/ Audit & conformité / OIV et OSE : quelles contraintes spécifiques impose la Loi de Programmation Militaire sur vos systèmes ?
Centre de contrôle cybersécurité avec multiples écrans surveillant des infrastructures critiques dans une ambiance professionnelle
Publié le 11 mars 2024

La Loi de Programmation Militaire (LPM) n’est pas une simple liste de contraintes, mais une véritable doctrine de souveraineté opérationnelle imposant une posture de défense active.

  • L’homologation d’un Système d’Information d’Importance Vitale (SIIV) est un engagement continu, pas une formalité unique.
  • Le choix de solutions de sécurité doit privilégier les produits qualifiés par l’ANSSI, un arbitrage stratégique pour la résilience nationale.
  • La segmentation des réseaux et le contrôle strict des accès (notamment pour la télémaintenance) sont des piliers non négociables pour contenir la menace.

Recommandation : Auditez vos infrastructures non pas sous l’angle de la conformité, mais sous celui du risque de dépendance technologique et de la capacité à opérer en toute autonomie en cas de crise.

Pour le Responsable de la Sécurité des Systèmes d’Information (RSSI) d’une infrastructure critique, la pression réglementaire est une réalité quotidienne. Entre les directives européennes comme NIS 2 et le cadre national imposé par la Loi de Programmation Militaire (LPM), le chemin vers la conformité ressemble souvent à un parcours du combattant. Beaucoup abordent ces exigences comme une liste de cases à cocher, une charge administrative subie plutôt qu’un levier stratégique maîtrisé. On se concentre sur l’obtention d’un tampon, la production d’un document, sans toujours en saisir la portée profonde.

Mais si la véritable clé n’était pas dans la conformité, mais dans l’adhésion à une philosophie de défense ? La LPM, et les règles techniques qui en découlent, ne visent pas seulement à sécuriser des systèmes ; elles dessinent une doctrine de souveraineté opérationnelle. Chaque exigence, du choix d’une sonde de détection à la procédure d’accès à un datacenter, est une brique conçue pour garantir la résilience de la Nation en cas de crise majeure. Il ne s’agit plus seulement de protéger des données, mais d’assurer la continuité des services essentiels à la vie du pays.

Cet article n’est pas une énième relecture de la loi. C’est un guide opérationnel destiné aux RSSI qui sont en première ligne. Nous allons décortiquer les contraintes les plus structurantes de la LPM pour les Opérateurs d’Importance Vitale (OIV) et les Opérateurs de Services Essentiels (OSE), et montrer comment transformer ces obligations en une posture de sécurité robuste et souveraine. Nous verrons comment chaque décision technique devient un acte de défense stratégique.

Pour naviguer avec rigueur dans ces exigences complexes, cet article se structure autour des piliers opérationnels de la LPM. Le sommaire ci-dessous vous guidera à travers chaque aspect critique, du processus d’homologation à la sécurisation physique de vos équipements.

Sommaire : Comprendre et appliquer les exigences de la LPM pour OIV et OSE

Pourquoi le dossier d’homologation est plus qu’une formalité administrative pour un système classifié ?

Dans l’univers des OIV, l’homologation d’un Système d’Information d’Importance Vitale (SIIV) est souvent perçue comme l’aboutissement d’un long processus bureaucratique. C’est une erreur de perspective. L’homologation n’est pas une fin en soi, mais l’acte fondateur d’un engagement de sécurité sur le long terme. Elle formalise la reconnaissance par le RSSI, sous sa responsabilité, que les risques pesant sur le système sont connus et maîtrisés à un niveau acceptable. C’est la première brique de la doctrine de sécurité de l’organisation.

Loin d’être un document figé dans le marbre, le dossier d’homologation est un organisme vivant. Il doit être réévalué et mis à jour à chaque évolution significative du SIIV. Cette dynamique est cruciale : elle oblige à une vigilance constante et à une adaptation continue face à l’évolution des menaces. L’ANSSI impose d’ailleurs une rigueur temporelle stricte : l’homologation doit être renouvelée dans un délai de 3 ans maximum, garantissant que l’analyse des risques reste pertinente.

