top of page

IEC 62443 (ISA-99)
Cybersécurité des systèmes de contrôle

Un bref rappel historique

La norme IEC 62443 est née des travaux de l’ISA (International Society of Automation) au début des années 2000, à une époque où les risques d’attaque contre les systèmes d’information étaient déjà reconnus mais où les installations industrielles semblaient à l’abri d’attaques similaires en raison de la spécificité de leurs matériels et logiciels et du fait qu’elles étaient en règle générale peu connectées avec le monde extérieur.

Aujourd’hui les choses ont bien changé et aucune installation industrielle n’est à l’abri de cyber-attaques sur les automatismes et les systèmes de contrôle de procédé mettant en cause le bon fonctionnement des installations industrielles et pouvant porter atteinte à la sécurité des biens et des personnes.

 

Qu’est-ce que l’IEC 62443

L’IEC 62443 est une série de normes élaborées au sein du comité TC65 en collaboration avec le comité ISA99 de l’ISA. C’est un référentiel qui permet aux acteurs de construire un système de protection efficace satisfaisant aux exigences de ces normes.

Ce référentiel est actuellement structuré en quatre niveaux apparaissant dans la figure ci-dessous :

  • niveau « généralités »

  • niveau « organisation » : policies & procédures

  • niveau « systèmes »

  • niveau « produits » 

La norme est d’application générale : initialement conçue pour répondre aux besoins des systèmes d’automatisme, elle est à présent d’application générale et peut être utilisée pour tous les systèmes d’automatisme et de contrôle, notamment dans les domaines des chemins de fer, du building automation, du médical, des infrastructures, etc.

Les rôles

La norme distingue plusieurs rôles, correspondant aux différentes étapes du cycle de vie de produits et de systèmes de contrôle :

  • les fournisseurs de produits (produits/systèmes ou composants)

  • les fournisseurs de services d’intégration

  • les exploitants

  • les fournisseurs de services  de maintenance

  • les responsables juridiques et/opérationnels du système de contrôle (asset owners).

En fonction du rôle qu’elle occupe, chaque partie prenante trouve dans la série de normes les standards qui le concernent et donc les exigences qu’il doit respecter.

Quel rapport avec les autres normes ou règlements (ISO 27001, ANSSI…)

La norme IEC 62443 ne se substitue pas à la norme ISO 27001 qui s’applique au niveau d’une organisation prise dans son ensemble. Elle la complète et la précise en ce qui concerne les systèmes d’automatisme et de contrôle (les ACS : Automation Control Systems).

La norme IEC 62443 ne dispense pas de satisfaire aux obligations réglementaires telles que celles dont l’ANSSI a la responsabilité (OIV et OSE). Mais son respect rejoint la plupart des exigences imposées par les textes réglementaires français à certaines installations. Son respect permettra également aux fournisseurs de produits de se mettre en conformité avec le cyber-résilience Act européen.

Certification

Il est possible de certifier au titre de l’IEC 62443 des produits, des systèmes, des processus de développement ou des organisations. Ces certifications sont délivrées par l’IEC dans le cadre de son programme IECEE.

Il peut être aussi fait appel à l’organisme ISA Secure

Formation

L’Automation Hub propose des formations, en inter-entreprises ou en intra, permettant d’acquérir les fondamentaux sur l’IEC 62443, de comprendre l’articulation des différents textes et de se familiariser avec les exigences essentielles des principaux texte

 

Pour tout renseignement sur l’IEC 62443 et notamment sur les formations, consulter l’Automation Hub et son programme de formation.

isa99.png
Expert 
DSC_0199.JPG

Jean-Pierre Hauet

  • LinkedIn Social Icône

Membre votant au comité ISA99

Besoin de plus d'infos ? Contactez nous 

Si vous avez besoin d'assistance, n'hésitez pas à nous contacter.

bottom of page