Série de normes sur la cybersécurité CEI 62443

La série de normes internationales CEI 62443 « Réseaux de communication industriels – Sécurité informatique des réseaux et systèmes » montre comment introduire la sécurité informatique dans le domaine des automatismes. Les thèmes abordés vont de l’analyse des risques au développement des produits en toute sécurité (cybersécurité dès la conception), en passant par les exigences pour garantir une exploitation sécurisée. Ainsi, la norme CEI 62443 constitue actuellement la meilleure aide à l’orientation pour les exploitants d’installations, les constructeurs de machines et les fabricants d’appareils qui souhaitent mettre en œuvre la cybersécurité industrielle de manière efficace.

La norme CEI 62443 considère cinq domaines : les exigences fondamentales en matière de cybersécurité industrielle, le principe des zones et des conduits, les niveaux de sécurité, le cycle de vie de la cybersécurité, ainsi que l’analyse des risques.

Dans ce contexte, l’élément clé est la procédure d’évaluation des risques de cybersécurité, qui peut servir de base pour la définition de mesures de cybersécurité sur mesure. L’interaction entre les mesures organisationnelles et techniques est également mise en avant. Les solutions techniques seules conduisent dans le pire des cas à une sécurité de façade, car les mesures techniques peuvent facilement être mises à mal par le comportement des personnes. Par exemple, un mot de passe ne protège que s’il est modifié, non partagé et non visible sur l’appareil.

Les systèmes d’automatismes industriels nécessitent une approche de type défense en profondeur pour répondre aux exigences de cybersécurité des technologies d’exploitation (OT). Grâce à son savoir-faire d’expert, Pilz accompagne les fabricants et exploitants de machines dans la mise en œuvre des exigences organisationnelles et techniques, et plus particulièrement de la norme CEI 62443.

La mise en place d’un concept de cybersécurité industrielle associée au respect des normes et des exigences réglementaires permet d’augmenter significativement la cybersécurité d’une entreprise, y compris au niveau des machines. 

ISO/CEI TS 63074:2023

« Safety of machinery – Security aspects related to functional safety of safety-related control systems » (Sécurité des machines – Aspects de cybersécurité liés à la sécurité fonctionnelle des systèmes de commande relatifs à la sécurité)

Cette norme est essentiellement axée sur les interactions entre la sécurité et la cybersécurité. Elle touche se situe donc au cœur de ce qu’exige le règlement machines. En ce qui concerne l’identification des menaces et vulnérabilités en matière de sécurité, elle s’inspire de la série de normes CEI 62443. Elle prend en considération les vulnérabilités du système de commande de sécurité qui pourraient être exploitées dans le cadre de menaces de cybersécurité (telles qu’un accès non autorisé, des logiciels malveillants ou des cyberattaques). L’objectif consiste à protéger les fonctions de sécurité de façon à ce qu’elles puissent effectivement déployer leur effet protecteur. Un principe de défense en profondeur est particulièrement recommandé pour assurer la sécurité.

Ce document définit les cas d’application et leur applique des modèles de menaces correspondants. Cela permet de comprendre comment les menaces de cybersécurité peuvent agir sur la sécurité. Les autres conséquences d’une cyberattaque ne sont pas explicitement prises en compte.

ISO 27001 – Systèmes de gestion de la sécurité de l’information (ISMS)

La norme NIS 2 introduit le thème de la gestion des systèmes de sécurité de l’information. Une attention particulière doit être portée à la norme ISO/CEI 27001, laquelle est reconnue et certifiable dans le monde entier en tant que standard de facto pour la sécurité de l’information. Elle établit les exigences imposées à un système de gestion de la sécurité de l’information.

Il est ici question de sécurité de l’information et non de sécurité informatique, car toutes les informations doivent être protégées, qu’elles soient numériques ou analogiques (manuscrites, orales, illustrées), qu’elles figurent sur une feuille de papier ou qu’elles soient stockées dans le cloud. Étant donné que de nos jours, de nombreuses informations sont traitées informatiquement, la cybersécurité de la technologie de l’information joue un rôle important.

Il s’agit essentiellement de réduire les risques pour la sécurité de l’information dans tous les domaines au sein d’une organisation. De ce fait, les moyens de production tels que les machines et les réseaux de la technologie d’exploitation sont également concernés.

Quand une organisation a besoin d’un ISMS conforme à la norme ISO/CEI 27001 pour satisfaire à certaines exigences de la technologie d’exploitation (par exemple des obligations légales ou des accords contractuels avec un client) ou qu’elle souhaite le mettre en œuvre de sa propre initiative (par exemple pour se protéger elle-même ou pour pouvoir utiliser une norme de qualité afin de se faire connaître), elle ne peut pas faire l’impasse sur le thème de la cybersécurité industrielle.

