Prêt, prêt, Quantum ! | Jouez à Quantum Quest pour avoir une chance de gagner une copie papier de "PKI Admin : La course contre le temps quantique".

Maîtriser la CEI 62443 : Un guide pour sécuriser les systèmes d'automatisation et de contrôle industriels

La CEI 62443, "Réseaux de communication industriels - Sécurité des réseaux et des systèmes", fournit un cadre critique pour la protection des systèmes de contrôle de l'automatisation industrielle (IACS). Cette série de normes reconnaît les exigences uniques des environnements industriels et aborde les défis inhérents à leur sécurisation. À l'origine, les IACS n'ont pas été conçus en tenant compte de la cybersécurité. Leur sécurité reposait en grande partie sur l'isolation physique, un concept qui devient rapidement irréalisable dans le monde interconnecté d'aujourd'hui.

IEC 62443
Table des matières
  • Accueil
  • Centre d'éducation
  • Maîtriser la CEI 62443 : Un guide pour sécuriser les systèmes d'automatisation et de contrôle industriels

Pourquoi il est difficile de sécuriser le SIGC

IEC 62443

L'approche traditionnelle de la sécurisation des IACS impliquait des conceptions de réseaux plats. Bien que cela ait pu suffire à une époque d'isolement, cette approche présente aujourd'hui des risques importants. Dans ce type de conception, une seule faille peut conduire à une compromission généralisée du système, car il existe peu de barrières internes pour stopper la propagation des activités malveillantes. Le besoin croissant d'accès à distance complique le scénario. Cette nécessité est en contradiction directe avec les principes de conception originaux des IACS, qui donnaient la priorité à l'isolement pour la sécurité, et c'est en partie la raison pour laquelle 40 % des IACS ont été ciblés par des logiciels malveillants rien qu'en 2022.

En 2021, la CEI a approuvé la série série 62443 en tant que normes horizontales pour aider les organisations de tous les secteurs à protéger les IACS. Dans cet article, nous vous aiderons à vous y retrouver dans les normes complexes de la CEI 62443 et nous vous fournirons des conseils pratiques sur la manière d'appliquer ces normes dans n'importe quel environnement industriel.

Pour comprendre pourquoi la norme IEC 62443 est essentielle, nous devons explorer les subtilités qui rendent la sécurité des IACS particulièrement difficile. Les IACS nécessitent souvent des connaissances et des compétences hautement spécialisées pour fonctionner efficacement, et il peut être difficile de trouver des professionnels dotés d'une expertise opérationnelle et en matière de sécurité.

Un autre obstacle important est la dépendance à l'égard de l'ancienne version de software dans la plupart des environnements industriels. De nombreux composants du SIGC impliquent software, qui n'est pas pris en charge et qui pourrait ne jamais recevoir de mise à jour de sécurité de la part du développeur. Pour ceux qui en bénéficient, les mises à jour doivent faire l'objet de tests approfondis afin d'éviter des problèmes de compatibilité inattendus et des retards opérationnels potentiels. La sécurisation de l'IACS devient encore plus complexe lorsque les correctifs ne peuvent pas être appliqués, ce qui oblige les ingénieurs à mettre en œuvre des contrôles de sécurité supplémentaires pour atténuer les risques.

Les exigences modernes du SIGC nécessitent un accès à distance pour la surveillance et la gestion. Toutefois, l'accès à distance accroît simultanément leur vulnérabilité aux cyberattaques, un risque traditionnellement atténué par la segmentation et l'isolation.

En outre, le respect de la réglementation pose son propre lot de problèmes. Les opérateurs du SIGC sont souvent soumis à des réglementations spécifiques, qui peuvent varier considérablement d'un secteur à l'autre. Par exemple, les normes ISO/SAE 21434 prescrit des normes pour les constructeurs automobiles, tandis que les fabricants d'appareils médicaux s'appuient sur la norme le règlement sur le système de gestion de la qualité (QMSR). Ces deux industries impliquent leurs propres normes de conformité en plus de la CEI 62443.

Naviguer dans ce paysage réglementaire peut s'avérer décourageant, en particulier lorsque les réglementations évoluent ou sont sujettes à des variations régionales, ce qui ajoute des couches supplémentaires de conformité.

Qu'est-ce que la CEI 62443 ?

