Accueil🇫🇷Chercher

Opérateur d'importance vitale

Un opérateur d'importance vitale (OIV) est, en France, une organisation identifiée par l'État comme ayant des activités indispensables à la survie de la nation[1] ou dangereuses pour la population. En 2016, il y en avait 249 dans 12 secteurs d'activité et 4 dominantes[2] (cf. infra). Pour des raisons de sécurité nationale, la liste des OIV n'est pas publique et il est demandé aux entreprises désignées de ne pas communiquer sur leur implication au dispositif.

Le dispositif est décrit par décret en 2006[3] avant d'être codifié au Code de la Défense[4] en 2007.

DĂ©finition

Un secteur d'activités d'importance vitale (SAIV), tel que défini par l'article R. 1332-2 du Code de la Défense, est constitué d'activités[5] :

  • concourant Ă  un mĂŞme objectif, la production et distribution de biens ou de services indispensables :
    • Ă  la satisfaction des besoins essentiels pour la vie des populations,
    • Ă  l'exercice de l'autoritĂ© de l'État,
    • au fonctionnement de l'Ă©conomie,
    • au maintien du potentiel de dĂ©fense,
    • ou Ă  la sĂ©curitĂ© de la Nation ;
  • ou prĂ©sentant un danger grave pour la population.

Un opérateur d'importance vitale, tel que défini par l'article R. 1332-1 du Code de la Défense, est une organisation qui[6] :

  • « exerce des activitĂ©s comprises dans un secteur d'activitĂ©s d'importance vitale » ;
  • « gère ou utilise au titre de cette activitĂ© un ou des Ă©tablissements ou ouvrages, une ou des installations dont le dommage ou l'indisponibilitĂ© ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement :
    • d'obĂ©rer gravement le potentiel de guerre ou Ă©conomique, la sĂ©curitĂ© ou la capacitĂ© de survie de la Nation ;
    • ou de mettre gravement en cause la santĂ© ou la vie de la population ».

DĂ©signation

Douze secteurs d’activités d’importance vitale (SAIV) ont été définis dans un arrêté du [7], modifié par un arrêté du [8] - [2] :

Dominante Secteur d'activités d'importance vitale Ministère coordonnateur
Régalienne Activités civiles de l’État Ministère de l'Intérieur
Activités militaires de l’État Ministère de la Défense
Activités judiciaires Ministère de la Justice
Humaine Santé Ministère chargé de la Santé
Gestion de l’eau Ministère chargé de l'Écologie
Alimentation Ministère chargé de l'Agriculture
Économique Énergie Ministère chargé de l'Énergie
Finances Ministère chargé de l'Économie et des Finances
Transports Ministère chargé des Transports
Technologique Communications électroniques, audiovisuel et information Ministère chargé des Communications électroniques
Industrie Ministère chargé de l'Industrie
Espace et recherche Ministère chargé de la Recherche

Les opérateurs d'importance vitale sont désignés pour chaque secteur d'activités d'importance vitale par arrêté du ministre coordonnateur[9]. Cet arrêté est pris en concertation avec le ou les ministres intéressés, après avis de la commission interministérielle de défense et de sécurité des secteurs d'activités d'importance vitale[9]. Cette commission est présidée par le secrétaire général de la Défense et de la Sécurité nationale (article R. 1332-10 du Code de la Défense)[9] - [10].

Chaque ministre coordonnateur d'un secteur d'activité d'importance vitale notifie aux opérateurs d'importance vitale la directive nationale de sécurité (DNS) correspondante[11]. La DNS identifie les risques et les menaces et définit les grands objectifs de sécurité de chaque secteur ou sous-secteur d'activité.

Obligations

Les opérateurs d’importance vitale ont pour obligation de[2] :

  • « former leurs responsables et leurs directeurs de la sĂ©curitĂ© tant au niveau central qu’au niveau local » ;
  • « après une analyse de risques, Ă©tablir un plan de sĂ©curitĂ© opĂ©rateur (PSO) prenant en compte les attendus de la directive nationale de sĂ©curitĂ© au titre de laquelle ils ont Ă©tĂ© dĂ©signĂ©s opĂ©rateurs d’importance vitale » ;
  • « identifier leurs points d’importance vitale qui feront l’objet d’un plan particulier de protection (PPP) Ă  leur charge et d’un plan de protection externe (PPE) Ă  la charge du prĂ©fet de dĂ©partement ».

Loi de programmation militaire pour 2014-2019

Le projet de loi de programmation militaire pour 2014-2019 précise qu’il est de la responsabilité de l’État d’assurer une sécurité suffisante des systèmes critiques des opérateurs d'importance vitale. À travers quatre mesures principales, il vise à établir un socle minimum de sécurité pour les organisations[12].

Fin 2013, sur la base du projet de loi, l'État serait en mesure de[13] - [12] :

  • fixer des obligations comme par exemple l’interdiction de connecter certains systèmes critiques Ă  Internet ;
  • mettre en place des systèmes de dĂ©tections par des prestataires labellisĂ©s par l’État ;
  • vĂ©rifier le niveau de sĂ©curitĂ© des systèmes d'information critiques Ă  travers un système d’audit ;
  • et en cas de crise majeure, de pouvoir imposer les mesures nĂ©cessaires aux opĂ©rateurs d'importance vitales.

