Système de Management de la Sécurité de l'Information (SMSI)

Dans un contexte de menaces cyber croissantes et de réglementations européennes de plus en plus exigeantes, les organisations doivent structurer leur approche de la cybersécurité de manière systématique et démontrable. Le Système de Management de la Sécurité de l’Information (SMSI) s’impose comme la réponse organisationnelle à cet impératif. En France, plus de 2 000 organisations détiennent aujourd’hui une certification ISO/IEC 27001 (source : AFNOR Certification, 2024), tandis que la directive NIS 2 concerne potentiellement plus de 15 000 entités françaises opérant dans des secteurs critiques (source : ANSSI, 2024). Pour les industriels, la convergence entre systèmes d’information (IT) et systèmes de contrôle industriel (OT) impose une approche spécifique intégrant les exigences de la norme ISA/IEC 62443.

Qu’est-ce qu’un Système de Management de la Sécurité de l’Information ?

Définition et principes fondamentaux du SMSI

Un Système de Management de la Sécurité de l’Information est une approche systématique et structurée visant à établir, mettre en œuvre, maintenir et améliorer en continu la sécurité de l’information au sein d’une organisation. Contrairement à une approche purement technique centrée sur le déploiement d’outils de sécurité, le SMSI adopte une vision globale intégrant les dimensions organisationnelles, humaines, processus et technologiques.

Le périmètre d’un SMSI est défini par l’organisation elle-même en fonction de ses enjeux métier, de son exposition aux risques et de ses obligations réglementaires. Ce périmètre peut couvrir l’ensemble de l’organisation ou se limiter à certaines activités, sites ou processus critiques. Pour un industriel français, le périmètre inclut généralement les systèmes IT traditionnels mais également les systèmes de contrôle industriel (SCADA, automates, capteurs IoT) dont la compromission pourrait affecter la sécurité des personnes ou la continuité de production.

La gouvernance de l’information constitue le premier pilier du SMSI. Elle établit les rôles, responsabilités et circuits de décision permettant d’assurer que les enjeux de sécurité sont portés au niveau approprié de la direction. L’engagement de la direction générale est d’ailleurs une exigence explicite de l’ISO 27001, reconnaissant que la sécurité de l’information ne peut être déléguée uniquement aux équipes techniques.

Les objectifs stratégiques d’un SMSI

Le SMSI vise principalement à préserver trois propriétés fondamentales de l’information, formant la triade CIA (Confidentiality, Integrity, Availability) : la confidentialité garantit que l’information n’est accessible qu’aux personnes autorisées, l’intégrité assure que l’information n’est pas altérée de manière non autorisée, et la disponibilité garantit l’accès à l’information quand nécessaire.

Dans les environnements industriels, cette triade classique est souvent réordonnée. La disponibilité devient généralement la priorité absolue car un arrêt de production peut engendrer des pertes financières considérables, estimées entre 100 000 et 1 million d’euros par heure pour les sites industriels critiques (source : Ponemon Institute, 2023). L’intégrité des données de contrôle-commande est également critique car une manipulation pourrait provoquer des accidents industriels majeurs.

Au-delà de la protection technique, le SMSI poursuit des objectifs de conformité réglementaire. Avec l’entrée en vigueur de NIS 2 en octobre 2024, les organisations concernées doivent démontrer qu’elles ont mis en place des mesures de gestion des risques appropriées et proportionnées. Le SMSI fournit précisément ce cadre démontrable et auditable.

L’approche par les risques au cœur du dispositif

Le principe fondateur de tout SMSI est l’approche par les risques. Plutôt que d’appliquer un catalogue figé de mesures de sécurité, l’organisation identifie ses actifs critiques, évalue les menaces et vulnérabilités auxquelles ils sont exposés, puis détermine les mesures de sécurité proportionnées aux risques identifiés.

Cette analyse de risque s’appuie généralement sur une méthodologie structurée telle qu’EBIOS Risk Manager (méthode française de l’ANSSI), ISO 27005 ou MEHARI. Le processus comprend quatre étapes majeures : l’identification des actifs et de leur valeur métier, l’identification des scénarios de menaces réalistes, l’évaluation de la criticité des risques selon leur probabilité et leur impact, et enfin le traitement des risques par réduction, transfert, évitement ou acceptation.

