Comment PAM permet la mise en œuvre de la norme IEC 62443

La norme CEI 62443 est un ensemble tentaculaire et très complexe de normes de cybersécurité répondant aux besoins spécifiques des systèmes industriels d’automatisation et de contrôle (IACS). Elle couvre tout le spectre de la sécurité, de l’analyse des risques à la définition et à la mise en œuvre de politiques de sécurité pour les IACS. Comme pour la plupart des normes de sécurité, les questions de contrôle d’accès des utilisateurs et de gestion des identités sont essentielles à la réussite. En particulier, une organisation cherchant à être certifiée conforme à la norme CEI 62443 doit se pencher sur la question de la gestion des accès privilégiés (PAM). La PAM concerne les utilisateurs administratifs, ou privilégiés, qui peuvent configurer ou modifier les éléments IACS sécurisés par la norme.

Qu’est-ce que la CEI 62443 ?

Il est un peu trompeur d’appeler la CEI 62443 une norme. Il s’agit en fait d’une bibliothèque de règles et de normes connexes provenant d’entités telles que l’American National Standards Institute (ANSI) et l’International Standards and Auditing (ISA). La CEI 62443 est publiée par la vénérable Commission électrotechnique internationale (CEI), qui promulgue des normes pour les produits électriques et électroniques depuis 1906. (Elle nous a littéralement donné la norme Hertz !) Un certain nombre d’organismes de certification internationaux ont mis en place des programmes de certification CEI 62443. Chaque organisme définit son propre schéma sur la base des normes et procédures référencées.

La norme IEC 62443 est une bibliothèque de règles et de normes connectées pour la sécurité des systèmes industriels d’automatisation et de contrôle (IACS).

Les éléments de la norme CEI 62443 sont destinés à être multisectoriels par nature et à répertorier les méthodes et techniques de protection de la cybersécurité. Il existe des dizaines de sous-règles et de composants. À un niveau élevé, les éléments suivants sont pertinents pour comprendre la CEI et le contrôle d’accès :

Groupe de normes	Éléments
Politiques et procédures – associées à la sécurité du SIGC.	62443-2-1 – ce qui est nécessaire pour définir et mettre en œuvre un système efficace de gestion de la cybersécurité du SIGC. 62443-2-2 – conseils sur les exigences à respecter pour mettre en œuvre un système efficace de gestion de la cybersécurité dans le cadre du SIGC. 62443-2-3-guide sur le sujet spécifique de la gestion des correctifs pour le SIGC. 62443-2-4 – Exigences pour les fournisseurs du SIGC.
Exigences du système – traiter les exigences au niveau du système.	62443-3-1 – l’application de diverses technologies de sécurité à un environnement IACS. 62443-3-2 – évaluation des risques de sécurité et conception de systèmes pour le SIGC. 62443-3-3-exigences de sécurité des systèmes fondamentaux et niveaux d’assurance de la sécurité.

Source : Série de normes 62443, publiée par l’ISA, décembre 2016

Comprendre la gestion des accès privilégiés (PAM)

L’une des meilleures façons de mettre en œuvre les normes IEC est d’utiliser une solution PAM pour maintenir un contrôle total sur l’accès aux données et aux systèmes les plus critiques.

Les utilisateurs privilégiés ont la permission (ou le privilège, pourrions-nous dire) d’accéder aux contrôles administratifs d’un système particulier. Ils sont également appelés utilisateurs administratifs ou « root ». Ils peuvent être en mesure de créer, de modifier ou de supprimer d’autres comptes d’utilisateurs. Souvent, ils peuvent accéder aux données ou les modifier. Dans certains cas, ils peuvent modifier la configuration du système ou le désinstaller complètement.

Les utilisateurs privilégiés mal gérés présentent de nombreux risques pour la sécurité. Si un pirate informatique se fait passer pour un utilisateur privilégié, par exemple, il peut causer des ravages dans les SIGC. Pour atténuer ces risques, les solutions PAM offrent un moyen sécurisé et rationalisé d’autoriser et de contrôler tous les utilisateurs privilégiés.

