Cybersecurite machine : Reglement 2023/1230 | ASI Industrie

L'Annexe III §1.1.9 du Reglement (UE) 2023/1230 fait entrer la cybersecurite dans le perimetre des exigences essentielles de securite machine. Ce n'est pas un voeu pieux : c'est une obligation opposable au 20 janvier 2027, articulee avec le Cyber Resilience Act et l'IEC 62443, que la plupart des industriels n'ont pas encore integree a leur demarche de conformite CE.

Point de vigilance reglementaire

L'Annexe III §1.1.9 est une exigence essentielle de securite et de sante (EESS) au meme titre que les exigences mecaniques. La cybersecurite n'est plus une bonne pratique optionnelle : c'est une obligation de conformite CE opposable au 20 janvier 2027.

Ce que le Reglement 2023/1230 change par rapport a la Directive 2006/42/CE

La Directive 2006/42/CE ne comportait aucune exigence explicite de cybersecurite. Le Reglement (UE) 2023/1230 introduit l'Annexe III §1.1.9 comme EESS a part entiere : toute machine dont le systeme de commande est susceptible d'etre affecte par des connexions exterieures doit etre concue pour resister a ces connexions. Ce changement transforme la cybersecurite d'une bonne pratique optionnelle en obligation opposable.

Concretement, dans les ateliers de la region Auvergne-Rhone-Alpes — plasturgie, agroalimentaire, chimie, machines speciales — des centaines de machines connectees ont ete deployees depuis 2018 sous le regime de la Directive 2006/42/CE, qui ne demandait rien en matiere de securite informatique. Ces machines continueront a fonctionner apres le 20 janvier 2027 sans obligation de remise en conformite retroactive, sauf si elles font l'objet d'une modification substantielle au sens de l'Art. 3(16).

Pourquoi la cybersecurite est une question de securite machine

La convergence IT/OT dans les ateliers industriels a cree une surface d'attaque que la reglementation machine ne pouvait plus ignorer. Un automate programmable connecte a un reseau d'entreprise ou a internet peut etre compromis de facon a supprimer une fonction de securite (arret d'urgence, surveillance de vitesse, detection de presence humaine) ou a declencher un mouvement intempestif.

Ce que la majorite des industriels ignorent : des lors qu'une attaque informatique peut provoquer une situation dangereuse au sens de l'ISO 12100 §3.6, elle entre dans le perimetre de l'analyse de risques machine, independamment de toute reglementation cybersecurite specifique. C'est precisement pourquoi la methode MESP traite la cybersecurite comme une composante a part entiere de la conformite machine.

L'Annexe III §1.1.9 : texte exact, portee et cas d'application

« Lorsque la machine est susceptible d'etre affectee par des connexions exterieures, les systemes de commande sont concus et construits de maniere a resister a toute tentative d'alteration, accidentelle ou intentionnelle, susceptible d'entrainer une situation dangereuse. »
Reglement (UE) 2023/1230, Annexe III §1.1.9

L'expression « susceptible d'etre affectee par des connexions exterieures » est large : elle couvre toute interface de communication physique ou sans fil — port Ethernet industriel, Wi-Fi, liaison 4G/5G, bus de terrain connecte a un reseau d'entreprise, ou meme un port USB accessible a l'operateur.

Machine neuve

Interface reseau native

Toute machine integrant nativement une connexion reseau (Ethernet, Wi-Fi, OPC-UA, 4G) est soumise a l'Annexe III §1.1.9. Le fabricant doit demontrer la conformite dans le dossier technique avant marquage CE.

Machine existante

Ajout d'une interface reseau

L'ajout d'une connexion reseau sur une machine qui n'en disposait pas peut constituer une modification substantielle (Art. 3(16)). L'entite modifiant devient fabricant au sens de l'Art. 18.

Ensemble fonctionnel

Integrer un ensemble connecte

Un integrateur qui assemble plusieurs machines en un ensemble connecte est fabricant de cet ensemble. L'evaluation de conformite inclut l'Annexe III §1.1.9 pour l'architecture globale.

Machine isolee

Ports USB accessibles

Une machine sans connexion internet n'est pas exemptee : les ports USB accessibles a l'operateur constituent des connexions exterieures potentielles relevant de l'Annexe III §1.1.9.

Cyber Resilience Act et Reglement 2023/1230 : articulation des deux regimes

Le Reglement (UE) 2024/2847 — Cyber Resilience Act (CRA) — s'applique a tout produit comportant des elements numeriques connectes a un reseau, ce qui inclut la grande majorite des machines industrielles modernes. Les obligations CRA portent sur la conception securisee, la gestion des vulnerabilites sur toute la duree de vie du produit (minimum 5 ans de support de securite), et la fourniture d'une documentation cybersecurite.