Pour les industriels, l’analyse de risque OT présente des spécificités importantes. Les scénarios de menaces doivent intégrer non seulement les risques cyber classiques (ransomware, vol de données) mais également les risques de sécurité industrielle (manipulation de paramètres process, arrêt non contrôlé d’équipements). La méthode IEC 62443-3-2 fournit précisément un cadre d’évaluation des risques adapté aux systèmes de contrôle industriel, en prenant en compte les zones de sécurité et les conduits entre ces zones.

L’acceptation du risque résiduel par la direction constitue une étape cruciale. Une fois les mesures de sécurité mises en place, un certain niveau de risque subsiste toujours. La direction doit formellement accepter ce risque résiduel, démontrant ainsi sa connaissance et son appropriation des enjeux de sécurité.

Trois référentiels : ISO 27001, NIS 2 et IEC 62443

ISO 27001 : le référentiel international de référence

La norme ISO/IEC 27001, publiée pour la première fois en 2005 et révisée en 2022, constitue le référentiel international de référence pour les SMSI. Adoptée dans plus de 180 pays, elle compte plus de 60 000 organisations certifiées dans le monde (source : ISO Survey, 2023). La norme suit le modèle HLS (High Level Structure) commun à toutes les normes ISO de systèmes de management.

L’Annexe A de l’ISO 27001 liste 93 mesures de sécurité réparties en quatre catégories : organisationnelles (37 mesures), personnes (8 mesures), physiques (14 mesures) et technologiques (34 mesures). Cette annexe constitue le catalogue de référence à partir duquel l’organisation sélectionne les mesures applicables. La certification ISO 27001 est délivrée par des organismes certificateurs accrédités après un audit en deux étapes, avec une durée moyenne de projet entre 12 et 18 mois pour une organisation de taille moyenne.

NIS 2 : l’obligation européenne de cybersécurité

La directive NIS 2, adoptée en décembre 2022, étend significativement le périmètre de la réglementation européenne en matière de cybersécurité. Elle s’applique désormais à plus de 15 000 organisations françaises classées en deux catégories : les entités essentielles opérant dans 11 secteurs hautement critiques, et les entités importantes dans 7 secteurs critiques.

Le lien entre NIS 2 et le SMSI est explicite et direct. Comme le précise le Règlement d’exécution (UE) 2024/2690 : « Les entités concernées établissent et maintiennent un cadre approprié pour la gestion des risques afin d’identifier les risques pour la sécurité des réseaux et des systèmes d’information et d’y apporter une réponse. » Cette exigence correspond à la définition d’un Système de Management de la Sécurité de l’Information, faisant du SMSI le cadre naturel et structuré pour répondre aux obligations réglementaires de NIS 2.

NIS 2 impose des mesures de gestion des risques techniques, opérationnelles et organisationnelles appropriées. L’innovation majeure réside dans la responsabilité des dirigeants qui doivent approuver les mesures, superviser leur mise en œuvre et suivre des formations spécifiques. Les sanctions atteignent 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial pour les entités essentielles. La gestion des incidents exige une notification à l’ANSSI dans un délai de 24 heures pour une notification initiale, 72 heures pour un rapport intermédiaire et 1 mois pour un rapport final.

IEC 62443 : la norme industrielle pour les environnements OT

La norme ISA/IEC 62443, développée par l’International Society of Automation et l’IEC, constitue le référentiel international de référence pour la cybersécurité des systèmes de contrôle industriel. Elle est structurée en quatre séries : la série 1 (concepts et terminologie), la série 2 (politiques et procédures pour propriétaires d’actifs), la série 3 (exigences système), et la série 4 (exigences composants).

La norme introduit le concept de niveaux de sécurité (Security Level 0 à 4) permettant de graduer les exigences en fonction de l’exposition aux menaces. Elle définit également le modèle de zones et conduits qui structure l’architecture de sécurité des réseaux industriels. Pour les industriels français soumis à NIS 2, l’IEC 62443 apporte les spécifications techniques indispensables pour sécuriser les systèmes OT tout en maintenant la disponibilité opérationnelle.

