décembre 2017

Une loi pour mieux protéger les OIV

Parce qu’elles concourent à la production et à la distribution de biens ou de services indispensables à l’exercice de l’autorité de l’Etat, au fonctionnement de l’économie, au maintien du potentiel de défense ou à la sécurité de la Nation, certaines activités sont considérées comme « d’importance vitale ».

On retrouve, en France, 249 Opérateurs d’Importance Vitale (OIV) répartis au sein des douze secteurs d’activités d’importance vitale. Le code de la défense précise que : « leur indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation… ».

En 2014 et en 2015, la loi de programmation militaire (LPM) a précisé les modalités d’application des nouvelles mesures de cybersécurité pour leurs systèmes d’information, mais la protection physique de ces opérateurs reste primordiale.

Fixer la politique de sécurité des OIV

Pour acter cette sécurité, c’est la directive nationale de sécurité (DNS) qui, à la suite d’une analyse de risques dans laquelle sont énoncés et hiérarchisés les scénarios de menace, précise les objectifs et les politiques de sécurité des OIV.

Elle définit également des mesures planifiées et graduées de vigilance, de prévention, de protection et de réaction contre toute menace, notamment à caractère terroriste.

La DNS constitue ainsi un document-cadre pour l’élaboration des plans de sécurité des OIV. Chaque Opérateur d’Importance Vitale va se voir transmettre cette directive, à l’un de ses employés habilités à cet usage, pour sa mise en application.

Toute modification du contexte réglementaire national ou international, de l’analyse de la menace ou de l’environnement économique peut justifier la révision d’une DNS.

Des mesures de protection internes et externes

De leurs côtés, les OIV doivent identifier leurs points d’importance vitale (1 369) qui doivent faire l’objet d’un plan particulier de protection (PPP) à leur charge et d’un plan de protection externe (PPE) à la charge du préfet de département.

Le plan particulier de protection (PPP)

La protection des points d’importance vitale comprend donc des mesures de protection internes. Elles sont destinées à :

  • mettre en échec ou à défaut, retarder les tentatives malveillantes pouvant être effectuées par une ou plusieurs personnes,
  • en limiter les effets,
  • et faciliter la continuité d’activité ou le rétablissement d’activité.

Certaines mesures sont mises en œuvre en permanence, et pour, d’autres lorsque la nécessité s’en fait sentir, ou sur décision du gouvernement ou de son représentant local, notamment dans le cadre du plan Vigipirate.

Pour répondre à ces objectifs, les OIV n’ont pas d’autres solutions que de mettre en place des dispositifs de sûreté-sécurité tels que des systèmes de contrôle d’accès, de détection-intrusion, et de vidéosurveillance pour sécuriser leur site face aux menaces existantes.

Le plan de protection externe (PPE)

Pour le plan de protection externe, il s’agit d’un document classé Confidentiel-défense, complémentaire du plan particulier de protection.

Le plan de protection externe (PPE) a pour obligation de :

  • Définir les mesures de vigilance, de prévention, de protection et de réaction prévues par les pouvoirs publics, notamment par les forces de sécurité, sous l’autorité du préfet de département
  • Décrire les modalités d’intervention sur le site en cas d’agression, cela en liaison avec l’opérateur.
  • Planifier les moyens humains et matériels à mettre en œuvre
  • Prévoir des mesures de contrôle des zones périphériques au site

Audits des OIV

Les préfets approuvent donc les plans particuliers de protection et élaborent les plans de protection externe. Ils ont également la responsabilité de s’assurer du bon niveau de protection des sites. Cela comprend la possibilité de visiter des sites de leur choix.

D’autre part, les audits internes sont menés par l’OIV afin d’apprécier la validité du plan particulier de protection de chacun de ses Points d’importance vitale. Le tout selon une périodicité laissée à l’appréciation de l’OIV.

 

Franck Chevallier pour Horoquartz

Franck Chevallier