La boucle est ainsi bouclée avec la norme CEI 62443, qui offre actuellement le meilleur cadre pour prendre en considération le thème de la sécurité de l’information dans le domaine de la cybersécurité industrielle.

La menace croissante engendrée par les cyberattaques capables de causer des dommages économiques considérables conduit le monde entier à introduire des conditions générales réglementaires afin que les entreprises, les installations industrielles, les machines et les composants de machines répondent à des normes minimales. La cybersécurité est une nouvelle exigence incontournable, spécialement pour les infrastructures critiques.

Afin de réduire les dangers, le législateur européen a élaboré de nouveaux cadres réglementaires.

Règlement machines

Adopté en juin 2023, le règlement machines 2023/1230 est devenu obligatoire pour tous les états membres de l’Union européenne après une période de transition de 42 mois. Le règlement machines s’applique aux fabricants de machines ou de composants destinés à des machines, et donc aux producteurs (OEM = Original Equipment Manufacturer ou équipementier) et aux intégrateurs de systèmes. Les fabricants de machines devront à l’avenir certifier que leurs machines sont conformes au règlement machines, lequel contient également des aspects en lien avec la cybersécurité. Cela inclut la protection contre la falsification et des mesures permettant de contrer les tentatives malveillantes de tiers visant à provoquer des situations dangereuses. Le respect du règlement machines est formellement attesté dans la déclaration de conformité. Par souci de visibilité, la machine est identifiée par le marquage CE. Les machines qui ne satisfont pas aux exigences du nouveau règlement machines ne peuvent plus être commercialisées au sein de l’Union européenne.

Depuis de nombreuses années déjà, Pilz accompagne les fabricants de machines dans leur processus de conformité, et ce dans pratiquement tous les domaines tels que les solutions d’amélioration, l’analyse des risques et l’appréciation du risque, jusqu’à la déclaration de conformité. À l’avenir, nous nous chargerons également des aspects en lien avec la cybersécurité.

Deuxième directive européenne sur la sécurité des réseaux et de l’information (NIS 2) 2022/2555

La nouvelle directive européenne applicable aux réseaux et aux systèmes d’information (NIS 2) prévoit un niveau de protection uniforme contre les cyberattaques pour les installations « essentielles et importantes » au sein de l’Union européenne. Contrairement au règlement machines, elle décrit les exigences de cybersécurité imposées aux entreprises et non aux machines. Cette directive contient différentes exigences applicables à des domaines distincts, en fonction de l’importance d’une entreprise pour l’économie nationale (criticité). Les entreprises des secteurs de l’approvisionnement en énergie ou du transport ferroviaire, par exemple, sont considérées comme hautement critiques. Par ailleurs, les fabricants de machines et d’installations employant plus de 50 personnes ou réalisant un chiffre d’affaires annuel supérieur à 10 millions d’euros, y compris dans des secteurs moins critiques, sont entre autres concernés par la NIS 2.

Les entreprises doivent prendre des mesures techniques, opérationnelles et organisationnelles pour maîtriser les risques liés à la sécurité des réseaux et des systèmes d’information. La formation des cadres dirigeants et des collaborateurs en fait notamment partie. Il s’agit de tenir compte non seulement de la technologie de l’information (IT) de bureau classique, mais aussi de la technologie d’exploitation (OT) et donc de la cybersécurité industrielle.

Cyber Resilience Act (2024/2847)

Le Cyber Resilience Act (CRA) a pour objectif d’améliorer les caractéristiques de cybersécurité des produits contenant des éléments numériques. Par conséquent, il concerne les fabricants ainsi que ceux qui mettent des produits sur le marché. Les fabricants de machines en font également partie. Le CRA introduit des exigences de cybersécurité contraignantes applicables à l’ensemble du cycle de vie des produits. Il impose une obligation de diligence sur l’intégralité du cycle de vie, laquelle implique également l’obligation pour les fabricants de fournir des mises à jour logicielles pour la gestion des correctifs de l’exploitant sur une période d’au moins 5 ans dès lors qu’une vulnérabilité liée à la cybersécurité a été identifiée dans le produit. Avec l’entrée en vigueur du CRA, le marquage CE des produits présuppose le respect de cette obligation. Ainsi, le CRA complète la directive NIS 2 et le règlement machines en leur introduisant les propriétés relatives à la cybersécurité dans les produits.