Moxa obtient une double certification de sécurité
Moxa a reçu une double certification de niveau de maturité 3 (ML3) pour la norme IEC 62443-4-1, délivrée simultanément par le système de certification IECEE et par l'ISA Security Compliance Institute (ISASecure).
www.moxa.com
Cette évaluation atteste de l'intégration d'un cycle de développement sécurisé (SDL) dans les processus de conception de ses équipements de réseaux industriels.
Exigences techniques du niveau de maturité 3 (ML3)
Le niveau ML3 de la norme internationale IEC 62443-4-1 indique qu'un fournisseur met en œuvre un processus de développement standardisé et appliqué de façon continue à l'échelle de l'entreprise. La validation de ce niveau repose sur plusieurs critères d'ingénierie et de gouvernance :
• Modélisation et traçabilité : L'obligation de formaliser une modélisation systématique des menaces et d'assurer le suivi des risques identifiés.
• Gestion des vulnérabilités : L'intégration opérationnelle d'une équipe de réponse aux incidents de sécurité des produits (PSIRT) chargée du traitement des failles et de la diffusion des correctifs.
• Sécurisation de la chaîne d'approvisionnement : L'application de règles de contrôle de sécurité dès la phase de sélection des composants et sous-ensembles.
L'évaluation indépendante liée à la certification ISASecure SDLA (Secure Development Lifecycle Assurance) vérifie l'application effective de ces procédures sur le terrain. Cette organisation interne est conçue pour maintenir le suivi logiciel d'équipements industriels dont la durée d'exploitation en conditions opérationnelles s'étend généralement sur une à deux décennies.
Alignement avec les évolutions réglementaires de l'OT
Les audits menant à cette double certification ont été réalisés par l'organisme tiers accrédité UL Solutions. Les pratiques documentées visent à structurer le développement selon l'approche du secure by design (sécurité dès la conception), où la protection cyber est intégrée en amont de la fabrication plutôt qu'ajoutée a posteriori.
Cette démarche s'inscrit dans un contexte législatif en mutation pour la sécurité des technologies opérationnelles (OT). En Europe, le futur règlement sur la cyberrésilience (Cyber Resilience Act - CRA) va imposer aux constructeurs de prouver la conformité de leur gouvernance de sécurité et de garantir une maintenance continue des micrologiciels après la mise sur le marché.
L'adoption de ce cadre de référence normatif permet d'anticiper ces contraintes réglementaires tout en fournissant aux exploitants d'infrastructures des justificatifs techniques auditables lors de leurs processus d'approvisionnement.
www.moxa.com
