L’Anssi avance sur la sécurisation des infrastructures industrielles
L’agence vient de proposer une méthode de classification des systèmes industriels ainsi qu’une liste de mesures pour en renforcer la sécurité informatique.
Au travers de deux documents totalisant près de 170 pages, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) vient de proposer une méthode de classification des systèmes industriels, assortie de mesures visant à en renforcer la sécurité informatique.
Ces propositions sont le fruit des travaux d’un groupe piloté par l’agence depuis février 2013 et regroupant acteurs industriels et étatiques. Dans un communiqué, l’Anssi précise qu’ils « n’ont pas de valeur contraignante » mais ont vocation à servir « de base de travail pour l’élaboration des règles évoquées dans le cadre de la loi 2013-1168 du 18 décembre 2013, dite loi de programmation militaire ». Celle-ci prévoit notamment des dispositions contraignantes pour le renforcement de la sécurité des systèmes informatiques des opérateurs d’importance vitale.
Mais l’Anssi n’a pas attendu cette loi pour se saisir de la question de la sécurité des infrastructures informatiques industrielles, ou Scada. Déjà, en juin 2012, l’agence publiait ses premières recommandations sur le sujet. Quelques mois plus tard, Patrick Pailloux, alors patron de l’Anssi, exprimait à nouveau son inquiétude. Ce qu’il a réitéré à l’occasion de la dernière édition des Assises de la Sécurité, à Monaco, début octobre 2013.
Pour lui, les Scada « sont désormais les systèmes nerveux de nos Nations. […] notre survie, au sens étroit du terme, dépend parfois du bon fonctionnement de ces systèmes ». Et d’appeler à « agir et agir vite ». Un impératif d’autant plus grand que les cycles de vie peuvent être extrêmement longs dans ce domaine. Lors d’un atelier organisé aux Assises de la sécurité, Christophe Long, RSSI Groupe adjoint de GDF Suez, a évoqué ainsi des contrats de maintenance « dont la durée peut atteindre 30 ans, voire plus. »
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
Vincent Strubel, Anssi : « Les JO vont être un test de notre cybersécurité collective »
-
Comment l’Anssi s’est faite pivot d’un écosystème ouvert de la cybersécurité en France
-
OIV : les sondes réseau qualifiées sont enfin là
-
Assises de la sécurité 2018 : l’analyse de risque comme pierre angulaire de l’anticipation