Réseaux de communication industriels — Sécurité des réseaux et des systèmes — Partie 1-1: Terminologie, concepts et modèles

1.1 Général

La présente partie de la série CEI 62443 est une spécification technique qui définit la terminologie, les concepts et les modèles pour la sécurité des systèmes d'automatisation et de contrôle industriels (IACS). Elle établit la base des autres normes de la série CEI 62443.

Pour articuler pleinement les systèmes et les composants auxquels s'adresse la série CEI 62443, la plage de couverture peut être définie et comprise sous plusieurs angles, notamment les suivants :
a) gamme de fonctionnalités incluses ;
b) systèmes et interfaces spécifiques ;
c) les critères de sélection des activités incluses ;
d) les critères de sélection des actifs inclus.

Chacun de ces éléments est décrit dans les sous-paragraphes suivants :

1.2 Fonctionnalité incluse

La portée de cette spécification technique peut être décrite en termes de gamme de fonctionnalités au sein des systèmes d'information et d'automatisation d'une organisation. Cette fonctionnalité est généralement décrite en termes d'un ou plusieurs modèles.

La présente spécification technique porte principalement sur l'automatisation et le contrôle industriels, comme décrit dans un modèle de référence (voir Article 6). La planification commerciale et les systèmes logistiques ne sont pas explicitement abordés dans le cadre de la présente spécification technique, bien que l'intégrité des données échangées entre les systèmes commerciaux et industriels soit prise en compte.

L'automatisation et le contrôle industriels comprennent les composants de contrôle de supervision que l'on trouve généralement dans les industries de transformation. Il comprend également les systèmes SCADA (Supervisory Control and Data Acquisition) qui sont couramment utilisés par les organisations qui opèrent dans les industries d'infrastructures critiques. Il s'agit notamment des éléments suivants :
a) transport et distribution d'électricité ;
b) réseaux de distribution de gaz et d'eau ;
c) opérations de production de pétrole et de gaz ;
d) canalisations de transport de gaz et de liquide.

Ceci n'est pas une liste exclusive. Les systèmes SCADA peuvent également être trouvés dans d'autres industries d'infrastructure critiques et non critiques.

1.3 Systèmes et interfaces

En englobant tous les IACS, cette spécification technique couvre les systèmes qui peuvent affecter ou influencer le fonctionnement sûr, sécurisé et fiable des processus industriels. Ils incluent, mais ne sont pas limités à :
a) Systèmes de contrôle industriels et leurs réseaux de communication associés1, y compris les systèmes de contrôle distribués (DCS), les contrôleurs logiques programmables (PLC), les terminaux distants (RTU), les dispositifs électroniques intelligents, les systèmes SCADA, la détection et le contrôle électroniques en réseau, le comptage et les transactions commerciales systèmes et systèmes de surveillance et de diagnostic. (Dans ce contexte, les systèmes de contrôle industriels comprennent les fonctions de base du système de contrôle de processus et du système instrumenté de sécurité (SIS), qu'ils soient physiquement séparés ou intégrés.)
b) Systèmes associés au niveau 3 ou inférieur du modèle de référence décrit à l'Article 6. Les exemples incluent le contrôle avancé ou multivariable, les optimiseurs en ligne, les moniteurs d'équipement dédiés, les interfaces graphiques, les historiques de processus, les systèmes d'exécution de la fabrication, les systèmes de détection de fuite de pipeline, la gestion des travaux, la gestion des pannes et les systèmes de gestion de l'énergie électrique.
c) Interfaces internes, humaines, réseau, logicielles, machines ou dispositifs associées utilisées pour fournir des fonctionnalités de contrôle, de sécurité, de fabrication ou d'opérations à distance à des processus continus, par lots, discrets et autres.

1.4 Critères basés sur l'activité

La CEI 62443-2-12 fournit des critères pour définir les activités associées aux opérations de fabrication. Une liste similaire a été élaborée pour déterminer le champ d'application de la présente spécification technique. Un système doit être considéré comme étant dans la plage de couverture de la série CEI 62443 si l'activité qu'il exécute est nécessaire pour l'un des éléments suivants :
a) fonctionnement prévisible du procédé ;
b) la sécurité des processus ou du personnel ;
c) la fiabilité ou la disponibilité du processus ;
d) efficacité du processus ;
e) opérabilité du processus ;
f) qualité du produit ;
g) protection de l'environnement ;
h) conformité réglementaire ;
i) vente de produits ou transfert de propriété.

1.5 Critères basés sur les actifs

La couverture de cette spécification technique inclut les systèmes des actifs qui répondent à l'un des critères suivants, ou dont la sécurité est essentielle à la protection d'autres actifs qui répondent à ces critères :
a) L'actif a une valeur économique pour un processus de fabrication ou d'exploitation.
b) L'actif remplit une fonction nécessaire au fonctionnement d'un processus de fabrication ou d'exploitation.
c) L'actif représente la propriété intellectuelle d'un procédé de fabrication ou d'exploitation.
d) L'actif est nécessaire pour exploiter et maintenir la sécurité d'un processus de fabrication ou d'exploitation.
e) L'actif est nécessaire pour protéger le personnel, les sous-traitants et les visiteurs impliqués dans un processus de fabrication ou d'exploitation.
f) L'actif est nécessaire pour protéger l'environnement.
g) L'actif est nécessaire pour protéger le public des événements causés par un procédé de fabrication ou d'exploitation.
h) L'actif est une exigence légale, notamment à des fins de sécurité d'un processus de fabrication ou d'exploitation.
i) L'actif est nécessaire pour la reprise après sinistre.
j) L'actif est nécessaire pour la journalisation des événements de sécurité.

Cette gamme de couverture comprend des systèmes dont la compromission pourrait entraîner la mise en danger de la santé ou de la sécurité du public ou des employés, la perte de la confiance du public, la violation des exigences réglementaires, la perte ou l'invalidation d'informations exclusives ou confidentielles, la contamination de l'environnement et/ou la perte ou l'impact économique. sur une entité ou sur la sécurité locale ou nationale.