IEC 62443 zones et conduits réalisés sur votre OT.
La norme IEC 62443 définit l'architecture cible de la cybersécurité industrielle. Access Gate la réalise concrètement : microsegmentation overlay des zones, conduits explicites entre elles, 7 Foundational Requirements implémentés au niveau du proxy. Sans agent. Sans recâblage. Sans coupure.
IEC 62443 est la norme internationale de référence pour la cybersécurité industrielle. Elle est citée dans NIS2, recommandée par l'ANSSI dans le cadre de l'homologation SIIV, et exigée par la majorité des donneurs d'ordre BITD. Son cœur — le modèle zones et conduits — décrit exactement comment Access Gate microsegmente votre OT sans toucher au câblage. C'est la convergence parfaite entre une norme rigoureuse et une mise en œuvre opérationnelle.
Foundational Requirements
IAC, UC, SI, DC, RDF, TRE, RA. Les 7 catégories d'exigences techniques définies par IEC 62443-3-3.
Niveau ANSSI / OIV
L'ANSSI cible SL-3 pour les SIIV désignés. Industriels NIS2 standards : SL-2 site + SL-3 zones critiques.
Et conduits
Le modèle structurel d'IEC 62443. Access Gate le réalise par microsegmentation overlay sans toucher au réseau physique.
SL-1 à SL-4 : quel niveau viser, pour quel attaquant
Protection contre les violations accidentelles
Erreurs d'utilisation, mauvaises manipulations, violations sans malveillance.
Lignes de production non critiques, environnements de test.
Protection contre la violation intentionnelle basique
Attaquant avec compétences cyber génériques, ressources limitées, motivation faible à modérée.
Industriels NIS2 EE/EI, manufacturing standard.
Protection contre la violation intentionnelle sophistiquée
Attaquant avec compétences ICS spécifiques, ressources moyennes, motivation élevée.
OIV / SIIV désignés, énergie, eau, infrastructure critique nationale.
Protection contre la violation par État-nation
Acteur étatique avec ressources illimitées, compétences expert ICS, motivation maximale (sabotage stratégique).
Centrales nucléaires, défense souveraine, infrastructure militaire.
Chaque FR, vu côté Access Gate
| FR | Exigence | Ce que demande la norme | Couverture Access Gate |
|---|---|---|---|
| FR 1 | Identification et authentification (IAC) | Identifier et authentifier tous les utilisateurs (humains, processus, dispositifs) avant tout accès à la zone. | Authentification nominative au proxy. MFA appliquée à la couche réseau, même pour les automates qui ne savent pas faire de MFA en interne. Identités humaines et machine-to-machine distinguées. |
| FR 2 | Contrôle d'usage (UC) | Faire respecter les autorisations attribuées à chaque utilisateur authentifié — qui peut faire quoi sur quel asset. | RBAC par utilisateur, par asset, par protocole. Les commandes Modbus, S7, OPC-UA peuvent être autorisées ou refusées au niveau du proxy. Politique de moindre privilège applicable sans modifier l'automate. |
| FR 3 | Intégrité du système (SI) | Empêcher la modification non autorisée du code, des configurations et des données du système. | Détection des modifications de configuration via baselines passifs. Tout accès écriture est journalisé et corrélable à un utilisateur. Les changements non documentés sont alertés. |
| FR 4 | Confidentialité des données (DC) | Empêcher la divulgation non autorisée des informations sensibles transmises ou stockées. | TLS appliqué aux flux entre zones, même pour les protocoles industriels en clair (Modbus, DNP3, S7). Le proxy chiffre la communication sans modifier l'équipement source ou destination. |
| FR 5 | Restriction du flux de données (RDF) | Segmenter les flux de données pour empêcher la propagation latérale d'une compromission. Définir les conduits autorisés entre zones. | Cœur du modèle Access Gate. Microsegmentation overlay : chaque zone est isolée logiquement, les conduits sont explicites. Aucun flux non déclaré ne peut passer. |
| FR 6 | Réponse à l'incident en temps voulu (TRE) | Détecter et alerter les événements de sécurité, fournir la traçabilité nécessaire à la réponse à incident. | Logs de session à empreinte cryptographique, horodatés, exportables vers SIEM. Reconstruction de chronologie d'incident en quelques minutes. Notification ANSSI 24h/72h facilitée. |
| FR 7 | Disponibilité des ressources (RA) | Maintenir la disponibilité des ressources essentielles malgré une attaque ou une dégradation. | Access Gate fonctionne adjacent au réseau, pas inline en mode bloquant par défaut. Si l'appliance est indisponible, la production continue. Hot-standby pour les SIIV. |
Identifier et authentifier tous les utilisateurs (humains, processus, dispositifs) avant tout accès à la zone.
