Comment automatiser la conformité ISA/IEC 62443

Aperçu

Systèmes d'automatisation et de contrôle industriels (IACS) sont de plus en plus menacés par les cyberattaques à mesure qu’ils sont de plus en plus interconnectés et exposés à Internet. Des acteurs malveillants ciblent les systèmes industriels pour des motifs allant de la cybercriminalité à la perturbation des États-nations.

Le 30 mai 2024, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié sept avis sur les systèmes de contrôle industriel (ICS), avertissant que les violations du SIGC peuvent être dévastatrices car elles peuvent perturber les infrastructures critiques et menacer la sécurité humaine.

Pour faire face à ces cyber-risques croissants, l'International Society of Automation (ISA) et la Commission électrotechnique internationale (CEI) ont développé en 2018 la série de normes CEI 62443 pour sécuriser le SIGC. La norme CEI 62443 fournit un cadre complet pour la mise en œuvre de cyberdéfenses dans tous les domaines du SIGC, y compris les personnes, les processus et la technologie.

Cependant, garantir une conformité totale à la norme CEI 62443 peut s'avérer un véritable défi pour les propriétaires et les exploitants d'actifs. Les IACS impliquent généralement des systèmes hétérogènes répartis sur plusieurs sites avec des exigences d'intégration complexes. Il est difficile de maintenir des inventaires complets des actifs et de tester toutes les surfaces d’attaque possibles sans outils automatisés.

Explorons comment les techniques de tests logiciels automatisés peuvent accélérer et rationaliser la conformité à la norme CEI 62443.

ISA/IEC 62443 : Comprendre le cadre

La série ISA / IEC 62443 est une série de normes développées pour fournir un cadre complet pour sécuriser le SIGC. La norme est divisée en plusieurs parties, chacune traitant de différents aspects de la sécurité du SIGC, depuis les concepts et modèles généraux jusqu'aux exigences de sécurité des systèmes et des composants.

L'un des éléments clés de la norme ISA/IEC 62443 est la partie 4-1 : Exigences du cycle de vie du développement de produits sécurisés. Cette partie se concentre sur les aspects de sécurité du cycle de vie du développement de produits, en fournissant des lignes directrices pour la conception, la mise en œuvre, la vérification et la validation sécurisées des produits. Il souligne l’importance d’intégrer les considérations de sécurité dès les premières étapes du développement du produit, plutôt qu’après coup.

La CEI 62443-4-1 est fondamentale pour permettre un IACS sécurisé, car elle impose les principes de « cybersécurité dès la conception » dans toutes les phases du cycle de vie du développement logiciel (SDLC). Depuis l’analyse initiale des besoins jusqu’à la conception, la mise en œuvre, les tests et la maintenance, les contrôles de sécurité doivent faire partie intégrante du processus.

Certaines exigences clés couvertes par la CEI 62443-4-1 incluent :

• Processus et documentation SDLC sécurisés
• Spécification des exigences de sécurité basées sur les évaluations des risques
• Utiliser des pratiques de codage sécurisées et une analyse statique
• Gestion robuste de la configuration et contrôle des modifications
• Tests d'intrusion et tests de vérification de sécurité
• Suivi des défauts et processus efficaces de gestion des correctifs

Les dispositions de la CEI 62443-4-1 appellent les fabricants de systèmes de contrôle industriels à aborder la sécurité dans l'ensemble du SDLC. Il s’agit de garantir que la cybersécurité des produits SIGC est profondément intégrée dans leur conception et leur mise en œuvre. Cette approche « sécurisée dès la conception » est essentielle pour protéger le SIGC contre les cybermenaces en évolution rapide.

Du point de vue des tests logiciels, la norme CEI 62443-4-1 souligne la nécessité de tests de sécurité automatisés, car elle facilite la validation continue de la cyber-intégrité des applications IACS. Les tests de sécurité automatisés sont essentiels pour une vérification approfondie des exigences de sécurité, des tests de régression pour les vulnérabilités et pour maintenir la conformité à la norme CEI 62443 à mesure que les produits évoluent.

Pourquoi la norme ISA/IEC 62443 est-elle cruciale pour les systèmes d'automatisation et de contrôle industriels ?

Le secteur du SIGC, y compris les appareils Internet des objets (IoT) qui sont de plus en plus intégrés à ces environnements, est confronté à des menaces croissantes en matière de cybersécurité à mesure que ces systèmes de contrôle deviennent de plus en plus interconnectés et exposés.

