Bonnes pratiques et expertises IT
Rechercher

La cybersécurité des SI industriels, les bonnes pratiques de l'ANSSI

A travers le guide « Maîtriser la SSI pour les systèmes industriels », l’ANSSI pose le problème de la sécurité des systèmes industriels et propose une méthodologie illustrée de cas pratiques afin de contrer ces menaces. Réalisée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) en collaboration avec quelques ministères et plusieurs grands groupes industriels parmi lesquels Michelin, EADS et Total, ce guide a comme volonté de sensibiliser les acteurs du monde industriel dans la prise en compte des enjeux liés à la cybersécurité.

En une quarantaine de pages, ce document rappelle dans un premier temps l’évolution et l’enjeu majeur de la cybersécurité et s’attache à renverser quelques préjugés qui ont la vie dure tels que « « J’utilise des protocoles et bases de données propriétaires, je suis protégé » alors que la réalité démontre trop souvent que « les solutions propriétaires sont susceptibles d’être vulnérables car elles peuvent n’avoir fait l’objet d’aucune analyse de sécurité ». Ensuite, l’agence présente une méthodologie et des outils à mettre en œuvre pour déployer et renforcer la sécurité des systèmes industriels.

Les grands principes de la SSI

Ce guide souligne que l’objectif principal de la SSI est d’étudier les vulnérabilités des systèmes (matériel, logiciel, procédures, aspects humains) et liste sept recommandations pour développer une véritable politique de cybersécurité :

  • Sensibilisation du personnel : informer régulièrement les collaborateurs car les risques évoluent en permanence.
  • Cartographie des installations et analyse de risque : réaliser un inventaire des installations matérielles, des systèmes et des applications critiques, et définir des mesures de sécurité adéquates.
  • Prévention : se protéger contre des menaces pas encore connues, et diminuer le périmètre sur lequel une menace est exercée.
  • Surveillance des installations et détection des incidents : détecter un incident le plus tôt possible et mettre en place des mesures pour en réduire et confiner les effets.
  • Traitement des incidents, chaîne d’alerte : intégrer une phase d’analyse post incident qui permet d’améliorer l’efficacité des mesures de SSI déployées initialement.
  • Veille sur les menaces et les vulnérabilités : s’informer sur l’évolution des menaces, des vulnérabilités, ainsi que de leurs effets potentiels.
  • Les plans de reprise et de continuité d’activité (PRA / PCA / DRP) : prévoir une stratégie permettant d'assurer la remise en service de l'infrastructure et la remise en route des systèmes d'information.

Une approche globale et structurée

Selon l’ANSII, la SSI ne doit pas se traiter dans l’urgence, de façon ponctuelle ou isolée. Il s’agit d’une démarche qui se planifie et qui doit prend en compte les suggestions suivantes :

  • Une volonté à tous les niveaux (engagement de la direction) : les systèmes d’information industriels doivent être intégrés dans les politiques de sécurité des systèmes d’information de l’entreprise, dès l’origine du projet.
  • Prise en compte de la SSI dans les projets : la SSI doit être envisagée dès le début du projet, par l’utilisateur final qui doit exprimer ses besoins lors des différentes phases (spécification, conception, intégration, test, réception et transfert en exploitation)
  • Prise en compte de la SSI dans les AMDEC /HAZOP : il est primordial de traiter conjointement les sujets SSI et sûreté de fonctionnement dans une approche commune.
  • Prise en compte de la SSI dans la maintenance : les plans de maintenance des systèmes d’information industriels ne peuvent être dissociés des plans de maintenance des installations qu’ils pilotent.
  • Prise en compte de la SSI dans les achats : les exigences de sécurité sur le système acheté doivent faire l’objet d’une étude et être clairement formalisées et intégrées dans les dossiers d’appels d’offres.

L’ANSSI précise également que ces recommandations sont similaires à celles de l’informatique de gestion, mais leur mise en œuvre est adapter aux contraintes du domaine industriel. Un cas pratique Pour illustrer ce guide, l’ANSSI propose un cas pratique d’une cinquantaine de pages.

L’objectif est de présenter des situations qui représentent un risque pour les entreprises et de transmettre les solutions adéquates afin d’accompagner les entreprises dans la sécurisation de leurs systèmes industriels. L’ANSSI souhaite faire évoluer ces documents à travers les différents usages, mais aussi avec les contributions et retours d’expérience des entreprises.

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

Laurence Blanlœil

Laurence Blanlœil

Anciennement responsable communication dans le secteur des nouvelles technologies pendant 20 ans, Laurence Blanloeil intègre l’équipe de Best Practices comme journaliste en 2013.

Nos Ouvrages

  • ERP - 145 réponses aux questions de votre direction générale

    Les ERP constituent encore la colonne vertébrale des systèmes d’information dans la plupart des moyennes et grandes entreprises. Malgré leur degré de maturité technologique, leurs performances métiers et la puissance des écosystèmes, les ERP suscitent encore de nombreuses questions de la part des DSI, qui ne trouvent pas toujours aisément de réponses.

  • La cybersécurité 
en 250 questions

    Les cyberattaques n’ont jamais occasionné autant de dégâts dans les entreprises. Et les perspectives n’encouragent pas à l’optimisme. Comment nmieux se protéger ? Ce guide pratique regroupe les 250 questions que doivent se poser les responsables sécurité, les DSI et les directions générales. Avec des
    réponses concrètes…

  • IT Benchmark
Rapport annuel - 2019

    La Shadow Information, ensemble d’informations que l’on ne trouve pas dans les médias, mais qui présentent une valeur pour la gestion opérationnelle de l'écosystème de l'IT. Ces contenus sont bien sûr accessibles à tous, mais cela demande énormément de temps et de ressources pour les trouver, les lire et se les approprier : les équipes de IT Benchmark le font pour vous !

A ne pas manquer

  • Comment rater...
sa génération de leads

    Il existe un lien étroit entre le dynamisme commercial d'un éditeur de logiciels ou d'un intégrateur et la qualité des leads dont disposent les commerciaux pour maintenir leur performance. Mais il est très facile de ruiner votre performance commerciale.

  • Services managés : où en sont les entreprises françaises ?

    Best Practices a réalisé une enquête auprès des entreprises et organisations publiques françaises. Avec plusieurs objectifs : cerner les enjeux associés aux systèmes d’information, mesurer les usages des services managés les budgets associés.

  • Pour en savoir plus sur l’externalisation

    Pourquoi externaliser ? Quels sont les avantages et les inconvénients ? Comment définir les règles du jeu ? Quels sont les points de vigilance ? Quelles sont les dix questions que posent systématiquement les directions générales aux DSI ?

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris