Aller au contenu

IEC 62443 (ISA-99), cybersécurité des systèmes industriels

Guide, IEC 62443

IEC 62443 est la reference internationale pour la cybersécurité des systèmes d'automatisation et de controle industriels (IACS, Industrial Automation and Control Systems). Nee en 2002 sous le nom ISA-99 au sein de l'International Society of Automation (ISA), la serie a ete transférée a partir de 2007 sur un rail conjoint ISA/IEC au sein de l'IEC TC 65 / WG 10 et est publiée aujourd'hui sous la forme de la famille multi-parties IEC 62443. La serie s'adresse aux propriétaires d'actifs, aux intégrateurs système et aux fabricants de composants, autour d'un même châssis conceptuel : zones et conduits, Security Levels (SL 0 a 4) et sept exigences fondamentales. Ce guide parcourt la structure de la serie, les parties clés en détail, le modele SL et FR, le rôle de 62443-4-1 pour les développeurs de composants, l'écosystème de certification (ISASecure, TUV Rheinland, TUV SUD, DEKRA), les accroches réglementaires (NIS 2, CRA, NERC CIP, NIST SP 800-82r3) et les pieges recurrents.

ISA-99 a ete lancée en 2002 par l'ISA, comme premier standard dedie a la cybersécurité industrielle, a une époque ou les cadres de sécurité IT (ISO/IEC 17799, puis ISO/IEC 27001) ne traitaient pas des spécificités du controle de procedes. Les premiers documents ISA-99 ont introduit le concept de zones et de conduits, et l'idée que la disponibilité et la sécurité des personnes en environnement OT priment souvent sur la confidentialité.

A partir de 2007, la serie a ete transférée sur un rail conjoint ISA/IEC. Le Comite technique IEC 65 (Mesure, commande et automation des processus industriels) et son Working Group 10 ont repris le développement, l'ISA conservant la co-redaction. La numérotation est passée a IEC 62443-x-y, et la serie est devenue multi-parties par construction, chaque partie traitant un public et un périmètre definis.

Aujourd'hui, le label ISA-99 est surtout historique. Les parties actives sont publiées sous la désignation IEC 62443 et forment un corpus cohérent, même si les parties individuelles sont a des états de révision différents (certaines en révision, certaines récemment mises a jour, certaines stables).

La serie est organisée en quatre groupes, par public et périmètre.

GroupePublicPerimetre
62443-1-xTous les acteursConcepts généraux, terminologie, cycle de vie, glossaire maître
62443-2-xProprietaire d'actifs, prestataire de servicesPolitiques, procédures, programme de sécurité
62443-3-xIntegrateur systèmeExigences niveau système, zones et conduits, Security Level système
62443-4-xFabricant de composantExigences niveau composant, SDL, exigences techniques composant

Ce découpage est délibérément segmente : un propriétaire d'actifs exploitant une raffinerie, un intégrateur système livrant une architecture de controle et un vendeur de composant commercialisant un PLC ne consomment pas les mêmes exigences. Chaque acteur lit la partie 62443 qui le concerne et renvoie aux autres par voie contractuelle.

Les parties suivantes forment l'ossature pratique de tout programme 62443.

PartieTitre (abrege)EditionPublic
62443-1-1Terminologie, concepts et modeles2009 (révision en DIS, attendue 2025)Tous
62443-2-1Exigences programme de sécurité pour propriétaires IACS2024 (remplace l'édition 2010)Proprietaire d'actifs
62443-2-4Exigences programme de sécurité pour prestataires IACS2015 + A1:2017Prestataire, intégrateur
62443-3-2Evaluation de risque pour la conception système2020Integrateur, propriétaire
62443-3-3Exigences de sécurité système et security levels2013Integrateur système
62443-4-1Exigences de cycle de développement securise produit2018Fabricant de composant
62443-4-2Exigences techniques de sécurité pour composants IACS2019Fabricant de composant

La combinaison 62443-3-2 + 62443-3-3 + 62443-4-1 + 62443-4-2 est ce que la plupart des programmes de certification évaluent en pratique.

L'échelle des Security Levels modélisé la force de la menace que le système ou le composant est censé supporter. Elle s'applique par exigence fondamentale (voir section suivante).

