Les exigences fondamentales (FR – Foundation Requirements)

Accueil » Normes techniques » Normes IEC » Série IEC 62443 » Les exigences fondamentales (FR – Foundation Requirements)

Dernière modification: 23/02/2026

IEC 62443 Foundation Requirements

En sécurité fonctionnelle, pour atteindre un certain niveau de SIL, des concepts tels que les Défaillances Aléatoires et les Défaillances Systématiques jouent un rôle fondamental.

En sécurité des IACS (ou sécurité OT), un niveau élevé de protection est atteint grâce à un ensemble d’« outils » ou de « techniques » appelés exigences fondamentales (Foundation Requirements – FR). Chaque FR décrit une caractéristique ou une « protection » que l’IACS doit posséder.

La norme IEC 62443 définit 7 exigences fondamentales (FRs) qui constituent la structure centrale des exigences de sécurité au niveau système et composant. Chaque exigence fondamentale traite d’un aspect différent de la cybersécurité et, ensemble, elles forment un cadre complet de défense en profondeur.

  1. FR 1 – Identification et authentification (IAC) : garantit que les utilisateurs et les dispositifs sont correctement identifiés et authentifiés.
  2. FR 2 – Contrôle d’usage (UC) : garantit que les utilisateurs authentifiés ne peuvent effectuer que les actions autorisées.
  3. FR 3 – Intégrité du système (SI) : protège le système contre les modifications non autorisées ou les codes malveillants.
  4. FR 4 – Confidentialité des données (DC) : protège les données sensibles contre toute divulgation non autorisée.
  5. FR 5 – Flux de données restreint (RDF) : contrôle et limite les communications entre zones et conduits.
  6. FR 6 – Réponse rapide aux événements (TRE) : garantit que le système peut détecter, signaler et répondre aux événements de sécurité.
  7. FR 7 – Disponibilité des ressources (RA) : garantit que le système continue de fonctionner même en conditions défavorables (par exemple, attaques par déni de service – DoS).

Ci-après, elles sont décrites plus en détail.

FR 1 – Identification et authentification (IAC)

Objectif : Garantir que tous les utilisateurs, dispositifs et entités logicielles sont correctement identifiés et authentifiés avant d’accéder au système.

Description : Cette exigence garantit que seules les entités autorisées peuvent accéder aux ressources du système. Elle inclut des mécanismes tels que les noms d’utilisateur et mots de passe, les certificats, les jetons ou d’autres méthodes d’authentification. L’authentification doit être adaptée au niveau de risque et peut s’appliquer aux personnes, aux dispositifs ou aux applications.

Une identification et une authentification robustes empêchent les accès non autorisés et les usurpations d’identité, qui constituent souvent les premières étapes des cyberattaques.

Exemples de mesures de contrôle :

    • Comptes utilisateurs uniques (pas d’identifiants partagés)
    • Politiques de mots de passe robustes ou utilisation de certificats
    • Authentification multifacteur lorsque requise
    • Authentification des dispositifs pour l’accès au réseau

FR 2 – Contrôle d’usage (UC)

Objectif : Garantir que les utilisateurs authentifiés ne puissent effectuer que les actions pour lesquelles ils sont autorisés.

Description : Le contrôle d’usage se concentre sur l’autorisation plutôt que sur l’authentification. Une fois qu’un utilisateur ou un système est authentifié, ses actions doivent être limitées conformément aux rôles et aux permissions définis. Cela réduit les usages inappropriés accidentels et limite l’impact potentiel de l’utilisation d’identifiants compromis.

Exemples de mesures de contrôle :

    • Listes de contrôle d’accès (ACL)
    • Séparation des privilèges (opérateur vs ingénieur vs administrateur)
    • Restrictions d’accès aux fonctions critiques pour la sécurité
    • Application du principe du moindre privilège

FR 3 – Intégrité du système (SI)

Objectif : Protéger le système contre toute modification non autorisée ou involontaire.

Description : L’intégrité du système garantit que les logiciels, firmwares, configurations et données restent fiables et non altérés, sauf si les modifications sont autorisées. Cela inclut la protection contre les logiciels malveillants, les modifications non autorisées de configuration et les altérations malveillantes.

Exemples de mesures de contrôle :

    • Démarrage sécurisé (secure boot) et vérifications d’intégrité du firmware
    • Détection et prévention des logiciels malveillants
    • Gestion des configurations et traçabilité des modifications
    • Signature du code et vérification des mises à jour

FR 4 – Confidentialité des données (DC)

Objectif : Empêcher l’accès non autorisé aux informations sensibles.

Description : Cette exigence garantit que les données sensibles — telles que les données opérationnelles, les identifiants ou les informations propriétaires — sont protégées contre toute divulgation non autorisée. Bien que la confidentialité soit souvent moins critique que la disponibilité dans les environnements OT, elle demeure essentielle pour prévenir l’espionnage et les attaques latérales.

Exemples de mesures de contrôle :

    • Chiffrement des données en transit et au repos
    • Protocoles de communication sécurisés
    • Contrôles d’accès aux dépôts de données sensibles

FR 5 – Flux de données restreint (RDF)

Objectif : Contrôler et limiter les chemins de communication à l’intérieur et entre les systèmes.

Description : Cette exigence impose la segmentation du système en zones et en conduits, garantissant que les flux de données ne circulent que là où cela est explicitement autorisé. Elle minimise la propagation des attaques et limite l’ampleur des conséquences en cas de compromission.

Exemples de mesures de contrôle :

    • Segmentation et zonage du réseau
    • Pare-feu et passerelles de sécurité industrielles
    • Liste blanche des chemins de communication et des protocoles
    • Zones démilitarisées (DMZ) entre les réseaux IT et OT

FR 6 – Réponse rapide aux événements (TRE)

Objectif : Garantir la détection, la notification et la réponse rapides aux événements de cybersécurité.

Description : Les systèmes doivent être capables de détecter des activités anormales ou malveillantes et de générer des alertes afin que les opérateurs puissent intervenir avant que des dommages ne surviennent. Cela inclut les mécanismes de journalisation (logging), de surveillance et d’alarme.

Exemples de mesures de contrôle :

    • Journalisation des événements de sécurité et génération d’alertes
    • Systèmes de détection d’intrusion (IDS)
    • Synchronisation temporelle pour une corrélation précise des événements
    • Procédures de réponse aux incidents

FR 7 – Disponibilité des ressources (RA)

Objectif : Garantir que le système reste opérationnel et résilient en conditions défavorables.

Description : La disponibilité des ressources vise à protéger le système contre les conditions de déni de service, les défaillances d’équipements ou l’épuisement des ressources. Elle est particulièrement critique dans les environnements industriels où les interruptions peuvent avoir des conséquences en matière de sécurité ou d’impact économique.

Exemples de mesures de contrôle :

    • Mécanismes de redondance et de basculement (failover)
    • Gestion de la capacité et contrôle de la charge
    • Protection contre les attaques par déni de service (DoS)
    • Alimentation de secours et chemins de communication redondants
Les Vecteurs SL

Index

Série IEC 62443 IEC 62443-3-2 Les niveaux de sécurité IEC 62443 Comment la série IEC 62443 est-elle structurée ? Les exigences fondamentales (FR – Foundation Requirements) Les Vecteurs SL