Qu'est-ce que le CLUSIF ?

Le CLUSIF (Club de la Sécurité de l'Information Français) est une association française sans but lucratif fondée en 1984 qui rassemble plus de 1000 professionnels de la cybersécurité : RSSI, consultants, fournisseurs de solutions, auditeurs, juristes, chercheurs. Son rôle est de promouvoir les échanges entre acteurs, produire du contenu éducatif et méthodologique, et animer la communauté cyber française. Ses publications les plus connues sont le panorama annuel de la cybercriminalité (publié chaque janvier depuis 2001, analyse des incidents majeurs de l'année écoulée) et la méthode MEHARI d'analyse des risques (aujourd'hui largement dépassée par EBIOS RM). Le CLUSIF organise une vingtaine de groupes de travail thématiques (cloud, industrie, santé, juridique, IoT, IA, etc.), des conférences mensuelles à Paris et régionales via ses CLUSIR (versions régionales), et des événements annuels. Contrairement au CESIN qui est réservé aux entreprises utilisatrices, le CLUSIF est ouvert à toutes les organisations y compris prestataires et fournisseurs. Adhésion annuelle variable selon profil : autour de 900€/an pour personne physique, plusieurs milliers d'euros pour entreprise.

Quelle différence entre CLUSIF et CESIN ?

Deux associations complémentaires avec des positionnements distincts. CLUSIF (1984, ~1000 membres) : ouvert à toutes les organisations, y compris prestataires, fournisseurs, ESN, éditeurs, consultants, juristes. Mission plus large : publications, méthodologie, groupes de travail thématiques, sensibilisation. Historique et généraliste. CESIN (2012, ~800 membres) : réservé aux RSSI d'entreprises utilisatrices finales, pas de fournisseurs ni prestataires. Positionnement plus récent, très orienté grandes entreprises et ETI. Focus sur le partage d'expérience entre pairs et l'influence (baromètre annuel cyber des entreprises françaises, prises de position publiques). En pratique : beaucoup de grands RSSI sont membres des deux, utilisant CLUSIF pour la production de contenu et la communauté large, CESIN pour le club fermé entre pairs et les sujets stratégiques. D'autres associations cyber en France : CESAP (PME), CEFCYS (femmes dans la cybersécurité), AFCDP (data protection, CNIL), CIGREF (DSI grandes entreprises), Hexatrust (fournisseurs français de cybersécurité). L'écosystème associatif français est dense et chacun remplit un rôle spécifique.

Quelles sont les publications du CLUSIF ?

Le CLUSIF publie régulièrement des contenus utilisés comme références dans le secteur. Panorama de la cybercriminalité : publication annuelle phare, parue chaque janvier depuis 2001. Synthèse des incidents majeurs de l'année passée en France et dans le monde, tendances d'attaques, analyse des secteurs touchés. Référence médiatique pour les journalistes couvrant le cyber. Publié gratuitement sur clusif.fr. MEHARI : méthode historique d'analyse des risques développée par le CLUSIF dans les années 1990. Largement utilisée jusqu'aux années 2010, désormais dépassée par EBIOS RM (ANSSI) qui a pris le dessus. MEHARI reste disponible en open source sur GitHub mais en maintenance décroissante. Guides et livres blancs : thématiques variées (cloud, industrie, santé, mobilité, biométrie, cybersécurité juridique). Quelques dizaines de publications disponibles gratuitement. Enquêtes MIPS : enquête périodique sur les pratiques de sécurité des entreprises et administrations françaises (Menaces Informatiques et Pratiques de Sécurité). Webinaires et replays : conférences mensuelles en partie publiques. Le site clusif.fr centralise ces ressources, librement accessibles à tous.

Faut-il adhérer au CLUSIF ?

Dépend du profil et des besoins. Utile pour : RSSI et responsables SSI cherchant un réseau professionnel et des retours d'expérience. Consultants cyber développant leur carnet de contacts. Fournisseurs voulant comprendre les attentes des utilisateurs. Jeunes professionnels cherchant à entrer dans le milieu. Organisations voulant participer aux groupes de travail thématiques. Intérêts de l'adhésion : accès aux groupes de travail (participation aux productions, co-création de contenus), conférences mensuelles à Paris et via les CLUSIR régionaux (Lyon, Marseille, Toulouse, Bordeaux, etc.), annuaire des membres, invitations aux événements annuels, accès anticipé aux publications. Limites : adhésion payante (personne physique ~900€/an, entreprise plusieurs milliers d'€), l'essentiel des publications reste accessible gratuitement sans adhésion, les profils juniors peuvent trouver moins de valeur immédiate. Pour un RSSI d'entreprise française, le cumul CLUSIF (ouvert, large) + CESIN (fermé, pairs) est une combinaison courante. Les alternatives gratuites : ANSSI (guides, alertes CERT-FR), Hexatrust (fournisseurs français), communautés open source (DefCon Paris, BSides, etc.).

