OIV et cybersécurité : la défense des activités vitales pour la nation

La cybersécurité des Opérateurs d’Importance Vitale (OIV), un enjeu stratégique de premier plan pour la France, puise ses fondements dans la Loi de Programmation Militaire (LPM). Aujourd'hui, celle-ci doit s'ajuster sur la directive européenne de cybersécurité NIS et son évolution NIS2 au sujet de laquelle nous avons écrit un article (sa date de mise en application s'approche mais NIS2 n'a pas encore été retranscrite en droit national). Décryptons le rôle des OIV, leur cadre réglementaire, et leur lien avec les Opérateurs de Services Essentiels (OSE), tout en éclairant les nouveaux standards fixés par les entités essentielles (EE) et importantes (EI).

 

D’un SAIV à un OIV : un bref aperçu historique

Le concept d’Opérateur d’Importance Vitale (OIV) découle du dispositif SAIV (Secteurs d’Activités d’Importance Vitale), établi en 2006. Ce cadre visait initialement à protéger les infrastructures critiques contre les risques naturels, technologiques, sanitaires et malveillants, notamment le terrorisme et les cyberattaques. En 2013, face à l’intensification des cybermenaces, la Loi de Programmation Militaire (LPM) a renforcé ce dispositif. Elle a introduit des obligations spécifiques aux OIV pour sécuriser leurs Systèmes d’Information d’Importance Vitale (SIIV), les rendant incontournables pour la résilience nationale. Concrètement, ladite réglementation impose la déclaration des SIIV, la notification des incidents et l’application de 20 règles de sécurité définies par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

 

Les 12 secteurs d’activités d’importance vitale (SAIV)

Le périmètre des OIV est défini par 12 secteurs stratégiques classés en 4 dominantes :

1. Dominante régalienne
  • Activités civiles de l’État
  • Activités judiciaires
  • Activités militaires de l’Etat
2. Dominante humaine
  • Santé
  • Gestion de l’eau
  • Alimentation
3. Dominante économique
  • Energie
  • Finances
  • Transports
4. Dominante technologique
  • Communications électroniques, audiovisuel et information
  • Industrie
  • Espace et recherche

Ces secteurs regroupent près de 1 500 Points d’Importance Vitale (PIV), allant des usines aux centres de contrôle, en passant par les data centers critiques. La liste des 249 OIV reste strictement confidentielle pour des raisons de sécurité nationale.

les 12 SAIV source : armement.defense.gouv.fr

 

Quelles sont les obligations des OIV en matière de cybersécurité ?

Les OIV sont soumis à des exigences réglementaires rigoureuses pour protéger leurs SIIV. Voici les principaux piliers de leur mise en conformité :

Déclaration des SIIV

Chaque OIV doit identifier ses systèmes critiques dont une défaillance ou une attaque compromettrait gravement la sécurité nationale. En outre, ces systèmes doivent être déclarés à l’ANSSI, qui exerce une supervision renforcée à ce niveau.

Notification des incidents

Tout incident affectant un SIIV doit être notifié à l’ANSSI, ce qui permet une coordination rapide et efficace face aux cyberattaques.

Mise en œuvre de règles de sécurité

Les 20 règles LPM, élaborées par l’ANSSI, encadrent la gouvernance, la maîtrise des risques, et la protection des systèmes. Entre autres, ces règles incluent des exigences comme le chiffrement des données, le cloisonnement des réseaux, et l’utilisation de produits homologués.

Contrôles de sécurité

L’ANSSI, ou des prestataires qualifiés, effectue des audits pour évaluer le niveau de sécurité des OIV. En cas de crise majeure, l’Etat peut imposer des mesures exceptionnelles.

 

OSE et NIS, une extension du modèle OIV

La directive européenne NIS (Network and Information Security), adoptée en 2016, s’est inspirée du modèle français des OIV qui introduisait les Opérateurs de Services Essentiels (OSE). Ces derniers concernent des secteurs similaires, mais avec un périmètre plus large, incluant des entreprises publiques et privées jugées essentielles pour la continuité des services en Europe. En 2018, la France comptait 122 OSE, chiffre qui a depuis augmenté avec l’élargissement des critères d’identification. La directive NIS impose aux OSE des obligations de cybersécurité comparables à celles des OIV, notamment la notification des incidents et la mise en œuvre de mesures de sécurité adaptées.

 

NIS 2 : vers une cybersécurité plus inclusive

Mise en place en 2024, la directive NIS 2 marque un tournant en élargissant les secteurs concernés de 19 à 35 secteurs. Elle introduit également deux nouvelles catégories que sont les Entités Essentielles et les Entités Importantes :

Entités Essentielles (EE)

Ces organisations, stratégiques pour l’économie et la société, devront se conformer à des obligations strictes en matière de cybersécurité, similaires à celles des OIV.

Entités Importantes (EI)

Bien qu’elles aient un impact moindre que les EE, les EI seront également tenues d’augmenter leur niveau de sécurité, le but étant de renforcer la résilience globale.

Avec NIS 2, le nombre d’entités soumises à des obligations de cybersécurité devrait être multiplié par 10 en France. Cela inclut désormais les sous-traitants et prestataires des EE et EI, rendant la chaîne d’approvisionnement elle-même plus sécurisée.

Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.