Ces dernières années ont été marquées par une augmentation alarmante des cyberattaques ciblant spécifiquement les systèmes de contrôle industriels dans des secteurs tels que l’énergie, la fabrication, les transports et les services publics. Depuis 2010, nous avons entendu parler de malwares centrés sur ICS tels que Stuxnet et de plus récents comme Triton et PIPEDREAM.

Au-delà des malwares, Rapport sur les prévisions ICS CERT de Kaspersky pour 2024 prévient que les ransomwares resteront cette année la principale menace de cybersécurité pour les entreprises industrielles. Le rapport révèle que 18 % des attaques de ransomware contre des entreprises industrielles ont entraîné des arrêts de production ou de livraison de produits tels que des dispositifs médicaux, des réseaux électriques et des systèmes de transport en 2023. Cela démontre les conséquences des cyberattaques sur les infrastructures critiques.

Alors que les IACS convergent de plus en plus avec les systèmes informatiques d'entreprise, l'IA et la connexion au cloud, leur surface d'attaque devrait s'étendre bien plus que ce que nous avons vu ces dernières années. Les anciens systèmes de contrôle « non sécurisés dès leur conception » qui n'ont jamais été destinés à être exposés sur Internet sont désormais des points d'entrée accessibles pour les adversaires.

Tout ce qui précède souligne la nécessité urgente de protéger le SIGC contre l’escalade des cybermenaces ; et le respect des normes ISA/IEC 62443 est un point de départ crucial pour les propriétaires d'actifs et les intégrateurs. En effet, il offre un cadre holistique pour la mise en œuvre de contrôles de cybersécurité multicouches concernant les personnes, les processus et la technologie pour le SIGC.

Bien qu'initialement axée sur les secteurs industriels, la norme ISA/IEC 62443 est également la principale norme de cybersécurité pour l'industrie médicale qui s'appuie sur des dispositifs médicaux et des systèmes de contrôle en réseau. Cependant, pour mieux s'aligner sur le développement des dispositifs médicaux, la nouvelle norme CEI 81001-5-1 « Sûreté, efficacité et sécurité des logiciels de santé et des systèmes informatiques de santé – Partie 5-1 : Sécurité – Activités dans le cycle de vie du produit » a été approuvée. par la FDA.

Par conséquent, la mise en œuvre de la norme ISA/IEC 62443 permet aux organisations de gérer de manière proactive les risques de cybersécurité tout au long du cycle de vie du SIGC grâce à des processus tels que :

Complexité logicielle : un obstacle majeur à la satisfaction de la norme ISA/IEC 62443

Bien que les normes ISA/IEC 62443 fournissent un cadre complet pour sécuriser les SIGC, atteindre et maintenir une conformité totale présente des défis importants pour les propriétaires et les exploitants d'actifs. L’un des principaux obstacles réside dans la complexité des logiciels qui alimentent les environnements IACS modernes.

IACS s'appuie de plus en plus sur des composants logiciels hétérogènes provenant de plusieurs fournisseurs et intégrateurs, souvent construits à l'aide de divers langages de codage, frameworks et chaînes d'outils. Des systèmes d'exploitation en temps réel et des automates programmables aux systèmes de contrôle de supervision et d'acquisition de données (SCADA), aux systèmes de contrôle distribués, aux systèmes instrumentés de sécurité, etc., chacun de ces éléments représente une surface d'attaque potentielle qui doit être entièrement sécurisée.

La nature interconnectée du SIGC amplifie cette complexité. Les systèmes d’usine sont intégrés au-delà des frontières fonctionnelles et des emplacements géographiques, héritant des risques de chaque application interdépendante, composant middleware et couche d’infrastructure. Les applications héritées monolithiques conçues avec des pratiques non sécurisées aggravent encore ces défis.

Il est pratiquement impossible de suivre le rythme du déluge quotidien de nouvelles vulnérabilités révélées qui pourraient avoir un impact sur le profil de risque unique d'une installation, grâce aux seuls processus manuels. L'application cohérente des correctifs de sécurité et la validation de l'efficacité de la correction des vulnérabilités réelles nécessitent des tests de sécurité automatisés et continus.

Au-delà de la complexité des actifs logiciels IACS déployés, les organisations doivent également renforcer la sécurité à chaque étape du cycle de vie du développement logiciel, conformément aux exigences de la norme CEI 62443-4-1. Du codage sécurisé aux tests d’intrusion, chaque phase nécessite des processus robustes et une traçabilité granulaire difficile à réaliser de manière rentable sans automatisation.