Les solutions PAM comme WALLIX accordent et révoquent des droits d’accès privilégiés. Elles peuvent servir d’intermédiaire entre les utilisateurs privilégiés et les systèmes qu’ils gèrent. De cette manière, l’utilisateur privilégié n’a pas d’accès direct au backend. Avec certaines solutions, comme WALLIX, l’utilisateur privilégié ne connaît même pas le mot de passe de l’IACS qu’il administre. Cela réduit le risque d’une annulation manuelle. Dans les environnements industriels, une dérogation manuelle représente une menace sérieuse.

PAM fournit les capacités dont les organisations ont besoin pour limiter et contrôler l’accès aux systèmes critiques.

Mise en correspondance de la norme IEC 62443 avec la norme PAM

La PAM offre une approche optimale pour la mise en œuvre de plusieurs éléments de la norme IEC 62443. Les normes peuvent être un peu écrasantes, c’est pourquoi le tableau les énumère et les fait correspondre à des parties familières du cadre de cybersécurité du NIST.

L’alignement de la PAM sur la CEI 62443 se fait en référence aux contrôles d’accès, qui font l’objet des normes NIST PR.AC : L’accès aux actifs et aux installations associées est limité aux utilisateurs, processus ou dispositifs autorisés, ainsi qu’aux activités et transactions autorisées.