NiveauModele de menace
SL 0Aucune protection spécifique requise contre violation intentionnelle
SL 1Protection contre violation accidentelle ou fortuite
SL 2Protection contre violation intentionnelle par moyens simples, ressources limitées, compétences génériques, motivation faible
SL 3Protection contre violation intentionnelle par moyens sophistiques, ressources modérées, compétences spécifiques IACS, motivation modérée
SL 4Protection contre violation intentionnelle par moyens sophistiques, ressources étendues, compétences spécifiques IACS, motivation élevée (typiquement étatique)

Chaque SL se decline en trois variantes :

  • SL-T (Target, cible) : le niveau requis par conception, fixe pendant l'analyse de risque 62443-3-2 par zone et par FR.
  • SL-C (Capability, capacité) : le niveau qu'un système ou un composant est capable de soutenir dans un déploiement correctement configure.
  • SL-A (Achieved, atteint) : le niveau effectivement atteint dans l'environnement déployé, en tenant compte de la configuration, des controles compensatoires et de la pratique opérationnelle.

Une erreur courante en communication commerciale consiste a afficher un SL-C comme s'il s'agissait d'un SL-A. Les deux ne sont pas équivalents : SL-C est une propriété du produit, SL-A est une propriété du système déployé.

Les sept exigences fondamentales structurent toutes les exigences techniques de sécurité a travers les standards système et composant.

FRNomSujet
FR 1Identification and Authentication Control (IAC)Qui ou quoi agit sur le système
FR 2Use Control (UC)Ce que cet acteur est autorise a faire
FR 3System Integrity (SI)Integrite du code, des données et du procede
FR 4Data Confidentiality (DC)Protection des données en transit et au repos
FR 5Restricted Data Flow (RDF)Segmentation, controle des conduits
FR 6Timely Response to Events (TRE)Journalisation, monitoring, alerte
FR 7Resource Availability (RA)Resilience contre déni de service, modes degrades

62443-3-3 (système) et 62443-4-2 (composant) organisent toutes deux leurs exigences détaillées sous ces sept FR, ce qui rend les deux standards cohérents et tracables. Un composant déclarant SL-C 2 sur FR 1 signifie qu'il met en oeuvre les exigences techniques listées sous FR 1 dans 62443-4-2 au niveau SL 2.

Le modele zones et conduits est la pierre angulaire de la pensée système 62443. Son principe est direct.

  • Zone : un groupe d'actifs qui partagent les mêmes exigences de sécurité (par exemple, la zone du système instrumente de sécurité, la zone du controle de procede de base, la zone des stations d'ingénierie).
  • Conduit : un canal de communication entre zones, avec des flux controles et documentes (par exemple, le conduit entre la zone d'ingénierie et la zone de controle pour les téléchargements).
  • Analyse de risque : par zone et par FR, avec un SL-T documente.
  • Risque résiduel : explicitement accepte par le propriétaire d'actifs, avec les controles compensatoires decrits.

L'architecture de reference Purdue (modele de Purdue, ISA-95) est la reference historique de segmentation réseau qui ancre la logique zones/conduits dans la plupart des installations : niveau 0 (procede physique), niveau 1 (controle de base), niveau 2 (supervision), niveau 3 (opérations de production), niveaux 4 et 5 (IT entreprise). 62443 n'impose pas Purdue, mais la plupart des définitions de zones crédibles en procès continu et discret y reviennent.

Cycle de développement securise produit, 62443-4-1

Section intitulée « Cycle de développement securise produit, 62443-4-1 »

Pour un fabricant de composant (vendeur de PLC, de variateur, de RTU, de passerelle de bord), 62443-4-1 est la porte d'entree. Il définit un Secure Product Development Lifecycle (SDL) organise en huit domaines de pratique.

