Cybersécurité
des machines
Les machines industrielles connectées sont parmi les cibles les plus vulnérables aux cyberattaques.
Un automate programmable, une IHM ou un système de supervision peut tourner vingt ans sans mise à jour de sécurité. Les protocoles industriels utilisés sont souvent anciens, non chiffrés, et pensés pour des réseaux fermés qui ne le sont plus. La convergence IT/OT, les accès distants pour la maintenance et la connectivité croissante des machines ont ouvert des portes d'entrée que les attaquants exploitent activement.
CONFORMITÉ RÉGLEMENTAIRE
Le Règlement Machines (UE) 2023/1230, qui remplace la directive machines 2006/42/CE, introduit pour la première fois des exigences explicites de cybersécurité pour les machines connectées. La période de transition court jusqu'en janvier 2027, date à partir de laquelle tout fabricant souhaitant mettre une machine sur le marché européen devra démontrer la conformité aux nouvelles exigences, y compris sur le plan cyber.
Concrètement, le Règlement Machines exige que les machines conçues pour être connectées à un réseau ou à d'autres équipements résistent aux tentatives d'accès non autorisé, que les logiciels embarqués puissent être mis à jour de manière sécurisée, et que les interfaces de communication soient protégées. Ces exigences doivent être documentées dans le dossier technique et reflétées dans la déclaration de conformité CE.
Pour les machines intégrant des éléments numériques connectés, le Cyber Resilience Act vient s'ajouter au Règlement Machines. Il impose une gestion structurée des vulnérabilités pendant toute la durée de vie commerciale du produit, une politique de mises à jour de sécurité et une documentation technique spécifique. Les fabricants qui commercialisent leurs machines sur le marché européen depuis la Suisse sont directement concernés.
Säfeli vous aide à identifier précisément les textes applicables à vos machines, à évaluer les écarts entre votre situation actuelle et les exigences réglementaires, et à construire une feuille de route de mise en conformité réaliste avant l'échéance de 2027.
ANALYSE DE RISQUE CYBER
L'analyse de risque est au coeur de toute démarche de certification CE pour les machines. Avec le nouveau Règlement Machines, cette analyse doit désormais couvrir explicitement les risques cyber, en complément des risques mécaniques, électriques et fonctionnels traditionnels. Il ne s'agit plus d'une démarche parallèle, mais d'une extension de l'analyse de risque existante.
La norme ISO 12100, base méthodologique de l'analyse de risque machines, doit être complétée par une approche cyber structurée. La norme IEC TR 63074 est ici la référence centrale : elle traite spécifiquement des interactions entre la cybersécurité et la sécurité fonctionnelle des systèmes de commande. Elle permet d'identifier comment une cyberattaque pourrait compromettre les fonctions de sécurité de la machine et provoquer un danger pour les personnes ou les équipements.
Concrètement, cette analyse de risque cyber couvre l'identification des surfaces d'attaque de la machine : interfaces de communication, accès distants, ports exposés, protocoles utilisés. Elle modélise les scénarios de menaces pertinents, évalue leur criticité et définit les mesures de mitigation à mettre en place. Chaque mesure est ensuite documentée dans le dossier technique CE.
Säfeli conduit ces analyses de risque en combinant sa maîtrise de la réglementation machines et son expertise en cybersécurité industrielle. Cette double compétence est rare et directement valorisable pour vos clients, qui disposent d'un dossier cohérent couvrant l'ensemble du spectre safety et security.
IEC 62443
La série IEC 62443 est la référence internationale pour la cybersécurité des systèmes d'automatisation et de contrôle industriels. Pour un fabricant de machines, deux parties sont directement applicables et constituent le socle technique de la démarche de conformité.
La IEC 62443-4-1 définit les exigences relatives au processus de développement sécurisé. Elle couvre huit domaines clés : gestion du développement, définition des exigences de sécurité, conception sécurisée, développement sécurisé, tests de sécurité, gestion des vulnérabilités, production des mises à jour et documentation. Pour un fabricant, se conformer à cette partie signifie intégrer la cybersécurité dans son processus de conception, et non l'ajouter après coup.
La IEC 62443-4-2 porte sur les exigences techniques pour les composants industriels. Elle définit les fonctionnalités de sécurité que doivent implémenter les composants d'une machine : authentification et contrôle des accès, intégrité des données, confidentialité des communications, disponibilité des systèmes. Ces exigences sont déclinées selon des niveaux de sécurité, du SL1 au SL4, adaptés au niveau de risque de l'application.
