Conformité CRA pour l'Automatisation Industrielle : Alignement IEC 62443 et Guide de Sécurité OT

Les produits d'automatisation industrielle font face à des défis CRA spécifiques en raison de leur rôle critique dans la fabrication, l'énergie et les infrastructures. Beaucoup relèvent de la catégorie Important Classe II, nécessitant une évaluation de conformité par un tiers. Heureusement, la norme bien établie IEC 62443 fournit une base solide pour la conformité CRA.

Ce guide couvre la conformité CRA pour les fabricants d'automatisation industrielle.

Quels Produits Industriels Sont Concernés ?

Champ d'Application CRA pour l'Automatisation Industrielle

Le CRA s'applique aux « produits comportant des éléments numériques » mis sur le marché de l'UE. Pour l'automatisation industrielle, cela inclut :

Clairement concernés :

• Automates programmables industriels (PLC)
• PC industriels et IHM
• Logiciels SCADA
• Systèmes DCS
• Capteurs et passerelles IoT industriels
• Routeurs et commutateurs industriels
• Solutions d'accès à distance
• Stations d'ingénierie et logiciels

Des exemptions peuvent s'appliquer :

• Produits exclusivement pour la sécurité nationale
• Produits conçus pour usage militaire
• Systèmes industriels uniques sur mesure (peuvent être qualifiés de « pièces de rechange »)

Classification CRA pour les Produits Industriels

La plupart des produits d'automatisation industrielle relèvent des catégories Important Classe I ou II :

CLASSIFICATION CRA AUTOMATISATION INDUSTRIELLE

IMPORTANT CLASSE II (Tiers requis) :
- Pare-feu pour usage industriel
- Systèmes IDS/IPS industriels
- Microcontrôleurs avec fonctions de sécurité
- HSM pour applications industrielles
- Compteurs intelligents (infrastructure énergétique)
- Routeurs industriels dans les infrastructures critiques

IMPORTANT CLASSE I (Auto-évaluation possible avec normes harmonisées) :
- PLC et contrôleurs industriels
- Logiciels SCADA/DCS
- Passerelles IoT industrielles
- Solutions d'accès à distance/VPN
- Équipements réseau industriels

CATÉGORIE PAR DÉFAUT (Auto-évaluation) :
- Capteurs basiques (sans capacité réseau)
- Périphériques industriels simples
- Équipements non connectés

VÉRIFIEZ AVEC LA SOURCE PRIMAIRE : La classification dépend des capacités spécifiques du produit. Consultez les Annexes III et IV du CRA pour une classification définitive.

Alignement IEC 62443 et CRA

Qu'est-ce que l'IEC 62443 ?

L'IEC 62443 est la série de normes internationales pour la sécurité des systèmes d'automatisation et de contrôle industriels (IACS). Elle couvre :

• IEC 62443-4-1 : Cycle de développement sécurisé
• IEC 62443-4-2 : Exigences de sécurité des composants (4 niveaux de sécurité)
• IEC 62443-3-3 : Exigences de sécurité système
• IEC 62443-2-4 : Exigences pour les prestataires de services

Correspondance IEC 62443 ↔ CRA

IEC 62443 comme Base, Pas Équivalence

Important : La certification IEC 62443 NE signifie PAS automatiquement la conformité CRA.

Ce que l'IEC 62443 fournit :

• Base technique de sécurité solide
• Cycle de développement de sécurité mature
• Capacités de sécurité bien documentées
• Preuves pour l'évaluation de conformité

Ce que le CRA ajoute au-delà de l'IEC 62443 :

• Exigences SBOM (nouveau)
• Signalement spécifique des vulnérabilités à l'ENISA (24h/72h)
• Marquage CE et Déclaration de Conformité
• Engagement de support minimum 5 ans
• Exigences de format de documentation spécifiques
• Coordination de la surveillance du marché

