Opérateurs d’importance vitale (OIV) : qui sont-ils ? Quelles sont leurs principales obligations ?
Les réponses apportées sont à jour de la réglementation en date du 08 octobre 2024.
Qu’est-ce qu’un OIV ?
Le cadre réglementaire français relatif à la protection des installations d’importance vitale est fixé principalement par le Code de la défense (articles L.1332-1 et suivants ; R.1332-1 et suivants). Ces dispositions s’appliquent aux « opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation » (L.1332-1). Au regard de l’importance des enjeux, ces opérateurs doivent respecter certaines exigences pour assurer la protection des entités concernées contre toute menace, notamment pour faire face aux attaques terroristes et aux risques climatiques.
Ainsi, les OIV exercent des activités considérées comme essentielles pour le bon fonctionnement du pays et la sécurité de la population. Ils sont désignés par l'autorité administrative (désignation confidentielle pour les intérêts de la défense nationale) et exercent des activités détaillées par le Code de la défense et comprises dans un secteur d'activités d'importance vitale (article R.1332-1).
Quelles sont les activités exercées par les OIV ?
En application de l’article R.1332-2 du Code de la défense, un secteur d’activités d’importance vitale comprend des activités concourant à un même objectif qui :
- Sont relatives à la production et la distribution de biens ou de services indispensables :
- « à la satisfaction des besoins essentiels pour la vie des populations ;
- « ou à l'exercice de l'autorité de l'Etat ;
- « ou au fonctionnement de l'économie ;
- « ou au maintien du potentiel de défense ;
- « ou à la sécurité de la Nation,
dès lors que ces activités sont difficilement substituables ou remplaçables ;
- Ou peuvent présenter un danger grave pour la population ».
Le Code de la défense invite le Premier ministre à prendre un arrêté pour déterminer les secteurs d'activités d'importance vitale. Précisément, un arrêté du 2 juin 2006 fixe cette liste et identifie les secteurs suivants :
- activités civiles de l’État,
- activités judiciaires,
- activités militaires de l’État,
- alimentation, communications électroniques,
- audiovisuel et information,
- énergie,
- espace et recherche,
- finances,
- gestion de l’eau,
- industrie,
- santé,
- transports.
Cet arrêté détermine également, pour chaque secteur d'activités d'importance vitale, un ministre coordonnateur devant s’assurer de la bonne application des directives du gouvernement dans le secteur concerné. Chaque ministre coordonnateur doit également effectuer une analyse de risque dans son secteur en tenant compte des scénarios de menaces que le Premier ministre a fixé par arrêté (article R.1332-16 du même code). Pour ce faire, il peut s’appuyer sur la Directive Nationale de Sécurité (DNS) du secteur dont il relève (article R.1332-17). Il est à noter que ces DNS sont classifiées et ne sont pas accessibles au public.
Quelle est la différence entre un OIV et un opérateur de service essentiels (OSE) ?
La notion d’OIV a été introduite par la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019, laquelle avait obligé les opérateurs d’infrastructures vitales à mettre en place des mesures pour renforcer leur protection contre les risques cyber. Quelques années plus tard, la réglementation européenne s’est enrichie de deux nouveaux textes qui sont venus compléter voire adapter ces règles pour les imposer aux OSE.
Il s’agit de :
- la directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (directive NIS) ;
la directive 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive NIS 2).
Ces textes évoquent les OSE (ou entités essentielles et importantes) en lieu et place des OIV. Ils ont donc notamment étendu le dispositif de protection contre la cyber-attaque à des entités autres que celles considérées « d’importance vitale ».
En effet, la directive NIS définit des prescriptions en matière de sécurité et de notification pour les OSE qu’elle définit comme désignant une entité publique ou privée relevant d’un des secteurs suivants : « énergie, transports, banques, marchés financiers, santé, eau potable, infrastructures numériques » et qui satisfait aux conditions cumulatives suivantes :
- l’entité fournit un service qui est essentiel au maintien d'activités sociétales et/ou économiques critiques ;
- ce service dépend des réseaux et des systèmes d'information ;
un incident conduirait à un « effet disruptif » important sur la fourniture de ce service.
Ce faisant, la notion d’OSE est une notion européenne qui reste étroitement liée à la notion d’OIV, bien que des différences existent comme le laisse apparaitre leurs définitions respectives. Dans ce contexte et comme le précise l’Agence nationale de la sécurité des systèmes d'information (ANSSI) sur son site internet, les OSE et les OIV ne sont pas soumis exactement aux mêmes contraintes.
