Guide utilisateur

🏭 Module IEC 62443

Analyse de la cybersécurité des systèmes de contrôle industriels (ICS/OT) selon la norme IEC 62443-3-2 — zones de sécurité, niveaux SL et plan de traitement.

1Vue d'ensemble

La norme IEC 62443 (anciennement ISA-99) définit un cadre de cybersécurité pour les systèmes de contrôle industriels. Elle structure l'analyse autour de zones de sécurité regroupant des équipements OT selon leur niveau de risque et leurs besoins de protection.

📋
Contexte / SUC
Périmètre et objectifs
🗄
ZCR1 — Actifs
Inventaire des équipements OT
ZCR2 — Risques
Évaluation initiale par actif
🗺
ZCR3 — Zones
Découpage et niveaux SL-T
🔍
ZCR4 — Vulnérabilités
Analyse détaillée par zone
🎯
ZCR5 — Menaces
Scénarios par couple zone/actif

Flux de travail

Contexte ZCR1 Actifs ZCR2 Risques initiaux ZCR3 Zones/SL-T ZCR4 Vulnérabilités ZCR5 Menaces Rapport

Page d'accueil du module

La page Guide IEC 62443 est le point d'entrée du module. Elle présente le parcours recommandé en 5 étapes et propose des accès rapides selon votre besoin (cartographie SUC, analyse des risques, conformité, rapport CRS).

Guide IEC 62443
Page d'accueil — parcours recommandé et accès rapides par besoin

2Créer un projet IEC 62443

Type de projetUsage
Cyber OTIEC 62443 seul — analyse de cybersécurité OT pure
Cyber OT + EBIOSAnalyse combinée IT/OT — EBIOS pour le SI, IEC 62443 pour l'OT
Multi-modulesIEC 62443 + Risques Industriels (ex : site SEVESO avec SCADA)
L'assistant IA peut générer automatiquement le contexte, les scénarios de risque initiaux et un premier découpage en zones. Voir le Guide IA IEC 62443.

3Contexte et SUC

La page Contexte définit le System Under Consideration (SUC) — le périmètre exact du système OT analysé.

Contexte IEC 62443
Page Contexte — identification du SUC, opérateur, périmètre et normes applicables
ChampDescription
Titre de l'étudeIdentifiant documentaire (ex : Analyse IEC 62443 — SCADA Station H₂)
SUCNom et description du système de contrôle industriel analysé
OpérateurEntité responsable de l'exploitation du SUC
PérimètreÉquipements et réseaux inclus / exclus de l'analyse
Objectifs de sécuritéDisponibilité, intégrité, confidentialité, traçabilité — priorités selon le contexte
Normes applicablesIEC 62443-3-2, ANSSI ICS, NIS2, réglementations sectorielles

Diagramme SUC

Diagramme SUC
Diagramme SUC — représentation graphique des zones et conduits du système
Le diagramme SUC se construit automatiquement depuis les zones et conduits définis en ZCR3. Il offre une vue d'ensemble de l'architecture de sécurité OT.

4ZCR1 — Inventaire des actifs

ZCR1 dresse l'inventaire complet des actifs OT du SUC et identifie leurs vulnérabilités initiales.

ZCR1 actifs
ZCR1 — liste des actifs OT avec type, localisation et criticité
ZCR1 vulnérabilités
ZCR1 — vulnérabilités identifiées par actif
ColonneDescription
ActifNom et type (automate, HMI, serveur SCADA, switch industriel, capteur…)
Fabricant / ModèleIdentification précise pour le suivi des CVE et mises à jour
Version firmware/OSVersion actuelle — base pour l'analyse des vulnérabilités connues
Fonctions critiquesRôle de l'actif dans le processus industriel
ConnexionsInterfaces réseau, protocoles (Modbus, Profinet, OPC-UA, DNP3…)
VulnérabilitésCVE connus, configurations par défaut, absences de correctifs

5ZCR2 — Évaluation initiale des risques

ZCR2 réalise une évaluation préliminaire des risques par actif pour prioriser le découpage en zones. Pour chaque actif critique, on identifie les types de perte possibles et leur impact.

