Cybersécurité industrielle : conditions-cadres et standards juridiques

11.12.2023

Les lois et les normes jouent un rôle crucial dans le contexte de la cybersécurité des machines et des installations industrielles. Un court event, organisé par « Industrie 2025 », a donné l’occasion aux participants d’avoirun aperçu sur le sujet. Nous résumons les points les plus importants. Un enregistrement de la manifestation est également disponible.

Le fait de combiner l’IT et l’OT dans les processus d’automatisation des entreprises industrielles représente un défi particulier. Les deux intervenants Torben Griebe, Lead information Security Expert chez Supercomputing Systems SA, et Christoph Svoboda, Managing Consultant information Security chez Eraneos Switzerland SA, ont repris ce point et ont donné des conseils pratiques sur la façon dont les entreprises peuvent minimiser leurs risques et garantir la conformité juridique.

Plusieurs exigences légales influencent la cybersécurité dans l’industrie :

la LPD/l’OLPD
l’OApEI
le Code pénal suisse
l’ordonnance machines de l’UE (entrera en vigueur en janvier 2027)
la directive UE-NIS2 (paraîtra en octobre 2024)
le EU Cybersecurity Act (publié en juin 2019)
le EU Cyber Resilience Act (projet de loi en cours d’élaboration)

Le nombre de normes, de standards et de Best Practices différents est encore plus élevé. Le séminaire a porté sur les deux normes ISA/IEC 62443 et ISO 27001.

Operational Technology : le standard important CEI 62443

Nous recommandons de faire la différence entre opérateur, prestataires de services/intégrateurs et fabricants de produits, car la norme offre des spécialisations correspondantes. Source : eraneos

La norme ISO 27001 comprend à la fois l’IT et l’OT et peut être certifiée.

Pour les entreprises industrielles, la série de normes ISA/IEC 62443 est particulièrement importante, s’agissant d’une série de normes fortement axées sur l’OT. Elle fait la différence entre « processus » et « exigences techniques » et offre dans ces domaines un catalogue d’exigences adaptatif avec différents degrés de maturité ou de sécurité. Cela permet aux entreprises de commencer la mise en œuvre en fonction de leur situation individuelle.

Les avantages de la série de normes CEI 62443 sont :

une documentation claire contenant des explications détaillées
un standard courant et établi pour IT/OT
la possibilité de certification
la compatibilité avec la conformité légale

La norme est régulièrement développée pour refléter au mieux la situation de menace et de risque actuelle.

Qu’en est-il de l’avenir : la cybersécurité dans la chaîne d’approvisionnement

L’EU Cyber Resilience Act représentera une exigence juridique importante. Il est prévu de finaliser cette loi, qui vise à régler les exigences de la cybersecurité tout au long du cycle de vie d’un produit, eau printemps 2024.

[Translate to Français:] Quelle: eraneos

Vous avez manqué le webinaire « Machines, composants et services conformes à la cybersécurité pour mes clients » ? Regardez l’enregistrement de la manifestation (en allemand) sur : Enregistrement de la manifestation de courte durée « Machines, composants et services conformes à la cybersécurité pour mes clients » (industrie2025.ch)

Comment procéder ?

Vous souhaitez rester à jour concernant la cybersécurité ? Pour cela, « Industrie 2025 » vous propose un groupe de travail, un réseau de partenaires et diverses offres pratiques pour les entreprises industrielles. Informations supplémentaires sur www.industrie2025.ch .

Si vous êtes intéressés et si vous avez des questions, n’hésitez pas à contacter Philip Hauri, directeur Industrie 2025, philip.haurinoSpam@industrie2025.ch.

Cet article, vaut-il la peine d'être lu ?