Authentification nominative au proxy. MFA appliquée à la couche réseau, même pour les automates qui ne savent pas faire de MFA en interne. Identités humaines et machine-to-machine distinguées.
Faire respecter les autorisations attribuées à chaque utilisateur authentifié — qui peut faire quoi sur quel asset.
RBAC par utilisateur, par asset, par protocole. Les commandes Modbus, S7, OPC-UA peuvent être autorisées ou refusées au niveau du proxy. Politique de moindre privilège applicable sans modifier l'automate.
Empêcher la modification non autorisée du code, des configurations et des données du système.
Détection des modifications de configuration via baselines passifs. Tout accès écriture est journalisé et corrélable à un utilisateur. Les changements non documentés sont alertés.
Empêcher la divulgation non autorisée des informations sensibles transmises ou stockées.
TLS appliqué aux flux entre zones, même pour les protocoles industriels en clair (Modbus, DNP3, S7). Le proxy chiffre la communication sans modifier l'équipement source ou destination.
Segmenter les flux de données pour empêcher la propagation latérale d'une compromission. Définir les conduits autorisés entre zones.
Cœur du modèle Access Gate. Microsegmentation overlay : chaque zone est isolée logiquement, les conduits sont explicites. Aucun flux non déclaré ne peut passer.
Détecter et alerter les événements de sécurité, fournir la traçabilité nécessaire à la réponse à incident.
Logs de session à empreinte cryptographique, horodatés, exportables vers SIEM. Reconstruction de chronologie d'incident en quelques minutes. Notification ANSSI 24h/72h facilitée.
Maintenir la disponibilité des ressources essentielles malgré une attaque ou une dégradation.
Access Gate fonctionne adjacent au réseau, pas inline en mode bloquant par défaut. Si l'appliance est indisponible, la production continue. Hot-standby pour les SIIV.
Quatre profils où la conformité IEC 62443 est un enjeu de marché.
Industrie manufacturière
Lignes de production avec automates Siemens, Schneider, Rockwell. NIS2 article 21 en application. Objectif typique : SL-2 sur l'ensemble du site, SL-3 sur les zones critiques.
Cible SL-2/3Prochaine étape
Cartographie des zones existantes (production, qualité, maintenance, IT). Définition des conduits entre zones et des SL associés.
OIV / SIIV désignés
Énergie, eau, transport, défense, télécoms. L'ANSSI exige le respect d'IEC 62443 dans le cadre de l'homologation SIIV. Cible SL-3 minimum.
Cible SL-3Prochaine étape
Analyse zones / conduits intégrée à l'analyse EBIOS RM. Conformité IEC 62443-3-3 démontrable pour l'audit ANSSI.
BITD et sous-traitants défense
Cybersécurité OT cascadée par les donneurs d'ordre. IEC 62443 souvent imposé par le client final. Cible SL-3 à SL-4 selon le segment.
Cible SL-3/4Prochaine étape
Documentation des SLs réellement atteints par segment. Évidence d'audit pour la passation de marché.
Intégrateurs et consultants OT
Vous concevez ou auditez des architectures industrielles. IEC 62443 est votre référentiel principal. Trouver une mise en œuvre concrète qui réalise les SLs est souvent le sujet bloquant.
ImplémentationProchaine étape
Démo Access Gate appliquée à un client type. Comparaison entre l'architecture cible IEC 62443 et la réalité Access Gate déployée.
De la norme à l'architecture réelle.
Zones définies par microsegmentation, conduits par règles de proxy, 7 Foundational Requirements satisfaits sans toucher aux automates. Documentation auditable IEC 62443-3-3.
SL-2 atteint à la mise en service
Authentification, autorisation, journalisation, segmentation des flux : les contrôles techniques SL-2 sont actifs dès le déploiement Access Gate.
