Standards & Safety 3 min read

Cyber ​​​​sécurité des systèmes de contrôle industriel pour IEC 62443 : exigences en matière de correctifs et de maintenance

Technical analysis: Cyber security IEC 62443 for industrial control systems: patching and maintenance

Кібербезпека промислових систем управління за IEC 62443: вимоги до патчингу та технічного обслуговування - UNITEC-D Industrial MRO
Стаття розглядає практичні вимоги стандарту IEC 62443 до патч-менеджменту та технічного обслуговування промислових систем управління на українських підприємствах. Включено чек-лист відповідності, вимо

Introduction : pourquoi la cybersécurité de l'ATS est un problème de maintenance

Les systèmes de contrôle industriel (ICS/ACU TP) des entreprises ukrainiennes fonctionnent dans des conditions de cybermenaces constantes. Selon le CERT-UA, en 2023-2024, plus de 2 500 incidents visant des infrastructures critiques ont été enregistrés. La norme IEC 62443 (une série de 14 documents, la dernière édition consolidée – 2024) définit une approche systématique de la protection des réseaux industriels à tous les niveaux, des composants aux politiques organisationnelles.

Pour un ingénieur de service, la cybersécurité n’est pas une tâche informatique abstraite. Chaque patch ouvert sur le contrôleur, chaque firmware non mis à jour du panneau IHM, chaque port Ethernet non protégé du variateur est un vecteur d'attaque. IEC 62443-2-3 : 2015 (Gestion des correctifs dans l'environnement IACS) régule directement les procédures de mise à jour du logiciel des composants ACS dans le cadre de la maintenance programmée.

La loi « sur les infrastructures critiques » (n° 1882-IX) est entrée en vigueur en Ukraine le 1er janvier 2024, qui oblige les exploitants d'infrastructures critiques à mettre en œuvre des systèmes de cyberprotection conformément aux normes internationales. DSTU EN IEC 62443 est adopté comme norme nationale par la méthode de confirmation.

Portée et obligation

Qui devrait être responsable ?

  • Opérateurs d'objets d'infrastructures critiques (catégories A, B, C selon la Résolution de la CMU n° 1109)
  • Entreprises avec ACS TP connectées aux réseaux d'entreprise
  • Production avec systèmes SCADA, DCS, PLC de niveaux 0-3 selon le modèle Purdue
  • Fournisseurs de composants ATS (exigences IEC 62443-4-1 et 4-2)

Quel équipement est couvert par les exigences

  • Contrôleurs logiques programmables (API) — Siemens S7-1500, Allen-Bradley ControlLogix, ABB AC500
  • Panneaux de commande (IHM) — Siemens Comfort/Unified, Weintek, Schneider Magelis
  • Convertisseurs de fréquence avec interfaces réseau (Profinet, EtherNet/IP, Modbus TCP)
  • Commutateurs et routeurs industriels (Hirschmann, Moxa, Phoenix Contact)
  • Capteurs et transducteurs avec HART/Foundation Fieldbus/IO-Link
  • PC industriels, serveurs SCADA, systèmes d'historique

Secteurs

Énergie, approvisionnement en eau, industrie chimique, métallurgie, industrie alimentaire, production de ciment, industrie minière - toute production avec gestion automatisée des processus technologiques.

Exigences clés de la norme

DocumentexigencePériode de mise en œuvreresponsable
IEC 62443-2-1 :2010+AMD1 :2024Système de gestion de la cybersécurité (CSMS) – Politiques, procédures, rôles12 mois à compter de la catégorisation de l'objetChef d'entreprise
IEC 62443-2-3 : 2015Procédures de gestion des correctifs pour l'environnement IACS6 mois après la mise en œuvre du CSMSIngénieur ACS TP / Informatique-sécurité
IEC 62443-3-3 : 2013Exigences de sécurité au niveau du système (SL 1-4)Lors de la conception/modernisationIngénieur de projet
IEC 62443-4-2 : 2019Exigences techniques pour les composants (SL-C)Lors de l'achat de nouveaux composantsDépartement Achats / MRO
DSTU ISO/IEC 27001 : 2023Intégration du SMSI avec CSMSParallèle à IEC 62443-2-1RSSI / responsable SI

