À l’heure où les organisations terroristes ambitionnent de perturber le fonctionnement de centrales électriques et où les cybercriminels n’hésitent plus à attaquer des hôpitaux, la sûreté des Opérateurs d’importance vitale (OIV) revêt une importance stratégique.
Répartis en douze secteurs tels que la santé, l’énergie, les communications ou encore les transports, les 249 OIV français sont des entités publiques ou privées exerçant des activités ayant « trait à la production et à la distribution de biens ou de services indispensables », et exploitant des infrastructures dont la dégradation pourrait gravement mettre en danger l’autonomie et la survie de la Nation. Alors que le plan VIGIPIRATE vise à responsabiliser pleinement tous les acteurs, qu’ils soient publics ou privés, dans la lutte contre le terrorisme, le continuum de sécurité nationale fait des OIV des acteurs à part entière de la politique de sécurité nationale menée par l’État, selon un cadre juridique précis.
Une approche sectorielle plaçant les opérateurs au centre du dispositif de sécurité
Mise en place en 2006 par la voie de textes réglementaires avant d’être codifiée dans le Code de la défense, la politique de Sécurité des activités d’importance vitale (SAIV) associe les OIV et l’État dans l’élaboration et la mise en œuvre de mesures visant à protéger certaines activités critiques d’actes de terrorisme ou de malveillance. Ce dispositif est piloté au niveau interministériel par le Secrétariat général de la défense et de la sécurité nationale (SGDSN), qui est notamment chargé d’en établir le cadre général et la doctrine.
Le succès de la politique de sécurité des activités d’importance vitale repose sur le dialogue permanent entre l’État et les OIV, qui sont, de ce fait, pleinement intégrés au continuum de sécurité nationale et ce, dès la procédure de désignation des opérateurs d’importance vitale par le ministre coordonnateur. Cette procédure est précédée d’une phase de concertation interministérielle au sein de la commission interministérielle de défense et de sécurité (CIDS) puis d’une phase de consultation des opérateurs pressentis. Une fois sélectionné, chaque OIV doit ensuite désigner un délégué à la défense et à la sécurité en son sein. Ce délégué est l’interlocuteur privilégié des pouvoirs publics dans leur dialogue avec l’opérateur. Des correspondants de défense et de sécurité, chargés des échanges avec le préfet de zone de défense et le préfet de département, sont également désignés par l’OIV au niveau local.
Pour chacun des douze secteurs d’importance vitale au titre de l’arrêté du 2 juin 2006, un ministre coordonnateur est chargé de rédiger une Directive nationale de sécurité (DNS) identifiant les menaces pesant sur le secteur et fixant des objectifs de sécurité pour les opérateurs. Les directives nationales de sécurité constituent des orientations générales qui seront ensuite déclinées au niveau local par chaque OIV, en fonction de ses contraintes particulières. Ainsi les opérateurs d’importance vitale doivent-ils proposer un Plan de sécurité d’opérateur (PSO) précisant les mesures de protection de leurs infrastructures et fixant la liste de leurs Points d’importance vitale (PIV) devant faire l’objet d’une sécurisation renforcée. À ce jour, 1 369 PIV ont été identifiés en France selon le SGDSN. Pour chaque PIV, un Plan particulier de protection (PPP) est élaboré par l’opérateur d’importance vitale et correspond à la déclinaison concrète et locale du PSO. Il est complété, pour chaque PIV, par un Plan de protection externe (PPE) élaboré par le préfet de département et fixant les mesures de sécurité mises en œuvre par les pouvoirs publics en cas de survenue d’un incident sur le PIV. Chacun de ces plans comprend des mesures permanentes ainsi que des mesures graduées et temporaires, dont la mise en œuvre dépend du niveau d’alerte du plan VIGIPIRATE dans la zone d’implantation de l’OIV.
La cybersécurité, dimension nouvelle du dispositif de sécurité des activités d’importance vitale
Face à vulnérabilité des OIV aux cybermenaces, mise en évidence par des attaques telles que Stuxnet ou WannaCry, la loi de programmation militaire 2014-2019 a renforcé les obligations pesant sur les OIV en matière de cybersécurité. Ainsi, la politique de sécurité des activités d’importance vitale intègre désormais un volet relatif à la sécurité des Systèmes d’information d’importance vitale (SIIV), supervisée par l’Agence nationale de sécurité des systèmes d’information (ANSSI). Parmi les nouvelles obligations incombant désormais aux OIV figurent la mise en conformité avec les standards de sécurité fixés par l’ANSSI – leur mise en œuvre est régulièrement contrôlée par cette dernière. Les opérateurs d’importance vitale sont également tenus d’informer l’ANSSI lorsqu’un incident de cybersécurité a lieu ou est détecté sur l’une de leurs infrastructures.
