Les OIV sont identifiés nominativement par décret (liste classifiée secret défense). Le statut couvre les organisations dont l'arrêt de l'activité aurait des conséquences graves pour la nation : approvisionnement énergétique, fonctionnement des télécoms, services bancaires, sécurité publique, défense, santé d'urgence.

Exemples publics (volontairement déclarés par les entreprises) :

• Énergie : EDF, RTE, GRDF, GRTgaz, TotalEnergies, Engie.
• Télécoms : Orange, SFR, Bouygues Telecom, Free.
• Transports : SNCF, RATP, ADP, Air France-KLM, Vinci Autoroutes.
• Banque : BNP Paribas, Crédit Agricole, Société Générale, BPCE, Crédit Mutuel, La Banque Postale.
• Industrie de défense : Thales, Dassault Aviation, Safran, MBDA.
• Santé : grands CHU, AP-HP, Institut Pasteur.
• Audiovisuel : France Télévisions, AFP, Radio France.
• Eau : Veolia Eau France, Suez Eau France.
• Aérospatial : CNES, Arianespace.

Obligations spécifiques OIV (au-delà de NIS2/DORA) :

• Notification à l'ANSSI de tout incident significatif sans délai (et non en 24 h comme NIS2).
• Application stricte des règles techniques de l'arrêté sectoriel.
• Plan de Continuité d'Activité formalisé, audité, testé.
• Audit cybersécurité annuel par un prestataire certifié PASSI.
• Habilitation de certains personnels (Secret Défense).
• Garanties sur les fournisseurs et sous-traitants critiques.

Le statut OIV s'accompagne d'avantages opérationnels : contact direct avec l'ANSSI et le CERT-FR en cas d'incident, accès prioritaire à l'expertise nationale, échanges avec les autres OIV via des cercles fermés (Club des OIV).

Le secteur financier est, depuis le 17 janvier 2025, soumis au cadre DORA uniforme à l'échelle européenne. En France, ~ 2 500 entités sont concernées :

• Banques : ~ 400 établissements de crédit (banques universelles, banques d'investissement, BNP-CA-SG-BPCE-CM, néobanques agréées).
• Compagnies d'assurance : ~ 300 (Allianz France, AXA, CNP, Groupama, MAIF, MMA, etc.).
• Sociétés de gestion d'actifs : ~ 700 (Amundi, BNP Paribas AM, etc.).
• Établissements de paiement et de monnaie électronique : ~ 100 (Lyf Pay, Lemonway, etc.).
• Plateformes de trading et chambres de compensation : ~ 30.
• Prestataires de services en cryptoactifs (PSAN) : ~ 100 enregistrés en France.
• Auditeurs légaux (sociétés d'audit) : indirectement concernés via leurs clients.
• Prestataires TIC critiques : éditeurs bancaires, cloud providers, infogéreurs — listés par l'ACPR.

Particularités DORA pour les financiers :

• Supervision par l'ACPR (Autorité de Contrôle Prudentiel et de Résolution) et l'AMF (Autorité des Marchés Financiers).
• Notification d'incident en 4 heures (la plus stricte des réglementations).
• Tests TLPT (Threat-Led Penetration Testing) tous les 3 ans pour les entités les plus systémiques — équivalent du TIBER-EU.
• Cadre contractuel uniforme avec les prestataires TIC, droits d'audit renforcés.
• Cartographie obligatoire des prestataires et concentrations (« notion de criticité »).

Banque de France et BCE exercent une supervision indirecte via leurs missions prudentielles. L'ACPR publie chaque année des recommandations sur la résilience opérationnelle bancaire.

Le secteur de la santé est l'un des plus exposés aux cyberattaques en France et figure désormais comme entité essentielle (EE) NIS2 pour tous les CHU, CH, ESPIC et structures de santé de plus de 50 salariés.

Quelques chiffres alarmants (rapport CERT-FR Santé 2024) :

• ~ 700 incidents de cybersécurité signalés par les établissements de santé en 2023 (+ 23 % vs 2022).
• ~ 70 attaques par ransomware ayant entraîné une dégradation significative du service.
• 5 hôpitaux ont été contraints d'interrompre leurs services informatiques plus de 15 jours en 2023.
• Coût moyen estimé d'une attaque : 10 à 15 M€ par hôpital touché (perte d'exploitation + reconstruction SI + indemnités).

