La cybersécurité OT est la sécurité des personnes
Ce que change le Règlement Machines 2023/1230
Cybersécurité OT et règlement (UE) 2023/1230 relatif aux machines
Lorsqu’un système informatique est compromis dans un bureau, les conséquences restent numériques. Lorsque le même type d’attaque frappe le système de commande d’une machine industrielle, les conséquences sortent de l’écran : elles peuvent désactiver des fonctions de sécurité, déclencher des mouvements dangereux, bloquer des arrêts d’urgence.
La cybersécurité OT, celle qui concerne les systèmes d’exploitation des installations, les automates (PLC), les réseaux de terrain et les connexions à distance, a un impact direct sur la sécurité physique des personnes qui travaillent avec ces machines. Le Règlement Machines (UE) 2023/1230 a formalisé ce lien, en introduisant pour la première fois des exigences spécifiques sur la protection du logiciel, des systèmes de commande et des données critiques.
Le périmètre de la machine s'est élargi
La Directive Machines 2006/42/CE était conçue pour des machines mécaniques et électromécaniques. Le texte ne comportait aucune référence explicite au logiciel, à la connectivité, à l’intelligence artificielle ou à la cybersécurité.
Pendant vingt ans, cette partie du risque est restée dans une zone grise. Le Règlement Machines (UE) 2023/1230, qui entrera en application le 20 janvier 2027, comble cette lacune. Logiciel embarqué, réseaux OT, accès à distance : le Règlement les traite comme des composants de la machine à part entière, avec les obligations de conception et de sécurité correspondantes.
La nouvelle EESS 1.1.9, Protection contre l’altération, établit que les machines doivent être conçues et construites de manière que les connexions et les accès à distance ne permettent pas l’altération des fonctions de sécurité ni la génération de situations dangereuses. L’exigence porte sur trois domaines distincts :
- Logiciel
- Composants matériels
- Données critiques
SAFETY et SECURITY : deux concepts distincts
Dans les machines industrielles à composants numériques et connectivité, les risques fonctionnels (safety) et les risques cyber (security) ne peuvent plus être gérés comme des domaines séparés.
Un accès non autorisé, une modification de configuration ou une mise à jour logicielle non contrôlée peuvent influer sur le comportement de la machine et donc sur la sécurité des opérateurs.
Dans le Règlement (UE) 2023/1230, safety et security convergent.
Security
- Ce qu’elle protège : les machines et les données contre les manipulations et les accès non autorisés.
- Référence : Loi sur la cyber-résilience (UE) 2024/2847.
- Exemples : authentification, chiffrement, mises à jour du micrologiciel.
- Type de mesure : informatique et procédurale.
Safety
Ce qu’elle protège : les opérateurs contre les dangers liés au fonctionnement des machines.
Référence : Règlement (UE) 2023/1230.
Exemples : protections, barrières, arrêt d’urgence.
Type de mesure : physique et/ou électronique.
En d’autres termes, à partir de 2027, il ne suffira plus de concevoir une machine sûre du point de vue mécanique, électrique ou fonctionnel. Il faudra démontrer que le logiciel, les réseaux, les dispositifs connectés et les accès numériques ne peuvent pas compromettre les fonctions de sécurité prévues par la conception.
Une machine peut être conforme aux exigences traditionnelles de safety, mais si elle est vulnérable à des manipulations informatiques qui altèrent des fonctions, des paramètres ou des logiques de commande, le niveau de sécurité global se trouve compromis. La protection des personnes et la protection des systèmes numériques deviennent ainsi des parties du même processus de gestion du risque.
Les autres nouveautés du Règlement concernant le logiciel
Le Règlement intervient sur le thème du logiciel de manière plus large.
EESS 1.2.1, Sécurité et fiabilité des systèmes de commande
Elle exige que les systèmes de commande soient conçus de manière sûre et fiable, y compris ceux qui intègrent un logiciel évolutif ou de l’intelligence artificielle.
Les modifications du comportement de la machine, même générées par des systèmes auto-adaptatifs, doivent être gérées de manière à ne pas générer de situations dangereuses.
Modification substantielle
Le Règlement introduit pour la première fois une définition claire.
Une modification est substantielle lorsqu’elle influe sur la sécurité de la machine en créant un nouveau danger ou en augmentant un risque existant.
La nouveauté par rapport à la Directive est explicite : la modification peut intervenir « par des moyens physiques ou numériques ». Une mise à jour logicielle qui altère le comportement du système de sécurité entre dans cette définition.
Le logiciel comme composant de sécurité (Annexe II)
Dans l’Annexe II du Règlement, la liste des composants de sécurité, apparaît pour la première fois le logiciel qui assure des fonctions de sécurité.
Un logiciel de ce type, s’il est mis sur le marché séparément, devra porter le marquage CE et être accompagné d’une déclaration UE de conformité et d’une notice d’instructions.
Même obligation pour les composants de sécurité au comportement auto-évolutif fondé sur l’apprentissage automatique.
Comment nous gérons cette partie
La numérisation des machines a fait de la cybersécurité OT une partie intégrante de l’évaluation du risque. Cela signifie traiter les aspects de cybersécurité pertinents pour la sécurité des personnes et pour la conformité réglementaire de la machine.
Notre approche est calibrée sur le périmètre réel de l’installation et sur les exigences applicables. Nous gardons le focus sur les systèmes OT de la machine, en dehors des activités IT non pertinentes.
Les services que nous proposons sur ce front :
- Évaluation du système OT en matière de cybersécurité (OT Assessment) / Analyse préliminaire de l'architecture OT, identification du périmètre pertinent et des points critiques au regard des exigences réglementaires.
- Cyber Compliance CE / Vérification des exigences de cybersécurité applicables au marquage CE selon le Règlement Machines (UE) 2023/1230.
- Cyber Compliance CE Advanced / Extension de l'analyse à l'ensemble du système OT au-delà des exigences minimales CE.
- Détermination du Security Level selon IEC 62443 / Évaluation du niveau de security des systèmes OT selon la norme internationale de référence pour la cybersécurité industrielle.