Partager sur les réseaux

29 novembre 2022

La sécurité des OIV à l’heure du continuum de sécurité nationale

À l’heure où les organisations terroristes ambitionnent de perturber le fonctionnement de centrales électriques et où les cybercriminels n’hésitent plus à attaquer des hôpitaux, la sûreté des Opérateurs d’importance vitale (OIV) revêt une importance stratégique.

 

Répartis en douze secteurs tels que la santé, l’énergie, les communications ou encore les transports, les 249 OIV français sont des entités publiques ou privées exerçant des activités ayant « trait à la production et à la distribution de biens ou de services indispensables », et exploitant des infrastructures dont la dégradation pourrait gravement mettre en danger l’autonomie et la survie de la Nation. Alors que le plan VIGIPIRATE vise à responsabiliser pleinement tous les acteurs, qu’ils soient publics ou privés, dans la lutte contre le terrorisme, le continuum de sécurité nationale fait des OIV des acteurs à part entière de la politique de sécurité nationale menée par l’État, selon un cadre juridique précis. 

 

Une approche sectorielle plaçant les opérateurs au centre du dispositif de sécurité 

 

Mise en place en 2006 par la voie de textes réglementaires avant d’être codifiée dans le Code de la défense, la politique de Sécurité des activités d’importance vitale (SAIV) associe les OIV et l’État dans l’élaboration et la mise en œuvre de mesures visant à protéger certaines activités critiques d’actes de terrorisme ou de malveillance. Ce dispositif est piloté au niveau interministériel par le Secrétariat général de la défense et de la sécurité nationale (SGDSN), qui est notamment chargé d’en établir le cadre général et la doctrine.

 

Le succès de la politique de sécurité des activités d’importance vitale repose sur le dialogue permanent entre l’État et les OIV, qui sont, de ce fait, pleinement intégrés au continuum de sécurité nationale et ce, dès la procédure de désignation des opérateurs d’importance vitale par le ministre coordonnateur. Cette procédure est précédée d’une phase de concertation interministérielle au sein de la commission interministérielle de défense et de sécurité (CIDS) puis d’une phase de consultation des opérateurs pressentis. Une fois sélectionné, chaque OIV doit ensuite désigner un délégué à la défense et à la sécurité en son sein. Ce délégué est l’interlocuteur privilégié des pouvoirs publics dans leur dialogue avec l’opérateur. Des correspondants de défense et de sécurité, chargés des échanges avec le préfet de zone de défense et le préfet de département, sont également désignés par l’OIV au niveau local.

 

Pour chacun des douze secteurs d’importance vitale au titre de l’arrêté du 2 juin 2006, un ministre coordonnateur est chargé de rédiger une Directive nationale de sécurité (DNS) identifiant les menaces pesant sur le secteur et fixant des objectifs de sécurité pour les opérateurs. Les directives nationales de sécurité constituent des orientations générales qui seront ensuite déclinées au niveau local par chaque OIV, en fonction de ses contraintes particulières. Ainsi les opérateurs d’importance vitale doivent-ils proposer un Plan de sécurité d’opérateur (PSO) précisant les mesures de protection de leurs infrastructures et fixant la liste de leurs Points d’importance vitale (PIV) devant faire l’objet d’une sécurisation renforcée. À ce jour, 1 369 PIV ont été identifiés en France selon le SGDSN. Pour chaque PIV, un Plan particulier de protection (PPP) est élaboré par l’opérateur d’importance vitale et correspond à la déclinaison concrète et locale du PSO. Il est complété, pour chaque PIV, par un Plan de protection externe (PPE) élaboré par le préfet de département et fixant les mesures de sécurité mises en œuvre par les pouvoirs publics en cas de survenue d’un incident sur le PIV. Chacun de ces plans comprend des mesures permanentes ainsi que des mesures graduées et temporaires, dont la mise en œuvre dépend du niveau d’alerte du plan VIGIPIRATE dans la zone d’implantation de l’OIV.

 

La cybersécurité, dimension nouvelle du dispositif de sécurité des activités d’importance vitale

 

Face à vulnérabilité des OIV aux cybermenaces, mise en évidence par des attaques telles que Stuxnet ou WannaCry, la loi de programmation militaire 2014-2019 a renforcé les obligations pesant sur les OIV en matière de cybersécurité. Ainsi, la politique de sécurité des activités d’importance vitale intègre désormais un volet relatif à la sécurité des Systèmes d’information d’importance vitale (SIIV), supervisée par l’Agence nationale de sécurité des systèmes d’information (ANSSI). Parmi les nouvelles obligations incombant désormais aux OIV figurent la mise en conformité avec les standards de sécurité fixés par l’ANSSI – leur mise en œuvre est régulièrement contrôlée par cette dernière. Les opérateurs d’importance vitale sont également tenus d’informer l’ANSSI lorsqu’un incident de cybersécurité a lieu ou est détecté sur l’une de leurs infrastructures.

 

La protection des infrastructures critiques à l’échelle de l’Union européenne

 

Les responsables de l’Union européenne (UE) ont rapidement pris conscience de l’intérêt d’une politique de sécurité des infrastructures d’importance vitale à l’échelle européenne, aboutissant au Programme européen pour la protection des infrastructures critiques (PEPIC). La première pierre de cet édifice a été posée le 8 décembre 2008 avec l’adoption, par le Conseil de l’Union européenne, de la directive 2008/114 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection. Cette directive reprend l’architecture et les principes du modèle français de sécurisation des OIV, qu’elle généralise à l’ensemble du territoire de l’UE.

 

Au niveau de la cybersécurité, la directive européenne 2016/1148 du 6 juillet 2016 Network and Information System Security (dite « directive NIS ») a pour objectif de réglementer la sécurité des systèmes d’information des opérateurs de services essentiels (OSE), sorte d’équivalent européen des opérateurs d’importance vitale. Une fois n’est pas coutume, les obligations imposées aux OSE sont similaires à celles que la loi de programmation militaire 2014-2019 fait peser sur les OIV français.

 

***

 

Face à la diversification des menaces pesant sur les opérateurs d’importance vitale, la réalisation du continuum de sécurité nationale se décline en une politique de sécurité des activités d’importance vitale qui fédère les acteurs publics et privés autour d’un même objectif de renforcement du niveau de résilience de la Nation. Initialement limitée aux actes de terrorisme et de malveillance commis sur le territoire français, cette politique, résolument moderne, a récemment intégré un volet cybersécurité et une dimension européenne, deux gages de sa meilleure efficacité. 

 

 

Guillaume Farde

Consultant expert en sécurité et défense

Professeur affilié à l’école d’affaires publiques de Sciences Po

 

 


 

Textes réglementaires

 

Demande de devis

Formation non définie