ZCR2 risques initiaux
ZCR2 — scénarios de risque initiaux par actif avec vraisemblance et gravité
Type de perteDescriptionExemple OT
DisponibilitéArrêt ou perturbation du processusIndisponibilité pompe, arrêt turbine
IntégritéModification non autorisée de données ou de consignesModification de setpoint pression, falsification capteur
ConfidentialitéDivulgation de données de processusExfiltration de recettes de production
TraçabilitéPerte de l'historique des événementsEffacement des logs d'alarmes
L'assistant IA peut pré-remplir ZCR2 automatiquement depuis la fiche descriptive d'installation — voir le Guide IA IEC 62443.

6ZCR3 — Zones et conduits

ZCR3 définit les zones de sécurité en regroupant les actifs OT selon leur niveau de risque et leurs besoins de protection communs, puis les conduits reliant ces zones.

ZCR3 zones
ZCR3 — zones de sécurité avec équipements affectés et niveau SL cible
Métriques IEC
Métriques — niveaux SL et échelles de cotation

Niveaux de sécurité cibles (SL-T)

Niveau SLProtection contreExemples de mesures
SL 1Violations involontaires ou accidentellesAuthentification basique, formation utilisateurs
SL 2Attaquants avec moyens simples et motivation modéréeAuthentification forte, segmentation réseau, logs
SL 3Attaquants sophistiqués (outils spécialisés OT)MFA, détection d'intrusion, chiffrement, durcissement
SL 4Acteurs étatiques, attaques ciblées avancées (APT)Air gap, redondance sécurisée, surveillance 24/7
Un conduit entre deux zones de niveaux SL différents doit être protégé au niveau le plus élevé des deux zones qu'il relie.

7ZCR4 — Analyse détaillée des vulnérabilités

ZCR4 réalise une analyse approfondie des vulnérabilités pour chaque zone, en évaluant l'écart entre les exigences du niveau SL cible et l'état réel des équipements.

Conformité ZCR4
ZCR4 — taux d'atteinte des exigences par zone et catégorie de fondements de sécurité

Les fondements de sécurité IEC 62443 évalués dans chaque zone :

Fondement (FR)Domaine couvert
FR1 — Contrôle d'identification et d'authentificationGestion des identités, authentification, comptes partagés
FR2 — Contrôle d'utilisationDroits d'accès, séparation des privilèges
FR3 — Intégrité des systèmesCorrectifs, durcissement, antimalware
FR4 — Confidentialité des donnéesChiffrement, protection des données en transit et au repos
FR5 — Flux de données restreintsSegmentation, pare-feu industriels, DMZ
FR6 — Réponse aux événementsDétection, journalisation, plan de réponse aux incidents
FR7 — Disponibilité des ressourcesRedondance, continuité, sauvegarde et restauration

8ZCR5 — Scénarios de menaces

ZCR5 détaille les scénarios de menaces par couple zone/actif, avec les vecteurs d'attaque spécifiques OT et leur évaluation.

Le bouton ✦ IA dans ZCR5 génère automatiquement des scénarios de menaces pour la zone sélectionnée, incluant les techniques MITRE ATT&CK for ICS pertinentes.
  1. Sélectionnez une zone dans ZCR5
  2. Cliquez sur ✦ IA — Générer des scénarios
  3. L'IA propose des scénarios de menaces avec vraisemblance, gravité et vecteurs d'attaque
  4. Validez ou ajustez chaque scénario avec votre équipe OT

9Conformité et pilotage

La page Conformité synthétise le taux d'atteinte des exigences IEC 62443 par zone et par fondement de sécurité. Le Pilotage suit l'avancement du plan de traitement.

Pilotage IEC
Pilotage — tableau de bord du plan de traitement par zone
Bibliothèque IEC
Bibliothèque — catalogue de mesures de sécurité réutilisables
La bibliothèque IEC 62443 propose un catalogue de mesures de sécurité préformatées par fondement et niveau SL — importez-les directement dans votre plan de traitement.

10Générer le rapport

Rapport IEC 62443
Rapport IEC 62443 — synthèse par zone et plan de traitement exportable en Word

Générer le rapport Word

  1. Ouvrez la page Rapport IEC 62443 depuis le menu de navigation
  2. Sélectionnez les sections à inclure (contexte, inventaire actifs, analyse par zone, conformité, plan de traitement)
  3. Cliquez sur ⬇ Exporter Word (.docx)
L'export Excel est disponible pour l'inventaire des actifs et le plan de traitement — utilisez le bouton ⬇ Excel sur chaque page concernée.