""

[Replay] Cybersécurité et Règlement Machines : une obligation et un risque majeur

Face à l'explosion des cyberattaques ciblant les systèmes industriels et à l'imminente application du Nouveau Règlement Machines (UE) 2023/1230 imposant des normes de cybersécurité strictes, il est possible d'agir. Pour décrypter ces enjeux cruciaux et découvrir des solutions concrètes, nous vous invitons à visionner le webinaire Apave qui apporte des réponses précises aux préoccupations de ses clients.

La menace est réelle, croissante et spécifique à l'industrie

Ne sous-estimez pas le risque : des attaques historiques comme Stuxnet (via clé USB ), NotPetya ou Colonial Pipeline ont démontré les conséquences dévastatrices possibles : arrêts de production, bris de machines, pertes financières colossales, et mise en danger des personnes. 

Vos systèmes industriels (OT) sont différents de l'IT classique :

  • Contraintes temps réel, disponibilité 24/7, sûreté de fonctionnement. 
  • Longue durée de vie des équipements (10 à 40 ans) entraînant une superposition de technologies hétérogènes. 
  • Culture et langage propres aux automaticiens, électroniciens, différents de l'IT.
  • Mythes tenaces à déconstruire : Non, vos réseaux ne sont pas "isolés" (clés USB, maintenance...). Non, les protocoles "spéciaux" ne suffisent pas. Et oui, la sécurité peut être intégrée sans bloquer les opérations.  

Vos machines en première ligne : Surface d'attaque et impacts

Chaque machine connectée est un point d'entrée potentiel. Nos experts ont montré comment identifier la surface d'attaque : 

  • Accès physiques : Ports USB (utilisés pour Stuxnet ), connexion directe par câble Ethernet. 
  • Composants vulnérables : IHM, automates (PLC), RTU (Remote Terminal Units) permettant l'accès distant, fonctions de sécurité. 
  • Connexions réseau : Équipements en réseau, wifi (parfois ajouté via des "verrues" pour capter des données type TRS, créant des failles ), portails de maintenance à distance. 
  • Accès via l'IT : Souvent, l'attaque initiale se fait via le système IT avant de "rebondir" sur l'OT. 

Les impacts d'une cyberattaque dépassent le simple bug informatique :

  • Sécurité physique : Mise en danger des opérateurs (mouvements de machines inattendus pendant la maintenance, fuites dangereuses, défaillance des systèmes de sécurité ). 
  • Production : Blocage systèmes, arrêts de production, bris de machines. 
  • Qualité & Conformité : Risques de contamination (ex: HACCP en agroalimentaire ), corruption subtile de données (ex: modification de DLC), perte de traçabilité. 
  • Financier & Réputation : Pertes de marché, retards de livraison, dégradation de l'image.  

Nouveau Règlement machines (UE) 2023/1230 : Ce qui change pour la cyber

Objectif principal : Garantir que les machines restent sûres pour les opérateurs, y compris face aux cyber-risques. Il introduit des Exigences Essentielles de Santé et de Sécurité (EESS) spécifiques: 

  • Protection contre la corruption (intentionnelle ou accidentelle) : Une nouveauté clé est la prise en compte de l'intention de nuire, un changement d'approche par rapport à la directive précédente. Le système doit résister aux modifications logicielles non autorisées pouvant créer une situation dangereuse. 
  • Sécurité et fiabilité des systèmes de commande : S'assurer que les fonctions critiques ne peuvent être compromises. 
  • Interconnectivité et IA : Adresser les risques liés aux machines communiquant entre elles ou avec l'extérieur et celles utilisant l'IA (avec exigence de traçabilité des décisions de l'IA ).
  • Traçabilité : Obligation d'enregistrer les interventions et modifications logicielles (y compris IA) sur une durée de 5 ans. La gestion de ce journal est cruciale mais le règlement ne prescrit pas la méthode.  

