Les systèmes industriels sont aujourd’hui gagnés par la transformation numérique qui touche tous les métiers des grandes organisations. Ces systèmes sont très variés et sont présents dans de nombreux métiers : chaîne de montage dans l’industrie, système d’arme dans la défense, distribution d’énergie, réseau d’eau, gestion des bâtiments… L’ouverture de ces systèmes aux différents réseaux n’est pas sans créer de nouveaux risques que les organisations doivent prendre en compte. Mais face à cette multiplication des risques, les responsables sécurité sont souvent démunis : comment commencer ? Quelles règles de sécurité appliquer ?
Face à cette situation, le Clusif a créé un groupe de travail en 2013 regroupant plus d’une dizaine d’acteurs, grands groupes industriels et sociétés spécialisées dans la sécurité des systèmes d’information industriels. Aujourd’hui ce groupe de travail dévoile son nouveau document « Cybersécurité des systèmes industriels : Par où commencer ? Panorama des référentiels et synthèse des bonnes pratiques ».
Afin de réaliser son étude, le groupe de travail a tout d’abord rassemblé l’ensemble des référentiels et publications existant à sa connaissance dans le domaine de la sécurité des SI industriels.
Premier constat pour Gérôme Billois, co-animateur du groupe et administrateur du CLUSIF : « Il existe de très nombreux référentiels de sécurité des systèmes industriels. Nous en avons identifié plus de 50, certains génériques, d’autres dédiés à des secteurs spécifiques, d’autres encore en provenance d’Etats ou d’organismes de normalisation. Face à cette prolifération, le groupe de travail a sélectionné, analysé en détail puis comparé plus de 20 documents. Cette analyse a permis d’en recommander 3 en particulier, que sont : « Maîtriser la SSI pour les systèmes industriels » de l’ANSSI, « Guide to Industrial Control Systems (ICS) Security » (SP800-82) du NIST et « Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies » du DHS, et que tout responsable sécurité peut utiliser pour initier son programme de sécurité industriel. »
« Il est souvent difficile pour des responsables sécurité d’identifier les actions les plus efficaces pour démarrer, nous avons synthétisé l’ensemble des retours d’expériences des membres du groupe afin de donner les clés nécessaires pour convaincre dans l’entreprise et obtenir des premiers succès » affirme Hervé Schauer, co-animateur du groupe et également administrateur du CLUSIF.
En complément de cette analyse des référentiels, le groupe de travail a formalisé une méthodologie simple en 5 étapes clés permettant d’initier rapidement des premières actions.
Pour consulter le document « Cybersécurité des systèmes industriels avec sa fiche annexe :
http://www.clusif.fr/fr/production/ouvrages/type.asp?id=DOSSIERS+TECHNIQUES#doc266
http://www.clusif.fr/fr/production/ouvrages/type.asp?id=DOSSIERS+TECHNIQUES#doc267