Un bref rappel historique

La norme ISA-99 devenue ISA/IEC 62443 ou tout simplement IEC 62443 est née au début des années 2000, à une époque où les risques d’attaque contre les systèmes d’information étaient déjà reconnus mais où les installations industrielles semblaient à l’abri d’attaques similaires en raison de la spécificité de leurs matériels et logiciels et du fait qu’elles étaient en règle générale peu connectées avec le monde extérieur.

Aujourd’hui les choses ont bien changé et aucune installation industrielle n’est à l’abri de cyber-attaques sur les automatismes et les systèmes de contrôle de procédé mettant en cause le bon fonctionnement des installations industrielles et pouvant porter atteinte à la sécurité des biens et des personnes.

 

Qu’est-ce que l’ISA/IEC 62443

L’ISA/IEC 62443 est une série de normes élaborées par l’ISA au sein du comité ISA99 et approuvées par l’IEC. C’est un référentiel qui permet aux acteurs de construire un système de protection efficace satisfaisant aux exigences de ces normes.

Ce référentiel est structuré en quatre niveaux apparaissant dans la figure ci-dessous :

• Niveau « généralités »

• niveau « organisation » : policies & procédures

• niveau « systèmes »

• niveau « produits » 

​

Des outils sont à présent disponibles

Les travaux de normalisation les plus avancés ont été menés aux US depuis le début de la décennie. Les travaux du comité ISA SP99 ont bénéficié de l’effort de recherche US et des travaux de normalisation sectorielle (Scada,Chimie,Energie …) et a conduit à la publication d'un certain nombre de documents de base :rapports techniques et standard ISA / ANSI. Un rapprochement a été effectué récemment en vue de rédaction commune avec le comité 65 de la CEI ( le standard IEC 62443,reprenant tous les standards ISA 99 existants), ce qui conduit actuellement à une série de publications ,accompagnant une restructuration des documents pour s'aligner avec les besoins de la CEI.

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

La norme distingue plusieurs rôles, correspondant aux différentes étapes du cycle de vie d’un système de contrôle industriel :

• les fournisseurs de produits (produits/systèmes ou composants)

• les fournisseurs de services d’intégration

• les exploitants

• les fournisseurs de services  de maintenance

• les responsables d’organisation (asset owners).

En fonction du rôle qu’elle occupe, chaque partie prenante trouve dans la série de normes les dispositions qui l’intéressent

​

Quel rapport avec les autres normes ou règlements (ISO 27001, ANSSI…)

La norme IEC 62443 ne se substitue pas à la norme ISO 27001 qui s’applique au niveau d’une organisation prise dans son ensemble. Elle la complète et la précise en ce qui concerne les systèmes d’automatisme et de contrôle (les IACS : Industrial and Automation Control Systems).

La norme IEC 62443 ne dispense pas de satisfaire aux obligations réglementaires telles que celles dont l’ANSSI a la responsabilité (OIV et OSE). Mais son respect rejoint la plupart des exigences imposées par les textes réglementaires français à certaines installations.

​

Certification

Il est possible de certifier au titre de l’IEC 62443 des produits, des systèmes, des processus de développement ou des organisations. Ces certifications sont délivrées soit par l’lSA Secure (organisation internationale créée par l’ISA), soit par l’IEC dans le cadre de son programme IECEE.

​

Formation

ISA-France propose des formations, en inter-entreprises ou en intra, permettant d’acquérir les fondamentaux sur l’IEC 62443.

 

Pour tout renseignement sur l’IEC 62443 et notamment sur les formations, consulter ISA-France et son programme de formation.

​