IEC 62443 (ISA-99), cybersécurité des systèmes industriels
Guide, IEC 62443
IEC 62443 est la reference internationale pour la cybersécurité des systèmes d'automatisation et de controle industriels (IACS, Industrial Automation and Control Systems). Nee en 2002 sous le nom ISA-99 au sein de l'International Society of Automation (ISA), la serie a ete transférée a partir de 2007 sur un rail conjoint ISA/IEC au sein de l'IEC TC 65 / WG 10 et est publiée aujourd'hui sous la forme de la famille multi-parties IEC 62443. La serie s'adresse aux propriétaires d'actifs, aux intégrateurs système et aux fabricants de composants, autour d'un même châssis conceptuel : zones et conduits, Security Levels (SL 0 a 4) et sept exigences fondamentales. Ce guide parcourt la structure de la serie, les parties clés en détail, le modele SL et FR, le rôle de 62443-4-1 pour les développeurs de composants, l'écosystème de certification (ISASecure, TUV Rheinland, TUV SUD, DEKRA), les accroches réglementaires (NIS 2, CRA, NERC CIP, NIST SP 800-82r3) et les pieges recurrents.
D'ISA-99 a IEC 62443
Section intitulée « D'ISA-99 a IEC 62443 »ISA-99 a ete lancée en 2002 par l'ISA, comme premier standard dedie a la cybersécurité industrielle, a une époque ou les cadres de sécurité IT (ISO/IEC 17799, puis ISO/IEC 27001) ne traitaient pas des spécificités du controle de procedes. Les premiers documents ISA-99 ont introduit le concept de zones et de conduits, et l'idée que la disponibilité et la sécurité des personnes en environnement OT priment souvent sur la confidentialité.
A partir de 2007, la serie a ete transférée sur un rail conjoint ISA/IEC. Le Comite technique IEC 65 (Mesure, commande et automation des processus industriels) et son Working Group 10 ont repris le développement, l'ISA conservant la co-redaction. La numérotation est passée a IEC 62443-x-y, et la serie est devenue multi-parties par construction, chaque partie traitant un public et un périmètre definis.
Aujourd'hui, le label ISA-99 est surtout historique. Les parties actives sont publiées sous la désignation IEC 62443 et forment un corpus cohérent, même si les parties individuelles sont a des états de révision différents (certaines en révision, certaines récemment mises a jour, certaines stables).
Structure de la serie IEC 62443
Section intitulée « Structure de la serie IEC 62443 »La serie est organisée en quatre groupes, par public et périmètre.
| Groupe | Public | Perimetre |
|---|---|---|
| 62443-1-x | Tous les acteurs | Concepts généraux, terminologie, cycle de vie, glossaire maître |
| 62443-2-x | Proprietaire d'actifs, prestataire de services | Politiques, procédures, programme de sécurité |
| 62443-3-x | Integrateur système | Exigences niveau système, zones et conduits, Security Level système |
| 62443-4-x | Fabricant de composant | Exigences niveau composant, SDL, exigences techniques composant |
Ce découpage est délibérément segmente : un propriétaire d'actifs exploitant une raffinerie, un intégrateur système livrant une architecture de controle et un vendeur de composant commercialisant un PLC ne consomment pas les mêmes exigences. Chaque acteur lit la partie 62443 qui le concerne et renvoie aux autres par voie contractuelle.
Parties clés en détail
Section intitulée « Parties clés en détail »Les parties suivantes forment l'ossature pratique de tout programme 62443.
| Partie | Titre (abrege) | Edition | Public |
|---|---|---|---|
| 62443-1-1 | Terminologie, concepts et modeles | 2009 (révision en DIS, attendue 2025) | Tous |
| 62443-2-1 | Exigences programme de sécurité pour propriétaires IACS | 2024 (remplace l'édition 2010) | Proprietaire d'actifs |
| 62443-2-4 | Exigences programme de sécurité pour prestataires IACS | 2015 + A1:2017 | Prestataire, intégrateur |
| 62443-3-2 | Evaluation de risque pour la conception système | 2020 | Integrateur, propriétaire |
| 62443-3-3 | Exigences de sécurité système et security levels | 2013 | Integrateur système |
| 62443-4-1 | Exigences de cycle de développement securise produit | 2018 | Fabricant de composant |
| 62443-4-2 | Exigences techniques de sécurité pour composants IACS | 2019 | Fabricant de composant |
La combinaison 62443-3-2 + 62443-3-3 + 62443-4-1 + 62443-4-2 est ce que la plupart des programmes de certification évaluent en pratique.
