Série IEC 62443

La série IEC 62443 est un ensemble de normes internationalement reconnues, élaborées pour traiter la cybersécurité des systèmes d’automatisation et de contrôle industriels (IACS). Elle fournit un cadre complet basé sur le risque afin de sécuriser les environnements industriels tout au long de leur cycle de vie, depuis la conception et la mise en œuvre jusqu’à l’exploitation et la maintenance.

Contrairement aux normes de sécurité informatique traditionnelles, l’IEC 62443 est spécifiquement adaptée aux besoins et aux contraintes des systèmes industriels, où la disponibilité, la sécurité et la fiabilité sont essentielles. La norme adopte une approche de défense en profondeur et définit les responsabilités de multiples parties prenantes, notamment les propriétaires d’actifs, les intégrateurs de systèmes et les fournisseurs de produits.

Le sujet de la sécurité OT est de plus en plus discuté parmi les professionnels travaillant dans les domaines de la sécurité des machines et des procédés. Voici quelques exemples récents de cyberattaques contre des réseaux OT.

Le 1er septembre 2025, le constructeur automobile britannique Jaguar Land Rover (JLR) a été victime d’une cyberattaque majeure qui a entraîné un arrêt quasi complet de ses opérations de production mondiales. L’incident a affecté à la fois les systèmes informatiques (IT) et les systèmes automatisés OT/de production et a été largement décrit comme l’un des incidents cybernétiques les plus perturbateurs du secteur manufacturier britannique.

Le 7 mai 2021, l’opérateur américain d’oléoducs Colonial Pipeline a détecté une intrusion informatique qui l’a contraint à arrêter ses systèmes de technologie opérationnelle, provoquant des pénuries de carburant à grande échelle sur la côte Est des États-Unis. L’attaque a directement touché une infrastructure critique (distribution d’énergie) ; elle a entraîné un arrêt opérationnel complet — une issue rare pour une attaque par rançongiciel — et a mis en évidence des lacunes fondamentales en matière de cybersécurité dans les environnements OT/ICS connectés aux réseaux IT. Les attaquants ont pénétré dans le système par le biais d’un compte VPN compromis qui ne disposait pas d’une authentification multifactorielle (MFA). L’arrêt a commencé le 7 mai 2021 et s’est poursuivi pendant plusieurs jours. Colonial Pipeline a versé environ 4,4 millions de dollars en Bitcoin aux attaquants peu après l’incident. Par la suite, les forces de l’ordre américaines ont récupéré environ 2,3 millions de dollars du paiement de la rançon.

À mesure que la transformation numérique s’accélère dans les secteurs industriels, la distinction entre la sécurité des technologies de l’information (IT) et celle des technologies opérationnelles (OT) est devenue de plus en plus importante. Bien que les deux domaines visent à protéger les systèmes contre les cybermenaces, ils diffèrent fondamentalement en termes d’objectif, de tolérance au risque et de priorités opérationnelles. Comprendre ces différences est essentiel pour concevoir des stratégies de cybersécurité efficaces dans les environnements industriels modernes.

Fondamentalement, la sécurité IT se concentre sur la protection de l’information. Son objectif principal est de garantir la confidentialité, l’intégrité et la disponibilité des données — souvent appelées la triade CIA. Les systèmes IT gèrent des données d’entreprise telles que les courriels, les dossiers financiers, les informations clients et les applications d’entreprise. Une violation dans le domaine IT entraîne généralement une perte de données, une atteinte à la réputation ou des sanctions réglementaires.

En revanche, la sécurité OT est centrée sur la protection des processus physiques. Les systèmes OT contrôlent et surveillent des opérations industrielles telles que les lignes de production, la production d’énergie, le traitement de l’eau et les systèmes de transport. Dans ces environnements, la disponibilité et la sécurité sont primordiales. Un incident de cybersécurité en OT peut provoquer des dommages matériels, des atteintes à l’environnement, voire des pertes humaines, rendant les conséquences potentiellement bien plus graves que dans les systèmes IT traditionnels.

