ATYS CONCEPT vous explique les réglementations et normes en cybersécurité industrielle

NIS2 : Directive imposant des obligations en process et en architecture des systèmes d’information.

IEC 62443 : Normes de la cybersécurité industrielle pour mettre en œuvre la sécurisation des réseaux et des systèmes industriels.

Homologation de sécurité : Homologation pour une installation complète.

CSPN : Certification de premier niveau d’un produit.

C’est une directive européenne imposant des obligations en organisation interne et en architecture des systèmes d’information avec :

• La mise en place de mesures juridiques, techniques et organisationnelles pour gérer les risques
• L’obligation de déclarer des incidents de sécurité auprès de l’ANSSI

Date limite de mise en conformité : fin 2027

Cela concerne :

• Les entités essentielles : employant au moins 250 personnes ou ayant un chiffre d’affaires annuel supérieur à 50 millions d’euros et un bilan annuel supérieur à 43 millions d’euros.
• Les entités importantes : si elles ne sont pas entités essentielles et employant au moins 50 personnes ou ayant un chiffre d’affaires et un bilan annuel supérieur à 10 millions d’euros.

L’entreprise doit s’assurer que ses processus et ses systèmes d’information répondent aux exigences NIS 2.

Il n’existe pas de certification ou conformité NIS 2 pour un produit. Par contre, il est recommandé de déployer des produits avec des fonctionnalités permettant la mise en œuvre de l’architecture technique nécessaire pour répondre aux exigences NIS 2 : segmentation des réseaux, sécurisation des communications et contrôle d’accès.

Ce sont des normes internationales pour la sécurisation des réseaux et systèmes industriels détaillant les mesures organisationnelles, les moyens opérationnels, les exigences pour les équipements, et les bonnes pratiques de développement des produits.

Cela concerne :

• les fabricants
• les intégrateurs
• les exploitants

Focus sur l’IEC 62443 pour les équipementiers de solutions de contrôle / commande :

• IEC 62443-4-1 :  Concerne le cycle de vie de développement sécurisé des produits.
• IEC 62443-4-2 : Spécifie les exigences techniques de sécurité à respecter pour garantir un niveau élevé du produit.

La certification CSPN atteste d’un niveau de sécurité suffisant pour un produit ou un logiciel sur une cible de sécurité donnée.

L’éditeur du logiciel décide du périmètre : la cible de sécurité. Les éléments hors du périmètre ne permettent pas de bénéficier de la certification.

Selon les niveaux de risques définis par l’ANSII (de 1 à 7) :

• La certification Critères Communs (CC) couvre les risques de 1 à 7.
• La certification CSPN ne couvre que les risques de 1 à 4.

C’est une  homologation délivrée par une autorité d’homologation pour un système d’information complet. Elle couvre donc une installation complète. Il faut travailler sur l’ensemble de l’architecture.

Une installation peut être homologuée sans qu’aucun des logiciels qui la composent ne disposent de CSPN.

Cela peut être obligatoire pour :

• Les Organismes Importance Vitale (OIV)
• Pour des raisons d’assurance

Bon à savoir : C’est l’homologation de sécurité de l’installation qui peut garantir la conformité aux exigences de sécurité d’un cahier des charges.