La cybersécurité OT est la sécurité des personnes

Ce que change le Règlement Machines 2023/1230

Cybersécurité OT et règlement (UE) 2023/1230 relatif aux machines

Lorsqu’un système informatique est compromis dans un bureau, les conséquences restent numériques. Lorsque le même type d’attaque frappe le système de commande d’une machine industrielle, les conséquences sortent de l’écran : elles peuvent désactiver des fonctions de sécurité, déclencher des mouvements dangereux, bloquer des arrêts d’urgence.

La cybersécurité OT, celle qui concerne les systèmes d’exploitation des installations, les automates (PLC), les réseaux de terrain et les connexions à distance, a un impact direct sur la sécurité physique des personnes qui travaillent avec ces machines. Le Règlement Machines (UE) 2023/1230 a formalisé ce lien, en introduisant pour la première fois des exigences spécifiques sur la protection du logiciel, des systèmes de commande et des données critiques.

Quadro elettrico macchinario
Tecnico che analizza codice o interfaccia software su schermo

Le périmètre de la machine s'est élargi

La Directive Machines 2006/42/CE était conçue pour des machines mécaniques et électromécaniques. Le texte ne comportait aucune référence  explicite au logiciel, à la connectivité, à l’intelligence artificielle ou à la cybersécurité.

Pendant vingt ans, cette partie du risque est restée dans une zone grise. Le Règlement Machines (UE) 2023/1230, qui entrera en application le 20 janvier 2027, comble cette lacune. Logiciel embarqué, réseaux OT, accès à distance : le Règlement les traite comme des composants de la machine à part entière, avec les obligations de conception et de sécurité correspondantes.

La nouvelle EESS 1.1.9, Protection contre l’altération, établit que les machines doivent être conçues et construites de manière que les connexions et les accès à distance ne permettent pas l’altération des fonctions de sécurité ni la génération de situations dangereuses. L’exigence porte sur trois domaines distincts :

Approfondissement

SAFETY et SECURITY : deux concepts distincts

Dans les machines industrielles à composants numériques et connectivité, les risques fonctionnels (safety) et les risques cyber (security) ne peuvent plus être gérés comme des domaines séparés.

Un accès non autorisé, une modification de configuration ou une mise à jour logicielle non contrôlée peuvent influer sur le comportement de la machine et donc sur la sécurité des opérateurs.

Dans le Règlement (UE) 2023/1230, safety et security convergent.

Security

  • Ce qu’elle protège : les machines et les données contre les manipulations et les accès non autorisés.
  • Référence : Loi sur la cyber-résilience (UE) 2024/2847.
  • Exemples : authentification, chiffrement, mises à jour du micrologiciel.
  • Type de mesure : informatique et procédurale.

Safety

Ce qu’elle protège : les opérateurs contre les dangers liés au fonctionnement des machines.
Référence : Règlement (UE) 2023/1230.
Exemples : protections, barrières, arrêt d’urgence.
Type de mesure : physique et/ou électronique.

En d’autres termes, à partir de 2027, il ne suffira plus de concevoir une machine sûre du point de vue mécanique, électrique ou fonctionnel. Il faudra démontrer que le logiciel, les réseaux, les dispositifs connectés et les accès numériques ne peuvent pas compromettre les fonctions de sécurité prévues par la conception.

Une machine peut être conforme aux exigences traditionnelles de safety, mais si elle est vulnérable à des manipulations informatiques qui altèrent des fonctions, des paramètres ou des logiques de commande, le niveau de sécurité global se trouve compromis. La protection des personnes et la protection des systèmes numériques deviennent ainsi des parties du même processus de gestion du risque.

Les autres nouveautés du Règlement concernant le logiciel

L’EESS 1.1.9 n’est pas le seul point pertinent.

Le Règlement intervient sur le thème du logiciel de manière plus large.

Elle exige que les systèmes de commande soient conçus de manière sûre et fiable, y compris ceux qui intègrent un logiciel évolutif ou de l’intelligence artificielle.

Les modifications du comportement de la machine, même générées par des systèmes auto-adaptatifs, doivent être gérées de manière à ne pas générer de situations dangereuses.

Le Règlement introduit pour la première fois une définition claire.

Une modification est substantielle lorsqu’elle influe sur la sécurité de la machine en créant un nouveau danger ou en augmentant un risque existant.

La nouveauté par rapport à la Directive est explicite : la modification peut intervenir « par des moyens physiques ou numériques ». Une mise à jour logicielle qui altère le comportement du système de sécurité entre dans cette définition.

Dans l’Annexe II du Règlement, la liste des composants de sécurité, apparaît pour la première fois le logiciel qui assure des fonctions de sécurité.

Un logiciel de ce type, s’il est mis sur le marché séparément, devra porter le marquage CE et être accompagné d’une déclaration UE de conformité et d’une notice d’instructions.

Même obligation pour les composants de sécurité au comportement auto-évolutif fondé sur l’apprentissage automatique.

Tecnico che analizza codice o interfaccia software su schermo
Persona davanti a quadro elettrico

Comment nous gérons cette partie

La numérisation des machines a fait de la cybersécurité OT une partie intégrante de l’évaluation du risque. Cela signifie traiter les aspects de cybersécurité pertinents pour la sécurité des personnes et pour la conformité réglementaire de la machine.

Notre approche est calibrée sur le périmètre réel de l’installation et sur les exigences applicables. Nous gardons le focus sur les systèmes OT de la machine, en dehors des activités IT non pertinentes.

Les services que nous proposons sur ce front :

Contactez nos ingénieurs en sécurité

Remplissez le formulaire rapide et parlez immédiatement avec un expert

Retour en haut
Vous souhaitez obtenir un devis gratuit ?
Demandez conseil à nos ingénieurs en sécurité

    Envoyez-nous votre projet ou votre maquette
    Téléchargez vos projets aux formats PDF, DWG, STP, JPG, PNG, CSV, XLSX, WORD, zip, rar
    REMARQUE : vous ne pouvez télécharger qu'un seul fichier d'une taille maximale de 8 MB. Si vous avez plusieurs fichiers, veuillez les envoyer dans un dossier compressé.




    * = champ obligatoire

    Vous souhaitez obtenir un devis gratuit ?
    Demandez conseil à nos ingénieurs en sécurité

      Envoyez-nous votre projet ou votre maquette
      Téléchargez vos projets aux formats PDF, DWG, STP, JPG, PNG, CSV, XLSX, WORD, zip, rar
      REMARQUE : vous ne pouvez télécharger qu'un seul fichier d'une taille maximale de 8 MB. Si vous avez plusieurs fichiers, veuillez les envoyer dans un dossier compressé.




      * = champ obligatoire