Security Levels (SL 0 a 4)
Section intitulée « Security Levels (SL 0 a 4) »L'échelle des Security Levels modélisé la force de la menace que le système ou le composant est censé supporter. Elle s'applique par exigence fondamentale (voir section suivante).
| Niveau | Modele de menace |
|---|---|
| SL 0 | Aucune protection spécifique requise contre violation intentionnelle |
| SL 1 | Protection contre violation accidentelle ou fortuite |
| SL 2 | Protection contre violation intentionnelle par moyens simples, ressources limitées, compétences génériques, motivation faible |
| SL 3 | Protection contre violation intentionnelle par moyens sophistiques, ressources modérées, compétences spécifiques IACS, motivation modérée |
| SL 4 | Protection contre violation intentionnelle par moyens sophistiques, ressources étendues, compétences spécifiques IACS, motivation élevée (typiquement étatique) |
Chaque SL se decline en trois variantes :
- SL-T (Target, cible) : le niveau requis par conception, fixe pendant l'analyse de risque 62443-3-2 par zone et par FR.
- SL-C (Capability, capacité) : le niveau qu'un système ou un composant est capable de soutenir dans un déploiement correctement configure.
- SL-A (Achieved, atteint) : le niveau effectivement atteint dans l'environnement déployé, en tenant compte de la configuration, des controles compensatoires et de la pratique opérationnelle.
Une erreur courante en communication commerciale consiste a afficher un SL-C comme s'il s'agissait d'un SL-A. Les deux ne sont pas équivalents : SL-C est une propriété du produit, SL-A est une propriété du système déployé.
Exigences fondamentales (FR 1 a FR 7)
Section intitulée « Exigences fondamentales (FR 1 a FR 7) »Les sept exigences fondamentales structurent toutes les exigences techniques de sécurité a travers les standards système et composant.
| FR | Nom | Sujet |
|---|---|---|
| FR 1 | Identification and Authentication Control (IAC) | Qui ou quoi agit sur le système |
| FR 2 | Use Control (UC) | Ce que cet acteur est autorise a faire |
| FR 3 | System Integrity (SI) | Integrite du code, des données et du procede |
| FR 4 | Data Confidentiality (DC) | Protection des données en transit et au repos |
| FR 5 | Restricted Data Flow (RDF) | Segmentation, controle des conduits |
| FR 6 | Timely Response to Events (TRE) | Journalisation, monitoring, alerte |
| FR 7 | Resource Availability (RA) | Resilience contre déni de service, modes degrades |
62443-3-3 (système) et 62443-4-2 (composant) organisent toutes deux leurs exigences détaillées sous ces sept FR, ce qui rend les deux standards cohérents et tracables. Un composant déclarant SL-C 2 sur FR 1 signifie qu'il met en oeuvre les exigences techniques listées sous FR 1 dans 62443-4-2 au niveau SL 2.
Modele zones et conduits (62443-3-2)
Section intitulée « Modele zones et conduits (62443-3-2) »Le modele zones et conduits est la pierre angulaire de la pensée système 62443. Son principe est direct.
- Zone : un groupe d'actifs qui partagent les mêmes exigences de sécurité (par exemple, la zone du système instrumente de sécurité, la zone du controle de procede de base, la zone des stations d'ingénierie).
- Conduit : un canal de communication entre zones, avec des flux controles et documentes (par exemple, le conduit entre la zone d'ingénierie et la zone de controle pour les téléchargements).
- Analyse de risque : par zone et par FR, avec un SL-T documente.
