ASI Industrie : Conformité machine & sécurité industrielle
Ingénierie technico-réglementaire

Cybersécurité machine et Règlement (UE) 2023/1230 : ce que l'Annexe III §1.1.9 change vraiment

L'Annexe III §1.1.9 du Règlement 2023/1230 intègre pour la première fois la cybersécurité dans le périmètre des exigences essentielles de sécurité CE. Ce que ça change pour les fabricants et exploitants avant le 20 janvier 2027.

SK
Stanislas KOZAK
PDG · ASI Industrie · 33 ans d'expertise
17 mai 2026
11 min de lecture
Cybersécurité machine et Règlement (UE) 2023/1230 : ce que l'Annexe III §1.1.9 change vraiment

L'Annexe III §1.1.9 du Règlement (UE) 2023/1230 fait entrer la cybersécurité dans le périmètre des exigences essentielles de sécurité machine. Ce n'est pas un voeu pieux : c'est une obligation opposable au 20 janvier 2027, articulee avec le Cyber Resilience Act et l'IEC 62443, que la plupart des industriels n'ont pas encore intégrée a leur démarche de conformité CE.

Point de vigilance réglementaire

L'Annexe III §1.1.9 est une exigence essentielle de sécurité et de sante (EESS) au même titre que les exigences mécaniques. La cybersécurité n'est plus une bonne pratique optionnelle : c'est une obligation de conformité CE opposable au 20 janvier 2027.

Ce que le Règlement 2023/1230 change par rapport a la Directive 2006/42/CE

La Directive 2006/42/CE ne comportait aucune exigence explicite de cybersécurité. Le Règlement (UE) 2023/1230 introduit l'Annexe III §1.1.9 comme EESS a part entière : toute machine dont le système de commande est susceptible d'etre affecte par des connexions exterieures doit etre concue pour résister a ces connexions. Ce changement transforme la cybersécurité d'une bonne pratique optionnelle en obligation opposable.

Concretement, dans les ateliers de la region Auvergne-Rhone-Alpes - plasturgie, agroalimentaire, chimie, machines speciales - des centaines de machines connectées ont ete deployees depuis 2018 sous le régime de la Directive 2006/42/CE, qui ne demandait rien en matiere de sécurité informatique. Ces machines continueront a fonctionner après le 20 janvier 2027 sans obligation de remise en conformité retroactive, sauf si elles font l'objet d'une modification substantielle au sens de l'Art. 3(16).

Pourquoi la cybersécurité est une question de sécurité machine

La convergence IT/OT dans les ateliers industriels a cree une surface d'attaqué que la règlementation machine ne pouvait plus ignorer. Un automate programmable connecte a un réseau d'entreprise ou a internet peut etre compromis de façon a supprimer une fonction de sécurité (arrêt d'urgence, surveillance de vitesse, detection de presence humaine) ou a decléncher un mouvement intempestif.

Ce que la majorité des industriels ignorent : des lors qu'une attaqué informatique peut provoquer une situation dangereuse au sens de l'ISO 12100 §3.6, elle entre dans le périmètre de l'analyse de risques machine, indépendamment de toute règlementation cybersécurité spécifique. C'est précisement pourquoi la méthode MESP traite la cybersécurité comme une composante a part entière de la conformité machine.

L'Annexe III §1.1.9 : texte exact, portee et cas d'application

« Lorsque la machine est susceptible d'etre affectee par des connexions exterieures, les systèmes de commande sont conçus et construits de maniere a résister a toute tentative d'alteration, accidentelle ou intentionnelle, susceptible d'entrainer une situation dangereuse. »
Règlement (UE) 2023/1230, Annexe III §1.1.9

L'expression « susceptible d'etre affectee par des connexions exterieures » est large : elle couvre toute interface de communication physique ou sans fil - port Ethernet industriel, Wi-Fi, liaison 4G/5G, bus de terrain connecte a un réseau d'entreprise, ou même un port USB accessible a l'opérateur.

Machine neuve

Interface réseau native

Toute machine intégrant nativement une connexion réseau (Ethernet, Wi-Fi, OPC-UA, 4G) est soumise a l'Annexe III §1.1.9. Le fabricant doit démontrer la conformité dans le dossier technique avant marquage CE.

Machine existante

Ajout d'une interface réseau

L'ajout d'une connexion réseau sur une machine qui n'en disposait pas peut constituer une modification substantielle (Art. 3(16)). L'entite modifiant devient fabricant au sens de l'Art. 18.

Ensemble fonctionnel

Intégrer un ensemble connecte

Un integrateur qui assemble plusieurs machines en un ensemble connecte est fabricant de cet ensemble. L'évaluation de conformité inclut l'Annexe III §1.1.9 pour l'architecture globale.

Machine isolee

Ports USB accessibles

Une machine sans connexion internet n'est pas exemptee : les ports USB accessibles a l'opérateur constituent des connexions exterieures potentielles relevant de l'Annexe III §1.1.9.

