Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment est-elle assurée ?

Des infrastructures critiques dans 12 secteurs d’activité 

La liste de ces infrastructures critiques est classée « secret défense ». Rien de moins. Impossible de connaître l’identité des entreprises et organismes publics et privés classés Opérateurs d’importance vitale (OIV). Eux-mêmes sont contraints à la plus grande discrétion. Communiquer sur leur qualité d’infrastructure critique ? Impensable. Sécurité oblige.

L’État en dénombre environ 300. Ils entrent dans le dispositif appelé « Sécurité des activités d’importance vitale » (SAIV), qui vise à assurer la protection physique et informatique des opérateurs identifiés comme indispensables à la vie de la nation. Ces OIV déploient leur activité sur environ 1500 points d’importance vitale (PIV). Ces points peuvent être des usines, des locaux administratifs et gouvernementaux, des réseaux de câbles sous-marins assurant les télécommunications, des gazoducs, des centrales nucléaires, des data centers, des établissements de santé, des ouvrages énergétiques, des installations liées à l’eau, etc.

Personne tenant un ordinateur devant un champ d'éoliennes
Personne tenant un ordinateur devant un champ d'éoliennes

Cybersécurité et énergie : le défi du maintien de la sécurité énergétique

On recense 12 secteurs d’activité d’importance vitale, répartis selon 4 grandes fonctions :  

  • Fonction humaine : alimentation, gestion de l’eau, santé.
  • Fonction régalienne : activités civiles, judiciaires et militaires de l’État.
  • Fonction économique : énergie, finance, transports.
  • Fonction technologique : communications électroniques, audiovisuel et information, industrie, espace et recherche.

Les opérateurs d’importance vitale ciblés par les cyberattaques

Les chiffres des cyberattaques concernant les OIV ne sont pas légion. Et ils ne font pas souvent l’objet de communication, pour les raisons évoquées précédemment. Cependant, l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) a indiqué début 2021 que les attaques visant des opérateurs d’importance vitale avaient quadruplé en France entre 2019 et 2020, passant alors de 50 à 200. 

Par ailleurs, la vulnérabilité des établissements de santé en matière de cybersécurité est connue. L’Agence du numérique en santé a révélé qu’en 2022, les établissements médicaux et médico-sociaux avaient déclaré 30% d’incidents de cybersécurité de plus par rapport à 2021. Tous ne sont évidemment pas considérés comme des infrastructures critiques. Il n’empêche, la santé, comme d’autres secteurs sensibles, est ciblée.

Les attaques visant des opérateurs d’importance vitale ont quadruplé en France entre 2019 et 2020.

Chiffres 2021 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)

Pourquoi les OIV sont des cibles de choix pour les cybercriminels

Même si le voile du secret entoure la sécurité des opérateurs d’importance vitale, ils représentent « logiquement » des cibles de choix pour les cybercriminels. Du fait de l’importance stratégique qu’ils représentent, les prendre pour cible est un moyen de pression d’un impact inégalable. 

Parce qu’une défaillance importante d’un ou plusieurs OIV peut semer le chaos économique, perturber des services, déstabiliser un État, voire porter directement atteinte à la sécurité des citoyens, ils sont en effet considérés comme des talons d’Achille exploitables aux yeux des hackers et hackeuses. Parfois à la solde d’États hostiles, les pirates peuvent utiliser toute la palette des cyberattaques pour tenter de porter atteinte à l’intégrité de ces structures : phishing, rançongiciels, intrusions dans les systèmes pour les compromettre ou en prendre le contrôle, vol de données sensibles et stratégiques, etc.

Dès 2008, le Livre blanc sur la défense et la sécurité nationale identifiait les attaques contre les systèmes d’information des OIV comme l’une des principales menaces pesant sur la défense et la sécurité. Au fil des années, les lois de programmation militaire édictées par le ministère de l’Intérieur ont drastiquement renforcé les obligations des OIV en matière de cybersécurité. 

Le volet cyber n’est cependant que l’une des facettes de la sécurisation drastique à laquelle sont soumis les OIV. Les infrastructures critiques doivent également mettre en œuvre des mesures de sécurité pour se protéger des attaques terroristes comme des phénomènes climatiques à même de les fragiliser.

Quelles obligations pour les infrastructures critiques en matière de cybersécurité ?

Les OIV sont soumis à des obligations visant à garantir la protection de leurs systèmes d’information, et qui comprennent notamment : la déclaration d’incident obligatoire le cas échéant, la mise en œuvre d’un socle de règles de sécurité, et le recours à des produits et à des prestataires de détection qualifiés. 

L’ANSSI est chargée d’accompagner les OIV dans la mise en place de leurs mesures de cybersécurité. L’Agence est également habilitée à contrôler les opérateurs d’importance vitale afin de s’assurer qu’ils respectent le niveau minimum de sécurité requis par le cadre réglementaire. L’ANSSI, enfin, identifie et certifie des prestataires de cybersécurité reconnus comme fiables, et vers lesquels peuvent se tourner les OIV pour remplir leur obligation sécuritaire. 

Parmi les mesures imposées aux OIV en matière de cybersécurité, on compte des règles  concernant : 

  • Le chiffrement des données,
  • La gestion des identités et des droits d’accès,
  • La sécurité des identités numériques,
  • La sécurité des objets connectés,
  • L’authentification,
  • Le cloisonnement des réseaux pour limiter la propagation des attaques,
  • Les accès à distance.

Les opérateurs d’importance vitale doivent par ailleurs être obligatoirement dotés d’un SOC (Security Operation Center) qui améliore la détection des incidents de cybersécurité et facilite la réponse aux attaques. Un arsenal qui n’a sans doute pas fini de se renforcer.

Lire aussi

L’analyse de données, un levier sous-exploité pour la sécurité des entreprises

Technologie & Systèmes
25 mars 2025

Au cœur des enjeux sécuritaires actuels, l’exploitation intelligente des données collectées représente un potentiel considérable, mais largement inexploité. Les entreprises modernes disposent d’une grande richesse d’informations générée par leurs différents systèmes de sécurité, mais rares sont celles qui en tirent pleinement parti. Comment transformer ces données brutes en véritable levier…

L’importance de la maintenance des équipements de sécurité électronique

Technologie & Systèmes
25 février 2025

Caméras de surveillance, alarmes, systèmes de contrôle d’accès électronique…Dans le domaine de la sécurité, posséder des équipements de pointe est une chose, mais les maintenir en parfait état de fonctionnement en est une autre, tout aussi cruciale. La maintenance régulière et rigoureuse des dispositifs de sécurité électronique est trop souvent…

Les techniques d’investigation au service de la sécurité des entreprises

Métiers & Formations
11 février 2025

Dans un monde économique de plus en plus complexe et interconnecté, les entreprises sont contraintes de sans cesse renforcer leurs dispositifs de sécurité. Les menaces à leur encontre se sont multipliées et sophistiquées, mettant en péril leurs actifs, leur réputation et parfois même leur pérennité. Face à ces défis, les…

Voir plus d'articles

Abonnez-vous !