CEI 62443

Un article de Wikipédia, l'encyclopédie libre.

La norme IEC 62443 est une série internationale de normes sur les "Réseaux de communication industriels - Sécurité informatique des réseaux et des systèmes". La norme est divisée en différentes sections et décrit à la fois les aspects techniques et les aspects liés aux processus de la sécurité informatique industrielle. Il divise l'industrie en différents rôles : l'opérateur, les intégrateurs (prestataires de services d'intégration et de maintenance) et les fabricants. Chacun des différents rôles suit une approche basée sur les risques pour prévenir et gérer les risques de sécurité dans son activité.

Histoire[modifier | modifier le code]

En tant que norme internationale, la norme IEC 62443 est le résultat du processus de création de normes CEI où tous les comités nationaux impliqués conviennent d'une norme commune. De multiples organisations et comités ont soumis des contributions aux groupes de travail de la CEI et ont contribué à façonner la norme IEC 62443.

À partir de 2002, le Comité de sécurité des systèmes d'automatisation et de contrôle industriels (ISA99) de la Société internationale d'automatisation (International Society of Automation - ISA), a développé une série de normes et de rapports techniques en plusieurs parties sur le sujet de la sécurité des systèmes d'automatisation et de contrôle industriels (Industrial Automation and Control System - IACS). Ces propositions ont été soumises à l'ISA pour approbation, puis publiés sous ANSI. Les documents initialement appelés normes ANSI/ISA-99 ou ISA99 ont été renumérotés pour devenir la série ANSI/ISA-62443 en 2010. Le contenu de cette série a été soumis et utilisé par les groupes de travail de la CEI.

De même, les associations d'ingénieurs allemandes VDI et VDE ont publié les directives VDI/VDE 2182 en 2011. Les directives décrivent comment gérer la sécurité de l'information dans les environnements d'automatisation industrielle et ont également été soumises et utilisées par les groupes de travail de la CEI.

Évolutions futures[modifier | modifier le code]

La première édition (1.0) a été publiée en 2010, avec une stabilité (pas de nouvelle révision) prévue par la CEI jusqu'en 2021[1].

En octobre 2021, une nouvelle version (2.0) est en cours de rédaction, et est prévue pour publication en mars 2022[1]. La rédaction est assurée par le comité technique TC 65 : "TC 65 - Industrial-process measurement, control and automation" (processus industriels de mesure, contrôle et automatisation) de la CEI.

Structure[modifier | modifier le code]

La série de normes IEC 62443 Réseaux de communication industriels - Sécurité des réseaux et des systèmes comprend les parties suivantes :