CLUSIF : le Club de la Sécurité de l'Information Français

Fondation: 1984 — association loi 1901 sans but lucratif
Siège: Paris
Membres: ~1000 personnes physiques + ~400 organisations
Publication phare: Panorama annuel de la cybercriminalité (depuis 2001)
Méthodologie historique: MEHARI — aujourd'hui dépassée par EBIOS RM
Site: clusif.fr — publications accessibles gratuitement

01 — DéfinitionHistoire et positionnement

Le CLUSIF (Club de la Sécurité de l'Information Français) est une association française sans but lucratif fondée en 1984. C'est l'association historique de la cybersécurité en France — près de 40 ans d'ancienneté.

Origine et évolution

1984 : création par un groupe de responsables sécurité d'entreprises françaises, à l'époque où l'informatique d'entreprise se démocratise.
1990-2000 : développement de la méthode MEHARI d'analyse des risques, largement adoptée en France.
2001 : première édition du panorama de la cybercriminalité qui devient la publication phare annuelle.
2000-2010 : montée en puissance avec la maturité du marché cyber français.
2010-2020 : pluralisation de l'écosystème (création du CESIN en 2012, multiplication des associations), le CLUSIF reste la référence généraliste.
2020+ : adaptation aux nouveaux enjeux (cloud, ransomware massif, NIS2, IA).

Membres

Plus de 1000 personnes physiques et 400 organisations adhérentes. Profils :

Entreprises utilisatrices : grandes entreprises, ETI, PME — DSI, RSSI, équipes sécurité.
Prestataires et éditeurs : consultants, cabinets d'audit, éditeurs de solutions, ESN.
Secteur public : administrations, collectivités, établissements publics.
Juristes : avocats spécialisés, DPO.
Chercheurs et enseignants : universitaires, écoles d'ingénieurs.

Cette diversité fait la force du CLUSIF mais aussi sa limite : les discussions y sont moins entre pairs RSSI (rôle du CESIN) et plus ouvertes à l'ensemble de l'écosystème.

Positionnement

Le CLUSIF est une association généraliste et inclusive : neutre vis-à-vis des éditeurs, ouverte à tous les profils, orientée production de contenus collaboratifs et animation de communauté.

Le CLUSIF est à la communauté cyber française ce que les sociétés savantes sont aux sciences : un lieu d'échange neutre qui produit des référentiels partagés. Sans prétendre à l'exclusivité — l'écosystème associatif français s'est enrichi avec le CESIN, Hexatrust, CEFCYS, AFCDP — il reste le « tronc commun » historique où se croisent tous les acteurs.

02 — MissionsActivités du club

Production de contenus

Publications régulières : panorama cybercriminalité, enquêtes, livres blancs thématiques, guides méthodologiques.
Contenus produits collaborativement par les groupes de travail, relus et validés collectivement.
Accessibilité gratuite pour la plupart des publications via clusif.fr.

Groupes de travail thématiques

~20 groupes actifs simultanément, qui se réunissent mensuellement. Thèmes récents :

Cloud et cybersécurité.
Sécurité industrielle (OT/ICS).
Santé et cybersécurité.
Cybersécurité juridique.
IoT et objets connectés.
IA et cybersécurité.
Sensibilisation des utilisateurs.
Continuité d'activité et résilience.
Identité numérique.
Supply chain et tiers parties.
Assurance cyber.
Forensic et réponse à incident.

Les groupes produisent des livrables (guides, référentiels, livres blancs) souvent mis à disposition gratuitement.

Conférences et événements

Conférences mensuelles à Paris : ~2h, présentations sur sujets d'actualité, souvent diffusées en visio.
Conférence annuelle : événement majeur de janvier autour de la publication du panorama.
Événements CLUSIR : déclinaisons régionales (voir section organisation).
Webinaires thématiques : diffusion large, parfois publique.

Animation communautaire

Annuaire des membres : réseau professionnel.
Listes de diffusion et échanges entre membres.
Commissions (comité d'orientation, CA, groupes stratégiques).
Partenariats avec autres associations (CESIN, Hexatrust, CIGREF) et avec l'ANSSI.

Rôle de porte-parole

Interventions médiatiques suite à incidents majeurs.
Prises de position sur les enjeux cyber (réglementation, technologie).
Participation aux consultations publiques (transposition NIS2, RGPD, CRA).
Relations avec les pouvoirs publics.

03 — PublicationsLes contenus de référence

Panorama de la cybercriminalité

Publication annuelle phare du CLUSIF, éditée chaque janvier depuis 2001. Synthèse des incidents majeurs de l'année précédente, en France et dans le monde. Structure typique :

Vue d'ensemble des menaces dominantes.
Ransomware, phishing, fraudes au président, attaques d'État.
Analyse sectorielle : santé, finance, collectivités, industrie.
Incidents marquants de l'année.
Évolution réglementaire.
Tendances prévisibles pour l'année à venir.

