Scada : le Clusif dresse un état des lieux des référentiels de sécurité

Patrick Pailloux, lorsqu’il pilotait l’Agence nationale pour la sécurité des systèmes d’information (Anssi), en avant fait l’une de ses priorités : sécuriser les systèmes informatiques industriels. Mais voilà, « ces systèmes sont variés et présents dans de nombreux métiers », comme le relève le Club de la sécurité informatique français (Clusif), soulignant l’inéluctable ouverture de ces systèmes et la multiplication des risques induite par cette ouverture. Dès lors, pour le Clusif, « les responsables sécurité sont souvent démunis : comment commencer ? Quelles règles de sécurité appliquer ? » 

C’est pour aider à répondre à ces questions que le Club a créé un groupe de travail en 2013, animé par Gérôme Billois, de Solucom, et Hervé Schauer, fondateur du cabinet HSC. Dans un communiqué, le premier explique que « plus de 50 » référentiels de sécurité des systèmes industriels ont été identifiés par le groupe de travail, « certains génériques, d’autres dédiés à des secteurs spécifiques, d’autres encore en provenance d’Etats ou d’organismes de normalisation », pour au final en étudier une vingtaine et en recommander trois, signés par l’Anssi, et par le NIST et le DHS américains.

Mais le Clusif est allé plus loin, en « formalisant une méthodologie simple en 5 étapes clés permettant d’initier rapidement des premières actions. » Hervé Schauer explique ainsi répondre de manière pragmatique à une problématique précise : « il est souvent difficile pour des responsables sécurité d’identifier les actions les plus efficaces pour démarrer. » D’où la volonté de « synthétiser l’ensemble des retours d’expériences des membres du groupe afin de donner les clés nécessaires pour convaincre dans l’entreprise et obtenir des premiers succès. »

Les fruits des premiers travaux du groupe de travail du Clusif sont téléchargeables gratuitement sur le site Web du Club.