Comment assurer la sécurité industrielle ? À l’heure où le numérique s’impose à chaque étape de la production industrielle, les risques liés à cette transformation évoluent également et se font chaque jour plus nombreux.

Heureusement, les systèmes de sécurité sont aussi améliorés en permanence, mais cette nouvelle donne n’est pas toujours évidente à appréhender. Le Club de la sécurité de l’information français (Clusif), qui rassemble 286 entreprises privées et collectivités, s’est donné précisément pour mission d’aider les décideurs à assurer leur sécurité industrielle.

Un groupe de travail a été créé, qui vient de publier un nouveau document intitulé « Cybersécurité des systèmes industriels : Par où commencer ? Panorama des référentiels et synthèse des bonnes pratiques ».

Cinq étapes majeures

Dans cette notice, ce groupe, après avoir compilé une impressionnante littérature sur le sujet, recommande trois documents en particulier pour lancer du bon pied l’établissement de processus de sécurité. Il s’agit de « Maîtriser la SSI pour les systèmes industriels » de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), « Guide to Industrial Control Systems (ICS) Security » (SP800-82) du NIST (National institute of standards and technology) et « Recommended Practice : Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies » du DHS (Department of Homeland Security). 

Le groupe de travail du Clusif estime par ailleurs indispensable de suivre cinq étapes-clefs dans la sécurisation d’un système industriel : « assimiler le métier industriel de l’entreprise et réaliser un état des lieux de la sécurité, sensibiliser le comité de direction aux vulnérabilités informatiques induisant des risques industriels, élaborer la politique de sécurité des systèmes d’information industriels (PSSI-I), décliner la PSSI-I au niveau opérationnel, maintenir sous contrôle les cyber-risques ».