Publié en accès libre, largement repris par les journalistes. Présenté lors d'une conférence de lancement en janvier très attendue dans l'écosystème. Principal livrable médiatique du CLUSIF.

MEHARI — méthode d'analyse des risques

Méthode française d'analyse et de gestion des risques développée par le CLUSIF dans les années 1990, open source. Caractéristiques :

Approche quantitative avec bases de connaissance élaborées.
Outillage Excel très développé.
Adoptée largement en France dans les années 2000-2010.
Aujourd'hui largement dépassée par EBIOS RM (ANSSI, 2018).
Maintenance en décroissance, utilisation résiduelle.

MEHARI reste disponible en open source sur GitHub pour les organisations qui l'ont historiquement adoptée et veulent continuer, mais son usage décline nettement. Voir notre fiche EBIOS RM.

Enquêtes MIPS

Menaces Informatiques et Pratiques de Sécurité : enquête périodique sur les pratiques cyber des entreprises et administrations françaises. Échantillon de plusieurs centaines d'organisations. Données utiles pour benchmarker les investissements, pratiques, difficultés rencontrées.

Guides et livres blancs thématiques

Plusieurs dizaines de publications sur sujets variés, produites par les groupes de travail. Exemples :

Sécurité du cloud computing.
Sécurisation des environnements industriels.
Cybersécurité des dispositifs médicaux.
Guide pratique de sensibilisation.
Gestion des identités numériques.
Biométrie et protection des données.
Sécurité des IoT.
Aspects juridiques des incidents cyber.

Accessibilité

L'essentiel des publications est disponible gratuitement sur clusif.fr sans adhésion. Les membres ont accès en avance ou à des publications internes plus stratégiques. C'est une particularité du CLUSIF (et l'ANSSI) : production de contenu gratuit pour bénéficier à tout l'écosystème.

04 — OrganisationStructure et CLUSIR régionaux

Gouvernance

Assemblée générale : vote du bilan, élection du Conseil d'Administration.
Conseil d'Administration : pilotage stratégique, élu par les membres.
Bureau : Président, vice-présidents, secrétaire, trésorier.
Équipe permanente : quelques salariés pour l'administration et la coordination.
Comité d'orientation : vision des thématiques.

CLUSIR — versions régionales

Des associations régionales sœurs existent, chacune indépendante juridiquement mais en coordination étroite avec le CLUSIF :

CLUSIR Rhône-Alpes (Lyon).
CLUSIR Sud-Est (Marseille, PACA).
CLUSIR Aquitaine (Bordeaux).
CLUSIR Midi-Pyrénées (Toulouse).
CLUSIR Est (Strasbourg, Nancy).
CLUSIR Nord-de-France (Lille).
CLUSIR Ouest (Rennes, Nantes).
CLUSIR Normandie.
Présence dans la plupart des grandes régions françaises.

Chaque CLUSIR organise des événements locaux, groupes de travail, permet aux professionnels régionaux de se rencontrer sans monter à Paris. Très utile pour le maillage territorial.

Adhésion

Personne physique : ~900€/an.
Organisation (PME) : quelques k€/an.
Organisation (ETI/grande entreprise) : 3-10+ k€/an selon taille.
Tarifs réduits étudiants et retraités.

L'adhésion inclut l'accès aux groupes de travail, conférences, annuaire, événements. Tarifs susceptibles d'évoluer — consulter clusif.fr.

05 — ComparaisonCLUSIF vs CESIN

CLUSIF — ouvert et généraliste

Fondé en 1984.
~1000 membres.
Ouvert à tous : utilisateurs ET prestataires/fournisseurs.
Mission large : publications, groupes de travail, référentiels méthodologiques.
Présence régionale via les CLUSIR.
Panorama annuel de la cybercriminalité.

CESIN — fermé aux utilisateurs finaux

Fondé en 2012.
~800 membres.
Réservé aux RSSI d'entreprises utilisatrices : pas de prestataires, pas de fournisseurs.
Focus partage entre pairs, influence, baromètre annuel.
Voir notre fiche CESIN.

En pratique

Beaucoup de grands RSSI adhèrent aux deux : CLUSIF pour l'écosystème large et les contenus, CESIN pour les échanges fermés entre pairs sur sujets sensibles. Les deux associations se complètent plus qu'elles ne se concurrencent. Pour un prestataire ou fournisseur, seul le CLUSIF est accessible.

06 — ÉcosystèmeLes autres associations cyber FR

CESIN

Club des Experts de la Sécurité de l'Information et du Numérique — RSSI utilisateurs uniquement. Voir notre fiche CESIN.

