La Loi de Programmation Militaire 2013 (loi n° 2013-1168 du 18 décembre 2013) a marqué la naissance en France d'un cadre cybersécurité contraignant pour les Opérateurs d'Importance Vitale (OIV). Codifié aux articles L.1332-1 à L.1332-7 du Code de la défense, le dispositif identifie des entités jugées cruciales pour la nation.

Caractéristiques :

• ~ 300 OIV en France (chiffre 2024, mais liste classifiée).
• 12 secteurs d'activité d'importance vitale définis par décret : alimentation, audiovisuel et information, communications électroniques, énergie, espace et recherche, finances, gestion de l'eau, industrie, santé, transports, activités civiles de l'État, activités militaires de l'État.
• SIIV (Systèmes d'Information d'Importance Vitale) — sous-ensemble des SI de l'OIV identifié comme critique.
• Obligations :
  • Notification des incidents à l'ANSSI sans délai.
  • Audit cybersécurité régulier.
  • Mise en œuvre de règles techniques imposées par arrêtés (au moins 20 règles par secteur).
  • Plan de gestion de crise cybersécurité.
  • Plan de continuité d'activité (PCA) couvrant les SIIV.

Sanctions (article L.1332-7) : amende administrative jusqu'à 750 000 € (1,5 M€ pour les personnes morales), suspension d'activité possible en cas de manquement grave.

« La LPM 2013 a fait de la France le premier pays européen à imposer un cadre contraignant de cybersécurité aux opérateurs critiques. Elle a servi de modèle à la directive NIS européenne de 2016. »

— ANSSI, bilan 10 ans de LPM, décembre 2023

La directive NIS2 (UE) 2022/2555 du 14 décembre 2022 remplace la directive NIS1 de 2016. Elle est applicable depuis le 18 octobre 2024. La transposition française est en cours via une loi spéciale dite « Loi NIS2 », prévue pour le premier semestre 2025.

NIS2 élargit considérablement le périmètre :

• 18 secteurs d'activité couverts (10 sous NIS1) : énergie, transport, banque, finance, santé, eau potable, eau usée, infrastructures numériques, administration publique, espace, services postaux et de courrier, gestion des déchets, fabrication et distribution de produits chimiques, alimentation, fabrication industrielle, fournisseurs numériques, recherche.
• Deux catégories : entités essentielles (EE) et entités importantes (EI), selon la taille et le secteur.
• Critères généraux : organisations de moyenne taille (50 salariés et 10 M€ de CA) minimum dans les secteurs concernés.
• ~ 15 000 entités françaises concernées (vs ~ 300 sous NIS1) — choc d'élargissement majeur.

Obligations NIS2 :

• Mesures de gestion des risques cybersécurité : politique de sécurité, gestion des incidents, gestion des fournisseurs, sécurité des SI, formation, chiffrement, contrôle d'accès, multi-facteurs.
• Notification des incidents en 24 h (notification initiale) + 72 h (rapport intermédiaire) + 1 mois (rapport final) au CSIRT national (ANSSI en France).
• Plan de continuité d'activité (PCA) et de reprise (PRA) obligatoires.
• Gestion de la chaîne d'approvisionnement et des fournisseurs critiques.
• Tests et exercices réguliers.
• Responsabilité personnelle des dirigeants en cas de manquement.

Sanctions : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial (le plus élevé des deux) pour les EE, jusqu'à 7 M€ ou 1,4 % pour les EI. Mise en cause personnelle des dirigeants possible.

Le règlement DORA (UE) 2022/2554 du 14 décembre 2022 (Digital Operational Resilience Act) est applicable depuis le 17 janvier 2025. Il instaure un cadre uniforme et harmonisé de résilience opérationnelle numérique pour le secteur financier européen.

Entités concernées (~ 22 000 en Europe, ~ 2 500 en France) :

• Banques (établissements de crédit).
• Compagnies d'assurance et de réassurance.
• Sociétés de gestion d'actifs.
• Fintechs et établissements de paiement.
• Plateformes de trading et chambres de compensation.
• Fournisseurs de services en cryptoactifs.
• Auditeurs légaux.
• Prestataires TIC critiques des entités précédentes — supervision directe par les autorités européennes (AEMF, EBA, EIOPA, BCE).

5 piliers DORA :

1. Gestion des risques TIC — politique, gouvernance, identification des fonctions critiques, BIA.
2. Gestion, notification et classification des incidents — détection, notification rapide (4 h pour incident majeur).
3. Tests de résilience opérationnelle numérique — programme annuel de tests, dont des Threat-Led Penetration Testing (TLPT) tous les 3 ans pour les entités les plus critiques.
4. Gestion des risques liés aux prestataires TIC — contrats type, droits d'audit, registre des prestataires.
5. Partage d'information sur les cybermenaces — facultatif mais encouragé entre entités.

