LOI n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale – article 22

Code de la Défense, Articles L 1332-1 et L 1332-2 ; Articles L 1332-6-1 à L 1332-7

Opérateurs d’importance vitale, infrastructures vitales, secteurs d’importance vitale

La Loi de Programmation militaire comporte un chapitre relatif à « la protection des infrastructures vitales contre la cybermenace » qui modifie le Code de la Défense et le Code Pénal. L’article 22 fait peser de nouvelles obligations sur les opérateurs d’importance vitale.

Les opérateurs d’importance vitale :

1. Exploitent ou utilisent des « infrastructures vitales », ce qui comprend :

  • les installations ou ouvrages dont l’indisponibilité risquerait de « diminuer de façon importante le potentiel de guerre économique, la sécurité ou la capacité de survie de la nation » (L 1332-6-1 et L 1332-1 du Code de la Défense)
  • ainsi que les installations classées pour la protection de l’Environnement (ICPE –L 511-1 du Code de l’Environnement) ou comportant une installation nucléaire de base, dont la destruction ou l’avarie peut présenter « un danger grave pour la nation » (L 1332-6-1 et L 1332-2 Code de la Défense). 

2. Et exercent des activités comprises dans des « secteurs d’importance vitale », à savoir les secteurs de l’énergie, de l’eau, des transports, des finances, de l’alimentation ou encore des activités civiles / militaires / judiciaires de l’État (pour une liste complète, se référer à l’arrêté du 02 juin 2006 fixant la liste des secteurs d’activités d’importance vitale et désignant les ministres coordonnateurs desdits secteurs).

Ainsi, plus de deux-cent opérateurs d’importance vitale (OIV) ont été identifiés. Ils devront se soumettre aux obligations prévues par l’article 22 de la Loi de Programmation militaire.

Prévention et intervention

La Loi de Programmation militaire (article 22) prévoit que le Premier ministre établira les règles nécessaires à la protection et à la sécurité des systèmes d’information des OIV, et qu’il pourra notamment leur  imposer des systèmes de « détection » des cyberattaques. À sa demande, les OIV soumettront leur système d’information à un contrôle du respect des règles de sécurité. En cas de cyberattaque, ils devront informer sans délai le Premier ministre.

Sanctions

Le manquement aux obligations prévues aux articles L 1332-6-1 à L 1332-6-4 du code de la Défense (règles de sécurité, obligation d’informer le Premier ministre en cas d’incident…) exposera les dirigeants des infrastructures à une amende pouvant s’élever à 150 000€ ou les personnes morales à une amende pouvant s’élever à 750 000€ (L 1332-7 du Code de la Défense et 131-38 du Code Pénal).

Projet de textes d’application

Un décret en Conseil d’État ainsi que des arrêtés techniques sont en cours de rédaction. L’Annsi (Agence nationale de la Sécurité des systèmes d’information) est largement impliquée dans ce travail et s’inspire de son Guide sur la cybersécurité des systèmes industriels[2] , même si elle a d’ores et déjà annoncé que seules les règles « les plus efficaces » qui figurent aujourd’hui dans le guide seront transposées dans les arrêtés, et surtout qu’une approche globale n’était pas souhaitable.

Ces textes devraient voir le jour très prochainement. Nous vous en tiendrons informés.

Contact : stephanie.faber@squirepb.com
   


[1] Ou « installations d’importance vitale », Code de la Défense. Cette notion est antérieure à la Loi de Programmation militaire.

[2] Annsi – Juin 2012 : www.ssi.gouv.fr/IMG/pdf/Guide_securite_industrielle_Version_finale.pdf