Cybersécurité industrielle : comprendre l’IEC 62443 quand on est automaticien
La cybersécurité n’est plus réservée aux équipes informatiques. Depuis quelques années, elle s’invite directement sur le terrain de l’automatisme industriel, dans les armoires d’automates, les réseaux de supervision et les architectures SCADA. La norme IEC 62443 est devenue la référence incontournable pour sécuriser les systèmes de contrôle-commande. Mais concrètement, que dit-elle ? Et qu’est-ce que cela change pour un automaticien ?
Pourquoi l'IEC 62443 concerne directement les automaticiens
Historiquement, les réseaux industriels étaient isolés. Un automate Siemens ou un API Schneider fonctionnait sur un réseau fermé, sans connexion avec le monde extérieur. Ce temps est révolu. L’interconnexion croissante entre les systèmes OT (Operational Technology) et les réseaux IT, combinée à la multiplication des accès distants, a considérablement élargi la surface d’attaque.
Protection robotique contre les menaces numériques (© vrautomation.fr)
Les conséquences sont concrètes : arrêt de production, manipulation de process, voire mise en danger de la sécurité des personnes. Dans ce contexte, la directive européenne NIS2 impose désormais des exigences de cybersécurité à environ 350 000 entreprises dans l’UE, en s’appuyant explicitement sur l’IEC 62443 comme cadre de référence technique.
En France, c’est également le Cyber Resilience Act (entré en vigueur en décembre 2024) qui rend progressivement obligatoires des exigences de cybersécurité sur tous les équipements comportant des composants numériques, automates et passerelles IIoT inclus.
Ce que couvre la norme : une structure en quatre volets
L’IEC 62443 est une série de documents techniques organisée en quatre parties, chacune s’adressant à un acteur précis de la chaîne industrielle.
- Volet 1 (Général) : les fondamentaux et le vocabulaire commun. C’est la base conceptuelle partagée par tous les acteurs.
- Volet 2 (Exploitant) : les exigences organisationnelles pour les opérateurs d’installations. On y trouve notamment la gestion des correctifs, la politique de sécurité et la gestion des accès.
- Volet 3 (Intégrateur système) : les exigences pour concevoir et déployer des architectures sécurisées. C’est ici qu’interviennent les notions de zones et de conduits.
- Volet 4 (Fabricant) : les exigences pour les équipementiers. La partie 4-2 définit par exemple les critères de sécurité que doivent respecter les automates, IHM et commutateurs industriels.
En pratique, un automaticien intervenant comme intégrateur sera principalement concerné par les volets 2 et 3, mais il devra aussi vérifier la conformité des composants qu’il utilise selon les critères du volet 4.
Contactez nos experts pour planifier vos actions correctives IEC 62443.
Le concept central : zones et conduits
L’un des apports les plus concrets de l’IEC 62443 est le principe de segmentation par zones et conduits. L’idée est simple : regrouper les équipements ayant des besoins de protection similaires dans une même zone, et contrôler strictement les flux de communication entre ces zones via des conduits.
Prenons un exemple courant : une ligne d’embouteillage avec supervision locale, accès ERP et télémaintenance. Plutôt que de tout mettre sur un même réseau plat, la norme invite à créer des zones distinctes (automates de ligne, serveur SCADA, réseau bureautique) et à ne laisser passer que les flux strictement nécessaires entre elles, via des équipements de filtrage configurés et documentés.
Cette approche rejoint la logique de défense en profondeur : si une zone est compromise, la propagation vers les autres zones reste limitée.
Les niveaux de sécurité (Security Level)
L’IEC 62443 introduit quatre niveaux de sécurité, appelés Security Level (SL), qui permettent d’objectiver le niveau de protection attendu pour chaque zone.
- SL 1 : protection contre les erreurs non intentionnelles (mauvaise manipulation, défaillance logicielle accidentelle)
- SL 2 : protection contre une attaque intentionnelle avec des moyens simples et une faible motivation
- SL 3 : protection contre une attaque ciblée avec des compétences spécifiques en systèmes industriels
- SL 4 : protection contre une menace avancée disposant de ressources importantes (niveau état ou groupe organisé)
La majorité des sites industriels vise un niveau SL 2 comme point de départ. La directive NIS2 recommande au minimum ce niveau pour les entités essentielles. Des acteurs comme Schneider Electric ou Siemens ont d’ores et déjà certifié certains de leurs équipements et usines à ce niveau.
Ce que cela implique pour un automaticien
Concrètement, travailler dans un contexte IEC 62443 demande quelques réflexes supplémentaires dès la phase de conception.
Sur l’architecture réseau, il faut penser segmentation dès le départ : identification des zones, des flux légitimes, des équipements aux frontières (firewalls industriels, DMZ OT). Les switchs managés et les routeurs doivent être documentés et configurés avec des listes de contrôle d’accès.
Sur les accès, l’authentification des utilisateurs doit être individualisée. Fini les comptes génériques partagés sur une HMI. Les outils comme SIMATIC Logon (Siemens) ou les systèmes de gestion d’identité OT permettent d’attribuer des droits précis selon les profils (opérateur, technicien, administrateur).
Sur la gestion des mises à jour, le volet 2-3 de la norme impose une politique de gestion des correctifs adaptée aux contraintes industrielles : certains systèmes ne peuvent pas être mis à jour en cours de production, mais leur cycle de mise à jour doit être planifié et documenté.
Sur la documentation, chaque zone, conduit et niveau de sécurité visé doit être formalisé. Ce n’est pas une formalité administrative : c’est ce qui permettra à un auditeur ou à un client de vérifier la conformité de votre installation.
Les limites à ne pas sous-estimer
La mise en conformité avec l’IEC 62443 est un processus long. Pour une installation existante, la rétroconformité peut s’avérer coûteuse : équipements anciens sans capacité d’authentification, réseaux plats difficiles à segmenter sans interruption de production, documentation incomplète ou inexistante.
La certification formelle, quant à elle, nécessite l’intervention d’un organisme accrédité (Bureau Veritas, TÜV, etc.) et représente un investissement significatif en temps et en ressources. Pour la plupart des intégrateurs, l’objectif à court terme est davantage d’adopter les principes de la norme que d’obtenir une certification complète.
Enfin, l’IEC 62443 ne remplace pas une analyse de risques sérieuse. Elle fournit un cadre, mais c’est l’analyse de risques propre à chaque site qui permet de calibrer les mesures réellement nécessaires.
Conclusion
L’IEC 62443 n’est pas une norme réservée aux experts en cybersécurité. Elle structure une approche que tout automaticien peut s’approprier : segmenter les réseaux, contrôler les accès, documenter les architectures et planifier les mises à jour. Dans un contexte où les exigences réglementaires (NIS2, Cyber Resilience Act) se renforcent et où les clients industriels intègrent de plus en plus la cybersécurité dans leurs cahiers des charges, maîtriser les bases de cette norme devient un vrai avantage professionnel.