En pratique, Säfeli vous accompagne dans l'évaluation de la conformité de vos machines aux exigences pertinentes de l'IEC 62443, la définition des mesures à mettre en place, et la documentation de l'ensemble dans votre dossier technique. Pour les fabricants qui souhaitent aller jusqu'à la certification, Säfeli prépare le dossier en vue d'une évaluation par un organisme tiers reconnu.
DOCUMENTATION ET DOSSIER TECHNIQUE
Dans la démarche CE, la preuve de conformité repose sur la documentation. Ce principe s'applique pleinement à la cybersécurité des machines : les mesures mises en place doivent être documentées de manière rigoureuse, traçable et cohérente avec l'analyse de risque. Un dossier technique bien constitué est à la fois une exigence réglementaire et un actif commercial concret.
Le volet cybersécurité du dossier technique d'une machine comprend plusieurs éléments clés : la description des interfaces de communication et des protocoles utilisés, les résultats de l'analyse de risque cyber avec les mesures de mitigation associées, la documentation des fonctionnalités de sécurité implémentées selon IEC 62443, la politique de gestion des mises à jour de sécurité pendant la durée de vie de la machine, et les instructions à destination de l'utilisateur final pour maintenir le niveau de sécurité en opération.
Ce dernier point est souvent négligé : le Règlement Machines impose que le fabricant informe l'utilisateur final des conditions d'utilisation sécurisée de la machine sur le plan cyber. Cela inclut les recommandations de configuration réseau, la gestion des accès et les procédures de mise à jour. Ces informations doivent figurer dans la notice d'instructions.
Säfeli produit cette documentation en s'appuyant sur sa double expertise certification CE et cybersécurité. Le résultat est un dossier technique cohérent, qui couvre simultanément les aspects safety et security, directement exploitable pour la déclaration de conformité CE et les audits clients. Pour les fabricants qui travaillent avec des donneurs d'ordre exigeants, ce dossier devient un argument différenciant face à la concurrence.
QUESTIONS FRÉQUENTES
Pourquoi les machines industrielles sont-elles particulièrement vulnérables aux cyberattaques ?
Les environnements OT ont été conçus pour la disponibilité et la durée, pas pour la cybersécurité. Les automates et systèmes de supervision ont des cycles de vie de 15 à 20 ans, tournent avec des protocoles anciens non chiffrés, et sont de plus en plus connectés à des réseaux extérieurs pour la maintenance à distance. Cette combinaison crée des vulnérabilités que les attaquants exploitent activement.
Le Règlement Machines 2023/1230 s'applique-t-il aux fabricants suisses ?
Oui, dès lors que les machines sont commercialisées sur le marché européen. La localisation du fabricant n'est pas déterminante : c'est le marché cible qui l'est. Un fabricant suisse qui exporte en Europe doit se conformer au Règlement Machines, y compris dans ses nouvelles exigences de cybersécurité, avant janvier 2027. La Suisse prévoit également de reprendre le règlement machine.
Quelle est la différence entre la sécurité fonctionnelle (safety) et la cybersécurité (security) pour une machine ?
La sécurité fonctionnelle concerne les défaillances accidentelles des systèmes de commande, typiquement couverte par IEC 62061 ou ISO 13849. La cybersécurité couvre les actes intentionnels malveillants qui pourraient compromettre ces fonctions de sécurité. L'IEC TR 63074 traite précisément de l'interaction entre ces deux dimensions, qui ne peuvent plus être traitées séparément.
Faut-il suivre la norme IEC 62443 ?
Aujourd'hui pour prouver la conformité cyber d'une machine, il n'existe pas d'autre normes que celles de la série IEC 62443. Les fabricants doivent les suivres pour démontrer leur conformité.
Quand faut-il commencer la mise en conformité cyber pour ses machines ?
Maintenant. La transition vers le Règlement Machines 2023/1230 court jusqu'en janvier 2027, mais intégrer la cybersécurité dans la conception d'une machine prend du temps. Les modifications d'architecture en phase de développement sont bien moins coûteuses que les corrections sur des produits existants. Les fabricants qui anticipent ont également l'avantage de pouvoir valoriser cette conformité comme argument commercial dès aujourd'hui.
Säfeli peut-il accompagner à la fois la certification CE classique et la cybersécurité ?
C'est précisément la valeur ajoutée de Säfeli. La plupart des consultants en certification CE ne maîtrisent pas la cybersécurité industrielle, et inversement. Säfeli combine les deux expertises, ce qui permet de produire un dossier technique cohérent couvrant l'ensemble du spectre réglementaire, sans avoir à coordonner plusieurs prestataires.
ILS NOUS FONT CONFIANCE
