Conformité & normes IoT¶
Naviguer dans le paysage réglementaire IoT industriel — comprendre les exigences, les niveaux de certification, et les obligations légales pour mettre sur le marché des produits conformes.
Panorama normatif IoT¶
Le paysage normatif IoT est fragmenté selon les secteurs et les géographies. Une même gateway industrielle peut être soumise simultanément à l'IEC 62443 (secteur industriel), l'ETSI EN 303 645 (mise sur marché UE), et la RGPD (traitement de données personnelles). Comprendre quelle norme s'applique et à quel niveau est la première étape de tout programme de conformité.
graph TB
subgraph INDUSTRIE["Secteur industriel / OT"]
IEC["IEC 62443\nSécurité systèmes industriels\n(ISA-99)"]
NERC["NERC CIP\nInfrastructures électriques\n(Amérique du Nord)"]
IEC62351["IEC 62351\nSécurité communications\nénergie électrique"]
end
subgraph CONSUMER["Produits grand public / IoT"]
ETSI["ETSI EN 303 645\nSécurité IoT consommateur\n(base EU Cyber Resilience Act)"]
UKCA["UKCA / PSTI Act\nRoyaume-Uni\n(post-Brexit)"]
MATTER["Matter / CSA\nProtocole smart home\n(sécurité intégrée)"]
end
subgraph FRAMEWORK["Frameworks & guidelines"]
NIST["NISTIR 8259A\nCapacités cybersécurité\ndispositifs IoT (US)"]
ENISA["ENISA IoT Guidelines\nBonnes pratiques EU"]
OWASP["OWASP ISVS\nIoT Security\nVerification Standard"]
end
subgraph LEGAL["Obligations légales"]
RGPD["RGPD / GDPR\nDonnées personnelles\n(UE)"]
CRA["EU Cyber Resilience Act\n(applicable 2027)\nExigences sécurité CE"]
CE["Marquage CE\nDirective RED\n(radio equipment)"]
end
INDUSTRIE --> FRAMEWORK
CONSUMER --> LEGAL
FRAMEWORK -.->|"référencé par"| LEGALIEC 62443 — Sécurité des systèmes d'automatisation industrielle¶
L'IEC 62443 (anciennement ISA-99) est la norme de référence pour la cybersécurité des systèmes industriels (IACS — Industrial Automation and Control Systems). Elle s'applique aux réseaux OT, aux automates, aux SCADA, et aux composants IoT industriels.
Structure de la norme¶
| Partie | Titre | Contenu |
|---|---|---|
| 2-1 | Exigences pour le CSMS | Programme de gestion de la sécurité (processus) |
| 2-4 | Exigences fournisseurs de services | Intégrateurs et prestataires de services |
| 3-2 | Évaluation des risques de sécurité | Méthodologie d'analyse de risques |
| 3-3 | Exigences de sécurité système | Exigences SR par niveau SL |
| 4-1 | Exigences cycle de vie produit | Développement sécurisé (Secure by Design) |
| 4-2 | Exigences techniques pour composants | Composants individuels (devices IoT) |
Niveaux de sécurité (Security Levels — SL)¶
| Niveau | Nom | Protection contre | Exemple d'application |
|---|---|---|---|
| SL 0 | Aucun | Aucune exigence spécifique | Prototypage, lab |
| SL 1 | Protection basique | Violation non intentionnelle (erreur humaine) | Bureau, environnement bénin |
| SL 2 | Protection modérée | Attaque intentionnelle avec moyens faibles | Site industriel standard |
| SL 3 | Protection avancée | Attaque sophistiquée avec moyens importants | Infrastructure critique |
| SL 4 | Protection maximale | Attaque état-nation, moyens illimités | Nucléaire, défense |
Zones et conduits (Zones & Conduits)¶
Le concept central d'IEC 62443 est la décomposition du système en zones (groupes d'actifs avec même niveau de sécurité) et conduits (chemins de communication entre zones) :
graph LR
subgraph Z3["Zone SL3\nSystèmes de sécurité SIS"]
SIS["Safety Instrumented\nSystem"]
end
subgraph Z2["Zone SL2\nContrôle de production"]
PLC1["PLC ligne 1"]
PLC2["PLC ligne 2"]
end
subgraph Z1["Zone SL1\nSupervision opérateur"]
HMI["HMI"]
HIST["Historian"]
end
