IEC 62443 : la norme de référence en cybersécurité industrielle

L'IEC 62443 est la norme internationale de référence pour la cybersécurité des systèmes d'automatisation et de contrôle industriels (IACS). Publiée par la Commission électrotechnique internationale et mise à jour en juin 2023, elle couvre à la fois les processus, les systèmes et les composants, et structure la sécurité OT à travers quatre niveaux de sécurité (SL-1 à SL-4), sept exigences fondamentales et un découpage en zones et conduits. Depuis l'adoption du Cyber Resilience Act (CRA) en 2024, elle s'impose comme un référentiel structurant pour démontrer la maîtrise cyber des produits industriels mis sur le marché européen.

Pourquoi l'IEC 62443 devient incontournable

Pendant longtemps, la cybersécurité industrielle est restée le parent pauvre des politiques de sécurité d'entreprise centrée sur l'ITL l'OT (Operational Technology) avançait avec ses propres logiques, ses protocoles propriétaires et ses contraintes de disponibilité 24/7.

Avec la convergence IT/OT et la montée des attaques ciblées contre les systèmes industriels (Colonial Pipeline en 2021, Norsk Hydro en 2019, TRITON en 2017) la donne a changé. L'IEC 62443 s'est imposée comme le référentiel commun. Et avec l'adoption du Cyber Resilience Act (CRA) au niveau européen, elle devient un pivot réglementaire pour tout fabricant, importateur ou distributeur de produits comportant des éléments numériques.


Cet article décrypte la norme IEC 62443 : son périmètre, sa structure, ses niveaux de sécurité, sa logique de zones et conduits, et son articulation concrète avec le CRA.

 

Au sommaire

• Ce que recouvre la norme IEC 62443 et ses trois rôles clés
• La gestion des risques : faire le pont entre IT et OT
• IEC 62443 et CRA : deux logiques complémentaires
• La défense en profondeur : 7 niveaux de sécurité
• Zones et conduits : structurer le réseau interne
• Les 4 niveaux de sécurité (SL-1 à SL-4)
• La structure de la norme
• FAQ

 

Ce que recouvre la norme IEC 62443

Publiée pour la première fois en 2010 et mise à jour en version 2.0 en juin 2023, l'IEC 62443 est une série de normes éditée par la Commission électrotechnique internationale (IEC). Elle couvre les aspects techniques et organisationnels de la cybersécurité des systèmes industriels.

La norme distingue trois rôles dans la chaîne industrielle :

• L'opérateur : exploitant du système industriel (industriel, énergéticien, opérateur d'infrastructure).
• L'intégrateur : prestataire de services d'intégration et de maintenance.
• Le fabricant : équipementier qui conçoit les composants (automates, supervision, etc.).

Chaque rôle est soumis à des exigences spécifiques, et la norme définit les responsabilités de chacun pour atteindre un niveau de sécurité homogène à l'échelle d'une installation.

 

Gestion des risques : faire le pont entre IT et OT

L'IEC 62443 fait le lien entre deux univers normatifs distincts : la sécurité des systèmes d'information (ISO 27000) et la sécurité industrielle (IEC 61508 et normes sectorielles). Concrètement, elle couvre la zone grise entre IT et OT, là où les deux mondes se rencontrent.
Comme l'ISO 27000, elle repose sur une approche par les risques. Mais à la différence de l'ISO 27001 qui certifie une organisation à travers son SMSI (Système de Management de la Sécurité), l'IEC 62443 permet de certifier un processus, un système ou un produit utilisé en environnement industriel.

 

 

 

IT et OT : des priorités fondamentalement différentes

• Les exigences ne se recouvrent pas en IT : on protège la confidentialité et l'intégrité des données.
• En OT : on protège la disponibilité, la sûreté de fonctionnement et la sécurité des personnes.

 

IEC 62443 et CRA : deux logiques complémentaires

Avec l'adoption du Cyber Resilience Act (CRA) en 2024, l'IEC 62443 prend une dimension nouvelle. Le CRA s'applique à tous les produits matériels et logiciels comportant des éléments numériques mis sur le marché européen — y compris les composants placés séparément — et engage fabricants, importateurs et distributeurs.

Les deux textes ne se substituent pas, ils se complètent :

• L'IEC 62443 est le référentiel technique et méthodologique : analyse de risque, défense en profondeur, segmentation en zones et conduits, développement sécurisé, gestion des vulnérabilités, patch management.
• Le CRA ajoute la contrainte réglementaire : exigences essentielles de cybersécurité, documentation technique, évaluation de conformité, marquage CE, obligations de notification des vulnérabilités.
  

 

Attention : un produit certifié IEC 62443 n'est pas automatiquement conforme au CRA. La norme constitue un excellent référentiel de préparation, à articuler avec les exigences CRA, les futures normes harmonisées, la documentation technique, l'évaluation de conformité et le marquage CE applicables au produit concerné.

