{"id":190206,"date":"2020-07-29T07:38:26","date_gmt":"2020-07-29T06:38:26","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=190206"},"modified":"2024-12-02T10:56:26","modified_gmt":"2024-12-02T09:56:26","slug":"iec-62443-le-standard-incontournable-de-la-cybersecurite-industrielle","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/iec-62443-le-standard-incontournable-de-la-cybersecurite-industrielle\/","title":{"rendered":"IEC 62443, le standard incontournable de la cybers\u00e9curit\u00e9 industrielle"},"content":{"rendered":"

\"IEC<\/p>\n

Pendant longtemps, les risques cyber dans le monde industriel semblaient ne concerner que les secteurs sensibles, comme ceux de l\u2019\u00e9nergie ou du nucl\u00e9aire. Mais des cyberattaques r\u00e9centes ont d\u00e9montr\u00e9 le contraire\u00a0: peu importe la nature des r\u00e9seaux op\u00e9rationnels et de leurs champs d\u2019application, ceux-ci peuvent \u00e0 tout moment se retrouver expos\u00e9s \u00e0 des actes de malveillance informatique. D\u2019autant plus avec la connectivit\u00e9 grandissante avec l\u2019IT. Face \u00e0 cette question de la cybers\u00e9curit\u00e9 des installations industrielles et des syst\u00e8mes informatiques industriels, le standard IEC 62443 s\u2019av\u00e8re incontournable. Pr\u00e9sentation.<\/strong><\/p>\n

La certification IEC 62443 des solutions de cybers\u00e9curit\u00e9 d\u00e9ploy\u00e9es dans les environnements industriels est \u00e9galement un incontournable. Mais \u00e7a, c'est une autre histoire<\/a>.<\/p>\n

 <\/p>\n

Une base commune pour la cybers\u00e9curit\u00e9 industrielle<\/h2>\n

D\u00e8s 2007, les premiers r\u00e9f\u00e9rentiels sp\u00e9cifiques \u00e0 la cybers\u00e9curit\u00e9 industrielle voient le jour, sous l\u2019impulsion du comit\u00e9 99 de l\u2019ISA. Quelques ann\u00e9es plus tard, la norme internationale IEC 62443 est n\u00e9e. Elle propose un cadre de cyberd\u00e9fense en profondeur des syst\u00e8mes industriels, que ce soit ceux de la petite usine de production de chocolat du coin, ceux d\u2019une station d'\u00e9puration ou ceux d\u2019un r\u00e9seau de transport<\/a>. \u00ab\u00a0Une cyberattaque, m\u00eame sur une petite entreprise qui fait du remplissage de boissons, peut provoquer un arr\u00eat de production et par l\u00e0 m\u00eame un impact financier lui-m\u00eame potentiellement fatal pour l\u2019entreprise<\/em>\u00a0\u00bb, explique Khobeib Ben Boubaker<\/strong>, Head of Industrial Security Business Line chez Stormshield.<\/p>\n

\"IEC<\/a><\/p>\n

Jusqu\u2019alors il y avait d\u2019un c\u00f4t\u00e9 la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (ISO 27000), et de l\u2019autre la s\u00e9curit\u00e9 industrielle (s\u00fbret\u00e9 de fonctionnement et s\u00e9curit\u00e9 fonctionnelle avec l\u2019IEC 61508 et les normes sectorielles). La norme IEC 62443 sert d\u00e9sormais de liant \u00e0 ces deux environnements qui, de fait, convergent de plus en plus. Elle constitue un cercle vertueux au service d\u2019une gestion du risque de cybers\u00e9curit\u00e9 des installations industrielles dans son ensemble<\/strong>. Mais cette crois\u00e9e des chemins entre l\u2019OT et l\u2019IT<\/a> s\u2019av\u00e8re encore complexe. \u00ab\u00a0L\u2019univers IT est tr\u00e8s centr\u00e9 sur la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9\u00a0: en cas de suspicion d\u2019attaques, on aura tout de suite cette tendance \u00e0 d\u00e9brancher le syst\u00e8me. En revanche, une usine, elle, a besoin de produire sans interruption et doit faire face aux risques humains comme environnementaux<\/em>\u00a0\u00bb, assure Fabien Miquet<\/strong>, Product and Solution Security Officer chez Siemens.<\/p>\n

L\u2019univers IT est tr\u00e8s centr\u00e9 sur la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9\u00a0: en cas de suspicion d\u2019attaques, on aura tout de suite cette tendance \u00e0 d\u00e9brancher le syst\u00e8me. En revanche, une usine, elle, a besoin de produire sans interruption et doit faire face aux risques humains comme environnementaux<\/em><\/p>\n

Fabien Miquet,<\/strong> Product and Solution Security Officer chez Siemens<\/pre>\n<\/blockquote>\n
Mais la norme IEC 62443 est un ensemble de recommandations, elle ne s\u2019impose pas aux industriels ni \u00e0 leurs infrastructures critiques. Une flexibilit\u00e9 qui permet \u00e0 la norme de s\u2019adapter aux contextes et aux sp\u00e9cificit\u00e9s des installations critiques. \u00ab\u00a0La norme IEC 62443 est une v\u00e9ritable r\u00e9f\u00e9rence pour la cybers\u00e9curit\u00e9 des installations industrielles, puisqu\u2019elle sert de base commune<\/strong>. Elle peut servir partiellement, selon les besoins, ou \u00eatre compl\u00e9t\u00e9e par une autre norme m\u00e9tier. Par exemple, l\u2019IEC 61850 se r\u00e9f\u00e8re aux installations \u00e9lectriques<\/a>, qui vont avoir une r\u00e9alit\u00e9 op\u00e9rationnelle diff\u00e9rente dans une sous-station, dans un Smart Building<\/a>, ou encore dans un \u00e9tablissement hospitalier<\/a><\/em>\u00a0\u00bb, t\u00e9moigne Khobeib Ben Boubaker. Cette norme semble donc n\u00e9cessaire et structurante, d\u2019autant plus que \u00ab\u00a0le monde industriel est tr\u00e8s h\u00e9t\u00e9rog\u00e8ne de par la quantit\u00e9 de m\u00e9tiers qui le compose<\/em>, d\u00e9clare Anthony Di Prima<\/strong>, Senior Manager chez Wavestone. En fonction de si l\u2019on appartient au monde de la chimie, de l'\u00e9nergie, les composants et les syst\u00e8mes diff\u00e8rent. La norme IEC 62443 porte en elle un projet d\u2019harmonisation des bonnes pratiques cyber sur ce march\u00e9 fragment\u00e9 et qui a pour habitude d\u2019\u00e9voluer en syst\u00e8me ferm\u00e9. Ce standard permet d'\u00e9voluer vers plus d'interop\u00e9rabilit\u00e9 et ce, avec une port\u00e9e internationale<\/em>\u00a0\u00bb.<\/p>\n
 <\/p>\n
IEC 62443, au c\u0153ur de la b\u00eate<\/h2>\n
La norme IEC 62443 est compos\u00e9e de plusieurs documents \u2013 pour publics avertis \u2013, regroup\u00e9s en quatre parties.<\/p>\n