC) | Qui ou quoi agit sur le systeme |
| FR 2 | Use Control (UC) | Ce que cet acteur est autorise a faire |
| FR 3 | System Integrity (SI) | Integrite du code, des donnees et du procede |
| FR 4 | Data Confidentiality (DC) | Protection des donnees en transit et au repos |
| FR 5 | Restricted Data Flow (RDF) | Segmentation, controle des conduits |
| FR 6 | Timely Response to Events (TRE) | Journalisation, monitoring, alerte |
| FR 7 | Resource Availability (RA) | Resilience contre deni de service, modes degrades |
62443-3-3 (systeme) et 62443-4-2 (composant) organisent toutes deux leurs exigences detaillees sous ces sept FR, ce qui rend les deux standards coherents et tracables. Un composant declarant SL-C 2 sur FR 1 signifie qu'il met en oeuvre les exigences techniques listees sous FR 1 dans 62443-4-2 au niveau SL 2.
Modele zones et conduits (62443-3-2)
Section intitulée « Modele zones et conduits (62443-3-2) »Le modele zones et conduits est la pierre angulaire de la pensee systeme 62443. Son principe est direct.
- Zone : un groupe d'actifs qui partagent les memes exigences de securite (par exemple, la zone du systeme instrumente de securite, la zone du controle de procede de base, la zone des stations d'ingenierie).
- Conduit : un canal de communication entre zones, avec des flux controles et documentes (par exemple, le conduit entre la zone d'ingenierie et la zone de controle pour les telechargements).
- Analyse de risque : par zone et par FR, avec un SL-T documente.
- Risque residuel : explicitement accepte par le proprietaire d'actifs, avec les controles compensatoires decrits.
L'architecture de reference Purdue (modele de Purdue, ISA-95) est la reference historique de segmentation reseau qui ancre la logique zones/conduits dans la plupart des installations : niveau 0 (procede physique), niveau 1 (controle de base), niveau 2 (supervision), niveau 3 (operations de production), niveaux 4 et 5 (IT entreprise). 62443 n'impose pas Purdue, mais la plupart des definitions de zones credibles en proces continu et discret y reviennent.
Cycle de developpement securise produit, 62443-4-1
Section intitulée « Cycle de developpement securise produit, 62443-4-1 »Pour un fabricant de composant (vendeur de PLC, de variateur, de RTU, de passerelle de bord), 62443-4-1 est la porte d'entree. Il definit un Secure Product Development Lifecycle (SDL) organise en huit domaines de pratique.
| Code | Pratique | Sujet |
|---|---|---|
| SM | Security Management | Gouvernance, roles, formation, controle fournisseur |
| SR | Specification of Security Requirements | Modele de menace, objectifs de securite, specification des exigences |
| SD | Secure by Design | Architecture, defense en profondeur, reduction de la surface d'attaque |
| SI | Secure Implementation | Standards de codage, bibliotheques securisees, revue par les pairs |
| SVV | Security Verification and Validation Testing | Analyse statique, analyse dynamique, fuzzing, tests d'intrusion |
| DM | Defect Management | Suivi de vulnerabilites, analyse de cause racine, cycle de correctifs |
| SUM | Security Update Management | Livraison de patchs, notification client, politique de fin de support |
| SG | Security Guidelines | Guides de durcissement, documentation de configuration securisee pour l'utilisateur |
Chaque pratique est declinee en exigences specifiques avec preuves obligatoires : enregistrements de processus, documents de conception, rapports d'essai, base de defauts. Un audit 62443-4-1 consomme ces preuves des le debut ; l'absence de SUM ou de DM est une cause frequente de non-conformite en premier audit.
