Le dispositif SAIV

Le dispositif de protection des SIIV vise à assurer la continuité des activités reposant sur des systèmes d'information dont l'interruption porterait atteinte aux intérêts fondamentaux de la Nation.

Publié le 18 Août 2022 Mis à jour le 19 Décembre 2023
Corps

En 2006, le dispositif Secteur d’activité d’importance vitale (SAIV) est mis en place afin de protéger les opérateurs jugés indispensables à la survie de la nation contre les actes malveillants (terrorisme, sabotage, cyberattaque) et les risques naturels, technologiques, sanitaires… Ces opérateurs identifiés par les différents ministères de tutelle seront désignés par arrêté « Opérateurs d’importance vitale » (OIV).

Fin 2013, pour faire face à l’augmentation en quantité et en sophistication des attaques informatiques, l’article 22 de la loi de programmation militaire vient compléter ce dispositif en ajoutant une nouvelle pierre à l’édifice, imposant aux OIV le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale (SIIV).

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a pour double mission d’accompagner les OIV dans la sécurisation de leurs systèmes d’information critiques et de contrôler, en tant qu’autorité nationale, le respect de ce cadre réglementaire précurseur en matière de réponse à la cybermenace.

À qui s'adresse cette réglementation ?

Cette réglementation s’adresse à tout opérateur, privé ou public, désigné OIV par le ministère de tutelle du secteur d’activité d’importance vitale de cet opérateur.

Plus de 200 opérateurs publics ou privés, dont les activités ont été jugées indispensables au bon fonctionnement et à la survie de la nation, ont été désignés comme OIV. La liste est couverte par le secret de la défense nationale.

Quelles sont ses principales dispositions ? 

1. La déclaration des SIIV

Les OIV doivent identifier et déclarer leurs systèmes d’information d’importance vitale c’est à dire les systèmes les plus critiques pour lesquels une attaque avérée aurait des conséquences graves pour la nation.

Les modalités de déclaration sont définies dans les arrêtés sectoriels.

2. L’obligation de notification des incidents à l’ANSSI

Les OIV doivent notifier directement l’ANSSI des incidents affectant leurs SIIV.

Les types d’incidents à notifier sont spécifiques aux secteurs et précisés par arrêté.

3. La définition des règles de sécurité applicables aux SIIV

L’ANSSI définit les règles techniques et organisationnelles de sécurité des systèmes d’information devant être appliquées par l’opérateur à ses SIIV.

Elles sont au nombre de 20 et adressent les thématiques suivantes :

  • Gouvernance et pilotage de la sécurité informatique,
  • Maîtrise des risques,
  • Maîtrise des systèmes d’information,
  • Gestion des incidents de sécurité,
  • Protection des systèmes d’information.

Les exigences sont définies dans des arrêtés sectoriels listés en section 4.1

4. Contrôles de sécurité

L’ANSSI peut déclencher des contrôles de sécurité afin d’évaluer le niveau de sécurité de l’OIV.

Le contrôle est conduit par l’ANSSI ou par un autre service de l’État ou par un prestataire d’audit qualifié par l’ANSSI (PASSI LPM).

5. Crise majeure

Le premier ministre peut imposer des mesures aux OIV afin de répondre à une crise majeure menaçant ou affectant la sécurité des systèmes d’information.

 

Pour aller plus loin

1. Références réglementaires

Références Liens
Code de la défense, articles L. 1332-6-1 et suivants et R. 1332-41-1 et suivants

legifrance.gouv.fr (législatif)

legifrance.gouv.fr (réglementaire)

Décret n°2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de services de confiance pour les besoins de la sécurité des systèmes d'information. legifrance.gouv.fr
Décret n°2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale legifrance.gouv.fr
Arrêtés sectoriels

Produits de santé (1er juillet 2016)

  Gestion de l’eau (1er juillet 2016)
  Alimentation (1er juillet 2016)
  Approvisionnement en énergie électrique (1er octobre 2016)
  Gaz nature (1er octobre 2016)
  Hydrocarbures pétroliers (1er octobre 2016)
  Transport terrestre (1er octobre 2016)
  Transport maritime et fluvial (1er octobre 2016)
  Transport aérien (1er octobre 2016)
  Audiovisuel et information(1er janvier 2017)
  Communications électroniques et Internet (1er janvier 2017)
  Industrie (1er janvier 2017)
  Finances (1er janvier 2017)
  Nucléaire (1er avril 2017)
  Activités industrielles de l’armement (1er octobre 2017)
  Espace (1er octobre 2017)
  Activités Civiles de l’Etat (1er octobre 2019)
  Recherche publique (1er octobre 2020)

2. Formulaires

OIV - Déclaration de SIIV :

Pour effectuer la déclaration de leurs systèmes d’information essentiels, les OSE doivent recourir au formulaire ci-dessous :

A noter :

  • Le formulaire doit être transmis à l’Agence par voie postale ou par voie électronique. Dans ce dernier cas, il est demandé de protéger la transmission à l’ANSSI de cette déclaration à l’aide d’un moyen de chiffrement agréé.

OIV - Déclaration d’incident :

Les OIV doivent notifier directement l’ANSSI des incidents affectant leurs SIIV.

Les types d’incidents à notifier sont spécifiques aux secteurs et précisés par arrêté.

Les modalités de déclaration d’incidents par les OIV sont disponibles sur cette page.

3. Foire aux questions

Voir la foire aux questions sur les SIIV

4. Guide pratique

La plaquette de présentation du dispositif SAIV - sgdsn.gouv.fr

Les guides pratiques sont référencés sur cette page.

FAQ - Systèmes d’information d’importance vitale

Les règles de sécurité

Les règles de sécurité sont à la fois organisationnelles et techniques. Elles doivent, pour la plupart, être déjà appliquées par l’ensemble des opérateurs pour sécuriser efficacement leurs systèmes d’information d’importance vitale.

OIV - Déclaration d’incident

Les OIV doivent notifier directement l’ANSSI des incidents affectant leurs SIIV. Les types d’incidents à notifier sont spécifiques aux secteurs et précisés par arrêté.