Les systèmes d'infrastructures critiques comme ceux qui pilotent la production d'électricité et d'énergie renouvelable, le traitement des eaux et d'autres plateformes deviennent une cible potentielle pour les cyberattaques car ils se connectent de plus en plus à d'autres réseaux. La règle générale est la suivante : plus un système est populaire, plus l'attaque est lucrative, car il peut souvent être réutilisé.
En raison de l'interconnexion du réseau d'entreprise avec le réseau de production et de l'intégration des réseaux de contrôle de processus avec les technologies Web, le besoin de sécuriser les systèmes de contrôle d'automatisation industrielle (IACS) a considérablement augmenté. Cette interconnexion rend le système critique du réseau de contrôle de processus vulnérable aux cyberattaques, provoquant l'arrêt de l'ensemble du système et même un impact sur l'environnement.
La sécurité dans le système de contrôle industriel vise à sécuriser les installations industrielles contre les attaques physiques et numériques. Les attaques peuvent être dues à la négligence, au comportement involontaire d'un employé, ou être criminelles et intentionnelles. Le but de la sécurité du système de contrôle industriel est d'atteindre trois objectifs de sécurité :
- Confidentialité
- Intégrité
- Disponibilité
Dans le système IACS, la disponibilité des données/services est une priorité absolue. L'objectif est de garantir que même en cas de cyberattaque ou de panne du système, la production continue de fonctionner sans problème.
La norme ISA/IEC 62443
La norme ISA/IEC 62443 traite de la sécurité des systèmes de contrôle industriels, également appelés « systèmes d'automatisation et de contrôle industriels ». Le terme IACS désigne les systèmes utilisés dans les installations de traitement et de fabrication, ainsi que les opérations telles que le gaz, l'électricité et l'eau, utilisant des actifs automatisés, télécommandés ou surveillés.
La norme ISA/IEC 62443 vise à garantir que les trois principaux rôles de l'industrie de transformation - fournisseur de produits, intégrateur de systèmes et propriétaire d'actifs - suivent une méthode efficace pour un processus sécurisé en mettant l'accent sur la sécurité du personnel et de l'environnement, ainsi que sur la disponibilité, l'efficacité et la qualité de production de l'IACS.
Les rôles définissent et relient différentes parties de la norme ISA/IEC 62443, à savoir qu'un produit développé par le fournisseur de produits concerne la maintenance et une capacité d'intégration par l'intégrateur et son exploitation par le propriétaire de l'actif.
Pour être précis, le fournisseur du produit est responsable du développement et du test du système de contrôle, l'intégrateur du système est responsable de l'intégration et de la mise en service du produit dans l'automatisation, et le propriétaire de l'actif est responsable des capacités opérationnelles et de maintenance.
La structure de la norme ISA/IEC 62443 est divisée en quatre parties :
- Système de gestion générale (politiques et procédures)
- Sécurité informatique industrielle
- IACS (configuration requise)
- Sécurité intégrée
Concepts utilisés dans la norme ISA/IEC 62443
- Défense en profondeur
Ce concept est un mécanisme de sécurité à plusieurs niveaux qui renforce la sécurité de l'ensemble du système. Son avantage est que, lors d'une attaque, si une couche est compromise, les autres couches peuvent toujours détecter, réagir et se protéger contre autant d'attaques.
- Zones et conduits
Les zones de sécurité sont des regroupements physiques ou logiques d'actifs qui partagent des exigences de sécurité standard et isolent les composants critiques des systèmes de contrôle. Les conduits contrôlent l'accès à la zone en résistant à plusieurs attaques, comme le déni de service, et protègent l'intégrité et la confidentialité du trafic réseau.
- Cycle de vie de la cybersécurité pour les IACS utilisant PDCA
La méthode de mesure de sécurité Planifier, Faire, Vérifier et Agir doit être suivie par chacun des trois rôles définis dans la norme. Le cycle PDCA pour le fournisseur de produits est le
cycle de vie du produit, car il est spécifique au produit/aux appareils. Pour l'intégrateur et le propriétaire d'actifs, il s'agit du cycle de vie de l'usine, car il se concentre sur l'ensemble de l'usine.
Si vous souhaitez en savoir plus sur la sécurité des systèmes de contrôle industriel et sur la manière dont ils peuvent être protégés, ou si vous souhaitez garantir la conformité de votre entreprise aux réglementations en matière de cybersécurité et aux normes de sécurité ISA/IEC 62443, contactez des partenaires de sécurité spécialisés .