Exigences techniques composant, 62443-4-2
Section intitulée « Exigences techniques composant, 62443-4-2 »62443-4-2 mappe les sept exigences fondamentales sur quatre types de composants, chacun avec des Component Requirements (CR), des Requirement Enhancements (RE) et des profils par SL.
| Type | Exemples |
|---|---|
| Software Application (SA) | Suite SCADA, logiciel HMI, serveur historian |
| Embedded Device (ED) | PLC, controleur de securite, variateur, capteur intelligent, RTU |
| Host Device (HD) | Station d'ingenierie, serveur d'application, PC industriel |
| Network Device (ND) | Pare-feu industriel, switch administre, passerelle, routeur securise |
Pour chaque type, 62443-4-2 liste quelles exigences s'appliquent a chaque SL et quels Requirement Enhancements relevent le niveau. Un vendeur declarant SL-C 3 sur FR 1 pour un Embedded Device doit demontrer que toutes les CR et RE applicables de FR 1 sont implementees jusqu'a ce niveau. C'est le corpus de preuves qu'evalue ISASecure CSA.
Programmes de certification
Section intitulée « Programmes de certification »Plusieurs programmes d'evaluation de conformite evaluent par rapport aux parties 62443.
| Programme | Operateur | Perimetre |
|---|---|---|
| ISASecure CSA (Component Security Assurance) | ISCI, ISA Security Compliance Institute | 62443-4-1 + 62443-4-2, par type de composant |
| ISASecure SSA (System Security Assurance) | ISCI | Niveau systeme 62443-3-3, avec analyse de risque 62443-3-2 |
| ISASecure SDLA (Security Development Lifecycle Assurance) | ISCI | Audit de processus SDL 62443-4-1 |
| ISASecure ACSSA (Automation Control System Security Assurance) | ISCI | Niveau site, audit du programme proprietaire d'actifs, lie a 62443-2-1 |
| TUV Rheinland 62443 | TUV Rheinland | 62443-4-1, 62443-4-2, 62443-3-3 |
| TUV SUD 62443 | TUV SUD | 62443-4-1, 62443-4-2, 62443-3-3 |
| DEKRA 62443 | DEKRA | 62443-4-1, 62443-4-2 |
| Bureau Veritas 62443 | Bureau Veritas | 62443-4-1, 62443-4-2 |
ISASecure est le programme historique, opere par l'ecosysteme du proprietaire de la norme (ISA / ISCI). Les organismes notifies europeens et les laboratoires tiers (TUV Rheinland, TUV SUD, DEKRA, Bureau Veritas) ont construit des offres de certification 62443 paralleles, souvent en conjonction avec CE-RED, EN 18031 ou la preparation au CRA. Le choix est typiquement guide par le marche de destination et les relations fournisseur existantes.
Accroches reglementaires
Section intitulée « Accroches reglementaires »IEC 62443 n'est pas directement mandate par nom dans la plupart des reglementations, mais c'est la reference de fait pour le perimetre IACS dans plusieurs cadres reglementaires.
UE, Directive NIS 2
Section intitulée « UE, Directive NIS 2 »La Directive (UE) 2022/2555 (NIS 2) est en vigueur depuis octobre 2024. Elle s'applique aux entites essentielles et importantes, incluant les operateurs de systemes industriels dans des secteurs comme l'energie, l'eau, la fabrication de produits critiques, la chimie. NIS 2 impose des mesures de cybersecurite a l'etat de l'art et la notification d'incident. IEC 62443 est une reference reconnue pour les operateurs OT lorsqu'ils justifient leurs mesures techniques et organisationnelles.
UE, Cyber Resilience Act
Section intitulée « UE, Cyber Resilience Act »Le Cyber Resilience Act (Reglement (UE) 2024/2847) devient applicable en decembre 2027. Il fixe les exigences essentielles de cybersecurite pour les Produits comportant des elements numeriques (PDE) mis sur le marche UE. IEC 62443-4-1 et 62443-4-2 sont attendus pour etayer la conformite des composants industriels. Pour le CRA lui-meme, voir Cyber Resilience Act.
