Actu
Cybersécurité des Systèmes Industriels : Le CLUSIF publie son panorama des référentiels de sécurité
juin 2014 par CLUSIF
Les systèmes industriels sont aujourd’hui gagnés par la transformation numérique qui touche tous les métiers des grandes organisations. Ces systèmes sont très variés et sont présents dans de nombreux métiers : chaîne de montage dans l’industrie, système d’arme dans la défense, distribution d’énergie, réseau d’eau, gestion des bâtiments… L’ouverture de ces systèmes aux différents réseaux n’est pas sans créer de nouveaux risques que les organisations doivent prendre en compte. Mais face à cette multiplication des risques, les responsables sécurité sont souvent démunis : comment commencer ? Quelles règles de sécurité appliquer ?
Face à cette situation, le CLUSIF a créé un groupe de travail en 2013 regroupant plus d’une dizaine d’acteurs, grands groupes industriels et sociétés spécialisées dans la sécurité des systèmes d’information industriels. Aujourd’hui ce groupe de travail dévoile son nouveau document « Cybersécurité des systèmes industriels : Par où commencer ? Panorama des référentiels et synthèse des bonnes pratiques ».
Afin de réaliser son étude, le groupe de travail a tout d’abord rassemblé l’ensemble des référentiels et publications existant à sa connaissance dans le domaine de la sécurité des SI industriels.
Premier constat pour Gérôme Billois, co-animateur du groupe et administrateur du CLUSIF : « Il existe de très nombreux référentiels de sécurité des systèmes industriels. Nous en avons identifié plus de 50, certains génériques, d’autres dédiés à des secteurs spécifiques, d’autres encore en provenance d’Etats ou d’organismes de normalisation. Face à cette prolifération, le groupe de travail a sélectionné, analysé en détail puis comparé plus de 20 documents. Cette analyse a permis d’en recommander 3 en particulier, que sont : « Maîtriser la SSI pour les systèmes industriels » de l’ANSSI, « Guide to Industrial Control Systems (ICS) Security » (SP800-82) du NIST et « Recommended Practice : Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies » du DHS, et que tout responsable sécurité peut utiliser pour initier son programme de sécurité industriel. Nous en avons sélectionné d’autres utiles à des déclinaisons sectorielles ou techniques qui sont présentés dans le livrable. »
En complément de cette analyse des référentiels, le groupe de travail a formalisé une méthodologie simple en 5 étapes clés permettant d’initier rapidement des premières actions.
« Il est souvent difficile pour des responsables sécurité d’identifier les actions les plus efficaces pour démarrer, nous avons synthétisé l’ensemble des retours d’expériences des membres du groupe afin de donner les clés nécessaires pour convaincre dans l’entreprise et obtenir des premiers succès » affirme Hervé Schauer, co-animateur du groupe et également administrateur du CLUSIF.
Au cœur de ces étapes se trouvent la prise en compte du métier de l’organisation, la mobilisation du comité de direction, l’élaboration d’une politique de sécurité spécifique, la définition d’un programme de transformation et la mise sous contrôle dans la durée des risques pesant sur les SI industriels.
Après la publication de ce premier livrable, le groupe travaille désormais sur un questionnaire afin de dresser un bilan des pratiques actuellement en vigueur en France auprès des responsables concernés des grandes entreprises ainsi que des prestataires du secteur, comme les intégrateurs ou les constructeurs de systèmes industriels. Les résultats sont attendus pour la fin de l’année.
Le document « Cybersécurité des systèmes industriels : Par où commencer ? Panorama des référentiels et synthèse des bonnes pratiques » est disponible en ligne gratuitement sur le site du CLUSIF.