L’IT et l’OT diffèrent fortement en ce qui concerne la priorité accordée aux trois aspects clés des systèmes électroniques :

• • Disponibilité
  • Confidentialité
  • Intégrité

L’une des différences les plus fondamentales entre la sécurité IT et OT réside dans la manière dont la disponibilité du système est traitée. Dans les environnements IT, les interruptions de service, bien qu’indésirables, sont souvent acceptables si elles permettent de corriger des vulnérabilités ou de restaurer les systèmes en toute sécurité. Dans les environnements OT, en revanche, une interruption peut arrêter la production, endommager les équipements ou mettre en danger le personnel.

Par conséquent, la sécurité OT privilégie la continuité d’exploitation et la stabilité des systèmes, parfois même au détriment de l’application immédiate de correctifs de sécurité. Cela contraste avec les environnements IT, où les mises à jour fréquentes et les changements rapides sont une pratique courante.

L’objectif principal de la série IEC 62443 est de fournir un cadre flexible permettant de traiter les vulnérabilités actuelles et futures des IACS et d’appliquer les mesures d’atténuation nécessaires de manière systématique et défendable. Il est important de comprendre que l’intention de la série IEC 62443 est de développer des extensions à la sécurité d’entreprise, en adaptant les exigences des systèmes IT métiers et en les combinant avec les exigences spécifiques de forte disponibilité nécessaires aux IACS.

Le terme « Industrial Automation and Control Systems » (IACS) désigne les systèmes de contrôle utilisés dans les usines de fabrication et de transformation, les systèmes de contrôle environnemental des bâtiments, les opérations géographiquement dispersées telles que les services publics (c’est-à-dire électricité, gaz et eau), les pipelines ainsi que les installations de production et de distribution pétrolière, et d’autres industries et applications telles que les réseaux de transport, qui utilisent des actifs automatisés ou contrôlés ou surveillés à distance.

[IEC 62443-1-1: 2009]  3 Termes, définitions et abréviations

3.2.57 systèmes d’automatisation et de contrôle industriels – IACS

Ensemble de personnels, de matériels et de logiciels pouvant affecter ou influencer le fonctionnement sûr, sécurisé et fiable d’un procédé industriel.

NOTE : Ces systèmes incluent, sans s’y limiter :

 les systèmes de contrôle industriel, y compris les systèmes de contrôle distribués (DCS), les automates programmables industriels (PLC), les unités terminales distantes (RTU), les dispositifs électroniques intelligents, les systèmes de supervision et d’acquisition de données (SCADA), les systèmes électroniques de détection et de contrôle en réseau, ainsi que les systèmes de surveillance et de diagnostic. (Dans ce contexte, les systèmes de contrôle des procédés comprennent les fonctions de contrôle de base des procédés et les fonctions des systèmes instrumentés de sécurité (SIS), qu’ils soient physiquement séparés ou intégrés.)

les systèmes d’information associés tels que le contrôle avancé ou multivariable, les optimiseurs en ligne, les systèmes dédiés de surveillance d’équipements, les interfaces graphiques, les historiens de procédés, les systèmes d’exécution de la fabrication et les systèmes de gestion des informations d’usine.

les interfaces internes associées, humaines, réseau ou machine, utilisées pour fournir des fonctionnalités de contrôle, de sécurité et d’exploitation de production aux procédés continus, par lots, discrets et autres.

Le terme « sécurité » est ici entendu comme la prévention de toute pénétration illégale ou non souhaitée, de toute interférence intentionnelle ou non intentionnelle avec le fonctionnement correct et prévu, ou de tout accès inapproprié à des informations confidentielles dans les IACS. La cybersécurité, qui constitue l’objet spécifique de cette spécification technique, comprend les ordinateurs, les réseaux, les systèmes d’exploitation, les applications et les autres composants programmables et configurables du système.

Le public visé par la série IEC 62443 comprend tous les utilisateurs d’IACS (y compris les opérations des installations, la maintenance, l’ingénierie et les composantes corporatives des organisations utilisatrices), les fabricants, les fournisseurs, les organismes gouvernementaux impliqués ou concernés par la cybersécurité des systèmes de contrôle, les praticiens des systèmes de contrôle et les spécialistes de la sécurité. Étant donné que la compréhension mutuelle et la coopération entre les technologies de l’information (IT) et les organisations d’exploitation, d’ingénierie et de production sont essentielles au succès global de toute initiative de sécurité, cette spécification technique constitue également une référence pour les responsables de l’intégration des IACS et des réseaux d’entreprise.