Comment minimiser les risques liés à la sécurité des réseaux industriels et se conformer à la loi de l'Union européenne sur la cyber-résilience (CRA) ?

La cybersécurité dans l'automatisation industrielle n'est plus facultative, elle est essentielle. À mesure que l'industrie 4.0 progresse, les systèmes connectés sont confrontés aux risques croissants des cyberattaques et de l'évolution de la réglementation. Cet article explique comment Festo garantit la conformité et la fiabilité en matière de cybersécurité et de sécurité des produits - et pourquoi la loi de l'Union européenne sur la cyber-résilience (CRA) est essentielle à la sécurité des réseaux industriels.

Qu'est-ce que la sécurité des technologies opérationnelles (OT) et pourquoi est-elle importante pour la cybersécurité ?

La sécurité des technologies opérationnelles (OT) protège les systèmes qui contrôlent les opérations industrielles, qu'il s'agisse de la fabrication, de la robotique, des réseaux d'énergie ou des infrastructures sensibles. Étant donné que l'OT gère directement les processus physiques, sa protection est vitale pour la sécurité, la fiabilité et une production ininterrompue.

Face à la sophistication croissante des cyberattaques, la sécurité des produits est désormais essentielle pour garantir la sécurité des technologies opérationnelles. Une violation peut interrompre les opérations, endommager les équipements, entraîner des risques financiers et de sécurité importants et provoquer une perte potentielle de données. Il est donc essentiel de mettre en place des stratégies sur mesure pour les systèmes existants, les demandes en temps réel et la convergence des réseaux IT et OT.

Les principales réglementations et normes comme fondement de la sécurité des technologies opérationnelles sont les suivantes :

• Loi sur la cyber-résilience (CRA) : Elle fixe des exigences de sécurité plus strictes à l'échelle de l'UE pour les produits contenant des éléments numériques, en particulier les dispositifs connectés.
• Le règlement européen sur les machines (UE) 2023/1230, applicable à partir du 20 janvier 2027, exige que les produits soient protégés contre la corruption et toute manipulation.
• La directive européenne NIS2 (UE) 2022/2555, applicable depuis le 18 octobre 2024, fixe des exigences renforcées en matière de cybersécurité pour les entités essentielles et importantes.
• NIST SP 800-82 : Guide américain présentant les meilleures pratiques en matière d'architectures OT, d'atténuation et de réponse aux menaces.
• Un inventaire logiciel (SBOM) répertoriant toutes les bibliothèques et dépendances d'un produit logiciel afin de renforcer la transparence et la sécurité.
• CEI 62443 : Norme internationale relative à la sécurité des systèmes de commande industriels, de la conception à la surveillance.
• ISA/IEC 61511 : Concerne les systèmes instrumentés de sécurité, où les aspects de sécurité fonctionnelle et de cybersécurité se croisent.

Que sont les systèmes de contrôle industriel (SCI) et pourquoi sont-ils essentiels pour la cybersécurité ?

Les systèmes de contrôle industriel (SCI) sont des solutions matérielles et logicielles qui surveillent, contrôlent et automatisent les processus dans des secteurs tels que la production, l'énergie, le traitement de l'eau et les transports. Les principaux composants sont les systèmes SCADA dédiés à la surveillance à distance, les systèmes de commande décentralisés (DCS) pour le contrôle centralisé de l'usine, les PLC pour les tâches spécifiques de l'usine et les IHM qui permettent aux opérateurs de visualiser et de gérer les processus. En plus de garantir des opérations sécurisées et efficaces, les ICS sont essentiels dans la lutte contre les cyberattaques qui peuvent déstabiliser des infrastructures essentielles. La loi sur la cyber-résilience (CRA) souligne cette urgence. Festo assurera la sécurité des produits et soutiendra les clients avec des solutions d'automatisation conformes et fiables.

Comment la loi européenne CRA renforce la cybersécurité

La loi européenne sur la cyber-résilience vise à garantir que tous les produits connectés comportant des éléments numériques (matériel et logiciels) sont sécurisés dès leur conception, sécurisés par défaut et sécurisés tout au long de leur cycle de vie. Elle s'applique aux fabricants, importateurs et distributeurs qui commercialisent ces produits sur le marché de l'UE.

Les principales obligations sont les suivantes :

• Évaluations des risques et de la cybersécurité avant la mise sur le marché des produits
• Mises à jour permanentes de la sécurité et gestion des vulnérabilités
• Marquage CE (Conformité Européenne) pour prouver la conformité
• Signalement à l'ENISA des vulnérabilités exploitées à partir du 11 septembre 2026

La conformité totale devient obligatoire à partir de décembre 11, 2027, avec des sanctions pouvant aller jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial en cas de non-conformité.

Comment Festo soutient-il ses clients dans le cadre de la loi sur la cyber-résilience ?

Le matériel et les logiciels Festo dotés d'interfaces numériques comme les PLC, les ordinateurs en périphérie, les terminaux de vannes, les contrôleurs de mouvement, les outils d'ingénierie et les applications d'analyse IA, sont soumis à la loi CRA. Pour faciliter la mise en conformité avec le CRA, Festo propose un outil open-source pour créer, éditer et valider les SBOM CycloneDX, aidant ainsi les utilisateurs à documenter les composants logiciels utilisés et à détecter les vulnérabilités. Nous aidons les constructeurs de machines, les distributeurs et les importateurs à gérer la conformité de l'ARC en matière de délais, de documentation et de sécurité.

Même si aucun produit n'est actuellement conforme à la norme CRA, Festo détient la certification IEC 62443-4-1 pour le développement sécurisé, avec l'audit de TÜV Süd, et applique des méthodes d'analyse des menaces et des risques (TARA) pour identifier les risques potentiels liés à l'utilisation de ses produits et les atténuer. Nous veillons à ce que d'ici décembre 2027, les clients puissent utiliser en toute confiance les solutions Festo dans le respect de la réglementation de l'UE.

Rôles prévues par le CRA et contact de sécurité chez Festo

Le CRA concerne tous les rôles dans l'automatisation : Les équipementiers doivent prouver que les machines sont conformes, les intégrateurs sont responsables de la sécurité des composants, les opérateurs ont besoin d'une garantie de continuité et les responsables des achats doivent évaluer l'état de préparation des fournisseurs. Le plus grand défi est l'incertitude liée à la certification, au cycle de vie des produits et à l'approvisionnement, à laquelle nous répondons par la transparence et des mesures documentées. Festo s'aligne sur les normes ISO/IEC 29147 et ISO/IEC 30111.

Les vulnérabilités peuvent être signalées à notre équipe PSIRT (Product Security Incident Response Team) par le biais d'un formulaire de contact ou par courrier électronique à l'adresse psirt@festo.com, et sur notre site Internet. Nous publions en toute transparence les avis de publication avec les vulnérabilités connues et corrigées.

Votre liste de contrôle de la conformité pas à pas avec la cybersécurité dans le cadre du CRA

Comprendre comment le CRA affecte les machines, les opérations et l'approvisionnement.

☑ Confirmez dès maintenant que vos fournisseurs se sont mis en conformité avec la loi CRA - n'attendez pas 2027.

Utilisez les avis, les déclarations et la documentation de sécurité de Festo pour la planification.

☑ Répondre aux exigences de la norme IEC 62443 et du CRA pour éviter les risques de défaut de conformité.

☑ Festo est votre partenaire de confiance en matière de sécurité des produits.