OIV ? Opérateur d’Importance Vitale ?
[mise à jour du 30/08/2021 : pour une nouvelle version de ce post, plus complète, cliquez sur OIV? OSE ? Critical Entities ?
Pour comprendre aujourd’hui les obligations de cyber-sécurité qui s’imposent à un nombre de plus en plus important d’opérateurs économiques en France, il faut se replonger dans les textes…
Je vous propose une étude en trois parties qui nous conduira depuis la loi du 12 décembre 2005 « modifiant diverses dispositions relatives à la défense« sur les Opérateurs d’Importance Vitale jusqu’à la Loi de Programmation Militaire 2018, entrée en vigueur le 1er janvier 2019 avec le décret n°2018-1136 du 13 décembre 2018.
Pour comprendre l’intérêt de cette législation sur les OIV (une liste non publique d’environ 300 acteurs économiques privés ou publics, d’importance nationale) et réaliser l’importance de ces nouvelles lois qui concernent la cyber-sécurité, je vous propose d’abord un petit parcours historique rapide entre 2005 et 2019.
Vous verrez comment, en 15 ans, la menace a radicalement évolué…
Je tiens à remercier Sébastien Le Foll des éditions Delcourt pour son autorisation d’utiliser les très remarquables 4 tomes des « Souvenirs de la Grande Armée » . Les cavaliers du 2° Régiment de chasseurs à cheval étaient tout à fait désignés pour illustrer cette série de présentations juridico-informatico-militaires.
Avec une dédicace spéciale à mon Confrère Philippe D., grand spécialiste du droit des sociétés et du souvenir napoléonien qui a réussit à me trainer jusqu’à Fontainebleau en ce mois d’avril 2019 pour assister à une superbe reconstitution en uniforme de l’époque du Petit Caporal (que le reste de l’Europe avait baptisé « l’Ogre » , ce qui est moins flatteur pour l’ego national…).
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – la protection des infrastructures (physiques) essentielles
Vous vous souvenez du 11 septembre 2001 ? Imaginez en France une attaque contre une infrastructure physique essentielle (une usine d’épuration des eaux, un barrage, un aéroport, une centrale nucléaire, etc.)…
C’est la raison d’être de la loi n°2005-1550 du 12 décembre 2005 « modifiant diverses dispositions relatives à la défense » .
Dès 2005, l’impératif est bien d’abord militaire. Cette loi est d’ailleurs intégrée dans le Code de la défense.
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – LPM 2005 – pourquoi protéger les infrastructures informatiques essentielles ?
Nous n’insisterons pas trop sur la partie « infrastructure physique » pour nous concentrer dans ce bref rappel historique sur la montée de la menace cyber. Le premier Etat victime d’une cyber-attaque en règle ? L’Estonie en 2007.
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – LPM 2005 – la guerre cyber a commencé en 2010 ?
Fin 2009/début 2010, un virus répondant au doux nom de « STUXnet » provoque l’arrêt d’une partie du programme iranien de développement de l’arme nucléaire. Rien qu’un virus…. apparemment extrêmement sophistiqué…
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – la France et la LPM du 2013
Première législation adoptée pour obliger les OIV à sécuriser spécifiquement leur système d’information « vital » : bienvenue aux « Systèmes d’Information d’Importance Vitale » ! Ce sera l’objet de l’Acte II de notre étude.
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – LPM 2005 – la menace cyber plus grave que celle du terrorisme ?
Ce n’est pas moi qui joue les Cassandre, c’est le Department of Defence des Etats-Unis. Depuis 2015.
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – LPM 2005 – les chiffres qui font peur en 2016
Oui, le Japon est un pays parmi les plus connectés au monde… Oui, je sais, toutes ces attaques ne sont pas le fait de malfaisants cachés derrière leur clavier… Il n’empêche que le chiffre fait frémir.
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – LPM 2005 – ainsi commencent les obligations de sécurisation des systèmes d’information
L’année 2016 commence avec l’adoption du RGPD et son obligation de sécurisation des traitements de données à caractère personnelles (adoption le 27 avril 2016). Le constat est simple : les attaqués sont négligents dans la sécurisation de leur SI ? Et bien, il faut punir les négligents !!!
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – LPM 2005 – puis vint la Directive N.I.S…
Même année, toujours en provenance de l’Union Européenne, la Directive « Network Information Security System » (6 juillet 2016). Les opérateurs visés ne sont plus « d’importance vitale » mais « de Service Essentiel« . Comme les OIV, ils sont désignés par décret…
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – LPM 2005 – 26 février 2018 la loi Sécurité des Réseaux et Systèmes d’Information
la loi « S.R.S.I. » du 26 février 2018 ? C’est la transposition en France de la Directive N.I.S. avec sa cohorte de décrets, d’arrêtés, etc.
Ce sont les LPM de 2005 et de 2013 « portées » au niveau européen et qui s’appliquent aux grands opérateurs civils.
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – LPM 2005 – la LPM du 13 juillet 2018 pour les années 2019 à 2025
La LPM adoptée en juillet 2018 sera l’objet de l’acte III de notre étude… Nous y reviendrons avec beaucoup de détails tant cette loi est difficile à manipuler avec ces concepts nouveaux de « marqueurs techniques » et de « menace / évènement susceptible d’affecter la sécurité des systèmes d’information » . La LPM 2018 met à jour plusieurs dispositions de la précédente LPM de 2013 principalement en matière de lutte contre les cyber-attaques.
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – LPM 2005 – des capacités cyber OFFENSIVES ???
Nous terminerons ce bref rappel historique par la déclaration officielle de Mme Florence Parly, Ministre de la défense, le 18 janvier 2019. C’est une évolution majeure de la doctrine militaire française en matière cyber. Si vis pacem, para bellum…
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – LPM 2005 – les « capacités de survie de la Nation »
Notez bien le « de façon importante » , cette partie de la définition des OIV sera supprimée de la définition de la réponse que la France se réserve le droit d’apporter en cas de cyber attaque.
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – LPM 2005 – les 12 secteurs d’importance vitale (sans surprise)
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – LPM 2005 – la liste des OIV n’est pas publique…
cyber-sécurité des systèmes d’information -OIV- Opérateur d’Importance Vitale – LPM 2005 – qui va payer ? (à votre avis ?)
Evidemment, la désignation en qualité d’OIV entraine des coûts… qui sont tous à la charge de l’OIV, c’est explicitement prévu dans la loi de 2005 (et le principe n’est – bien évidemment – pas négociable).
Pour plus de détails sur les obligations « physiques » des OIV, je vous invite vous référer à ma précédente présentation sur le sujet (mal) intitulée « systèmes d’informations d’importance vitale » .
A venir, une nouvelle présentation (toujours avec les « Souvenirs de la Grande Armée » ) qui portera spécifiquement sur les systèmes d’informations d’importance vitale… L’acte III portera sur la réponse aux cyber-attaques dans les LPM de 2013 et 2018.