CodePratiqueSujet
SMSecurity ManagementGouvernance, rôles, formation, controle fournisseur
SRSpecification of Security RequirementsModele de menace, objectifs de sécurité, spécification des exigences
SDSecure by DesignArchitecture, défense en profondeur, réduction de la surface d'attaque
SISecure ImplementationStandards de codage, bibliothèques sécurisées, revue par les pairs
SVVSecurity Verification and Validation TestingAnalyse statique, analyse dynamique, fuzzing, tests d'intrusion
DMDefect ManagementSuivi de vulnérabilités, analyse de cause racine, cycle de correctifs
SUMSecurity Update ManagementLivraison de patchs, notification client, politique de fin de support
SGSecurity GuidelinesGuides de durcissement, documentation de configuration sécurisée pour l'utilisateur

Chaque pratique est déclinée en exigences spécifiques avec preuves obligatoires : enregistrements de processus, documents de conception, rapports d'essai, base de défauts. Un audit 62443-4-1 consomme ces preuves des le début ; l'absence de SUM ou de DM est une cause frequente de non-conformité en premier audit.

62443-4-2 mappe les sept exigences fondamentales sur quatre types de composants, chacun avec des Component Requirements (CR), des Requirement Enhancements (RE) et des profils par SL.

TypeExemples
Software Application (SA)Suite SCADA, logiciel HMI, serveur historian
Embedded Device (ED)PLC, contrôleur de sécurité, variateur, capteur intelligent, RTU
Host Device (HD)Station d'ingénierie, serveur d'application, PC industriel
Network Device (ND)Pare-feu industriel, switch administre, passerelle, routeur securise

Pour chaque type, 62443-4-2 liste quelles exigences s'appliquent a chaque SL et quels Requirement Enhancements relèvent le niveau. Un vendeur déclarant SL-C 3 sur FR 1 pour un Embedded Device doit démontrer que toutes les CR et RE applicables de FR 1 sont implémentées jusqu'a ce niveau. C'est le corpus de preuves qu'evalue ISASecure CSA.

Plusieurs programmes d'évaluation de conformité évaluent par rapport aux parties 62443.

ProgrammeOperateurPerimetre
ISASecure CSA (Component Security Assurance)ISCI, ISA Security Compliance Institute62443-4-1 + 62443-4-2, par type de composant
ISASecure SSA (System Security Assurance)ISCINiveau système 62443-3-3, avec analyse de risque 62443-3-2
ISASecure SDLA (Security Development Lifecycle Assurance)ISCIAudit de processus SDL 62443-4-1
ISASecure ACSSA (Automation Control System Security Assurance)ISCINiveau site, audit du programme propriétaire d'actifs, lie a 62443-2-1
TUV Rheinland 62443TUV Rheinland62443-4-1, 62443-4-2, 62443-3-3
TUV SUD 62443TUV SUD62443-4-1, 62443-4-2, 62443-3-3
DEKRA 62443DEKRA62443-4-1, 62443-4-2
Bureau Veritas 62443Bureau Veritas62443-4-1, 62443-4-2

ISASecure est le programme historique, opere par l'écosystème du propriétaire de la norme (ISA / ISCI). Les organismes notifies européens et les laboratoires tiers (TUV Rheinland, TUV SUD, DEKRA, Bureau Veritas) ont construit des offres de certification 62443 parallèles, souvent en conjonction avec CE-RED, EN 18031 ou la préparation au CRA. Le choix est typiquement guide par le marche de destination et les relations fournisseur existantes.

IEC 62443 n'est pas directement mandate par nom dans la plupart des réglementations, mais c'est la reference de fait pour le périmètre IACS dans plusieurs cadres réglementaires.

La Directive (UE) 2022/2555 (NIS 2) est en vigueur depuis octobre 2024. Elle s'applique aux entités essentielles et importantes, incluant les opérateurs de systèmes industriels dans des secteurs comme l'énergie, l'eau, la fabrication de produits critiques, la chimie. NIS 2 impose des mesures de cybersécurité a l'état de l'art et la notification d'incident. IEC 62443 est une reference reconnue pour les opérateurs OT lorsqu'ils justifient leurs mesures techniques et organisationnelles.

Le Cyber Resilience Act (Règlement (UE) 2024/2847) devient applicable en décembre 2027. Il fixe les exigences essentielles de cybersécurité pour les Produits comportant des éléments numériques (PDE) mis sur le marche UE. IEC 62443-4-1 et 62443-4-2 sont attendus pour étayer la conformité des composants industriels. Pour le CRA lui-même, voir Cyber Resilience Act.

