C’est précisément là que se positionne la version 2.0 du guide « La cybersécurité des systèmes industriels – Mesures détaillées », publiée le 27 novembre 2025 : traduire les classes de cybersécurité en mesures concrètes, au moment où l’OT doit composer avec une menace plus pressante, des architectures plus interconnectées, et des exigences de conformité plus visibles. 

Ce guide fait directement écho à la publication de la deuxième version de la Méthode de classification des systèmes industriels de l’ANSSI en mars 2025, pour laquelle nous avions déjà rédigé un article. 

Une mise à jour dans la continuité : même ossature, même logique 

Évolutions du guide des mesures détaillées entre la première et la deuxième version

Sur la forme, le guide 2025 reste très proche de la version 2014 : on retrouve une première partie rappelant les contraintes et faiblesses propres aux environnements industriels, puis un découpage entre mesures organisationnelles et mesures techniques. Les thèmes, eux, ne surprendront pas : gouvernance, maîtrise des accès, cloisonnement, accès distants, sauvegardes, supervision, gestion des vulnérabilités, intégration de la cybersécurité dans le cycle de vie, préparation à l’incident. La continuité est assumée. 

Cette stabilité a un avantage : elle permet à une organisation déjà alignée sur la version 2014 de ne pas repartir de zéro. Mais elle montre aussi que la plupart des “grands sujets” étaient déjà connus il y a plus de dix ans. La question n’est donc pas tant “qu’apprend-on de nouveau ?” que “qu’est-ce qui devient réellement plus actionnable, et à quel prix ?”. 

Sur ce point, le guide est clair sur son périmètre : il propose un socle pour les dossiers d’homologations. Pour autant, le guide ne prétend pas se substituer à l’IEC 62443, ni offrir un cadre de certification. Il se contente d’en reprendre certains principes et exigences, et rappelle que les mesures ne suffisent pas, à elles seules, pour les systèmes les plus critiques.

Ce qui change concrètement : une nouvelle grammaire d’exigences restructurée 

Le changement le plus visible n’est pas une nouvelle thématique, mais une nouvelle manière d’exprimer les exigences : 

En 2014, le guide s’appuyait sur une distinction structurante : recommandations (R) et directives (D), avec un mécanisme de durcissement selon la classe. En 2025, cette grammaire disparaît. Le guide formalise une lecture par classe (C1 à C4) et introduit des variantes : recommandations “à l’état de l’art”, alternatives de niveau moindre représenté par un –, ou recommandations renforcées complémentaires représentées par un +. 

Schéma type d’une recommandation 

Deuxième évolution structurante : l’ajout explicite d’une quatrième classe et l’alignement renforcé avec l’IEC 62443, en accordement avec la mise à jour de la méthode de classification. Pour chaque recommandation, une correspondance avec une exigence de l’IEC 62443 est indiquée lorsqu’elle existe et référencée dans une annexe. 

Concernant l’évolution de ces mesures, une large partie des 214 recommandations trouve, comme détaillé dans l’annexe B, un équivalent direct dans l’ancienne version. Cela confirme que la refonte repose davantage sur une réorganisation et une reformulation que sur une remise en cause du fond. Après analyse des 35 mesures étant identifiées comme sans équivalence directe, nous pouvons affirmer que ces dernières ne sont pas nécessairement nouvelles. Comme représenté sur ce tableau, elles traduisent : 

Catégories des raisons de non-équivalence directes et exemples illustrés 

Résumé des recommandations sans équivalences directes dans l’annexe B 

Une doctrine plus architecturée sur les interconnexions et accès distants 

Là où la version 2025 change réellement la dynamique, c’est sur certains sujets traités de manière plus structurée. Dans la première version, la doctrine sur les interconnexions et les accès distants était déjà relativement prescriptive : elle insistait sur le fait que la télégestion augmente considérablement la surface d’attaque, posait des règles opérationnelles et allait jusqu’à interdire la télémaintenance en classe 3, avec une logique d’uni-directionnalité des flux.

La modernisation apportée par la version 2025 est d’avoir rendu l’ensemble plus cohérent et mieux structuré : on passe d’un raisonnement principalement centré sur des composants et des moyens (pare-feu, VLAN, diode, VPN) à une lecture en fonctions de sécurité que l’on doit composer et positionner selon les classes et les sens de flux dans le tableau 3. Les lignes de ce dernier correspondent à la classe émettrice (from) et les colonnes à la classe réceptrice (to) ; les icônes indiquent les fonctions de sécurité à implémenter pour autoriser le flux dans ce sens. Par exemple, de la classe C1 vers IT, seul un système permettant de vérifier si la donnée provient d’une source autorisée – Aut(IT) – est requis. 

