ISA-99 : Cybersécurité des systèmes de contrôle

Introduction

Cybersécurité : de quoi parle -t-on, est-ce un vrai problème ?

La cybersécurité a trait à la prévention des risques associés aux intrusions dans le système de contrôle –commande ,liées à des actions malintentionnées au travers des équipements informatiques et des réseaux de communication du système .Dès 2001 -et ceci a été encore plus sensible après le 11/09- les Etats Unis se sont inquiétés du problème surtout pour les infrastructures critiques (eau ,énergie ,transport ,chimie ,agro alimentaire…).En Europe et en France la conscience du risque a été tardive (la loi du silence prévaut en cas d’incident)

Une discipline nouvelle dans la sécurité fonctionnelle

Depuis plus d’ une décennie, le monde du contrôle de procédé a intégré les technologies de l’informatique , et la cybersécurité devient une composante essentielle de la sécurité fonctionnelle (au moment où les standards IEC 61508 et normes filles sont sortis les technologies de contrôle restaient spécifiques et le problème était marginalisé ).La cybersécurité correspond à une lutte contre un certain type d’agression externe et devient une discipline à part entière (comme cela a été le cas avec la " CEM ")

Des outils sont à présent disponibles

Les travaux de normalisation les plus avancés ont été menés aux US depuis le début de la décennie. Les travaux du comité ISA SP99 ont bénéficié de l’effort de recherche US et des travaux de normalisation sectorielle (Scada,Chimie,Energie …) et a conduit à la publication d'un certain nombre de documents de base :rapports techniques et standard ISA / ANSI. Un rapprochement a été effectué récemment en vue de rédaction commune avec le comité 65 de la CEI ( le standard IEC 62443,reprenant tous les standards ISA 99 existants), ce qui conduit actuellement à une série de publications ,accompagnant une restructuration des documents pour s'aligner avec les besoins de la CEI..

Des aides à l’application :formation/sensibilisation,certification autour des normes émergentes

La définition d’un " Cyber-Security Management System (CSMS) " doit s’inscrire dans le cadre d’une politique générale de sécurité dans les entreprises ,soutenue et comprise à tous les échelons de l’entreprise.. Des sessions de formation /sensibilisation sont proposées autour des standards ,notamment par ISA-France .Des organismes indépendants de certification sont mis en place :citons la certification des réseaux par les Wurldtech Laboratories (Achilles certification program) et le démarrage en 2008 des travaux d’un institut de labellisation sous l’égide de l’ISA " ISA Security Compliance Institute ",suivi par les grands industriels du secteur. La cyber-sécurité, comme la qualité, se construit pas à pas, au prix d’analyses, d’expériences, de retours d’expériences et d’essais de quantification des mesures prises. Elle est l’un des défis des sociétés modernes. Le suivi des standards ISA/IEC est la garantie de prendre la voie des meilleures pratiques en cours en international .