## Infrastructures critiques : obligations de sécurité pour les OIV et OSE selon l'ANSSI

La protection des infrastructures critiques est un enjeu majeur de souveraineté nationale. L'ANSSI joue un rôle central dans la définition et le contrôle des obligations de cybersécurité pour les Opérateurs d'Importance Vitale (OIV) et les Opérateurs de Services Essentiels (OSE).

### OIV et OSE : quelles différences ?

Les Opérateurs d'Importance Vitale (OIV) sont des entités publiques ou privées dont l'activité est indispensable à la survie de la nation. Identifiés dans 12 secteurs stratégiques (énergie, transport, télécommunications, santé, finance, eau…), ils sont soumis à des règles de sécurité contraignantes depuis la Loi de Programmation Militaire de 2013.

Les Opérateurs de Services Essentiels (OSE), désignés dans le cadre de la directive NIS, ont des obligations similaires mais avec un périmètre élargi à l'échelle européenne.

### Les obligations réglementaires

L'ANSSI impose un cadre strict aux opérateurs critiques :

- Déclaration des SIIV : identification et déclaration des Systèmes d'Information d'Importance Vitale auprès de l'ANSSI. - Application des règles de sécurité : mise en œuvre de mesures techniques et organisationnelles définies par arrêtés sectoriels. - Notification des incidents : obligation de signaler tout incident de sécurité au CERT-FR dans les plus brefs délais. - Contrôles de conformité : audits réguliers réalisés par des prestataires qualifiés PASSI.

### Les 20 règles de sécurité des SIIV

L'ANSSI a défini des règles couvrant cinq domaines fondamentaux :

1. Gouvernance : politique de sécurité, cartographie des systèmes, gestion des risques. 2. Protection : durcissement des configurations, gestion des accès, segmentation réseau. 3. Défense : détection d'intrusions, journalisation, corrélation d'événements. 4. Résilience : plans de continuité, sauvegardes, exercices de crise. 5. Gestion de crise : procédures d'alerte, communication, retour d'expérience.

### Au-delà de la conformité : une approche par les risques

L'ANSSI recommande de ne pas se limiter à une approche de conformité réglementaire. L'analyse de risques, basée sur la méthode EBIOS Risk Manager, permet d'adapter les mesures de sécurité au contexte spécifique de chaque opérateur et d'anticiper les menaces émergentes.

### Préparer l'avenir avec NIS 2

Avec l'entrée en vigueur de la directive NIS 2, le périmètre des entités concernées s'élargit considérablement. Les entreprises qui ne sont pas encore classées OIV ou OSE ont tout intérêt à anticiper ces nouvelles obligations pour éviter les sanctions.

---

Alcybe accompagne les opérateurs critiques dans leur mise en conformité avec les exigences de l'ANSSI. De l'analyse de risques EBIOS RM à l'audit de conformité, nos consultants certifiés vous guident à chaque étape.