Impact sur les opérations de maintenance

Application de correctifs dans le cadre de la maintenance planifiée

IEC 62443-2-3 nécessite un processus de mise à jour logicielle formalisé pour les composants industriels. Cela signifie :

  1. Inventaire de tous les actifs logiciels (firmware automate, HMI OS, versions SCADA)
  2. Surveillance des bulletins de sécurité des fabricants (Siemens ProductCERT, Rockwell Knowledgebase, ABB Cybersecurity Advisory)
  3. Évaluation des risques avant application du patch (score CVSS ≥ 7,0 — critique, période de fermeture ≤ 30 jours)
  4. Tests de correctifs sur le matériel de sauvegarde avant le déploiement en production
  5. Documentation de chaque mise à jour dans le journal des modifications

Modifications dans l'approvisionnement en pièces de rechange

La norme IEC 62443-4-2 établit quatre niveaux de sécurité des composants (SL-C 1 à 4). Lors du remplacement du contrôleur, du commutateur ou du panneau IHM, vous devez :

  • Vérifiez le certificat ISASecure (EDSA/SSA/SDLA) ou la déclaration de conformité IEC 62443-4-2
  • Assurez-vous que le firmware prend en charge une mise à jour sécurisée (mise à jour signée du firmware)
  • Demander de la documentation sur les directives de durcissement auprès du fournisseur
  • Maintenir l’intégrité de la chaîne d’approvisionnement – achetez uniquement auprès de distributeurs agréés

Documentation

Chaque procédure de maintenance liée aux systèmes cyber-physiques doit contenir :

  • ID d'actif et version actuelle du micrologiciel
  • Liste des correctifs appliqués avec dates
  • Résultats du contrôle d'intégrité (sommes de hachage, signatures numériques)
  • Signature d'une personne responsable et qualifiée (certificat GICSP, ISA/IEC 62443 Certificat de cybersécurité)

Exigences et certification des composants

Composants avec certification obligatoire en cybersécurité

Type de composantExigence IEC 62443-4-2SL-C minimumExemples de solutions certifiées
Automate / Automate de sécuritéFR 1 à 7 (identification, autorisation, intégrité des données, audit)SL-C 2 (production typique), SL-C 3 (infrastructure critique)Siemens S7-1500 (certifié TÜV SÜD), Allen-Bradley GuardLogix 5580
Commutateurs industrielsFR 1, FR 2, FR 5 (restriction des flux de données)SL-C2Hirschmann EAGLE40, Phoenix Contact FL MGUARD
Panneaux IHMFR 1, FR 3, FR 4 (confidentialité, intégrité)SL-C2Panneaux de confort unifiés Siemens (V18+)
Convertisseurs de fréquence avec EthernetFR 1, FR 7 (disponibilité des ressources)SL-C1ABB ACS880, Siemens G120 avec CU250S-2
Routeurs / pare-feux industrielsFR 1–7 (ensemble complet)SL-C3Fortinet FortiGate robuste, Cisco IE-3400

Composants mécaniques et électriques

Les exigences en matière de cybersécurité n’annulent pas les certifications classiques. Pour les composants fonctionnant dans un environnement ACS TP, les éléments suivants restent obligatoires :

  • Marquage CE (Directive 2014/35/UE pour les équipements basse tension)
  • Certificat UkrSEPRO pour les équipements soumis à certification obligatoire en Ukraine
  • Conformité au DSTU EN 60529 (degré de protection IP) pour les armoires d'automatisation
  • DSTU EN 61439-1 : 2017 pour les appareils complets basse tension
  • Roulements, joints, connecteurs – conformité aux ISO 9001 et aux normes spécifiques (ISO 15 : 2017 pour les roulements)