Exploiter l'IEC 62443 pour le CRA

IEC 62443 → APPROCHE CONFORMITÉ CRA

SI vous avez la certification IEC 62443-4-1 :
→ Réutilisez la documentation SDL pour le dossier technique CRA
→ Démontrez le « cycle de développement sécurisé »
→ Preuve de l'approche d'évaluation des risques

SI vous avez la certification IEC 62443-4-2 :
→ Réutilisez la documentation des capacités de sécurité
→ Mappez le niveau de sécurité aux exigences essentielles CRA
→ Preuve de l'implémentation des fonctions de sécurité

SUPPLÉMENTAIRE POUR CRA :
[ ] Ajouter la génération SBOM à votre processus
[ ] Implémenter la capacité de signalement ENISA
[ ] Documenter l'engagement de support 5 ans
[ ] Préparer la Déclaration de Conformité UE
[ ] Apposer le marquage CE

Défis de Conformité Spécifiques à l'OT

Défis de Mise à Jour et Correctifs

Les environnements industriels ont des contraintes uniques sur les mises à jour :

Défis :

• Opérations 24/7. Pas de fenêtres de maintenance
• Revalidation des systèmes de sûreté après mises à jour
• Intégration de systèmes hérités
• Environnements isolés ou semi-connectés
• Longs cycles de qualification

Les Exigences CRA S'Appliquent Toujours :

• Doit fournir des mises à jour de sécurité pendant 5+ ans
• Doit avoir un mécanisme pour livrer les mises à jour
• Doit corriger les vulnérabilités dans un délai raisonnable

Approches Pratiques :

STRATÉGIE DE MISE À JOUR OT POUR CRA

1. DÉPLOIEMENT PAR ÉTAPES :
   - Environnements de test d'abord
   - Lignes de production pilotes
   - Déploiement complet avec surveillance

2. PLANIFICATION DES MISES À JOUR :
   - Coordonner avec la maintenance planifiée
   - Fournir un préavis (semaines/mois)
   - Supporter des cycles de mise à jour programmés

3. LIVRAISON HORS LIGNE :
   - Packages de mise à jour sur USB
   - Serveurs de mise à jour dans le réseau OT
   - Mécanismes de transfert de fichiers sécurisés

4. REVALIDATION DE SÛRETÉ :
   - Documenter l'impact des mises à jour sur les fonctions de sûreté
   - Fournir des guides de revalidation
   - Considérer la co-ingénierie sûreté-sécurité

Longs Cycles de Vie des Produits

Les produits industriels ont souvent des cycles de vie de 15-20+ ans, mais le CRA exige un minimum de 5 ans seulement.

Planification du Cycle de Vie :

CYCLE DE VIE PRODUIT INDUSTRIEL + CRA

Année 1-5 :   Ventes actives + période de support CRA (minimum)
Année 5-10 :  Support étendu (peut continuer les mises à jour de sécurité)
Année 10-15 : Support hérité (mises à jour limitées, risque client)
Année 15+ :   Fin de vie (responsabilité client)

EXIGENCES CRA :
- Minimum 5 ans à partir de la date de vente de chaque unité
- Ou plus si l'espérance de vie du produit dépasse 5 ans
- Planifier la période de support basée sur la durée de vie raisonnable du produit

Besoins de Documentation :

• Communiquer clairement la période de support à l'achat
• Fournir la date de fin de support
• Documenter les responsabilités du client après le support

Intégration Sûreté-Sécurité

Les produits industriels ont souvent des exigences de sûreté (niveaux SIL selon IEC 61508/ISO 13849). Le CRA ajoute des exigences de sécurité.

