1Vue d'ensemble
La norme IEC 62443 (anciennement ISA-99) définit un cadre de cybersécurité pour les systèmes de contrôle industriels. Elle structure l'analyse autour de zones de sécurité regroupant des équipements OT selon leur niveau de risque et leurs besoins de protection.
Flux de travail
▶Page d'accueil du module
La page Guide IEC 62443 est le point d'entrée du module. Elle présente le parcours recommandé en 5 étapes et propose des accès rapides selon votre besoin (cartographie SUC, analyse des risques, conformité, rapport CRS).
2Créer un projet IEC 62443
| Type de projet | Usage |
|---|---|
| Cyber OT | IEC 62443 seul — analyse de cybersécurité OT pure |
| Cyber OT + EBIOS | Analyse combinée IT/OT — EBIOS pour le SI, IEC 62443 pour l'OT |
| Multi-modules | IEC 62443 + Risques Industriels (ex : site SEVESO avec SCADA) |
3Contexte et SUC
La page Contexte définit le System Under Consideration (SUC) — le périmètre exact du système OT analysé.
| Champ | Description |
|---|---|
| Titre de l'étude | Identifiant documentaire (ex : Analyse IEC 62443 — SCADA Station H₂) |
| SUC | Nom et description du système de contrôle industriel analysé |
| Opérateur | Entité responsable de l'exploitation du SUC |
| Périmètre | Équipements et réseaux inclus / exclus de l'analyse |
| Objectifs de sécurité | Disponibilité, intégrité, confidentialité, traçabilité — priorités selon le contexte |
| Normes applicables | IEC 62443-3-2, ANSSI ICS, NIS2, réglementations sectorielles |
Diagramme SUC
4ZCR1 — Inventaire des actifs
ZCR1 dresse l'inventaire complet des actifs OT du SUC et identifie leurs vulnérabilités initiales.
| Colonne | Description |
|---|---|
| Actif | Nom et type (automate, HMI, serveur SCADA, switch industriel, capteur…) |
| Fabricant / Modèle | Identification précise pour le suivi des CVE et mises à jour |
| Version firmware/OS | Version actuelle — base pour l'analyse des vulnérabilités connues |
| Fonctions critiques | Rôle de l'actif dans le processus industriel |
| Connexions | Interfaces réseau, protocoles (Modbus, Profinet, OPC-UA, DNP3…) |
| Vulnérabilités | CVE connus, configurations par défaut, absences de correctifs |
5ZCR2 — Évaluation initiale des risques
ZCR2 réalise une évaluation préliminaire des risques par actif pour prioriser le découpage en zones. Pour chaque actif critique, on identifie les types de perte possibles et leur impact.
| Type de perte | Description | Exemple OT |
|---|---|---|
| Disponibilité | Arrêt ou perturbation du processus | Indisponibilité pompe, arrêt turbine |
| Intégrité | Modification non autorisée de données ou de consignes | Modification de setpoint pression, falsification capteur |
| Confidentialité | Divulgation de données de processus | Exfiltration de recettes de production |
| Traçabilité | Perte de l'historique des événements | Effacement des logs d'alarmes |
6ZCR3 — Zones et conduits
ZCR3 définit les zones de sécurité en regroupant les actifs OT selon leur niveau de risque et leurs besoins de protection communs, puis les conduits reliant ces zones.
Niveaux de sécurité cibles (SL-T)
| Niveau SL | Protection contre | Exemples de mesures |
|---|---|---|
| SL 1 | Violations involontaires ou accidentelles | Authentification basique, formation utilisateurs |
| SL 2 | Attaquants avec moyens simples et motivation modérée | Authentification forte, segmentation réseau, logs |
| SL 3 | Attaquants sophistiqués (outils spécialisés OT) | MFA, détection d'intrusion, chiffrement, durcissement |
| SL 4 | Acteurs étatiques, attaques ciblées avancées (APT) | Air gap, redondance sécurisée, surveillance 24/7 |
7ZCR4 — Analyse détaillée des vulnérabilités
ZCR4 réalise une analyse approfondie des vulnérabilités pour chaque zone, en évaluant l'écart entre les exigences du niveau SL cible et l'état réel des équipements.
Les fondements de sécurité IEC 62443 évalués dans chaque zone :
| Fondement (FR) | Domaine couvert |
|---|---|
| FR1 — Contrôle d'identification et d'authentification | Gestion des identités, authentification, comptes partagés |
| FR2 — Contrôle d'utilisation | Droits d'accès, séparation des privilèges |
| FR3 — Intégrité des systèmes | Correctifs, durcissement, antimalware |
| FR4 — Confidentialité des données | Chiffrement, protection des données en transit et au repos |
| FR5 — Flux de données restreints | Segmentation, pare-feu industriels, DMZ |
| FR6 — Réponse aux événements | Détection, journalisation, plan de réponse aux incidents |
| FR7 — Disponibilité des ressources | Redondance, continuité, sauvegarde et restauration |
8ZCR5 — Scénarios de menaces
ZCR5 détaille les scénarios de menaces par couple zone/actif, avec les vecteurs d'attaque spécifiques OT et leur évaluation.
- Sélectionnez une zone dans ZCR5
- Cliquez sur ✦ IA — Générer des scénarios
- L'IA propose des scénarios de menaces avec vraisemblance, gravité et vecteurs d'attaque
- Validez ou ajustez chaque scénario avec votre équipe OT
9Conformité et pilotage
La page Conformité synthétise le taux d'atteinte des exigences IEC 62443 par zone et par fondement de sécurité. Le Pilotage suit l'avancement du plan de traitement.
10Générer le rapport
Générer le rapport Word
- Ouvrez la page Rapport IEC 62443 depuis le menu de navigation
- Sélectionnez les sections à inclure (contexte, inventaire actifs, analyse par zone, conformité, plan de traitement)
- Cliquez sur ⬇ Exporter Word (.docx)