Liste de contrôle de conformité pour le gestionnaire de services

  1. Un inventaire complet des actifs logiciels du système de contrôle automatique (PLC, IHM, SCADA, équipements réseau) a été réalisé - les versions du firmware ont été documentées
  2. Un registre des actifs a été créé avec une classification par zones de sécurité (zones) et canaux de communication (conduits) conformément à IEC 62443-3-2
  3. Un niveau de sécurité cible (SL-T) est défini pour chaque zone
  4. Personne désignée responsable de la gestion des correctifs d'ACS TP (pas un service informatique à vocation générale)
  5. Signé sur le bulletin de sécurité de tous les fabricants des équipements installés
  6. Une procédure d'évaluation des risques a été développée avant l'application du patch (modèle d'évaluation des risques)
  7. Un environnement de test a été créé pour tester les correctifs avant la production
  8. Les durées maximales de fermeture des vulnérabilités sont définies : CVSS ≥ 9,0 - 14 jours, CVSS 7,0-8,9 - 30 jours, CVSS 4,0-6,9 - 90 jours
  9. Implémentation d'une procédure de sauvegarde des configurations automate/IHM avant chaque mise à jour
  10. Une protection physique des ports de programmation (USB, ports série) est assurée - fiches, serrures d'armoire
  11. Vérification de IEC 62443-4-2 certificats pour tous les composants récemment achetés
  12. Implémentation d'une segmentation du réseau (VLAN, pare-feu) entre les zones de niveaux 0 à 3 et le réseau d'entreprise
  13. La journalisation des événements de sécurité avec collecte centralisée (syslog/SIEM) est configurée
  14. Le personnel de maintenance a été formé aux bases de la cyber-hygiène (changement des mots de passe par défaut, interdiction des clés USB)
  15. Un plan de réponse aux incidents a été élaboré avec la définition des rôles du personnel de maintenance.
  16. Les contrats avec les fournisseurs de pièces de rechange ont été vérifiés quant aux exigences d'intégrité de la chaîne d'approvisionnement.
  17. Un audit des systèmes existants a été réalisé — des mesures compensatoires ont été déterminées pour les systèmes sans support de correctifs
  18. Toutes les connexions à distance à ACS TP (VPN, modems) sont documentées — réduites au minimum requis
  19. La gestion des changements est mise en œuvre - aucune mise à jour sans une demande de modification approuvée
  20. Un audit de conformité annuel de IEC 62443 avec la participation d'un auditeur externe est prévu

Incohérences typiques identifiées par les auditeurs

1. Manque de gestion des correctifs en tant que processus

Dans 78 % des entreprises ukrainiennes (selon l'estimation de DSSZZI, 2023), la mise à jour du firmware des automates n'est pas effectuée du tout ou n'est effectuée que lors de réparations majeures. Les contrôleurs fonctionnent sur un micrologiciel vieux de 5 à 10 ans avec des vulnérabilités connues (CVE).

2. Mots de passe par défaut

Siemens S7-300/400 sans protection par mot de passe, panneaux IHM avec connexion administrateur/administrateur, commutateurs avec informations d'identification par défaut d'usine. Violation du FR 1 (Contrôle d'identification et d'authentification) IEC 62443-4-2.

3. Manque de segmentation du réseau

CPL et réseau d'entreprise dans le même VLAN. Pas de DMZ entre les couches 3 et 4. Violation directe de IEC 62443-3-3, SR 5.1 (segmentation du réseau).

4. Incohérence des composants achetés

Remplacement d'un commutateur défaillant par un commutateur domestique (non géré) sans prise en charge ACL, VLAN, 802.1X. Achat de composants contrefaits ou non autorisés sans documentation.

5. Manque de journaux de modifications

Incapacité de suivre qui, quand et quoi a changé dans le programme PLC. Manque de versionnage du projet.

Responsabilité et sanctions

Responsabilité administrative

La loi ukrainienne sur les infrastructures critiques (article 27) dispose :

  • Amende pour non-respect des exigences en matière de cyberprotection : de 3 400 à 51 000 UAH (100 à 1 500 NMDH) pour les fonctionnaires
  • Amende pour les personnes morales — jusqu'à 2 % du chiffre d'affaires annuel (par analogie avec la directive NIS2 2022/2555 lors de l'intégration dans le marché européen)

Responsabilité pénale

Article 363-1 du Code pénal ukrainien (ingérence dans le fonctionnement des systèmes d'information) — si l'inaction a conduit à un incident aux conséquences graves : jusqu'à 5 ans d'emprisonnement.