Approche d'Intégration :

CO-INGÉNIERIE SÛRETÉ + SÉCURITÉ

Normes de Sûreté :         Normes de Sécurité :
IEC 61508 (Fonctionnelle)   IEC 62443 (Industrielle)
ISO 13849 (Machines)        CRA (Règlement UE)

POINTS D'INTÉGRATION :
1. Évaluation des Risques :
   - Modélisation combinée des menaces sûreté/sécurité
   - Menaces de sécurité sur les fonctions de sûreté

2. Exigences :
   - Exigences de sûreté (SIL 1-4)
   - Exigences de sécurité (SL 1-4)
   - Aucune mesure de sécurité ne doit compromettre la sûreté

3. Validation :
   - Validation de sûreté
   - Tests de sécurité
   - Tests de scénarios combinés

4. Gestion des Changements :
   - Revalidation de sûreté pour les correctifs de sécurité
   - Évaluation de sécurité pour les changements de sûreté

SBOM pour les Systèmes Industriels

Défis d'Identification des Composants

Les produits industriels contiennent souvent :

• Systèmes d'exploitation temps réel (RTOS)
• Firmware propriétaire
• Bibliothèques tierces (piles OPC UA, MQTT, Modbus)
• Composants matériels avec firmware

Stratégie SBOM :

APPROCHE SBOM INDUSTRIELLE

COMPOSANTS LOGICIELS :
- RTOS et noyau
- Piles de protocoles (OPC UA, Modbus, EtherNet/IP, PROFINET)
- Bibliothèques de sécurité (TLS, crypto)
- Middleware tiers
- Logiciel applicatif

FIRMWARE :
- Bootloader
- Firmware de l'appareil
- Composants programmables sur le terrain

CONSIDÉRATIONS DE PROFONDEUR :
- Composants primaires : Contrôlés par le fabricant
- Tiers : Demander les SBOM aux fournisseurs
- Imbriqués : Aller aussi profond que pratiquement possible

FORMAT :
- CycloneDX ou SPDX (les deux acceptables)
- Inclure les identifiants PURL quand disponibles
- Documenter les composants personnalisés/propriétaires

Complexité de la Chaîne d'Approvisionnement

Les produits industriels ont souvent des chaînes d'approvisionnement complexes :

SBOM CHAÎNE D'APPROVISIONNEMENT INDUSTRIELLE

NIVEAU 1 (Votre produit) :
- Votre logiciel/firmware
- SBOM complet requis

NIVEAU 2 (Fournisseurs directs) :
- Composants tiers
- Demander SBOM aux fournisseurs
- Inclure dans votre SBOM

NIVEAU 3 (Sous-fournisseurs) :
- Composants dans les composants
- Inclusion au mieux
- Documenter les limitations connues

ACTION :
[ ] Mettre à jour les accords fournisseurs pour les exigences SBOM
[ ] Établir un format d'échange SBOM avec les fournisseurs
[ ] Créer un processus d'intégration SBOM
[ ] Documenter les limitations de la chaîne d'approvisionnement

Évaluation de Conformité pour les Produits Industriels

Module B+C (Examen UE de Type)

Pour les produits industriels Important Classe II :

MODULE B+C POUR PRODUITS INDUSTRIELS

ÉTAPE 1 : MODULE B (Examen de Type)
L'organisme notifié examine :
- Complétude du dossier technique
- Adéquation de l'évaluation des risques
- Couverture des exigences de sécurité
- Certification IEC 62443 (si disponible)
- Qualité du SBOM
- Résultats des tests

LIVRABLE : Certificat d'Examen UE de Type

ÉTAPE 2 : MODULE C (Conformité au Type)
Le fabricant assure :
- La production correspond au type examiné
- QA interne pour la production
- Documentation maintenue

LIVRABLE : Auto-déclaration de conformité au type

Utilisation de la Certification IEC 62443

Si vous avez la certification IEC 62443-4-2 :

CERTIFICATION IEC 62443 → PROCESSUS CRA

PRÉSENTER À L'ORGANISME NOTIFIÉ :
- Certificat IEC 62443-4-2
- Niveau de sécurité atteint (SL 1-4)
- Certificat ISASecure (si applicable)
- Rapport d'évaluation

ÉVALUATION DE L'ORGANISME NOTIFIÉ :
- Reconnaît IEC 62443 comme preuve
- Vérifie la couverture des exigences CRA
- Identifie les écarts éventuels
- Peut réduire la portée des tests