La Commission électrotechnique internationale (CEI) a été créée il y a plus de 100 ans pour répondre à un besoin de normalisation des mesures électriques et de la terminologie. Les marchés technologiques avaient du mal à se manifester et à prospérer parce que les scientifiques des différentes parties du monde ne pouvaient pas collaborer. En 1906, des scientifiques représentant une douzaine de pays du monde entier se sont réunis à Londres et ont créé la CEI.   

Au début du 21e siècle, la CEI est devenue l'autorité mondiale en matière d'électricité et d'électronique. À ce jour, l'organisation a publié plus de 10 000 documents normatifs, allant de la symbologie aux moteurs à combustion.

Lorsque les professionnels de l'automatisation et de la cybersécurité du monde entier ont cherché à faire face aux risques croissants dans les environnements industriels, ils se sont appuyés sur le processus de création de normes de la CEI. 

Il en est résulté la CEI 62443, une série de normes qui offre des conseils sur la mise en œuvre des pratiques de sécurité dans l'ensemble du cycle de vie de l'IACS, de la conception à la mise hors service du système. Ces normes uniformes et accessibles ont permis aux organisations du monde entier d'adopter des pratiques sécurisées en matière d'IACS. 

En 2021, la CEI a approuvé la série 62443 en tant que normes horizontalesce qui signifie qu'elles doivent être considérées comme fondamentales par les experts en la matière lorsqu'ils rédigent des normes sectorielles pour sécuriser les IACS.

La norme IEC 62443 a été conçue pour s'appliquer à différents secteurs industriels. Qu'il s'agisse de fabrication, d'énergie, d'eau ou de transport, la norme IEC 62443 peut être adaptée pour répondre aux besoins de sécurité spécifiques de toute organisation, malgré leurs exigences opérationnelles et leurs profils de risque uniques.

Pourquoi la norme IEC 62443 est-elle importante ?

La protection de l'IACS va au-delà de la fabrication. Certains environnements IACS fournissent des services qui font partie intégrante de la sécurité nationale et économique. Certains pourraient mettre des vies humaines en danger s'ils étaient compromis. La CEI 62443 contribue à assurer la résilience de la cybersécurité, en donnant des lignes directrices concrètes pour sécuriser les IACS dans n'importe quel environnement, quelle que soit sa criticité. 

La norme CEI 62443 commence par se concentrer sur les processus industriels, en établissant des normes de continuité et des normes pour l'ensemble des opérations industrielles. Les directives accordent la priorité à la disponibilité des IACS - le fonctionnement ininterrompu des systèmes vitaux - et à la sécurité du personnel et du public.

Les normes offrent également un cadre de cybersécurité qui aide les organisations à se défendre contre les attaques externes et à réduire la surface d'attaque globale de leurs opérations. Les organisations doivent se concentrer sur la protection des données et la mise en œuvre de contrôles qui favorisent le principe du moindre privilège, tel qu'un accès minimal et simplifié au réseau. 

La CEI 62443 aide également les organisations à constituer une base de référence en matière de cybersécurité, ce qui leur permet de répondre à de nombreuses autres exigences réglementaires et légales. Ces normes s'alignent étroitement sur les mandats géographiques, tels que la North American Electric Reliability Corporation (NERC) pour l'énergie et les services publics basés aux États-Unis. En établissant une base solide en matière de cybersécurité, les organisations peuvent mieux éviter les sanctions juridiques et financières potentielles en cas de non-conformité. 

Comprendre les zones et les conduits dans la norme IEC 62443

Le concept de zones et de conduits est crucial pour l'interprétation des normes CEI 62443, car il joue un rôle essentiel dans la structuration de l'architecture du réseau et la segmentation de la sécurité dans l'IACS. Au sein du SIGC, les zones sont des secteurs distincts ayant des exigences de sécurité spécifiques en fonction de leur niveau de risque et de leurs fonctions opérationnelles. Elles sont reliées par des conduits, qui sont les voies de communication entre ces zones. 