Cette approche cyclique transforme la conformité en une culture de la sécurité. Le dossier n’est plus une simple archive, mais un outil de pilotage stratégique qui documente la posture de sécurité, les mesures compensatoires et le niveau de risque résiduel accepté par la direction. Pour un RSSI, le défendre n’est pas une corvée, c’est l’occasion de matérialiser sa stratégie et d’obtenir les ressources nécessaires pour la maintenir.

Comment choisir des solutions de sécurité (sondes, VPN) certifiées par l’ANSSI pour respecter la loi ?

L’une des exigences les plus concrètes de la LPM est l’obligation de s’équiper de produits de sécurité ayant reçu une qualification de l’ANSSI. La question n’est donc pas « faut-il le faire ? », mais « comment bien le faire ? ». Choisir une solution qualifiée n’est pas un simple achat sur catalogue ; c’est un arbitrage stratégique qui engage la sécurité du SIIV pour plusieurs années. La qualification, obtenue après un processus d’évaluation rigoureux, atteste de la robustesse d’un produit et de la confiance que l’État français lui accorde.

L’ANSSI distingue plusieurs niveaux de qualification, chacun correspondant à un contexte d’emploi et à un niveau de menace différent. Comprendre cette hiérarchie est fondamental pour faire un choix éclairé, adapté à la criticité de vos systèmes et à vos obligations réglementaires.

Niveaux de qualification ANSSI pour les produits de sécurité
Niveau de qualification Certification requise Usage recommandé Durée d’obtention
Élémentaire CSPN Administrations, entreprises sensibles 2-3 mois
Standard CC EAL3+ OIV/SIIV, systèmes critiques 12+ mois
Renforcée CC EAL4+ Défense, souveraineté nationale 18+ mois

Ce tableau, basé sur les informations fournies par des acteurs comme Stormshield, un éditeur de solutions qualifiées, montre que le niveau de qualification n’est pas anodin. Un produit « Standard » est souvent le minimum requis pour un OIV. Pour vous guider dans cette sélection, une approche méthodique est indispensable.

Votre feuille de route pour choisir une solution qualifiée

  1. Vérifier la présence de la solution dans le catalogue officiel ANSSI mis à jour mensuellement.
  2. Analyser la cible de sécurité et le périmètre exact de la qualification pour s’assurer qu’elle couvre bien vos cas d’usage.
  3. Évaluer l’adéquation entre le niveau de qualification (Élémentaire, Standard) et vos obligations réglementaires spécifiques (LPM, NIS 2).
  4. Considérer le coût total de possession (TCO), qui inclut la formation des équipes, l’intégration et le maintien en condition opérationnelle.
  5. Vérifier la compatibilité technique avec votre architecture existante et l’interopérabilité avec les autres solutions, notamment celles déjà qualifiées.

Télémaintenance interdite ou encadrée : quelles règles pour les prestataires sur les SIIV ?

La télémaintenance des SIIV est l’un des points les plus sensibles de la LPM. Par principe, toute intervention à distance est considérée comme une porte d’entrée potentielle pour un attaquant. Si elle ne peut être totalement interdite pour des raisons opérationnelles, elle doit être encadrée par des mesures drastiques. L’époque où un prestataire pouvait se connecter via un simple VPN à un équipement critique est révolue. La doctrine impose une approche « zéro confiance » et une traçabilité absolue.

La clé de voûte de cet encadrement est le déploiement d’un bastion d’administration, ou solution de Privileged Access Management (PAM). Ce système agit comme un sas de sécurité obligatoire pour tous les accès à privilèges. Comme le rappelle l’expert SNS Security :

Les solutions de gestion des accès à privilèges (PAM) définissent clairement quel compte a le droit d’accéder à telle application. Elle est un point d’entrée unique centralisant l’accès à toutes les ressources de l’entreprise.

– SNS Security, Guide sur les bastions d’administration

Le bastion ne se contente pas de filtrer les accès. Il enregistre intégralement chaque session (souvent en format vidéo), permettant une analyse a posteriori en cas d’incident. Cette capacité d’audit est une exigence non négociable de l’ANSSI.