Tableau comparatif des trois référentiels

Critère	ISO/IEC 27001	NIS 2	IEC 62443
Nature	Norme internationale volontaire	Directive européenne obligatoire	Norme internationale volontaire
Périmètre	Systèmes d’information (IT)	Services essentiels et importants	Systèmes industriels (OT/IoT)
Secteurs cibles	Tous secteurs	18 secteurs critiques	Industrie, énergie, eau, transport
Approche	Management de la sécurité	Gestion des risques cyber	Sécurité technique systèmes contrôle
Certification	Oui (organismes accrédités)	Non (contrôle ANSSI)	Oui (composants et systèmes)
Coût indicatif	80-200 k€	Variable	150-500 k€
Délai moyen	12-18 mois	Application immédiate	18-36 mois
Sanctions	Perte de certification	2-10 M€ ou 1,4-2% CA	Non applicable
Responsabilité direction	Engagement requis	Responsabilité personnelle	Validation propriétaire
Notification incidents	Optionnelle	Obligatoire (24h-72h-1 mois)	Optionnelle
Gestion supply chain	Recommandée	Obligatoire	Exigences détaillées
Complémentarité	Socle générique	Complète ISO 27001	Complète ISO 27001 (OT)

Pour un industriel français opérant dans un secteur critique, la stratégie optimale consiste à combiner les trois approches : l’ISO 27001 comme socle de gouvernance de la sécurité, NIS 2 pour la conformité réglementaire européenne, et l’IEC 62443 pour les spécificités techniques des systèmes de contrôle. L’analyse de risques peut être mutualisée en utilisant EBIOS Risk Manager complété par l’approche IEC 62443-3-2 pour les systèmes industriels.

Comment mettre en œuvre un SMSI efficace ?

Les étapes clés du déploiement et l’approche PDCA

Le déploiement d’un SMSI suit une méthodologie structurée basée sur le cycle d’amélioration continue PDCA (Plan-Do-Check-Act). La phase de cadrage (1-2 mois) définit le périmètre du SMSI, identifie les parties intéressées et leurs attentes, et établit la gouvernance du projet. Pour un industriel, cette phase doit impliquer les directions IT, opérationnelles et de production.

La phase Plan (Planifier) comprend l’analyse de risques (2-4 mois) qui inventorie les actifs, identifie les menaces et vulnérabilités, évalue les risques et définit leur traitement. Pour un site industriel de taille moyenne, l’inventaire recense généralement entre 500 et 2000 actifs IT/OT. La planification (1-2 mois) sélectionne les mesures de sécurité applicables et rédige la Déclaration d’Applicabilité.

La phase Do (Faire) correspond à la mise en œuvre (6-12 mois) qui déploie concrètement les mesures : rédaction des politiques et procédures, déploiement des solutions techniques (pare-feu, SIEM, segmentation réseau), mise en place des contrôles organisationnels, et réalisation des campagnes de formation. L’investissement pour un industriel de taille moyenne se situe entre 150 000 et 400 000 euros incluant accompagnement, solutions techniques et ressources internes.

La phase Check (Vérifier) évalue l’efficacité à travers les indicateurs de performance (taux de systèmes patchés, taux de collaborateurs formés, délai de détection d’incidents), les audits internes annuels vérifiant la conformité, et la revue de direction annuelle évaluant l’adéquation du SMSI. La phase Act (Agir) traite les non-conformités, met en œuvre les actions correctives et améliore continuellement le système.

Gouvernance et organisation des rôles

La gouvernance du SMSI repose sur une répartition claire des rôles. La direction générale porte la responsabilité ultime et doit démontrer son engagement à travers l’allocation de ressources, l’approbation de la politique de sécurité et l’acceptation formelle des risques résiduels. Le Responsable du SMSI (RSSI) pilote le système au quotidien : coordination de l’analyse de risques, suivi du plan de traitement, animation du réseau des correspondants, pilotage des audits internes et veille réglementaire.

Le Comité de Sécurité constitue l’instance de gouvernance stratégique. Composé de représentants de la direction générale, de la DSI, des directions métier et des ressources humaines, il se réunit trimestriellement pour suivre l’avancement, arbitrer les investissements et valider les évolutions majeures. Les correspondants sécurité déployés dans les différentes entités assurent le lien entre le RSSI et le terrain : participation à l’analyse de risques, relai des communications, remontée des incidents.

Pour les industriels, l’organisation intègre des rôles spécifiques OT. Le Responsable Sécurité OT coordonne l’application des mesures sur les systèmes industriels en lien avec les équipes de production. Le Responsable de Zone défini dans l’IEC 62443-2-1 porte la responsabilité de la sécurité d’une zone de sécurité spécifique du réseau industriel. Cette organisation garantit que les contraintes opérationnelles sont prises en compte dans les décisions de sécurité.

SMSI en environnement industriel : enjeux et spécificités

Contraintes de disponibilité et de continuité opérationnelle

Dans un environnement industriel, la disponibilité des systèmes de production constitue l’exigence absolue. Un arrêt de production non planifié d’une heure peut engendrer des pertes comprises entre 100 000 et 1 million d’euros selon le secteur (source : Ponemon Institute, 2023), sans compter les impacts potentiels sur la sécurité des personnes dans les industries à risques (chimie, énergie, agroalimentaire).

