Les tensions géopolitiques majeures de 2025 ont poussé le gouvernement a augmenté le budget du ministère des armées. Avec une enveloppe de 6,7 milliards d’euros, l’Etat met désormais l’accent sur la sanctuarisation de ses infrastructures critiques : plus de 300 Opérateurs d’Importance Vitale (OIV)1 sont concernés.
Par définition, un OIV est un organisme dont les activités et les systèmes d’information sous-jacents sont essentiels à la sécurité nationale, rendant leur protection absolument non négociable dans le contexte actuel.
La loi de programmation militaire, au travers du PASSI2 LPM, a pour but de déterminer des critères objectifs auxquels doivent répondre les Opérateurs d’Importance Vitale afin d’intégrer une posture cybersécurité à l’ensemble de leurs activités.
Au cœur de ce dispositif encadré par la Loi de Programmation Militaire, le référentiel PASSI impose des critères objectifs et rigoureux en matière d’audit de sécurité SI. L’objectif ? Garantir que chaque brique technologique et humaine de ces entités réponde à un standard de protection de haut niveau.
Comment naviguer entre contraintes réglementaires et impératifs opérationnels ? Notre expert Guillaume JACQUES, fait le point pour vous !
Quelles sont les obligations applicables pour un OIV ?
La cartographie des Systèmes d’Information d’Importance Vitale (SIIV)
Dans un premier temps, l’OIV doit identifier, ses Systèmes d’Information d’Importance Vitale (SIIV) indispensables à ses missions critiques.
Cet inventaire nécessite une connaissance fine de l’infrastructure afin d’en déterminer les points névralgiques. Une compromission de ces points pourrait provoquer des dysfonctionnements graves : mise en danger des personnes, arrêt d’un service d’intérêt général ou disruption des activités stratégiques nationales. Par ailleurs, les entreprises concernées doivent également faire face à un enjeu de mise à jour de ces cartographies dans le contexte d’évolution permanente des entreprises et leurs SI.
Pour s’en assurer, l’opérateur doit fournir à l’ANSSI une description claire des fonctions métier et des impacts potentiels d’une attaque sur ces systèmes.
| Remarque : L’ANSSI dispose d’ailleurs d’un pouvoir de prescription pour imposer l’ajout de systèmes spécifiques si elle estime qu’ils portent un risque critique. |
L’analyse des risques
L’enjeu majeur est ici de s’appuyer sur une méthode reconnue et éprouvée, telle que EBIOS Risk Manager, pour structurer la démarche.
Toutefois, la réussite de l’exercice repose sur deux points de vigilance critiques :
- Le challenge des données : Il est primordial de challenger les éléments déclaratifs récoltés durant les ateliers de travail ;
- Les scénarios opérationnels d’attaque : ils doivent être déclinés à un niveau opérationnel suffisant pour aboutir à un plan de traitement des risques adaptés et opérationnels permettant d’engager durablement toutes les parties prenantes.
Ce plan de traitement doit se traduire par une double approche :
- Des actions tangibles opérationnelles permettant de renforcer rapidement le niveau de sécurité ;
- Des projets structurants à moyen et long terme.
Enfin, il est tout à fait possible d’outiller cette démarche pour l’inscrire dans une logique d’amélioration et de contrôle continue transformant ainsi une contrainte réglementaire en un pilotage dynamique de la menace.
L’application des règles de sécurité obligatoires
L’ANSSI définit un socle de règles de sécurité obligatoires pour chaque SIIV, couvrant des domaines techniques et organisationnels critiques. A titre d’illustration, nous pouvons citer :
- Gouvernance : élaboration d’une Politique de Sécurité des Systèmes d’Information (PSSI) et homologation formelle du système.
- Maîtrise des accès : identification par comptes individuels, gestion stricte des privilèges et protection des accès à distance par chiffrement robustes.
- Cloisonnement : séparation étanche entre les SIIV et les réseaux externes (Internet) ou les systèmes moins critiques.
- Maintien en conditions de sécurité : installation rigoureuse des correctifs et cartographie précise des équipements.
La détection et notification des incidents de sécurité
L’OIV est soumis à une obligation de vigilance constante sur l’ensemble de ses infrastructures et de ses réseaux, d’autant plus lorsqu’ils sont classés SIIV.
Pour répondre à cet impératif, des dispositifs de détection qualifiés par l’ANSSI, comme le déploiement de sondes réseau, doivent être ajoutés au périmètre. Ces systèmes sont souvent pilotés par des prestataires de service de détection qualifiés (qualification PDIS).
La réactivité est ici la clé : tout incident de sécurité affectant un SIIV doit être déclaré à l’ANSSI. Cette déclaration permet à l’État d’anticiper et de coordonner une réponse globale pouvant inclure le CERT-FR ou l’ANSSI.
