IEC 63208:2025

IEC 63208:2025 Le présent document s'applique aux fonctions principales des appareillages et ensembles d'appareillages, appelés équipements, dans le contexte de la technologie d'exploitation (OT, 3.1.34). Il s'applique aux équipements équipés de moyens de communication de données filaires ou sans fil, ainsi qu'à leur accessibilité physique, dans les limites de leurs conditions d'environnement. Il a pour objet d'assurer l'atténuation appropriée de la sécurité physique et de la cybersécurité contre les vulnérabilités aux menaces à la sécurité. Le présent document fournit des exigences sur les aspects appropriés suivants: – l'appréciation du risque pour la sécurité à élaborer, y compris les niveaux d'attaque, les menaces types, l'appréciation de l'impact et la relation à la sécurité humaine; – les niveaux d'exposition de l'interface de communication et la détermination du niveau de sécurité de l'équipement; – l'évaluation du niveau d'exposition des interfaces de communication; – l'attribution des mesures de sécurité exigées pour l'équipement; – les contre-mesures pour l'accès physique et l'environnement selon l'ISO/IEC 27001; – les contre-mesures en référence à l'IEC 62443-4-2, avec leurs critères d'applicabilité; – les instructions pour l'utilisateur concernant l'installation, le fonctionnement et la maintenance; – la vérification et les essais de conformité; et – les profils de protection de la sécurité par famille d'équipements (de l'Annexe E à l'Annexe I). En particulier, il met l'accent sur les vulnérabilités potentielles aux menaces entraînant: – un fonctionnement non souhaitable, qui peut conduire à des situations dangereuses; – une indisponibilité des fonctions de protection (surintensité, défaut de terre, etc.); – toute autre dégradation de la fonction principale. Il fournit également des recommandations concernant le management de la cybersécurité, avec: – les rôles et responsabilités (Tableau 4); – les architectures types (Annexe A); – les cas d'utilisation (Annexe B); – les méthodes de développement (Annexe C); – les recommandations à fournir aux utilisateurs et à intégrer à un ensemble (Annexe D); – l'établissement de références aux systèmes de management de la cybersécurité (Annexe K). Le présent document ne fournit aucune exigence de sécurité en ce qui concerne: – les technologies de l'information (TI); – les systèmes d'automatisation et de commande industrielles (IACS, Industrial Automation And Control Systems), les postes de travail d'ingénierie et leurs applications logicielles; – les systèmes de management des infrastructures essentielles ou de l'énergie; – les dispositifs de réseau (commutateur de réseau de communication ou terminaison de réseau privé virtuel); ou – la confidentialité des données autre que pour les paramètres de sécurité critiques; – la gestion du cycle de vie de la conception. Pour cet aspect, voir l'IEC 62443-4-1, l'ISO/IEC 27001 ou d'autres normes de gestion du cycle de vie de la sécurité.