Protection des OIV en France


Face à l’augmentation en quantité et en sophistication des attaques informatiques, et à leurs impacts potentiellement destructeurs, l’ANSSI a pour mission d’accompagner les opérateurs d’importance vitale (OIV) dans la sécurisation de leurs systèmes d’information sensibles.

La cybersécurité des OIV s’intègre dans le dispositif interministériel plus large de sécurité des activités d’importance vitale (SAIV) inscrit dans le code de la défense. Ces activités sont réparties par secteur d’activité rattaché à un ministère coordonnateur. Interlocuteur privilégié pour l’ensemble des enjeux « métier », le ministère est chargé d’apporter son expertise sur le secteur d’activité dont il a la charge.

Ce dispositif a permis d’identifier les opérateurs d’importance vitale (OIV), privés et publics, qui exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation.

Pour faire face aux nouvelles menaces cyber, l’article 22 de la loi de programmation militaire (loi n° 2013-1168 du 18 décembre 2013), qui fait suite aux préconisations du Livre blanc sur la défense et la sécurité nationale de 2013 rajoute une pierre à l’édifice en imposant aux OIV le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale (SIIV).

Cette sécurisation passe notamment par l’application d’un certain nombre de règles de sécurité. La France est le premier pays à être passé par la réglementation pour mettre en place un dispositif efficace et obligatoire de cybersécurité de ces infrastructures critiques.

Qu’est-ce que la LPM ?

LPM : quelles conséquences pour les OIV ?

 

  • dispositif saiv

    • mise en place en 2006 du dispositif de « sécurité des activités d’importance vitale »
    • protection contre les actes de malveillance (terrorisme, sabotage, cyberattaque) et les risques naturels, technologiques, sanitaires..
  • secteurs d’activités d’importance vitale

    • activités, par définition, difficilement substituables ou remplaçables pour la nation, que ce soit sur des aspects économiques, sociaux, de défense ou de sécurité.
    • 12 secteurs d’activité rattachés à un ministère coordonnateur et à une directive nationale de sécurité (dns).
  • oiv

    • plus de 200 opérateurs publics ou privés dont les activités sont indispensables au bon fonctionnement et à la survie de la Nation.
    • une liste gardée confidentielle pour des questions de sécurité nationale.
  • siiv

    • volet cyber de la LPM : assurer la sécurité des « systèmes d’information d’importance vitale ».
    • mise en place de mesures de protection contre des actes malveillants portant atteinte à leur bon fonctionnement.

 
Pour en savoir plus, n’hésitez pas à consulter la plaquette de présentation du dispositif SAIV réalisée par le SGDSN.

 

La sécurisation des systèmes d’information d’importance vitale

Le 27 mars 2015, deux décrets d’application sont publiés :

  • Décret n°2015-351 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale ;
  • Décret n°2015-350 relatif à la qualification des produits de sécurité et des prestataires de services de confiance pour les besoins de la sécurité nationale.

En tant qu’autorité nationale en matière de cybersécurité et de cyberdéfense, l’ANSSI est en charge de piloter la partie cyber du dispositif SAIV et accompagne les OIV dans la mise en œuvre des nouvelles mesures définies par les décrets.

Au sein de l’agence, des coordinateurs sectoriels sont les interlocuteurs privilégiés des administrations et des OIV sur les questions de sécurité et défense de leurs systèmes d’information.
Afin de préparer l’élaboration des textes réglementaires, l’ANSSI a lancé une consultation des acteurs publics et privés (OIV, autorités de régulation, ministères) pour définir les règles techniques de sécurité et les procédures adaptées aux différents métiers ainsi que pour fixer un calendrier de mise en œuvre réaliste.

 

Entrée en vigueur des mesures de cybersécurité

Suite aux groupes de travail, l’ANSSI propose une réglementation adaptée aux secteurs d’activité. Les premiers arrêtés sont signés par le Premier Ministre et définissent les critères d’exécution des mesures qui entreront en vigueur au 1er juillet 2016.
2016

Lancement des groupes de travail

Pour chaque secteur d’activité, les groupes de travail regroupent autour de l’ANSSI les OIV, le ministère coordonnateur et les autorités de régulation. Les règles de sécurité et les délais d’application sont discutés entre les différentes parties prenantes.
2014/2016

Définition des modalités d’application de la LPM

Le décret d’application de l’article 22 de la LPM précise les modalités d’application des nouvelles mesures de cyber sécurité. Il est accompagné d’un décret sur la qualification.
2014/2015

Adoption de la loi de programmation militaire

La LPM est l’outil législatif qui va permettre aux opérateurs publics et privés critiques pour la Nation de mieux se protéger et à l’ANSSI de mieux les soutenir en cas d’attaque informatique.
2013

Le livre blanc 2013

L’Etat prend en compte les enjeux de cybersécurité des opérateurs vitaux pour la Nation lors de la définition des grandes orientations stratégiques en matière de Défense et de sécurité nationale.
2013

Retrouvez les nouvelles mesures définies par l’article 22 de la Loi de programmation militaire dans la rubrique « la cybersécurité en action ».