Projet de norme relative à la protection contre la corruption

Au cours de l'été 2024, le comité technique 44X (Sécurité des machines et des installations : aspects électrotechniques) du CENELEC a entamé les travaux relatifs à une norme harmonisée prEN 50742 (Sécurité des machines – Protection contre la corruption) afin de couvrir les sections 1.1.9. et 1.2.1. correspondantes du règlement machines 2023/1230.¹

Le projet de normalisation en est actuellement à la phase de consultation. Le projet de norme correspondant, soumis à consultation publique, a été publié par Austrian Standards le 15 janvier 2026. Les commentaires sur ce document pouvaient être transmis par l'intermédiaire des instituts nationaux de normalisation jusqu'au 15 février 2026.

Selon le calendrier du projet du CEN/CENELEC, la publication de la norme finale est prévue au plus tôt en mars 2026. Une publication au Journal officiel de l'UE conformément au règlement machines est alors attendue, dans l'idéal, avant janvier 2027. Cependant, le projet de norme n'ayant été publié qu'au début de l'année 2026, une publication d'ici la fin de l'année 2026 semble plus réaliste.
 

La section 1.1.9 de l'annexe III du nouveau règlement machines 2023/1230 définit les exigences en matière de protection contre les interférences, ou plus précisément, selon le libellé, contre la « corruption » (Protection against corruption). Le législateur exige ici que ni la connexion d'un appareil (c'est-à-dire toutes les interfaces et connexions avec d'autres équipements), ni la connexion avec des « appareils distants », c'est-à-dire via Internet, ne puisse entraîner de situations dangereuses.

La norme prEN 50742 précise ces exigences. Son objectif n’est pas de définir la sécurité informatique en général, mais de garantir que les fonctions de commande – en particulier les fonctions de sécurité – d’une machine ne puissent pas être compromises par des interventions externes non autorisées.

La publication de la prEN 50742 établit pour la première fois un cadre normatif pour la protection des machines contre les manipulations ayant une incidence sur la sécurité (corruption). La norme indique une voie pour satisfaire aux exigences de l'annexe III, points 1.1.9 « Protection contre la corruption » et 1.2.1 « Sécurité et fiabilité des systèmes de commande » du règlement machines (UE) 2023/1230.

La prEN 50742 examine comment les manipulations des logiciels, des données et des interfaces peuvent compromettre l'efficacité des mesures de protection. Il apparaît clairement que l'accent n'est pas mis sur de nouveaux phénomènes dangereux, mais sur le maintien de l'efficacité des fonctions de sécurité déjà identifiées tout au long du cycle de vie de la machine.
 

La norme s'applique généralement aux :

• machines, produits liés à la sécurité et quasi-machines
• matériel, logiciels et données, dans la mesure où ils ont une incidence sur la sécurité

Elle vise en outre à couvrir toutes les phases du cycle de vie, notamment la conception, la fabrication, la mise en service, l'exploitation, la maintenance et la mise hors service.

Toutes les interfaces sont concernées, notamment :

• les réseaux (bus de terrain, Ethernet, Wi-Fi)
• les interfaces de service et d'ingénierie (USB, cartes SD)
• les accès à distance et les connexions au cloud

La norme ne s'applique pas aux machines mises en service avant la publication de la norme EN 50742.
 

Cette démarche repose sur une appréciation dynamique du risque qui accompagne l'ensemble du cycle de vie de la machine. Cette approche fondée sur les risques s'articule autour d'un modèle en trois étapes.

Cette démarche repose sur une appréciation dynamique du risque qui accompagne l'ensemble du cycle de vie de la machine. Cette approche fondée sur les risques s'articule autour d'un modèle en trois étapes. 

1. Identification des actifs critiques 

Au cours de cette phase initiale, l'accent est mis sur une analyse globale du système de commande de la machine afin d'identifier les composants dont la manipulation aurait des répercussions directes sur la sécurité fonctionnelle (Safety). L'analyse se concentre sur les logiciels liés à la sécurité, la communication entre les capteurs et les actionneurs, ainsi que toutes les interfaces physiques et numériques, par exemple pour la maintenance à distance ou la connexion au cloud. Ce n’est qu’après avoir délimité les éléments à protéger qu’il est possible de développer une stratégie de sécurité parfaitement adaptée à la machine concernée et donc efficace. 