- Risque résiduel : explicitement accepte par le propriétaire d'actifs, avec les controles compensatoires decrits.
L'architecture de reference Purdue (modele de Purdue, ISA-95) est la reference historique de segmentation réseau qui ancre la logique zones/conduits dans la plupart des installations : niveau 0 (procede physique), niveau 1 (controle de base), niveau 2 (supervision), niveau 3 (opérations de production), niveaux 4 et 5 (IT entreprise). 62443 n'impose pas Purdue, mais la plupart des définitions de zones crédibles en procès continu et discret y reviennent.
Cycle de développement securise produit, 62443-4-1
Section intitulée « Cycle de développement securise produit, 62443-4-1 »Pour un fabricant de composant (vendeur de PLC, de variateur, de RTU, de passerelle de bord), 62443-4-1 est la porte d'entree. Il définit un Secure Product Development Lifecycle (SDL) organise en huit domaines de pratique.
| Code | Pratique | Sujet |
|---|---|---|
| SM | Security Management | Gouvernance, rôles, formation, controle fournisseur |
| SR | Specification of Security Requirements | Modele de menace, objectifs de sécurité, spécification des exigences |
| SD | Secure by Design | Architecture, défense en profondeur, réduction de la surface d'attaque |
| SI | Secure Implementation | Standards de codage, bibliothèques sécurisées, revue par les pairs |
| SVV | Security Verification and Validation Testing | Analyse statique, analyse dynamique, fuzzing, tests d'intrusion |
| DM | Defect Management | Suivi de vulnérabilités, analyse de cause racine, cycle de correctifs |
| SUM | Security Update Management | Livraison de patchs, notification client, politique de fin de support |
| SG | Security Guidelines | Guides de durcissement, documentation de configuration sécurisée pour l'utilisateur |
Chaque pratique est déclinée en exigences spécifiques avec preuves obligatoires : enregistrements de processus, documents de conception, rapports d'essai, base de défauts. Un audit 62443-4-1 consomme ces preuves des le début ; l'absence de SUM ou de DM est une cause frequente de non-conformité en premier audit.
Exigences techniques composant, 62443-4-2
Section intitulée « Exigences techniques composant, 62443-4-2 »62443-4-2 mappe les sept exigences fondamentales sur quatre types de composants, chacun avec des Component Requirements (CR), des Requirement Enhancements (RE) et des profils par SL.
| Type | Exemples |
|---|---|
| Software Application (SA) | Suite SCADA, logiciel HMI, serveur historian |
| Embedded Device (ED) | PLC, contrôleur de sécurité, variateur, capteur intelligent, RTU |
| Host Device (HD) | Station d'ingénierie, serveur d'application, PC industriel |
| Network Device (ND) | Pare-feu industriel, switch administre, passerelle, routeur securise |
Pour chaque type, 62443-4-2 liste quelles exigences s'appliquent a chaque SL et quels Requirement Enhancements relèvent le niveau. Un vendeur déclarant SL-C 3 sur FR 1 pour un Embedded Device doit démontrer que toutes les CR et RE applicables de FR 1 sont implémentées jusqu'a ce niveau. C'est le corpus de preuves qu'evalue ISASecure CSA.
Programmes de certification
Section intitulée « Programmes de certification »Plusieurs programmes d'évaluation de conformité évaluent par rapport aux parties 62443.