Les Contrôles et Audits obligatoires
La conformité de l’OIV est vérifiée par des audits réguliers. Pour ce faire, l’opérateur à l’obligation de solliciter un Prestataire d’Audit de la Sécurité des Systèmes d’Information (PASSI) qualifié par l’ANSSI pour réaliser ces contrôles.
Dans ce cadre, les rapports d’audit et les décisions d’homologation résultant des interventions des prestataires qualifiés PASSI au niveau élevé LPM doivent être tenus à la disposition de l’ANSSI. Cette transparence permet à l’autorité nationale de consulter les résultats et d’observer, dans le temps, les évolutions du SIIV concerné.
En quoi les activités d’audit contribuent – elles à satisfaire ces exigences ?
La mise en conformité d’un OIV nécessite obligatoirement d’effectuer des audits au travers d’intervenants externes qualifiés.
Ces travaux sont la condition sine qua non pour l’homologation du système d’information, qu’il s’agisse du niveau “élevé” ou “substantiel”. Sans cette étape, aucune habilitation ne peut être délivrée.
Une approche par les risques et par le terrain
Les auditeurs adoptent une vision globale afin d’identifier les composants, documents et personnels clés. L’objectif est d’analyser méthodiquement le système pour :
- Collecter et auditer les éléments pertinents du système d’information audité ;
- Mener les entretiens avec les personnels pertinents ;
- Identifier les non-conformités et/ou vulnérabilités liée à la portée dans le système d’information audité ;
- Identifier les risques et les scénarios de menace associés aux non-conformités et/ou vulnérabilités identifiées ;
- Enfin, recommander des mesures de sécurité adaptées pour remédier aux non-conformités et/ou vulnérabilités identifiées.
Les différentes portées permettent d’observer globalement le niveau d’application des recommandations de l’ANSSI.
Quelles portées choisir ?
Les textes légaux ne dictent pas une liste explicite telle que : « Vous devez choisir les portées X, Y et Z ». L’obligation porte sur le résultat. L’audit doit démontrer que le SIIV respecte l’intégralité des règles imposées.
Ainsi, le socle de conformité pour un SIIV contient à minima les portées suivantes, sans lesquelles il est impossible de déterminer l’homologation :
- Architecture ;
- Configuration ;
- Organisationnel et Physique ;
- Intrusion (dans le cas d’une homologation initiale).
La portée “code” quant à elle est plutôt mise en application lorsqu’une partie non négligeable du SIIV repose sur des applicatifs développés en interne, ce qui n’est pas toujours le cas.
L’audit comme levier d’accompagnement
Il arrive régulièrement que les mesures de sécurité mises en place dans le cadre de SIIV ne soient pas en adéquation parfaite avec les recommandations des textes, l’audit a alors pour objectif de répertorier ces cas et d’en déterminer le niveau de non-conformité.
Une fois ces non-conformités répertoriées, un plan d’action global prenant en compte le contexte de l’OIV dans sa globalité est élaboré. Ce plan fournit les éléments indispensables à la constitution du dossier d’homologation de sécurité du SIIV.
| Ce qu’il faut retenir : au-delà du simple constat technique, l’audit fournit des recommandations priorisées par les risques, destinées à être directement déclinées en plans d’actions par les équipes. |
Retours d’expériences : écueils et bonne pratiques
Nos retours d’expérience du terrain nous permettent de vous partager nos réflexions et constats opérationnels sur les sujets suivants :
Le Dimensionnement des équipes IT : ne sous-estimez pas la charge
La mise en conformité demande un travail en amont considérable : inventaires des équipements, application de mesures de sécurité en profondeur, mise en place d’architectures dédiées, configuration d’applications et services, etc.
Nous constatons régulièrement que les équipes IT internes sont rapidement saturées par cette charge de travail additionnelle. La gestion d’un tel périmètre est exigeante, tant lors du déploiement initial que dans l’exploitation quotidienne.
| Astuce des auditeurs : s’assurer que les équipes informatiques possèdent du temps dédié à la mise en conformité et l’application des recommandations de l’ANSSI, ainsi qu’à la rédaction des documentations associées.Il peut être nécessaire de faire appel à un prestataire qualifié afin d’accompagner les équipes, de canaliser les efforts et d’assurer la priorisation des chantiers. |
La prévision des budgets : anticiper les coûts technologiques
La création d’un SI en vue de son homologation DR représente un investissement non négligeable : machines spécifiques, équipements réseaux certifiés/qualifiés, postes d’administration dédiés, licences d’applications, etc.
L’ANSSI propose un catalogue de produits certifiés et qualifiés. Si ces solutions offrent l’avantage d’être « prêtes à l’emploi » pour le niveau DR (Diffusion Restreinte), elles sont souvent plus onéreuses que leurs alternatives standards.
