Un regard critique sur les principaux référentiels de cyber-sécurité industrielle
Comme on l’a vu dans un précédent article, il y a un nombre réduit de référentiels industriels, dont un « international », et les autres états-uniens. Dans cet article je présente de manière synthétique ces quatre référentiels, puis je repasserai en revue chaque norme dans de futurs articles, avec des commentaires concernant leur intérêt, basés sur à la fois sur leur étude théorique, et sur la mise en pratique.
Note rajoutée en Juillet 2014 : cet article commence à dater, et si le sujet vous intéresse, je vous invite à consulter le document du CLUSIF qui vient juste de paraître, et qui a le même objectif d’analyse critique des référentiels de cybersécurité industrielle !
Les quatre référentiels « génériques » (guides et normes)
- ISA 99 (IEC 62443) avec deux tomes publiés, et 3 à venir, mais dont le rythme de parution est plutôt lent et donc déconnecté de l’actualité : 2007 pour -01 et 2009 pour -02. (NDLR : nouvel article sur ISA 99-03 rajouté en novembre 2011)
- NERC CIP (mis à jour en Jan-Fév 2011 en v3) qui s’applique avec force de norme aux installations électriques critiques nord-américaines,
- NIST 800-82 (Juin 2011) qui est un document très large regroupant la plupart des aspects de la cyber-sécurité industrielle, tout en référençant d’autres « SP » du NIST au besoin,
- le document du DHS ‘Recommendations for Standards Developers’ (Juin 2010)
Pour rappel, les 3 normes états-uniennes (NERC, NIST, DHS) peuvent être librement téléchargées et sont disponible sur internet (vous les trouverez facilement avec google).
Les normes ISA 99 peuvent être achetées sur le site de l’ISA (environ $150 chacune), et la dernière version de 99-02 peut être achetée sous sa nouvelle dénomination IEC 62443-02 sur le site de l’IEC pour… deux fois plus cher environ. Je reviendrai sur ce point dans de futurs articles qui apporteront des détails sur chacune des quatre normes (des liens vers ces articles srtont placés dans la liste ci-dessus au fur et à mesure de leur rédaction).
Comparaison synthétique des quatre référentiels industriels
(cliquer sur le tableau pour affichage plein écran – mis à jour nov 2011 – v1.2)
On peut tirer certaines informations générales de la comparaison ci-dessus, sachant que chaque norme sera ensuite remise en perspective dans des articles à suivre.
- Ces référentiels ne permettent pas d’exprimer des exigences globales, à part en ce qui concerne NERC CIP, qui s’applique uniquement à certaines installations nord-américaines. On verra dans un futur article que c’est un souci, car en l’absence de standard (type niveaux SIL en safety IEC 61513), et de règlementations nationales contraignantes, les maîtres d’ouvrage et les exploitants de sites industriels éprouvent des difficultés à formuler des exigences.
- Les deux référentiels complets en terme de bonnes pratiques (ISA et SP 800-82) ne prévoient pas de chapitre PCA/PRA et gestion des alertes. Encore une fois, on voit ici un besoin de spécifications de la part d’une autorité supérieure, comme le NERC.
Comme dit plus haut, quatre articles seront postés, avec une lecture critique provenant de retour d’expérience, sur chacune des normes.
N’hésitez pas à signaler d’autres référentiels qui vous semblent pertinents, et que peut-être vous utilisez personnellement. Par ailleurs, je suis preneur de tout retour et précision pour améliorer le tableau de synthèse ci-dessus.