PREUVES SUPPLÉMENTAIRES NÉCESSAIRES :
- SBOM (non couvert par IEC 62443)
- Capacité de signalement ENISA
- Engagement de support 5 ans
- Documentation utilisateur

Guide Spécifique par Industrie

PLC et Contrôleurs

CONFORMITÉ CRA PLC/CONTRÔLEURS

CLASSIFICATION : Généralement Important Classe I ou II

EXIGENCES CLÉS :
- Capacité de démarrage sécurisé
- Communications chiffrées (optionnel → défaut)
- Authentification forte
- Journalisation d'audit
- Mécanisme de mise à jour firmware
- SBOM pour firmware et runtime

ALIGNEMENT IEC 62443 :
- Utiliser IEC 62443-4-2 SL2+ comme référence
- Documenter les capacités de sécurité
- Tester les fonctions de sécurité

CONSIDÉRATIONS SPÉCIALES :
- Contraintes temps réel vs. traitement de sécurité
- Protection des fonctions de sûreté
- Support des protocoles hérités (Modbus, etc.)

Logiciels SCADA/DCS

CONFORMITÉ CRA LOGICIELS SCADA/DCS

CLASSIFICATION : Généralement Important Classe I

EXIGENCES CLÉS :
- Architecture sécurisée
- Contrôle d'accès basé sur les rôles
- Communications chiffrées
- Piste d'audit
- Mécanisme de mise à jour
- SBOM pour tous les composants

CONSIDÉRATIONS SPÉCIALES :
- Sécurité des bases de données
- Configuration de sécurité OPC UA
- Protection des données historian
- Sécurité de l'accès distant

Passerelles IoT Industrielles

CONFORMITÉ CRA PASSERELLES IOT INDUSTRIELLES

CLASSIFICATION : Généralement Important Classe I

EXIGENCES CLÉS :
- Démarrage sécurisé
- Support de segmentation réseau
- Protocoles chiffrés (MQTT-TLS, etc.)
- Authentification des appareils
- Mécanisme de mise à jour firmware
- SBOM

CONSIDÉRATIONS SPÉCIALES :
- Sécurité edge computing
- Sécurité de connectivité cloud
- Sécurité de traduction de protocoles
- Filtrage/validation des données

Feuille de Route Pratique de Conformité

Phase 1 : Évaluation (Maintenant - Mi-2026)

ÉVALUATION FABRICANT INDUSTRIEL

INVENTAIRE PRODUITS :
[ ] Lister tous les produits avec éléments numériques
[ ] Classifier selon les catégories CRA
[ ] Identifier les produits Important Classe II

CERTIFICATIONS EXISTANTES :
[ ] Lister les certifications IEC 62443
[ ] Mapper aux exigences CRA
[ ] Identifier les écarts

ANALYSE DES ÉCARTS :
[ ] Capacité SBOM
[ ] Préparation au signalement des vulnérabilités
[ ] Planification du support 5 ans
[ ] Lacunes documentaires

ÉVALUATION FOURNISSEURS :
[ ] Fournisseurs de composants critiques
[ ] Disponibilité SBOM des fournisseurs
[ ] Préparation CRA de la chaîne d'approvisionnement

Phase 2 : Préparation (Mi-2026 - Sept 2026)

PHASE DE PRÉPARATION

TECHNIQUE :
[ ] Implémenter la génération SBOM
[ ] Établir le processus de gestion des vulnérabilités
[ ] Préparer la capacité de signalement ENISA
[ ] Mettre à jour les références de sécurité produit

DOCUMENTATION :
[ ] Structure du dossier technique
[ ] Mises à jour de la documentation de sécurité
[ ] Guide utilisateur pour le déploiement sécurisé
[ ] Communication de la période de support

COMMERCIAL :
[ ] Définitions des périodes de support
[ ] Mises à jour des contrats clients
[ ] Révision des prix (si coûts de conformité significatifs)