Partie pertinente du cadre de cybersécurité du NIST	Élément correspondant de la norme IEC/ISA 62433	Rôle de l’APM dans la mise en œuvre
PR.AC-1 : Les identités et les informations d’identification sont gérées pour les appareils et les utilisateurs autorisés.	ISA 62443-2-1:2009 4.3.3.5.1 – Les comptes d’accès [and] mettent en œuvre la politique d’autorisation – « Les privilèges d’accès mis en œuvre pour les comptes d’accès doivent être établis conformément à la politique de sécurité des autorisations de l’organisation (4.3.3.7.1). »	La solution PAM est en mesure de définir et d’appliquer la politique de sécurité en matière d’autorisation dans plusieurs backends administratifs du SIGC.
	ISA 62443-2-1:2009 4.3.3.7.1 – Définir une politique de sécurité des autorisations	La solution PAM peut servir de référentiel de la politique de sécurité des autorisations pour tous les SIGC d’une installation industrielle.
	ISA 62443-3-3:2013 (Sécurité des systèmes de commande et d’automatisation industriels – Partie 3-3 : Exigences de sécurité du système et niveaux de sécurité) SR 1.1 – Identification et authentification de l’utilisateur humain – « Le système de commande doit permettre d’identifier et d’authentifier tous les utilisateurs humains. Cette capacité doit imposer une telle identification et une telle authentification sur toutes les interfaces qui permettent à des utilisateurs humains d’accéder au système de contrôle pour soutenir la séparation des tâches et le moindre privilège conformément aux politiques et procédures de sécurité de l’application. »	Le « moindre privilège » est un concept PAM. La solution PAM peut accorder ou révoquer des privilèges à des utilisateurs spécifiques, en veillant à ce que chaque utilisateur ait le « moindre privilège » conformément à la politique.
	ISA 62443-3-3:2013 SR 1.3 – Gestion des comptes – « Le système de contrôle doit permettre la gestion de tous les comptes par les utilisateurs autorisés, y compris l’ajout, l’activation, la modification, la désactivation et la suppression de comptes. »	Dans le cadre de cet élément, chaque système de contrôle est censé prendre en charge la gestion de tous les comptes des utilisateurs autorisés et des utilisateurs privilégiés. Cela n’est pas pratique dans un environnement comportant plusieurs SIGC. PAM peut fournir un point de gestion unique pour tous les utilisateurs privilégiés affectant tous les SIGC.
	ISA 62443-3-3:2013 SR 1.4 – Gestion des identifiants – Le système de contrôle doit permettre la gestion des identifiants par utilisateur, groupe, rôle ou interface du système de contrôle ».	PAM peut gérer l’accès privilégié en fonction de l’utilisateur, du groupe ou du rôle.
	ISA 62443-3-3:2013 SR 1.5 – Gestion des authentifiants – « Le système de contrôle doit permettre de … changer/rafraîchir tous les authentifiants ; et de protéger tous les authentifiants contre toute divulgation ou modification non autorisée lorsqu’ils sont stockés et transmis. »	PAM permet aux administrateurs IACS de disposer d’un point de contrôle unique sur tous les authentifiants utilisés par les utilisateurs privilégiés. Il peut protéger les authentificateurs contre la divulgation et la modification non autorisées.
	ISA 62443-2-1:2009 4.3.3.3.8 – Établir des procédures de surveillance et d’alerte	La surveillance et l’alerte sont des fonctions essentielles de la plupart des solutions PAM, qui permettent aux administrateurs d’être informés des violations éventuelles des politiques relatives aux comptes à privilèges.
PR.AC-3 : L’accès à distance est géré	ISA 62443-2-1:2009 4.3.3.6.6 – Élaborer une politique pour les connexions à distance.	L’accès à distance est un risque pour les comptes privilégiés. Les usurpateurs de l’identité des utilisateurs privilégiés tentent souvent de se connecter à distance pour mener des actions malveillantes. PAM peut atténuer ce risque.
	ISA 62443-3-3:2013 SR 1.13 – Accès via des réseaux non fiables – « Le système de contrôle doit permettre de surveiller et de contrôler toutes les méthodes d’accès au système de contrôle via des réseaux non fiables. »	PAM peut surveiller les sessions de comptes privilégiés, suivre et enregistrer les détails de l’accès au réseau.
	ISA 62443-3-3:2013 SR 2.6 – Fin de session à distance – « Le système de commande doit permettre de mettre fin à une session à distance soit automatiquement après une période d’inactivité configurable, soit manuellement par l’utilisateur qui a lancé la session. »	De nombreuses solutions PAM peuvent exécuter des flux de travail prédéfinis sur la base d’alertes. Par exemple, si la solution PAM détecte une activité non autorisée, elle peut être configurée pour mettre fin à la session du compte privilégié.
PR.AC-4 : Les autorisations d’accès sont gérées en tenant compte des principes du moindre privilège et de la séparation des tâches.	ISA 62443-2-1:2009 4.3.3.7.3 – Établir des méthodes d’autorisation logique et physique appropriées pour accéder aux dispositifs IACS.	L’accès aux appareils physiques constitue une surface d’attaque pour les attaquants qui se font passer pour des utilisateurs privilégiés. Si l’attaquant peut se connecter localement à un appareil, il peut souvent contourner les politiques d’utilisation des comptes privilégiés. PAM réduit ce risque en interdisant à l’utilisateur privilégié de connaître le mot de passe de l’appareil physique.
	ISA 62443-3-3:2013 SR 2.1 – Application des autorisations – « Sur toutes les interfaces, le système de contrôle doit permettre d’appliquer les autorisations attribuées à tous les utilisateurs humains pour contrôler l’utilisation du système de contrôle afin de prendre en charge la séparation des tâches et le moindre privilège. »	La PAM fournit une solution globale pour la séparation des tâches et la limitation des privilèges, une approche plus efficace et plus sûre que d’essayer de faire en sorte que l’interface de chaque SIGC accomplisse cette tâche.

Mise en œuvre de PAM pour la sécurité ICS

Les solutions PAM peuvent rationaliser le processus de certification selon la norme IEC 62443. Cela est vrai à la fois en termes directs et indirects. Comme le montre le tableau, un certain nombre d’éléments clés de la norme IEC 62443 sont directement liés au contrôle d’accès et à la protection des comptes à privilèges. Indirectement, une solution PAM solide souligne la capacité d’une organisation à se conformer aux contrôles plus larges de la norme IEC 62443. Par exemple, avec une solution PAM en place, il devient plus facile de suivre la gestion des correctifs et l’évaluation des risques – ces deux domaines dépendent de la connaissance de qui fait quoi. C’est la raison d’être de WALLIX.

Pour en savoir plus sur la solution WALLIX PAM

Demandez-nous des informations sur la norme IEC 62443

Contactez nous

Contenu connexe

Février 12, 2025

Exploiter l’authentification multi-facteurs (MFA), le Single Sign On et les coffres-forts d’entreprise pour construire des offres MSP

Ressources connexes

Décembre 2, 2024

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.