Exemple : certains pare-feux qualifiés par l’ANSSI proposent un mode “Diffusion Restreinte” qui a pour effet d’activer les algorithmes de chiffrement et les formes d’authentification conformes aux recommandations, permettant ainsi d’assurer la mise en conformité de l’équipement.
| Astuce des auditeurs : l’utilisation de systèmes open-source, tels qu’Unix, peut générer des économies à condition d’en avoir une maîtrise totale.L’application des recommandations de sécurité étant parfois complexes dans ce cas de figure, un niveau de maîtrise élevé de ces outils peut-être nécessaire et nous vous recommandons alors de documenter au maximum les choix de configurations appliqués. |
Pourquoi choisir un audit qualifié PASSI « niveau Élevé » LPM ?
Le niveau Élevé LPM constitue le plus haut degré de reconnaissance en France pour l’audit de sécurité des Systèmes d’Information. Pour les organisations, s’appuyer sur cette qualification apporte des bénéfices concrets qui dépassent la simple conformité :
- Maintenir la confiance de leurs parties prenantes et répondre au durcissement du cadre réglementaire ;
- Une expertise de haut niveau des auditeurs qui répondent aux standards de compétences les plus rigoureux du secteur ;
- Une confidentialité adaptée aux enjeux : les données sensibles sont traitées dans un environnement sécurisé durant toute la mission (documents transmis, rapports d’audit, etc.) ;
- Une identification des vulnérabilités complexes, construction de chemins d’attaques précis matérialisant les risques de cybersécurité.
En somme, la qualification PASSI élevé LPM d’un audit contribue à transformer les obligations réglementaires en un levier de résilience et de confiance.
La cybersécurité : un enjeu national bien plus qu’un défi technique
Entre le durcissement de la LPM 2024-2030 et l’élargissement du périmètre imposé par NIS2, les opérateurs sont face à un défi d’envergure : protéger leurs Systèmes d’Information ainsi que l’ensemble de la chaîne de sous-traitance.
L’impact d’une paralysie d’infrastructure critique dépasserait largement le cadre de l’entité concernée pour devenir un séisme économique et social au niveau national. Ces éléments sont amplifiés par le durcissement des rivalités entre les grandes puissances mondiales. Cela se traduisant par une hausse en nombre et en intensité des cyberattaques associées aux conséquences humanitaires, socio-économiques et sécuritaires toujours plus importantes.
L’histoire nous sert d’avertissement dès 2010 avec l’attaque Stuxnet visant les centrifugeuses électriques en Iran, la guerre en Ukraine (2022–) qui constitue un des premiers conflits à grande échelle combinant opérations cinétiques et cyber opérations coordonnées.
Enfin, avec nos vies économiques et sociales intégralement digitalisées, il est de notre devoir de les protéger pour le bien-être des générations futures (logique d’exemplarité).
Sécurisez vos SIIV avec les audits qualifiés PASSI de Synetis.
FAQ à propos des Opérateurs d’Importance Vitale
Qu’est-ce qu’un OIV ?
Le titre d’Opérateur d’Importance Vitale possède une portée légale : l’article R1332-3 du Code de la Défense permet d’en désigner « pour chaque secteur d’activités d’importance vitale par arrêté du ministre coordonnateur » avec des obligations d’effectuer des contrôles de sécurité et, en dernier recours, des sanctions financières, tant pour le dirigeant que pour l’opérateur, sont prévues par la loi.
Bon à savoir L’article L.1332-7 du Code la Défense prévoit notamment une amende de 150 000 euros pour les personnes physiques et une amende pouvant s’élever à 750 000 euros pour les personnes morales dans le cas de défaillance de gestion directement imputable à la non prise en compte de la sécurité au sein du système d’information. |
La Direction des Système d’Information de l’OIV désigné est alors garante de la conformité de son système d’information aux règles déterminées par l’ANSSI et doit mettre en place des processus de gestion, d’amélioration continue et d’audit afin d’assurer la sécurisation et la traçabilité des actions du périmètre.
OIV : quels sont les secteurs concernés ?
Il existe 12 secteurs d’activités d’importance vitale.
| Typologie | Secteurs |
|---|---|
| Humaine | Alimentation Gestion de l’eau Santé |
| Régaliens | Activités civiles de l’Etat Activités judiciaires Activités militaires de l’Etat |
| Economique | Energie Finances Transports |
| Technologique | Communications électroniques, audiovisuel et information Industrie Espace et recherche |
1 Ministère des armées
2 Prestataire d’Audit de la Sécurité des Systèmes d’Information
Guillaume JACQUES
CONSULTANT SECURITE SENIOR
Audit