| Programme | Operateur | Perimetre |
|---|---|---|
| ISASecure CSA (Component Security Assurance) | ISCI, ISA Security Compliance Institute | 62443-4-1 + 62443-4-2, par type de composant |
| ISASecure SSA (System Security Assurance) | ISCI | Niveau système 62443-3-3, avec analyse de risque 62443-3-2 |
| ISASecure SDLA (Security Development Lifecycle Assurance) | ISCI | Audit de processus SDL 62443-4-1 |
| ISASecure ACSSA (Automation Control System Security Assurance) | ISCI | Niveau site, audit du programme propriétaire d'actifs, lie a 62443-2-1 |
| TUV Rheinland 62443 | TUV Rheinland | 62443-4-1, 62443-4-2, 62443-3-3 |
| TUV SUD 62443 | TUV SUD | 62443-4-1, 62443-4-2, 62443-3-3 |
| DEKRA 62443 | DEKRA | 62443-4-1, 62443-4-2 |
| Bureau Veritas 62443 | Bureau Veritas | 62443-4-1, 62443-4-2 |
ISASecure est le programme historique, opere par l'écosystème du propriétaire de la norme (ISA / ISCI). Les organismes notifies européens et les laboratoires tiers (TUV Rheinland, TUV SUD, DEKRA, Bureau Veritas) ont construit des offres de certification 62443 parallèles, souvent en conjonction avec CE-RED, EN 18031 ou la préparation au CRA. Le choix est typiquement guide par le marche de destination et les relations fournisseur existantes.
Accroches réglementaires
Section intitulée « Accroches réglementaires »IEC 62443 n'est pas directement mandate par nom dans la plupart des réglementations, mais c'est la reference de fait pour le périmètre IACS dans plusieurs cadres réglementaires.
UE, Directive NIS 2
Section intitulée « UE, Directive NIS 2 »La Directive (UE) 2022/2555 (NIS 2) est en vigueur depuis octobre 2024. Elle s'applique aux entités essentielles et importantes, incluant les opérateurs de systèmes industriels dans des secteurs comme l'énergie, l'eau, la fabrication de produits critiques, la chimie. NIS 2 impose des mesures de cybersécurité a l'état de l'art et la notification d'incident. IEC 62443 est une reference reconnue pour les opérateurs OT lorsqu'ils justifient leurs mesures techniques et organisationnelles.
UE, Cyber Resilience Act
Section intitulée « UE, Cyber Resilience Act »Le Cyber Resilience Act (Règlement (UE) 2024/2847) devient applicable en décembre 2027. Il fixe les exigences essentielles de cybersécurité pour les Produits comportant des éléments numériques (PDE) mis sur le marche UE. IEC 62443-4-1 et 62443-4-2 sont attendus pour étayer la conformité des composants industriels. Pour le CRA lui-même, voir Cyber Resilience Act.
US, NERC CIP pour les utilities électriques
Section intitulée « US, NERC CIP pour les utilities électriques »Les standards NERC CIP (CIP-002 a CIP-014) gouvernent la cybersécurité du système électrique de masse nord-américain. CIP et 62443 sont conceptuellement alignes : classification des actifs, périmètre de sécurité électronique, management de la sécurité système, réponse aux incidents. De nombreuses utilities utilisent 62443 comme socle technique de leur programme CIP.
US, NIST SP 800-82r3
Section intitulée « US, NIST SP 800-82r3 »Le NIST SP 800-82 Revision 3, Guide to Operational Technology (OT) Security, publie en 2023, est la reference fédérale américaine pour la cybersécurité OT. Il croise explicitement IEC 62443 et le catalogue de controles NIST SP 800-53, en fournissant une correspondance pour les opérateurs américains qui doivent ponter les deux mondes.
IT (ISO 27001) versus OT (IEC 62443)
Section intitulée « IT (ISO 27001) versus OT (IEC 62443) »Une confusion récurrente en projet est de supposer qu'un Systeme de Management de la Securite de l'Information (ISMS) certifie ISO 27001 couvre le périmètre cybersécurité OT. Ce n'est pas le cas.
| Dimension | ISO 27001 (IT) | IEC 62443 (OT) |
|---|---|---|
| Perimetre principal | Actifs informationnels, infrastructure IT | Systemes d'automatisation et de controle industriels |
| Ordre de priorité | Confidentialite > Integrite > Disponibilite | Securite des personnes > Disponibilite > Integrite > Confidentialite |
| Concept cle | ISMS, controles Annexe A | Zones et conduits, Security Levels, FR |
| Preuves auditées | Politiques, procédures, enregistrements de controle | Analyse de risque, conception système, capacité composant |
| Actif typique | Serveur, station de travail, application | PLC, variateur, RTU, contrôleur de sécurité |
| Ancrage modele de menace | Fuite de données, fraude financière | Derive de procede, dommage matériel, incident de sécurité des personnes |
Les deux standards partagent des briques conceptuelles (approche par les risques, gouvernance, catalogue de controles) et sont souvent operes en parallèle par les opérateurs industriels : ISO 27001 pour le périmètre IT corporate, IEC 62443 pour le périmètre OT. Un ISMS certifie ISO 27001 ne satisfait pas 62443, et réciproquement un certificat composant 62443 ne couvre pas l'IT corporate.