Sanctions : amendes administratives jusqu'à 2 % du chiffre d'affaires (10 % en cas de manquement grave), sanctions personnelles pour les dirigeants, retrait d'agrément possible.

Le règlement général sur la protection des données (UE) 2016/679, dit RGPD, applicable depuis le 25 mai 2018, n'est pas un texte spécifique à la continuité d'activité. Mais son article 32 impose à tout responsable de traitement et à tout sous-traitant des « mesures techniques et organisationnelles appropriées » pour garantir, entre autres, la disponibilité des données à caractère personnel.

Les exigences indirectes en matière de continuité :

• Sauvegardes régulières pour pouvoir restaurer les données en cas d'incident.
• Procédures de gestion d'incident incluant la notification à la CNIL en 72 h.
• Tests réguliers de l'efficacité des mesures.
• Pseudonymisation et chiffrement des données sensibles.
• Notification aux personnes concernées en cas de violation à risque élevé.

La CNIL sanctionne régulièrement des entités pour défaut de sauvegarde adéquate, perte de données par défaut de PRA :

• 2019 — Uber Technologies : 400 000 € (CNIL) pour violation de données et défaillance des mesures de sécurité.
• 2022 — Discord : 800 000 € (CNIL) pour mauvaise gestion des incidents.
• 2023 — Cegedim Santé : 800 000 € pour défaut de chiffrement et de sauvegarde des données médicales.

Sanctions maximales RGPD : 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel — le plus élevé des deux.

Travail-Industrie propose une formation RGPD complète qui détaille ces obligations.

La directive CSRD (UE) 2022/2464 sur le reporting durabilité, applicable progressivement entre 2024 et 2028, intègre des indicateurs de résilience opérationnelle dans le rapport de gestion annuel.

Les ESRS (European Sustainability Reporting Standards) — normes techniques de la CSRD — imposent notamment :

• ESRS S1 (employés) : continuité de l'emploi et capacités à protéger les salariés.
• ESRS S4 (consommateurs et utilisateurs finaux) : continuité du service.
• ESRS G1 (conduite des affaires) : éthique, intégrité, lutte contre la corruption — incluant les processus de gestion d'incident.
• ESRS E1 (changement climatique) : adaptation et résilience aux risques climatiques physiques (inondation, canicule, tempête).

Périmètre CSRD :

• Grandes entreprises cotées (> 500 salariés) : reporting 2025 sur exercice 2024.
• Autres grandes entreprises (> 250 salariés ou > 50 M€ CA) : reporting 2026 sur exercice 2025.
• PME cotées : reporting 2027 sur exercice 2026.
• Entreprises hors UE avec présence significative : reporting 2029 sur exercice 2028.

Cette intégration de la résilience dans le reporting financier-extra-financier rend la continuité d'activité audit-relevante. Les commissaires aux comptes et auditeurs ESG vérifient la documentation et les exercices PCA dans leur audit annuel.

Travail-Industrie propose une formation Bilan Carbone & CSRD qui approfondit ces exigences ESG.

L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), créée par décret du 7 juillet 2009, est l'autorité nationale en matière de cybersécurité. Rattachée au Secrétaire général de la Défense et de la Sécurité Nationale (SGDSN), elle a un rôle majeur dans le pilotage opérationnel des obligations PCA :

• Régulateur des OIV (LPM 2013) et des OSE/EE/EI (NIS1/NIS2).
• Émet des règles techniques obligatoires pour les OIV (arrêtés sectoriels publiés).
• Publie des guides méthodologiques et de bonnes pratiques accessibles à tous : Guide PCA (1ère édition 2013, version refondue 2024), Guide d'hygiène informatique, Guide des sauvegardes, Guide cyber-résilience.
• Centre opérationnel de cyberdéfense (CERT-FR) : monitore les menaces, émet des alertes, anime la réponse aux incidents.
• Certifie les produits (CSPN, Critères Communs) et les prestataires (PASSI, PDIS, PRIS).
• Sensibilise les administrations, les entreprises, le grand public.

Effectifs ANSSI : ~ 700 agents (chiffre 2024), en croissance continue. Budget annuel : ~ 130 M€. Implantation principale : Paris (boulevard de la Tour-Maubourg), Rennes (cyberdéfense), futur centre opérationnel en région.

Le guide ANSSI « PCA cyber », mis à jour en 2024 post-NIS2, est la référence pratique pour structurer un PCA en France. Il est gratuit, téléchargeable sur cyber.gouv.fr.