Cette contrainte de continuité opérationnelle impacte directement les stratégies de sécurisation. Les fenêtres de maintenance pour appliquer des correctifs de sécurité sont limitées à quelques jours par an lors des arrêts techniques planifiés. Entre ces fenêtres, les systèmes restent exposés aux vulnérabilités connues, créant un risque résiduel que les équipes doivent compenser par des mesures alternatives : segmentation réseau renforcée, surveillance accrue, mesures compensatoires comme la mise en liste blanche des communications autorisées.

Le plan de continuité d’activité (PCA) et le plan de reprise d’activité (PRA) doivent intégrer les scénarios cyber spécifiques. Au-delà des incidents classiques, les industriels doivent planifier la réponse à un ransomware paralysant les systèmes de supervision, à une compromission des automates nécessitant leur réinitialisation, ou à une manipulation des paramètres process détectée tardivement. Les tests réguliers de ces plans, exigés tant par l’ISO 27001 que par NIS 2, doivent être réalisés sans perturber la production.

La résilience cyber nécessite des architectures techniques spécifiques. La mise en place de systèmes de secours (automates redondants, serveurs SCADA en haute disponibilité) améliore la disponibilité mais complexifie la gestion de la sécurité. Les industriels français investissent en moyenne 5 à 8% de leur budget IT/OT dans la cybersécurité, avec une tendance à la hausse sous l’effet de NIS 2 (source : APSSIS, 2024).

Convergence IT/OT et architecture de zones

La convergence IT/OT représente un enjeu majeur pour les industriels contemporains. Historiquement, les réseaux informatiques de gestion (IT) et les réseaux de contrôle industriel (OT) étaient strictement séparés. Cette séparation garantissait une protection forte mais empêchait les usages modernes : supervision à distance, maintenance prédictive, optimisation énergétique.

La mise en œuvre d’une architecture de zones de sécurité selon le modèle Purdue adapté par l’IEC 62443 constitue la réponse technique. Ce modèle structure le réseau industriel en couches hiérarchiques : niveau 0 (capteurs et actionneurs), niveau 1 (automates et contrôleurs), niveau 2 (supervision et SCADA), niveau 3 (opérations et MES), niveau 4 (gestion entreprise et ERP). Chaque niveau constitue une zone de sécurité avec des exigences de protection graduées.

Les conduits entre zones sont les points de passage contrôlés où s’appliquent des mesures de filtrage strictes. Typiquement, un pare-feu industriel contrôle les flux entre la zone de supervision et la zone opérations, n’autorisant que les protocoles industriels nécessaires (OPC, Modbus, Profinet) et uniquement dans le sens requis. La segmentation réseau limite la propagation latérale d’une attaque : un ransomware compromettant le réseau bureautique ne pourra pas se propager vers les automates.

L’interconnexion avec les fournisseurs constitue un défi particulier. Les fabricants d’équipements exigent souvent des accès distants pour la maintenance. Ces accès, s’ils ne sont pas contrôlés, créent des vecteurs d’attaque exploitables. La solution passe par des passerelles d’accès distant sécurisées (jump servers, VPN avec MFA, solutions de PAM) permettant une traçabilité complète. Pour un site industriel de taille moyenne, l’architecture cible comprend généralement entre 5 et 15 zones de sécurité selon la complexité des process.

Gestion des systèmes legacy et vulnérabilités

Les systèmes legacy constituent l’un des défis majeurs de la cybersécurité industrielle française. De nombreux sites exploitent encore des équipements installés il y a 15 à 25 ans, fonctionnant sous Windows XP, Windows Server 2003 ou des versions d’automates qui ne reçoivent plus de correctifs de sécurité. Ces systèmes accumulent des vulnérabilités connues, mais leur remplacement est économiquement prohibitif ou techniquement impossible à court terme.

La stratégie de gestion des vulnérabilités en environnement OT diffère fondamentalement de l’approche IT. Le principe « patcher tout, tout de suite » est inapplicable. La méthode recommandée par l’IEC 62443-2-3 repose sur une approche graduée : inventaire exhaustif des systèmes et versions, identification des vulnérabilités via les CVE et bases ICS-CERT, évaluation de la criticité en fonction du contexte opérationnel, et planification des correctifs lors des fenêtres de maintenance.