Demarche étape par étape pour un fabricant de composant
Section intitulée « Demarche étape par étape pour un fabricant de composant »La séquence typique pour une entreprise électronique développant un équipement d'automatisation industrielle (PLC, variateur, RTU, passerelle de bord) qui souhaite entrer sur la voie d'évaluation 62443.
- Definir la classe produit (Software Application, Embedded Device, Host Device, Network Device selon 62443-4-2) et le SL-C cible par FR.
- Monter le SDL selon les huit domaines de pratique 62443-4-1 (SM, SR, SD, SI, SVV, DM, SUM, SG), avec rôles, formation et enregistrements de processus.
- Construire le modele de menace et la spécification des exigences de sécurité (pratique SR), avec traçabilité vers les FR au niveau cible.
- Appliquer la conception sécurisée (SD) : défense en profondeur, réduction de surface d'attaque, secure boot, firmware signe, racine de confiance matérielle le cas echeant.
- Implementer et vérifier (SI, SVV) : standards de codage, analyse statique et dynamique, fuzzing, tests d'intrusion, avec résultats traces dans la base de défauts (DM).
- Etablir le processus SUM (Security Update Management) : canal de livraison de patchs, notification client, politique de fin de support, mécanisme de mise a jour signee. C'est souvent le domaine le plus faible en premier audit.
- Documenter le SG (Security Guidelines) : guide de durcissement, configuration sécurisée par défaut, guidance opérationnelle pour l'utilisateur.
- Engager un laboratoire tiers (ISASecure, TUV Rheinland, TUV SUD, DEKRA, Bureau Veritas) pour l'audit de processus SDLA (62443-4-1) et l'audit composant CSA (62443-4-2).
- Maintenir le certificat : re-audit sur releases majeures, suivi des rapports de vulnérabilité, application du cycle SUM sur les decouvertes.
- Mapper sur les accroches réglementaires : préparation CRA en UE, preuves NIS 2 pour les opérateurs aval, NERC CIP pour les clients utilities électriques nord-americaines, NIST SP 800-82r3 pour les clients fédéraux américains.
Pour des ordres de grandeur transverses par phase, voir délais de certification.
Pieges fréquents
Section intitulée « Pieges fréquents »| Piege | Consequence |
|---|---|
| Commencer par les exigences composant 62443-4-2 SL-1 sans réaliser au préalable l'analyse de zones et conduits 62443-3-2 | Composant sur- ou sous-dimensionne, pas de justification du SL-T retenu, dossier a refaire |
| Absence de preuves SDL 62443-4-1 (enregistrements de processus, modele de menace, base de défauts) | Audit bloque au stade SDLA, évaluation composant ne peut pas démarrer |
| Confondre SL-C (capacité) et SL-A (atteint) dans les déclarations commerciales | Communication trompeuse, litige client, exposition contractuelle |
| Negliger la pratique Security Update Management (SUM) de 62443-4-1 | Pas de processus de patch défendable, exposition réglementaire CRA et NIS 2, plaintes clients |
| Supposer qu'un ISMS ISO 27001 couvre la cybersécurité OT | Perimetre OT non protege, non-conformité NIS 2 sur le périmètre IACS |
| Ignorer la segmentation réseau du modele de Purdue | Definitions de zones non défendables, controles de conduit faibles, audits intégrateur en échec |
| Confondre priorités IT et OT (placer la confidentialité au-dessus de la disponibilité et de la sécurité des personnes) | Controles inappropriés (cryptographie lourde sur boucles temps critique, blocage de mises a jour), incidents opérationnels |
