La cybersécurité des OIV s’intègre dans le dispositif interministériel plus large de sécurité des activités d’importance vitale (SAIV) inscrit dans le code de la défense. Ces activités sont réparties par secteur d’activité rattaché à un ministère coordonnateur. Interlocuteur privilégié pour l’ensemble des enjeux « métier », le ministère est chargé d’apporter son expertise sur le secteur d’activité dont il a la charge.

Ce dispositif a permis d’identifier les opérateurs d’importance vitale (OIV), privés et publics, qui exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation.

Pour faire face aux nouvelles menaces cyber, l’article 22 de la loi de programmation militaire (loi n° 2013-1168 du 18 décembre 2013), qui fait suite aux préconisations du Livre blanc sur la défense et la sécurité nationale de 2013 rajoute une pierre à l’édifice en imposant aux OIV le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale (SIIV).

Cette sécurisation passe notamment par l’application d’un certain nombre de règles de sécurité. La France est le premier pays à être passé par la réglementation pour mettre en place un dispositif efficace et obligatoire de cybersécurité de ces infrastructures critiques.

• dispositif saiv

  • mise en place en 2006 du dispositif de « sécurité des activités d’importance vitale »
  • protection contre les actes de malveillance (terrorisme, sabotage, cyberattaque) et les risques naturels, technologiques, sanitaires..

• secteurs d’activités d’importance vitale

  • activités, par définition, difficilement substituables ou remplaçables pour la nation, que ce soit sur des aspects économiques, sociaux, de défense ou de sécurité.
  • 12 secteurs d’activité rattachés à un ministère coordonnateur et à une directive nationale de sécurité (dns).

• oiv

  • plus de 200 opérateurs publics ou privés dont les activités sont indispensables au bon fonctionnement et à la survie de la Nation.
  • une liste gardée confidentielle pour des questions de sécurité nationale.

• siiv

  • volet cyber de la LPM : assurer la sécurité des « systèmes d’information d’importance vitale ».
  • mise en place de mesures de protection contre des actes malveillants portant atteinte à leur bon fonctionnement.

Pour en savoir plus, n’hésitez pas à consulter la plaquette de présentation du dispositif SAIV réalisée par le SGDSN.

La sécurisation des systèmes d’information d’importance vitale

Le 27 mars 2015 sont parus les deux décrets suivants :

• Décret n°2015-351 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale ;
• Décret n°2015-350 relatif à la qualification des produits de sécurité et des prestataires de services de confiance pour les besoins de la sécurité nationale.

En tant qu’autorité nationale en matière de cybersécurité et de cyberdéfense, l’ANSSI est en charge de piloter la partie cyber du dispositif SAIV et accompagne les OIV dans la mise en œuvre des nouvelles mesures définies par les décrets.

Au sein de l’agence, des coordinateurs sectoriels sont les interlocuteurs privilégiés des administrations et des OIV sur les questions de sécurité et défense de leurs systèmes d’information.
Afin de préparer l’élaboration des textes réglementaires, l’ANSSI a lancé une consultation des acteurs publics et privés (OIV, autorités de régulation, ministères) pour définir les règles techniques de sécurité et les procédures adaptées aux différents métiers ainsi que pour fixer un calendrier de mise en œuvre réaliste.

Retrouvez les nouvelles mesures définies par l’article 22 de la Loi de programmation militaire dans la rubrique « la cybersécurité en action ».