CONTACT

IEC 62443

La cybersécurité industrielle

Que définit l'IEC ?

Exigences & Processus

Définit les exigences et les processus de mise en œuvre et de maintenance des systèmes d'automatisation et de contrôle industriels (IACS).

Pratiques & Évaluation

Ces normes définissent les meilleures pratiques en matière de sécurité et fournissent un moyen d'évaluer le niveau de performance de la sécurité.

Ensemble de mesures, de processus et de technologies.

Domaine spécialisé sur la sécurisation OT et réduction des risques aux systèmes  automatisés et réseaux dans les industries.

Comparaison sécurité IT et OT

Technologie de l'Information / ISO 27000Technologie Opérationnelle / IEC 42443
ObjectifsProtection des informations et donnéesSécurité, continuité et efficacité
ApprocheContinuous Integration Delivery (CID)Sûreté et disponibilité
PrioritésConfidentialitéDisponibilité (et intégrité)
Menaces et vulnérabilitésAttaques externes (vol de données, ransomware, phishing, etc.).
Applications, SE ou pratiques de sécurité.		Attaques ciblées et menaces internes type erreurs humaines et défauts de conception.
Protocoles et com propriétaires, technologies anciennes.

Aperçu et structure de la norme

Sécurité SCI et OT

Ensemble de normes internationales développées pour assurer la sécurité des systèmes de contrôle industriel (SCI) et des réseaux de technologie opérationnelle (OT).

Gestion des risques

Cadre pour la gestion des risques liés à la cybersécurité, ainsi que des exigences techniques pour les systèmes, les composants et les processus de développement.

Voici la structure complète de la norme :

General

Concepts & Models

62443-1-1

Master glossary of terms and abbreviations

62443-1-2

System security conformance metrics

62443-1-3

IACS security lifecycle and use-cases

62443-1-4

Policies & Procedures

Security program requirements for IACS asset owners

62443-2-1

Security Protection Rating

62443-2-2

Patch management in the IACS environment

62443-2-3

Requirements for IACS service providers

62443-2-4

Implementation guidance for IACS asset owners

62443-2-5

System

Security technologies for IACS

62443-3-1

Security risk assessment and system design

62443-3-2

System security requirements and security levels

62443-3-3

Components

Secure product development lifecycle requirements

62443-4-1

Technical security requirements for IACS components

62443-4-2

IACS  : Industrial Automation Control System. Il s’agit de la cybersécurité des Systèmes de Contrôle-Commande Industiel

Afficher un extrait de la norme

Défense en profondeur

Protection
multicouches

Approche qui consiste à appliquer plusieurs couches de protection pour réduire les risques d'attaques et minimiser l'impact des incidents.

Protection systèmes
critiques

Essentielle dans la cybersécurité industrielle, car elle permet de protéger les systèmes critiques et de garantir la continuité des opérations en cas de cyberattaques

Sécurité
globale

S'appuie sur l'idée qu'aucune mesure de sécurité unique ne peut être suffisante pour assurer une protection complète

Politique spécifique aux ICS
  • PSSI
  • Standards
  • Procédures
  • Formation
  • PCA (Plan de Continuité d’Activité)
  • PRA (Plan de Reprise d’Activité)
Sûreté physique
  • Gardiennage
  • Contrôle d’accès
Sécurité périmétrique
  • Firewalls
  • DMZ
  • VPN
  • IDS/IPS
Sécurité réseau et données
  • Zones et conduits
  • Segmentation réseau
  • DMZ interne
  • Firewalls terrain
  • Communication sécurisées (chiffrement)
  • Authentification
  • Sécurité des terminaux
Sécurité des équipements
  • Patch management
  • Durcissement des postes
  • Contrôles de ports
  • Contrôle des accès
  • Monitoring continu Audit
Sécurité des applications
  • Contrôle d’accès
  • Authentification
  • Gestion de mots de passe
  • Gestion des mises à jour

Nos propositions pour vous

Formation IEC 62443
Audit Infrastructure IOT
Pentest Infra industriel
Implémentation IEC 62443

Contactez-nous pour découvrir comment nous pouvons vous aider.

