De nombreuses entreprises du secteur industriel protègent leurs opérations à l’aide d’une infrastructure à clé publique (PKI). Selon le rapport State of Machine Identity 2023, la décision d’utiliser une PKI, des clés et des certificats numériques dans une entreprise est principalement motivée par l’application d’une stratégie Zero Trust (50 %), la présence d’appareils IoT (49%) et l’utilisation de services cloud (48 %). Le rapport concerne des répondants de plus de 12 secteurs d’activité, dont un pourcentage élevé dans les secteurs industriel et manufacturier.

Pourtant, même si les fabricants sont sensibilisés à l’importance de la cybersécurité, certains ont beaucoup de mal à gérer sa complexité dans les environnements industriels et à maintenir une conformité avec les exigences standard de leur secteur. Alors comment automatiser le cycle de vie d’une identité industrielle ? Quelles sont les répercussions de la législation européenne sur la cybersécurité dans l’industrie et pourquoi les certificats X.509 sont-ils devenus incontournables sur le marché de la cybersécurité industrielle ?

La PKI, au cœur des normes et des réglementations de la cybersécurité

La prolifération des usines intelligentes et la réunion de l’OT et de l’IT (la technologie opérationnelle et l’informatique) au sein d’une infrastructure unique rendent inévitable la numérisation dans l’industrie. Le besoin croissant de la cybersécurité industrielle a fait émerger de nouvelles normes et réglementations qui viennent structurer l’offre des solutions sur le marché. Les fournisseurs et les opérateurs disposent ainsi d’une feuille de route claire pour répondre aux obligations de sécurisation de leur environnement d’usine intelligente.
La cybersécurité est incontournable et la technologie PKI fait partie intégrante des nouvelles normes industrielles de cybersécurité. Ces normes, qui étaient au départ de bonnes pratiques, sont devenues des lignes directrices précises et des directives de mise en œuvre appelées à évoluer dans les années à venir.

Il existe trois niveaux de normes et de réglementations de cybersécurité s’appliquant au secteur industriel :

1. Cadre général
● IEC 62443 : Il s’agit du cadre de base qui définit les niveaux de sécurité et les fonctions pour les opérateurs, les fabricants de produits et les fournisseurs de services.
2. Réglementations et directives
● Loi de l’UE sur la cyber-résilience (Cyber Resilience Act - CRA) : Elle impose des exigences obligatoires pour les produits comportant des composants numériques.
● Directive NIS 2 de l’UE (Network and Information Security) : Elle vise à renforcer la cybersécurité dans l’Union européenne.
● Directive 2006/42/CE du Parlement européen et du Conseil relative aux machines : Elle renforce la confiance envers les technologies numériques.

3. Normes industrielles (extrait)
● IEEE 802.1. AR : Identités sécurisées
● OPC 10000-12 : UA Part 12 : Découverte et services globaux
● OPC 10000-21 : UA Part 21 : Intégration des appareils
● Protocole BRSKI (RFC 8995) : Démarrage des infrastructures de clés sécurisées à distance (BRSKI)
● Protocole EST over Coap
● Recommandation GSMA-IoT
Ces normes et réglementations en sont à différents stades. Il appartiendra ensuite aux fournisseurs de mettre en œuvre leur fonctionnalité.

Identité des appareils : Là où commence le cycle de vie de confiance. Il n’en reste pas moins que les normes et les réglementations industrielles peuvent totalement échouer si elles n’ont pas un objectif commun : la confiance. Celle-ci doit être établie entre le fabricant de l’appareil, l’intégrateur et l’opérateur.

Alors, comment les entreprises industrielles peuvent-elles proposer des appareils de confiance ? Réponse : avec la norme IEEE 802.1AR qui définit une identité d’appareil standard. Elle constitue la base de toutes les fonctions et caractéristiques à venir, notamment via la mise à disposition sécurisée des appareils, le démarrage sécurisé, la mise à jour sécurisée du logiciel ou la communication sécurisée.
Les entreprises doivent se rassurer, les normes et recommandations ont été extrêmement cadrées pour faciliter leur mise en place. En effet, les solutions de sécurité cryptographiques ont été pensées pour s’intégrer en toute simplicité sans perturber l’environnement industriel/OT ni impacter les processus de fabrication mais surtout sans avoir à transformer un environnement OT en IT avec des compétences PKI.