Comprendre les obligations des Opérateurs d’Importance Vitale (OIV) : les 3 points clés

Articles de blog


Pour faire face aux nouvelles menaces cyber, toujours plus nombreuses et sophistiquées, l’article 22 de la Loi de Programmation Militaire (LPM) qui fait suite aux préconisations du livre blanc sur la défense et la sécurité nationale de 2013, impose aux OIV le renforcement de la sécurité de leurs systèmes d’information : les Systèmes d’Information d’Importance Vitale (SIIV). (Lien avec l’article du 6 août : un OIV c’est quoi ?)

Les OIV doivent répondre à des obligations en termes de sécurité informatique. Voici les 3 points clés.

1. Détection et gestion des risques


L’une des premières obligations est de prendre des mesures préventives, d’ordre technique et organisationnel, visant à détecter et gérer les risques menaçant la sécurité de leurs réseaux et systèmes informatiques (RSI).

Les OIV doivent mettre en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leur SI. Le décret de mars 2015 a précisé la procédure de qualification des outils de détection (sondes) et des prestataires proposant ces systèmes.

Tout savoir sur les obligations des OIV

Téléchargez notre guide pratique sur les obligations des OIV en matière de détection



Téléchargez le guide

2. Notifications des incidents de sécurité


Les opérateurs d’importance vitale doivent notifier l’ANSSI, sans retard injustifié, « des incidents qui ont un impact significatif » : incidents portant atteinte à la sécurité et à la continuité d’un réseau ou d’un SI, entraînant une perturbation notable de fonctions économiques ou sociétales essentielles.

Dans certains cas, les autorités compétentes pourront informer le public d’un incident. Les OIV doivent également déclarer sans délai au Premier ministre les incidents affectant le fonctionnement ou la sécurité de leurs SI. En revanche, l’information au public n’est pas prévue. Pour que cette démarche soit facilitée, l’ANSSI a mis en place un formulaire de déclaration d’un incident de sécurité.

3. Gestion des incidents de sécurité


Sur la détection des incidents, les journaux d’événements clés doivent être activés, centralisés et archivés, puis corrélés et analysés sur une infrastructure dédiée en s’appuyant sur le référentiel PDIS.

Des sondes réseaux qualifiées doivent être mises en place entre le SIIV et les réseaux tiers à ceux de l’OIV. Une procédure de gestion de crise doit pouvoir être déclenchée par le Premier Ministre afin d’assurer la cyber-résilience des SIIV et du SI de l’OIV.

Pour aller plus loin

Ce site utilise des cookies pour vous garantir la meilleure expérience sur notre site. En savoir plus.