Cybersécurité des Systèmes Industriels : Le CLUSIF publie son panorama des référentiels de sécurité

Les systèmes industriels sont aujourd’hui gagnés par la transformation numérique qui touche tous les métiers des grandes organisations. Ces systèmes sont très variés et sont présents dans de nombreux métiers : chaîne de montage dans l’industrie, système d’arme dans la défense, distribution d’énergie, réseau d’eau, gestion des bâtiments… L’ouverture de ces systèmes aux différents réseaux n’est pas sans créer de nouveaux risques que les organisations doivent prendre en compte. Mais face à cette multiplication des risques, les responsables sécurité sont souvent démunis : comment commencer ? Quelles règles de sécurité appliquer ?

Face à cette situation, le CLUSIF a créé un groupe de travail en 2013 regroupant plus d’une dizaine d’acteurs, grands groupes industriels et sociétés spécialisées dans la sécurité des systèmes d’information industriels.Aujourd’hui ce groupe de travail dévoile son nouveau document « Cybersécurité des systèmes industriels : Par où commencer ? Panorama des référentiels et synthèse des bonnes pratiques ».

Afin de réaliser son étude, le groupe de travail a tout d’abord rassemblé l’ensemble des référentiels et publications existant à sa connaissance dans le domaine de la sécurité des SI industriels.

Premier constat pour Gérôme Billois, co-animateur du groupe et administrateur du CLUSIF : « Il existe de très nombreux référentiels de sécurité des systèmes industriels. Nous en avons identifié plus de 50, certains génériques, d’autres dédiés à des secteurs spécifiques, d’autres encore en provenance d’Etats ou d’organismes de normalisation. Face à cette prolifération, le groupe de travail a sélectionné, analysé en détail puis comparé plus de 20 documents. Cette analyse a permis d’en recommander 3 en particulier, que sont : « Maîtriser la SSI pour les systèmes industriels » de l’ANSSI, « Guide to Industrial Control Systems (ICS) Security » (SP800-82) du NIST et « Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies » du DHS, et que tout responsable sécurité peut utiliser pour initier son programme de sécurité industriel. Nous en avons sélectionné d’autres utiles à des déclinaisons sectorielles ou techniques qui sont présentés dans le livrable. »

En complément de cette analyse des référentiels, le groupe de travail a formalisé une méthodologie simple en 5 étapes clés permettant d’initier rapidement des premières actions.

« Il est souvent difficile pour des responsables sécurité d’identifier les actions les plus efficaces pour démarrer, nous avons synthétisé l’ensemble des retours d’expériences des membres du groupe afin de donner les clés nécessaires pour convaincre dans l’entreprise et obtenir des premiers succès » affirme Hervé Schauer, co-animateur du groupe et également administrateur du CLUSIF.

Au cœur de ces étapes se trouvent la prise en compte du métier de l’organisation, la mobilisation du comité de direction, l’élaboration d’une politique de sécurité spécifique, la définition d’un programme de transformation et la mise sous contrôle dans la durée des risques pesant sur les SI industriels.

Après la publication de ce premier livrable, le groupe travaille désormais sur un questionnaire afin de dresser un bilan des pratiques actuellement en vigueur en France auprès des responsables concernés des grandes entreprises ainsi que des prestataires du secteur, comme les intégrateurs ou les constructeurs de systèmes industriels. Les résultats sont attendus pour la fin de l’année.

Le document « Cybersécurité des systèmes industriels : Par où commencer ? Panorama des référentiels et synthèse des bonnes pratiques » est disponible en ligne gratuitement sur le site du CLUSIF.

Corinne
Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?