2. Analyse des menaces et évaluation de la probabilité de compromission 

La deuxième étape, l’analyse des menaces, se concentre sur l’interaction entre les vulnérabilités potentielles et les facteurs de menace actifs. Au cours de cette phase, on examine systématiquement par quels vecteurs – tels que les interfaces physiques ou les accès réseau – une manipulation des actifs critiques préalablement identifiés pourrait avoir lieu. On détermine alors les chances de succès d'une attaque en comparant les compétences des attaquants potentiels à l'effort nécessaire pour mener à bien une manipulation. Cela permet également d'intégrer en permanence les nouvelles menaces et les méthodes d'attaque actuelles dans l'évaluation. 

3. Détermination du niveau de sécurité requis (SL) 

Enfin, l’évaluation finale des risques synthétise les conclusions issues de l’identification des actifs et de l’analyse des menaces. C’est au cours de cette phase qu’intervient la mise en balance décisive entre la gravité d’un dommage physique potentiel et la probabilité d’une manipulation numérique réussie. L'objectif est de définir un niveau de sécurité approprié, dans lequel la robustesse des barrières numériques augmente proportionnellement au phénomène dangereux pour les personnes et l'environnement. Cette approche garantit que la cyber-résilience s'harmonise avec les exigences de sécurité fonctionnelle. Il en résulte un profil d'exigences qui non seulement guide la conception technique, mais fournit également la base documentaire nécessaire à la preuve de conformité dans le cadre du règlement machines. 

À cette fin, la norme s'appuie sur le SRSL (Safety-Related Security Level) et définit ses niveaux, allant de SRSL0 (faible sécurité, pour les réseaux totalement isolés) à SRSL3 (potentiel d'attaque important ou critique, c'est-à-dire une attaque hautement probable ou quasi certaine). 
 

La norme prEN 50742 sert de trait d'union entre les normes. Elle combine l'appréciation du risque éprouvée de la norme EN ISO 12100 (sécurité des machines) avec les concepts de sécurité de la norme CEI 62443 (systèmes de contrôle industriels). L'interaction avec la norme EN ISO 12100 est résumée dans le tableau suivant :

Une caractéristique essentielle de la prEN 50742 réside dans son ouverture méthodologique : la norme propose des exigences spécifiques, adaptées à la construction mécanique, concernant le processus et le produit (approche A). Elle laisse toutefois aux fabricants la liberté d’utiliser à la place la série de normes établie IEC 62443 (approche B). Si les parties pertinentes de cette norme internationale sont appliquées de manière cohérente, la prEN 50742 reconnaît cela comme une voie équivalente pour atteindre les objectifs de protection.

Voici comment cela se présente en détail :

Approche A – approche spécifique aux machines

Cette approche s’adresse aux fabricants qui n’appliquent pas intégralement la norme IEC 62443 et repose sur une analyse des menaces spécifique au fabricant, conformément à la norme EN ISO 12100, à partir de laquelle des mesures de protection techniques et organisationnelles ciblées sont définies.

Pour chaque fonction liée à la sécurité, un niveau de sécurité lié à la sécurité (SRSL) est ensuite défini afin de déterminer de manière traçable et cohérente le niveau de protection requis. Il en résulte une approche structurée mais pragmatique permettant de traiter systématiquement les cyberrisques dès le niveau de la machine.

Approche B – Approche basée sur la norme IEC 62443

Les fabricants disposant de processus de cybersécurité industrielle bien établis peuvent s’appuyer directement sur la famille de normes IEC 62443. Les processus de développement conformes à la norme IEC 62443-4-1 sont alors mis en œuvre et associés aux exigences système de la norme IEC 62443-3-3.

En complément, les exigences relatives aux composants selon la norme IEC 62443-4-2 sont appliquées afin de garantir de manière cohérente les propriétés de sécurité à tous les niveaux. Cette approche permet une mise en œuvre holistique et conforme aux normes de la cybersécurité tout au long du cycle de vie des machines, des systèmes et des composants.
 

La norme suit également le principe de la défense en profondeur (Defense in Depth). Comme il n'existe pas de sécurité absolue contre la corruption numérique, il est nécessaire de mettre en place plusieurs barrières successives. Celles-ci peuvent être classées en trois catégories :

1. Renforcement de la sécurité du système et contrôle d'accès

La première ligne de défense se concentre sur la réduction de la surface d'attaque et la désactivation des services inutilisés : seuls les ports et services strictement nécessaires à la communication doivent être actifs. Tout le reste représente un risque inutile. Authentification forte : l'accès aux paramètres liés à la sécurité (par exemple, les valeurs limites de régime moteur ou la pression maximale) doit être protégé par des procédures sécurisées. Cela empêche des personnes non autorisées – ou des logiciels malveillants – de manipuler des configurations ayant une influence directe sur la sécurité fonctionnelle.