  • Partie 1-1 : Terminologie, concepts et modèles (Spécification technique, édition 1.0, juillet 2009)[2]
  • Partie 2-1 : Établissement d'un programme de sécurité des systèmes d'automatisation et de contrôle industriels (Norme internationale, édition 1.0, novembre 2010) Cette section de la norme s'adresse aux opérateurs de solutions d'automatisation et définit les exigences relatives à la manière dont la sécurité pendant l'exploitation des installations doit être considéré (voir ISO/IEC 27001)[3].
  • Partie 2-3 : Gestion des correctifs dans l'environnement IACS (Rapport technique, édition 1.0, juin 2015)[4]
  • Partie 2-4 : Exigences du programme de sécurité pour les fournisseurs de services IACS (Rapport technique, édition 1.1, août 2017) Cette partie définit les exigences (« capacités ») pour les intégrateurs. Ces exigences sont divisées en 12 sujets : assurance, architecture, sans fil, systèmes d'ingénierie de sécurité, gestion de la configuration, accès à distance, gestion et journalisation des événements, gestion des utilisateurs, protection contre les logiciels malveillants, gestion des correctifs, sauvegarde et restauration et dotation en personnel du projet[5].
  • Partie 3-1 : Technologies de sécurité pour les systèmes d'automatisation et de contrôle industriels (Rapport technique, édition 1.0, juillet 2009)[6]
  • Partie 3-2 : Évaluation des risques de sécurité pour la conception de systèmes (Norme internationale, édition 1.0, juin 2020)[7]
  • Partie 3-3 : Exigences de sécurité du système et niveaux de sécurité (Norme internationale, édition 1.0, août 2013) Les exigences techniques pour les systèmes et les niveaux de sécurité sont décrites dans cette partie[8].
  • Partie 4-1 : Exigences relatives au cycle de vie du développement de produits sécurisés (Norme internationale, édition 1.0, janvier 2018) La section 4-1 de la norme IEC 62443 définit à quoi devrait ressembler un processus de développement de produits sécurisés. Il est divisé en huit domaines (« Bonnes pratiques ») : gestion du développement, définition des exigences de sécurité, conception de solutions de sécurité, développement sécurisé, test des fonctionnalités de sécurité, traitement des vulnérabilités de sécurité, création et publication de mises à jour et documentation des fonctionnalités de sécurité[9].
  • Partie 4-2 : Exigences techniques de sécurité pour les composants IACS (Norme internationale, édition 1.0, février 2019) Cette section définit les exigences techniques pour les produits ou les composants[10]. Comme les exigences pour les systèmes (section -3-3), les exigences sont divisées en 12 domaines et y font référence. En plus des exigences techniques, des contraintes de sécurité des composants communs (common component security constraints - CCSC) sont définies, qui doivent être respectées par les composants pour être conformes à la CEI 62443-4-2 :
    • CCSC 1 décrit que les composants doivent tenir compte des caractéristiques générales de sécurité du système dans lequel ils sont utilisés.
    • CCSC 2 spécifie que les exigences techniques auxquelles le composant ne peut pas satisfaire lui-même peuvent être satisfaites en compensant des contre-mesures au niveau du système (voir CEI 62443-3-3). À cet effet, les contre-mesures doivent être décrites dans la documentation du composant.
    • CCSC 3 exige que le principe du « moindre privilège » soit appliqué dans le composant.
    • CCSC 4 exige que le composant soit développé et pris en charge par des processus de développement conformes à la norme IEC 62443-4-1.

Maturité et niveau de sécurité[modifier | modifier le code]

La norme IEC 62443 décrit différents niveaux de maturité pour les processus et les exigences techniques. Les niveaux de maturité des processus sont basés sur les niveaux de maturité du framework CMMI.

Niveau de maturité[modifier | modifier le code]

Basée sur le modèle CMMI, la CEI 62443 décrit différents niveaux de maturité pour les processus à travers ce qu'on appelle des "niveaux de maturité". Pour atteindre un certain niveau de maturité, toutes les exigences liées au processus doivent toujours être mises en pratique lors du développement ou de l'intégration du produit, c'est-à-dire que la sélection de seuls critères individuels ("cherry picking") n'est pas conforme aux normes.

Les niveaux de maturité sont décrits comme suit :

  • Niveau de maturité 1 - Initial : Les fournisseurs de produits effectuent généralement le développement de produits ad hoc et souvent non documentés (ou pas entièrement documentés).
  • Niveau de maturité 2 - Géré : Le fournisseur de produits est capable de gérer le développement d'un produit selon des directives écrites. Il doit être démontré que le personnel qui effectue le processus possède l'expertise appropriée, est formé et/ou suit des procédures écrites. Les processus sont reproductibles.
  • Niveau de maturité 3 - défini (exécuté) : le processus est reproductible dans l'ensemble de l'organisation du fournisseur. Les processus ont été pratiqués et il est prouvé que cela a été fait.
  • Niveau de maturité 4 - Amélioration : Les fournisseurs de produits utilisent des mesures de processus appropriées pour surveiller l'efficacité et la performance du processus et démontrer une amélioration continue dans ces domaines.

Niveau de sécurité[modifier | modifier le code]

Les exigences techniques pour les systèmes (IEC 62443-3-3) et les produits (IEC 62443-4-2) sont évaluées dans la norme par quatre niveaux de sécurité (Security Levels - SL). Les différents niveaux indiquent la résistance contre différentes classes d'attaquants. La norme souligne que les niveaux doivent être évalués par exigence technique (voir IEC 62443-1-1) et ne sont pas adaptés à la classification générale des produits.