Résumé du tableau 3 – Section 4.2.1 : toutes les mesures qui figurent sont accompagnées d’une fonction d’unidirectionnalité du transfert de données 

Il est à noter que la définition d’Inno (OT) ne figure pas directement dans le document. 

Du référentiel à l’application terrain 

La version 2025 des Mesures détaillées referme logiquement la refonte initiée par la publication de la seconde version de la méthode de classification et renforce la compatibilité avec l’IEC 62443. Dans un contexte où la menace sur les environnements industriels est désormais très visible, ce document tombe à point nommé : c’est l’occasion d’adapter son plan d’action ou carrément lancer une roadmap 2030 – un guide non appliqué n’a jamais arrêté un attaquant ! 

Dans les chantiers prioritaires à lancer on identifie régulièrement : 

• Revoir la cartographie et dépendances IT vis-à-vis du métier 
• Adapter son architecture technique en troquant de nouvelle autorisation contre un renforcement de l’authentification et un meilleur contrôle du contenu
• Durcir et centraliser les accès distants notamment liées aux nombreux fournisseurs présents dans l’environnement industriel 
• Renforcer ou raccorder les environnements industriels à son SOC 

Cet article La cybersécurité des systèmes industriels : la refonte du guide de l’ANSSI des « Mesures détaillées »  est apparu en premier sur RiskInsight.

Dans un contexte où les menaces cyber deviennent plus ciblées, sophistiquées et persistantes, notamment à l’encontre des systèmes industriels et des infrastructures critiques, l’ANSSI renforce son dispositif de sécurisation en publiant une version refondue de son guide de classification des systèmes industriels, initialement paru en 2012. 

Ce guide s’adresse à l’ensemble des acteurs impliqués dans la sécurité des systèmes industriels : exploitants, opérateurs d’importance vitale (OIV), opérateurs de services essentiels (OSE), intégrateurs et prestataires, en charge d’aligner les exigences techniques avec les enjeux métiers. 

Il vise à fournir une méthode pour définir la criticité des systèmes industriels, afin de les ranger en classes de cybersécurité sur une échelle à 4 niveaux : mineur, modéré, majeur et catastrophique. Cette évaluation se fait selon la gravité maximale d’un impact potentiel sur : la population, l’économie et l’environnement. La classification permet de faciliter l’identification des besoins de sécurité et d’orienter la mise en œuvre de mesures de cybersécurité. 

Schéma des 4 classes de cybersécurité du guide 

Pourquoi revisiter le cadre existant ? 

La première version du guide de classification, parue en 2012, avait permis de poser les fondations d’une approche par niveau de sécurité, en introduisant une première segmentation en trois classes, basées sur le risque (impact x vraisemblance). 

Évolutions du guide entre la première et la deuxième version 

Si cette première version a joué un rôle fondamental et a été un vrai élan dans l’émergence d’une culture de la cybersécurité industrielle en France, à une époque où les référentiels spécifiques au monde industriel étaient encore rares, elle s’est heurtée à plusieurs limites. 

Premièrement, l’intégration de la vraisemblance dans la classification créait un “phénomène de bouclage”, pour reprendre les termes du guide. En effet, “au fur et à mesure que l’architecture du système industriel intégrait des mesures de sécurisation, la vraisemblance d’une attaque diminuait, abaissant par rebond la classification du système”. Ce phénomène fragilisait la stabilité de la classification et de ce fait, il était difficile de maintenir une cohérence entre classification et mesures. Par ailleurs, la première version du guide ne proposait que trois classes, ce qui résultait trop souvent en une définition des systèmes en classe 3. Enfin, il y avait un manque de granularité dans la définition des périmètres, et très peu d’alignement avec les normes internationales, comme l’IEC 62443. 

Le nouveau guide répond à ces constats. Il propose une approche fondée exclusivement sur l’impact, afin de garantir la stabilité des classes, une cohérence dans les comparaisons entre zones, et une meilleure articulation avec des démarches structurées d’analyse de risque comme EBIOS RM. Cette évolution permet aussi de mieux s’adapter à la diversité des organisations industrielles et à la complexité croissante de leurs systèmes. 

Une démarche méthodologique claire et intégrable aux référentiels existants 

Schéma de la méthodologie de classification du nouveau guide 

La nouvelle méthodologie repose sur une approche en trois activités structurantes : 

1. La définition du périmètre technique 
2. La segmentation en zones cohérentes 
3. La classification de ces zones selon la gravité des impacts potentiels en cas de compromission 

Cette démarche permet de classer le système industriel dans l’une des 4 classes de cybersécurité en fonction de la gravité des impacts et ainsi donner une lecture rationnelle des besoins de sécurité. Elle met l’accent sur deux critères clés : la disponibilité et l’intégrité, en cohérence avec les préoccupations de sécurité propres aux environnements industriels. 

