Opérateur d'importance vitale

Un opérateur d'importance vitale (OIV) est, en France, une organisation identifiée par l'État comme ayant des activités indispensables à la survie de la nation^[3] ou dangereuses pour la population. En 2016, il y avait 1 369 points d'importance vitale (PIV) opérés par 249 opérateurs d'importance vitale (OIV), classés dans 12 secteurs d'activité d'importance vitale (SAIV) et 4 dominantes^[4]. Pour des raisons de sécurité nationale, la liste des OIV n'est pas publique et il est demandé aux entreprises désignées de ne pas communiquer sur leur implication au dispositif.

Électricité de France est un OIV^[1], notamment en raison de ses 58 réacteurs, qui sont autant de PIV^[2].

Le dispositif est décrit par décret en 2006^[a] avant d'être codifié au code de la Défense^[5] en 2007.

Définition

Un secteur d'activités d'importance vitale (SAIV), tel que défini par l'article R. 1332-2 du code de la Défense, est constitué d'activités^[α] :

• concourant à un même objectif, la production et distribution de biens ou de services indispensables :
  • à la satisfaction des besoins essentiels pour la vie des populations,
  • à l'exercice de l'autorité de l'État,
  • au fonctionnement de l'économie,
  • au maintien du potentiel de défense,
  • ou à la sécurité de la Nation ;
• ou présentant un danger grave pour la population.

Un opérateur d'importance vitale, tel que défini par l'article R. 1332-1 du code de la Défense, est une organisation qui^[β] :

• « exerce des activités comprises dans un secteur d'activités d'importance vitale » ;
• « gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement :
  • d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ;
  • ou de mettre gravement en cause la santé ou la vie de la population ».

Désignation

Douze secteurs d'activités d’importance vitale ont été définis dans un arrêté du 2 juin 2006^[b], modifié par un arrêté du 3 juillet 2008^[c],[4] :

Dominante	Secteur d'activités d'importance vitale	Ministère coordonnateur
Régalienne	Activités civiles de l'État	Ministère de l'Intérieur
	Activités militaires de l'État	Ministère de la Défense
	Activités judiciaires	Ministère de la Justice
Humaine	Santé	Ministère chargé de la Santé
	Gestion de l’eau	Ministère chargé de l'Écologie
	Alimentation	Ministère chargé de l'Agriculture
Économique	Énergie	Ministère chargé de l'Énergie
	Finances	Ministère chargé de l'Économie et des Finances
	Transports	Ministère chargé des Transports
Technologique	Communications électroniques, audiovisuel et information	Ministère chargé des Communications électroniques
	Industrie	Ministère chargé de l'Industrie
	Espace et recherche	Ministère chargé de la Recherche

Les opérateurs d'importance vitale sont désignés pour chaque secteur d'activités d'importance vitale par arrêté du ministre coordonnateur^[γ]. Cet arrêté est pris en concertation avec le ou les ministres intéressés, après avis de la commission interministérielle de défense et de sécurité des secteurs d'activités d'importance vitale^[γ]. Cette commission est présidée par le secrétaire général de la Défense et de la Sécurité nationale (article R. 1332-10 du Code de la Défense)^[γ],[δ].

Chaque ministre coordonnateur d'un secteur d'activité d'importance vitale notifie aux opérateurs d'importance vitale la directive nationale de sécurité (DNS) correspondante^[6]. La DNS identifie les risques et les menaces et définit les grands objectifs de sécurité de chaque secteur ou sous-secteur d'activité.

Obligations

Les opérateurs d’importance vitale ont pour obligation de^[4] :

• « former leurs responsables et leurs directeurs de la sécurité tant au niveau central qu’au niveau local » ;
• « après une analyse de risques, établir un plan de sécurité opérateur (PSO) prenant en compte les attendus de la directive nationale de sécurité au titre de laquelle ils ont été désignés opérateurs d’importance vitale » ;
• « identifier leurs points d’importance vitale qui feront l’objet d’un plan particulier de protection (PPP) à leur charge et d’un plan de protection externe (PPE) à la charge du préfet de département ».

Loi de programmation militaire pour 2014-2019

Le projet de loi de programmation militaire pour 2014-2019 précise qu’il est de la responsabilité de l’État d’assurer une sécurité suffisante des systèmes critiques des opérateurs d'importance vitale. À travers quatre mesures principales, il vise à établir un socle minimum de sécurité pour les organisations^[7].

Fin 2013, sur la base du projet de loi, l'État serait en mesure de^[8],[7] :

• fixer des obligations comme l’interdiction de connecter certains systèmes critiques à Internet ;
• mettre en place des systèmes de détections par des prestataires labellisés par l’État ;
• vérifier le niveau de sécurité des systèmes d'information critiques à travers un système d’audit ;
• et en cas de crise majeure, de pouvoir imposer les mesures nécessaires aux opérateurs d'importance vitales.

Arrêtés sectoriels d'application

Pour chaque secteur ou sous-secteur identifié, le Premier ministre a pris un arrêté d'application écrit par les services de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) définissant les obligations des opérateurs en matière de sécurité informatique.

Les arrêtés ont été pris :

Secteur ou sous-secteur	Arrêté		Entrée en vigueur
Sous-secteur « Produits de santé »	10 juin 2016	[d]	1er juillet 2016
Secteur « Gestion de l'eau »	17 juin 2016	[e]
Secteur « Alimentation »		[f]
Sous-secteur « Transports terrestres »	11 août 2016	[g]	1er octobre 2016
Sous-secteur « Transports maritime et fluvial »		[h]
Sous-secteur « Transport aérien »		[i]
Sous-secteur « Approvisionnement en énergie électrique »		[j]
Sous-secteur « Approvisionnement en gaz naturel »		[k]
Sous-secteur « Approvisionnement en hydrocarbures pétroliers »		[l]
Secteur « Finances »	28 novembre 2016	[m]	1er janvier 2017
Secteur « Industrie »		[n]
Sous-secteur « Audiovisuel et information »		[o]
Sous-secteur « Communications électroniques et Internet »		[p]
Sous-secteur « Nucléaire »	10 mars 2017	[q]	1er avril 2017
Sous-secteur « Espace »	8 septembre 2017	[r]	1er octobre 2017
Sous-secteur « Activités industrielles de l'armement »		[s]
Secteur « Activités civiles de l'État »	29 mai 2019	[t]	1er octobre 2019
Sous-secteur « Recherche publique »	13 juillet 2020	[u]	1er octobre 2020
Sous-secteur « Activités militaires de l'État »	22 mars 2021	[v]	1er juillet 2021
Secteur « Activités judiciaires »	23 décembre 2021	[w]	1er février 2022
Sous-secteur « Établissements de santé »	17 avril 2023	[x]	1er juillet 2023
Sous-secteur « Veille et alerte sanitaires »		[y]

Ces arrêtés prévoient un délai variant de 3 mois à 2 ans pour la mise en place des mesures listées en annexe I, au nombre de 20, dont notamment :

• la mise en place d'une politique de sécurité des systèmes d'information ;
• la conduite d'une homologation de sécurité ;
• la communication d'éléments sur le système d'information importance vitale (SIIV) mis en place par l'opérateur à l'ANSSI ;
• l'observation des alertes de sécurité et la réaction à celles-ci ;
• la limitation des accès ;
• le cloisonnement des réseaux.

Les annexes II (délais), III (type de système d'information) et IV (type d'incidents) ne sont pas publiques, et sont communiquées par l'ANSSI aux personnes « ayant besoin d'en connaître » et habilitées pour cela.