Les mesures compensatoires permettent de réduire les risques lorsque le patching n’est pas possible. Elles incluent : l’isolation réseau stricte avec liste blanche des communications, la désactivation des services non nécessaires et des comptes par défaut, le durcissement système selon les guides CIS ou ANSSI, la surveillance renforcée avec détection d’anomalies, et l’interdiction des supports amovibles (USB) qui constituent un vecteur d’infection majeur en environnement isolé.

Le décommissionnement sécurisé des systèmes legacy pose également des enjeux spécifiques. Les données historiques doivent être archivées de manière sécurisée et accessible, les licences et documentations techniques préservées, et l’équipement physique détruit de manière à empêcher toute récupération d’informations sensibles. Les données de production historiques ont une valeur patrimoniale importante et sont souvent soumises à des obligations réglementaires de conservation de 10 à 30 ans selon les secteurs.

Intégration du SMSI avec le Règlement Machines et le CRA

Pour les fabricants de machines et d’équipements industriels basés en France ou commercialisant dans l’Union européenne, le Règlement Machines (entré en vigueur en 2023 et applicable à partir de 2027) introduit de nouvelles exigences en matière de cybersécurité. L’Annexe III impose que les machines intégrant des éléments numériques soient conçues de manière à ce que leur sécurité ne puisse être compromise par un accès non autorisé.

Le Cyber Resilience Act (CRA), dont l’application est prévue à partir de 2027, imposera des exigences de cybersécurité à tous les produits numériques commercialisés dans l’UE. Les fabricants devront mettre en œuvre une démarche de sécurité by design, documenter les vulnérabilités, fournir des correctifs pendant toute la durée de vie du produit, et notifier les incidents de sécurité.

L’articulation entre le SMSI organisationnel et ces obligations produit nécessite une approche intégrée. Le fabricant doit déployer un SMSI couvrant son organisation selon l’ISO 27001, mais également implémenter des processus spécifiques pour la sécurité des produits : analyse de menaces produit, gestion du cycle de vie sécurisé de développement, mise en place d’un PSIRT (Product Security Incident Response Team) pour traiter les vulnérabilités découvertes.

La norme IEC 62443-4-1 (Secure Product Development Lifecycle) fournit le cadre méthodologique pour intégrer la sécurité dans le développement de produits industriels. Elle définit les exigences à chaque phase : spécifications, conception, implémentation, vérification, maintenance. Pour un fabricant français d’équipements industriels, la stratégie recommandée consiste à déployer un SMSI ISO 27001 couvrant l’organisation, implémenter l’IEC 62443-4-1 pour le développement sécurisé, structurer un PSIRT, et préparer la conformité au Cyber Resilience Act et au Règlement Machines.

Checklist opérationnelle : 10 actions clés pour déployer un SMSI

Chaque action présentée ci-dessous doit faire l’objet d’une analyse de risque préalable spécifique à votre contexte organisationnel, technique et opérationnel. Les mesures de sécurité doivent être proportionnées aux risques identifiés et adaptées aux contraintes de votre environnement industriel.

1. Réaliser un inventaire exhaustif des actifs IT et OT Cartographiez tous les actifs informationnels et industriels (serveurs, automates, IHM, SCADA, capteurs) avec leurs versions, localisations et criticités métier. Cet inventaire constitue la base de l’analyse de risques.

2. Conduire une analyse de risques structurée IT/OT Déployez EBIOS Risk Manager pour l’IT et IEC 62443-3-2 pour l’OT. Identifiez les scénarios pertinents (ransomware, sabotage, manipulation process) et évaluez leur criticité selon votre contexte opérationnel.

3. Définir une architecture de zones de sécurité OT Structurez votre réseau industriel selon le modèle Purdue en zones hiérarchiques. Implémentez des pare-feux industriels entre zones avec règles de filtrage en liste blanche.

4. Déployer un programme de sensibilisation ciblé Formez tous les collaborateurs (4h/an minimum), avec formations spécialisées OT pour les techniciens (8h/an) et approfondies pour les équipes IT/OT (16h/an).

5. Établir un processus de gestion des vulnérabilités adapté Inventoriez les vulnérabilités via CVE et ICS-CERT. Priorisez les correctifs selon criticité. Pour les systèmes non patchables, déployez des mesures compensatoires et documentez l’acceptation des risques.

6. Déployer des capacités de détection et réponse incidents Implémentez une surveillance (SIEM/SOC) couvrant IT et OT avec règles adaptées aux protocoles industriels. Définissez un plan de réponse incluant des procédures spécifiques OT. Testez régulièrement.