Les niveaux sont :

  • Niveau de sécurité 0 : aucune exigence ou protection particulière requise.
  • Niveau de sécurité 1 : Protection contre les abus involontaires ou accidentels.
  • Niveau de sécurité 2 : Protection contre les abus intentionnels par des moyens simples avec peu de ressources, des compétences générales et une faible motivation.
  • Niveau de sécurité 3 : protection contre les abus intentionnels par des moyens sophistiqués avec des ressources modérées, des connaissances spécifiques à l'IACS et une motivation modérée.
  • Niveau de sécurité 4 : Protection contre les abus intentionnels à l'aide de moyens sophistiqués dotés de ressources étendues, de connaissances spécifiques à l'IACS et d'une forte motivation.

Concepts[modifier | modifier le code]

La norme explique divers principes de base qui doivent être pris en compte pour tous les rôles dans toutes les activités.

Défense en profondeur[modifier | modifier le code]

La défense en profondeur est un concept dans lequel plusieurs niveaux de sécurité (défense) sont répartis dans l'ensemble du système. L'objectif est de fournir une redondance en cas d'échec d'une mesure de sécurité ou d'exploitation d'une vulnérabilité.

Zones et conduits[modifier | modifier le code]

Les zones divisent un système en zones homogènes en regroupant les actifs (logiques ou physiques) avec des exigences de sécurité communes. Les exigences de sécurité sont définies par le niveau de sécurité (Security Levels - SL). Le niveau requis pour une zone est déterminé par l'analyse des risques.

Les zones ont des limites qui séparent les éléments à l'intérieur de la zone de ceux à l'extérieur. L'information se déplace à l'intérieur et entre les zones. Les zones peuvent être divisées en sous-zones qui définissent différents niveaux de sécurité (Security Level) et permettent ainsi une défense en profondeur.

Les conduits regroupent les éléments qui permettent la communication entre deux zones. Ils fournissent des fonctions de sécurité qui permettent une communication sécurisée et permettent la coexistence de zones avec différents niveaux de sécurité.

Systèmes de certification[modifier | modifier le code]

Les processus, systèmes et produits utilisés dans les environnements d'automatisation industrielle peuvent être certifiés conformément à la norme IEC 62443.

Les schémas accrédités ainsi que le schéma de certification international de l'IECEE sont entièrement conformes à la norme IEC 62443. Le schéma propriétaire "ISCI ISASecure" ne l'est pas.

Systèmes de certification accrédités[modifier | modifier le code]

Les systèmes de certification IEC 62443 ont été établis par plusieurs organismes de certification mondiaux. Les programmes sont basés sur les normes et procédures référencées qui décrivent leurs méthodes de test, leur politique d'audit de surveillance, leurs politiques de documentation publique et d'autres aspects spécifiques de leur programme. Des programmes de certification de cybersécurité pour les normes IEC 62443 sont proposés dans le monde entier par plusieurs organismes de certification reconnus, notamment Intertek, SGS-TÜV Saar, TÜV Nord, TÜV Rheinland, TÜV SÜD et UL.

Une infrastructure mondiale a été établie pour assurer une évaluation cohérente de la norme IEC 62443. Des organisations tierces impartiales appelées organismes de certification sont accréditées selon les normes ISO/CEI 17065 et ISO/CEI 17025. Les organismes de certification sont accrédités par les organismes d'accréditation nationaux pour effectuer les travaux d'audit, d'évaluation et de test. Les organismes d'accréditation nationaux fonctionnent conformément aux exigences de la norme ISO/CEI 17011, une norme qui contient des exigences relatives à la compétence, la cohérence et l'impartialité des organismes d'accréditation lors de l'accréditation des organismes d'évaluation de la conformité. Les organismes d'accréditation nationaux sont membres de l'International Accreditation Forum (IAF) pour les travaux sur les systèmes de gestion, les produits, les services et l'accréditation du personnel, ou de l'International Laboratory Accreditation Cooperation (ILAC) pour l'accréditation des laboratoires. Un accord de reconnaissance multilatérale entre les organismes d'accréditation nationaux garantira la reconnaissance mondiale des organismes de certification accrédités.

Schéma de certification international de l'IECEE[modifier | modifier le code]

Le Schéma de certification du système CEI pour systèmes d' évaluation de conformité des équipements et composants électrotechniques ( IEC System of Conformity Assessment Schemes for Electrotechnical Equipment and Components - IECEE (en)) est un accord multilatéral qui facilite l'accès aux marchés pour les fabricants de produits électriques et électroniques. Dans le cadre des processus du schéma de certification, les produits et systèmes peuvent être certifiés conformément à la norme IEC 62443.

