Des ascenseurs et des escaliers roulants plus sûrs grâce à une norme de cybersécurité

Le mois d'août 2022 restera dans les annales comme une étape décisive pour le secteur des ascenseurs et des escaliers mécaniques. À partir de ce mois-ci, les fabricants du monde entier ont pu télécharger la norme ISO 8102-20 et avoir l'assurance que, en respectant les spécifications qu'elle définit, la cybersécurité de leurs produits serait soigneusement prise en compte dès le début de la fabrication.

La norme ISO 8102-20 résume en 34 pages révolutionnaires trois années de travail menées par de nombreuses associations professionnelles, des experts et des fabricants individuels. KONE n’a pas été un simple spectateur : trois membres de son équipe de direction ont siégé au groupe de travail, et c’est l’expert de KONE, Ari Kattainen, qui l’a présidé.

« À l’origine, je ne suis pas un expert en cybersécurité, mais je m’intéresse plutôt au domaine de la sécurité fonctionnelle », explique M. Kattainen, « c’est pourquoi il était incroyablement intéressant de participer à l’élaboration de cette nouvelle norme de cybersécurité. Mon objectif principal était de rassembler efficacement les différents experts au sein du groupe de travail afin de créer une très bonne ambiance et un dialogue constructif. »

Le respect de la nouvelle norme ISO – désormais une priorité pour KONE – n'est pas seulement un moyen de montrer aux clients que leurs systèmes bénéficieront d'une cybersécurité de premier ordre pendant de nombreuses années encore, mais cela signifie également que les utilisateurs finaux pourront profiter d'un service efficace et sans heurts.

« La cybersécurité, c'est comme une fondation », explique M. Kattainen. « Elle nous permet d'utiliser en toute sécurité des produits connectés au monde extérieur. Et sans cette connexion au monde extérieur, la circulation des personnes n'est pas aussi efficace. »

La protection en matière de cybersécurité apportée par la nouvelle norme garantit que le risque d’intrusions extérieures est minimisé lors des connexions destinées à la mise à jour à distance des systèmes. « On n’ouvre pas de porte par laquelle quelqu’un pourrait s’introduire, pirater le système et le perturber d’une manière ou d’une autre », explique Kevin Brinkman, directeur principal des normes chez America's National Elevator Industry, Inc. (NEII).

Cela a également des répercussions positives sur l’environnement. Des systèmes sécurisés pouvant être mis à jour à distance permettent à KONE de réduire le nombre de visites qu’un technicien doit effectuer sur site pour entretenir un ascenseur ou un escalier roulant.

Ce qui a particulièrement intéressé M. Kattainen – tout comme ses collègues du groupe de travail KONE, Jussi Valkiainen, responsable de la sécurité des produits et des applications, et Mika Katara, responsable de la sécurité IoT – ce n'était pas seulement de voir ce qui était requis pour la nouvelle norme, mais aussi pourquoi cela était nécessaire. « Cela fait vraiment passer les choses au niveau supérieur », dit-il.

Selon M. Valkiainen, c'est la généralisation des villes intelligentes et l'interconnexion croissante qui ont suscité le besoin d'une nouvelle norme internationale en matière de cybersécurité pour les ascenseurs, les escaliers mécaniques et les trottoirs roulants.

« Il y a environ cinq ou six ans », explique-t-il, « la numérisation et la connectivité ont fait leur apparition dans notre secteur, et de nombreux fabricants ont pris conscience qu’avec l’introduction de la connectivité, nous introduisions également des risques de cybersécurité. Nous avions besoin d’un moyen de nous en protéger. »

Mais quels risques ? M. Kattainen peut, par exemple, énumérer plusieurs scénarios catastrophe – des menaces que le groupe de travail a dû prendre en compte lors de ses simulations de « war gaming », au cours desquelles il a réfléchi aux menaces contre lesquelles il devait se protéger.