Mise en place d’un bastion qualifié ANSSI pour la télémaintenance

Une solution de bastion qualifiée par l’ANSSI, comme celle de l’éditeur français WALLIX, illustre bien ce concept. Elle s’articule autour de trois modules : un Session Manager pour contrôler et enregistrer les sessions, un Password Manager pour gérer de façon centralisée et sécurisée les mots de passe des comptes à privilèges, et un Access Manager qui fournit un portail d’accès unique et sécurisé pour les utilisateurs externes, se substituant aux connexions VPN traditionnelles. Grâce à ce dispositif, toutes les activités sont systématiquement enregistrées, offrant une traçabilité complète indispensable pour la conformité et la détection d’anomalies.

Le risque d’utiliser une solution de sécurité d’origine non-européenne au cœur d’un OIV

La LPM n’est pas seulement une loi technique, c’est une loi de souveraineté. Elle pousse implicitement les OIV à s’interroger sur l’origine de leurs solutions de sécurité. Utiliser un produit conçu par une entité soumise à des lois extraterritoriales, comme le Cloud Act américain, représente un risque stratégique majeur. En cas de crise diplomatique ou de tensions économiques, l’accès aux mises à jour, au support technique, voire le fonctionnement même de la solution, pourraient être compromis.

Cette question de la souveraineté opérationnelle est particulièrement critique pour les équipements de cœur de réseau. Une étude souligne que la plupart des équipements de cœur de réseau ne sont pas européens, ce qui crée une dépendance systémique pour les infrastructures vitales de la nation. Un pare-feu ou une sonde d’origine non-européenne au cœur d’un SIIV peut devenir une vulnérabilité non pas technique, mais géopolitique.

Le choix d’un fournisseur européen, dont les produits sont qualifiés par l’ANSSI, n’est donc pas un acte de patriotisme économique naïf. C’est une mesure de gestion des risques à long terme. Elle garantit que l’OIV garde la maîtrise de sa sécurité, indépendamment des aléas internationaux. Pour le RSSI, cela signifie devoir intégrer l’analyse de l’origine de la solution et de sa structure capitalistique dans toute étude de marché, au même titre que ses performances techniques.

Configurer les règles de détection spécifiques demandées par l’agence nationale

Détecter une attaque est bien, mais détecter l’attaque qui vise spécifiquement votre secteur et vos technologies est mieux. La LPM impose aux OIV de déployer des sondes de détection qualifiées, mais l’exigence ne s’arrête pas là. L’ANSSI demande également que ces sondes soient configurées avec des règles de détection spécifiques, souvent fournies par l’agence elle-même, pour identifier les modes opératoires connus des groupes d’attaquants ciblant les infrastructures critiques françaises. Le contexte est tendu : l’ANSSI a traité 4 386 événements en 2024 (+15%), un chiffre qui témoigne de l’intensification de la menace.

Cette obligation pousse à dépasser les règles génériques fournies par les éditeurs de solutions de sécurité. Il s’agit d’adapter la détection à la réalité de la menace qui pèse sur l’opérateur. Cela est particulièrement vrai pour les environnements industriels (OT), où les protocoles et les équipements diffèrent radicalement du monde informatique traditionnel (IT). Une détection efficace dans un SIIV hybride doit savoir corréler des événements provenant de ces deux mondes.

Détection sur-mesure dans un environnement OT/IT

Un cas concret, inspiré des déploiements de solutions de PAM, montre un groupe agroalimentaire européen gérant plus de 30 usines. Pour se conformer aux exigences NIS et aux normes comme l’IEC 62443, il a mis en place une solution permettant non seulement de contrôler les accès des prestataires techniques sur les systèmes OT (automates, maintenance), mais aussi de détecter des comportements anormaux. La solution enregistre les sessions OT en format vidéo et applique des contrôles d’accès conditionnels. Cela permet de créer des règles de détection spécifiques : par exemple, une alerte est levée si un technicien de maintenance se connecte en dehors de sa fenêtre horaire autorisée ou tente d’accéder à un automate qui n’est pas dans son périmètre d’intervention. C’est l’essence même de la détection contextuelle exigée par la LPM.

La mise en place d’un SOC (Security Operations Center) est souvent le dispositif emblématique de cette capacité de détection, mais il n’est efficace que si les règles qu’il opère sont fines et pertinentes pour le métier de l’OIV.

Directive NIS 2 : votre entreprise est-elle devenue une « entité essentielle » sans que vous le sachiez ?

