La CISA publie un guide "Secure by Demand" pour renforcer la sécurité des systèmes industriels

La CISA (Cybersecurity and Infrastructure Security Agency) a dévoilé le 13 janvier 2025 un guide stratégique majeur concernant l'acquisition sécurisée de technologies opérationnelles (OT), élaboré en collaboration avec onze agences internationales partenaires, dont le BSI allemand. Cette initiative novatrice, intitulée "Secure by Demand: Priority Considerations for Operational Technology Owners and Operators when Selecting Digital Products", vise à intégrer les principes de sécurité dès la conception dans les processus d'achat et d'approvisionnement des systèmes de contrôle industriels (ICS). Le guide répond à une problématique critique du secteur OT, où de nombreux produits sont commercialisés sans intégration native des principes de sécurité, les rendant vulnérables dès leur mise en service, notamment à cause de mots de passe par défaut non sécurisés ou de failles logicielles connues.

Cette publication s'inscrit dans la continuité d'un précédent guide général sur le "Secure by Design" publié en 2024 par les mêmes autorités de cybersécurité, et s'aligne parfaitement avec les principes du Cyber Resilience Act (CRA) récemment adopté par l'Union européenne. Le document constitue une ressource essentielle pour les entreprises industrielles et les opérateurs d'infrastructures critiques, leur permettant d'implémenter des pratiques de sécurité robustes dès les phases initiales de leurs projets. La mise en œuvre du CRA représentera un axe majeur pour la cybersécurité en Europe et particulièrement pour l'Allemagne, qui ambitionne de renforcer la sécurité des produits intégrant des éléments numériques.

Cette initiative marque une évolution significative dans l'approche de la sécurité des systèmes industriels, en déplaçant le focus de la remédiation vers la prévention dès la phase d'acquisition. L'harmonisation internationale des standards de sécurité, illustrée par la collaboration de multiples agences nationales, témoigne d'une prise de conscience collective de l'importance cruciale de la cybersécurité dans le secteur industriel.

Source : BSI