La loi de programmation militaire établit un nouveau cadre pour les opérateurs d'importance vitale, qui doivent se soumettre à de nouvelles règles, notamment en cas de crise majeure menaçant ou affectant la sécurité des systèmes d'information. Celles-ci seront précisées dans des décrets d'application, en cours d'élaboration par l'ANSSI.

Évoquée lors du précédent livre blanc sur la défense et la sécurité nationale en 2008 puis développée dans une nouvelle version publiée cinq ans plus tard, la politique de la France en matière de cyberdéfense a été officialisée à l'occasion de la loi de programmation militaire, signe que ce sujet est désormais perçu comme une priorité stratégique pour le pays.

S'agissant des opérateurs d'importance vitale (OIV), l'article 22 de la loi s'intéresse à la "protection des systèmes d'information des opérateurs […] et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation".

Quatre règles s'imposent aux opérateurs d'importance vitale :

  • les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information ;
  • ils doivent informer sans délai les autorités des incidents affectant le fonctionnement ou la sécurité des systèmes d'information ;
  • ils doivent soumettre leurs systèmes d'information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité ;
  • en cas de crise majeure menaçant ou affectant la sécurité des systèmes d'information, ils doivent se soumettre aux instructions données par les autorités.

Ces règles seront contrôlées et appliquées par l'agence nationale de la sécurité des systèmes d'information (ANSSI), qui est rattachée au secrétariat général de la défense et de la sécurité nationale, lui-même dépendant du premier ministre. Et c'est ce même  ANSSI qui s'attèle aujourd'hui aux décrets d’application de la LPM portant sur la protection des opérateurs d’importance vitale.

"Afin de préparer l’élaboration des textes réglementaires qui seront pris en application de cet article, l’ANSSI a lancé une consultation des acteurs publics et privés pour définir les règles techniques et les procédures adaptées aux différents métiers et pour fixer un calendrier de mise en œuvre réaliste", écrit l'agence, qui prévoit la publication du décret d'application de l'article 22 pour cet automne.

Des arrêtés seront ensuite pris afin de préciser "les délais de mise en œuvre des différentes règles" signalés ci-dessus.

visuel_fibre_adsl2

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.