CEI 62443 La série de normes internationales CEI 62443 définit des exigences de sécurité pour les fabricants, les intégrateurs et les exploitants afin d'éviter les risques.
CEI 62443 – la norme pour la cybersécurité industrielle
Aperçu de la CEI 62443 et de l'ISO 27001
La cybersécurité dans l'IT et l'OT
Auparavant, les domaines Information Technology (IT) et Operation Technology (OT) étaient considérés séparément et attribués à différents domaines spécialisés. Cependant, avec la mise en réseau et la numérisation croissantes des systèmes et des productions, ces domaines convergent. La cybersécurité ne peut donc plus être considérée de manière isolée. Seule une approche concertée permet de garantir une protection efficace et efficiente contre les cyberattaques.
La série de normes ISO 27000 définit des objectifs de protection pour l'informatique, en mettant l'accent sur la confidentialité. Pour le domaine OT, la disponibilité des systèmes est cruciale, comme le décrit la norme CEI 62443. L'objectif de la série de normes CEI 62443 est de faciliter le fonctionnement sécurisé des systèmes d'automatisation industriels (systèmes ICS) - de la conception jusqu'à la gestion, en passant par l'implantation. Pour cela, elle décrit dans différentes normes les règles pour les fabricants de composants, les intégrateurs de systèmes et les exploitants : les fabricants de composants doivent assurer la sécurité des produits, dont l'interaction sécurisée doit être prise en compte par les constructeurs des machines et des installations. L'exploitant est finalement responsable des procédures sécurisées. La norme CEI 62443 complète donc la norme ISO 27001. Il est essentiel de considérer les deux normes pour une protection globale contre les cyberattaques.
Structure de la CEI 62443
Une caractéristique particulière de la CEI 62443 est l'approche globale de la sécurité par la conception. Celle-ci comprend les exigences relatives aux processus d'exploitation, aux systèmes et aux composants. De plus, l'approche définit des mesures à la fois procédurales et techniques.
Un concept de sécurité central de la norme CEI 62443 est la défense en profondeur ou « Defense in Depth ». En échelonnant plusieurs mécanismes de sécurité l'un après l'autre, il est plus difficile pour les pirates de s'introduire dans le système.
Mise en œuvre de la norme CEI 62443 en tant qu'opérateur
Procédure « Neuf étapes vers une installation sûre ».
Une solution d'automatisation sécurisée commence par la définition des actifs à protéger. Pour ces derniers, une analyse des menaces et des risques est effectuée. Ces analyses constituent la base de la déduction des mesures de réduction des risques et des exigences qui en découlent pour le système et les composants utilisés.
Cependant, le niveau de protection d'une installation ne provient pas seulement des capacités techniques, mais aussi des processus vécus et du savoir-faire du personnel. Une installation sécurisée dépend d'une surveillance et d'un entretien permanents. Cela comprend une connaissance précise de l'installation et de ses caractéristiques – donc un plan du réseau et l'inventaire de tous les composants – de même que la gestion des utilisateurs et des droits ainsi que des données d'accès.
Il n'existe pas de solution standard pour tous les cas d'application. Une solution d'automatisation sûre doit toujours être adaptée individuellement aux circonstances. Les mesures mises en œuvre doivent de plus être contrôlées de manière cyclique et adaptées en fonction de l'état actuel de la technique. Pour vous aider, nous avons défini la procédure « Neuf étapes vers une installation sûre ». Cette approche permet aux opérateurs et aux intégrateurs de systèmes de mettre en œuvre la sécurité dès la conception pour leur solution spécifique.
Mise en œuvre de la norme CEI 62443 chez Phoenix Contact
Notre concept complet de sécurité à 360°
Concept de sécurité à 360°
Chez Phoenix Contact, nous avons commencé à mettre en œuvre la norme CEI 62443 en 2017. La protection des systèmes ou des installations ne peut toutefois être garantie que s'ils sont protégés de tous les côtés. C'est pourquoi nous avons développé et mis en œuvre notre concept de sécurité à 360° - une offre complète sans compromis.
Notre approche de la cybersécurité est globale. Chaque élément de notre concept de sécurité à 360° est donc certifié conforme à la norme CEI 62443. Cela commence par un processus de développement sécurisé qui garantit que nos produits sont dotés dès le départ de fonctions de sécurité robustes. Ces fonctionnalités de sécurité sont profondément intégrées dans nos produits afin de garantir une protection complète. De plus, nous proposons des services certifiés visant à améliorer continuellement la sécurité de nos clients.