Cyber Resilience Act et Règlement 2023/1230 : articulation des deux régimes

Le Règlement (UE) 2024/2847 - Cyber Resilience Act (CRA) - s'applique a tout produit comportant des éléments numériques connectes a un réseau, ce qui inclut la grande majorité des machines industrielles modernes. Les obligations CRA portent sur la conception sécurisée, la gestion des vulnérabilités sur toute la durée de vie du produit (minimum 5 ans de support de sécurité), et la fourniture d'une documentation cybersécurité.

⚠️
Chevauchement CRA / Règlement 2023/1230Le CRA prevoit lui-même la gestion des chevauchements a l'Art. 2§2 : lorsqu'un produit est soumis a une autre règlementation europeenne qui impose des exigences cybersécurité equivalentes, les obligations CRA correspondantes ne s'appliquent pas a titre redondant. Pour les machines industrielles, cette articulation est complexe et doit etre analysee cas par cas. Un fabricant de machine qui ne respecte pas le CRA s'expose a une amende administrative pouvant atteindre 15 millions d'euros ou 2,5 % du chiffré d'affaires mondial annuel.

IEC 62443 : le cadre normatif OT de référence

L'IEC 62443 structure la cybersécurité industrielle en quatre groupes de normes couvrant respectivement les politiques et procédures (serie -1), les méthodes et modèles (serie -2), le système (serie -3) et les composants (serie -4). Pour une machine connectée, l'IEC 62443-3-3 (exigences systèmes) et l'IEC 62443-4-2 (exigences composants) sont les parties les plus directement applicables.

Important : a la daté de publication de cet articlé, l'IEC 62443 n'est pas encore harmonisee au titre du Règlement 2023/1230. Son usage releve de la catégorie recommandee, sans conferer la présomption de conformité que produirait une norme harmonisee.

SL 1

Mesures de base

Authentification par mot de passe, journalisation des acces, segmentation physique minimale. Connexions ponctuelles non critiques.

SL 2

Mesures standard

Authentification forte, contrôle d'acces par rôles, chiffrément, detection d'anomalies. Majorité des machines industrielles connectées en production.

SL 3

Mesures avancees

Authentification multi-facteurs, surveillance comportementale, redondance sécurité, audit externe. Infrastructures critiques.

SL 4

Reserve OIV

Reserve aux infrastructures critiques nationales. Rarement applicable aux machines industrielles standard.

Intégrer la cybersécurité dans l'évaluation des risques ISO 12100

La démarche ISO 12100 §5 (appreciation des risques) comporte trois étapes : la definition des limites de la machine (§5.3), l'identification des phénomènes dangereux (§5.4), et l'estimation et l'évaluation du risque. La cybersécurité y entre comme une catégorie de phénomène dangereux a part entière, au même titre que les risques mécaniques, électriques ou thermiques.

L'ISO 12100 §6.2 impose une hiérarchie de trois niveaux de reduction des risques, applicable a la cybersécurité machine :

  • Niveau 1 - Conception sure : réduire la surface d'attaqué par conception, supprimer les interfaces non nécessaires, desactiver les services réseau inutilises, principe de moindre privilege dans l'architecture de commande.
  • Niveau 2 - Protecteurs et dispositifs : authentification forte, chiffrément des communications, segmentation par VLAN ou DMZ industrielle, surveillance des acces.
  • Niveau 3 - Information : procédures de gestion des acces physiques aux ports de maintenance, formation des opérateurs, instructions dans la notice d'utilisation.

Modification substantielle et cybersécurité : les cas terrain

En pratique, dans une PME industrielle, les scenarios decléncheurs sont nombreux et souvent sous-estimes. Un directeur de production qui demande a son integrateur d'ajouter un module de telemaintenance ou d'interfacer la machine avec son ERP peut, sans le savoir, decléncher les trois critères cumulatifs de la modification substantielle (Art. 3(16)) et se retrouver soumis aux obligations de l'Art. 18.

⚠️
Conséquences d'une modification substantielle non qualifiéeL'entite qui réalisé une modification substantielle non qualifiée est reputee fabricant au sens de l'Art. 18, avec toutes les obligations qui en decoulent : nouvelle analyse de risques, nouveau dossier technique, nouvelle déclaration UE de conformité, nouveau marquage CE. En cas d'accident, la responsabilité pénale peut etre engagee au titre de l'Art. 221-6 du Code pénal.

Checklist avant connexion d'une machine au réseau

  1. Recenser exhaustivement toutes les interfaces : ports Ethernet, Wi-Fi, 4G/5G, Bluetooth, USB, bus de terrain raccordes a un réseau d'entreprise.
  2. Consulter le dossier technique d'origine : si le fabricant a explicitement prévu et documenté cette interface, le premier critère de modification substantielle n'est peut-etre pas satisfait.
  3. Conduire une analyse de risques cybersécurité OT : identifier les scenarios d'attaqué plausibles pour chaque interface, évaluér si un scenario reussi peut provoquer une situation dangereuse.
  4. Déterminer les mesures de reduction requises et évaluér si elles impliquent de modifiér le système de commande de sécurité existant.
  5. Rédigér une note de qualification formelle argumentant sur les trois critères cumulatifs de l'Art. 3(16).
  6. Mettre a jour le DUERP de l'exploitant pour intégrér les nouveaux risques cybersécurité identifiés.
  7. Archiver l'ensemble des pieces : analyse des scenarios d'attaqué, conclusion de qualification, mesures mises en oeuvre.