Quelles sont les principales obligations des OIV ?
La réglementation du Code de la défense impose des obligations strictes aux opérateurs afin de garantir la sécurité des infrastructures critiques. Ces obligations incluent des mesures organisationnelles, matérielles, et logicielles, ainsi que des mécanismes de gestion des incidents et de coordination avec les autorités, parmi lesquelles :
l’identification des points d’importance vitale. Cette identification doit être validée par l’autorité administrative et mise à jour régulièrement ;
la désignation d’un délégué pour la défense et la sécurité. Ce délégué est le point de contact principal de l’autorité administrative pour toutes les questions relatives à la sécurité de l’OIV, des installations et des plans de sécurité associés. Il doit être habilité pour avoir accès à des informations classifiées (articles R.1332-5 et R.1332-6) ;
la limitation des accès des OIV aux seules personnes autorisées (art. L.1332-2-1) ;
l’élaboration et la mise en œuvre d’un Plan de Sécurité d'Opérateur d’importance vitale (PSO) pour les OIV exploitant ou utilisant, au titre de leurs activités, plusieurs points d’importance vitale (article R.1332-19). Ce document constitue la politique générale de protection pour l'ensemble de ces entités. Le PSO est classifié et protégé par les mêmes dispositions que celles applicables aux DNS ;
la définition de mesures de protection prévues à un plan particulier de protection (PPP) dressé par l'opérateur et approuvé par l'autorité administrative. Ces mesures, déclinées pour chaque établissement, ouvrage ou installation désigné comme OIV, incluent des dispositions efficaces de surveillance, d'alarme et de protection matérielle (art. L.1332-3, R.1332-25) ;
la révision et la mise à jour des PSO et des PPP à chaque changement significatif affectant la sécurité de l’OIV, ou en cas d’évolution de la menace (article R.1332-1) ;
la déclaration et la mise à jour de la liste des systèmes d’information d’importance vitale (SIIV), laquelle doit être transmise à l’Agence nationale de la sécurité des systèmes d'information. Cette liste inclut les SIIV de l’OIV ainsi que ceux des opérateurs tiers participant à ces systèmes (art. R.1332-41-2) ;
la bonne application des règles de sécurité des SIIV dans les délais et conditions fixés par le Premier ministre. Ces règles peuvent varier en fonction du secteur ou du type d'activité de l'opérateur concerné (art. R.1332-41-1). Elles déterminent notamment les conditions et les délais dans lesquels les OIV doivent mettre en œuvre des dispositifs de détection des évènements pouvant affecter la sécurité de leurs SIIV (art. R.1332-41-3) ;
la déclaration des incidents affectant la sécurité ou le fonctionnement des SIIV à l’ANSSI avec la mise à jour de des informations au fur et à mesure de l’analyse de l’incident (art. R.1332-41-10) ;
l’exécution de contrôles destinés à vérifier le niveau de sécurité de ces systèmes d’information lorsque le premier ministre / l’ANSSI le demande. L’objectif de ce contrôle est de tester le niveau de sécurité de l’OIV. Les OIV doivent fournir tous les moyens nécessaires à l’évaluation de la sécurité des SIIV (articles L.1332-6-3, R.1332-41-12 à R.1332-41-16) ;
l’utilisation exclusive de systèmes de détection et des prestataires qualifiés selon les conditions réglementaires (articles R.1332-41-7 à R.1332-41-9) ;
la désignation en commun, pour les OIV présents dans un même secteur géographique, d’un délégué pour la Défense et la Sécurité de la zone d’importance vitale. Ce délégué est responsable de la coordination des mesures de protection communes entre les différents OIV de la zone (articles R.1332-37 et R.1332-38) ;
l’obligation pour ce délégué d’élaborer, en lien avec les OIV présents dans la zone, un plan particulier de protection de zone fixant des mesures communes de protection (art. R.1332-38) ;
la conclusion d’une convention avec le service de l’État ou le prestataire qualifié chargé d’exploiter les systèmes de détection et/ou d’effectuer les contrôles de sécurité des SIIV. Le Code de la défense définit les informations devant être contenues dans la convention (articles R.1332-41-5 et R.1332-41-14) ;
- la transmission au service de l’Etat (ou au prestataire chargé du contrôle) de tous documents requis pour évaluer la sécurité des SIIV, y compris la documentation technique et les codes sources des logiciels (article R.1332-41-13).
CNPP peut réaliser des missions au service des OIV. N’hésitez pas à nous contacter pour évoquer votre besoin particulier.