Protéger les activités indispensables à l’exercice de l’autorité de l’Etat et au fonctionnement de l’économie

Mettre en œuvre la politique de sécurité des activités d’importance vitale (SAIV)

Créé en 2006 sur les bases de l’ancien dispositif de protection des points et réseaux sensibles, le dispositif de sécurité des activités d’importance vitale (SAIV) vise à assurer la protection physique et cyber d’opérateurs (publics ou privés) identifiés comme indispensables pour la continuité d’activité de la Nation ou, de manière plus marginale, pouvant présenter un danger grave pour la population.

Le dispositif compte aujourd’hui plus de 300 opérateurs, désignés d’importance vitale par l’Etat, dans 12 secteurs d’activité. Chaque secteur est supervisé par un ministère coordonnateur.

Les opérateurs d’importance vitale (OIV) exercent leurs activités sur près de 1500 points d’importance vitale (PIV) (usine, locaux d’une administration, data center, etc.), répartis sur l’ensemble du territoire national (métropole et outre-mer). La désignation des PIV s’appuie sur la notion de non-substituabilité des activités. Leur identité est protégée par le secret de la défense nationale.

Une responsabilité partagée entre l’Etat et les opérateurs d’importance vitale

Désignés par l’Etat, les OIV sont tenus de garantir à leurs frais la sécurité de leurs sites et leurs systèmes d’information les plus critiques (points et systèmes d’information d’importance vitale) contre tout risque et toute menace, notamment à caractère terroriste. Les OIV exposent à travers un certain nombre de documents de planification (plan de sécurité opérateur - PSO, plans particuliers de protection - PPP) les choix de sécurité qui leur permettent de répondre à cette obligation de résultat. Ils procèdent notamment :

• à une identification des points d’importance vitale (PIV) : établissements, installations et ouvrages nécessaires à la réalisation des activités d’importance vitale ;
• à une analyse de l’ensemble des risques (naturels, technologiques, sanitaires, etc.) et des menaces (malveillance, terrorisme, cyber, etc.) pouvant affecter les activités et points d’importance vitale ;
• à la déclinaison et à l’application des mesures Vigipirate qui concernent leur activité ;
• à une démonstration de leur dispositif de sécurité et de gestion de crise ; au respect du principe de défense en profondeur au sein de chaque PIV ;
• à la rédaction d’un plan de continuité d’activité ou de reprise d’activité (PCA/PRA) et à l’identification des personnels clés ;
• à la désignation d’un délégué à la défense et à la sécurité (DDS), habilité au secret de la défense nationale et interlocuteur privilégié du ministère coordonnateur. Au niveau de chaque PIV, l’opérateur peut désigner un délégué local à la défense et à la sécurité (DLDS), interlocuteur privilégié de la préfecture de département ;
• à la protection des informations et supports classifiés (statut d’OIV - sauf exception ; liste des PIV ; documents de planification de sécurité) ;
  
   

Depuis 2013, le code de la défense impose également aux OIV des obligations similaires en termes de cybersécurité, notamment pour leurs « systèmes d’information d’importance vitale » (SIIV).

En contrepartie, l’Etat veille à la bonne application du dispositif, mais surtout accompagne et soutient les opérateurs d’importance vitale, à travers notamment :

• l’approbation des documents de planification de sécurité rédigés par l’opérateur ;
• les visites et inspections des PIV par les zones de défense et de sécurité (sauf pour les opérateurs du secteur des activités militaires de l’Etat) ;
• la possibilité pour l’Etat d’imposer des mesures administratives et des sanctions pénales à l’encontre des OIV qui ne respecteraient pas leurs obligations de protection physique ou cyber ;
• l’évaluation des risques et des menaces (directives nationales de sécurité, postures Vigipirate) ;
• la planification par l’autorité préfectorale des mesures de vigilance, de protection et de réaction mises en œuvre par la force publique en cas d’attaque sur un PIV (planification des moyens et modalités d’intervention, à travers un plan de protection externe) ;
• un rôle de conseil des OIV dans l’organisation de leur politique de sécurité et de la continuité d’activité (ministère coordonnateur), la cybersécurité (ANSSI) ou la sécurité de leur(s) PIV (zones de défense et de sécurité, préfecture de département) ;
• la transmission à l’opérateur qui en fait la demande d’un avis sur la compatibilité du comportement d’une personne souhaitant accéder à un PIV (enquêtes administratives de sécurité) ;
• l’encadrement d’une formation complémentaire pour les agents privés de sécurité exerçant dans des sites sensibles. [lien plaquette]
  
   

Une politique pilotée par le SGDSN, impliquant l’Etat à tous les niveaux

Les acteurs de ce dispositif sont, au niveau central :

• le SGDSN (direction de la protection et de la sécurité de l’Etat) par délégation du Premier ministre : pilotage du dispositif, suivi et évolution règlementaire, coordination interministérielle. L’ANSSI supervise directement le volet cyber ;
• les ministères coordonnateurs à travers les services des hauts fonctionnaires de défense et de sécurité (SHFDS) : supervision de l’ensemble des opérateurs d’importance vitale de leur(s) secteur(s) d’activité ;
• le ministère de l’intérieur, responsable de l’application territoriale du dispositif ; l’autorité militaire assure un suivi à part des opérateurs du secteur des activités militaires de l’Etat ;
• les 300 opérateurs d’importance vitale (OIV) et en particulier leurs délégués à la défense et à la sécurité (directeurs sûreté, officiers de sécurité, etc.).
  
   

Le SGDSN préside la commission interministérielle de défense et de sécurité (CIDS) des secteurs d’activité d’importance vitale. Réunie deux fois par an, cette commission acte le suivi et l’évolution du dispositif (désignation de nouveaux OIV, PIV) et traite de tout sujet d’intérêt pour la SAIV.

Les acteurs de ce dispositif sont, au niveau territorial :

• les préfets de département (mise en œuvre par les services interministériels de défense et de protection civile des préfectures) : supervision de l’application des mesures de sécurité prévues dans les plans particuliers de protection des PIV civils ; planification des moyens et des modalités d’intervention de l’Etat (forces de sécurité intérieures, sécurité civile voire armées) à travers les plans de protection externe ;
• les préfets de zones de défense et de sécurité : coordination, assistance et contrôle de de la mise en œuvre du dispositif pour l’ensemble des PIV de la zone (notamment : visite et contrôle des PIV civils) ;
• les 1500 points d’importance vitale (PIV) et en particulier leurs délégués locaux à la défense et à la sécurité.
  
   

Les préfets de zones président les commissions zonales de défense et de sécurité (CZDS) des secteurs d'activités d'importance vitale.

La base DIVA

La base DIVA (pour Données d’Importance VitAles) est un système d’information géographique qui rassemble sur un réseau classifié l’ensemble des informations et documents relatifs aux points d’importance vitale. Tenue et mise à jour par le SGDSN, elle est déployée dans les ministères, les préfectures et les centres de crise. L’attribution des droits d’accès est faite en fonction du besoin d’en connaitre.

Coordination avec d’autres dispositifs de sécurité

Le dispositif de sécurité des activités d’importance vitale (SAIV) est prévu aux articles L. 1332-1 et suivants du code de la défense.

Les OIV peuvent se voir appliquer d’autres dispositifs de sécurité, également pilotés par le SGDSN.