La loi de programmation militaire (LPM) est un plan stratégique de défense. Elle est votée tous les 5 ans. La LPM 2014-2019 désigne près de 250 opérateurs d’importance vitale (OIV) : il s’agit d’entité privées et publiques indispensables au bon fonctionnement de la Nation. Les OIV ont notamment des obligations légales concernant la cybersécurité.
Vous êtes un OIV si votre entreprise évolue au sein d’au moins un des secteurs suivants :
Energie
Transport
Gestion de l’eau
Industrie
Finance
Communications
Santé
Activité militaire
Activité civile de l’Etat
Activité judiciaire
Alimentation
Espace et recherche
En matière de cybersécurité, les OIV ont notamment l’obligation de :
nommer un référent LPM ;
identifier les points d’importance vitale (PIV) ;
élaborer un plan de sécurité et les mettre en œuvre.
La protection des SIIV
Pour les OIV, il est obligatoire qu’une partie de leur système d’information réponde aux exigences de sécurité de la LPM. Nous parlons alors de SIIV pour « systèmes d’information d’importance vitale ». Les SIIV doivent répondre à 20 règles (cf. schéma suivant).
Ainsi, les OIV ont notamment l’obligation de disposer d’un SOC (Security Operation Center). Pour rappel, un SOC permet de détecter des incidents informatiques. Les OIV ont le choix de créer leur propre SOC ou de déléguer cette tâche à un fournisseur de cybersécurité.
Dans les deux cas, le SOC doit répondre aux exigences du référentiel PDIS (Prestataires de Détection des Incidents de Sécurité). Il s’agit d’une qualification de l’ANSSI.
Voici l’accompagnement proposé par les experts techniques et les consultants d’Orange Cyberdefense.
Sous 3 mois
accompagnement de l’opérateur dans l’identification de ses systèmes essentiels et dans sa déclaration à l’ANSSI ;
analyse d’écarts pour identifier les non-conformités par rapport aux règles de sécurité à mettre en place.
Sous 1 an
accompagnement à la cartographie des systèmes d’information ;
accompagnement à la mise en conformité en AMOA (Assistance à Maîtrise d’Ouvrage);
déploiement des solutions de sécurité telles que la gestion des identités, le filtrage réseau ou encore la sécurisation du système d’information d’administration (SIA).
Sous 2 ans
mise en place d’un SOC qualifié PDIS et PRIS (Prestataires de Réponse aux Incidents de Sécurité).
Sous 3 ans
audit de sécurité de systèmes vitaux qualifié PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) ;
analyse de risques ;
accompagnement à l’homologation.
Vous avez un projet de cybersécurité ?
Vous avez besoin d’un accompagnement ou d’informations sur nos solutions ?
Remplissez dès maintenant notre formulaire en précisant vos besoins. Nos experts vous recontacteront dans les plus brefs délais.
L'équipe Orange Cyberdefense