Sécurité informatique

Une nouvelle exigence essentielle de santé et de sécurité a été ajoutée pour traiter le problème de la sécurité d’une machine qui pourrait être affectée par des attaques de sécurité informatique liées à l’accès direct ou à distance à un système de commande lié à la sécurité par des personnes à des fins d’abus intentionnel (utilisations non intentionnelles).

L’objectif n’est pas que la machine soit si bien protégée qu’une intrusion dans son système de commande soit impossible. L’objectif est que :

• La machine soit protégée de manière adéquate contre les attaques ayant un impact sur son ESSR
• En cas de violation, la machine la détecte.
• Les logiciels et les données utilisés par le système de commande qui ont un impact sur l’ESSR de la machine sont tout d’abord identifiés, puis protégés de manière adéquate.

1.1.9. Protection contre la corruption

La machine ou le produit connexe est conçu et construit pour que la connexion à la machine d’un autre dispositif, par l’intermédiaire de toute caractéristique du dispositif connecté lui-même ou de tout dispositif à distance qui communique avec la machine ou le produit connexe, ne conduise pas à une situation dangereuse.

Un composant matériel transmettant un signal ou des données, pertinent pour la connexion ou l’accès à un logiciel qui est essentiel pour la conformité de la machine ou du produit connexe aux exigences essentielles de santé et de sécurité applicables, est conçu de manière à être protégé de manière adéquate contre toute altération accidentelle ou intentionnelle. La machine ou le produit connexe recueille la preuve d’une intervention légitime ou illégitime sur ce composant matériel, lorsqu’elle est pertinente pour la connexion ou l’accès à un logiciel essentiel à la conformité de la machine ou du produit connexe.

Les logiciels et les données qui sont essentiels à la conformité de la machine ou du produit connexe aux exigences essentielles de santé et de sécurité applicables sont identifiés comme tels et sont protégés de manière adéquate contre toute altération accidentelle ou intentionnelle.

La machine ou le produit connexe identifie les logiciels qui y sont installés et qui sont nécessaires à son fonctionnement en toute sécurité, et est en mesure de fournir ces informations à tout moment sous une forme facilement accessible.

Différentes normes traitent des questions de sécurité informatique :

• Série IEC/TS 62443 : Réseaux de communication industriels – Sécurité des réseaux et des systèmes
• IEC/TR 63074 : 2023 Sécurité des machines – Aspects de la sécurité liés à la sécurité fonctionnelle des systèmes de commande de sécurité.
• ISO/TR 22053 : Sécurité des machines – Sauvegarde du système de soutien
• ISO/TR 22100-4 : 2018 – Sécurité des machines – Relations avec l’ISO 12100 – Partie 4 : Guide à l’intention des fabricants de machines pour la prise en compte des aspects connexes de la sécurité des TI (cybersécurité).

Aucune de ces normes n’est harmonisée avec la Directive Machines et ne sera harmonisée avec le Règlement Machines. Un groupe de travail a été lancé en mai 2023 avec pour mission de rédiger une norme IEC, qui sera harmonisée avec le Règlement (EU) 2023/1230.