KANBrief 2/17
Industrie 4.0 signifie une interconnexion totale entre hommes, machines et installations. Du fait de l’interaction entre ces partenaires, la sécurité fonctionnelle (‘functional safety’, par exemple l’arrêt d’une machine en cas de passage d’une barrière lumineuse) n’est pas le seul aspect pertinent pour la protection des individus. La sécurité de l’information (‘security’, p. ex. protection de la programmation d’un robot contre des manipulations extérieures) joue un rôle tout aussi important.
Le rapport entre sécurité fonctionnelle et sécurité de l’information est décrit dans la Règle d’application VDE-AR-E 2802-10-1:2017-041. Il est indiqué de faire la distinction entre ces deux formes de sécurité pour détecter tout conflit d’intérêt lors de l’évaluation des risques.
Lors de l’atelier du CEN « Functional safety & cybersecurity », les experts ont estimé qu’il était improbable qu’une attaque provenant de tiers, par exemple sous forme de piratage, cause des préjudices humains ou environnementaux2, les pirates informatiques favorisant surtout les cibles potentiellement lucratives. Ceci n’exclut toutefois pas des dommages causés involontairement à l’homme ou à l’environnement. À une époque marquée par le terrorisme, il n’est en outre pas exclu que l’homme et l’environnement constituent aussi une cible primaire.
Les aspects juridiques
La mise en œuvre de l’Industrie 4.0 dépend essentiellement de la manière dont ce concept sera accepté par les utilisateurs. Ceux-ci attendent que les produits qu’ils utilisent et les opérations interconnectées dans lesquelles ils sont intégrés soient sûrs. En cas d’accès non autorisé par un tiers, la question importante pour l’utilisateur est de savoir qui doit en assumer la responsabilité. Actuellement, les accès non autorisés soulèvent toutefois encore des questions de principe relevant du droit pénal et du droit de la responsabilité civile3,4. Déclenchant la présomption de conformité et décrivant l’état de l’art, les normes techniques peuvent avoir un rôle très important à jouer. Pour la KAN, des questions relevant du droit administratif s’avèrent donc également intéressantes :
Déjà en juillet 2014, le CENELEC avait publié le Guide 325, actuellement en cours de révision. Il y est demandé que des questions relatives à la sécurité des informations soient prises en compte dans les normes basées sur la directive Basse tension. En février 2017, l’ISO/TC 199 « Sécurité des machines » a accepté un nouveau projet préliminaire intitulé « Guidance and consideration of related security aspects ». Le rapport technique ISO/TR 22100-4, sur lequel il débouchera, sera un guide décrivant la relation entre l’ISO 12100 « Sécurité des machines » et les aspects de la sécurité de l’information applicables aux machines.
Resserrer l’interaction entre techniciens et informaticiens
De multiples activités relatives à la normalisation dans le domaine de la sécurité fonctionnelle et de la sécurité de l’information sont actuellement en cours au sein du CEN/CENELEC et de l’ISO/CEI, toutefois jusqu’à présent dans des univers distincts. Ce ne sont pas seulement les spécialistes en matière de sécurité des produits qui doivent prendre en compte des aspects concernant la sécurité de l’information. À l’inverse, les experts en technique de l’information devront à l’avenir être davantage sensibilisés aux aspects de la sécurité fonctionnelle.
Il serait bon que les organismes de normalisation travaillent ensemble à imbriquer plus étroitement les uns dans les autres les domaines de la « sécurité fonctionnelle » et de la « sécurité de l'information », afin de concilier ces deux approches traditionnellement différentes. C’est le seul moyen de prendre en compte à un stade précoce et avec succès les aspects pertinents pour la SST. Il conviendra en outre de régler rapidement et de manière transparente un certain nombre d'aspects juridiques si l’on veut que le passage à l’Industrie 4.0 soit une réussite.
Sebastian Korfmacher korfmacher@kan.de Corrado Mattiuzzo mattiuzzo@kan.de
1 La relation entre sécurité fonctionnelle et sécurité de l’information, à l’exemple de l’automatisation industrielle – Partie 1: principes
2 www.kan.de/service/wir-berichten-fuer-sie/detailansicht/workshop-functional-safety-cybersecurity-bei-cen-am-1632017 (en allemand)
3 Rockstroh/Kunkel, IT-Sicherheit in Produktionsumgebungen, MMR 2/2017
4 Bräutigam/Klindt: Industrie 4.0, das Internet der Dinge und das Recht, NJW 2015, 1137
5 Guide CENELEC 32 : 2014-07 « Lignes directrices pour l'appréciation et la réduction du risque lié à la sécurité pour le
matériel basse tension » ftp://ftp.cencenelec.eu/CENELEC/Guides/CLC/32_CENELECGuide32-FR.pdf