US, NERC CIP pour les utilities electriques
Section intitulée « US, NERC CIP pour les utilities electriques »Les standards NERC CIP (CIP-002 a CIP-014) gouvernent la cybersecurite du systeme electrique de masse nord-americain. CIP et 62443 sont conceptuellement alignes : classification des actifs, perimetre de securite electronique, management de la securite systeme, reponse aux incidents. De nombreuses utilities utilisent 62443 comme socle technique de leur programme CIP.
US, NIST SP 800-82r3
Section intitulée « US, NIST SP 800-82r3 »Le NIST SP 800-82 Revision 3, Guide to Operational Technology (OT) Security, publie en 2023, est la reference federale americaine pour la cybersecurite OT. Il croise explicitement IEC 62443 et le catalogue de controles NIST SP 800-53, en fournissant une correspondance pour les operateurs americains qui doivent ponter les deux mondes.
IT (ISO 27001) versus OT (IEC 62443)
Section intitulée « IT (ISO 27001) versus OT (IEC 62443) »Une confusion recurrente en projet est de supposer qu'un Systeme de Management de la Securite de l'Information (ISMS) certifie ISO 27001 couvre le perimetre cybersecurite OT. Ce n'est pas le cas.
| Dimension | ISO 27001 (IT) | IEC 62443 (OT) |
|---|---|---|
| Perimetre principal | Actifs informationnels, infrastructure IT | Systemes d'automatisation et de controle industriels |
| Ordre de priorite | Confidentialite > Integrite > Disponibilite | Securite des personnes > Disponibilite > Integrite > Confidentialite |
| Concept cle | ISMS, controles Annexe A | Zones et conduits, Security Levels, FR |
| Preuves auditees | Politiques, procedures, enregistrements de controle | Analyse de risque, conception systeme, capacite composant |
| Actif typique | Serveur, station de travail, application | PLC, variateur, RTU, controleur de securite |
| Ancrage modele de menace | Fuite de donnees, fraude financiere | Derive de procede, dommage materiel, incident de securite des personnes |
Les deux standards partagent des briques conceptuelles (approche par les risques, gouvernance, catalogue de controles) et sont souvent operes en parallele par les operateurs industriels : ISO 27001 pour le perimetre IT corporate, IEC 62443 pour le perimetre OT. Un ISMS certifie ISO 27001 ne satisfait pas 62443, et reciproquement un certificat composant 62443 ne couvre pas l'IT corporate.
Demarche etape par etape pour un fabricant de composant
Section intitulée « Demarche etape par etape pour un fabricant de composant »La sequence typique pour une entreprise electronique developpant un equipement d'automatisation industrielle (PLC, variateur, RTU, passerelle de bord) qui souhaite entrer sur la voie d'evaluation 62443.
- Definir la classe produit (Software Application, Embedded Device, Host Device, Network Device selon 62443-4-2) et le SL-C cible par FR.
- Monter le SDL selon les huit domaines de pratique 62443-4-1 (SM, SR, SD, SI, SVV, DM, SUM, SG), avec roles, formation et enregistrements de processus.
- Construire le modele de menace et la specification des exigences de securite (pratique SR), avec tracabilite vers les FR au niveau cible.
- Appliquer la conception securisee (SD) : defense en profondeur, reduction de surface d'attaque, secure boot, firmware signe, racine de confiance materielle le cas echeant.
- Implementer et verifier (SI, SVV) : standards de codage, analyse statique et dynamique, fuzzing, tests d'intrusion, avec resultats traces dans la base de defauts (DM).
- Etablir le processus SUM (Security Update Management) : canal de livraison de patchs, notification client, politique de fin de support, mecanisme de mise a jour signee. C'est souvent le domaine le plus faible en premier audit.
- Documenter le SG (Security Guidelines) : guide de durcissement, configuration securisee par defaut, guidance operationnelle pour l'utilisateur.
- Engager un laboratoire tiers (ISASecure, TUV Rheinland, TUV SUD, DEKRA, Bureau Veritas) pour l'audit de processus SDLA (62443-4-1) et l'audit composant CSA (62443-4-2).
- Maintenir le certificat : re-audit sur releases majeures, suivi des rapports de vulnerabilite, application du cycle SUM sur les decouvertes.
