Le Récap’ : journée technique de l’AGRÉPI 2026

par SPAC Alliance | juin 2026 | Actualités

Retour sur la journée technique de l’AGRÉPI qui s’est déroulée le 11 juin 2026 dans les locaux de SMABTP sur le thème « Le risque cyber dans la sécurité / sûreté ». Conférences, témoignages, échanges suivis d’une table ronde nous ont apporté de nombreux éclairages et éclaircissements alors que plusieurs échéances comme la directive NIS 2 et le CRA se rapprochent.

Les conférences sécurité

Après une introduction de Laurence Marchal, présidente de l’AGRÉPI, nous avons pu suivre 5 conférences analysant plusieurs aspects de la sécurité.

  • Réglementation et cybersécurité : enjeux, objectifs, cibles et calendrier (Ronan JEZEQUEL / CNPP)
  • Technologies de sécurité incendie et sûreté malveillance : cybersécurité des systèmes connectés (Ronan JEZEQUEL / CNPP)
  • Sécurisation des caméras et retour d’expérience sur un forum cyber (Claire ALBERIO / Orange)
  • Point de vue de l’assureur : cyber-risques et couverture assurantielle (Frédéric ROUSSEAU / Abeille Assurances)
  • Retour d’expérience BPCE : cyberattaques hybrides et défense en profondeur (Jeremy BEAUDENUIT / BPCE)

Les interventions

Ronan Jezequel (CNPP) a lancé cette journée avec un retour sur les grandes évolutions réglementaires en cours, avant de détailler la cybersécurité des systèmes connectés. La convergence des menaces physiques et cyber est une réalité qui impose une réponse adaptée.

Puis, Claire Alberio (Orange) a fait un focus sur la nécessaire sécurisation des caméras, éléments très exposés et de plus en plus ciblés, et a proposé un retour d’expérience sur le forum cyber de formation, soulignant le rôle majeur des utilisateurs dans la défense d’une entité.

La salle a ensuite été quelque peu bousculée par l’intervention de Frédéric Rousseau (Abeille Assurances), qui a apporté son point de vue et ses cas concrets en matière de risque cyber et de couverture assurantielle. Voici les principaux enseignements :

  • Une stratégie de sauvegarde des données 3, 2, 1 est essentielle
  • La malveillance interne reste la menace la plus destructrice ;
  • Il est nécessaire d’analyser ses contrats : une couverture cyber ne s’accompagne pas obligatoirement d’une prise en charge de la perte d’exploitation ;
  • Il faut être très précis et juste sur les déclarations lors de l’ouverture du contrat, faute de quoi vous ne serez pas couverts.

La matinée s’est conclue avec l’intervention toujours aussi spectaculaire de Jeremy Beaudenuit (BPCE) en matière d’attaques hybrides et de défense en profondeur : attaque à la disqueuse thermique, à la voiture bélier, ou encore tentative de manipulation de lecteurs de contrôle d’accès.

À retenir

  • La sécurité d’un système cyber dépend aussi de la maîtrise de ses accès physiques ;
  • La sécurité de bout en bout portée par la NIS 2 doit s’appuyer sur des produits de confiance (CRA) constituant des solutions respectant des référentiels de sécurité reconnus.
  • Il est urgent d’initier une véritable trajectoire de sécurité incluant une maîtrise de toute la chaîne d’approvisionnement.
  • La qualité de la preuve est déterminante en matière d’assurance. Une démarche globale de transfert du risque est nécessaire pour se protéger efficacement.

Table ronde de la sécurité

La table ronde, animée par Benjamin Cherdrong et Jean-Michel Le Gall, a été l’occasion d’approfondir certaines thématiques et d’échanger autour des bonnes pratiques de mise en conformité.

Évolution des systèmes : un risque devenu systémique

Pierre-Nicolas Carron et Alexandre Baleige (Chubb / Chubb Delta) ont rappelé l’évolution des SSI (systèmes de sécurité incendie), désormais très connectés et cibles de potentielles attaques cyber aux conséquences désastreuses comme la désactivation silencieuse de la détection en cas d’incendie, par exemple. Cette évolution implique une responsabilisation de tout l’écosystème : fabricant, maître d’ouvrage, intégrateurs, mainteneurs, téléopérateurs, exploitants et utilisateurs. Voici 4 conseils à suivre :

  • Segmenter les réseaux
  • Généraliser l’authentification forte
  • Avoir une politique stricte de gestion des correctifs OT
  • Maintenir un inventaire complet des équipements et pouvoir détecter les comportements anormaux en temps réel

Impacts concrets sur l’exploitation

Georges Ouffoué (Cyver) et Jean-Sébastien Bonte (Honeywell) ont fait un focus sur l’OT (systèmes industriels), qui présente des vulnérabilités spécifiques et pour lequel les conséquences peuvent être dramatiques. Nous avons pu comprendre comment un ransomware a déclenché une pénurie de carburant en Floride (Colonial Pipeline – 2021) ou comment un ver informatique a détruit physiquement des centrifugeuses (Stuxnet – 2010). Voici les conseils prodigués :