Hexatrust

Association regroupant les éditeurs et prestataires français de cybersécurité.
~100 membres fournisseurs.
Promotion de la filière souveraine française.
Lobbying pour les champions nationaux et la souveraineté.

CEFCYS

Cercle des Femmes de la CYbersécurité : association promouvant la mixité et la féminisation du secteur. Événements, mentorat, visibilité.

AFCDP

Association Française des Correspondants à la Protection des Données à caractère Personnel : association des DPO (Data Protection Officers). Articulation avec la CNIL et les sujets RGPD.

CIGREF

Association des DSI de grandes entreprises françaises. Pas exclusivement cyber mais couvre le sujet dans le cadre plus large du numérique en entreprise.

Clusters régionaux et think tanks

Hub France IA : sur l'IA (inclut cyber IA).
Pôle d'excellence cyber de Bretagne.
Campus Cyber à La Défense : écosystème physique.
France Cybersécurité : promotion de l'offre française.
CRIP (Club des Responsables d'Infrastructures et Production).

Communautés techniques

DefCon Paris, BSides France : événements techniques open source.
CTF communities (Team France).
OWASP France : chapitre français d'OWASP.

07 — FAQQuestions fréquentes

Le CLUSIF est-il lié à l'ANSSI ?

Non, le CLUSIF est une association indépendante des pouvoirs publics. L'ANSSI est une agence d'État créée en 2009 (alors que le CLUSIF existe depuis 1984). Les deux coopèrent mais restent distincts : l'ANSSI publie ses propres guides et référentiels (EBIOS RM, guide d'hygiène informatique), organise ses événements (Cyber Meetup), intervient dans les CLUSIF conférences en tant que partenaire. Beaucoup d'anciens de l'ANSSI sont membres actifs du CLUSIF. Complémentarité plutôt que redondance : ANSSI porte la parole officielle de l'État, CLUSIF anime la communauté professionnelle au sens large.

Peut-on accéder gratuitement aux publications du CLUSIF ?

Oui, la grande majorité des publications du CLUSIF sont accessibles gratuitement sur clusif.fr sans adhésion : panoramas, livres blancs, guides. L'adhésion apporte : accès aux groupes de travail (participation et pas seulement consommation), conférences en direct et replays, annuaire des membres, certains contenus internes. Pour consommer passivement le contenu produit par le CLUSIF, pas besoin d'adhérer. Pour participer activement à la communauté et contribuer aux productions, l'adhésion se justifie.

Le CLUSIF est-il pertinent en 2026 ?

Oui, malgré une fragmentation de l'écosystème associatif. Arguments « pour » : ancienneté et légitimité (40 ans d'existence), publications de référence largement utilisées, maillage territorial avec les CLUSIR, neutralité entre éditeurs/utilisateurs, production continue de contenu. Arguments « contre » : certains jugent l'association parfois en retard sur des sujets émergents (cloud, IA, prompt injection), le format « groupes de travail mensuels » peut sembler lent par rapport aux communautés Discord / Slack plus réactives, concurrence du CESIN pour les RSSI. En pratique : reste pertinent pour l'écosystème généraliste et la production de référentiels.

Quelle différence entre CLUSIF et OWASP ?

Deux associations très différentes. OWASP (Open Worldwide Application Security Project) est une fondation internationale focalisée sur la sécurité applicative : produit des outils open source, le Top 10, des guides techniques. Basée aux US avec chapitres internationaux dont un chapitre France. CLUSIF est une association française généraliste couvrant tous les aspects de la cybersécurité (techniques, juridiques, organisationnels, méthodologiques). Les deux se complètent — un professionnel peut adhérer aux deux selon ses intérêts (OWASP plus technique, CLUSIF plus transversal).

Comment rejoindre un CLUSIR régional ?

Chaque CLUSIR a son propre site web et son propre processus d'adhésion, lié mais distinct du CLUSIF national. Généralement via leur site web ou en contactant directement. Participer à un événement ouvert est souvent le premier pas : les CLUSIR organisent régulièrement des conférences ouvertes aux non-membres. Cotisation annuelle modérée (souvent <500€/an pour personne physique, plusieurs k€ pour entreprise). Intérêt particulier si vous êtes en province et voulez un réseau local sans devoir monter systématiquement à Paris.

Le CLUSIF organise-t-il des formations ?

Pas de formations diplômantes directement. Le CLUSIF propose : conférences éducatives (pas des formations certifiantes), partage de bonnes pratiques via les groupes de travail, ressources gratuites (guides, livres blancs). Pour des formations certifiantes, voir l'écosystème dédié : CFSSI (ANSSI), SANS Institute, (ISC)² (CISSP), Offensive Security (OSCP, OSEP), écoles d'ingénieurs françaises avec majeure cyber, masters spécialisés. Le CLUSIF peut orienter vers ces ressources mais n'est pas un organisme de formation.