Etre conforme à la LPM

Vous êtes un OIV ? Découvrez l’accompagnement à la mise en conformité d’Orange Cyberdefense.

Les enjeux des OIV concernant la LPM

La loi de programmation militaire (LPM) est un plan stratégique de défense. Elle est votée tous les 5 ans. La LPM 2014-2019 désigne près de 250 opérateurs d’importance vitale (OIV) : il s’agit d’entité privées et publiques indispensables au bon fonctionnement de la Nation. Les OIV ont notamment des obligations légales concernant la cybersécurité.

Vous êtes un OIV si votre entreprise évolue au sein d’au moins un des secteurs suivants :

  • Energie
  • Transport
  • Gestion de l’eau
  • Industrie
  • Finance
  • Communications
  • Santé
  • Activité militaire
  • Activité civile de l’Etat
  • Activité judiciaire
  • Alimentation
  • Espace et recherche

En matière de cybersécurité, les OIV ont notamment l’obligation de :

  • nommer un référent LPM ;
  • identifier les points d’importance vitale (PIV) ;
  • élaborer un plan de sécurité et les mettre en œuvre.

La protection des SIIV

Pour les OIV, il est obligatoire qu’une partie de leur système d’information réponde aux exigences de sécurité de la LPM. Nous parlons alors de SIIV pour « systèmes d’information d’importance vitale ». Les SIIV doivent répondre à 20 règles (cf. schéma suivant).

Etre conforme à la LPM avec Orange Cyberdefense

Ainsi, les OIV ont notamment l’obligation de disposer d’un SOC (Security Operation Center). Pour rappel, un SOC permet de détecter des incidents informatiques. Les OIV ont le choix de créer leur propre SOC ou de déléguer cette tâche à un fournisseur de cybersécurité.

Dans les deux cas, le SOC doit répondre aux exigences du référentiel PDIS (Prestataires de Détection des Incidents de Sécurité). Il s’agit d’une qualification de l’ANSSI.

LPM : les prestations d’Orange Cyberdefense

Voici l’accompagnement proposé par les experts techniques et les consultants d’Orange Cyberdefense.

Sous 3 mois

  • accompagnement de l’opérateur dans l’identification de ses systèmes essentiels et dans sa déclaration à l’ANSSI ;
  • analyse d’écarts pour identifier les non-conformités par rapport aux règles de sécurité à mettre en place.

Sous 1 an

  • accompagnement à la cartographie des systèmes d’information ;
  • accompagnement à la mise en conformité en AMOA (Assistance à Maîtrise d’Ouvrage);
  • déploiement des solutions de sécurité telles que la gestion des identités, le filtrage réseau ou encore la sécurisation du système d’information d’administration (SIA).

Sous 2 ans

  • mise en place d’un SOC qualifié PDIS et PRIS (Prestataires de Réponse aux Incidents de Sécurité).

Sous 3 ans

  • audit de sécurité de systèmes vitaux qualifié PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) ;
  • analyse de risques ;
  • accompagnement à l’homologation.

Contactez nos experts