Canada | français

Série de normes de sûreté CEI 62443

La série de normes internationales CEI 62443 « Réseaux de communication industriels – Sécurité informatique des réseaux et systèmes » traite de la sécurité informatique dans le secteur des automatismes. L’étendue des thèmes abordés va de l’analyse des phénomènes dangereux aux exigences requises pour un fonctionnement en toute sécurité en passant par le développement sécurisé de produits (Security by Design). La norme CEI 62443 constitue donc la meilleure aide d’orientation pour les exploitants d’installations et fabricants d’appareils afin de mettre en œuvre efficacement la sûreté.
Elle porte sur cinq domaines : les exigences fondamentales en matière de sûreté, le principe des zones et des canaux de communication (zones et conduits), le niveau de sûreté, le cycle de vie de la sûreté et l’analyse des phénomènes dangereux.

Série de normes de sûreté CEI 62443

Aperçu des principales parties de la norme :

Pour les fabricants de composants Pour les intégrateurs de systèmes Pour les exploitants
62443-4-1 Process de développement 62443-2-4 Directives et procédures 62443-2-4 Directives et procédures
62443-4-2 Fonctions de sûreté pour les composants 62443-3-2 Fonctions de sûreté pour les systèmes d’automatismes et de commande 62443-2-1 Exploitation et maintenance
62443-3-3 Fonctions de sûreté pour l’ensemble du système d’automatismes et de commande

62443-3-3 Fonctions de sûreté pour l’ensemble du système d’automatismes et de commande

 

 

Exigences fondamentales en matière de sûreté

Exigences en matière de sûreté

Parmi les exigences fondamentales en matière de sûreté (foundational requirements), on peut citer :

  • Identification et authentification
  • Contrôle de l’utilisation
  • Intégrité des systèmes
  • Confidentialité des données
  • Flux de données limité
  • Réponse en temps voulu aux événements
  • Disponibilité des ressources

D’autres exigences du système sont définies pour chacune de ces exigences fondamentales sur la base desquelles des mesures de sûreté peuvent être mises en œuvre.

Niveau de sûreté

Niveau de sûreté

Les niveaux de sûreté définissent le niveau de sécurité que les exploitants d’installations ou fabricants veulent atteindre à l’aide des mesures de réduction des risques. Une appréciation du risque est également réalisée au préalable. Elle permet de définir ce qui doit être protégé et précise la probabilité d’attaque de ce bien. Le niveau de sûreté (Security Level ou SL) est sélectionné en conséquence. Le niveau SL-2, autrement dit une protection contre la dégradation / fraude intentionnelle avec des moyens simples, des ressources limitées, des capacités normales et sans motivation spéciale doit aujourd’hui être considéré comme la norme minimale. Pour maintenir cette norme minimale, l’entreprise doit disposer d’un certain degré de maturité en termes de sûreté. Le meilleur pare-feu n’est d’aucune utilité si les collaborateurs d’une entreprise continuent de coller des post-it avec leurs mots de passe sur l’écran de leur ordinateur ou n’effectuent pas les mises à jour requises. Par conséquent, plus l’entreprise prend le thème de la sûreté au sérieux, plus le niveau de protection global assuré est élevé. Pour cette raison, il est important d’opter pour un concept de sûreté global. L’application Pare-feu SecurityBridge peut par exemple contribuer à un niveau de sûreté élevé en tant qu’élément d’un concept global.

Aperçu des niveaux de sûreté :
Niveau de sûreté 1 : protection contre les mauvaises utilisations simples ou accidentelles
Niveau de sûreté 2 : protection contre les mauvaises utilisations intentionnelles via des moyens simples.
Niveau de sûreté 3 : protection contre les mauvaises utilisations intentionnelles via des moyens perfectionnés
Niveau de sûreté 4 : protection contre les mauvaises utilisations intentionnelles via des moyens perfectionnés et de nombreuses ressources

Appréciation du risque concernant la sûreté

Le process de développement de sûreté est une extension du process de développement de produit général. La réalisation d’une appréciation du risque est un aspect fondamental d’un process de développement de sûreté conforme à la norme (selon la CEI 62443-4-1 – Exigences du cycle de vie de développement de produits sécurisés). Cette appréciation couvre les dangers et risques du « cyberespace » auxquels un produit est exposé, ainsi que les mesures devant être prises pour les réduire au minimum.

L’appréciation du risque concernant la sûreté devrait toujours être effectuée en respectant les 6 étapes suivantes :

  1. Identification des ressources : que faut-il protéger ?
  2. Analyse des menaces : à quels risques le bien à protéger est-il exposé ?
  3. Détermination d’objectifs de protection pertinents : quels sont les objectifs à atteindre ?
  4. Analyse et évaluation des risques : quel est la probabilité qu’un risque se produise ?
  5. Sélection et mise en œuvre des mesures de protection : comment puis-je assurer une protection contre le risque éventuel ?
  6. Gestion de la résilience : que faut-il faire en cas d’attaque ? Comment puis-je renforcer la sûreté dans l’entreprise ?
Appréciation du risque concernant la sûreté

Cycle de vie de la sûreté

Cycle de vie de la sûreté

La sûreté est une cible mouvante ; autrement dit, elle évolue tout au long du cycle de vie d’un produit. Les assaillants perfectionnent leurs méthodes en permanence afin de contourner les mesures de protection. C’est pourquoi les mesures de lutte contre les cybermenaces doivent être constamment améliorées. Cette responsabilité incombe en premier lieu aux exploitants des installations. Une stratégie de sûreté efficace peut augmenter la durée de vie de leurs installations. Les concepteurs de machines et les fabricants de composants doivent informer immédiatement les exploitants de tout nouveau problème lié à la sécurité. Ils doivent mettre à disposition des mises à jour pour les logiciels de leurs appareils afin que les clients corrigent les points faibles. Lorsque des intégrateurs de systèmes sont associés au processus, ils font office d’intermédiaires entre les fabricants et les exploitants. Il est important que toutes les parties prenantes collaborent étroitement sur l’ensemble du cycle de vie des produits. C’est à cette condition qu’il est possible d’obtenir un niveau de protection élevé.

En savoir plus sur la Sûreté 4.0

Contact

Pilz Automation Safety Canada L.P.
6695 Millcreek Drive, Unit 8
Mississauga, ON, L5N 5R8
Canada

Téléphone: +1 905 821 7459
E-mail: info@pilz.ca

Assistance technique

Téléphone: +1 888-315-PILZ (315-7459)
E-mail: info@pilz.ca