La protection des infrastructures critiques à l’échelle de l’Union européenne
Les responsables de l’Union européenne (UE) ont rapidement pris conscience de l’intérêt d’une politique de sécurité des infrastructures d’importance vitale à l’échelle européenne, aboutissant au Programme européen pour la protection des infrastructures critiques (PEPIC). La première pierre de cet édifice a été posée le 8 décembre 2008 avec l’adoption, par le Conseil de l’Union européenne, de la directive 2008/114 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection. Cette directive reprend l’architecture et les principes du modèle français de sécurisation des OIV, qu’elle généralise à l’ensemble du territoire de l’UE.
Au niveau de la cybersécurité, la directive européenne 2016/1148 du 6 juillet 2016 Network and Information System Security (dite « directive NIS ») a pour objectif de réglementer la sécurité des systèmes d’information des opérateurs de services essentiels (OSE), sorte d’équivalent européen des opérateurs d’importance vitale. Une fois n’est pas coutume, les obligations imposées aux OSE sont similaires à celles que la loi de programmation militaire 2014-2019 fait peser sur les OIV français.
***
Face à la diversification des menaces pesant sur les opérateurs d’importance vitale, la réalisation du continuum de sécurité nationale se décline en une politique de sécurité des activités d’importance vitale qui fédère les acteurs publics et privés autour d’un même objectif de renforcement du niveau de résilience de la Nation. Initialement limitée aux actes de terrorisme et de malveillance commis sur le territoire français, cette politique, résolument moderne, a récemment intégré un volet cybersécurité et une dimension européenne, deux gages de sa meilleure efficacité.
Guillaume Farde
Consultant expert en sécurité et défense
Professeur affilié à l’école d’affaires publiques de Sciences Po
Textes réglementaires
-
Articles L1332-1 à L1332-7 du Code de la défense
-
Articles L2151-1 à L2151-5 du Code de la défense
-
Articles R1332-1 à R1332-42 du Code de la défense
-
Arrêté du 2 juillet 2018 portant approbation du plan type des plans de protection externe des points d’importance vitale
-
Arrêté du 2 juillet 2018 portant approbation du plan type des plans particuliers de protection des points d’importance vitale
-
Arrêté du 2 juillet 2018 portant approbation du plan type des plans de sécurité d’opérateurs d’importance vitale
-
Arrêté du 2 juillet 2018 portant approbation de l’instruction méthodologique d’analyse de risque d’un secteur d’activités d’importance vitale
-
Décret n°2017-282 du 2 mars 2017 relatif aux installations d’importance vitale relevant du ministre de la Défense et modifiant certaines dispositions du code de la défense
-
Arrêté du 31 mars 2017 relatif au secteur d’activité d’importance vitale dont le ministre de la Défense est ministre coordonnateur
-
Décret n°2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale et pris pour l’application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense
-
Décret n°2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d’information
-
Décret n°2015-349 du 27 mars 2015 relatif à l’habilitation et à l’assermentation des agents de l’autorité nationale de sécurité des systèmes d’information et pris pour l’application de l’article L.2321-3 du code de la défense
-
Instruction générale interministérielle n°6600 du 7 janvier 2014 relative la sécurité des activités d’importance vitale
-
Chapitre IV de la loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014-2019 et portant diverses dispositions concernant la défense et la sécurité nationale
-
Décret n°2012-491 du 16 avril 2012 relatif à l’accès aux points d’importance vitale
-
Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection
-
Arrêté du 3 juillet 2008 portant modification de l’arrêté du 2 juin 2006 fixant la liste des secteurs d’activités d’importance vitale et désignant les ministres coordonnateurs desdits secteurs
-
Arrêté du 2 juin 2006 fixant la liste des secteurs d’activités d’importance vitale et désignant les ministres coordonnateurs desdits secteurs
-
Décret n°2006-212 du 23 février 2006 relatif à la sécurité des activités d’importance vitale