La LPM s’adresse historiquement aux OIV, un club relativement restreint d’organisations critiques désignées par l’État. Cependant, la directive européenne NIS 2, transposée en droit français, a considérablement élargi le champ des acteurs soumis à des obligations de cybersécurité strictes. De nombreuses entreprises, auparavant simples « Opérateurs de Services Essentiels » (OSE), se retrouvent désormais classées comme « entités essentielles » ou « entités importantes », avec des contraintes qui se rapprochent de celles des OIV.

Cette bascule n’est pas neutre. Elle implique de nouvelles obligations déclaratives auprès de l’ANSSI, des exigences de sécurité renforcées et, surtout, une responsabilité juridique et personnelle des dirigeants en cas de manquement grave. La question n’est plus seulement technique, elle devient un sujet de gouvernance au plus haut niveau de l’entreprise. Pour de nombreuses organisations des secteurs de l’énergie, des transports, de la santé, de la gestion des déchets ou du numérique, NIS 2 a agi comme un véritable électrochoc.

Pour les RSSI de ces « nouveaux entrants », la marche est haute. Il faut rapidement évaluer l’écart entre la posture de sécurité actuelle et les nouvelles exigences. Voici une liste de survie pour les organisations nouvellement concernées :

  • Désigner un responsable de la cybersécurité avec une ligne de reporting directe au comité de direction.
  • Lancer un inventaire exhaustif et une cartographie des systèmes d’information qui supportent les services essentiels.
  • S’enregistrer sur la plateforme de déclaration de l’ANSSI dans les délais impartis pour être officiellement identifié.
  • Mettre en place un programme de formation obligatoire aux enjeux cyber pour les membres du COMEX, afin de les sensibiliser à leur nouvelle responsabilité.
  • Utiliser les 20 règles de sécurité de la LPM comme une référence pour évaluer la maturité de l’organisation et construire une feuille de route.

Le périmètre des entreprises critiques s’est considérablement étendu. Pour savoir si vous êtes concerné et comment réagir, il est vital de comprendre les implications de la directive NIS 2.

Comment segmenter votre réseau d’entreprise pour empêcher la propagation latérale d’un virus ?

La segmentation réseau est l’une des pratiques d’hygiène cyber les plus anciennes, mais elle reste d’une efficacité redoutable, surtout dans le contexte des attaques modernes. Même si une analyse récente note que les attaques par ransomware ont reculé de 13% en 2024, la menace d’une compromission initiale reste omniprésente. Le véritable danger n’est souvent pas l’infection d’un poste de travail, mais la capacité de l’attaquant à se déplacer latéralement sur le réseau pour atteindre les actifs critiques : les serveurs de production, les bases de données ou les systèmes de contrôle industriels.

Pour un OIV, dont le réseau est souvent un enchevêtrement complexe de systèmes IT et OT, la segmentation est une doctrine de survie. Elle vise à créer des cloisons étanches pour contenir un incident dans la zone où il s’est déclaré. L’objectif est simple : un virus qui infecte le réseau bureautique ne doit jamais pouvoir atteindre la chaîne de production automatisée.

Application du modèle Purdue pour la segmentation OT/IT

La référence en matière de segmentation des environnements industriels est le modèle Purdue. Ce modèle hiérarchise le réseau en plusieurs niveaux, allant des capteurs et automates (Niveau 0) jusqu’au réseau d’entreprise (Niveau 4/5). En plaçant des pare-feux et des filtres stricts entre chaque niveau, on crée une « Zone Démilitarisée » (DMZ) qui isole complètement le monde de l’OT de celui de l’IT. Cette approche limite drastiquement la surface d’attaque et empêche un attaquant de « remonter » des systèmes bureautiques vers les contrôleurs de processus critiques. C’est une application concrète de la doctrine de défense en profondeur exigée par la LPM.

Une segmentation efficace ne se limite pas à la mise en place de VLANs. Elle implique une cartographie précise des flux, la définition de règles de filtrage très strictes (« tout ce qui n’est pas explicitement autorisé est interdit ») et une surveillance constante pour détecter toute tentative de franchissement des barrières. C’est un travail de fond, mais c’est le meilleur rempart contre la paralysie d’une infrastructure vitale.

