La cybersécurité des Opérateurs d’Importance Vitale (OIV), un enjeu stratégique de premier plan pour la France, puise ses fondements dans la Loi de Programmation Militaire (LPM). Aujourd'hui, celle-ci doit s'ajuster sur la directive européenne de cybersécurité NIS et son évolution NIS2 au sujet de laquelle nous avons écrit un article (sa date de mise en application s'approche mais NIS2 n'a pas encore été retranscrite en droit national). Décryptons le rôle des OIV, leur cadre réglementaire, et leur lien avec les Opérateurs de Services Essentiels (OSE), tout en éclairant les nouveaux standards fixés par les entités essentielles (EE) et importantes (EI).
Le concept d’Opérateur d’Importance Vitale (OIV) découle du dispositif SAIV (Secteurs d’Activités d’Importance Vitale), établi en 2006. Ce cadre visait initialement à protéger les infrastructures critiques contre les risques naturels, technologiques, sanitaires et malveillants, notamment le terrorisme et les cyberattaques. En 2013, face à l’intensification des cybermenaces, la Loi de Programmation Militaire (LPM) a renforcé ce dispositif. Elle a introduit des obligations spécifiques aux OIV pour sécuriser leurs Systèmes d’Information d’Importance Vitale (SIIV), les rendant incontournables pour la résilience nationale. Concrètement, ladite réglementation impose la déclaration des SIIV, la notification des incidents et l’application de 20 règles de sécurité définies par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Le périmètre des OIV est défini par 12 secteurs stratégiques classés en 4 dominantes :
Ces secteurs regroupent près de 1 500 Points d’Importance Vitale (PIV), allant des usines aux centres de contrôle, en passant par les data centers critiques. La liste des 249 OIV reste strictement confidentielle pour des raisons de sécurité nationale.
Les OIV sont soumis à des exigences réglementaires rigoureuses pour protéger leurs SIIV. Voici les principaux piliers de leur mise en conformité :
Chaque OIV doit identifier ses systèmes critiques dont une défaillance ou une attaque compromettrait gravement la sécurité nationale. En outre, ces systèmes doivent être déclarés à l’ANSSI, qui exerce une supervision renforcée à ce niveau.
Tout incident affectant un SIIV doit être notifié à l’ANSSI, ce qui permet une coordination rapide et efficace face aux cyberattaques.
Les 20 règles LPM, élaborées par l’ANSSI, encadrent la gouvernance, la maîtrise des risques, et la protection des systèmes. Entre autres, ces règles incluent des exigences comme le chiffrement des données, le cloisonnement des réseaux, et l’utilisation de produits homologués.
L’ANSSI, ou des prestataires qualifiés, effectue des audits pour évaluer le niveau de sécurité des OIV. En cas de crise majeure, l’Etat peut imposer des mesures exceptionnelles.
La directive européenne NIS (Network and Information Security), adoptée en 2016, s’est inspirée du modèle français des OIV qui introduisait les Opérateurs de Services Essentiels (OSE). Ces derniers concernent des secteurs similaires, mais avec un périmètre plus large, incluant des entreprises publiques et privées jugées essentielles pour la continuité des services en Europe. En 2018, la France comptait 122 OSE, chiffre qui a depuis augmenté avec l’élargissement des critères d’identification. La directive NIS impose aux OSE des obligations de cybersécurité comparables à celles des OIV, notamment la notification des incidents et la mise en œuvre de mesures de sécurité adaptées.
Mise en place en 2024, la directive NIS 2 marque un tournant en élargissant les secteurs concernés de 19 à 35 secteurs. Elle introduit également deux nouvelles catégories que sont les Entités Essentielles et les Entités Importantes :
Ces organisations, stratégiques pour l’économie et la société, devront se conformer à des obligations strictes en matière de cybersécurité, similaires à celles des OIV.
Bien qu’elles aient un impact moindre que les EE, les EI seront également tenues d’augmenter leur niveau de sécurité, le but étant de renforcer la résilience globale.
Avec NIS 2, le nombre d’entités soumises à des obligations de cybersécurité devrait être multiplié par 10 en France. Cela inclut désormais les sous-traitants et prestataires des EE et EI, rendant la chaîne d’approvisionnement elle-même plus sécurisée.
Spécialistes en sécurité informatique et pentests à Lyon, Paris, Saint-Étienne et partout en France
Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.