La mise en œuvre efficace de zones et de conduits nécessite une approche stratégique adaptée à chaque environnement industriel : 

  • Évaluation des risques et segmentation du réseau: L'évaluation des risques permet d'identifier les actifs critiques, la sensibilité des données, l'exposition aux menaces et les vulnérabilités, ce qui donne aux architectes de la sécurité la visibilité nécessaire pour segmenter le réseau en zones et établir des conduits sécurisés.
  • Définir les zones et les conduits: L'organisation peut clairement définir des zones et établir une communication sécurisée et contrôlée entre elles, créant ainsi une voie d'accès limitée et contrôlable.
  • Mesures de sécurité à plusieurs niveaux: Une fois les zones établies, l'organisation peut mettre en œuvre des contrôles de sécurité par couches pour atténuer les risques. Il s'agit notamment de déployer des pare-feu, des systèmes de détection des intrusions et des mesures de contrôle d'accès pour renforcer chaque zone et ses conduits.
  • Révision et mise à jour régulières: Chaque configuration de zone et de conduit doit être régulièrement révisée et mise à jour pour garantir une défense efficace contre les menaces. Ce processus s'inscrit dans un cycle de vie de la sécurité et tient compte des changements apportés à l'infrastructure.
  • Formation et sensibilisation: La formation et la sensibilisation du personnel aux structures des zones et des conduits contribuent au maintien de la sécurité. Cela permet aux employés de comprendre l'importance de ces concepts et leur rôle dans le respect des protocoles de sécurité.
  • Tirer parti des technologies avancées: Utiliser des technologies avancées telles que l'IA et l'apprentissage automatique pour améliorer la détection des menaces et la réponse. Il peut s'agir de systèmes de détection des anomalies et de mécanismes de réponse automatisés.
  • Conformité et alignement des normes: Enfin, il faut s'assurer que la mise en œuvre des zones et des conduits est conforme aux normes IEC 62443 et aux autres réglementations pertinentes.

Quels sont les niveaux de sécurité de la norme IEC 62443 ?

Lors de la mise en œuvre de la norme IEC 62443, les organisations doivent définir et traiter plusieurs niveaux de risque de sécurité. En utilisant cette approche graduelle de la sécurité, les organisations peuvent déterminer les mesures de sécurité appropriées en fonction de leur profil de risque et de leurs besoins opérationnels. Cette approche garantit que l'allocation des ressources se fait de la manière la plus efficace possible, réduisant ainsi les dépenses de sécurité tout en construisant une défense efficace. 

Niveau de sécurité 1 (SL1) - Protection contre les violations occasionnelles ou accidentelles

Le niveau SL1 est le niveau de sécurité le plus élémentaire, adapté aux environnements où les menaces ne sont pas très sophistiquées ou ciblées, et il est conçu pour protéger contre les violations occasionnelles ou fortuites. Ce niveau implique la mise en œuvre de contrôles de sécurité fondamentaux pour se prémunir contre les violations accidentelles, qui peuvent inclure une authentification de base des utilisateurs, des contrôles d'accès physiques simples et une protection élémentaire contre les logiciels malveillants. Le niveau SL1 convient aux systèmes pour lesquels l'impact d'une violation de la sécurité est faible et ne compromet pas de manière significative la sécurité ou la fiabilité opérationnelle.

Niveau de sécurité 2 (SL2) - Défense contre les violations intentionnelles avec des moyens simples

Le niveau SL2 renforce la sécurité afin de se prémunir contre les violations intentionnelles par des moyens simples. Ce niveau est adapté aux systèmes présentant des risques modérés, où les attaquants potentiels peuvent avoir peu de compétences et de ressources. Le niveau SL2 s'applique aux scénarios dans lesquels une violation pourrait causer des dommages ou des perturbations modérés, nécessitant des contrôles de sécurité plus robustes que le niveau SL1, mais pas les mesures les plus avancées. Les mesures de sécurité de ce niveau comprennent des mécanismes d'authentification et d'autorisation renforcés, des contrôles d'accès utilisateur améliorés et une protection plus sophistiquée contre les logiciels malveillants. 

Niveau de sécurité 3 (SL3) - Protection contre les menaces sophistiquées

Le SL3 est conçu pour protéger contre les menaces sophistiquées et implique des mesures de sécurité avancées adaptées aux environnements à haut risque dans lesquels les attaquants potentiels possèdent des compétences et des ressources importantes. Le niveau 3 est nécessaire pour les systèmes dans lesquels une faille de sécurité pourrait avoir des conséquences graves, notamment des perturbations opérationnelles majeures ou des menaces pour la sécurité humaine. À ce niveau, les contrôles de sécurité sont plus rigoureux et plus complets, y compris les techniques de cryptage avancées, l'authentification multifactorielle, les systèmes de détection d'intrusion et les audits de sécurité réguliers.

