Décryptage des réglementations et normes en cybersécurité industrielle

Le besoin d’échanger des données entre les supervisons industrielles et des systèmes tiers, qu’ils soient on premise ou dans le cloud, exige de mettre en œuvre des organisations techniques capables de garantir la sécurité et l’intégrité des systèmes.

Ces exigences font l’objet de réglementations et de normes, certaines s’appliquant à l’entreprise quand d’autres concernent les solutions logicielles. On retrouve la directive européenne NIS2, l’ensemble de normes internationales IEC 62433, la Certification de Sécurité de Premier Niveau (CSPN) et enfin l’homologation de sécurité d’une installation.

• Directive européenne visant à renforcer la cybersécurité des infrastructures critiques et des entreprises essentielles.
• Étend le champ d’application de la directive NIS1 en imposant des obligations plus strictes sur la gestion des risques et la notification des incidents.
• Cible les entreprises de secteurs critiques (énergie, santé, transports, etc.) et les fournisseurs de services numériques.
• L’entreprise doit s’assurer que les processus et les systèmes d’information qu’elle utilise lui permettent de répondre à ces exigences. Cela signifie qu’il n’y a pas à proprement parlé de certification ou de conformité NIS2 pour un produit, cependant un produit peut intégrer des fonctionnalités facilitant la mise en œuvre des exigences de la NIS2.

• Ensemble de normes internationales sur les réseaux de communication industriels et la sécurité informatique des réseaux et des systèmes.
• Décrit des exigences de sécurité pour les fabricants, intégrateurs et exploitants d’infrastructures critiques.
• Se focalise sur une approche en couches de défense et la gestion des risques industriels.

• La partie IEC 62443-4-1 se concentre sur le cycle de vie de développement sécurisé des produits.
• La partie IEC 62443-4-2 spécifie les exigences techniques de sécurité à respecter pour garantir un niveau de sécurité élevé du produit

1. Certification française délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) attestant d’un niveau de sécurité suffisant pour un produit ou un logiciel sur une cible de sécurité donnée.

L’éditeur du logiciel décide du périmètre, c’est à dire la cible de sécurité, pour lequel le produit sera testé. La certification atteste alors que le produit est robuste uniquement pour ce périmètre. Les éléments hors de ce périmètre ne permettent donc pas de bénéficier de la certification du produit.

2. Basée sur une évaluation rapide et économique, contrairement aux certifications plus lourdes comme Critères Communs (CC). En effet, l’ANSSI a défini 7 niveaux de risque allant de 1 à 7, 7 étant le plus élevé. Elle propose la certification critères communs (CC) qui correspond au plus haut niveau de sécurité et est internationalement reconnue et la certification de sécurité de premier niveau (CSPN) qui couvre uniquement les risques de 1 à 4. C’est une certification à destination des entreprises évoluant sur le marché français.

3. Principalement utilisée pour des solutions destinées aux administrations et aux entreprises sensibles.

4. La certification concerne donc un produit et ne préfigure pas nécessairement un niveau suffisant pour la globalité d’une installation. A l’inverse, l’homologation de sécurité couvre une installation complète. L’homologation de l’installation peut être obligatoire, soit parce que le site est un Organisme d’Importance Vitale (OIV), soit pour des raisons d’assurance. Pour obtenir l’homologation de l’installation, il faut travailler sur l’ensemble de l’architecture. Une installation peut être homologuée sans qu’aucun des logiciels qui la composent ne disposent de CSPN. Ainsi, c’est l’homologation de sécurité de l’installation qui peut garantir la conformité aux exigences de sécurité d’un cahier des charges.

• NIS2 est une directive européenne imposant des obligations aux entreprises critiques en matière de cybersécurité.
• IEC 62443 est une série de normes détaillant comment sécuriser les systèmes industriels face aux cybermenaces.
• CSPN est une certification attestant du niveau de sécurité d’un produit sur un périmètre d’utilisation donné.
• L’homologation de sécurité est délivrée par une autorité d’homologation pour un système d’information avant sa mise en service opérationnelle. Elle permet d’identifier, d’atteindre puis de maintenir un niveau de risque de sécurité acceptable pour le système d’information considéré.

Pour résumer, NIS2 définit un cadre réglementaire, IEC 62443 fournit un cadre technique pour se conformer, CSPN certifie d’un premier niveau de sécurité d’une solution et enfin l’homologation atteste et garantit la conformité d’une installation.

PcVue Platform vous accompagne dans vos projets de supervision industrielle en respect des prérequis de cybersécurité.