IEC 62443 (aussi connue sous le nom ISA/IEC 62443) est la norme internationale de référence pour la cybersécurité des systèmes d'automatisation et de contrôle industriels (IACS). Elle définit les zones de sécurité et les conduits qui structurent la protection des réseaux OT. Pour un opérateur industriel soumis à NIS2, c'est le vocabulaire que l'auditeur attend.
Qu'est-ce qu'une zone IEC 62443 ?
Une zone est un regroupement, logique ou physique, d'actifs qui partagent un même niveau de sécurité. La norme définit quatre niveaux de sécurité (Security Levels), de SL1 à SL4 :
- SL1 : protection contre une violation accidentelle ou fortuite.
- SL2 : protection contre une violation intentionnelle avec des moyens simples.
- SL3 : protection contre un attaquant disposant de moyens et de compétences spécifiques au domaine.
- SL4 : protection contre un attaquant de niveau étatique, aux ressources étendues.
Concrètement, une zone correspond souvent à un niveau du modèle Purdue : la zone de supervision (niveau 2, SCADA et HMI), la zone d'entreprise (niveau 4, ERP et IT), la DMZ industrielle (niveau 3) qui sépare l'IT de l'OT. Regrouper les actifs par zone, c'est décider quels systèmes partagent le même régime de sécurité, et lesquels ne doivent jamais se parler directement.
Qu'est-ce qu'un conduit IEC 62443 ?
Un conduit est le chemin de communication contrôlé entre deux zones. Il applique quel trafic est autorisé à franchir une frontière de zone, et sous quelles conditions : protocole, identité, sens de la communication, horaires.
C'est le conduit qui fait la différence entre un schéma et une architecture réelle. Sans conduit, une architecture de zones reste théorique : si rien n'est appliqué à la frontière, n'importe quel équipement peut communiquer avec n'importe quel autre, et la segmentation n'existe que sur le papier. Le conduit est le point où l'on journalise, filtre et authentifie les flux inter-zones.
IEC 62443 et la directive NIS2 : la convergence
L'Article 21 de NIS2 exige des mesures techniques de segmentation réseau et de contrôle des accès, sans nommer explicitement IEC 62443. Mais l'orientation de l'ANSSI pour la mise en conformité NIS2 des opérateurs OT s'appuie sur IEC 62443 comme standard technique reconnu.
Pour un responsable conformité ou un architecte OT, traiter IEC 62443 comme le cadre de mise en œuvre de NIS2 est donc un choix solide : les obligations de l'Article 21 (segmentation, contrôle des accès, journalisation) se traduisent directement en zones et conduits. Pour un grand groupe industriel, c'est aussi le langage commun qui permet de démontrer la même posture de conformité sur l'ensemble des sites, devant le même auditeur.
Pourquoi la mise en œuvre est difficile sur les réseaux existants
Le blocage est toujours le même. Mettre en place des zones IEC 62443 sur un réseau OT à plat suppose traditionnellement une refonte des VLAN : ré-adressage des équipements, reconfiguration des commutateurs, et donc une fenêtre d'arrêt de production que la plupart des opérateurs ne peuvent pas accepter.
À cela s'ajoute le poids des processus : sur un réseau OT, toute modification passe par des phases de qualification et de validation qui se comptent en mois. Et pour un groupe industriel exploitant 20 ou 50 sites, multiplier ce risque d'arrêt sur chaque site transforme une refonte réseau en programme pluriannuel, au coût et au risque difficilement justifiables.
Déploiement sans refonte réseau
Il existe une autre voie : un modèle d'overlay en deux phases.
Phase 1, déploiement adjacent. Access Gate se connecte à côté du réseau existant, sur chaque site. Il crée un overlay Zero Trust couvrant les zones Purdue sans toucher aux VLAN ni installer d'agent sur les équipements OT. La visibilité et le contrôle des accès sont immédiats. Chaque site se déploie indépendamment, sans interdépendance ni bascule globale.
Phase 2, consolidation. L'overlay devient le nouveau fabric Zero Trust, à raison d'environ 10 systèmes par heure via le proxy Access Gate. Les équipes IT et OT gèrent les politiques d'accès via une interface collaborative à accès différencié par rôle, et la gestion centralisée inter-sites est disponible dès la Phase 2.
Le résultat est une architecture de zones et de conduits IEC 62443 déployée sur l'ensemble du parc OT, site par site, sans projet de refonte réseau. Pour en voir la déclinaison complète côté conformité, voir la page Conformité NIS2 et IEC 62443 pour les opérateurs industriels.
La conformité NIS2 Article 21 et la mise en œuvre d'IEC 62443 ne sont plus deux projets séparés. Pour un groupe industriel multi-sites, ils deviennent une seule migration progressive, site par site, sans arrêt de production.
