Accueil Actualité des SSII Le Cigref publie un guide innovant sur la cybersécurité industrielle

Le Cigref publie un guide innovant sur la cybersécurité industrielle

Le Cigref vient de publier un guide qui propose une méthode pour sécuriser les systèmes industriels. Ceux-ci sont désormais interconnectés et génèrent de nombreuses interactions. Pourtant, la thématique cyber est souvent peu abordée ou mal traitée, alors même que la menace peut provoquer un impact industriel critique.

Beaucoup de référentiels existants (ISO 27001, EBIOS, CIS, etc.) ont été conçus pour l’IT bureautique. Le guide CLUSIF 2025 est innovant car il transpose ces logiques au terrain industriel, en tenant compte de réalités essentielles : inertie des systèmes, obsolescence contrôlée, dépendance aux fournisseurs, sécurité physique des opérateurs, ou encore cycles de maintenance contraints” constatent les auteurs.

Ce guide très pédagogique de 107 pages fournit une méthodologie exploitable par les responsables de la sécurité, les directions techniques et les exploitants industriels, en tenant compte des contraintes opérationnelles réelles. “Le groupe de travail a voulu que les préconisations soient applicables pour des systèmes existants, obsolètes ou non, ainsi que pour la conception de nouveaux systèmes industriels”.

La gouvernance est le moteur de la transformation

Un autre élément intéressant est que les auteurs placent la gouvernance avant la technique. “Il est primordial de mettre en place une gouvernance dès la mise en
place d’un système industriel. Si le système industriel est en cours d’exploitation mais
qu’aucune gouvernance de la sécurité des systèmes industriels n’est mise en place, il est
nécessaire de la mettre en place le plus tôt possible“. Les auteurs rappellent que la cybersécurité impose une responsabilité et un arbitrage au plus haut niveau de l’entreprise. Le document apporte également des méthodes d’analyses de risques et de coûts qui permettent d’évaluer des mesures compensatoires lorsque par exemple, des mises à jour ou remplacements ne sont pas possibles à réaliser.

La force du guide réside aussi dans sa capacité à aider à déployer des mesures concrètes sur le terrain dans des contextes industriels très différents et à venir compléter NIS2. Il propose de faire de la cybersécurité industrielle une démarche de pilotage cohérente, et non une extension technique d’un schéma existant. C’est un changement de posture qui en fait une lecture stratégique.