Processus de développement certifié selon la norme CEI 62443- 4-1
Dès l'année 2018, nous avons introduit le processus de développement sécurisé certifié selon la norme CEI 62443-4-1 pour nos composants. Ce processus repose sur les principes éprouvés de la cybersécurité et de la défense en profondeur.
Depuis, un élément important est la communication transparente et ouverte sur les failles de sécurité potentielles. C'est pourquoi l'équipe de réponse aux incidents de sécurité des produits (PSIRT) publie des messages sur les vulnérabilités potentielles et met régulièrement à disposition des mises à jour de sécurité pour nos produits.
Produits certifiés selon CEI 62443-4-2
Les produits sûrs sont développés selon le processus de développement CEI 62443-4-1 et répondent aux exigences de sécurité fonctionnelle de la CEI 62443-4-2.
En 2021, PLCnext Control a été le premier automate au monde à obtenir la certification CEI 62443-4-1 ML3 /4-2 SL2 Feature Set. D'autres produits sûrs sont actuellement en cours de développement ou de certification. En savoir plus sur nos produits sûrs :
Prestations de service certifiées selon la norme CEI 62443-2-4
Services certifiés selon la norme CEI 62443-2-4
Pour développer, conseiller, installer et entretenir des solutions de cybersécurité efficaces en collaboration avec les intégrateurs de systèmes et les opérateurs, les équipes concernées doivent disposer de compétences complètes en matière de cybersécurité et être en mesure de les démontrer. Cela permet de s'assurer que toutes les mesures de sécurité répondent aux normes les plus élevées et sont mises en œuvre de manière efficace.
Chez Phoenix Contact, les équipes concernées, y compris celles des sociétés nationales sélectionnées, sont certifiées selon la norme internationale CEI 62443-2-4. Cette certification confirme que nos équipes possèdent les compétences et les processus nécessaires pour intégrer et exploiter en toute sécurité des systèmes d'automatisation industrielle. Cette qualification nous permet de proposer à nos clients du monde entier des solutions fiables et sécurisées qui répondent aux exigences actuelles en matière de cybersécurité.
Solutions certifiées selon CEI 62443-3-3
Il n'existe pas de solution globale pour la mise en conformité avec les normes. Il s'agit plutôt d'appliquer les règles selon les infrastructures et les objectifs visés. Afin de pouvoir mieux expliquer et mettre en œuvre les exigences en matière de processus ainsi que les exigences fonctionnelles du système, nous développons chez Phoenix Contact divers modèles (blueprints) pour différents marchés et solutions.
Le blueprint « Remote-Monitoring and -Control » montre, outre la stratégie de sécurisation à plusieurs niveaux (concept de défense en profondeur), entre autres la segmentation en zones et conduits, le contrôle des flux de données, un cryptage continu de la communication, une plus grande résistance des composants, des formations de sensibilisation pour les collaborateurs ainsi que des processus de gestion des correctifs et des risques.
Cette solution a été certifiée selon la norme CEI 62443-3-3.
Notre Blueprint « Remote-Monitoring and -Control », certifié par le TÜV Süd selon la norme CEI 62443-3-3
La cybersécurité fait loi
CEI 62443 : facteur de réussite pour les politiques de cybersécurité
Avec le nouveau Cyber Resilience Act (CRA), la nouvelle directive NIS 2 et le nouveau règlement sur les machines, la mise en œuvre de mesures de cybersécurité devient une obligation légale en Europe. Et plus seulement pour les infrastructures critiques.
Pour répondre aux exigences élevées des nouvelles directives de sécurité, il est utile de s'orienter vers des normes internationales. L'une de ces normes est la norme de sécurité CEI 62443. Par exemple, la norme CEI 62443 couvre déjà un grand nombre des exigences requises par la loi sur la cyberrésilience ARC. Tant pour le processus de développement sûr que pour les exigences techniques des produits et des systèmes. La CEI 62443 est donc une candidate prometteuse pour une future norme harmonisée de l'ARC.
La norme CEI 62443 offre également une aide précieuse pour satisfaire à la nouvelle directive de sécurité NIS 2 ou à la nouvelle ordonnance sur les machines.
LinkedIn : Industrial Communication and Cyber Security Rejoignez notre communauté dès maintenant !
Les réseaux de communication industriels nous permettent de transmettre des données de manière fiable depuis le terrain jusqu'au cloud en passant par le niveau de commande. Sur notre page LinkedIn Industrial Communication and Cyber Security (communication industrielle et cybersécurité), vous trouverez des informations intéressantes sur les thèmes de la disponibilité du réseau, de la cybersécurité, de la télémaintenance et bien plus encore. Rejoignez notre communauté !