La Revue Squire

Cybersécurité : ce que prévoit la Loi de Programmation militaire


Rédigé par Stéphanie Faber et Marion Lecardonnel le 29 Janvier 2015

Alors qu’une directive sur la cybersécurité est en cours d’élaboration au niveau européen, la France a d’ores et déjà adopté en 2013 des dispositions relatives à la cybersécurité des « infrastructures vitales »[1]. Nous nous intéressons ci-dessous aux nouvelles obligations qui pèsent sur les opérateurs d’importance vitale (OIV).



LOI n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale – article 22

Code de la Défense, Articles L 1332-1 et L 1332-2 ; Articles L 1332-6-1 à L 1332-7

Opérateurs d’importance vitale, infrastructures vitales, secteurs d’importance vitale

La Loi de Programmation militaire comporte un chapitre relatif à « la protection des infrastructures vitales contre la cybermenace » qui modifie le Code de la Défense et le Code Pénal. L’article 22 fait peser de nouvelles obligations sur les opérateurs d’importance vitale.

Les opérateurs d’importance vitale :

1. Exploitent ou utilisent des « infrastructures vitales », ce qui comprend :

  • les installations ou ouvrages dont l’indisponibilité risquerait de « diminuer de façon importante le potentiel de guerre économique, la sécurité ou la capacité de survie de la nation » (L 1332-6-1 et L 1332-1 du Code de la Défense)
  • ainsi que les installations classées pour la protection de l’Environnement (ICPE –L 511-1 du Code de l’Environnement) ou comportant une installation nucléaire de base, dont la destruction ou l’avarie peut présenter « un danger grave pour la nation » (L 1332-6-1 et L 1332-2 Code de la Défense). 

2. Et exercent des activités comprises dans des « secteurs d’importance vitale », à savoir les secteurs de l’énergie, de l’eau, des transports, des finances, de l’alimentation ou encore des activités civiles / militaires / judiciaires de l’État (pour une liste complète, se référer à l’arrêté du 02 juin 2006 fixant la liste des secteurs d’activités d’importance vitale et désignant les ministres coordonnateurs desdits secteurs).

Ainsi, plus de deux-cent opérateurs d’importance vitale (OIV) ont été identifiés. Ils devront se soumettre aux obligations prévues par l’article 22 de la Loi de Programmation militaire.

Prévention et intervention

La Loi de Programmation militaire (article 22) prévoit que le Premier ministre établira les règles nécessaires à la protection et à la sécurité des systèmes d’information des OIV, et qu’il pourra notamment leur  imposer des systèmes de « détection » des cyberattaques. À sa demande, les OIV soumettront leur système d’information à un contrôle du respect des règles de sécurité. En cas de cyberattaque, ils devront informer sans délai le Premier ministre.

Sanctions

Le manquement aux obligations prévues aux articles L 1332-6-1 à L 1332-6-4 du code de la Défense (règles de sécurité, obligation d’informer le Premier ministre en cas d’incident…) exposera les dirigeants des infrastructures à une amende pouvant s’élever à 150 000€ ou les personnes morales à une amende pouvant s’élever à 750 000€ (L 1332-7 du Code de la Défense et 131-38 du Code Pénal).

Projet de textes d’application

Un décret en Conseil d’État ainsi que des arrêtés techniques sont en cours de rédaction. L’Annsi (Agence nationale de la Sécurité des systèmes d’information) est largement impliquée dans ce travail et s’inspire de son Guide sur la cybersécurité des systèmes industriels[2] , même si elle a d’ores et déjà annoncé que seules les règles « les plus efficaces » qui figurent aujourd’hui dans le guide seront transposées dans les arrêtés, et surtout qu’une approche globale n’était pas souhaitable.

Ces textes devraient voir le jour très prochainement. Nous vous en tiendrons informés.

Contact : stephanie.faber@squirepb.com
 
 
[1] Ou « installations d’importance vitale », Code de la Défense. Cette notion est antérieure à la Loi de Programmation militaire.

[2] Annsi – Juin 2012 : www.ssi.gouv.fr/IMG/pdf/Guide_securite_industrielle_Version_finale.pdf





Nouveau commentaire :



Vous souhaitez recevoir nos articles par mail, saisissez ci-dessous votre adresse mail :
















Rester Connecté
Rss
LinkedIn
Twitter




Si vous souhaitez recevoir par email, dès leur mise en ligne, tous les articles publiés sur La Revue, saisissez ici votre adresse :