Info rapide – De nouvelles obligations en matière de sécurité informatique pour les Opérateurs d’Importance Vitale

Article rédigé le 6 juillet 2014 

La loi du 18 décembre 2013 n° 2013-1168, relative à la programmation miliaire pour les années 2014-2019 créé une obligation nouvelle aux opérateurs d’importance vitale liée aux cyber menaces.

Qui sont les opérateurs d’importance vitale  (OIV) ?

Ces OIV sont définis à l’article L 1332-1 du Code de la défense comme « des opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la capacité de survie de la nation ».

Les OIV sont limités à trois secteurs : étatique (activités civiles, militaires, judiciaires, espace et recherche), protections des personnes (santé, gestion de l’eau, alimentation) vie économique et sociale de l’État (énergie, communication électronique et audiovisuelle, transports, finance, industrie).

En quoi consiste cette nouvelle obligation ?

Les OIV devront, à leur frais, mettre en place des règles en matière de sécurité informatique, fixées par le Premier ministre et portant notamment sur l’installation de dispositifs matériels ou organisationnels de détection et de protection contre de futures attaques. (Art. L. 1332-6-1 du Code de la défense) L’ANSSI (agence nationale de sécurité des systèmes d’information) sera chargé de contrôler, à la demande du Premier ministre, le respect de cette nouvelle obligation.

Ils devront également déclarer au Premier ministre les attaques dont ils seraient victimes (Art. L. 1332-6-2 du Code de la défense), étant précisé que les informations sur les attaques et leur traitement sont confidentielles de façon à ne pas nuire à l’image de ces OIV et gêner la mise en place des mesures correctives.

Cette obligation d’alerte n’est pas sans rappeler celle mise en place dans la loi « informatique et libertés » en date du 6 janvier 1978 par laquelle en cas de violation de données à caractère personnel portant atteinte aux données d’un particulier ou d’un abonné, le fournisseur de services de communications électroniques au public avertit sans délai la CNIL et, le cas échéant, l’intéressé. Cette obligation des fournisseurs d’accès devrait encore être renforcé dans le règlement européen en préparation en ce sens qu’ils devront non seulement alerter la CNIL de toute violation, mais ils devront également préciser les catégories de données concernées, les conséquences de cette violation, les solutions proposées ou prises pour y remédier.

En conclusion, il sera observé que compte tenu du caractère ultra rapide et sans frontière des cyber-attaques, les dispositions de cette loi peuvent apparaître encore limitées quand on pense notamment « aux interdépendances, aux modes externalisés, hébergement et cloud computting », etc.

Le Cabinet de Me Delphine BASTIEN est à votre disposition pour toute information complémentaire que vous souhaiteriez.

Sources

• Étude d’impact sur la loi du 18 décembre2013 n° 2013-1168
• La loi du 18 décembre 2013 n° 2013-1168
• Loi de programmation militaire « contribution de l’assurance des cyber risques », Expertise – avril 2014, Jean-Laurent SANTONI, docteur en droit, Président de Clever Courtage