iec 62443-4-2

Renforcez la cybersécurité des actifs industriels en réseau avec l’IEC 62443-2-4

Renforcer la cybersécurité OT en s’appuyant sur l’IEC 62443

Dans un contexte de perturbation continue de la chaîne d’approvisionnement mondiale, les organisations industrielles ont mis en place des stratégies pour maintenir leur production afin de préserver leur avantage concurrentiel. 
L’adoption de nouvelles technologies d’accès à distance aux machines a donc été l’un des moyens les plus efficaces pour renforcer la résilience des opérations industrielles.
Mais cet accès à distance a aussi ouvert une porte d’accès à des actifs sensibles et créé un problème de cybersécurité OT.
Ce problème de cybersécurité OT est de taille ; en effet selon les prévisions d’IDC Worldwide IT/OT Convergence 2022*, d’ici 2025, 30 % des fabricants du G2000 intégreront des technologies connectées dans leurs produits pour en accroître la fiabilité.

Parce que les actifs industriels connectés aux réseaux sont aussi exposés à de nouveaux risques de cybersécurité, il est nécessaire d’intégrer de nouvelles fonctionnalités de sécurité au niveau des processus et des composants pour atténuer ces risques cybersécuritaires opérationnels (OT).

Alors que cette tendance voit les nouvelles technologies être fréquemment intégrées dans les produits et davantage d’actifs connectés, les composants de réseau jouent un rôle de plus en plus important. Des composants doivent donc être développés pour répondre à ces nouvelles exigences.
Les organisations industrielles qui souhaitent tirer parti de l’accès à distance doivent, en contre-partie, s’assurer qu’elles connectent les appareils en toute sécurité et conformément aux réglementations et aux normes pour garantir l’accessibilité, l’intégrité et la sécurité des données.

Comment la norme NF EN IEC62443 renforce-t-elle la cybersécurité OT ?

De nombreuses normes décrivent le cadre de sécurité des systèmes de contrôle industriels. L’une des normes les plus répandues et les plus fréquemment adoptées par les organisations industrielles est la norme NF EN IEC 62443. Cette norme comprend des lignes directrices qui définissent les procédures de mise en œuvre de systèmes d’automatisation et de contrôle industriels (IACS) sécurisés électroniquement pour différentes parties d’un réseau. En outre, la norme comprend des directives pour ceux qui effectuent le contrôle de l’automatisation et différentes responsabilités sur le réseau. De nos jours, les intégrateurs de systèmes (SI) exigent le plus souvent que les fournisseurs de composants se conforment à l’IEC 62443-4-2 (sous-section de la norme CEI 62443 relative aux matériels). 
La figure ci-dessous fournit une vue d’ensemble qui inclut la portée et les rôles et responsabilités de ceux qui doivent assurer la sécurité des opérations d’un réseau à chaque étape.

Principe de la norme IEC 62443

Adoptez l’IEC 62443-4-2

Politiques définies et gestion de la sécurité

Les organisations industrielles doivent fonder leurs profils de sécurité et leurs systèmes de gestion de la sécurité sur une évaluation des risques. “L’évaluation doit être en mesure d’identifier les dépendances, de déterminer quels sont les risques critiques pour le fonctionnement/la sécurité de ces processus et quelles sont les réponses à ces risques”, a déclaré Felipe Sabino Costa dans son livre blanc, A Practical Approach to Adopting the Normes CEI 62443 . Après avoir confirmé les politiques et le système de gestion de la sécurité, il est impératif de déployer un logiciel de visualisation pour aider les propriétaires d’actifs à obtenir les dernières informations sur leur posture de sécurité.

Cyber-sécurité de défense pour les Systèmes de Contrôle-Commande Industriel (IACS)

Un cadre de défense en profondeur suggère de partitionner les systèmes en zones et en conduits, car cela aide à atténuer les risques à des niveaux qu’une entreprise peut accepter. Chaque zone et conduit se verra attribuer un niveau de sécurité en fonction de son importance, et les opérateurs de réseau doivent s’assurer qu’il est respecté. L’approche de défense en profondeur peut être réalisée avec une ségrégation physique ou logique en utilisant des routeurs sécurisés industriels, des VPN et des solutions d’accès à distance adaptées à l’automatisation industrielle. En outre, certaines des fonctions de mise en réseau, telles que les ACL (listes de contrôle d’accès), peuvent également aider à segmenter les réseaux pour atteindre certains niveaux de sécurité. Si les propriétaires d’actifs ou les intégrateurs de systèmes espèrent atténuer les risques, les systèmes de détection/prévention des intrusions industrielles (IDS/IPS) peuvent également être réalisables, en particulier pour protéger les infrastructures critiques contre les attaques malveillantes.

