Jean-Pierre Hauet

Président de l’ISA-France

Voting member du Comité ISA99

Longtemps attendu le standard ISA/IEC 62443 édition 2 : Security program requirements for IACS asset owners vient d’être publié. Il est accessible en ligne sur le site de l’IEC et le sera prochainement sur celui de l’ISA. Il remplace l’édition 1 : Establishing an Industrial Automation and Control Systems Security Program qui datait de 2009.

L’ISA/IEC 62443-2-1 fixe les exigences qui doivent être respectées par l’Asset Owner d’un système d’automatisme et de contrôle industriel (IACS : Industrial Automation and Control System) dans le cadre de son Security Program. Dans le contexte de la série de standards ISA/IEC 62443, l’Asset Owner (littéralement : propriétaire d’actif) désigne le rôle dévolu à l’organisation en charge de la maîtrise d’ouvrage d’un ou de plusieurs IACS. Il inclut également la responsabilité de l’exploitation du IACS (figure 1).

Figure 1 : Rôles et responsabilités dans la série IEC 62443. Source : IEC.

La définition des mesures techniques et organisationnelles (politiques et procédures) à mettre en place pour répondre aux exigences de la norme ISA/IEC 62443-2-1s’appuie sur les analyses de risques menées conformément à la norme ISA/IEC 62443-3-2, de façon à ramener le risque à un niveau tolérable. Certaines de ces mesures reposent sur l’application des capacités de maintenance et d’intégration définies dans l’ISA/IEC 62443-2-4  et des capacités de sécurité techniques définies dans l’ISA/IEC 62443-3-3 et dans l’IEC 62443-4-2. D’autres mesures peuvent résulter du respect des exigences posées au  niveau de l’organisation, dans laquelle le ou les IACS sont insérés, par le système de management de la sécurité de l’information (ISMS).

Les exigences sont classées en chapitres : les Security Program éléments (SPE) au nombre de 8 (figure 2).

Figure 2 : Les huit Security Program Eléments de la norme ISA/IEC 62443-2-1.

La norme ISA/IEC 62443-2-1 définit un modèle qualitatif de maturité, selon une échelle de 1 à 4, permettant de caractériser la façon dont l’organisation répond aux exigences de la norme au travers des politiques et des procédures.

Pour assurer la cohérence de l’ensemble de la série IEC 62443 et permettre la liaison avec les standards externes (ISO 27001 notamment), l’ISA/IEC 62443-2-1 comporte des tableaux de correspondance (mapping) avec l’ISA/IEC 62443-2-4, l’ISA/IEC 62443-3-3, l’ISA/IEC 62443-4-2, l’ISA/IEC 62443-2-4, l’ISO/IEC 27001, le framework du NIST.

Des tableaux de correspondance avec d’autre textes réglementaires ou normatifs, nationaux ou européens, pourront être établis.

L’association ISA-France propose des sessions de formation sur la série IEC 62443.

Pour plus d’informations : contact@isa-france.org