⚠️

Chevauchement CRA / Reglement 2023/1230Le CRA prevoit lui-meme la gestion des chevauchements a l'Art. 2§2 : lorsqu'un produit est soumis a une autre reglementation europeenne qui impose des exigences cybersecurite equivalentes, les obligations CRA correspondantes ne s'appliquent pas a titre redondant. Pour les machines industrielles, cette articulation est complexe et doit etre analysee cas par cas. Un fabricant de machine qui ne respecte pas le CRA s'expose a une amende administrative pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial annuel.

IEC 62443 : le cadre normatif OT de reference

L'IEC 62443 structure la cybersecurite industrielle en quatre groupes de normes couvrant respectivement les politiques et procedures (serie -1), les methodes et modeles (serie -2), le systeme (serie -3) et les composants (serie -4). Pour une machine connectee, l'IEC 62443-3-3 (exigences systemes) et l'IEC 62443-4-2 (exigences composants) sont les parties les plus directement applicables.

Important : a la date de publication de cet article, l'IEC 62443 n'est pas encore harmonisee au titre du Reglement 2023/1230. Son usage releve de la categorie recommandee, sans conferer la presomption de conformite que produirait une norme harmonisee.

SL 1

Mesures de base

Authentification par mot de passe, journalisation des acces, segmentation physique minimale. Connexions ponctuelles non critiques.

SL 2

Mesures standard

Authentification forte, controle d'acces par roles, chiffrement, detection d'anomalies. Majorite des machines industrielles connectees en production.

SL 3

Mesures avancees

Authentification multi-facteurs, surveillance comportementale, redondance securite, audit externe. Infrastructures critiques.

SL 4

Reserve OIV

Reserve aux infrastructures critiques nationales. Rarement applicable aux machines industrielles standard.

Integrer la cybersecurite dans l'evaluation des risques ISO 12100

La demarche ISO 12100 §5 (appreciation des risques) comporte trois etapes : la definition des limites de la machine (§5.3), l'identification des phenomenes dangereux (§5.4), et l'estimation et l'evaluation du risque. La cybersecurite y entre comme une categorie de phenomene dangereux a part entiere, au meme titre que les risques mecaniques, electriques ou thermiques.

L'ISO 12100 §6.2 impose une hierarchie de trois niveaux de reduction des risques, applicable a la cybersecurite machine :

Niveau 1 - Conception sure : reduire la surface d'attaque par conception, supprimer les interfaces non necessaires, desactiver les services reseau inutilises, principe de moindre privilege dans l'architecture de commande.
Niveau 2 - Protecteurs et dispositifs : authentification forte, chiffrement des communications, segmentation par VLAN ou DMZ industrielle, surveillance des acces.
Niveau 3 - Information : procedures de gestion des acces physiques aux ports de maintenance, formation des operateurs, instructions dans la notice d'utilisation.

Modification substantielle et cybersecurite : les cas terrain

En pratique, dans une PME industrielle, les scenarios declencheurs sont nombreux et souvent sous-estimes. Un directeur de production qui demande a son integrateur d'ajouter un module de telemaintenance ou d'interfacer la machine avec son ERP peut, sans le savoir, declencher les trois criteres cumulatifs de la modification substantielle (Art. 3(16)) et se retrouver soumis aux obligations de l'Art. 18.

⚠️

Consequences d'une modification substantielle non qualifieeL'entite qui realise une modification substantielle non qualifiee est reputee fabricant au sens de l'Art. 18, avec toutes les obligations qui en decoulent : nouvelle analyse de risques, nouveau dossier technique, nouvelle declaration UE de conformite, nouveau marquage CE. En cas d'accident, la responsabilite penale peut etre engagee au titre de l'Art. 221-6 du Code penal.

Checklist avant connexion d'une machine au reseau

Recenser exhaustivement toutes les interfaces : ports Ethernet, Wi-Fi, 4G/5G, Bluetooth, USB, bus de terrain raccordes a un reseau d'entreprise.
Consulter le dossier technique d'origine : si le fabricant a explicitement prevu et documente cette interface, le premier critere de modification substantielle n'est peut-etre pas satisfait.
Conduire une analyse de risques cybersecurite OT : identifier les scenarios d'attaque plausibles pour chaque interface, evaluer si un scenario reussi peut provoquer une situation dangereuse.
Determiner les mesures de reduction requises et evaluer si elles impliquent de modifier le systeme de commande de securite existant.
Rediger une note de qualification formelle argumentant sur les trois criteres cumulatifs de l'Art. 3(16).
Mettre a jour le DUERP de l'exploitant pour integrer les nouveaux risques cybersecurite identifies.
Archiver l'ensemble des pieces : analyse des scenarios d'attaque, conclusion de qualification, mesures mises en oeuvre.

