Le nouveau règlement machines de l’Union européenne entrera en vigueur dans deux ans. Cela signifie que les constructeurs de machines, les intégrateurs et les utilisateurs finaux n’ont plus que 24 mois pour faire l’état des lieux de l’existant et se mettre en conformité.

Au total, 80 % des constructeurs français de machines d’emballage que nous avons interrogés sont actuellement en phase d’analyse des nouvelles exigences. Certaines, comme l’ergonomie, ont déjà été intégrées et sont un élément de différenciation. D’autres, comme l’interaction homme/machine et la protection contre la corruption vont devoir faire l’objet d’ajustements. Comment utiliser cette phase pour créer des opportunités, notamment en matière de cybersécurité ? Nous sommes allés poser la question à Hervé Bodinier, directeur général de la société eXcelsior Safety et spécialiste de la sécurité industrielle.

Rappelons au préalable que le nouveau règlement européen remplacera la directive 2006/42/CE et qu’il concerne en premier lieu la sécurité des personnes. Les EESS (exigences essentielles de santé et de sécurité) y ont été revues à l’aune des évolutions technologiques et des lacunes observées.

L’une des grandes évolutions à souligner est l’obligation de soumettre les machines les plus dangereuses (listées dans l’annexe I du règlement) à la certification par un tiers, en lieu et place d’une autocertification. Qu’ils se pensent concernés ou non, c’est donc par la lecture de cette annexe que devrait commencer toute démarche de mise en conformité des constructeurs.

La cybersécurité, par contre, concerne tout le monde. Et elle fait (« enfin », diront certains) son entrée en force dans le règlement machines. « Le risque cyber est pris en compte par les opérateurs d’importance vitale (OIV) depuis la loi LPM 2015 et pour les opérateurs de services essentiels (OSE) depuis 2018 par l’ANSSI. Il va devenir un sujet majeur pour 25 000 sociétés en France, dont de nombreuses IAA et sous-traitants, avec l’arrivée de NIS 2, prévue pour octobre 2024 et estimée pour juin 2025. Les constructeurs n’auront pas d’autre choix que de démontrer et documenter la prise en compte et la maîtrise des risques cyber de leurs machines », précise Hervé Bodinier, qui ajoute : « cela concerne les machines neuves, mais pas seulement. Les anciennes installations devront se mettre en conformité avec les exigences cyber NIS2, LPM, IEC62443… et en cas de modification machine, elles devront aussi prendre en compte la nouvelle règlementation machine. Il est grand temps pour les utilisateurs finaux, intégrateurs, de faire également un audit cybersécurité de toutes les machines en exploitation pour préparer leur mise à niveau, car cela ne se fera pas en un claquement de doigts. »

Pour lui, le nouveau règlement européen est une opportunité, plus qu’une contrainte : « la cybersécurité est toujours mieux assurée en privilégiant le hardware au software, si possible. Le règlement machines et la directive NIS2 peuvent être l’opportunité de sécuriser nos installations industrielles de manière intelligente, et de passer à l’industrie du futur (4.0) de manière sereine. Mais il va falloir que les différents intervenants et les différentes fonctions dans l’entreprise soient capables de s’ouvrir aux besoins les uns des autres. Ce point est, selon moi, d’autant plus crucial dans l’agroalimentaire, où l’on connecte beaucoup de machines très différentes. »

La sécurité des lignes de production est finalement, pour Hervé Bodinier, le résultat d’un juste équilibre entre ouverture (demande de données dans le cadre de la directive CSRD, par exemple) et fermeture (sécurisation des réseaux dans le cadre de NIS2). « Je ne crois pas que l’on puisse imaginer se passer de machines communicantes ou d’IA : les industriels ont besoin de faire remonter des données, les constructeurs peuvent avoir besoin des données, voire de logiciels pour améliorer leurs machines. En même temps, les cybercriminels sont en avance car ils utilisent l’IA depuis longtemps ; il faut donc aussi des procédures de sécurité encore plus strictes, dès lors que l’information descend vers les machines. Et surtout, il faut un plan de continuité et reprise d’activité pour redémarrer rapidement les machines lorsque l’attaque se produira. Car elle se produira », conclut-il.