Chaque version majeure d’Ignition est conçue pour une utilisation à long terme, mais cela ne signifie pas que le développement s’arrête après la sortie de la version initiale. Des mises à jour régulières permettent d’améliorer fréquemment la stabilité, la sécurité, la qualité et la confidentialité, et nous nous engageons à rechercher et à résoudre les vulnérabilités de manière proactive.
Le cycle de développement logiciel sécurisé (SDLC) d’Inductive Automation a récemment été évalué par Exida pour répondre aux exigences de la norme ISASecure Security Development Lifecycle Assurance (SDLA) 3.0.0 et aux exigences de la norme IEC/ANSI/ISA-62443-4-1-2018 Secure Product Development Lifecycle (cycle de développement produit sécurisé).
source : https://www.isa.org/
Il s’agit d’une étape importante dans la démarche d’Inductive Automation (IA) visant à améliorer en permanence la sécurité et la qualité d’Ignition. Le portail de sécurité et de confiance permet de jeter un coup d’œil derrière le rideau. Les clients veulent savoir comment nous protégeons l’environnement de développement, quels types de tests automatiques et manuels nous effectuons, comment nous diminuons le risque de la chaîne d’approvisionnement en fournissant des mises à jour logicielles en temps voulu et en gérant nos bibliothèques tierces, qui pourraient constituer votre « risque transitif », et comment nous démontrons systématiquement d’autres aspects de la maturité du processus de développement de logiciels sécurisés.
Normes locales de cybersécurité
Plusieurs normes internationales ont été créées pour guider les fournisseurs de systèmes de contrôle industriel (ICS) – aussi noté Industrial Automation and Control Systems (IACS) – et les utilisateurs finaux qui tentent de sécuriser les systèmes. Il s’agit par exemple des normes ISA/IEC 62443 et ISO/IEC 15408 plus connue sous le nom Critères Communs.
De nombreux pays utilisent ces normes mondialement reconnues pour définir les exigences en matière de cybersécurité des IACS. Cependant, plusieurs pays ont commencé à créer des exigences indépendantes en matière de cybersécurité :
- La France avec la Certification de Sécurité de Premier Niveau (CSPN), qui, comme son nom l’indique, permet d’obtenir un premier niveau de confiance d’un produit de sécurité moyennant un coût et un délai peu élevés
- Les États-Unis avec le SP 800-82 édité par National Institute of Standards and Technology (NIST)
D’autres grandes nations industrielles disposent aussi de normes de cybersécurité des IACS spécifiques.
L’agence Eurosmart a publié une cartographie des schémas/normes de certification de la sécurité pour l’IOT : voir le document Eurosmart
De l’intérêt d’une norme internationale : IEC/ISA-62443
L’existence d’une réglementation cybersécurité nationale est utile car elle contribue à améliorer la sécurité des solutions de contrôle industriels. Toutefois, la multiplicité de ces normes peut avoir un impact sur la mise sur le marché et le coût des produits. Cela est particulièrement valide pour les éditeurs et constructeurs présents sur l’ensemble du globe, comme Inductive Automation (voir la liste de quelques clients).
En France, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a identifié, dès son appel à manifestation d’intérêt sur la certification de sécurité de niveaux substantiel et élémentaire en 2019, l’IEC 62443 comme un socle important qui allie « des méthodes d’analyses de risques appliquées à des systèmes critiques et des niveaux de safety… » avec « des méthodes SSI (ex: Critères Communs ou CC , EBIOS) » en « vue d’une convergence des exigences, pratiques et livrables en commun ».
De fait, l’ISA/CEI 62443 est devenue la seule norme de cybersécurité des systèmes d’automatisation et de contrôle basées sur un consensus mondial.
Pour en savoir plus sur l’ISA 62443 : Quick Start Guide: An Overview of ISA/IEC 62443 Standards
Certification ANSSI CSPN/CC ou ISO/IEC 62443?
Il n’est pas question ici d’opposer des normes internationales à des règles nationales. Il s’agit de bien comprendre et situer les différentes réglementations dans le contexte de la mise en oeuvre des IACS.
Dans le domaine de la cybersécurité des IACS, l’ANSSI propose deux approches :
- la Certification Critères Communs (CC) : approche holistique de la sécurité
- la Certification de Sécurité de Premier Niveau (CSPN) : alternative plus abordable (techniquement et financièrement) pour certifier un produit dans un contexte donné
source : https://www.ssi.gouv.fr/entreprise/produits-certifies/
De son côté, l’ISO 62443 propose un ensemble de règles et de standards qui s’intéressent aux architectures (zones and conduits) et aux métriques (security and maturity levels, risk assessment…).
source : UL Solutions
UL Solution, institut à but non lucratif dans le domaine de la sécurité publique, dans son analyse « Comparaison entre les Critères communs et la norme ISA/IEC 62443 : Quelle est la meilleure solution pour votre entreprise ? » à télécharger ici précise bien les points communs et les différences entre les deux socles.
Par exemple, sur les sept points de différenciation, le point 3 stipule :
Les critères communs se concentrent sur une cible d’évaluation autonome, tandis que la norme ISA/CEI 62443 englobe les composants en tant qu’éléments de systèmes. Les systèmes sont exploités par un propriétaire d’actifs. Les exigences de sécurité diffèrent dans une large mesure entre trois groupes de parties prenantes : les fabricants de composants, les fournisseurs de services et les propriétaires d’actifs. Voir fig. 2
Cybersécurité des systèmes IT-OT : deux normes pour un plan intégré de cybersécurité industrielle
En réalité, dans toute installation industrielle, se côtoient des assets industriels et des assets informatiques et de multiples intervenants.
C’est une gestion des risques des deux mondes Information Technology (IT) et Operation Technology (OT) qui doit être mise en oeuvre.
source : https://www.stormshield.com/
Dans la conclusion de son document Applying ISO/IEC 27001/2 and the ISA/IEC 62443 Series for Operational Technology Environments, l’ISA précise que le socle ISA/IEC 62443 apporte une valeur ajoutée en soutenant une approche holistique de la cybersécurité des systèmes IT-OT.
Les propriétaires d’actifs s’appuient sur la conception de solutions techniques adéquates avec des mesures de sécurité intégrées et sur les capacités de sécurité des produits utilisés dans ces solutions… La figure 7 illustre les relations entre l’ISO/CEI 27001/2 et la série ISA/CEI 62443, ainsi que les entités organisationnelles associées, afin de produire un programme de cybersécurité complet pour la protection des installations d’exploitation contre les cybermenaces.
source : https://isagca.org/isa-iec-62443-standards
IEC 27001 + IEC 62443 : le couple gagnant pour votre cybersécurité
Il apparait de ce qui précède que IT et OT ne sont jamais éloignés en matière de cybersécurité et que les deux framework internationaux IEC 270001 (IT) et IEC 62443 (OT) se complètent pour assurer une couverture globale en prenant en compte :
- les aspects techniques liés à l’IT et l’OT
- les opérateurs des installations
- les intégrateurs de solutions
- les fournisseurs de services
- et les fournisseurs de produits et composants logiciels
Découvrez Ignition et Télécharger dès maintenant Ignition by Inductive Automation