La norme IEC 62443 est le référentiel international de cybersécurité pour les systèmes industriels (IACS — Industrial Automation and Control Systems). Développée par l’International Society of Automation (ISA) puis standardisée par l’IEC, elle définit un cadre complet pour sécuriser l’OT tout au long de son cycle de vie — de la conception à l’exploitation.

Structure de la norme :

  • Partie 1 : Concepts généraux et modèles (zones, conduits, Defense in Depth)
  • Partie 2 : Exigences pour les exploitants et intégrateurs (politiques, procédures, gestion du risque)
  • Partie 3 : Exigences techniques pour les systèmes (durcissement, surveillance, réponse aux incidents)
  • Partie 4 : Exigences pour les fabricants de composants et produits (développement sécurisé)

Les niveaux de sécurité (Security Levels – SL) : L’IEC 62443 définit 4 niveaux de sécurité (SL 1 à SL 4) qui correspondent à différents profils d’attaquants — du script kiddie aux menaces étatiques avancées. Chaque organisation doit évaluer son niveau cible en fonction de ses risques métier.

Pourquoi l’IEC 62443 est devenue incontournable ?

  • Référence réglementaire : citée par NIS2, la Directive CER, et imposée dans de nombreux secteurs (énergie, nucléaire, défense)
  • Langage commun : entre exploitants, intégrateurs, fabricants et auditeurs
  • Approche pragmatique : elle reconnaît les contraintes OT (legacy, disponibilité) et propose une démarche progressive par zones

Se conformer à l’IEC 62443, c’est structurer sa cybersécurité OT de manière industrielle — pas avec des rustines IT, mais avec une architecture défendable, auditable et résiliente.