| Traiter 62443 comme une certification unique | Programme qui se degrade apres le premier audit, surprises a la recertification sur releases majeures |
Aller plus loin
Section intitulée « Aller plus loin »- Cyber Resilience Act : réglementation UE pour les produits comportant des éléments numériques, applicable en décembre 2027
- EN 303 645, cybersécurité IoT grand public : l'équivalent IoT grand public, complémentaire de 62443 sur le périmètre industriel
- Robotique industrielle, ISO 10218 et ISO/TS 15066 : volet sécurité fonctionnelle de l'automatisation industrielle, souvent associe a la cybersécurité 62443
- Common Criteria, ISO/IEC 15408 : cadre générique d'évaluation de sécurité, parfois invoque conjointement a 62443 pour des composants a haute assurance
- Delais de certification : ordres de grandeur transverses par phase
- Glossaire : définitions de IACS, SDL, SL, FR, zone, conduit, ISASecure
Voir aussi
Section intitulée « Voir aussi »- DO-326A et ED-202A: cybersécurité avionique
- ETSI EN 303 645 : cybersécurité IoT consommateur
- NISTIR 8425 et US Cyber Trust Mark : label IoT US
- NIST SP 800-213 et 8259A: socle cybersécurité IoT américain
- Common Criteria (ISO/IEC 15408) : sécurité IT
Sources & références
- Serie IEC 62443 (IEC TC 65 / WG 10) , IEC webstore.iec.ch/en/searchform&q=62443
- Comite ISA-99 / ISA 62443 , International Society of Automation www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards
- Programme de certification ISASecure , ISA Security Compliance Institute www.isasecure.org/
- Directive NIS 2 (Directive (UE) 2022/2555) , EUR-Lex eur-lex.europa.eu/eli/dir/2022/2555/oj
- Cyber Resilience Act (Règlement (UE) 2024/2847) , EUR-Lex eur-lex.europa.eu/eli/reg/2024/2847/oj
- NIST SP 800-82 Rev. 3, Guide to Operational Technology (OT) Security , NIST csrc.nist.gov/pubs/sp/800/82/r3/final
- Standards NERC CIP (Critical Infrastructure Protection) , North American Electric Reliability Corporation www.nerc.com/pa/Stand/Pages/CIPStandards.aspx
Questions fréquentes
- Quelle est la différence entre ISA-99 et IEC 62443 ?
- ISA-99 est la serie d'origine, lancée en 2002 par l'ISA (International Society of Automation), l'organisme de normalisation américain dedie a l'automatisation industrielle. A partir de 2007, la serie a ete transférée sur un rail conjoint ISA/IEC au sein de l'IEC TC 65 / WG 10, pour devenir la famille IEC 62443. Les deux dénominations renvoient au même cadre conceptuel ; les parties actives sont aujourd'hui publiées sous la numérotation IEC 62443-x-y et constituent la reference vivante. L'appellation ISA-99 est désormais surtout historique.
- Comment la serie IEC 62443 est-elle structurée ?
- En quatre groupes. 62443-1-x couvre les aspects généraux (terminologie, glossaire maître, concepts de cycle de vie). 62443-2-x couvre les politiques et procédures des propriétaires d'actifs et des prestataires de services. 62443-3-x couvre les exigences au niveau système (zones et conduits, analyse de risque, exigences de sécurité système). 62443-4-x couvre les exigences au niveau composant (cycle de développement securise et exigences techniques par type de composant). La serie est multi-parties par construction afin que chaque acteur de la chaine trouve la partie qui le concerne directement.
- Que signifie l'échelle des Security Levels (SL 0 a 4) ?