subgraph Z0["Zone SL2\nIoT terrain"]
IOT1["Capteurs IoT"]
GW["Gateway"]
end
Z0 -->|"Conduit C1\nMQTT+mTLS\nFirewall + DPI"| Z2
Z2 -->|"Conduit C2\nOPC-UA\nFirewall + inspection"| Z1
Z1 -->|"Conduit C3\nRead-only\nData diode"| Z3
style Z3 fill:#b71c1c,color:#fff
style Z2 fill:#e53935,color:#fff
style Z1 fill:#ef9a9a
style Z0 fill:#ffcdd2Exigences fondamentales (Foundational Requirements — FR)¶
L'IEC 62443-3-3 définit 7 familles d'exigences applicables aux zones :
| FR | Famille | Exemples d'exigences |
|---|---|---|
| FR 1 | Identification et authentification | Identité unique device, mTLS, MFA opérateurs |
| FR 2 | Contrôle d'usage | Least privilege, séparation des rôles |
| FR 3 | Intégrité du système | Vérification firmware, audit trail |
| FR 4 | Confidentialité des données | Chiffrement en transit et au repos |
| FR 5 | Flux de données restreints | Segmentation, conduits avec contrôle |
| FR 6 | Réponse aux événements | Détection, journalisation, incident response |
| FR 7 | Disponibilité des ressources | Résilience, redondance, DoS protection |
ETSI EN 303 645 — Sécurité IoT consommateur¶
L'ETSI EN 303 645 est la norme européenne de référence pour la sécurité des devices IoT grand public. Elle est la base technique du EU Cyber Résilience Act (CRA), applicable en 2027, et du marquage CE pour les produits radio (Directive RED).
Les 13 provisions¶
| # | Provision | Exigence clé |
|---|---|---|
| 5.1 | Pas de mots de passe universels par défaut | Password unique par device ou activation forcée |
| 5.2 | Gestion des rapports de vulnérabilités | Contact de divulgation public + politique |
| 5.3 | Mises à jour logicielles | Mécanisme de mise à jour sécurisé (signé) |
| 5.4 | Stockage sécurisé des données sensibles | Chiffrement des données au repos |
| 5.5 | Communications sécurisées | TLS/DTLS, pas de protocoles dépréciés |
| 5.6 | Surface d'attaque minimale | Ports/services fermés par défaut |
| 5.7 | Intégrité du logiciel | Vérification boot, mises à jour signées |
| 5.8 | Protection des données personnelles | Conformité RGPD, consentement |
| 5.9 | Résilience aux interruptions | Comportement sûr lors de perte réseau |
| 5.10 | Données de télémétrie examinées | Examen de la collecte de données |
| 5.11 | Possibilité de suppression des données | Factory reset, portabilité |
| 5.12 | Installation et maintenance facilitées | UX sécurité accessible aux non-experts |
| 5.13 | Validation des données entrantes | Validation des inputs, protection injection |
La conformité ETSI EN 303 645 est vérifiable par auto-évaluation (pour SL1) ou par audit tiers (pour SL2+).
NISTIR 8259A — Capacités IoT (cadre américain)¶
Le NIST (National Institute of Standards and Technology) a publié NISTIR 8259A, qui définit les capacités cybersécurité de base que tout device IoT connecté devrait implémenter.
Les 6 capacités de base¶
| Capacité | Description | Implémentation typique |
|---|---|---|
| Device Identification | Identité unique et persistante | Certificat X.509, UUID gravé |
| Device Configuration | Configuration de sécurité modifiable | API de configuration sécurisée |
| Data Protection | Protection des données stockées et transmises | Chiffrement AES-256 + TLS 1.3 |
| Logical Access | Contrôle d'accès aux interfaces | mTLS, ACL, RBAC |
| Software Update | Mise à jour sécurisée | OTA signé, anti-downgrade |
| Cybersecurity State Awareness | Logs, monitoring, alertes | Syslog, audit trail chiffré |
NISTIR 8259A est le référentiel utilisé pour la conformité aux exigences d'achat fédérales américaines (Executive Order on Cybersecurity, 2021).