 

À noter : le CRA introduit une obligation de notification des vulnérabilités activement exploitées et des incidents graves, via la plateforme européenne de signalement. Une alerte précoce est attendue sous 24 h, suivie d'une notification complète sous 72 h, puis d'un rapport final.

La défense en profondeur : 7 niveaux de sécurité

La défense en profondeur est un concept fondateur de la norme. L'idée : empiler plusieurs niveaux de sécurité dans le système pour assurer une redondance en cas de défaillance d'une mesure ou d'exploitation d'une vulnérabilité.

L'objectif est triple :

• Assurer une sécurité globale (aucune mesure unique n'est suffisante)
• Combiner différents outils pour réduire les risques et minimiser les impacts
• Focaliser la protection sur les systèmes critiques pour garantir la continuité d'exploitation en cas de cyberattaque.

Les 7 niveaux empilés couvrent : la sécurité physique, le périmètre réseau, la segmentation interne, la sécurité des hôtes, la sécurité applicative, la sécurité des données et la gouvernance/sensibilisation.

 

Zones et conduits : structurer le réseau interne

La norme propose un découpage logique du système en zones et conduits.

• Les zones regroupent des actifs (logiques ou physiques) ayant des exigences de sécurité communes, définies par leur niveau de sécurité (Security Level) via une analyse de risque
• Les conduits regroupent les éléments de communication qui font transiter l'information d'une zone à l'autre, avec les fonctions de sécurité associées.
  

Une analyse de risque par zone permet de déterminer le SL requis. Sept exigences fondamentales s'appliquent ensuite à chaque zone :

• FR1 - Identification et authentification : autoriser l'accès aux personnes, processus logiciels et appareils.
• FR2 - Contrôle d'utilisation : appliquer les droits et privilèges attribués.
• FR3 - Intégrité du système : données, logiciels, équipements.
• FR4 - Confidentialité des données : flux de communication et stockage.
• FR5 - Transfert de données limité : segmentation des flux.
• FR6 - Réponse appropriée aux événements : notification dans les délais*
• FR7 - Disponibilité des ressources : continuité de service.

* Dans le CRA, cette exigence prend une place importante pour les fabricants : les vulnérabilités activement exploitées et les incidents graves affectant la sécurité d’un produit devront être notifiés via la plateforme européenne de signalement. Une alerte précoce est attendue sous 24 h, suivie d’une notification complète sous 72 h, puis d’un rapport final selon le cas.

 

Les 4 niveaux de sécurité (SL-1 à SL-4) : déterminer le degré de protection nécessaire

Les exigences techniques pour les systèmes et les produits sont évalués selon quatre niveaux de sécurité (Security Levels - SL). Ces différents niveaux indiquent la résistance contre différentes classes d'attaquants :

• SL0 : aucune exigence ou protection particulière requise
• SL1 : segmentation des réseaux pour une protection contre les abus involontaires ou accidentels (Ex : un employé qui se trompe)
  
• SL2 : séparation physique des réseaux exigée pour une protection contre les abus intentionnels avec des moyens simples, peu de ressources, des compétences générales et une faible motivation
• SL3 : continuité de fonctionnement des réseaux contrôle-commande même si les autres réseaux sont hors service. Protection contre des attaques sophistiquées, ressources modérées, compétences IACS spécifiques (ex. : groupes terroristes, États).
• SL4 : isolation logique et physique des réseaux les plus critiques. Protection contre les attaques étatiques avancées, ressources étendues, motivation forte.

Un certain nombre de conditions doivent être remplies pour l’obtention de la certification. Les exigences du niveau inférieur s’ajoutant bien évidemment à celles du niveau suivant. Ainsi l’obtention du SL-1 nécessite de répondre aux 38 exigences. Pour le SL-2, il faudra répondre au 22 supplémentaires.

Répartition des exigences par niveau et par FR

 

Structure de la norme IEC 62443

La série de normes IEC 62443 « Réseaux de communication industriels - Sécurité des réseaux et des systèmes » se décompose en quatre parties :

62443-1 : Sujets généraux tels que les concepts et les cas d’utilisation
Pose les fondations : Terminologie, concepts, modèles, méthodes et glossaire. A lire avant tout le reste

62443-2 : Stratégie et procédure
Spécifie les mesures organisationnelles, et s’adresse aux exploitants et mainteneurs. Elle décrit l’établissement et mise en place d'un programme de sécurité des systèmes d'automatisation et de contrôle industriels (et de ses exigences). Il apporte également des recommandations sur les corrections et mises à jour des composants du système, dans le respect des contraintes des infrastructures critiques industrielles.

62443-3 : Système
Dédié aux technologies de sécurité pour les systèmes d'automatisation et de contrôle industriels (IACS - Industrial Automation and Control Systems), Elle évalue les différents outils de cybersécurité, décrit la méthode et les moyens des structuration en zones et conduits et dresse un état des lieux des techniques de protection contre les cyberattaques.