  • Segmenter pour limiter les impacts concrets sur les utilisateurs
  • Pouvoir détecter en temps réel
  • Planifier les maintenances
  • Tester le mode dégradé
  • Documenter et sensibiliser

Normes, référentiels et attentes du marché

Quelques précisions en matière de référentiels et d’attentes du marché SSI étaient nécessaires, elles nous ont été proposées par Yohan Corberand (Hikvision) et Ismail Miqdad (Honeywell). En attendant la transposition de la NIS 2 en France, de nombreux référentiels permettent de structurer votre démarche. Nous y retrouvons :

  • Le Référentiel Cyber France ReCyF conçu pour structurer la mise en oeuvre de la NIS 2 en France ;
  • L’ISO 27001 concernant les SMSI (systèmes de management de la sécurité informatique) ;
  • L’ISO 27002 et ses 93 mesures de sécurité cyber et physique ;
  • L’ISO 27017 et l’ISO 27018 concernant le cloud ;
  • EBIOS (ISO 27005) pour identifier et comprendre les risques numériques, puis déterminer les mesures adaptées à mettre en place dans un cycle d’amélioration continue ;
  • Les référentiels APSAD D32 (surveillance et détection des incidents cyber) et D31 (exigences pour centres de surveillance).

Intégrer la cybersécurité dès la conception

Ensuite, un rappel sur l’importance d’intégrer la cybersécurité dès la conception a été proposé par Yohan et Jean-Sébastien. Cette notion s’entend au sens large et touche aussi bien le produit que les processus. Idéalement, plusieurs acteurs doivent être impliqués :

  • Le fabricant : conçoit un produit fiable, fournit les MAJ, donne les bonnes pratiques ;
  • L’exploitant et le BE (bureau d’études) : définissent le CCTP (cahier des clauses techniques particulières) ;
  • L’intégrateur / mainteneur : suit le CCTP, installe, met en service, forme et maintient en conditions opérationnelles.

Ainsi, la cybersécurité ne peut plus être considérée comme une rustine que l’on colle sur un produit fonctionnel. Une fois encore, des preuves de sécurité sont incontournables : documentation, certification et conformité concernant le produit et le partenaire.

 

Conclusion SPAC Alliance

Qu’est-ce que la sécurité moderne ?

SPAC Alliance, représentée par Tibaud Estienne, avait la charge de la synthèse de cette table ronde. Que l’on parle de systèmes de contrôle d’accès, de SSI ou encore d’OT, les différents témoignages et retours d’expérience arrivent aux mêmes conclusions.

La sécurité moderne repose sur :

  • Une gouvernance claire et documentée de la sécurité au sein de l’entreprise (SMSI) ;
  • Des produits (hard et soft) conformes, certifiés ou évalués (CRA, NF A2P, SSCP Certified, EN 17640 – FITCEM, …) ;
  • Des solutions avec un niveau de sécurité démontré (APSAD, CSPN, BSZ …) ;
  • Des partenaires de confiance qui engagent leur responsabilité dans le temps et prouvent leur propre niveau de sécurité (ISO 9001 / 27001, EN 62443, qualification ANSSI…).

La documentation et les preuves techniques constituent le socle d’une sécurité durable permettant d’anticiper l’évolution des menaces, des obligations et des innovations.

Mais par où commencer ?

L’objectif de toute entité est de déployer des solutions adaptées aux menaces comme aux obligations et de pouvoir en démontrer la conformité. Voici les étapes préalables de tout parcours sécurité :

  1. Auditer / tester votre système actuel
  2. Faire une cartographie de vos systèmes en incluant les dépendances tierces
  3. Réaliser deux analyses : risques (physique et cyber) et écart (conformité)
  4. Réaliser un cahier des charges incluant formation et sensibilisation
  5. Prioriser les actions

Idéalement, cette démarche doit rassembler tous les acteurs internes (DSI, RSSI, responsable sécurité, responsable des opérations) et externes (fabricants, BE, intégrateurs, installateurs, mainteneurs, assureurs).

Ces premières étapes sont capitales et conditionneront votre niveau réel de sécurité. Ainsi, nous vous recommandons l’intervention d’un prestataire indépendant capable de vous accompagner dans le pilotage de votre trajectoire de sécurité.

Nos offres de services permettent de prendre en charge des missions spécifiques ou transverses selon vos besoins et votre criticité.

Le mot de la fin

Plus que jamais, une bonne culture générale de la sécurité permet de faire la différence, soulignant l’importance d’institutions comme l’AGRÉPI et SPAC Alliance afin de profiter d’une veille active, de bénéficier de retours d’expérience pertinents et d’identifier des prestataires de confiance.

Nous tenons à remercier une fois encore l’AGRÉPI pour son invitation et SMABTP pour son accueil, ainsi que tous les intervenants et exposants de cette journée technique (CNPP, STid, Siemens, Cordia, Desautel, Eaton, Reseau DEF, Chubb, Ubiquiti, HIK Vision, Artemis, Andrieu, Honeywell) !

Découvrir le site de l'AGRÉPI