De plus, le logiciel IACS évolue constamment grâce à des mises à jour, des intégrations avec de nouveaux composants et des initiatives de migration. Cela nécessite des tests de régression complets pour valider en permanence la posture de sécurité cumulative de ces applications dynamiques et multicouches.

Les sections suivantes exploreront des techniques de tests automatisés spécifiques pour accélérer ce voyage.

Bien que la norme ISA/IEC 62443 soit la principale norme en matière de cybersécurité dans le SIGC, elle ne constitue qu'un élément d'un paysage réglementaire et normatif plus vaste dans lequel les développeurs et les opérateurs du SIGC doivent naviguer.

Une autre norme clé qui recoupe la CEI 62443 pour les applications IACS critiques pour la sécurité est IEC 61508 pour la sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables liés à la sécurité. La CEI 61508 fournit des exigences pour garantir le bon fonctionnement des systèmes en réponse à des conditions potentiellement dangereuses.

Les normes CEI 62443 et CEI 61508 imposent toutes deux des processus de développement logiciel rigoureux, mais la norme 61508 se concentre spécifiquement sur les capacités systématiques permettant de gérer les fonctions de sécurité pertinentes. Un concept de la CEI 61508 appelé modèle en V décrit les relations entre les différentes phases du cycle de vie de la sécurité du logiciel.

Le modèle en V met l'accent sur la nécessité de la traçabilité. Chaque phase de développement est associée à des activités de vérification et de validation pour garantir que les équipes répondent aux exigences. Cela correspond aux principes fondamentaux de la norme 62443 pour la traçabilité des exigences de sécurité et des tests et validations robustes.

Pour les déploiements IACS, les organisations peuvent également devoir se conformer à d'autres normes telles que :

• ISO/IEC 2700. Exigences générales pour les systèmes de gestion de la sécurité de l'information.
• ISO 13849. Exigences de sécurité pour les systèmes de commande des machines.
• CEI 62061. Sécurité fonctionnelle pour les systèmes de contrôle des machines.
• NIST SP 800-82. Lignes directrices pour sécuriser les systèmes de contrôle industriels.

Bien que chaque norme ait des exigences uniques, elles sont unifiées en exigeant des pratiques de développement sécurisées associées à des activités de test et de validation rigoureuses, faisant des tests de sécurité automatisés un outil essentiel de conformité dans l'ensemble du paysage réglementaire du SIGC.

Normes de codage associées pour ISA/IEC 62443

Bien que la norme ISA/IEC 62443 fournisse des conseils généraux pour les pratiques de développement sécurisées telles que l'analyse de code statique, elle ne fait pas référence à des normes de codage spécifiques. Cependant, l’adoption de normes de codage et de normes de sécurité complémentaires est essentielle pour que les développeurs IACS puissent éviter les vulnérabilités courantes.

Parvenir à une conformité complète à travers le vaste écosystème de réglementations, de normes et de bonnes pratiques pertinentes pour les environnements SIGC modernes constitue un immense défi. De la norme ISA/IEC 62443 aux normes de sécurité fonctionnelle comme la CEI 61508, en passant par les exigences relatives aux systèmes qualité, les contrôles de sécurité des machines, etc., les organisations sont confrontées à une matrice intimidante d'exigences complexes et interconnectées.

Cependant, en adoptant des principes stratégiques clés autour de l’automatisation, de l’optimisation, de l’intégration et de la collaboration, les entreprises SIGC peuvent simplifier leurs initiatives de conformité et améliorer leur posture globale de cyber-résilience.

Automatisation

Compte tenu du volume considérable de tests de sécurité, d’analyses de code, d’évaluations des risques, de documentation et d’autres activités de vérification spécifiées par des normes telles que la CEI 62443, l’automatisation est primordiale. Les processus manuels ne peuvent tout simplement pas évoluer pour valider efficacement le respect de centaines d’exigences discrètes dans des applications et environnements IACS complexes et en évolution rapide.

Les organisations doivent adopter des solutions intelligentes d'automatisation des tests capables d'analyser les logiciels pour détecter les lacunes de conformité liées au codage sécurisé, à la gestion des vulnérabilités, à la traçabilité des exigences de sécurité, aux tests d'intrusion, etc. L’automatisation de la collecte et du reporting des preuves de conformité est également essentielle.

