Sécurité des activités d'importance vitale

Le dispositif de sécurité des activités d’importance vitale (SAIV) est piloté en France par le SGDSN. Ce dispositif comprend des aspects liés à la sûreté, la sécurité physique et la cybersécurité. L’objectif est d’associer pouvoirs publics et entités publiques et privées, sur le périmètre de leurs activités les plus critiques pour la nation. La liste des entités OIV n’est pas publique. Les critères de désignation sont fixés par les ministères coordonnateurs. Plus récemment, des obligations ont été imposées par la directive NIS et ses transpositions nationales aux Fournisseurs de Service Numérique.

Parties prenantes

Douze secteurs d’activités d’importance vitale ont été définis : alimentation, gestion de l’eau, santé, activités régaliennes (activités civiles de l’Etat, activités judiciaires et militaires), énergie, finance, transports, communications électronique, audiovisuel et information, industrie, espace et recherche. Outre le SGDSN qui assure par délégation du Premier ministre la coordination du dossier, les intervenants principaux sont les suivants :

  • Ministères en charge du secteur : ils définissent les DNS (directives nationales de sécurité) qui contiennent les analyses de risques du secteur concerné. Les services des Haut fonctionnaires de Défense et de Sécurité sont les points de contact des OIV.
  • ANSSI (qui dépend du SGDSN) pour le suivi des aspects cyber et l’accompagnement des OIV dans la sécurisation de leurs systèmes d’information sensibles ou SIIV (systèmes d’information d’importance vitale).
  • Préfectures pour la validation des PPP (plan particulier de protection) proposés par les OIV. Les préfectures rédigent les PPE (plan de protection externe).
  • Opérateurs d’importance vitale qui désignent un délégué défense et sécurité et doivent rédiger leur PSO (plan de sécurité opérateur) et un PPP pour chaque point d’importance vitale (PIV).

Cadre de conformité

Pour être en conformité avec leurs obligations légales, les OIV doivent suivre une approche risques pour définir une posture de protection qui englobent les aspects sûreté (comprenant l’application des mesures VIGIPIRATE), les mesures pour faire face aux accidents et aux sinistres (mise en œuvre des plans de continuité des activités) et les mesures de cybersécurité. Dans ce dernier domaine, la méthode EBIOS Risk Manager qui requiert un socle de mesures de base et se concentre ensuite sur les scénarios de risques stratégiques et opérationnels est très intéressante et adaptée pour conduire les analyses et les plans de traitement des cyber-risques. La dernière loi de programmation militaire (loi n° 2013-1168 du 18 décembre 2013) et en particulier son article 22 impose un système de règles de sécurisation des systèmes que les OIV doivent appliquer. Ces règles sont fixées pour chaque domaine par arrêté ministériel, voir par exemple les règles pour le domaine « activités civiles de l’Etat ». Le décret relatif à la qualification des produits de sécurité et des prestataires de confiance s’impose aux OIV, sur leur périmètre d’activités considérées comme sensibles pour l’Etat, pour les choix de certains produits ou prestataires (par exemple pour les audits de sécurité ou la détection d’intrusion). Les règles de sécurité comportent des aspects organisationnels et techniques en termes de :

  • Politique de sécurité des systèmes d’information.
  • Homologation.
  • Cartographie.
  • Maintien en conditions de sécurité.
  • Journalisation.
  • Détection.
  • Traitement des incidents et des alertes.
  • Gestion des crises.
  • Gestion des accès.
  • Administration des systèmes.
  • Défense en profondeur.
  • Indicateurs de sécurité.

Textes de références

Les principaux textes de référence sont les suivants.

  • Code de la défense – articles L. 1332-1 à L. 1332-7, L. 2151-1 à L.2151-5 et R. 1332-1 à R. 1332-42.
  • Instruction générale interministérielle n° 6600 relative à la sécurité des activités d’importance vitale du 7 janvier 2014.
  • Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection.
  • Arrêté du 2 juillet 2018 portant approbation de l’instruction méthodologique d’analyse de risque d’un secteur d’activités d’importance vitale.
  • Guide pour l’élaboration d’un plan de sécurité opérateur (SGDSN) remis par le Haut Fonctionnaire de Défense et de Sécurité (courrier HFDS 2016-447 du 19 avril 2016) et le plan type du PSO annexé à l’arrêté fixé par le Premier Ministre n°10166 du 27 avril 2007.

Les documents classifiés (DNS ou plan VIPIRATE par exemple) sont gérés conformément au besoin d’en connaitre et aux habilitations nécessaires en application des textes sur la protection du secret de la défense et de la sécurité nationale.

Vous pouvez nous contacter à contact at prosica.fr pour toute question liée à nos missions de conseil et de support à la mise en conformité de vos dossiers, en particulier la rédaction des PSO, des PPP ou l’application des règles de cybersécurité fixés par les arrêtés (https://www.prosica.fr/les-metiers.html) ou à formation at prosica.fr pour les demandes d’inscription aux formations.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

ANSSI, EbiosRiskManager, ContinuitéActivités, OIV, SIIV, SGDSN, PSO, PPP