Le dispositif SAIV
En 2006, le dispositif Secteur d’activité d’importance vitale (SAIV) est mis en place afin de protéger les opérateurs jugés indispensables à la survie de la nation contre les actes malveillants (terrorisme, sabotage, cyberattaque) et les risques naturels, technologiques, sanitaires… Ces opérateurs identifiés par les différents ministères de tutelle ont été désignés par arrêté « Opérateurs d’importance vitale » (OIV).
Fin 2013, pour faire face à l’augmentation des attaques informatiques et leur sophistication, l’article 22 de la loi de programmation militaire vient compléter ce dispositif en ajoutant une nouvelle pierre à l’édifice, imposant aux OIV le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale (SIIV).
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a pour double mission d’accompagner les OIV dans la sécurisation de leurs systèmes d’information critiques et de contrôler, en tant qu’autorité nationale, le respect de ce cadre réglementaire précurseur en matière de réponse à la cybermenace.
Quelles sont ses principales dispositions ?
1. La déclaration des SIIV
Les OIV doivent identifier et déclarer leurs systèmes d’information d’importance vitale c’est à dire les systèmes les plus critiques pour lesquels une attaque avérée aurait des conséquences graves pour la nation.
Les modalités de déclaration sont définies dans les arrêtés sectoriels.
2. L’obligation de notification des incidents à l’ANSSI
Les OIV doivent notifier directement l’ANSSI des incidents affectant leurs SIIV.
Les types d’incidents à notifier sont spécifiques aux secteurs et précisés par arrêté.
3. La définition des règles de sécurité applicables aux SIIV
L’ANSSI définit les règles techniques et organisationnelles de sécurité des systèmes d’information devant être appliquées par l’opérateur à ses SIIV.
Elles sont au nombre de 20 et adressent les thématiques suivantes :
- Gouvernance et pilotage de la sécurité informatique,
- Maîtrise des risques,
- Maîtrise des systèmes d’information,
- Gestion des incidents de sécurité,
- Protection des systèmes d’information.
Les exigences sont définies dans des arrêtés sectoriels listés en section 4.1
4. Contrôles de sécurité
L’ANSSI peut déclencher des contrôles de sécurité afin d’évaluer le niveau de sécurité de l’OIV.
Le contrôle est conduit par l’ANSSI ou par un autre service de l’État ou par un prestataire d’audit qualifié par l’ANSSI (PASSI LPM).
5. Crise majeure
Le Premier ministre peut imposer des mesures aux OIV afin de répondre à une crise majeure menaçant ou affectant la sécurité des systèmes d’information.
Pour aller plus loin
1. Références réglementaires
2. Formulaires
OIV - Déclaration de SIIV :
Pour effectuer la déclaration de leurs systèmes d’information d'importance vitale, les OIV doivent recourir au formulaire ci-dessous :
Formulaire de déclaration d'un SIIV - LPM
A noter : Le formulaire doit être transmis à l’Agence par voie postale ou par voie électronique. Dans ce dernier cas, il est demandé de protéger la transmission à l’ANSSI de cette déclaration à l’aide d’un moyen de chiffrement agréé.
OIV - Déclaration d’incident :
Les OIV doivent notifier directement l’ANSSI des incidents affectant leurs SIIV.
Les types d’incidents à notifier sont spécifiques aux secteurs et précisés par arrêté.
Les modalités de déclaration d’incidents par les OIV sont disponibles sur cette page.
3. Foire aux questions
Voir la foire aux questions sur les SIIV
4. Guide pratique
(Ouvre une nouvelle fenêtre) La plaquette de présentation du dispositif SAIV - sgdsn.gouv.fr