Le guide ne se substitue pas aux démarches d’analyse de risque mais s’y intègre. Il a été conçu pour alimenter directement les ateliers EBIOS RM, en fournissant une base de classification qui alimente ensuite l’identification des événements redoutés et des mesures de sécurité associées. Cela permet d’éviter d’avoir à adapter ou déformer EBIOS RM pour tenir compte des spécificités industrielles. Il s’appuie également sur les concepts issus de la norme IEC 62443, notamment les notions de zones, de conduits et de niveaux de sécurité (Security Levels), permettant une convergence vers les pratiques industrielles internationales. 

Cette volonté de convergence avec les pratiques industrielles internationales s’inscrit dans une démarche plus large de déploiement structuré de la SSI. Le guide propose ainsi un cadre d’action concret, organisé autour de thématiques clés telles que représentées ci-dessous pour intégrer efficacement la cybersécurité dans les environnements industriels. 

Thématiques dans le cadre du déploiement de la SSI – Chapitre 3.1 du guide 

Et pour la suite : le guide des mesures détaillées, chaînon manquant entre stratégie et action  

Attendu dans les prochains mois, le guide des mesures détaillées constitue la suite naturelle de la démarche initiée par la classification. Il vise à donner aux acteurs industriels les moyens de passer de la théorie à l’action, en traduisant les classes de cybersécurité en exigences opérationnelles concrètes. 

Inspiré du premier guide de 2012, qui proposait déjà une série de mesures par classe, ce nouveau référentiel promet une approche plus fine, plus à jour, et mieux alignée avec l’état actuel des menaces et des pratiques de sécurité. Il apportera ainsi aux exploitants et décideurs une boîte à outils claire et applicable, en détaillant des mesures techniques, organisationnelles et humaines adaptées au niveau de criticité des zones à sécuriser. 

La publication de ce guide est attendue courant 2025, et permettra d’assurer une continuité avec les démarches d’analyse de risque et de conformité déjà engagées, tout en clarifiant les attentes en matière de mise en œuvre concrète des mesures. À ce titre, on peut espérer qu’il prendra en compte des thématiques de plus en plus présentes dans les environnements industriels, telles que la virtualisation, l’usage du Cloud, les plans de continuité d’activité (PCA) ou encore les questions d’interconnexion croissante entre systèmes OT et IT. 

Sécuriser l’existant, anticiper le futur 

Au-delà de la publication du guide, l’enjeu est désormais de s’approprier la démarche et de l’intégrer aux stratégies de sécurisation des systèmes industriels, qu’elles soient déjà définies ou en cours de conception. 

Pour les systèmes déjà en place, le nouveau guide s’inscrit naturellement dans les cycles de vie de la sécurité recommandés par l’ANSSI dans son guide EBIOS RM. Les impacts seront à apprécier au cas par cas pour savoir s’il est utile de modifier l’architecture déjà en place avec un arbitrage entre coût de modification, intégration de nouveaux besoins métiers et gains de sécurité attendues. Son intégration pourra se faire :  

• Lors du cycle stratégique, conseillé tous les 3 ans ou en cas de changement majeur, qui sera l’occasion de revoir le découpage des périmètres, d’actualiser les zones fonctionnelles, et de réévaluer la classification des systèmes à la lumière de la nouvelle méthode ; 
• Ou lors du cycle opérationnel, typiquement annuel, où il s’agira de contrôler les événements redoutés, de vérifier l’adéquation des mesures en place en fonction des classes de cybersécurité définies, et d’ajuster la stratégie de protection si nécessaire. 

Pour les nouveaux projets industriels, le nouveau guide remplace officiellement la version 2012 et doit être intégré dès les premières phases de conception. Il permet de bâtir une architecture sécurisée en cohérence avec les enjeux métiers, et facilite également la conformité aux exigences réglementaires (NIS2, LPM…) ou contractuelles à venir. 

Côté Wavestone, l’intégration de ce guide dans notre grille d’évaluation de la maturité des systèmes d’information industriels ainsi que dans notre Cyberbenchmark se poursuit à côté des autres standards de référence comme l’IEC 62443 ou le NIST SP 800-82, plus qu’à attendre le guide opérationnel pour être complet ! 

Cet article Vers une cybersécurité industrielle maîtrisée : ce que change le nouveau guide de classification des systèmes industriels de l’ANSSI est apparu en premier sur RiskInsight.