Définition et objectif

La norme IEC 62443 se concentre sur la sécurité des systèmes d'automatisation et de contrôle industriels tout au long de leur cycle de vie. Le but de ces normes est d'offrir une approche systématique et pratique pour sécuriser les IACS dans divers secteurs, garantissant la sécurité et la fiabilité des systèmes qui sont essentiels à l'infrastructure industrielle mondiale.

Organisme de régulation

Les normes sont développées et maintenues par la Commission électrotechnique internationale (CEI) en collaboration avec l'International Society of Automation (ISA).

Dernière mise à jour

ISA/IEC 62443 a été publiée en 2018.

Applicable à

La norme IEC 62443 s'applique aux systèmes d'automatisation et de contrôle industriels dans divers secteurs. Cela inclut la fabrication, le pétrole et le gaz, les services énergétiques, le traitement de l'eau et d'autres secteurs qui utilisent des systèmes d'automatisation et de contrôle.

Contrôles et exigences

La norme IEC 62443 est composée de plusieurs parties, chacune abordant différents aspects de la sécurité des IACS. Certaines parties notables incluent :

• IEC 62443-2-1 : Établit les exigences pour la mise en œuvre d'un système de gestion de la sécurité des IACS.
• IEC 62443-3-3 : Exigences de sécurité des systèmes et niveaux de sécurité.
• IEC 62443-4-1 : Exigences relatives au cycle de vie du développement de produits sécurisés.

Les principales exigences et contrôles couvrent des domaines tels que :

• Politiques et procédures de sécurité
• Gestion des correctifs système
• Évaluations des risques de sécurité
• Stratégies de défense en profondeur
• Planification de la réponse aux incidents
• Formation et sensibilisation à la sécurité
• Conception et architecture de systèmes sécurisés
• Mesures de contrôle d'accès
• Pratiques de codage sécurisé pour les logiciels IACS
• Surveillance et journalisation régulières des systèmes

Veuillez consulter la documentation officielle des normes ISA/IEC 62443 pour une liste détaillée des contrôles et des exigences.

Type d'audit, fréquence et durée

En fonction du contexte, les audits peuvent être réalisés par des équipes internes ou des évaluateurs tiers. Les audits impliquent généralement une combinaison de revue documentaire, d'entretiens, de tests système et d'évaluations de vulnérabilité. Bien que la norme elle-même ne dicte pas une fréquence fixe, les meilleures pratiques suggèrent un audit ou une évaluation annuelle, avec des revues supplémentaires après des changements importants du système ou des vulnérabilités identifiées.

La durée de l'audit varie en fonction de la taille et de la complexité du SIAG en question, de la portée de l'audit et des parties spécifiques de la norme IEC 62443 abordées.