Le fait de combiner l’IT et l’OT dans les processus d’automatisation des entreprises industrielles représente un défi particulier. Les deux intervenants Torben Griebe, Lead information Security Expert chez Supercomputing Systems SA, et Christoph Svoboda, Managing Consultant information Security chez Eraneos Switzerland SA, ont repris ce point et ont donné des conseils pratiques sur la façon dont les entreprises peuvent minimiser leurs risques et garantir la conformité juridique.
Plusieurs exigences légales influencent la cybersécurité dans l’industrie :
- la LPD/l’OLPD
- l’OApEI
- le Code pénal suisse
- l’ordonnance machines de l’UE (entrera en vigueur en janvier 2027)
- la directive UE-NIS2 (paraîtra en octobre 2024)
- le EU Cybersecurity Act (publié en juin 2019)
- le EU Cyber Resilience Act (projet de loi en cours d’élaboration)
Le nombre de normes, de standards et de Best Practices différents est encore plus élevé. Le séminaire a porté sur les deux normes ISA/IEC 62443 et ISO 27001.
Operational Technology : le standard important CEI 62443
La norme ISO 27001 comprend à la fois l’IT et l’OT et peut être certifiée.
Pour les entreprises industrielles, la série de normes ISA/IEC 62443 est particulièrement importante, s’agissant d’une série de normes fortement axées sur l’OT. Elle fait la différence entre « processus » et « exigences techniques » et offre dans ces domaines un catalogue d’exigences adaptatif avec différents degrés de maturité ou de sécurité. Cela permet aux entreprises de commencer la mise en œuvre en fonction de leur situation individuelle.
Les avantages de la série de normes CEI 62443 sont :
- une documentation claire contenant des explications détaillées
- un standard courant et Ă©tabli pour IT/OT
- la possibilité de certification
- la compatibilité avec la conformité légale
La norme est régulièrement développée pour refléter au mieux la situation de menace et de risque actuelle.
Qu’en est-il de l’avenir : la cybersécurité dans la chaîne d’approvisionnement
L’EU Cyber Resilience Act représentera une exigence juridique importante. Il est prévu de finaliser cette loi, qui vise à régler les exigences de la cybersecurité tout au long du cycle de vie d’un produit, eau printemps 2024.
Vous avez manqué le webinaire « Machines, composants et services conformes à la cybersécurité pour mes clients » ? Regardez l’enregistrement de la manifestation (en allemand) sur : Enregistrement de la manifestation de courte durée « Machines, composants et services conformes à la cybersécurité pour mes clients » (industrie2025.ch)
Comment procéder ?
Vous souhaitez rester à jour concernant la cybersécurité ? Pour cela, « Industrie 2025 » vous propose un groupe de travail, un réseau de partenaires et diverses offres pratiques pour les entreprises industrielles. Informations supplémentaires sur www.industrie2025.ch.
Si vous êtes intéressés et si vous avez des questions, n’hésitez pas à contacter Philip Hauri, directeur Industrie 2025, philip.haurinoSpam@industrie2025.ch.