DLP-Safetica

Cliquez ici

EDR-Sentinel One

Cliquez ici

Phishing

Cliquez ici

EPP - Eset

Cliquez ici

Services SOC

Cliquez ici

CyberRange

Cliquez ici

Contact

Contactez-nous !
DND Agency

LILLEPARISBARCELONE

26 avenue de Tourville 

   75007 PARIS

Suivez-nous

Facebook Twitter Youtube Linkedin

DND Agency – Agence de cybersécurité référencée sur cybermalveillance.gouv.fr

Politique de confidentialité     Mentions légalesPlan du site

Partie 2-1: Etablissement d’un programme de sécurité pour les systèmes d’automatisation et de commande industrielles

0 – INTRODUCTION

0.1. Vue d’ensemble

La cyber-sécurité est un sujet dont l’importance ne cesse de prendre de l’ampleur dans les organisations modernes. De nombreuses organisations concernées par le traitement de l’information (IT) se soucient de la cyber-sécurité depuis de nombreuses années et ont mis en place des systèmes de gestion de cyber-sécurité (CSMS) reconnus, tels que ceux définis par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) (voir ISO/CEI 17799 [23]1 et ISO/CEI 27001 [24]). Ces systèmes de gestion fournissent aux organisations une méthode bien établie pour protéger leurs actifs des cyber-attaques.

Les organisations utilisant des systèmes d’automatisation et de commande industrielle (IACS) ont commencé à utiliser la technologie disponible dans le commerce (COTS) développée pour les systèmes professionnels dans leurs procédés journaliers, ce qui a occasionné une multiplication des cyber-attaques contre les systèmes IACS. Ces systèmes ne sont généralement pas aussi robustes, dans l’environnement IACS, que le sont les systèmes spécifiquement conçus pour traiter les cyber-attaques, et ce pour de nombreuses raisons. 

Cette faiblesse peut avoir des conséquences sur la santé, la sécurité et l’environnement (HSE).

Les organisations peuvent essayer d’utiliser les solutions existantes de cyber-sécurité informatiques et professionnelles pour résoudre la sécurité des IACS, sans comprendre les conséquences. Nombre de ces solutions peuvent être appliquées aux équipements IACS, mais elles doivent l’être de façon correcte pour éviter toute conséquence désastreuse.

0.2. Un système de gestion de la cyber-sécurité pour les équipements IACS

Les systèmes de gestion fournissent habituellement des indications sur ce qu’un système de gestion doit inclure, mais n’indique pas la façon dont le système de gestion doit être développé. La présente norme traite des aspects concernant les éléments inclus dans un CSMS d’IACS et fournit des indications sur la façon de développer le CSMS pour l’IACS.

En général, lorsque l’on se trouve confronté à un problème difficile, l’approche technique consiste à subdiviser le problème en parties plus petites et à traiter méthodiquement chacune de ces parties. Cette approche est valable pour aborder les risques liés à la cyber-sécurité des IACS. Cependant, l’erreur fréquemment commise pour aborder les risques liés à la cybersécurité consiste à traiter la cyber-sécurité d’un système à la fois. La cyber-sécurité est un défi beaucoup plus vaste qui oblige à prendre en compte l’ensemble complet des IACS ainsi que les politiques, les procédures, les pratiques qui encadrent ces IACS et le personnel qui les utilise. La mise en œuvre d’un système de gestion d’une telle ampleur nécessite une évolution culturelle de l’organisation.

Traiter la cyber-sécurité au niveau d’une organisation complète peut sembler une tâche impossible. Malheureusement, il n’existe pas de livre de recettes simples pour la sécurité. Il y a une excellente raison à cela. Il n’y a pas de “modèle à taille unique” pour les pratiques de sécurité. La sécurité absolue peut être atteinte, mais cela n’est pas souhaitable car atteindre cet état de quasi perfection se ferait au prix d’une certaine perte de fonctionnalité. La sécurité, en réalité, est un équilibre entre les risques et les coûts. Aucune situation ne ressemble à une autre. Dans certains cas, le risque peut être lié aux facteurs HSE plutôt qu’à un impact purement économique. Le risque peut être une conséquence irréversible plutôt qu’un contretemps financier temporaire. Par conséquent, un recueil de recettes donnant les pratiques de sécurité obligatoires serait soit trop restrictif et sans doute très coûteux à suivre, soit insuffisant pour prendre en compte le risque.

