Actus France industrie : ISA, CLUSIF, C&ESAR, OIV
Au menu de ce billet : deux annonces de conférences qui promettent d’être riches; le CLUSIF qui, suite à l’étude sur les référentiels de cybersécurité industrielle, lance une enquête sur leur notoriété et leur usage; et les exigences pour les OIV qui arrivent et qui ne sont pas assez anticipées.
Ah oui, et le label France Cyber Sécurité (le logo de cet article)
OIV : il est temps de s’y mettre !
Les OIV(1) vont devoir investir significativement pour être conformes aux exigences de l’Etat dans les délais : le budget sécurité (investissement et fonctionnement) va gonfler d’un facteur 2 à 5 suivant leur situation de départ. Suite à la publication des décrets d’application de la LPM(1), la définition des exigences précises qui vont s’appliquer aux OIV est en cours de finalisation, et se fait avec leur collaboration : ils ont donc visibilité sur celles-ci et sur les délais qui s’étalent de 3 mois à 2 ans, à compter de la parution des arrêtés ministériels (annoncés d’ici la fin d l’année).
Or selon les retours que l’on peut avoir des différents professionnels (prestataires) et de contacts auprès des autorités, une majorité des OIV n’a pas démarré la démarche au delà des réunions avec l’ANSSI : cela pourrait sembler raisonnable dans la mesure où les exigences définitives ne sont pas encore publiées, mais considérant que le projet est partagé depuis le début d’année, avec des échéances proches, et que les demandes de budgets et surtout de ressources (recrutement et contractualisation avec des prestataires) doivent se faire cet été dans la plupart des sociétés, il y a urgence pour les OIV à démarrer. Rappelons en effet que les SI d’importance vitale devront être homologués, faute de quoi leur exploitation pourra être mise en cause.
Deux ans c’est court notamment pour des modifications dans les SI industriels, mais c’est long vue l’évolution très rapide de la cyber-menace : il y va aussi de l’intérêt économique des OIV, car la plupart sont susceptibles d’être victimes d’une attaque comparable à celle de TV5 ou de l’usine sidérurgique allemande piratée en 2014.
CLUSIF : enquête sur l’usage des référentiels et retours d’expérience
Suite à la très bonne réception par les professionnels de l’étude du CLUSIF publiée en 2014 concernant les référentiels de sécurité des SI industriels et les meilleures pratiques pour une démarche de sécurisation, il s’agit cette année d’interroger les exploitants, fournisseurs, intégrateurs et conseils sur leur connaissance, usage et appréciation des référentiels.
Comme il se doit, la synthèse sera rendue publique, mais avec un accès privilégié et des informations détaillées pour les participants qui le souhaitent.
Si vous êtes exploitant, fournisseur, constructeur, intégrateur, ou conseil, et souhaitez savoir quelles sont les référentiels réellement utilisés et appréciés, vous êtes donc invités à vous rendre sur le formulaire accessible à partir de la page dédiée du site du CLUSIF.
Les journées C&ESAR 2015 consacrées à la résilience des systèmes numériques (23-25 Nov. Rennes)
Comme présenté ce matin en réunion du club Intelligence Economique du CLUSIR Rhône-Alpes: chaque organisation va connaître des crises. Sa capacité à les gérer dépendra de sa préparation, et sa capacité à s’en remettre déprendra de sa résilience. Le retour sur investissement de quelques exercices de préparation de cellules de crise et de communication, de quelques fiches pratiques avec les contacts, peut être considérable en cas de crise.
Bien gérée, avec quelques fondamentaux humains et SI en place, la crise peut être une chance pour l’organisation qui en sortira renforcée et consolidée (confiance clients, engagement des employés, culture d’entreprise…). Mal préparée, cela peut la faire disparaitre.
Quels sont ces fondamentaux ? Quels sont les retours d’expérience, les bonnes pratiques, à quels coûts ?
Pour vous inscrire, ou pour proposer une communication aux journées C&ESAR de fin novembre 2015 à Rennes, rendez-vous sur le site web dédié.
ATTENTION : les propositions de communication sont à faire via un résumé avant le 1er juillet, comme indiqué sur cette page.
Sûreté et sécurité de fonctionnement des systèmes critiques (20 Oct, Lyon)
Co-organisé par l’INSA de Lyon et ISA-France, ce séminaire d’une journée est principalement consacré à la sûreté de fonctionnement, ou sécurité fonctionnelle, ou sûreté… mais les liens avec la cybersécurité seront faits et traités en profondeur par différents intervenants : c’est donc à recommander si la cybersécurité n’a pas de secret pour vous mais que vous ne maîtrisez pas toute la sûreté, ou l’inverse, ou que vous ayez des choses à apprendre dans les deux domaines !
Programme et inscription sur le site de l’ISA !
Ah oui, et le label France Cyber Sécurité
Et les labellisés sont… au nombre de 24 et consultables ici, avec aussi un rappel de quoi il s’agit.
Une très bonne sélection, que je juge de manière tout à fait biaisée étant juge et partie
(1): Opérateurs d’Importance Vitale, et Loi de Programmation Militaire – pour un rappel des événements en France depuis 2012, les supports d’une intervention CLUSIR sont disponibles