EU Cyber Résilience Act (CRA) — 2027¶
Le CRA impose des obligations légales contraignantes pour tout produit numérique mis sur le marché UE, incluant les devices IoT. Il remplace l'approche volontaire par une obligation de marquage CE basée sur des exigences de sécurité.
| Classe | Produits | Exigences |
|---|---|---|
| Default | Produits grand public sans fonction critique | Auto-évaluation + déclaration conformité |
| Classe I | Produits avec fonctions critiques (routeurs, OS) | Auto-évaluation + standards harmonisés |
| Classe II | Produits à haut risque (ICS, équipements médicaux) | Audit tiers obligatoire |
Obligations pour les fabricants :
- Identifier et documenter les CVE dès leur découverte
- Publier des mises à jour de sécurité pendant toute la durée de vie commerciale (minimum 5 ans)
- Point de contact pour la divulgation de vulnérabilités
- Signalement d'incidents actifs à l'ENISA dans les 24h
RGPD et données capteurs IoT¶
Les systèmes IoT collectent souvent des données à caractère personnel : mesures de consommation énergétique domicile, données de géolocalisation, données biométriques (rythme cardiaque, présence). Le RGPD s'applique pleinement.
| Principe RGPD | Application IoT | Mesure technique |
|---|---|---|
| Minimisation des données | Ne collecter que les données utiles | Configuration de granularité des capteurs |
| Limitation de finalité | Pas d'usage secondaire sans consentement | Isolation des données par finalité |
| Durées de conservation | Suppression automatique après délai | TTL dans la base time-series |
| Droit à l'effacement | Factory reset + suppression cloud | API de déprovisionnement |
| Sécurité des données | Chiffrement, contrôle d'accès | TLS + chiffrement au repos |
| Notification de violation | CNIL dans les 72h | Procédure d'incident response |
Cas particulier des compteurs intelligents : Les smart meters relèvent de la réglementation sectorielle (directive UE 2019/944 sur l'électricité) en plus du RGPD. La granularité des mesures (toutes les 30 min) permet de déduire les habitudes de vie — qualification en données sensibles dans certains États membres.
Tableau comparatif des normes¶
| Critère | IEC 62443 | ETSI EN 303 645 | NISTIR 8259A | CRA (EU) |
|---|---|---|---|---|
| Secteur cible | Industrie / OT | Consommateur IoT | Tous secteurs (US) | Tous secteurs (UE) |
| Caractère | Contractuel / certification | Normatif volontaire → CE | Recommandation US | Obligatoire (loi UE) |
| Niveaux | SL1 → SL4 | Non (provisions binaires) | 6 capacités | Classe I, II, Default |
| Audit tiers | Requis SL3+ | Optionnel | Non | Requis Classe II |
| Mise à jour | Oui (4-1, 4-2) | Provision 5.3 | Capacité 5 | Obligatoire 5 ans |
| Identité device | FR1 (4-2) | Provision 5.1 | Capacité 1 | Exigence essentielle |
| Applicable dès | Projet (SbD) | Commercialisation | Achat fédéral US | Fin 2027 |
Ce qu'il faut retenir¶
- IEC 62443 est la norme industrielle OT de référence — les niveaux SL1 à SL4 définissent l'intensité des exigences.
- ETSI EN 303 645 est la base du marquage CE pour l'IoT grand public — les 13 provisions sont toutes actionables techniquement.
- Le CRA rendra ces exigences contraignantes en droit UE à partir de 2027 — anticiper maintenant évite une refonte coûteuse.
- Le RGPD s'applique dès que le système IoT collecte des données qui permettent d'identifier directement ou indirectement une personne.
Chapitre suivant : Audit & réponse à incident — tester la sécurité de son système IoT et réagir efficacement en cas de compromission.