Les 5 erreurs frequentes en cybersécurité machine

Erreur 1 : “La cybersécurité, c'est l'affaire de l'informatique”L'Annexe III §1.1.9 est une exigence essentielle de sécurité et de sante au même titre que les exigences mécaniques. La cybersécurité machine releve du bureau d'etudes sécurité machine, pas uniquement du DSI.
Erreur 2 : “Ma machine a le marquage CE, donc la cybersécurité est couverte”Un marquage CE obtenu sous la Directive 2006/42/CE avant le 20 janvier 2027 ne couvre aucune exigence cybersécurité. L'Annexe III §1.1.9 est une exigence nouvelle, spécifique au Règlement 2023/1230.
Erreur 3 : “L'IEC 62443 harmonisee suffit”A la daté de cet articlé, l'IEC 62443 n'est pas encore harmonisee au titre du Règlement 2023/1230. Son application ne confere pas la présomption de conformité automatique.
Erreur 4 : “Une machine sans internet n'est pas concernée”L'Annexe III §1.1.9 vise toute machine susceptible d'etre affectee par des connexions exterieures, y compris les ports USB accessibles a l'opérateur et les bus de terrain raccordes a un réseau d'entreprise interne.
Erreur 5 : “Le CRA, c'est pour plus tard”Le Cyber Resilience Act (UE 2024/2847) a une daté de pleine application au 11 decembre 2027, mais certaines obligations de notification de vulnérabilités s'appliquent des septembre 2026. La preparation doit etre engagee maintenant.

FAQ - Cybersécurité machine et conformité CE

Qu'est-ce que l'Annexe III §1.1.9 du Règlement 2023/1230 impose ?

L'Annexe III §1.1.9 impose que les machines dont les systèmes de commande sont susceptibles d'etre affectes par des connexions exterieures soient concues et construites de façon a résister a toute alteration accidentelle ou intentionnelle susceptible de provoquer une situation dangereuse. Il s'agit d'une EESS au même titre que les exigences mécaniques, opposable dans le dossier technique et couverte par la déclaration UE de conformité.

Le Cyber Resilience Act s'applique-t-il aux machines industrielles connectées ?

Oui. Le Règlement (UE) 2024/2847 s'applique a tout produit comportant des éléments numériques connectes a un réseau, ce qui inclut la grande majorité des machines industrielles modernes. Pour les machines industrielles, le CRA s'articule avec le Règlement 2023/1230 : une machine peut etre simultanément soumise aux deux règlementations.

L'ajout d'un module de communication sur une machine existante est-il une modification substantielle ?

Tres probablement oui. L'ajout d'une interface réseau sur une machine qui n'en disposait pas satisfait généralement les trois critères cumulatifs de l'Art. 3(16) : la modification n'etait pas prévue par le fabricant d'origine, elle cree une surface d'attaqué inexistante auparavant, et des mesures de cybersécurité supplementaires sont requises - impliquant de modifiér le système de commande.

Quelle norme utiliser pour la cybersécurité OT des machines industrielles ?

L'IEC 62443 est la référence normative principale pour la cybersécurité des systèmes OT industriels. L'IEC 62443-3-3 (exigences systèmes) et l'IEC 62443-4-2 (exigences composants) sont les parties les plus directement applicables. A noter : l'IEC 62443 n'est pas encore harmonisee au titre du Règlement 2023/1230.

Cybersécurité machine : une EESS comme les autres

L'Annexe III §1.1.9 transforme la cybersécurité d'une bonne pratique informatique en obligation de conformité CE opposable. Pour les fabricants, integrateurs et exploitants modifiant des machines, le délai est compte : le 20 janvier 2027 est une échéance ferme, pas une intention.

La démarche de conformité cybersécurité doit etre intégrée a l'évaluation des risques ISO 12100, documentée dans le dossier technique, et couverte par la déclaration UE de conformité - exactement comme n'importe quelle autre exigence mécanique ou électrique.

MESP©
ASI Industrie : Bureau d'études technico-juridique

Vos machines connectées sont-elles conformes a l'Annexe III §1.1.9 ?

La méthode MESP intégré l'analyse cybersécurité OT dans l'évaluation des risques ISO 12100. Audit, qualification des modifications, dossier technique : accompagnement complet avant le 20/01/2027.

Prendre contact avec ASI Industrie
Cybersécurité machineRèglement 2023/1230Cyber Resilience ActIEC 62443Annexe III 1.1.9Modification substantielleMESP
← Retour au blog