7. Sécuriser les accès distants fournisseurs Éliminez les accès directs non contrôlés. Déployez une architecture sécurisée (jump server, VPN avec MFA, PAM) permettant traçabilité et coupure. Contractualisez les obligations de sécurité.

8. Mettre en place une gouvernance SMSI forte Constituez un Comité de Sécurité incluant direction générale et directions opérationnelles. Organisez des revues trimestrielles. Formalisez l’engagement dans une politique signée.

9. Documenter et tester les plans de continuité cyber Enrichissez vos PCA/PRA avec des scénarios cyber (ransomware, compromission automates, corruption données). Identifiez les modes dégradés sécurisés. Testez annuellement.

10. Préparer la conformité NIS 2 et la notification incidents Établissez les processus de notification ANSSI respectant les délais (24h-72h-1 mois). Définissez les critères de significativité. Formez les équipes et désignez les interlocuteurs.

FAQ

Quelle est la différence entre un SMSI et un plan de cybersécurité ?

Un SMSI est un cadre organisationnel structuré et permanent visant à gérer la sécurité de manière systématique selon l’approche PDCA. Il inclut gouvernance, processus, rôles et amélioration continue. Un plan de cybersécurité est un document opérationnel décrivant les actions à mettre en œuvre sur une période définie (1 à 3 ans). Le plan constitue l’un des éléments du SMSI.

La certification ISO 27001 est-elle obligatoire pour NIS 2 ?

Non, la certification ISO 27001 n’est pas une obligation légale de NIS 2. Elle constitue cependant un moyen efficace de démontrer la conformité aux exigences de gestion des risques. L’ANSSI reconnaît l’ISO 27001 comme couvrant environ 80% des exigences de NIS 2. La certification apporte une preuve tangible et reconnue internationalement.

Combien de temps pour déployer un SMSI industriel ?

Le déploiement complet d’un SMSI en environnement industriel nécessite généralement entre 18 et 36 mois selon la taille de l’organisation et la complexité des systèmes OT. Cette durée inclut cadrage (1-2 mois), analyse de risques (3-4 mois), planification (2 mois), mise en œuvre (12-18 mois), audits internes (2-3 mois) et certification (2-3 mois).

Comment gérer les systèmes legacy non patchables ?

Les systèmes legacy doivent être protégés par des mesures compensatoires : isolation réseau stricte avec liste blanche, durcissement système (désactivation services inutiles), interdiction supports amovibles (USB), surveillance renforcée avec détection d’anomalies, et déploiement de solutions de scellement (whitelisting). Ces mesures doivent être documentées et acceptées par la direction.

Quels sont les coûts d’une certification ISO 27001 industrielle ?

Pour un industriel français de taille moyenne (200-500 employés, 2-3 sites), le budget global se situe entre 150 000 et 400 000 euros. Ce budget inclut : accompagnement externe (40-80 k€), investissements techniques (60-200 k€), ressources internes (30-80 k€), formations (10-20 k€), audits de certification (10-20 k€).

Comment articuler ISO 27001 et IEC 62443 ?

L’articulation optimale utilise ISO 27001 comme cadre générique de management couvrant IT et OT, et applique les exigences techniques IEC 62443 sur le périmètre OT. L’analyse de risques suit ISO 27005/EBIOS complétée par IEC 62443-3-2 pour les systèmes industriels. L’architecture de sécurité OT suit le modèle zones et conduits de l’IEC 62443-3-3.

Conclusion

Le déploiement d’un Système de Management de la Sécurité de l’Information constitue désormais une exigence incontournable pour les organisations françaises, qu’elles soient soumises à la directive NIS 2, qu’elles visent la certification ISO 27001 ou qu’elles opèrent des environnements industriels critiques nécessitant l’application de la norme IEC 62443. Ces trois référentiels s’articulent dans une logique de complémentarité permettant une approche globale et cohérente de la gestion des risques cyber.

Pour les industriels français, la spécificité réside dans l’intégration des contraintes propres aux systèmes de contrôle industriel : priorité à la disponibilité, fenêtres de maintenance limitées, systèmes legacy non patchables, convergence IT/OT. L’approche par zones de sécurité, les mesures compensatoires et l’adaptation des processus de gestion des vulnérabilités constituent autant de spécificités à maîtriser. La réussite repose sur l’implication conjointe des directions IT et opérationnelles, une compréhension fine des enjeux métier, et une allocation de ressources proportionnée aux risques encourus.