Arrêtés sectoriels d'application

Pour chaque secteur ou sous-secteur identifié, le Premier ministre a pris un arrêté d'application écrit par les services de l'ANSSI définissant les obligations des opérateurs en matière de sécurité informatique.

Les arrêtés ont été pris :

Secteur ou sous-secteur Arrêté Entrée en vigueur
Sous-secteur « Produits de santé » [14]
Secteur « Gestion de l'eau » [15]
Secteur « Alimentation » [16]
Sous-secteur « Transports terrestres » [17]
Sous-secteur « Transports maritime et fluvial » [18]
Sous-secteur « Transport aérien » [19]
Sous-secteur « Approvisionnement en énergie électrique » [20]
Sous-secteur « Approvisionnement en gaz naturel » [21]
Sous-secteur « Approvisionnement en hydrocarbures pétroliers » [22]
Secteur « Finances » [23]
Secteur « Industrie » [24]
Sous-secteur « Audiovisuel et information » [25]
Sous-secteur « Communications électroniques et Internet » [26]
Sous-secteur « Nucléaire » [27]
Sous-secteur « Espace » [28]
Sous-secteur « Activités industrielles de l'armement » [29]
Secteur « Activités civiles de l'État » [30]
Sous-secteur « Recherche publique » [31]
Sous-secteur « Activités militaires de l'État » [32]

À part pour les activités civiles, les arrêtés relatifs à la dominante régalienne sont encore en attente.

Ces arrĂŞtĂ©s prĂ©voient un dĂ©lai variant de 3 mois Ă  2 ans pour la mise en place des mesures listĂ©es en Annexe 1, au nombre de 20, dont notamment :

  • la mise en place d'une politique de sĂ©curitĂ© des systèmes d'information ;
  • la conduite d'une homologation de sĂ©curitĂ© ;
  • la communication d'Ă©lĂ©ments sur le système d'information importance vitale (SIIV) mis en place par l'opĂ©rateur Ă  l'ANSSI ;
  • l'observation des alertes de sĂ©curitĂ© et la rĂ©action Ă  celles-ci ;
  • la limitation des accès ;
  • le cloisonnement des rĂ©seaux.

Les annexes II (délais), III (type de système d'information) et IV (type d'incidents) ne sont pas publiques, et sont communiquées par l'ANSSI aux personnes « ayant besoin d'en connaître » et habilitées pour cela.

Notes et références
  1. « Protection des OIV en France », ANSSI (consulté le ).
  2. « La sécurité des activités d'importance vitale », Secrétariat général de la défense et de la sécurité nationale (SGDSN), .
  3. Décret no 2006-212 du relatif à la sécurité des activités d'importance vitale, JORF no 47 du , p. 2889, texte no 1, NOR PRMX0500312D, sur Légifrance.
  4. Coursaget 2010.
  5. Article R. 1332-2 du Code de la DĂ©fense, sur LĂ©gifrance.
  6. Article R. 1332-1 du Code de la DĂ©fense, sur LĂ©gifrance.
  7. Arrêté du fixant la liste des secteurs d'activités d'importance vitale et désignant les ministres coordonnateurs desdits secteurs, JORF no 129 du , p. 8502, texte no 1, NOR PRMX0609332A, sur Légifrance.
  8. Arrêté du portant modification de l'arrêté du fixant la liste des secteurs d'activités d'importance vitale et désignant les ministres coordonnateurs desdits secteurs, JORF no 156 du , p. 10823, texte no 6, NOR PRMD0813724A, sur Légifrance.
  9. Article R. 1332-3 du Code de la DĂ©fense, sur LĂ©gifrance.
  10. Article R. 1332-10 du Code de la DĂ©fense, sur LĂ©gifrance.
  11. Réponse du Premier ministre à une question d'un parlementaire, Assemblée nationale, 28 mai 2013.
  12. « La loi de programmation militaire et la protection des opérateurs d'importance vitale (OIV) », sur Cyberstratégie.org (via archive.org).
  13. Marc Watin-Augouard, « La loi de programmation militaire et la cybermenace », Les Échos, .
  14. Arrêté du (produits de santé).
  15. Arrêté du (gestion de l'eau).
  16. Arrêté du (alimentation).
  17. Arrêté du (transports terrestres).
  18. Arrêté du (transports maritime et fluvial).
  19. Arrêté du (transport aérien).
  20. Arrêté du (approvisionnement en énergie électrique).
  21. Arrêté du (approvisionnement en gaz naturel).
  22. Arrêté du (approvisionnement en hydrocarbures pétroliers).
  23. Arrêté du (finances) modifié par arrêté du .
  24. Arrêté du (industrie).
  25. Arrêté du (audiovisuel et information).
  26. Arrêté du (communications électroniques et Internet).
  27. Arrêté du (nuclaire).
  28. Arrêté du (espace).
  29. Arrêté du (activités industrielles de l'armement).
  30. Arrêté du (activités civiles de l'État).
  31. Arrêté du (recherche publique).
  32. Arrêté du (activés militaires de l'Etat.

Annexes

Bibliographie
  • Alain Coursaget, « La sĂ©curitĂ© des activitĂ©s d’importance vitale : Premier bilan du SGDSN », SĂ©curitĂ© et StratĂ©gie, no 4,‎ , p. 5–17 (DOI 10.3917/sestr.004.0005).

Articles connexes
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.