Au-dessus de SL3 - Niveau de protection le plus élevé

Bien que la norme CEI 62443 définisse principalement des normes allant jusqu'à SL3, il existe des scénarios à très haut risque, impliquant potentiellement des attaquants parrainés par des États ou des menaces persistantes avancées contre des infrastructures critiques telles que les réseaux électriques nationaux. Cet échelon supérieur de recommandations est réservé aux systèmes qui, s'ils sont compromis, pourraient avoir des conséquences catastrophiques, en affectant la sécurité nationale et/ou en causant des dommages étendus. Ces niveaux exigent les contrôles de sécurité les plus stricts en fonction de l'impact accru, y compris éventuellement des technologies de cybersécurité de pointe, une surveillance continue et une réponse très sophistiquée aux incidents.

Le rôle de PKI et des certificats numériques dans la conformité à la norme IEC 62443

IEC 62443

L'infrastructure à clé publique (PKI) et les certificats numériques sont des éléments essentiels de la norme CEI 62443. Ces technologies sont fondamentales pour faire face aux menaces accrues en matière de sécurité et pour vérifier l'identité des appareils et des utilisateurs au sein de l'IACS. Ceci est particulièrement important pour SL3 et au-delà, où les menaces sont plus sophistiquées. La sécurisation des communications et la validation des entités autorisées pour les systèmes critiques compliquent considérablement la tâche des cybercriminels.

PKI permet de vérifier l'identité numérique en utilisant la cryptographie à clé publique pour authentifier les entités dans un environnement industriel. Les certificats numériques servent de passeports électroniques, fournissant une authentification et permettant une transmission sécurisée des données. Ils jouent un rôle crucial dans le cryptage des communications entre les appareils, garantissant la confidentialité et l'intégrité pendant la transmission.

Bien que PKI permette de fournir des services essentiels, les organisations sont confrontées à plusieurs défis. 

  • Dans les environnements industriels complexes, la gestion du cycle de vie des certificats peut s'avérer décourageante en raison du grand nombre d'appareils et de systèmes concernés. En l'absence de découverte et de gestion centralisées des certificats, les certificats mal configurés ou expirés risquent d'entraîner des pannes, des interruptions de service, voire des interruptions d'activité.
  • L'intégration de PKI avec les systèmes existants nécessite une approche prudente et progressive. L'ancien site PKI s'accompagne d'un grand nombre de bagages, notamment de processus manuels, la prolifération des certificatset la pression pour évoluer avec l'explosion des cas d'utilisation.

 

Pour relever ces défis, la norme IEC 62433 recommande d'utiliser des outils d'automatisation des certificats pour gérer efficacement le déploiement à grande échelle de PKI . Ces outils peuvent simplifier la gestion des certificats numériques, en réduisant le risque d'erreurs et en garantissant des mises à jour en temps voulu. Ils constituent également la base d'une stratégie de sécurité globale qui comprend PKI adapté aux besoins spécifiques et à l'architecture de l'environnement IACS.

CEI 62443-4-2 : Se concentrer sur les composants de l'IACS

La partie 4-2 de la série CEI 62443 garantit que chaque élément d'un SIGC est protégé contre les cybermenaces. La norme met l'accent sur la mise en œuvre de mécanismes d'authentification robustes pour les appareils et les utilisateurs. Il s'agit notamment de déployer une authentification multifactorielle aux points d'accès critiques afin de s'assurer que seules les entités autorisées peuvent interagir avec l'IACS. Les mises à jour régulières et la gestion des informations d'identification et des droits d'accès des utilisateurs constituent un élément essentiel de ce contrôle et contribuent à la protection contre les accès non autorisés.

L'assurance de la confidentialité et de l'intégrité des données est une autre exigence clé, qui doit inclure des mécanismes de signature de code qui vérifient les mises à jour du micrologiciel et de software . Pour ce faire, des protocoles de cryptage conformes aux normes industrielles sont utilisés lors de la transmission et du stockage des données. La sécurité de ces systèmes est encore renforcée par la mise à jour régulière des suites de chiffrement, ce qui garantit que les données restent protégées contre l'évolution des cybermenaces.