Optimization

Plutôt que de mettre en œuvre des processus cloisonnés distincts pour chaque norme pertinente, une méthodologie rationalisée de « conformité dès la conception » devrait optimiser les activités pour garantir une couverture efficace de toutes les réglementations applicables. Par exemple, un cycle de vie de développement sécurisé unifié peut appliquer simultanément des contrôles de cybersécurité, de sécurité et de qualité tout au long de toutes les phases du produit.

Ainsi, en mappant toutes les normes sur un cadre de conformité optimisé, les propriétaires d'actifs et les intégrateurs peuvent éliminer les flux de travail redondants tout en satisfaisant chaque mandat externe grâce à un ensemble économique de pratiques intégrées.

Intégration :

Aucune norme ne fournit à elle seule une image complète de la cyber-résilience dans les environnements industriels. Les obligations de conformité au SIGC couvrent la cybersécurité, la sécurité fonctionnelle, la gestion des risques, les systèmes qualité et bien plus encore dans différents domaines verticaux. Une approche intégrée GRC (Gouvernance, Risque et Conformité) est nécessaire.

Les solutions modernes d’automatisation de la conformité jouent un rôle essentiel dans cette approche intégrée. Ces solutions peuvent regrouper des règles issues de diverses normes, en les fusionnant dans un cadre de contrôle unifié. Par la suite, ils coordonnent les processus de test et de vérification pour tous les mandats de conformité à l’aide d’un ensemble cohérent de chaînes d’outils et de flux de travail. Cette approche intégrée évite aux organisations de fonctionner en silos isolés et améliore la traçabilité des efforts de conformité. En fin de compte, il permet aux organisations de gérer leurs obligations de conformité de manière plus efficace et efficiente dans des environnements industriels complexes.

Coopération

Il est essentiel d’établir une culture de sécurité dans laquelle la conformité est une responsabilité partagée dans l’ensemble de l’écosystème du SIGC. Les OEM, les propriétaires d'actifs, les opérateurs, les intégrateurs et les tiers doivent collaborer pour harmoniser les activités de développement, de déploiement et de maintenance vers un ensemble commun de pratiques sécurisées unifiées.

Au-delà de la collaboration au sein des équipes internes, les organisations doivent participer à des associations industrielles et à des groupes de travail qui contribuent à faire évoluer et à aligner les normes pertinentes sur la pointe de la cyberdéfense ICS/OT. Un état d’esprit collaboratif permet de répondre plus rapidement aux défis émergents.

Non seulement la combinaison des mesures ci-dessus aide les organisations à naviguer dans le paysage réglementaire complexe du SIGC, mais elle réduit également les frais généraux tout en améliorant leur posture de sécurité grâce à un ensemble rationalisé de processus cohérents.

Le respect des méthodes de vérification rigoureuses décrites dans la norme ISA/IEC 62443 exige que les organisations SIGC adoptent des pratiques de développement sécurisées et robustes. Voici quelques bonnes pratiques clés.

Parvenir à une conformité complète et continue aux normes rigoureuses verification ET VALIDATION Les exigences décrites dans la norme ISA/IEC 62443 exigent des capacités de test hautement automatisées. Les processus manuels ne peuvent tout simplement pas s'adapter pour valider le respect de l'ensemble complexe de contrôles de sécurité définis par la norme CEI 62443 et ses normes complémentaires. Vous trouverez ci-dessous la manière dont l'automatisation intelligente peut accélérer la conformité à la norme CEI 62443.

Prise en charge complète des normes IACS

Les plates-formes avancées d'automatisation de la conformité fournissent une prise en charge prête à l'emploi pour l'importation de règles et d'exigences de la norme CEI 62443 ainsi que d'autres réglementations industrielles pertinentes telles que la CEI 61508, l'ISO 27001, le NIST 800-82, etc. Ce référentiel centralisé mappe tous les mandats vers un cadre de contrôle intégré pour les tests et la vérification automatisés. Certaines plates-formes peuvent offrir une prise en charge plus étendue ou fournir des fonctionnalités supplémentaires adaptées à des exigences de conformité spécifiques. Les organisations doivent évaluer différentes plates-formes pour déterminer celle qui répond le mieux à leurs besoins et s'aligne sur les réglementations auxquelles elles doivent se conformer.

Rapports de conformité personnalisés et analyses avancées

Au-delà des formulaires prédéfinis, les organisations peuvent entièrement personnaliser les modèles de reporting pour capturer des preuves vérifiables adaptées à leurs besoins d'audit uniques. Des tableaux de bord interactifs dotés de visualisations et d'analyses avancées offrent une visibilité continue sur l'état de conformité à la norme CEI 62443 pour tous les contrôles de sécurité applicables.