 ATTENTION

Le corpus de normes harmonisées pour l'auto-certification n'est pas encore prêt, rendant l'évaluation de conformité plus complexe. Les composants eux-mêmes sont soumis au Cyber Resilience Act (CRA), mais leur intégration correcte reste votre responsabilité.

Replay du webinaire : Ce que vous allez apprendre concrètement

Accédez au replay pour maîtriser ces enjeux :

  • État réel de la menace cyber industrielle (stats 2024/25, exemples concrets).
  • Les spécificités IT/OT et pourquoi les mythes courants sont dangereux.
  • Comment cartographier la surface d'attaque de vos machines (IHM, PLC, RTU, accès distants...).
  • Les impacts détaillés d'une cyberattaque (sécurité physique, production, qualité, conformité...).
  • Le décryptage précis des exigences cyber du Règlement (UE) 2023/1230 (corruption intentionnelle, traçabilité 5 ans, IA...).
  • Comment l'analyse de risque cyber diffère de l'approche sécurité machine classique (notion de vraisemblance d'attaque, malveillance).
  • Transformer cette contrainte réglementaire en une opportunité pour une cybersécurité globale.
  • Votre responsabilité en tant que fabricant (analyse de risque, notice) et utilisateur (obligation de sécurité même sur parc existant).
  • Les clés pour aborder la conformité (normes IEC 62443, ISO 27001, NIS2, méthodologie EBIOS ). 

L'expertise combinée Apave et Oppida à votre service

Profitez de l'alliance unique d'Apave (leader en sécurité des machines et conformité) et d'Oppida (sa filiale experte en cybersécurité OT) pour une vision 360°. 

Nous vous aidons à :

  • Identifier et analyser vos risques cyber spécifiques (méthodologie EBIOS). 
  • Auditer vos architectures et réaliser des tests d'intrusion. 
  • Renforcer la robustesse de votre SI industriel (préconisations techniques, logicielles, voire physiques ). 
  • Assurer votre conformité réglementaire (Règlement Machines, NIS2, CRA...) et normative (IEC 62443, ISO 27001...).  
Demander un échange avec nos experts

  • Quelles normes harmonisées relatives à la cybersécurité sont attendues pour le Règlement Machines ?

    Actuellement, une norme harmonisée spécifique à la cybersécurité pour les machines (norme de type B) est en cours d'élaboration sous la référence probable EN 50742. Ce projet n'est pas encore finalisé. Certaines normes de type C (spécifiques à un type de machine, comme les robots via l'ISO 10218-2) commencent à introduire la notion de risque cyber, mais renvoient souvent à des normes génériques, rendant l'application des solutions complexe. En l'absence de normes harmonisées finalisées, l'évaluation de la conformité repose sur l'analyse de risque du fabricant et le respect des exigences essentielles du Règlement.

  • Comment garantir l'intégrité du journal de suivi des modifications (exigé sur 5 ans) une fois la machine livrée à l'utilisateur ? Faut-il en bloquer l'accès ?

    Le Règlement Machines exige la traçabilité des modifications logicielles pendant 5 ans, mais ne prescrit pas la méthode technique pour garantir l'intégrité de ce journal. Le fabricant doit donc choisir une solution adaptée. Le journal de suivi des modifications, pour garantir son intégrité devrait être verrouillé en modification et suppression par les utilisateurs. L'historique sert de preuve et protège le fabricant en documentant les changements intervenus après la mise en service. L'objectif principal reste d'empêcher qu'une corruption (du système ou du journal) n'entraîne un risque pour la sécurité.

  • En tant que fabricant de machines intégrant des composants connectés (automates, switchs...), dois-je informer mes clients des vulnérabilités de ces composants ? Si oui, comment et pendant combien de temps ?

