Les enjeux de la cybersécurité dans les infrastructures critiques

Qu’est-ce qu’une OIV ?

Les Opérateurs d’Importance Vitale (OIV) sont des entités, publiques ou privées, reconnues par l’État comme indispensables au fonctionnement de la société et à la sécurité nationale. On en compte à ce jour environ 300 et elles sont classées secret défense. Ils interviennent dans des domaines stratégiques tels que l’énergie, les télécommunications, les transports, la santé ou encore la défense. En raison de leur rôle crucial, toute interruption majeure de leurs activités, via une cyberattaque par exemple, pourrait provoquer des impacts significatifs sur la vie quotidienne, l’économie et la sécurité collective.

En France, le statut d’OIV est officiellement attribué par le Premier ministre, conformément au cadre défini dans le Code de la Défense. Ce statut donne à ces organisations des obligations spécifiques, notamment en matière de cybersécurité, pour renforcer leur résilience face aux cybermenaces.

Un enjeu national bien plus qu’un défi technique

La protection des OIV dépasse le cadre de la « simple » sécurité informatique. Leur rôle central dans le fonctionnement quotidien de la nation leur assure une attention particulière de l’État. Pourquoi ? Car toute attaque visant ces organisations peut avoir des conséquences dramatiques, de l’interruption de services critiques à la mise en danger de la sécurité publique et de la souveraineté nationale.

Dans un contexte géopolitique tendu où les cyberattaques sont de plus en plus sophistiquées, des acteurs malveillants n’hésitent pas à exploiter les vulnérabilités pour déstabiliser le Pays. La cybersécurité des OIV devient donc un pilier de la résilience nationale. L’État français, par l’intermédiaire de l’ANSSI et de cadres réglementaires comme la Loi de Programmation Militaire et le dispositif SAIV, place cette mission au cœur de ses priorités stratégiques.

Cyberattaques dans les infrastructures critiques : quelques chiffres

Les Opérateurs d’Importance Vitale sont des cibles privilégiées pour les cyberattaquants, en raison de leur rôle essentiel dans le fonctionnement de la nation. Comme toutes entreprises, ces organisations sont confrontées à l’augmentation des cyberattaques : déjà en 2020, l’ANSSI annonçait que les cyberattaques des OIV avaient quadruplé, passant de 50 à 200. On peut donc imaginer à l’heure actuelle que ces chiffres ont augmenté de manière significative.

Même si la liste des organisations au statut OIV n’est pas connue, ces quelques chiffres laissent peu de doutes sur les menaces cyber auxquelles elles sont confrontées :

• Plus de 250 cyberattaques ont été détectées en 2023 contre des hôpitaux ou établissements de santé (Source : Agence du numérique en santé)
• Le secteur de l’énergie se classe au troisième rang des secteurs les plus ciblés par les cyberattaquants (Source : Rapport X Force 2023 – IBM)
• Une banque sur deux a été victime d’une attaque réussie en 2024 (Source : baromètre des risques de l’Autorité bancaire européenne – EBA)

Des chiffres qui mettent en lumière la nécessité impérative pour les OIV de renforcer leurs mesures de cybersécurité afin de protéger les infrastructures critiques et, par extension, la sécurité nationale.

SAIV, LPM, NIS 2… Quelles obligations en matière de cybersécurité pour les OIV ?

Les OIV sont soumis à des réglementations strictes pour garantir la sécurité de leurs infrastructures. Ces règles sont établies par plusieurs cadres législatifs et dispositifs spécifiques :

Le dispositif SAIV

Le dispositif de Sécurité des Activités d’Importance Vitale (SAIV), en place depuis 2006, oblige les OIV à déclarer leurs Systèmes d’Information d’Importance Vitale (SIIV). Ces systèmes doivent répondre à des normes de sécurité strictes, incluant des obligations de signalement des incidents à l’ANSSI et des mesures de protection renforcées. De son côté, l’ANSSI joue un rôle clé en accompagnant ces opérateurs dans leur sécurité informatique et en veillant au respect des directives.

La Loi de Programmation Militaire (LPM)

Introduite en 2013 et renforcée depuis, la LPM impose aux OIV de mettre en œuvre des mesures spécifiques pour sécuriser leurs SIIV. De son côté, l’État s’engage aussi à mettre en place des mesures spécifiques à la cybersécurité des OIV comme le recrutement d’effectifs experts en cybersécurité ou la protection des systèmes d’information dès la phase de conception. À ce titre, 4 milliards d’euros sont consacrés à la cybersécurité pour la LPM 2024-2030.

La directive européenne NIS 2

La directive NIS 2, adoptée récemment, vise à renforcer la cybersécurité dans toute l’Union européenne. Elle exige des mesures harmonisées pour les opérateurs de services essentiels, avec des règles similaires à celles applicables aux OIV. Bien que ces derniers soient majoritairement soumis au SAIV et au LMP, NIS 2 encourage une gestion proactive des risques, une notification rapide des incidents et le respect des exigences européennes pour garantir une sécurité renforcée.

Face à des cybermenaces de plus en plus sophistiquées, les cadres réglementaires, tels que le dispositif SAIV, la Loi de Programmation Militaire et la directive européenne NIS 2, ne cessent d’évoluer.

Cette dynamique constante reflète la réalité des cybermenaces : elles progressent, s’adaptent, et exploitent des vulnérabilités toujours plus complexes. Les OIV doivent donc adopter une posture proactive, non seulement pour se conformer aux obligations réglementaires, mais aussi pour anticiper les défis futurs. L’avenir de la cybersécurité pour ces infrastructures repose sur une coopération accrue entre les États, les entreprises et les experts en cybersécurité, afin de protéger ce qui constitue le socle de la souveraineté et de la stabilité nationale.