Le confinement d’un incident est la clé de la résilience. Pour mettre en place une défense efficace, il est essentiel de maîtriser les principes de la segmentation réseau.

À retenir

  • L’homologation n’est pas une formalité unique mais un cycle de vie qui impose une vigilance et une réévaluation constantes de votre posture de sécurité.
  • Le choix d’une solution de sécurité qualifiée par l’ANSSI est un arbitrage stratégique qui engage la résilience de l’organisation bien au-delà de la simple conformité technique.
  • La dépendance à des technologies non-européennes constitue un risque géopolitique majeur pour la souveraineté opérationnelle d’un OIV.

Sécuriser l’accès physique et logique aux équipements cœur de réseau : les règles d’or

La cybersécurité la plus sophistiquée ne vaut rien si un individu mal intentionné peut accéder physiquement à un routeur cœur de réseau ou à un serveur critique. La LPM et les guides de l’ANSSI martèlent un principe fondamental : la convergence de la sécurité physique et logique. Chaque accès à une salle serveur, à une baie technique ou à un site distant doit être traité avec le même niveau de rigueur qu’un accès distant via le réseau. L’adage est clair : une porte qui s’ouvre, c’est un droit d’accès qui se crée.

Pour les OIV, qui opèrent souvent des infrastructures distribuées et parfois isolées, cette convergence est vitale. La sécurisation ne se limite pas à une porte blindée et une caméra. Elle doit intégrer une chaîne de contrôle complète, où chaque action est tracée, corrélée et justifiée. Plusieurs règles d’or, issues des recommandations de l’agence, doivent guider cette démarche.

La mise en œuvre de cette convergence repose sur des principes stricts. Il faut implémenter une double validation obligatoire (principe des quatre yeux) pour toute intervention sur un équipement SIIV. Les logs d’accès physique (badges, biométrie) doivent être systématiquement corrélés avec les logs d’accès logique (SSH, RDP) pour détecter toute incohérence. Le déploiement de capteurs d’ouverture et de caméras sur les sites non surveillés est indispensable. Enfin, l’application du principe de JIT (Just-In-Time), qui accorde des droits d’accès pour une durée limitée et strictement nécessaire à l’intervention, doit devenir la norme.

La chaîne de sécurité est aussi forte que son maillon le plus faible. Pour garantir une protection complète, il est fondamental de comprendre comment intégrer la sécurité physique et logique dans une approche unifiée.

L’application rigoureuse de ces principes n’est pas une option, mais une nécessité pour garantir l’intégrité de vos systèmes les plus critiques. L’étape suivante consiste à auditer vos procédures d’accès actuelles à l’aune de cette doctrine de convergence et à planifier les investissements nécessaires pour combler les écarts.

Rédigé par Valérie Dumont, Directrice Cybersécurité & Gouvernance (CISO) et experte en gestion de crise, certifiée CISM et CISA. Avec plus de 18 ans d'expérience, elle accompagne les CODIR des ETI et grands groupes français dans la stratégie de résilience, la conformité (NIS 2, RGPD, LPM) et la traduction des risques techniques en enjeux business.
Maintenir le durcissement système des serveurs Windows face aux mises à jour automatiques : une approche d’ingénieur
Supervision continue : comment vaincre la fatigue de l’alerte et ne traiter que les incidents critiques
Fraîchement publiés
Alignement business : comment intégrer le risque cyber dans la stratégie globale de gestion des risques de l’entreprise ?
CISO moderne : comment parler de risque cyber au comité exécutif sans utiliser de jargon technique ?
Quand faire appel à un cabinet de conseil cyber pour valider votre feuille de route sécurité ?
Évaluer votre maturité cyber : comment passer du mode « Pompier » au mode « Stratège » grâce au CMMI ?
CISSP : est-ce vraiment le sésame indispensable pour devenir directeur cybersécurité ou consultant senior ?
Articles similaires
Réussir son analyse EBIOS RM : comment définir des scénarios de risque qui parlent vraiment au métier ?
Directive NIS 2 : votre entreprise est-elle devenue une « entité essentielle » sans que vous le sachiez ?
Comment traduire l’article 32 du RGPD en mesures techniques concrètes pour votre infrastructure ?
Comment collecter les preuves numériques sur un disque dur sans invalider leur valeur juridique ?