Celles-ci allaient d’un pirate informatique visant le téléphone d’urgence d’un ascenseur à une attaque par déni de service, dans laquelle un « acteur malveillant » pourrait paralyser des cabines d’ascenseur et exiger une rançon.

La nouvelle norme aide les fabricants à se protéger contre de tels risques et, par conséquent, à éviter l’atteinte à leur réputation qui pourrait survenir si une faille de sécurité entraînait une publicité négative, souligne M. Kattainen.

La nouvelle norme montre clairement que le secteur prend la cybersécurité très au sérieux.

« Il existait certes déjà des normes de cybersécurité pour d’autres secteurs, mais aucune n’était spécifiquement adaptée aux particularités du secteur des ascenseurs », explique Kevin Brinkman, du NEII. « Nous avons pensé qu’une norme serait utile, c’est pourquoi le NEII a d’abord élaboré une série de lignes directrices comme point de départ, puis nous avons contacté, entre autres, l’Organisation internationale de normalisation, l’Association européenne des ascenseurs et la CEA – l’Association chinoise des ascenseurs. »

L’ISO a soutenu l’idée d’une nouvelle norme internationale, et un groupe de travail a été mis en place pour étudier la question. « Ari a fait un excellent travail en tant que coordinateur », remarque Brinkman, « et il a veillé à ce que les commentaires et les réflexions de toutes les parties concernées soient pris en compte. »

« Nous disposions d’un très bon groupe d’experts et avons pu avancer rapidement », explique Brinkman. « Nous avons obtenu une nouvelle norme en moins de trois ans, ce qui est assez inhabituel. Les participants étaient peut-être des concurrents, mais lorsqu’il s’agit de sécurité et de garantir que les produits qu’ils commercialisent sont fiables et sûrs pour le client et le technicien qui doit les entretenir, nous parlons d’une seule voix. »

Lors de l'élaboration de la nouvelle norme, le groupe de travail n'a pas dû partir de zéro : une norme CEI existante lui a fourni une base solide sur laquelle s'appuyer.

« Nous ne voulions pas réinventer la roue », explique M. Valkiainen. « Nous avons décidé très tôt de nous appuyer sur la norme CEI 62443 relative à la cybersécurité des systèmes de contrôle industriels et d’en dériver pour l’essentiel les exigences applicables aux systèmes de contrôle des ascenseurs et des escaliers mécaniques. »

KONE connaissait déjà très bien la norme CEI 62443, car l’entreprise avait développé ses ascenseurs de la classe DX conformément à ses exigences. En effet, KONE a récemment obtenu un niveau de certification supérieur pour la norme CEI 62443-4-1, passant du « niveau de maturité » ML2 à ML3.

Selon M. Valkiainen, cela signifie que KONE dispose désormais d’une preuve documentée attestant que toutes les étapes prescrites par la norme CEI 62443-4-1 ont été suivies au cours du processus de développement. Il s’agit là d’un nouvel exemple de l’engagement de KONE en faveur d’une cybersécurité de classe mondiale.

• Phishing : tentative frauduleuse visant à inciter une personne à divulguer des informations sensibles en se faisant passer pour une entité de confiance, souvent par e-mail.
• Malware : logiciel malveillant conçu pour endommager ou perturber des systèmes informatiques, ou pour y accéder sans autorisation.
• Ransomware : forme de logiciel malveillant qui bloque l'accès des utilisateurs à leurs fichiers ou appareils et exige un paiement pour le rétablir.
• IoT : Internet des objets – réseau d'appareils connectés entre eux (tels que les appareils domestiques intelligents, les appareils portables, les capteurs industriels) qui communiquent et échangent des données via Internet.
• Vulnérabilité : une faille ou une erreur dans un système, un réseau ou une application qui pourrait être exploitée par des attaquants.
• OT : l'Operational Technology (technologie opérationnelle) désigne le matériel et les logiciels utilisés pour surveiller et contrôler les appareils physiques, les processus et les infrastructures dans des secteurs tels que la fabrication et les transports.