ISA 99.03.03 en bonne voie, ainsi que IEC 62443.03.03

Le standard ISA99.03.03 (version draft 3), qui définit les mesures de sécurité devant correspondre aux vecteurs SAL (Security Assurance Levels) relatifs à un système donné, a été approuvé par 18 voix pour et 5 contre lors du vote au sein du comité ISA-99, le 27 octobre 2011.

Plus de 500 commentaires ont été formulés et sont en cours d’analyse avant que soit élaborée la version finale.

La série des standards ISA99 étant reprise par l'IEC sous la référence 62443, l'IEC procédera de son côté à un vote sur le standard IEC 62443.03.03 à mi-mars 2012.

Ce standard est donc en bonne voie, ce qui est une excellente nouvelle car il intègre de fait (sous forme d'annexes synthétiques) le principe des vecteurs SAL introduits dans le standard ISA-99.01.01 en cours d’actualisation.

En réalité, les vecteurs SAL ont déjà une existence dans les faits, puisqu'ils sont déjà repris par le NIST américain (ISA-Flash N° 43 et 44, et le lien ci-dessous vers le projet du NIST). On en trouve la logique dans les outils d'audits du DHS (Department of Homeland Security - USA, outil CSET version 4), même si en elle-même ISA99 n'est pas encore supportée (c'est annoncé depuis la v3 de l'outil). En fait, ce sont les règles de définition de zones, conduits etc... définies dans 99.03.02 qui pourraient être auditées par l'outil CSET, on ne peut donc pas lui reprocher d'ignorer un référentiel encore en cours de définition.

L'adoption de ce concept s'explique notamment par le criant besoin d'outils d'expression d'exigences et de normalisation des niveaux de sécurité en informatique industrielle, la bonne nouvelle étant qu'on peut à présent commencer à réellement les utiliser en environnement professionnel.

A noter que la formation ISA99 d'ISA-France introduit la notion de vecteurs SAL et permet de se familiariser avec le concept.