Les 5 erreurs frequentes en cybersecurite machine

✗

Erreur 1 : “La cybersecurite, c'est l'affaire de l'informatique”L'Annexe III §1.1.9 est une exigence essentielle de securite et de sante au meme titre que les exigences mecaniques. La cybersecurite machine releve du bureau d'etudes securite machine, pas uniquement du DSI.

✗

Erreur 2 : “Ma machine a le marquage CE, donc la cybersecurite est couverte”Un marquage CE obtenu sous la Directive 2006/42/CE avant le 20 janvier 2027 ne couvre aucune exigence cybersecurite. L'Annexe III §1.1.9 est une exigence nouvelle, specifique au Reglement 2023/1230.

✗

Erreur 3 : “L'IEC 62443 harmonisee suffit”A la date de cet article, l'IEC 62443 n'est pas encore harmonisee au titre du Reglement 2023/1230. Son application ne confere pas la presomption de conformite automatique.

✗

Erreur 4 : “Une machine sans internet n'est pas concernee”L'Annexe III §1.1.9 vise toute machine susceptible d'etre affectee par des connexions exterieures, y compris les ports USB accessibles a l'operateur et les bus de terrain raccordes a un reseau d'entreprise interne.

✗

Erreur 5 : “Le CRA, c'est pour plus tard”Le Cyber Resilience Act (UE 2024/2847) a une date de pleine application au 11 decembre 2027, mais certaines obligations de notification de vulnerabilites s'appliquent des septembre 2026. La preparation doit etre engagee maintenant.

FAQ — Cybersecurite machine et conformite CE

Qu'est-ce que l'Annexe III §1.1.9 du Reglement 2023/1230 impose ?

L'Annexe III §1.1.9 impose que les machines dont les systemes de commande sont susceptibles d'etre affectes par des connexions exterieures soient concues et construites de facon a resister a toute alteration accidentelle ou intentionnelle susceptible de provoquer une situation dangereuse. Il s'agit d'une EESS au meme titre que les exigences mecaniques, opposable dans le dossier technique et couverte par la declaration UE de conformite.

Le Cyber Resilience Act s'applique-t-il aux machines industrielles connectees ?

Oui. Le Reglement (UE) 2024/2847 s'applique a tout produit comportant des elements numeriques connectes a un reseau, ce qui inclut la grande majorite des machines industrielles modernes. Pour les machines industrielles, le CRA s'articule avec le Reglement 2023/1230 : une machine peut etre simultanement soumise aux deux reglementations.

L'ajout d'un module de communication sur une machine existante est-il une modification substantielle ?

Tres probablement oui. L'ajout d'une interface reseau sur une machine qui n'en disposait pas satisfait generalement les trois criteres cumulatifs de l'Art. 3(16) : la modification n'etait pas prevue par le fabricant d'origine, elle cree une surface d'attaque inexistante auparavant, et des mesures de cybersecurite supplementaires sont requises — impliquant de modifier le systeme de commande.

Quelle norme utiliser pour la cybersecurite OT des machines industrielles ?

L'IEC 62443 est la reference normative principale pour la cybersecurite des systemes OT industriels. L'IEC 62443-3-3 (exigences systemes) et l'IEC 62443-4-2 (exigences composants) sont les parties les plus directement applicables. A noter : l'IEC 62443 n'est pas encore harmonisee au titre du Reglement 2023/1230.

Cybersecurite machine : une EESS comme les autres

L'Annexe III §1.1.9 transforme la cybersecurite d'une bonne pratique informatique en obligation de conformite CE opposable. Pour les fabricants, integrateurs et exploitants modifiant des machines, le delai est compte : le 20 janvier 2027 est une echeance ferme, pas une intention.

La demarche de conformite cybersecurite doit etre integree a l'evaluation des risques ISO 12100, documentee dans le dossier technique, et couverte par la declaration UE de conformite — exactement comme n'importe quelle autre exigence mecanique ou electrique.

MESP©

ASI Industrie : Bureau d'études technico-juridique

Vos machines connectees sont-elles conformes a l'Annexe III §1.1.9 ?

La methode MESP integre l'analyse cybersecurite OT dans l'evaluation des risques ISO 12100. Audit, qualification des modifications, dossier technique : accompagnement complet avant le 20/01/2027.

Prendre contact avec ASI Industrie

Cybersecurite machine et Reglement (UE) 2023/1230 : ce que l'Annexe III §1.1.9 change vraiment