Les standards NERC CIP (CIP-002 a CIP-014) gouvernent la cybersécurité du système électrique de masse nord-américain. CIP et 62443 sont conceptuellement alignes : classification des actifs, périmètre de sécurité électronique, management de la sécurité système, réponse aux incidents. De nombreuses utilities utilisent 62443 comme socle technique de leur programme CIP.

Le NIST SP 800-82 Revision 3, Guide to Operational Technology (OT) Security, publie en 2023, est la reference fédérale américaine pour la cybersécurité OT. Il croise explicitement IEC 62443 et le catalogue de controles NIST SP 800-53, en fournissant une correspondance pour les opérateurs américains qui doivent ponter les deux mondes.

Une confusion récurrente en projet est de supposer qu'un Systeme de Management de la Securite de l'Information (ISMS) certifie ISO 27001 couvre le périmètre cybersécurité OT. Ce n'est pas le cas.

DimensionISO 27001 (IT)IEC 62443 (OT)
Perimetre principalActifs informationnels, infrastructure ITSystemes d'automatisation et de controle industriels
Ordre de prioritéConfidentialite > Integrite > DisponibiliteSecurite des personnes > Disponibilite > Integrite > Confidentialite
Concept cleISMS, controles Annexe AZones et conduits, Security Levels, FR
Preuves auditéesPolitiques, procédures, enregistrements de controleAnalyse de risque, conception système, capacité composant
Actif typiqueServeur, station de travail, applicationPLC, variateur, RTU, contrôleur de sécurité
Ancrage modele de menaceFuite de données, fraude financièreDerive de procede, dommage matériel, incident de sécurité des personnes

Les deux standards partagent des briques conceptuelles (approche par les risques, gouvernance, catalogue de controles) et sont souvent operes en parallèle par les opérateurs industriels : ISO 27001 pour le périmètre IT corporate, IEC 62443 pour le périmètre OT. Un ISMS certifie ISO 27001 ne satisfait pas 62443, et réciproquement un certificat composant 62443 ne couvre pas l'IT corporate.

Demarche étape par étape pour un fabricant de composant

Section intitulée « Demarche étape par étape pour un fabricant de composant »

La séquence typique pour une entreprise électronique développant un équipement d'automatisation industrielle (PLC, variateur, RTU, passerelle de bord) qui souhaite entrer sur la voie d'évaluation 62443.

  1. Definir la classe produit (Software Application, Embedded Device, Host Device, Network Device selon 62443-4-2) et le SL-C cible par FR.
  2. Monter le SDL selon les huit domaines de pratique 62443-4-1 (SM, SR, SD, SI, SVV, DM, SUM, SG), avec rôles, formation et enregistrements de processus.
  3. Construire le modele de menace et la spécification des exigences de sécurité (pratique SR), avec traçabilité vers les FR au niveau cible.
  4. Appliquer la conception sécurisée (SD) : défense en profondeur, réduction de surface d'attaque, secure boot, firmware signe, racine de confiance matérielle le cas echeant.
  5. Implementer et vérifier (SI, SVV) : standards de codage, analyse statique et dynamique, fuzzing, tests d'intrusion, avec résultats traces dans la base de défauts (DM).
  6. Etablir le processus SUM (Security Update Management) : canal de livraison de patchs, notification client, politique de fin de support, mécanisme de mise a jour signee. C'est souvent le domaine le plus faible en premier audit.
  7. Documenter le SG (Security Guidelines) : guide de durcissement, configuration sécurisée par défaut, guidance opérationnelle pour l'utilisateur.
  8. Engager un laboratoire tiers (ISASecure, TUV Rheinland, TUV SUD, DEKRA, Bureau Veritas) pour l'audit de processus SDLA (62443-4-1) et l'audit composant CSA (62443-4-2).
  9. Maintenir le certificat : re-audit sur releases majeures, suivi des rapports de vulnérabilité, application du cycle SUM sur les decouvertes.
  10. Mapper sur les accroches réglementaires : préparation CRA en UE, preuves NIS 2 pour les opérateurs aval, NERC CIP pour les clients utilities électriques nord-americaines, NIST SP 800-82r3 pour les clients fédéraux américains.

