IEC 62443 : Cybersécurité des systèmes d'automatisation et de contrôle industriels

L'IEC 62443 est une série de normes internationales développée par la Commission Électrotechnique Internationale (IEC) et l'International Society of Automation (ISA) pour la cybersécurité des systèmes d'automatisation et de contrôle industriels (IACS). Elle définit un cadre complet pour sécuriser les environnements OT (Operational Technology) — installations industrielles, SCADA, automates programmables — tout au long de leur cycle de vie, de la conception à l'exploitation. Les exigences techniques sont évaluées selon quatre niveaux de sécurité (Security Levels SL0 à SL4), qui indiquent la résistance contre différentes classes d'attaquants.

Structure et champs d'application

La norme IEC 62443 couvre la cybersécurité des réseaux de communication industriels et des systèmes d'automatisation (IACS), répartie en quatre grandes sections :

• IEC 62443-1 (Généralités) : terminologie, concepts et modèles fondamentaux.
• IEC 62443-2 (Stratégie et procédures) : programme de sécurité pour les exploitants, gestion des correctifs, gouvernance organisationnelle.
• IEC 62443-3 (Systèmes) : méthodologies de sécurisation (architecture en zones et conduits, évaluation des risques).
• IEC 62443-4 (Composants) : exigences pour le cycle de vie de développement sécurisé des produits et composants IACS.

Elle définit les notions clés telles que la défense en profondeur, les niveaux de sécurité (Security Levels) ou encore le modèle « zones et conduits », qui permet de structurer la segmentation réseau OT et de limiter la propagation latérale des menaces.

Lien avec NIS2

Pour les infrastructures critiques dans l'espace OT, l'IEC 62443 aide les exploitants à mettre en œuvre le bon ensemble de contrôles pour sécuriser leurs opérations. Mettre en œuvre l'IEC 62443 — en particulier les parties 2-1, 3-2 et 3-3 — contribue fortement à la conformité NIS2, car elle inclut la plupart de ses exigences clés telles que l'analyse de risques, le contrôle d'accès, l'authentification forte, la surveillance continue et la continuité d'activité.

La partie IEC 62443-2-1 (programme de sécurité pour les propriétaires d'actifs IACS) constitue notamment le socle organisationnel pour répondre à l'Article 21 §2 de NIS2. Les entités régulées dans l'industrie, l'énergie ou les transports peuvent s'appuyer sur ce référentiel pour structurer leurs mesures de gestion du risque cyber OT de manière auditable et cohérente avec les attendus de la directive.

Pour aller plus loin

• Guide ANSSI PA-108 v2 – Cybersécurité des systèmes industriels
• IEC 62443 – Industrial communication networks (IEC)