L'origine du schéma de certification vient de la CEE (ancienne « Commission européenne pour les essais de conformité des équipements électriques ») qui a été intégrée à la CEI en 1985. Actuellement, 54 organismes membres font partie de l'IECEE, 88 organismes nationaux de certification (National Certification Bodies - NCB) et 534 laboratoires de test d'organismes nationaux de certification (Certification Bodies Test Laboratories - CBTL). Dans le domaine de la certification des produits, cette procédure permet de réduire la complexité de la procédure d'agrément des fabricants de produits testés et certifiés selon des normes harmonisées. Un produit qui a été testé par un CBTL (laboratoire d'essais certifié) selon une norme harmonisée telle que la CEI 62443, peut utiliser le rapport de l'organisme de certification national comme base pour une certification et une approbation nationales ultérieures telles que GS, PSE, CCC, NOM, GOST/R, BSMI.

Schéma de certification ISCI ISASecure[modifier | modifier le code]

L'Institut international de conformité à la sécurité (International Security Compliance Institute - ISCI[11]), est une émanation de l'International Society of Automation (ISA), auquel participent d'ailleurs les rédacteurs initiaux de la norme, le groupe ISA99[12]. L'ISCI a donc créé un système d'évaluation de la conformité (partielle) aux normes nationales ANSI/ISA 62443. Ce schéma peut être utilisé pour certifier les systèmes de contrôle d'automatisation industrielle, les composants et les processus. Le schéma ISASecure est en partie basé sur la norme IEC 62443 et les processus de développement ISCI incluent des politiques de maintenance pour garantir que les certifications ISASecure restent conformes aux normes IEC 62443 au fur et à mesure de leur évolution.

L'ISCI propose de multiples certifications sous la marque ISASecure :

  • Certification SSA (System Security Assurance) des systèmes selon IEC 62443-3-3
  • Certification CSA (Component Security Assurance) des composants d'automatisation selon IEC 62443-4-1 et IEC 62443-4-2
  • Certification SDLA (Secure Development Lifecycle Assurance) des organisations de développement de systèmes d'automatisation selon la norme IEC 62443-4-1
  • Certification EDSA (Embedded Device Security Assurance) des composants basée sur la norme IEC 62443-4-2.

Cette dernière certification EDSA n'est pas entièrement conforme à la norme IEC 62443-4-2 : la norme IEC 62443-4-2 exige que les composants soient développés selon un cycle de vie de développement conforme à la norme IEC 62443-4-1, ce que l'EDSA n'exige pas.

Voir également[modifier | modifier le code]

  1. a et b « IEC 62443-2-1:2010 | IEC Webstore | cyber security, smart city », sur webstore.iec.ch (consulté le )
  2. IEC 62443-1-1, Industrial communication networks – Network and system security – Part 1-1: Terminology, concepts and models
  3. IEC 62443-2-1, Industrial communication networks – Network and system security – Part 2-1: Establishing an industrial automation and control system security program
  4. IEC 62443-2-3, Security for industrial automation and control systems – Part 2-3: Patch management in the IACS environment
  5. IEC 62443-2-4, Security for industrial automation and control systems – Part 2-4: Security program requirements for IACS service providers
  6. IEC 62443-3-1, Industrial communication networks – Network and system security – Part 3-1: Security technologies for industrial automation and control systems
  7. IEC 62443-3-2, Security for industrial automation and control systems – Part 3-2: Security risk assessment for system design
  8. IEC 62443-3-3, Industrial communication networks – Network and system security – Part 3-3: System security requirements and security levels
  9. IEC 62443-4-1, Security for industrial automation and control systems – Part 4-1: Secure product development lifecycle requirements
  10. IEC 62443-4-2, Security for industrial automation and control systems – Part 4-2: Technical security requirements for IACS components
  11. (en) « Site web de l'ISCI », sur isasecure.org
  12. (en) « Membre de l'ISCI », sur isasecure.org

Liens externes[modifier | modifier le code]

Ce document provient de « https://fr.wikipedia.org/w/index.php?title=CEI_62443&oldid=214590768 ».