Pour des ordres de grandeur transverses par phase, voir délais de certification.

PiegeConsequence
Commencer par les exigences composant 62443-4-2 SL-1 sans réaliser au préalable l'analyse de zones et conduits 62443-3-2Composant sur- ou sous-dimensionne, pas de justification du SL-T retenu, dossier a refaire
Absence de preuves SDL 62443-4-1 (enregistrements de processus, modele de menace, base de défauts)Audit bloque au stade SDLA, évaluation composant ne peut pas démarrer
Confondre SL-C (capacité) et SL-A (atteint) dans les déclarations commercialesCommunication trompeuse, litige client, exposition contractuelle
Negliger la pratique Security Update Management (SUM) de 62443-4-1Pas de processus de patch défendable, exposition réglementaire CRA et NIS 2, plaintes clients
Supposer qu'un ISMS ISO 27001 couvre la cybersécurité OTPerimetre OT non protege, non-conformité NIS 2 sur le périmètre IACS
Ignorer la segmentation réseau du modele de PurdueDefinitions de zones non défendables, controles de conduit faibles, audits intégrateur en échec
Confondre priorités IT et OT (placer la confidentialité au-dessus de la disponibilité et de la sécurité des personnes)Controles inappropriés (cryptographie lourde sur boucles temps critique, blocage de mises a jour), incidents opérationnels
Traiter 62443 comme une certification uniqueProgramme qui se degrade apres le premier audit, surprises a la recertification sur releases majeures

Sources & références

  1. Serie IEC 62443 (IEC TC 65 / WG 10) , IEC webstore.iec.ch/en/searchform&q=62443
  2. Comite ISA-99 / ISA 62443 , International Society of Automation www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards
  3. Programme de certification ISASecure , ISA Security Compliance Institute www.isasecure.org/
  4. Directive NIS 2 (Directive (UE) 2022/2555) , EUR-Lex eur-lex.europa.eu/eli/dir/2022/2555/oj
  5. Cyber Resilience Act (Règlement (UE) 2024/2847) , EUR-Lex eur-lex.europa.eu/eli/reg/2024/2847/oj
  6. NIST SP 800-82 Rev. 3, Guide to Operational Technology (OT) Security , NIST csrc.nist.gov/pubs/sp/800/82/r3/final
  7. Standards NERC CIP (Critical Infrastructure Protection) , North American Electric Reliability Corporation www.nerc.com/pa/Stand/Pages/CIPStandards.aspx

