Des nouvelles de la norme ISA/IEC 62443

Quoi de neuf sur la norme ISA/IEC 62443?

Son adoption croissante signifierait-elle que les problèmes dont souffrait la norme ISA/IEC 62443 sont réglés ?

Alors que les travaux de rédaction des cahiers sont en cours, faisons le point sur l’actualité plutôt riche de cette norme en cybersécurité.

L’été dernier a été publiée une étude sur l’utilisation des normes de cybersécurité par les industriels français[1].

L’objectif était de collecter des retours d’expérience auprès d’acteurs du secteur (constructeurs, intégrateurs, conseils, exploitants, mainteneurs) afin de savoir quels étaient les référentiels réellement utilisés.

Presque tous les industriels ayant un programme de cybersécurité de leurs installations se sont munis d’un référentiel interne de cybersécurité. Ce référentiel est alors imposé aux fournisseurs (intégrateurs et ensembliers).

ISA/IEC 62443 & ANSSI : des normes qui servent de base

Si, par le passé, ces référentiels avaient parfois tendance à « réinventer la roue » ou à se baser sur ISO 2700x, ils s’inspirent aujourd’hui de standards adaptés, essentiellement ceux de l’ANSSI (pour les Français) et de l’ISA/IEC 62443 pour les aspects techniques. Ces standards sont considérés comme les plus pertinents pour les industriels, avec l’avantage de la « simplicité d’utilisation » pour ceux de l’ANSSI, et d’une « validité à l’international » pour ceux de l’ISA.

Pour mémoire, la norme ISA/IEC 62443 propose un vocabulaire, des bases techniques et des exigences normatives relatifs à la cybersécurité des installations industrielles. Son but est de couvrir tous les aspects de la sécurité (système de management, catalogue de mesures, achats, aspects techniques, développement…).

Cette norme souffre toutefois de 3 problèmes :

  • elle est complexe et les différents cahiers qui la composent ne sont pas toujours cohérents entre eux,
  • la moitié des documents ne sont pas validés ou complètement publiés,
  • la compétition entre les normes nationales et internationales limite son attractivité pour les sociétés actives en France seulement.

Elle présente néanmoins une adoption croissante, seulement freinée par les exigences des autorités de sécurité nationales. Le choix de l’ENISA quant aux critères applicables pour la mise en œuvre du Cyber Act européen peut également être impactant à l’avenir, dans le cas où les critères communs seraient choisis. Cela semble fort possible puisque plusieurs autorités nationales ont déjà fait ce choix.

Le point sur la norme ISA/IEC 62443 : quelques rappels avant d’entrer dans le vif du sujet

La rédaction des cahiers de la norme ISA/IEC 62443 est toujours en cours. Son actualité est assez riche dernièrement, d’où la nécessité d’un état des lieux. Celui-ci a été fait lors de la dernière réunion globale du groupe de travail ISA99 de l’ISA, à Mannheim en Allemagne, mi-novembre 2019.

Les contributeurs à la rédaction, relecture et adoption des standards ISA 62443 (anciennement ISA99) contribuent au groupe de travail ISA99. Ce dernier se divise en une douzaine de sous-groupes de travail, s’occupant chacun d’un ou plusieurs cahiers. On trouve par exemple un sous-groupe de travail pour la communication ou même une équipe pour la cohérence au sein de la norme, ce qui n’est pas une gageure, si vous avez lu les précédents billets publiés sur ce blog (ici, ici ou ), quelquefois assez critiques. L’auteur étant à présent contributeur actif, la critique sera désormais limitée ;-) Le site dISA99 présente un aperçu toujours à jour des différents cahiers de la norme :


Le numéro 62443 a été choisi par l’IEC qui prend en charge l’édition des standards ISA/IEC 62443 comme norme internationale, ce qui permet l’adoption en Europe (norme CENELEC) puis en France (norme AFNOR).

Norme ISA/IEC62443 : on en est où ?

· Management de la sécurité

La nouvelle version 62443-2-1 (notée 2-1), qui concerne le management de la sécurité (équivalent ISO 27001) est approuvée avec commentaires par l’IEC. Sa publication est attendue pour début 2020. Les membres ISA ont accès aux documents de travail non finalisés, et donc à celui-ci qui sera publié en l’état. Une fois publié, les membres ISA ont accès à tous les documents en version « consultation ». Pour adhérez, c’est ici.

· Evaluation du niveau de sécurité

Le travail en cours sur la définition du security program rating, qui évalue globalement le niveau de sécurité et qui doit être une combinaison de mesures organisationnelles (2-1) et techniques (3-2, 3-3, 4-2) est encore très discuté. La notion de maturité (au sens CMMI) est déjà incluse dans 2-1. L’échelle à adopter pour permettre l’audit et la gestion des tableaux de bord est en cours de discussion.

· Création d’ISA CGA

L’ISA a structuré une organisation afin de promouvoir les normes ISA/IEC 62443. Appelée ISA CGA (Global Cybersecurity Alliance), elle est ouverte aux adhésions et contributions (financières ou autres) des industriels (constructeurs, intégrateurs, exploitants). Plus d’infos sur le web de ISA CGA

· Concepts techniques

Les concepts techniques (3-1)sont en cours de finalisation. Ils comprennent comme à l’habitude les mesures classiques de cybersécurité (gestion des droits basés sur les rôles (RBAC), authentification par mot de passe, par jeton ou par carte à puces, chiffrement, les types de pare-feux, la détection d’intrusion…).

· Architecture, analyse de risques et définition des zones et conduits

Déjà validé par l’ISA, le document fondamental 3-2 concernant l’architecture, l’analyse de risques, et indiquant comment définir de manière pratique les zones et conduits est en cours de validation à l’IEC (FDIS – Final Draft for International Standard). Ce document est fortement discuté car il aborde des concepts fondamentaux. Il est déjà ma base personnelle de travail depuis plusieurs années, et je le recommande fortement, même si l’analyse de risques est à présent datée en termes d’approche (plus EBIOS 2010 que EBIOS RM). Un prochain article traitera de ce sujet spécifique.

· Exigences de capabilité

Le document 2-4 concerne les exigences de capabilité pour les intégrateurs et mainteneurs. Il est équivalent au document ANSSI PIMSEC. Il est désormais publié. S’agissant du seul document créé par le groupe de travail IEC et non pas ISA99, il présente une approche incohérente avec les autres documents, mais il est utilisable indépendamment, notamment pour des cahiers des charges.

· Lancement d’autres projets

D’autres travaux sont en cours : un futur document dédié aux IIoT, une base d’exemples/cas d’usages (accessibles aux membres ISA), un document sur les métriques…

En bref, les documents clés sur la norme ISA/IEC 62443 sont finalisés, bien qu’ils ne soient pas encore tous publiés (2-1 et 3-2). Ils sont néanmoins utilisables dès maintenant, à condition d’être membre ISA. Il vous faut donc choisir votre camp : patientez ou adhérez pour 130 € !


Etude sur l’utilisation des normes de cybersécurité par les industriels français : pour obtenir une copie de l’étude, contactez les auteurs via https://www.bockconseil.fr/contact

Tags: ,

Ajouter un commentaire

Note: Vous êtes responsable de vos commentaires, veillez à rester courtois et factuel. En postant votre commentaire, vous accordez de fait un droit de diffusion à Secur'id.