Appareils renforcés avec fonctions de sécurité intégrées

Les fonctionnalités de sécurité intégrées pour les périphériques réseau font écho au cadre de défense en profondeur et au système de gestion de la sécurité. Les blocs de construction dotés d’une sécurité intégrée sont très utiles pour les propriétaires d’actifs et les IS pour s’assurer que leurs systèmes atteignent les niveaux de sécurité souhaités. Plus loin dans cet article, nous résumerons les exigences relatives à la norme CEI 62443-4-2.

Des exigences spécifiques pour l’industrie, couvertes par la NF EN IEC 62443-4-2

La norme CEI 62443 contient plusieurs sous-sections relatives aux personnes ayant différentes responsabilités. Alors que les SI exigent de plus en plus la conformité à la sous-section CEI 62443-4-2, qui émet des lignes directrices pour les fournisseurs de composants, cette sous-section devient de plus en plus importante. Les exigences des composants sont dérivées des exigences fondamentales, y compris la gestion des comptes, des identifiants et des authentificateurs, l’authentification par mot de passe, l’authentification par clé publique, le contrôle de l’utilisation, l’intégrité et la confidentialité des données, ainsi que la sauvegarde de la disponibilité des ressources.

Si les fournisseurs de composants suivent l’ensemble des directives définies dans la sous-section CEI 62443-4-2, ils assureront aux opérateurs de réseau les meilleures chances de protéger leurs réseaux contre les cyberattaques. Bien que les fournisseurs de composants doivent ajouter certaines fonctionnalités et capacités à leurs machines afin que les appareils soient adaptés au déploiement sur les réseaux IoT industriels, il incombe aux opérateurs de réseau d’utiliser ces fonctionnalités sur leur réseau. De plus, ils doivent s’assurer que toute personne autorisée à accéder au réseau connaît les meilleures procédures et directives décrites dans la sous-section CEI 62443-4-2.

Le respect de toutes les directives énoncées dans la sous-section CEI 62443-4-2 se traduira généralement par plusieurs résultats positifs qui contribueront grandement à améliorer la sécurité du réseau. Cependant, choisir de ne pas suivre les directives pourrait avoir des conséquences négatives, ce qui rendra le réseau moins sécurisé et le rendra vulnérable aux attaques de personnes ayant des intentions malveillantes.

Les niveaux de sécurité SL1 à SL4

La norme IEC 62443 introduit le concept de niveaux de sécurité applicable aux produits. Le niveau de sécurité (SL) est défini en analysant un dispositif particulier, puis en déterminant le niveau de sécurité dont il doit disposer, en fonction de sa place dans le système.
Les niveaux de sécurité peuvent être classés en quatre niveaux distincts, de 1 à 4 :

  • Niveau de sécurité 1 (SL1) : protection contre une mauvaise utilisation sans intention de nuire (par exemple une faute d’un employé)
  • Niveau de sécurité 2 (SL2) : protection conte une attaque intentionnelle avec des ressources modestes
  • Niveau de sécurité 3 et 4 (SL3 et SL4) : Attaque intentionnelle avec des ressources modérées ou importantes

Si le risque que vous avez identifié est celui de cyberattaques d’organisations criminelles opportunistes vous aurez sans doute besoin de vous protéger contre des attaques malveillantes de niveau 2 (SL2).

Les solutions matérielles MOXA conformes à l’IEC 62443-4-2 SL2

Pour améliorer la sécurité au niveau des composants, Sphinx France recommande les solutions MOXA.
Pour construire un réseau informatique OT conforme à l’IEC62443-4-2 SL2 (niveau 2) SPHINX vous propose :

– les points d’accès sans fil WiFi MOXA (disponibilité Q2 2023)

– des routeurs industriels sécurisés comme le Moxa EDR-9010. qui intègre un switch administrable de niveau 2

– des switches à monter sur rail comme l’EDS-G4008 ( de la série EDS-4000/G4000) ou des switches industriels de format rack,  comme le RKS-G4028

IDC FutureScape : prévisions mondiales de convergence IT/OT 2022, Doc #US47131521, octobre 2021.

Inspiré de l’article
Enhance Industrial Network Security by Following the IEC 62443-4-2 Standard par MOXA