- Mapper sur les accroches reglementaires : preparation CRA en UE, preuves NIS 2 pour les operateurs aval, NERC CIP pour les clients utilities electriques nord-americaines, NIST SP 800-82r3 pour les clients federaux americains.
Pour des ordres de grandeur transverses par phase, voir delais de certification.
Pieges frequents
Section intitulée « Pieges frequents »| Piege | Consequence |
|---|---|
| Commencer par les exigences composant 62443-4-2 SL-1 sans realiser au prealable l'analyse de zones et conduits 62443-3-2 | Composant sur- ou sous-dimensionne, pas de justification du SL-T retenu, dossier a refaire |
| Absence de preuves SDL 62443-4-1 (enregistrements de processus, modele de menace, base de defauts) | Audit bloque au stade SDLA, evaluation composant ne peut pas demarrer |
| Confondre SL-C (capacite) et SL-A (atteint) dans les declarations commerciales | Communication trompeuse, litige client, exposition contractuelle |
| Negliger la pratique Security Update Management (SUM) de 62443-4-1 | Pas de processus de patch defendable, exposition reglementaire CRA et NIS 2, plaintes clients |
| Supposer qu'un ISMS ISO 27001 couvre la cybersecurite OT | Perimetre OT non protege, non-conformite NIS 2 sur le perimetre IACS |
| Ignorer la segmentation reseau du modele de Purdue | Definitions de zones non defendables, controles de conduit faibles, audits integrateur en echec |
| Confondre priorites IT et OT (placer la confidentialite au-dessus de la disponibilite et de la securite des personnes) | Controles inappropries (cryptographie lourde sur boucles temps critique, blocage de mises a jour), incidents operationnels |
| Traiter 62443 comme une certification unique | Programme qui se degrade apres le premier audit, surprises a la recertification sur releases majeures |
Aller plus loin
Section intitulée « Aller plus loin »- Cyber Resilience Act : reglementation UE pour les produits comportant des elements numeriques, applicable en decembre 2027
- EN 303 645, cybersecurite IoT grand public : l'equivalent IoT grand public, complementaire de 62443 sur le perimetre industriel
- Robotique industrielle, ISO 10218 et ISO/TS 15066 : volet securite fonctionnelle de l'automatisation industrielle, souvent associe a la cybersecurite 62443
- Common Criteria, ISO/IEC 15408 : cadre generique d'evaluation de securite, parfois invoque conjointement a 62443 pour des composants a haute assurance
- Delais de certification : ordres de grandeur transverses par phase
- Glossaire : definitions de IACS, SDL, SL, FR, zone, conduit, ISASecure
Voir aussi
Section intitulée « Voir aussi »- DO-326A et ED-202A: cybersecurite avionique
- ETSI EN 303 645 : cybersécurité IoT consommateur
- NISTIR 8425 et US Cyber Trust Mark : label IoT US
- NIST SP 800-213 et 8259A: socle cybersecurite IoT americain
- Common Criteria (ISO/IEC 15408) : securite IT
Sources & références
- Serie IEC 62443 (IEC TC 65 / WG 10) , IEC webstore.iec.ch/en/searchform&q=62443
- Comite ISA-99 / ISA 62443 , International Society of Automation www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards
- Programme de certification ISASecure , ISA Security Compliance Institute www.isasecure.org/
- Directive NIS 2 (Directive (UE) 2022/2555) , EUR-Lex eur-lex.europa.eu/eli/dir/2022/2555/oj
- Cyber Resilience Act (Reglement (UE) 2024/2847) , EUR-Lex eur-lex.europa.eu/eli/reg/2024/2847/oj
- NIST SP 800-82 Rev. 3, Guide to Operational Technology (OT) Security , NIST csrc.nist.gov/pubs/sp/800/82/r3/final
- Standards NERC CIP (Critical Infrastructure Protection) , North American Electric Reliability Corporation www.nerc.com/pa/Stand/Pages/CIPStandards.aspx