0.3. Relations entre la présente norme et l’ISO/CEI 17799 et l’ISO/CEI 27001

Les normes ISO/CEI 17799 [23] et ISO/CEI 27001 [24] sont d’excellentes normes décrivant un système de gestion de cyber-sécurité pour des systèmes professionnels de traitement de l’information. Une grande partie du contenu de ces normes est également valable pour les IACS. La présente norme met l’accent sur la nécessité d’une uniformité entre les pratiques de gestion de la cyber-sécurité des IACS et les pratiques de gestion de la cyber-sécurité des systèmes professionnels de traitement de l’information. L’uniformisation de ces programmes permettra de réaliser des économies. Les utilisateurs de la présente norme sont invités à consulter les normes ISO/CEI 17799 et ISO/CEI 27001 pour toute information de support complémentaire. La présente norme se fonde sur les indications fournies par ces normes ISO/CEI. Elle aborde certaines différences importantes entre les IACS et les systèmes professionnels généraux de traitement de l’information. Elle sensibilise le lecteur au concept essentiel selon lequel les risques liés à la cyber-sécurité des IACS peuvent avoir des implications HSE et il convient pour traiter ces risques de l’intégrer aux pratiques existantes de gestion des risques.

1 – Domaine d’application

La présente partie de la CEI 62443 définit les éléments nécessaires à l’établissement d’un système de gestion de la cyber-sécurité (CSMS) pour les systèmes d’automatisation et de commande (IACS) industriels et fournit des indications sur la façon de développer ces éléments. La présente norme utilise, au sens large, la définition et le domaine d’application de ce qui constitue un IACS décrit dans la CEI/TS 62443-1-1.

Les éléments d’un CSMS décrits dans la présente norme sont essentiellement liés aux politiques, aux procédures, aux pratiques et au personnel; ils correspondent à ce doit être inclus ou à ce qu’il convient d’inclure dans le CSMS final de l’organisation.

NOTE 1 : D’autres documents de la série CEI 62443 et de la Bibliographie décrivent plus en détail des technologies et/ou des solutions spécifiques pour la cyber-sécurité.

Les indications fournies sur la façon de développer un CSMS le sont à titre d’exemple. Elles représentent l’opinion de l’auteur concernant la façon dont une organisation doit s’y prendre pour développer les éléments, et peuvent ne pas fonctionner dans toutes les situations. Les utilisateurs de la présente norme doivent lire attentivement les exigences et appliquer les indications de façon appropriée afin de développer un CSMS entièrement fonctionnel pour une organisation. Il convient que les politiques et les procédures décrites dans cette norme soient adaptées aux besoins de l’organisation.

NOTE 2 : Il peut y avoir le cas où un CSMS est déjà en place et où l’on ajoute la partie IACS, comme le cas où l’organisation n’a jamais créé formellement de CSMS. Les auteurs de la présente norme ne peuvent pas prévoir tous les cas dans lesquels l’organisation établira un CSMS pour l’environnement des IACS, aussi la présente norme n’a-t-elle pas vocation de proposer une solution pour tous les cas.

2 – Références normatives

Les documents de référence suivants sont indispensables pour l’application du présent document. Pour les références datées, seule l’édition citée s’applique. Pour les références non datées, la dernière édition du document de référence s’applique (y compris les éventuels amendements).

IEC/TS 62443‑1‑12 – Industrial communication networks – Network and system security – Part 1-1: Terminology, concepts and models

IEC 62443 : Cybersécurité industriel

Hanc regionem praestitutis celebritati diebus invadere parans dux ante edictus per solitudines Aboraeque amnis herbidas ripas, suorum indicio proditus, qui admissi flagitii metu exagitati ad praesidia descivere Romana. absque ullo egressus effectu deinde tabescebat immobilis.

Accedat huc suavitas quaedam oportet sermonum atque morum, haudquaquam mediocre condimentum amicitiae. Tristitia autem et in omni re severitas habet illa quidem gravitatem, sed amicitia remissior esse debet et liberior et dulcior et ad omnem comitatem facilitatemque proclivior.