Phase 3 : Conformité (Sept 2026 - Déc 2027)

PHASE DE CONFORMITÉ

SEPTEMBRE 2026 :
[ ] Signalement des vulnérabilités opérationnel
[ ] Inscription à la plateforme ENISA SRP

À TRAVERS 2027 :
[ ] Compléter les évaluations de conformité
[ ] Engager les organismes notifiés (Important Classe II)
[ ] Obtenir les certificats d'examen UE de type
[ ] Mettre à jour toute la documentation produit

DÉCEMBRE 2027 :
[ ] Tous les produits conformes CRA
[ ] Marquage CE appliqué
[ ] Communication client complète

Ressources de l'Industrie

Organismes de Normalisation

ORGANISATIONS DE NORMALISATION PERTINENTES

IEC (Commission Électrotechnique Internationale) :
Série IEC 62443
https://www.iec.ch

ISA (International Society of Automation) :
Développement ISA/IEC 62443
Programme de certification ISASecure
https://www.isa.org

NAMUR (Association de l'Industrie des Procédés) :
Recommandations NE pour la sécurité OT
https://www.namur.net

NIST :
Cadre de cybersécurité
SP 800-82 (Guide de sécurité OT)
https://www.nist.gov

Associations Industrielles

Checklist pour l'Automatisation Industrielle

CHECKLIST CRA AUTOMATISATION INDUSTRIELLE

CLASSIFICATION PRODUIT :
[ ] Classification déterminée (Par défaut/Important I/Important II)
[ ] Voie d'évaluation de conformité sélectionnée
[ ] Organisme notifié identifié (si nécessaire)

CERTIFICATIONS EXISTANTES :
[ ] IEC 62443-4-1 (SDL)
[ ] IEC 62443-4-2 (sécurité des composants)
[ ] Certification ISASecure
[ ] Mappées aux exigences CRA

CONFORMITÉ TECHNIQUE :
[ ] Configuration sécurisée par défaut
[ ] Mécanisme de mise à jour sécurisé
[ ] Capacité de génération SBOM
[ ] Processus de gestion des vulnérabilités
[ ] Capacité de signalement ENISA

DOCUMENTATION :
[ ] Dossier technique préparé
[ ] Évaluation des risques documentée
[ ] Architecture de sécurité documentée
[ ] Guide de sécurité utilisateur préparé

CYCLE DE VIE :
[ ] Période de support 5 ans définie
[ ] Mécanisme de livraison des mises à jour
[ ] Planification de fin de vie
[ ] Processus de revalidation de sûreté pour les mises à jour

CHAÎNE D'APPROVISIONNEMENT :
[ ] Exigences SBOM fournisseurs
[ ] Évaluation de sécurité des composants
[ ] Documentation de la chaîne d'approvisionnement

Important : Les produits d'automatisation industrielle destines aux entites essentielles NIS 2 sont classes Important Classe II -- necessitant une evaluation obligatoire par un tiers.

Conseil : L'alignement IEC 62443 vous donne une longueur d'avance sur la conformite CRA. De nombreuses exigences se chevauchent, reduisant votre charge de conformite supplementaire.

Guides connexes :

• Classification des Produits CRA : Votre Produit est-il Default, Important ou Critical ?
• Evaluation de Conformite CRA : Guide de Decision Module A vs B+C vs H

Comment CRA Evidence Aide

CRA Evidence soutient les fabricants d'automatisation industrielle :

• Mapping IEC 62443 : Modèles alignés avec la structure IEC 62443
• Gestion SBOM : Support pour le suivi des composants industriels
• Support cycle de vie long : Rétention de documentation pour les délais industriels
• Suivi des vulnérabilités : Gestion des vulnérabilités des produits industriels
• Preuves de conformité : Collecte de preuves pour soumission à l'organisme notifié

Commencez votre conformité CRA sur app.craevidence.com.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.