L’ANSSI impose désormais des audits de sécurité obligatoires tous les 24 mois pour les sites industriels critiques afin de protéger les systèmes de production contre des cyberattaques en hausse de 28 %.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié ce 6 février 2026 un nouveau référentiel de sécurisation des systèmes industriels. Ce document cadre, qui vient renforcer les dispositifs issus de la directive NIS 2, impose désormais des audits techniques obligatoires et réguliers pour les sites classés comme infrastructures critiques. L’objectif est de protéger les technologies opérationnelles (OT) contre des menaces cyber de plus en plus sophistiquées ciblant les chaînes de production.
Les nouvelles directives introduisent une rupture majeure dans la gestion des risques numériques industriels. Jusqu’alors axée sur une approche volontaire pour de nombreux sites, la sécurité des systèmes de contrôle et d'acquisition de données (SCADA) devient une obligation réglementaire stricte. : Les exploitants devront réaliser un audit de vulnérabilité complet tous les 24 mois, sous peine de sanctions administratives pouvant atteindre plusieurs millions d'euros.
Périmètre d'application : La mesure concerne désormais les entreprises de taille intermédiaire (ETI) stratégiques et les grandes entreprises des secteurs de l'énergie, de l'eau et de la santé.
Exigences techniques : Le référentiel impose la segmentation stricte entre les réseaux informatiques (IT) et les réseaux industriels (OT) pour éviter les propagations latérales de malwares.
La nécessité de ce durcissement réglementaire s'appuie sur une hausse constante des incidents. Selon les dernières données consolidées, le secteur industriel a enregistré une augmentation de 28 % des tentatives d'intrusion en 2025. : Les attaques par rançongiciel ne se limitent plus au vol de données, mais visent directement l'arrêt de l'outil de production, entraînant des coûts de sinistre moyens estimés à 1,4 million d'euros par incident pour une PME industrielle.
Indicateur de conformité | Nouvelle exigence 2026 |
Label | Fréquence des audits techniques |
Valeur | Tous les 24 mois |
Label | Délai de notification d'incident |
Valeur | Moins de 24 heures |
Label | Taux de déploiement de l'EDR industriel |
Valeur | 100 % des postes de supervision |
Sources et liens de référence :
ANSSI : Référentiel de sécurité des systèmes industriels 2026
Cybermalveillance.gouv.fr : Rapport annuel sur les menaces contre les entreprises
ENISA : Directives européennes sur la résilience des infrastructures critiques
Ministère de l'Économie : Accompagnement France 2030 pour la cybersécurité industrielle
La France franchit un cap décisif dans sa stratégie de réindustrialisation avec la promulgation de la loi de simplification de la vie économique, dont le Titre VII sécurise juridiquement les projets industriels majeurs et accélère les permis de recherche minière pour garantir la souveraineté en métaux critiques.
Urgo déploie un plan de 150 millions d'euros sur 2026-2027 pour automatiser ses usines françaises et sécuriser la production de produits de santé critiques.
La France lance un plan de 170 milliards d'euros pour construire 150 "cathédrales industrielles", visant la création de 30 000 emplois directs d'ici 2030.