    Le fabricant de la machine est responsable de réaliser sa propre analyse de risque cyber, en tenant compte des composants intégrés. Cette analyse évalue la criticité des failles potentielles dans le contexte d'utilisation de la machine. Les vulnérabilités connues doivent être intégrées dans ce processus. Le fabricant n'a pas l'obligation de lister exhaustivement les vulnérabilités des composants au client final, mais doit fournir dans la notice d'instruction les informations et préconisations nécessaires pour que l'utilisateur maintienne le niveau de sécurité cyber prévu (bonnes pratiques, mises à jour, etc.). La communication sur les vulnérabilités découvertes après la vente doit être gérée dans le cadre du suivi post-commercialisation.

  • Existera-t-il un logiciel, équivalent à SISTEMA pour la sécurité fonctionnelle, permettant d'évaluer le niveau de sécurité cyber d'un composant ou d'une machine ?

    À ce jour, il n'existe pas de logiciel standardisé équivalent à SISTEMA pour quantifier directement le niveau de sécurité cyber d'un composant ou d'une fonction. Les normes actuelles de sécurité fonctionnelle (comme l'ISO 13849-1 avec le CCF, ou l'IEC 62061 avec les calculs SIL) intègrent la cybersécurité de manière qualitative ou via des "recettes" générales, sans outil de calcul dédié. L'évaluation du niveau de sécurité repose sur des analyses de risques, des audits, des tests d'intrusion et l'application de normes et bonnes pratiques (ex: IEC 62443), une expertise que possède Apave et sa filiale Oppida.

  • Le nouveau Règlement Machines s'appliquera-t-il de manière rétroactive aux machines déjà en service ?

    Le nouveau Règlement Machines s'appliquera-t-il de manière rétroactive aux machines déjà en service ?
    Non, le Règlement Machines 2023/1230 ne s'applique pas rétroactivement aux machines légalement mises sur le marché avant son entrée en vigueur le 20 janvier 2027. Cependant, l'exploitant d'une machine (l'employeur) reste tenu par le Code du Travail de garantir la sécurité de ses salariés. Si une machine existante présente un risque cyber connu pouvant entraîner un accident du travail, l'employeur a l'obligation d'identifier, évaluer et maîtriser ce risque par des mesures appropriées, indépendamment de la date de mise sur le marché de la machine.

  • Le fabricant doit-il fournir son analyse de risque cyber à l'utilisateur, par exemple dans le Dossier d'Ouvrage Exécuté (DOE) ?

    Non, l'analyse de risque et l'ensemble du dossier technique appartiennent au fabricant et constituent la preuve de sa démarche de conception sécurisée. Le fabricant n'a pas l'obligation réglementaire de fournir ce dossier technique complet à l'utilisateur final. Il doit le tenir à disposition des autorités de surveillance du marché. En revanche, la notice d'instruction, qui doit être fournie à l'utilisateur, doit contenir toutes les informations nécessaires à une utilisation sûre, incluant désormais les aspects liés à la cybersécurité (mesures mises en place, consignes d'utilisation et de maintenance pour préserver la sécurité cyber). La fourniture de l'analyse de risque peut cependant être une exigence contractuelle spécifique entre le client et le fournisseur.

  • Les mises à jour logicielles (automates, variateurs...) effectuées par l'utilisateur final remettent-elles en cause la conformité ou le Niveau de Performance (PL) initial de la machine ?

    Les mises à jour effectuées par l'utilisateur sont autorisées. Cependant, la responsabilité de leur impact dépend de la nature de la mise à jour. Le fabricant de la machine doit intégrer des composants ayant une aptitude à résister aux risques cyber (conformité au Cyber Resilience Act - CRA pour les composants) et fournir des instructions pour leur intégration et leur maintenance.

    Si l'utilisateur applique une mise à jour (fournie par le fabricant du composant ou de la machine) conformément aux instructions, la conformité initiale est préservée. Si l'utilisateur effectue une modification logicielle non prévue, qui impacte les fonctions de sécurité ou crée de nouveaux risques, il peut être considéré comme effectuant une modification substantielle et endosser alors la responsabilité de fabricant pour cette modification. Toute modification logicielle sur un système gérant des fonctions de sécurité doit être enregistrée dans le journal de suivi.

Les eWorkshops

à venir