La norme IEC 62443 (anciennement ISA-99) est un ensemble de standards internationaux développés conjointement par la Commission électrotechnique internationale (CEI) et l'International Society of Automation (ISA).

Contrairement aux normes de sécurité informatique traditionnelles comme l'ISO/CEI 27001, l'IEC 62443 est spécialement conçue pour répondre aux défis des environnements industriels, où la disponibilité et l'intégrité des systèmes sont souvent plus critiques que la confidentialité des données. Si un système de contrôle d'une centrale électrique tombe enpanne à cause d'une cyberattaque, les conséquences immédiates sur l'approvisionnement en énergie peuvent être bien plus graves que la fuite de certaines données.

La norme IEC 62443 se découpe en quatre groupes principaux, dont voici la structure :

1. Concepts généraux

2. Politiques et procédures

3. Exigences système

4. Exigences pour les composants

Autre concept fondamental de l'IEC 62443 : les niveaux de sécurité (Security Levels en anglais ou SL). La norme définit ainsi cinq niveaux de sécurité, de SL0 (aucune protection requise) à SL4 (protection contre les attaques sophistiquées avec des ressources importantes). Ces niveaux s'appliquent à plusieurs dimensions. Cette approche basée sur les risques permet aux entreprises d'adapter leurs mesures de sécurité en fonction des besoins de leurs systèmes.

Pourquoi la norme IEC 62443 est-elle si importante ?

Avec l'avènement de l'Industrie 4.0, les systèmes IT et OT convergent de plus en plus. Le problème de cette convergence, c’est qu’elle crée de nouvelles vulnérabilités. Pour une raison simple à comprendre : les systèmes industriels autrefois isolés se retrouvent à présent connectés à des réseaux d'entreprise et à Internet. La norme IEC 62443 fournit un cadre réglementaire pour gérer cette convergence de manière sécurisée.

Dans les années 2010, les incidents et les attaques, comme le ver informatique Stuxnet et le logiciel malveillant NotPetya, se sont multipliés. Ils ont révélé à quel point les infrastructures industrielles sont devenues des cibles privilégiées. La norme IEC 62443 aide les entreprises à se protéger contre ces nouvelles menaces. De nombreux secteurs d’activité réglementés (comme l’énergie, l’eau ou encore la chimie) ont adopté la norme IEC 62443 comme référence pour leurs exigences de cybersécurité. Si se conformer à cette norme est une nécessité pour répondre aux obligations légales, elle permet aussi d'améliorer la sécurité pour les fabricants d'équipements industriels et les intégrateurs de systèmes.

Comment mettre en œuvre la norme IEC 62443 ?

La première étape pour mettre en œuvre la norme IEC 62443 consiste à segmenter les systèmes industriels en zones et conduits. Autrement dit, en groupes d'actifs partageant les mêmes exigences de sécurité et connectés par des canaux de communication. Le but de cette segmentation est précisément de limiter la propagation des attaques au sein du réseau.

L’étape suivante est celle de l’évaluation des risques, c’est-à-dire analyser les failles, les menaces potentielles et leur impact pour déterminer les niveaux de sécurité cibles pour chaque zone et conduit. Ce travail permet de sélectionner et mettre en œuvre des contrôles de sécurité techniques et organisationnels appropriés pour atteindre les niveaux de sécurité cibles. Et ce, en tenant compte des sept exigences fondamentales prévues par la norme :

• Contrôle d'identification et d'authentification
• Contrôle d'utilisation
• Intégrité du système
• Confidentialité des données
• Restriction des flux de données
• Réponse aux événements
• Disponibilité des ressources

Pour démontrer la conformité de leurs produits, systèmes ou processus, les entreprises peuvent chercher à obtenir des certifications, délivrées par des organismes accrédités après un audit rigoureux.

Pour aller plus loin : défis et bonnes pratiques

La norme IEC 62443 pose un certain nombre de défis. À commencer par les systèmes hérités. Nombreux sont les environnements industriels qui continuent d’utiliser des équipements obsolètes qui n'ont pas été conçus en priorisant la sécurité. D’autres défis concernent les contraintes opérationnelles, les exigences de disponibilité étant susceptibles de limiter la possibilité d'appliquer certaines mesures de sécurité. Ajoutons que la mise en œuvre nécessite des compétences à la fois en cybersécurité informatique et en systèmes industriels. D’où l’importance de se faire accompagner par un expert en la matière :
Adamante Cyber vous propose un portefeuille de services complet avec conseil, formation et
simulation.

Du côté des bonnes pratiques, adoptez une approche progressive : commencez par une évaluation de la maturité actuelle avant de mettre en œuvre les améliorations. Veillez à bien impliquer toutes les parties prenantes pour assurer une collaboration efficace et transparente entre les équipes IT et OT. Enfin, continuez à effectuer des évaluations de sécurité pour identifier et corriger les éventuelles vulnérabilités.

Pilier essentiel de la cybersécurité industrielle, la norme IEC 62443 fournit un cadre complet pour protéger vos infrastructures critiques tout en maintenant vos opérations. Des fabricants d'équipements aux intégrateurs de systèmes en passant par les équipes sur site et l’utilisateur final, comprendre et appliquer cette norme est un guide de navigation dans un contexte de plus en plus complexe. Au-delà de la question de conformité, l’adoption de la norme IEC 62443 est un investissement stratégique dans la résistance aux cyberattaques et autres menaces.