Évidence d'audit IEC 62443-3-3
Mapping documenté par FR. Logs et configurations exportables pour le donneur d'ordre, l'auditeur ANSSI ou le client final BITD.
IEC 62443 comme socle technique de NIS2 et de la LPM
Une fois l'architecture IEC 62443 en place, elle constitue le socle technique des obligations NIS2 et LPM. Voir conformité NIS2 et LPM pour la déclinaison côté réglementation, et EBIOS RM appliqué à l'OT pour l'analyse de risque qui justifie le choix des Security Levels.
IEC 62443 et zones / conduits
Foundational Requirements
IEC 62443 est la série de normes internationales pour la cybersécurité des systèmes d'automatisation et de contrôle industriels (IACS). Publiée par l'IEC et l'ISA, elle est l'équivalent OT de l'ISO 27001 en IT. La série couvre les opérateurs (IEC 62443-2), les intégrateurs (IEC 62443-3), et les fournisseurs de composants (IEC 62443-4). Le concept central : zones et conduits. Un système industriel est découpé en zones de sécurité, séparées par des conduits qui contrôlent les flux entre elles. Chaque zone et chaque conduit reçoit un Security Level (SL-1 à SL-4) qui définit le niveau de protection requis.
Une zone est un regroupement logique ou physique d'assets industriels qui partagent les mêmes exigences de sécurité — par exemple, une cellule de production, une zone HMI/SCADA, ou un segment de réseau OT. Un conduit est le chemin par lequel les données transitent entre deux zones — par exemple, le flux entre la zone Production et la zone Supervision. Les conduits doivent appliquer un niveau de sécurité au moins équivalent au plus exigeant des deux zones connectées. Concrètement, un conduit implémente du contrôle d'accès, du chiffrement, de la journalisation et du filtrage de protocole.
Les Security Levels définissent la robustesse de la protection face à différents profils d'attaquant. SL-1 protège contre les violations accidentelles. SL-2 protège contre un attaquant avec compétences cyber génériques. SL-3 protège contre un attaquant avec compétences ICS spécifiques et motivation élevée. SL-4 protège contre un acteur étatique avec ressources illimitées. Un industriel NIS2 vise généralement SL-2 sur l'ensemble du site et SL-3 sur les zones critiques. Un OIV / SIIV vise SL-3 minimum. Un site nucléaire ou défense vise SL-4.
Access Gate est conçu autour du modèle. Chaque zone OT est isolée par microsegmentation overlay, sans toucher au câblage ou aux VLAN existants. Les conduits entre zones sont des règles de politique sur le proxy — qui peut accéder à quoi, avec quel protocole, depuis quelle identité. Les 7 Foundational Requirements d'IEC 62443-3-3 (IAC, UC, SI, DC, RDF, TRE, RA) sont implémentés au niveau du proxy : authentification, autorisation, intégrité, confidentialité, segmentation des flux, journalisation, disponibilité. La conformité SL-2 est immédiate ; SL-3 nécessite des contrôles complémentaires sur le périmètre humain et physique.
Pas universellement, mais elle est largement référencée dans les textes réglementaires européens et nationaux. En France, l'ANSSI recommande IEC 62443 comme cadre technique de l'homologation SIIV. En Europe, NIS2 article 21(2)(a) cite les normes harmonisées et IEC 62443 est l'une d'elles. En manufacturing, IEC 62443 est de plus en plus exigée par les donneurs d'ordre BITD et les grands intégrateurs (Schneider Electric, Siemens, Rockwell). De facto, sur un industriel exposé, ne pas s'aligner sur IEC 62443 devient un sujet d'audit récurrent.
NIS2 est une directive européenne qui impose des obligations de cybersécurité (article 21 : 10 mesures de gestion des risques) à un large périmètre d'entités. IEC 62443 est une norme technique internationale qui décrit comment implémenter la cybersécurité dans un environnement industriel. NIS2 dit quoi faire, IEC 62443 dit comment le faire. En pratique, une analyse NIS2 article 21 s'appuie naturellement sur l'architecture zones-et-conduits d'IEC 62443. Trout fournit les deux : conformité NIS2 (auditable) et architecture IEC 62443 (techniquement réalisée).