Tests logiciels continus

La vérification et la validation des logiciels CEI 62443 tout au long du cycle de vie du développement sont mieux réalisées en intégrant les procédures de tests de sécurité directement dans les pipelines de développement et d'exploitation (DevOps). Au fur et à mesure que le logiciel subit des modifications et des mises à jour, les mesures de sécurité sont systématiquement validées pour garantir une protection continue contre les menaces potentielles. Cette approche garantit que la sécurité n'est pas une réflexion secondaire mais un aspect fondamental du développement et de la livraison de logiciels.

Vérification automatisée des normes de codage internes

En plus d'adopter des normes de codage telles que CERT, de nombreuses organisations mettent en œuvre leurs propres politiques de codage de sécurité interne sur mesure. Ces directives internes sont conçues pour relever les défis de sécurité distincts et les spécifications de leurs systèmes. Des outils automatisés d'analyse de code sont fréquemment utilisés pour garantir le respect des normes externes et des politiques internes. Ce processus garantit que les pratiques de développement logiciel s'alignent systématiquement sur les normes de sécurité essentielles, minimisant ainsi les risques potentiels dans les différents environnements de développement.

IA et ML pour une meilleure analyse du code

L'intégration des AI et ML capacités dans les outils d'analyse statique marque une avancée significative pour les organisations cherchant à renforcer la sécurité et la fiabilité de leurs systèmes logiciels. Une application remarquable de l’IA dans l’analyse statique consiste à exploiter les interactions de code historiques et les résultats d’analyses antérieures pour contextualiser et hiérarchiser les violations de codage identifiées et les découvertes de vulnérabilités.

Ces technologies innovantes offrent la promesse de rationaliser les processus de qualité logicielle en automatisant les efforts manuels et en améliorant l'efficacité de l'analyse statique. Cela ne représente que le début d’un voyage transformateur, avec une innovation et un perfectionnement continus prêts à accroître encore l’efficacité de l’analyse statique basée sur l’IA dans le domaine des logiciels critiques en matière de sûreté et de sécurité.

Création automatisée de tests unitaires

Les tests unitaires sont un principe fondamental décrit dans la norme CEI 62443 et jouent un rôle essentiel dans l'amélioration de la qualité et de la fiabilité des bases de code logicielles. En facilitant la vérification systématique des unités de code individuelles, les tests unitaires permettent aux développeurs d'identifier les défauts de sécurité dès le début du processus de développement, réduisant ainsi le risque d'erreurs et de vulnérabilités coûteuses atteignant la production.

L'exécution automatisée des tests unitaires rationalise le flux de travail de test, fournissant aux développeurs un retour rapide sur la fonctionnalité de leur code. De plus, la prise en charge du mocking et du stubbing permet aux développeurs d'isoler les unités de code et de simuler les dépendances, garantissant ainsi une couverture complète des tests. En fin de compte, les tests unitaires cultivent une culture de qualité et permettent aux équipes de développement de fournir des produits logiciels sécurisés, sûrs et fiables.

Résumé

Les enjeux liés aux environnements de systèmes d’automatisation et de contrôle industriels (IACS) compromis sont trop importants pour être négligés. Assurer une conformité totale à la norme ISA/IEC 62443 est devenu impératif pour protéger ces systèmes critiques contre la menace croissante des cyberattaques.

Cependant, le maintien d'une adhésion continue à la norme ISA/IEC 62443 présente des défis importants, en particulier compte tenu de la nature complexe du logiciel IACS. Les exigences strictes de vérification de la norme, englobant le codage sécurisé, les tests de vulnérabilité, les évaluations de pénétration et la traçabilité des exigences, posent des obstacles considérables qui ne peuvent être surmontés efficacement par les seuls processus manuels.

C’est là que l’automatisation intelligente des tests apparaît comme une solution cruciale. En intégrant l'analyse de sécurité automatisée, l'analyse dynamique et les tests de validation directement dans les pipelines CI/CD, les organisations peuvent atteindre la conformité de bout en bout à la norme ISA/IEC 62443 à mesure que les applications IACS évoluent.

En tirant parti de l’automatisation des tests, les organisations peuvent atténuer les risques de manière proactive, garantir la conformité réglementaire et renforcer la résilience de leurs systèmes d’automatisation et de contrôle industriels contre l’évolution des cybermenaces.