Comment la série IEC 62443 est-elle structurée ?

L’IEC 62443 est structurée en quatre parties principales, chacune traitant d’un aspect différent de la cybersécurité industrielle :

• Généralités
• Politiques & Procédures
• Système
• Composant

La partie Généralités fournit les concepts fondamentaux, la terminologie et les modèles utilisés dans l’ensemble de la série IEC 62443. Elle établit un langage commun et un cadre conceptuel pour toutes les parties prenantes impliquées dans la cybersécurité industrielle.

Les éléments clés comprennent :

• • Définitions des concepts essentiels de cybersécurité tels que zones, conduits, niveaux de sécurité et risque.
  • Description des architectures typiques d’automatisation industrielle et des environnements de menace.
  • Introduction de la stratégie de défense en profondeur pour les systèmes industriels.
  • Alignement des concepts de cybersécurité avec les considérations de sécurité fonctionnelle et de fiabilité.

Cette partie est principalement informative et constitue l’ossature conceptuelle de la norme. Elle garantit que toutes les parties prenantes — techniques et non techniques — partagent une compréhension commune des principes de cybersécurité avant de passer à la mise en œuvre.

La partie Politiques & Procédures se concentre sur les aspects organisationnels et managériaux de la cybersécurité. Elle définit comment les entreprises doivent établir, gérer et améliorer en continu leurs programmes de cybersécurité.

Les principaux thèmes incluent :

• • La gouvernance de la cybersécurité et l’attribution des responsabilités.
  • Les processus d’évaluation et de gestion des risques.
  • La gestion des actifs et la gestion du cycle de vie des systèmes.
  • La réponse aux incidents, la gestion des correctifs (patch management) et la gestion des changements.
  • Les exigences applicables aux prestataires de services et aux intégrateurs.

Cette partie s’adresse principalement aux propriétaires d’actifs et aux prestataires de services, en veillant à ce que la cybersécurité soit intégrée aux processus organisationnels plutôt que traitée comme une simple question technique. Elle souligne que des systèmes sécurisés ne peuvent exister sans une gestion structurée, du personnel formé et des procédures documentées.

La partie Système traite de la cybersécurité au niveau de l’ensemble du système d’automatisation industrielle. Elle définit les exigences techniques pour la conception et la mise en œuvre d’architectures système sécurisées.

Les concepts clés comprennent :

• • Zones et conduits : regroupement d’actifs ayant des exigences de sécurité similaires et contrôle des communications entre eux.
  • Niveaux de sécurité (SL 1–4) : représentant une résistance croissante face à des acteurs de menace ayant des capacités et des motivations différentes.
  • Exigences de sécurité au niveau système concernant le contrôle d’accès, la segmentation du réseau, l’intégrité du système, la surveillance et la disponibilité.
  • Intégration sécurisée de composants provenant de plusieurs fournisseurs.

Cette partie est particulièrement pertinente pour les intégrateurs de systèmes et les architectes en cybersécurité, car elle traduit les objectifs organisationnels de sécurité en architectures techniques concrètes.

La partie Composant se concentre sur les produits individuels tels que les PLC, RTU, IHM, commutateurs industriels et composants logiciels. Elle définit :

• • Les exigences relatives au cycle de développement sécurisé pour les fournisseurs de produits.
  • Les capacités techniques de sécurité que les composants doivent fournir, telles que l’authentification, l’autorisation, la communication sécurisée et les contrôles d’intégrité.
  • Les niveaux de capacité de sécurité alignés sur les exigences de sécurité au niveau système.

Cette section garantit que les composants industriels sont conçus en tenant compte de la cybersécurité et peuvent être intégrés de manière sécurisée dans des systèmes plus larges. Elle est particulièrement pertinente pour les fabricants et les fournisseurs de produits.