- SL 0 signifie qu'aucune protection spécifique n'est exigée contre les violations intentionnelles. SL 1 protege contre une violation accidentelle ou fortuite. SL 2 protege contre un attaquant intentionnel avec des moyens simples, des ressources limitées, des compétences génériques et une motivation faible. SL 3 protege contre un attaquant avec des moyens sophistiques, des ressources modérées, des compétences spécifiques IACS et une motivation modérée. SL 4 protege contre un attaquant avec des moyens sophistiques, des ressources étendues, des compétences spécifiques IACS et une motivation élevée (typiquement étatique). L'échelle s'applique a chaque exigence fondamentale (FR 1 a FR 7) et se decline en SL-T (cible), SL-C (capacité) et SL-A (atteint).
- Qu'appelle-t-on zones et conduits dans 62443-3-2 ?
- Les zones regroupent les actifs qui partagent des exigences de sécurité similaires ; les conduits sont les canaux de communication qui relient les zones. La méthodologie 62443-3-2 exige une analyse de risque documentée qui définit le périmètre de chaque zone, les conduits de communication, le Security Level cible (SL-T) par zone et par FR, et le risque résiduel. Il s'agit du livrable de conception qui ancre toute évaluation au niveau système 62443-3-3 et toute sélection au niveau composant 62443-4-2. Sauter cette étape et aller directement aux exigences composant est l'erreur méthodologique la plus frequente.
- Que demande 62443-4-1 a un fabricant de composant ?
- Un cycle de développement securise documente couvrant huit domaines de pratique : Security Management (SM), Specification of Security Requirements (SR), Secure by Design (SD), Secure Implementation (SI), Security Verification and Validation Testing (SVV), Defect Management (DM), Security Update Management (SUM) et Security Guidelines (SG). Chaque pratique est déclinée en exigences spécifiques avec preuves associees. Le fabricant doit démontrer que le SDL est applique, pas seulement documente. C'est la base de preuve que recherchent d'abord ISASecure CSA et la plupart des audits clients prives.
- IT (ISO 27001) et OT (IEC 62443) sont-ils interchangeables ?
- Non. ISO 27001 est une norme de Systeme de Management de la Securite de l'Information (ISMS), générique et orientée IT, ou la confidentialité est typiquement la priorité. IEC 62443 est une norme spécifique aux IACS, ou la disponibilité et la sécurité des personnes priment souvent sur la confidentialité, parce qu'un PLC compromis peut causer un accident physique. Les deux partagent des concepts (analyse de risque, objectifs de sécurité, controles) mais les modeles de menace, la taxonomie d'actifs et les priorités different. Un ISMS certifie ISO 27001 ne satisfait pas 62443 et réciproquement. De nombreux opérateurs industriels mettent en oeuvre les deux, ISO 27001 sur le périmètre IT corporate et 62443 sur le périmètre OT.
- Comment IEC 62443 s'articule-t-il avec NIS 2 et le CRA ?
- La Directive NIS 2 (Directive (UE) 2022/2555), en vigueur depuis octobre 2024, impose aux entités essentielles et importantes des mesures de cybersécurité a l'état de l'art ; IEC 62443 est une reference reconnue pour les opérateurs de systèmes industriels. Le Cyber Resilience Act (Règlement (UE) 2024/2847), applicable en décembre 2027, fixe des exigences essentielles de cybersécurité pour les produits comportant des éléments numériques ; IEC 62443-4-1 et 62443-4-2 devraient largement étayer la conformité des composants industriels mis sur le marche UE. Aucun des deux textes ne rend 62443 obligatoire par nom, mais les deux le traitent en reference de premier rang pour le périmètre IACS.
- Quels sont les pieges courants au démarrage d'un programme 62443 ?
- Six recurrents. Aller directement aux exigences composant 62443-4-2 SL-1 sans réaliser au préalable l'analyse de zones et conduits 62443-3-2 ; absence de preuves SDL 62443-4-1 (enregistrements de processus, modele de menace, base de défauts) que les laboratoires tiers réclament des le départ ; confusion entre SL-C (capacité) et SL-A (atteint) dans les déclarations commerciales ; négligence de la pratique Security Update Management (SUM) issue de 4-1 ; supposer qu'un ISMS ISO 27001 couvre la cybersécurité OT ; ignorer la segmentation réseau du modele de Purdue qui sous-tend la logique zones/conduits et toute revue d'architecture défendable.