Face à la multiplication des risques dans les systèmes industriels, le Club de la Sécurité de l’Information Français a créé un groupe de travail regroupant plus d’une dizaine d’acteurs, grands groupes industriels et sociétés spécialisées dans la sécurité des systèmes d’information industriels. Ce groupe dévoile son premier rapport.
Les systèmes industriels sont aujourd’hui gagnés par la transformation numérique qui touche tous les métiers des grandes organisations. Ces systèmes sont très variés et sont présents dans de nombreux métiers : chaîne de montage dans l’industrie, système d’arme dans la défense, distribution d’énergie, réseau d’eau, gestion des bâtiments… L’ouverture de ces systèmes aux différents réseaux n’est pas sans créer de nouveaux risques que les organisations doivent prendre en compte.
Mais face à cette multiplication des risques, les responsables sécurité sont souvent démunis : comment commencer ? Quelles règles de sécurité appliquer ? Face à cette situation, le Club de la Sécurité de l’Information Français dévoile son nouveau document « Cybersécurité des systèmes industriels : par où commencer ? Panorama des référentiels et synthèse des bonnes pratiques ». Afin de réaliser son étude, le groupe de travail a tout d’abord rassemblé l’ensemble des référentiels et publications existant à sa connaissance dans le domaine de la sécurité des SI industriels.
Premier constat pour Gérôme Billois, co-animateur du groupe et administrateur du Clusif : « Il existe de très nombreux référentiels de sécurité des systèmes industriels. Nous en avons identifié plus de 50, certains génériques, d’autres dédiés à des secteursspécifiques, d’autres encore en provenance d’Etats ou d’organismes de normalisation. Face à cette prolifération, le groupe de travail a sélectionné, analysé en détail puis comparé plus de 20 documents. Cette analyse a permis d’en recommander 3 en particulier, que sont : « Maîtriser la SSI pour les systèmes industriels » de l’ANSSI, « Guide to Industrial Control
Systems (ICS) Security » (SP800-82) du NIST et « Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies » du DHS, et que tout responsable sécurité peut utiliser pour initier son programme de sécurité industriel. Nous en avons sélectionné d’autres utiles à des déclinaisons sectorielles ou techniques qui sont présentés dans le livrable.»
Une méthodologie en 5 étapes
En complément de cette analyse des référentiels, le groupe de travail a formalisé une méthodologie simple en 5 étapes clés permettant d’initier rapidement des premières actions.
« Il est souvent difficile pour des responsables sécurité d’identifier les actions les plus efficaces pour démarrer. Nous avons synthétisé l’ensemble des retours d’expériences des membres du groupe afin de donner les clés nécessaires pour convaincre dans l’entreprise et obtenir des premiers succès » indique Hervé Schauer, co-animateur du groupe et également administrateur du Clusif. Au cœur de ces étapes se trouvent la prise en compte du métier de l’organisation, la mobilisation du comité de direction, l’élaboration d’une politique de sécurité spécifique, la définition d’un programme de transformation et la mise sous contrôle dans la durée des risques pesant sur les SI industriels.
Après la publication de ce premier livrable, le groupe travaille désormais sur un questionnaire afin de dresser un bilan des pratiques actuellement en vigueur en France auprès des responsables concernés des grandes entreprises ainsi que des prestataires du secteur, comme les intégrateurs ou les constructeurs de systèmes industriels. Les résultats sont attendus pour la fin de l’année.
Pour consulter ce réfenrentiel, avec sa fiche annexe, rendez-vous ici :
http://www.clusif.fr/fr/production/ouvrages/type.asp?id=DOSSIERS+TECHNIQUES#doc266
http://www.clusif.fr/fr/production/ouvrages/type.asp?id=DOSSIERS+TECHNIQUES#doc267