Questions fréquentes

Quelle est la différence entre ISA-99 et IEC 62443 ?
ISA-99 est la serie d'origine, lancée en 2002 par l'ISA (International Society of Automation), l'organisme de normalisation américain dedie a l'automatisation industrielle. A partir de 2007, la serie a ete transférée sur un rail conjoint ISA/IEC au sein de l'IEC TC 65 / WG 10, pour devenir la famille IEC 62443. Les deux dénominations renvoient au même cadre conceptuel ; les parties actives sont aujourd'hui publiées sous la numérotation IEC 62443-x-y et constituent la reference vivante. L'appellation ISA-99 est désormais surtout historique.
Comment la serie IEC 62443 est-elle structurée ?
En quatre groupes. 62443-1-x couvre les aspects généraux (terminologie, glossaire maître, concepts de cycle de vie). 62443-2-x couvre les politiques et procédures des propriétaires d'actifs et des prestataires de services. 62443-3-x couvre les exigences au niveau système (zones et conduits, analyse de risque, exigences de sécurité système). 62443-4-x couvre les exigences au niveau composant (cycle de développement securise et exigences techniques par type de composant). La serie est multi-parties par construction afin que chaque acteur de la chaine trouve la partie qui le concerne directement.
Que signifie l'échelle des Security Levels (SL 0 a 4) ?
SL 0 signifie qu'aucune protection spécifique n'est exigée contre les violations intentionnelles. SL 1 protege contre une violation accidentelle ou fortuite. SL 2 protege contre un attaquant intentionnel avec des moyens simples, des ressources limitées, des compétences génériques et une motivation faible. SL 3 protege contre un attaquant avec des moyens sophistiques, des ressources modérées, des compétences spécifiques IACS et une motivation modérée. SL 4 protege contre un attaquant avec des moyens sophistiques, des ressources étendues, des compétences spécifiques IACS et une motivation élevée (typiquement étatique). L'échelle s'applique a chaque exigence fondamentale (FR 1 a FR 7) et se decline en SL-T (cible), SL-C (capacité) et SL-A (atteint).
Qu'appelle-t-on zones et conduits dans 62443-3-2 ?
Les zones regroupent les actifs qui partagent des exigences de sécurité similaires ; les conduits sont les canaux de communication qui relient les zones. La méthodologie 62443-3-2 exige une analyse de risque documentée qui définit le périmètre de chaque zone, les conduits de communication, le Security Level cible (SL-T) par zone et par FR, et le risque résiduel. Il s'agit du livrable de conception qui ancre toute évaluation au niveau système 62443-3-3 et toute sélection au niveau composant 62443-4-2. Sauter cette étape et aller directement aux exigences composant est l'erreur méthodologique la plus frequente.
Que demande 62443-4-1 a un fabricant de composant ?
Un cycle de développement securise documente couvrant huit domaines de pratique : Security Management (SM), Specification of Security Requirements (SR), Secure by Design (SD), Secure Implementation (SI), Security Verification and Validation Testing (SVV), Defect Management (DM), Security Update Management (SUM) et Security Guidelines (SG). Chaque pratique est déclinée en exigences spécifiques avec preuves associees. Le fabricant doit démontrer que le SDL est applique, pas seulement documente. C'est la base de preuve que recherchent d'abord ISASecure CSA et la plupart des audits clients prives.
IT (ISO 27001) et OT (IEC 62443) sont-ils interchangeables ?
Non. ISO 27001 est une norme de Systeme de Management de la Securite de l'Information (ISMS), générique et orientée IT, ou la confidentialité est typiquement la priorité. IEC 62443 est une norme spécifique aux IACS, ou la disponibilité et la sécurité des personnes priment souvent sur la confidentialité, parce qu'un PLC compromis peut causer un accident physique. Les deux partagent des concepts (analyse de risque, objectifs de sécurité, controles) mais les modeles de menace, la taxonomie d'actifs et les priorités different. Un ISMS certifie ISO 27001 ne satisfait pas 62443 et réciproquement. De nombreux opérateurs industriels mettent en oeuvre les deux, ISO 27001 sur le périmètre IT corporate et 62443 sur le périmètre OT.
Comment IEC 62443 s'articule-t-il avec NIS 2 et le CRA ?
La Directive NIS 2 (Directive (UE) 2022/2555), en vigueur depuis octobre 2024, impose aux entités essentielles et importantes des mesures de cybersécurité a l'état de l'art ; IEC 62443 est une reference reconnue pour les opérateurs de systèmes industriels. Le Cyber Resilience Act (Règlement (UE) 2024/2847), applicable en décembre 2027, fixe des exigences essentielles de cybersécurité pour les produits comportant des éléments numériques ; IEC 62443-4-1 et 62443-4-2 devraient largement étayer la conformité des composants industriels mis sur le marche UE. Aucun des deux textes ne rend 62443 obligatoire par nom, mais les deux le traitent en reference de premier rang pour le périmètre IACS.
Quels sont les pieges courants au démarrage d'un programme 62443 ?
Six recurrents. Aller directement aux exigences composant 62443-4-2 SL-1 sans réaliser au préalable l'analyse de zones et conduits 62443-3-2 ; absence de preuves SDL 62443-4-1 (enregistrements de processus, modele de menace, base de défauts) que les laboratoires tiers réclament des le départ ; confusion entre SL-C (capacité) et SL-A (atteint) dans les déclarations commerciales ; négligence de la pratique Security Update Management (SUM) issue de 4-1 ; supposer qu'un ISMS ISO 27001 couvre la cybersécurité OT ; ignorer la segmentation réseau du modele de Purdue qui sous-tend la logique zones/conduits et toute revue d'architecture défendable.