Conséquences de l'assurance

Les compagnies d’assurance refusent de payer en cas de non-respect avéré des normes de cybersécurité. La perte typique résultant d'une cyberattaque contre une entreprise industrielle se situe entre 500 000 et 5 000 000 euros (données de l'Allianz Global Industrial Report 2024).

Risques contractuels

Les clients européens exigent une confirmation de conformité à IEC 62443 comme condition du contrat. Non-conformité = perte des contrats d'exportation.

Recommandations pratiques pour la mise en œuvre

Étape 1 : Audit de l'état actuel (1 à 2 mois)

Inventaire de tous les composants de l'ACS TP. Détermination du niveau de sécurité actuel (SL-A — atteint). Identification de l'écart entre SL-A et SL-T cible.

Étape 2 : Élaboration de politiques (2-3 mois)

Création d'une procédure de gestion des correctifs pour IEC 62443-2-3. Intégration avec le système de maintenance programmée (GMAO) existant. Définition des rôles et responsabilités.

Étape 3 : Mise en œuvre technique (3 à 6 mois)

Segmentation du réseau. Remplacement d'équipements ne répondant pas aux exigences de sécurité. Paramètres de surveillance. Mise en place d'un accès distant sécurisé.

Étape 4 : Achat des composants appropriés

Dans le cas d'un remplacement ou d'une modernisation prévu - la sélection de composants dont la conformité est confirmée IEC 62443-4-2. Commutateurs industriels, contrôleurs, convertisseurs de fréquence, capteurs avec interfaces réseau - tout doit disposer d'une documentation décrivant les fonctions de sécurité mises en œuvre (Fonctions de sécurité).

Résultat

La cybersécurité des systèmes de contrôle industriels n'est pas une initiative informatique facultative. Il s'agit d'un élément obligatoire de la maintenance technique, établi par la législation ukrainienne et les normes internationales. IEC 62443-2-3 définit directement l'application de correctifs comme une procédure de maintenance. Chaque remplacement d'un composant ACS TP doit prendre en compte les exigences de cybersécurité ainsi que les caractéristiques électriques et mécaniques.

UNITEC-D GmbH assure la fourniture de composants industriels certifiés - des roulements et joints aux équipements de réseau et éléments du système d'automatisation - avec une documentation complète de conformité aux normes CE, ISO et industrielles. Utilisez le Catalogue électronique UNITEC-D pour sélectionner les composants qui répondent aux exigences de votre niveau de sécurité.

Liste des documents réglementaires

  • IEC 62443-2-1:2010+AMD1:2024 — Sécurité des systèmes d'automatisation et de contrôle industriels — Partie 2-1 : Établissement d'un programme de sécurité IACS
  • IEC 62443-2-3 : 2015 – Gestion des correctifs dans l'environnement IACS
  • IEC 62443-3-2 : 2020 – Évaluation des risques de sécurité pour la conception du système
  • IEC 62443-3-3 : 2013 – Exigences de sécurité du système et niveaux de sécurité
  • IEC 62443-4-1 : 2018 – Exigences sécurisées du cycle de vie du développement de produits
  • IEC 62443-4-2 : 2019 – Exigences techniques de sécurité pour les composants IACS
  • Loi ukrainienne « sur les infrastructures critiques » n° 1882-IX du 16 novembre 2021
  • Résolution CMU n° 1109 du 9 octobre 2020 « portant approbation de la procédure de constitution d'une liste d'objets d'infrastructures critiques »
  • DSTU ISO/IEC 27001 :2023 (ISO/IEC 27001 :2022, IDT)
  • Directive (UE) 2022/2555 (NIS2) — pour les entreprises ayant des contrats européens
  • NIST SP 800-82 Rév. 3 (2023) — Guide de sécurité OT (référence)

Related Articles