Pour renforcer la résilience des composants du SIGC, la norme préconise d'élaborer et de tester des plans complets de réponse aux incidents. La mise en œuvre de mécanismes de redondance et de basculement pour les composants critiques est également cruciale.

Défis liés à la mise en œuvre de la norme CEI 62443 4-2:

La complexité technique de la norme IEC 62443 peut submerger même les architectes de sécurité les plus expérimentés. Les organisations sont encouragées à investir dans la formation spécialisée du personnel et à tirer parti de l'expertise externe pour combler les lacunes en matière de connaissances.

La mise en œuvre de changements basés sur la norme CEI 62443 4-2 peut exiger beaucoup de ressources. Adoptez une approche progressive et hiérarchisée pour minimiser les pertes. Commencez par les domaines les plus critiques pour l'entreprise et concentrez-vous sur des solutions rentables. 

Bien entendu, les composants existants du SIGC compliquent tout plan d'intégration. Il n'est pas toujours rentable de remplacer complètement certains systèmes dans un environnement. Dans l'intervalle, des mesures de sécurité alternatives et superposées peuvent atténuer le risque associé à ces systèmes.

En relevant ces défis et en se conformant aux exigences de la norme, les entreprises peuvent améliorer considérablement la sécurité et la résilience de leurs systèmes industriels.

Pour en savoir plus et rester au courant de tout ce qui concerne la cryptographie post-quantique, consultez Keyfactor's post-quantum Lab.

IEC 62443 et Industrie 4.0

Les technologies de fabrication avancées et l'intégration numérique ont contribué à ouvrir la voie à l'industrie 4.0, qui a amélioré l'efficacité opérationnelle. Cette augmentation de l'interconnexion amplifie également les risques potentiels, que la CEI 62443 aide à traiter en offrant un cadre robuste pour la protection des l'automatisation industrielle et les systèmes de contrôle contre les cybermenaces.

Le concept de "jumeaux numériques", répliques virtuelles de systèmes physiques utilisées à des fins de simulation et d'analyse, est un élément clé de la fabrication moderne. Ces jumeaux numériques, qui font partie intégrante de l'optimisation des processus et de la maintenance prédictive, nécessitent des mesures de sécurité strictes pour empêcher la manipulation ou le vol des données. 

La norme CEI 62443 joue un rôle essentiel pour garantir la sécurité des jumeaux numériques. En appliquant les lignes directrices de la norme, les fabricants peuvent s'assurer que les données et les algorithmes qui pilotent ces modèles virtuels sont protégés contre les accès non autorisés et la falsification.

Alors que l'industrie 4.0 continue d'évoluer, les menaces de cybersécurité font de même. Cette évolution constante influencera probablement le développement et l'application des normes IEC 62443. On peut s'attendre à ce que les futures mises à jour et itérations de la norme abordent les technologies et les menaces émergentes. 

Pour en savoir plus et rester au courant de tout ce qui concerne la cryptographie post-quantique, consultez Keyfactor's post-quantum Lab.

Construire une base de sécurité solide

Dans le cadre d'une sécurité IACS solide, le rôle de PKI est fondamental, quel que soit le niveau de sécurité ou l'étape de votre mise en œuvre de la sécurité. L'infrastructure PKI établit une base sécurisée dans les environnements IACS et apporte une approche structurée aux processus d'authentification, de cryptage et de signature numérique. 

Outils d'entreprise construits sur le cadre EJBCA peuvent permettre aux organisations de déployer et d'adapter rapidement PKI dans n'importe quel environnement.

L'automatisation des processus PKI est essentielle pour rationaliser la gestion de la sécurité et permettre l'émission, le renouvellement et la révocation des certificats. De nombreuses organisations utilisent des outils d'entreprise pour d'entreprise pour obtenir une visibilité et automatiser le contrôle des processus de sécurité. PKIDe nombreuses organisations utilisent des outils d'entreprise pour obtenir une visibilité et automatiser le contrôle des certificats, évitant ainsi les pannes causées par des processus manuels et sujets aux erreurs.

Vous souhaitez savoir comment l'automatisation du site PKI peut améliorer vos opérations dans le cadre du SIGC ? Prenez contact avec nous - notre équipe est prête à vous aider.

PKI et les certificats numériques sont des éléments essentiels de la norme IEC 62443. Découvrez comment Keyfactor peut améliorer votre parcours vers une sécurité IACS robuste.
Obtenir une démonstration