La norme ISA 99 progresse !

La norme ISA 99 développe un vocabulaire, des bases techniques et des exigences normatives concernant la cyber-sécurité des installations industrielles. L’ISA « International Society of Automation » est représentée en France par l’association ISA France.

Le projet ISA 99 est ambitieux, avec une douzaine de documents, couvrant tous les aspects de la sécurité : système de management, catalogue de mesures, achats, aspects techniques, développement etc…

Mais jusqu’à présent seuls 3 cahiers étaient publiés, et de plus commençaient à être datés. J’avais eu l’occasion d’écrire un article très critique à ce sujet sur ce blog, et avais annoncé dans un autre article la publication prochaine d’un document intéressant.

Et bien tout arrive, plusieurs documents ont été votés (au niveau ISA), et sont en bonne voie pour devenir des standards internationaux d’ici à l’été 2013, sous l’égide de la CEI (ou IEC – International Electrotechnical Commission), et donc, in fine, utilisables en France une fois référencés par l’AFNOR. Ceci permettra aussi d’avoir des traductions en Français, ce qui n’est pas le cas pour l’instant.

Un article détaillé concernant les normes ISA 99, à présent ISA/IEC 62443, vient d’être publié sur le site de l’ISA France. Je dois préciser qu’étant co-auteur de l’article ISA, il ne s’agit pas ici d’en faire un commentaire mais simplement d’en donner les points clés. Je vous invite à aller consulter l’article sur le site de l’ISA pour avoir les détails.

Le tableau ci-après récapitule l’ensemble des cahiers ISA/IEC 62443 publiés à ce jour ou en cours de révision ou de développement (cliquer pour agrandir) :

Les documents IEC 62443-2-1 (révision 2013) et IEC 62443-3-3 (nouveau document) ont fait récemment l’objet de votes positifs au sein de l’ISA et ont entamé la dernière ligne droite avant publication (prise en compte des commentaires, ajustements mineurs, transfert et validation par l’IEC).

L’IEC 62443-2-1 a vu dans cette nouvelle révision sa structure complètement revue, à présent basée sur les normes ISO 27000. En fait, -2-1 couvre à la fois les sujets vus dans 27001 (SMSI) et 27002 (catalogue de mesures catégorisées en 11 chapitres). Comme les autres référentiels dédiés aux systèmes industriels (NIST 800-82, AIEA NSS #17…), certains chapitres concernant la formation (8.8.2), la gestion de la sous-traitance (10.2) et les achats et recette (12.1), prennent en compte les spécificités des usines et installations critiques.

Il faut cependant noter que les problèmes très spécifiques aux environnements industriels, à savoir la gestion des configurations et des mises à jour et l’organisation de la maintenance, feront l’objet de cahiers spécifiques de la série 62443, respectivement -2-3 (en cours de finalisation) et -2-4, (en cours de développement).

L’IEC 62443-3-3, également voté en comité ISA99 et donc en cours de finalisation, définit en termes techniques précis les mesures de sécurité à mettre en œuvre dans un système contrôle-commande pour permettre aux installations qui en seront équipées d’atteindre un niveau de sécurité donné (selon l’échelle des SL, ou « Security Levels », allant de 1 à 4, le niveau 0 étant réservé aux systèmes n’offrant pas les garanties minimales pour être classés 1).

Ces mesures de sécurité prennent en compte les exigences temps-réel (priorité aux tâches de contrôle par rapport aux tâches de sécurité) et de l’organisation du travail (par exemple notion de travail en équipes pour cadrer l’usage d’identifiants communs).

Pour découvrir ces documents plus en détail, être informé de leur publication, et éventuellement prendre contact avec les membres ISA France travaillant sur le sujet, je vous invite à consulter l’article complet en ligne sur le site des standards de l’ISA France, et consulter les autres informations sur le site principal d’ISA France. Vous pouvez également prendre un premier contact via le formulaire contact de ce blog.

Tags: , , , ,

1 commentaire sur “La norme ISA 99 progresse !”

  1. Patrice Bock dit :

    Pour information, la norme 62443-3-3 a été officiellement publiée par l’ISA et validée par l’ANSI aux USA (http://www.isa.org/Template.cfm?Section=Press_Releases5&template=/ContentManagement/ContentDisplay.cfm&ContentID=94048) et le sera prochainement au niveau international par la CEi (ouvrant voie à devenir une norme européenne puis AFNOR)

Répondre à Patrice Bock

Note: Vous êtes responsable de vos commentaires, veillez à rester courtois et factuel. En postant votre commentaire, vous accordez de fait un droit de diffusion à Secur'id.