2. Protection de l'intégrité des communications

Les machines modernes étant souvent de conception modulaire, l'échange de données entre les composants est un élément critique. Authenticité des données : il faut s’assurer que les commandes de contrôle proviennent bien de la source autorisée et n’ont pas été injectées par un « intermédiaire ». Protection de l’intégrité : des procédés cryptographiques (tels que les sommes de contrôle ou les signatures numériques) permettent de détecter si des paquets de données ont été manipulés pendant la transmission. Dès qu’une anomalie est détectée dans l’intégrité des données du système de commande de sécurité, la machine doit passer en mode sécurisé.

3. Protection de l’intégrité logicielle et gestion des mises à jour

Une part importante de la « corruption » concerne la modification du code logiciel. Le démarrage sécurisé (Secure Boot) est un mécanisme qui garantit que la machine ne lance que des logiciels signés numériquement par le fabricant. Ainsi, le micrologiciel altéré n'a aucune chance d'être exécuté. Les processus de mise à jour sécurisés constituent un autre facteur : comme les failles de sécurité sont inévitables tout au long de la durée de vie d'une machine (souvent 20 ans et plus), la norme prEN 50742 définit des exigences relatives au processus de mise à jour. Les mises à jour doivent pouvoir être installées de manière à ce que la sécurité fonctionnelle soit garantie pendant et après l'opération.
 

Le règlement machines exige que « la machine ou le produit connexe identifient les logiciels installés sur ceux-ci dont ils ont besoin pour fonctionner en toute sécurité, et ils sont en mesure de fournir ces informations à tout moment sous une forme aisément accessible ».

La norme prEN 50742 définit des exigences claires en matière d'enregistrement des interventions sur les machines et les produits associés. L'objectif est de garantir une traçabilité compréhensible et fiable des modifications et des manipulations.

Les preuves numériques doivent être lisibles et accessibles. La documentation d'accompagnement doit décrire comment accéder aux enregistrements et comment les interpréter. Si des formats d'enregistrement binaires sont utilisés, ceux-ci doivent être documentés de manière à permettre à des tiers de développer un convertisseur permettant de rendre les données lisibles.
Si l'enregistrement numérique des interventions n'est pas raisonnablement possible, des preuves physiques (par exemple, la manipulation d'un sceau) doivent être prévues.

L'annexe A de la norme prEN 50742 cite, à titre indicatif, des normes de journalisation reconnues telles que le Common Log Format (CLF), Syslog, le format de fichier journal W3C étendu ainsi que le Common Event Format (CEF).
 

De tels exemples sont présentés à l'annexe B de la norme prEN 50742. Un tableau y présente l'attribution du niveau d'exposition d'une machine, l'évaluation des capacités d'un attaquant potentiel ainsi que l'évaluation du délai disponible. C'est sur cette base que s'effectuent l'évaluation du niveau d'exposition et la détermination du potentiel d'attaque.

Enfin, l'attribution des niveaux de gravité des risques de sécurité (SRSL) aux fonctions de sécurité respectives est définie en fonction du potentiel d'attaque. La présentation sous forme de tableau constitue ainsi la base de la réalisation d'une analyse structurée des menaces pesant sur la machine.
 

L'annexe C de la norme prEN 50742 décrit, à titre d'exemple, un processus structuré permettant de déterminer les contre-mesures appropriées et adéquates pour protéger les machines contre les manipulations, en s'appuyant sur l'exemple de deux machines. Cette approche est illustrée à l'aide de différents exemples de machines, l'accent étant mis sur la prévention de la falsification des fonctions de sécurité.

Afin d'établir un lien clair avec la pratique, l'annexe C contient des exemples concrets de machines, notamment une machine d'emballage et une grue de chargement télécommandée. Ces exemples montrent comment différents environnements d'utilisation influent sur le niveau de menace et quels sont les effets de l'exposition, des possibilités d'accès et des scénarios d'utilisation sur la protection requise.

L'annexe C aide les fabricants à définir les SRSL de manière systématique et traçable, à sélectionner des mesures de sécurité appropriées et à documenter de manière transparente les hypothèses relatives à l'utilisation et à l'environnement.

L'annexe C fournit ainsi les outils méthodologiques nécessaires pour analyser de manière structurée les menaces de manipulation et en déduire de manière fondée des mesures de protection pertinentes en matière de sécurité. D'autres exemples sont déjà en cours d'élaboration pour les futures versions de la norme.