• 62443-3-2 : Guide d’évaluation des risques suivant les différentes composantes (pertinence des menaces, exposition aux risques, la probabilité, facilité d’exploitation et impacts)
• 62443-3-3 : Exigences techniques de cybersécurité applicables aux systèmes, ainsi que les niveaux de sécurité associés
  

62443-4 : Composant
Destiné aux équipementiers de solutions de contrôle-commande (Automates, éléments de supervision, stations d’ingénierie et autres équipements de commutation). Cette partie décrit :

• 62443-4-1 : Processus sécurisé de développement de produits, structuré en huit domaines (gestion du développement, exigences de sécurité, conception, développement sécurisé, tests, traitement des vulnérabilités, mises à jour, documentation).
• 62443-4-2 : Exigences techniques relatives aux composants IACS (réseau, hôtes et applications logicielles). Elle précise les capacités de sécurité qui atténuent les menaces pour un niveau de sécurité donné.

La 62443-4 incarne le principe « security by design » repris par le CRA : la cybersécurité doit être intégrée dès la conception et tenue à jour pendant toute la durée de vie du produit — développement sécurisé, vérification, validation, gestion des défauts, patch management, fin de vie et documentation des fonctions de sécurité.

 

---

 

FAQ : IEC 62443

Quelle est la différence entre IEC 62443 et ISO 27001 ?

L'ISO 27001 certifie une organisation à travers son système de management de la sécurité de l'information (SMSI), avec une priorité donnée à la confidentialité et à l'intégrité. L'IEC 62443 certifie un processus, un système ou un produit utilisé en environnement industriel, avec une priorité donnée à la disponibilité et à la sécurité de fonctionnement. Les deux sont complémentaires : l'ISO 27001 cadre la gouvernance IT globale, l'IEC 62443 cadre la cybersécurité OT.

 

Comment obtenir une certification IEC 62443 ?

La certification s'obtient auprès d'organismes accrédités (Bureau Veritas, UL, etc.). Le périmètre dépend de l'objet certifié : un système (62443-3-3), un composant (62443-4-2) ou un processus de développement (62443-4-1). Le parcours type comprend une analyse d'écart, la mise en conformité, un audit documentaire et un audit terrain. Les délais varient de 6 à 18 mois selon la maturité de départ.

 

Quels sont les 4 niveaux de sécurité (SL) de l'IEC 62443 ?

SL-1 protège contre les abus accidentels (segmentation des réseaux). SL-2 protège contre les attaques opportunistes à faible motivation (séparation physique). SL-3 protège contre des attaques sophistiquées avec compétences IACS (résilience des réseaux contrôle-commande). SL-4 protège contre des attaques étatiques avancées (isolation logique et physique des actifs critiques).

 

L'IEC 62443 est-elle obligatoire en Europe ?

Non, l'IEC 62443 reste une norme volontaire. Mais avec l'entrée en vigueur du Cyber Resilience Act (CRA) et la directive NIS2, elle s'impose dans les faits comme le référentiel pour démontrer la maîtrise de la cybersécurité des produits industriels et des opérateurs essentiels. La conformité IEC 62443 facilite — sans la garantir automatiquement — la conformité CRA.
Pour plus de détail sur le cadre règlementaire : NIS 2, CRA, IA Act, RED, Règlement Machines : comment s’y retrouver dans ce déluge réglementaire cyber ?

 

Comment l'IEC 62443 s'articule-t-elle avec le Cyber Resilience Act ?

L'IEC 62443 fournit les méthodes (analyse de risque, défense en profondeur, zones et conduits, développement sécurisé). Le CRA fixe les obligations réglementaires (exigences essentielles, documentation technique, évaluation de conformité, marquage CE, notification des vulnérabilités sous 24 h / 72 h). En pratique, une démarche IEC 62443 bien conduite couvre une large part des attentes CRA, mais elle doit être complétée par la conformité réglementaire formelle.

 

 

---

 

Sources & références

•  ISA/IEC 62443 Series of Standards
• ANSSI - Guides et recommandations sur la cybersécurité des systèmes industriels
•  ENISA - Threat Landscape, sections OT et infrastructures critiques
• Commission européenne - Texte officiel du Cyber Resilience Act
• Stormshield - IEC 62443 : le standard incontournable de la cybersécurité industrielle.
• Schneider Electric - Niveau de sécurité 2 (SL2) IEC 62443 et systèmes de gestion d'énergie.
• DND Agency IEC 62443
  

 

 

A propos de l'auteur

Luc DEMENET est responsable du management de la SSI et ancien responsable du pôle DevOps & Cybersécurité chez Kaizen Solutions. Diplômé des Arts et Métiers, il cumule les certifications CISM, CISSP et ISO 27001 Lead Implementer. Sur le terrain, il a mené des projets cybersécurité OT chez EDF (environnements SCADA, automates, hydraulique) pendant près de 7 ans. Aujourd'hui il pilote la certification ISO 27001 de Kaizen Solutions et accompagne les industriels dans leur mise en conformité IEC 62443, NIS2 et CRA.

Retour aux articles