📢 L'Agence nationale de la sécurité des systèmes d'information (ANSSI) vient de publier la nouvelle version de son guide de classification cyber des actifs industriels.
💡 Conséquence pour les organisations qui ont mis en œuvre la version précédente de la méthode de classification : des ajustements importants au niveau de la forme sont à prévoir, notamment avec la prise en compte de la nouvelle définition d'une classe cyber et de la notion de surclassement de certains systèmes.
Remarques générales :
1️⃣ Par rapport à la version précédente : ce guide détaille un peu plus le contexte de la menace cyber en environnement industriel = objectif sensibilisation (c'est important).
2️⃣ La méthode de classification est aligné, modulo quelques ajustements, à EBIOS-RM.
3️⃣ D’un point de vue lexical, l’utilisation des termes OT, informatique industriel, systèmes industriels et systèmes d’information industriels mérite encore d’être uniformisé dans le document.
Évolutions majeures et quelques points de réflexion :
🔶 La notion de classe se focalise sur l'impact uniquement. Dans la version précédente, la classe était issue de l'impact et de la vraisemblance. La vraisemblance est maintenant intégrée dans les scénarios stratégiques de la méthode EBIOS RM. La définition d'une classe est la suivante : "Une classe de cybersécurité est définie en fonction de la gravité des conséquences pour la Nation selon les impacts sur la population, l’économie et l’environnement."
A ce titre, il est donc possible de disposer de deux niveaux de classification d'un site : une classification dans le contexte de l'organisation et une classification au sens réglementaire. En effet, la compromission d'un site peut être catastrophique pour une organisation… mais pas forcément pour la Nation (Se pose la question de l'inverse :-))
😍 L’échelle d’impact est positionnée sur 4 niveaux : "La décision d’avoir un nombre pair de niveaux de gravité oblige à prendre position et évite le piège de la « zone refuge » d’indécision, au milieu."
🔶 La classe peut être relatif à un site ou à des composantes d'un site : le niveau de granularité du découpage est une conséquence des objectifs de l'étude… sachant que pour les gros sites, un découpage fin permet d'exclure des systèmes non-critiques de l'étude.
🔶 Il y a désormais 4 classes au lieu de trois : 1 = impact faible, 2 = impact modéré, 3 = impact fort, 4 = impact catastrophique… qui n'ont aucun lien avec niveaux de sécurité (SL) de l'IEC 62443.
Au regard de la définition proposée par l'ANSSI, ne pourrait-on pas pousser la réflexion en termes de réglementation : classe 4 = SIIV, classe 3 = NIS2 Entité Essentiel, classe 2 = NIS2 Entité Importante, classe 1 = pas de réglementation !
🔶 Section intéressante qui donnera le ton de la stratégie de sécurisation : "Les mesures des classes 1 ou 2 mettent l’accent sur la résilience, c’est-à-dire la capacité à surmonter une panne ou une cyberattaque, à restaurer et à redémarrer l’installation ; tandis que celles des classes 3 ou 4 mettent l’accent sur la nécessité de survivre à une attaque pour les systèmes les plus critiques."
... le terme survivre est probablement à comprendre "protéger".
🔶 L'introduction de notion de zones (au sens IEC 62443) : "ensemble d’actifs logiques ou physiques qui représentent la division d’un système à l’étude". Une installation industrielle peut donc être constituée de plusieurs zones… comme de plusieurs systèmes.
Un point qui nécessitera probable un ajustement : dans le chapitre "4.1.2 Définition des classes de cybersécurité" la classe est relatif à un système alors que dans le reste du document la notion de zone est utilisée dans la classification, notamment au sens IEC 62443.
Le chapitre 4.1.2 devra sûrement être ajusté pour intégrer la notion de zone et, ainsi, éviter toute incompréhension.
🔶 La notion de surclassement en conséquence des interdépendances. À ce titre, une zone de classe 2 avec une dépendance qui n'est pas "sécurisée" avec une zone de classe 3, verra sa classification passée à 3 ! (Alignement avec l'IEC 62443).
🔶 Ce document fait référence à un autre document structurant "Le guide des mesures détaillées" qui sera publié en 2025. Ce guide est sensé contenir les exigences détaillées pour chaque classe... en espérant qu’il ne sortira pas trop tard !
Voici le lien vers la publication : https://cyber.gouv.fr/publications/la-cybersecurite-des-systemes-industriels?s=09
