L’ANSSI impose désormais des audits de sécurité obligatoires tous les 24 mois pour les sites industriels critiques afin de protéger les systèmes de production contre des cyberattaques en hausse de 28 %.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié ce 6 février 2026 un nouveau référentiel de sécurisation des systèmes industriels. Ce document cadre, qui vient renforcer les dispositifs issus de la directive NIS 2, impose désormais des audits techniques obligatoires et réguliers pour les sites classés comme infrastructures critiques. L’objectif est de protéger les technologies opérationnelles (OT) contre des menaces cyber de plus en plus sophistiquées ciblant les chaînes de production.
Les nouvelles directives introduisent une rupture majeure dans la gestion des risques numériques industriels. Jusqu’alors axée sur une approche volontaire pour de nombreux sites, la sécurité des systèmes de contrôle et d'acquisition de données (SCADA) devient une obligation réglementaire stricte. : Les exploitants devront réaliser un audit de vulnérabilité complet tous les 24 mois, sous peine de sanctions administratives pouvant atteindre plusieurs millions d'euros.
Périmètre d'application : La mesure concerne désormais les entreprises de taille intermédiaire (ETI) stratégiques et les grandes entreprises des secteurs de l'énergie, de l'eau et de la santé.
Exigences techniques : Le référentiel impose la segmentation stricte entre les réseaux informatiques (IT) et les réseaux industriels (OT) pour éviter les propagations latérales de malwares.
La nécessité de ce durcissement réglementaire s'appuie sur une hausse constante des incidents. Selon les dernières données consolidées, le secteur industriel a enregistré une augmentation de 28 % des tentatives d'intrusion en 2025. : Les attaques par rançongiciel ne se limitent plus au vol de données, mais visent directement l'arrêt de l'outil de production, entraînant des coûts de sinistre moyens estimés à 1,4 million d'euros par incident pour une PME industrielle.
Indicateur de conformité | Nouvelle exigence 2026 |
Label | Fréquence des audits techniques |
Valeur | Tous les 24 mois |
Label | Délai de notification d'incident |
Valeur | Moins de 24 heures |
Label | Taux de déploiement de l'EDR industriel |
Valeur | 100 % des postes de supervision |
Sources et liens de référence :
ANSSI : Référentiel de sécurité des systèmes industriels 2026
Cybermalveillance.gouv.fr : Rapport annuel sur les menaces contre les entreprises
ENISA : Directives européennes sur la résilience des infrastructures critiques
Ministère de l'Économie : Accompagnement France 2030 pour la cybersécurité industrielle
L'Europe adopte son Règlement d'accélération industrielle, imposant dès 2027 un seuil de 40 % de contenu local européen pour sécuriser ses filières stratégiques.
Global Industrie 2026 réunit 2 500 exposants à Villepinte du 30 mars au 2 avril pour répondre aux défis de l'IA industrielle, de la décarbonation et de la souveraineté.
Face à un bond de 28 % du gaz TTF lié aux tensions au Moyen-Orient, Bercy réunit les industriels pour limiter l'impact d'un nouveau choc énergétique sur les secteurs électro intensifs.