Affaires marquantes :

• CHU de Rouen, novembre 2019 — ransomware NotPetya-like, retour à l'écrit pendant plusieurs semaines, dossiers patients inaccessibles.
• CH de Dax, février 2021 — ransomware Ryuk, 6 600 postes affectés, retour partiel après 6 semaines.
• CHSF de Corbeil-Essonnes, août 2022 — ransomware LockBit, rançon 10 M$ réclamée (refusée), perturbations sur 4 mois.
• CH de Versailles, décembre 2022 — ransomware, divulgation de données patients sur le dark web.
• Hôpitaux de Brest et de Cherbourg, mars 2023 — ransomware similaire.

Programme France 2030 Cybersécurité Santé : 350 M€ engagés en 2022 pour renforcer la résilience cyber des hôpitaux français (audits, formation, équipements de sécurité). L'ANS (Agence du Numérique en Santé) pilote ce dispositif aux côtés de l'ANSSI.

L'industrie française découvre brutalement les obligations PCA avec NIS2. Les secteurs concernés au-delà du seuil de 50 salariés :

• Énergie : électricité, gaz, pétrole, chaleur — déjà très régulés (LPM).
• Eau potable et eau usée : exploitants, syndicats, régies.
• Gestion des déchets : collecte, traitement, valorisation.
• Fabrication et distribution de produits chimiques.
• Industrie alimentaire.
• Industrie manufacturière critique : équipement médical, automobile, ferroviaire, aéronautique, espace.
• Services postaux et de courrier.
• Fournisseurs numériques : cloud, datacenters, marketplaces, moteurs de recherche, réseaux sociaux.

Beaucoup d'ETI françaises découvrent leur statut sans préparation :

• Un fabricant alimentaire de 200 salariés à Mayenne devient EI NIS2.
• Un opérateur de réseau d'eau d'agglomération de 80 salariés en Bretagne devient EE NIS2.
• Un éditeur de logiciel SaaS avec 60 salariés à Lyon devient EI NIS2 (fournisseur numérique).
• Un gestionnaire de centre de recyclage régional devient EI NIS2.

Pour ces entités, la mise en conformité NIS2 implique :

• Diagnostic initial de maturité cyber et continuité (typiquement 4-8 semaines avec un cabinet).
• Plan de mise en conformité sur 18-24 mois.
• Budget : 200 k€ à 2 M€ selon la taille et la maturité initiale.
• Recrutement d'un RSSI ou délégation à un MSSP (Managed Security Service Provider).
• Mise en place d'un PCA documenté et testé.

« La grande nouveauté NIS2 est l'effet domino dans la chaîne d'approvisionnement. Les grandes entreprises NIS2 exigent désormais de leurs fournisseurs des engagements PCA contractuels — la mise en conformité descend jusqu'à 10 salariés. »

— Étude Wavestone 2024 sur la mise en œuvre NIS2

NIS2 inclut explicitement les administrations publiques de grande taille : ministères, agences nationales, grandes collectivités territoriales (régions, départements, métropoles de plus de 50 salariés).

Quelques chiffres sur la maturité réelle :

• Étude AMF (Association des Maires de France) 2023 : 71 % des communes > 10 000 hab. n'ont pas de PCA documenté.
• Étude CSF (Comité Stratégique de Filière) 2024 : ~ 40 % des collectivités territoriales ont subi au moins une cyberattaque significative en 5 ans.
• ~ 150 collectivités ont été frappées par un ransomware entre 2020 et 2024 — exemples médiatisés : Marseille (2020), Sartrouville (2021), Saint-Cloud (2022), Issoire (2023).
• Coût moyen estimé : 500 k€ à 5 M€ par incident (services dégradés, indemnités, reconstruction SI).

Programme France Relance Cybersécurité Collectivités (2021-2025) : 60 M€ engagés pour le diagnostic et l'accompagnement des collectivités territoriales. Géré par l'ANSSI avec le soutien des préfectures.

Pour les ministères, le décret n° 2023-1117 du 30 novembre 2023 impose la nomination d'un responsable de la continuité ministérielle dans chaque administration centrale. La Direction Interministérielle du Numérique (DINUM) coordonne le déploiement.

Pour savoir rapidement si vous êtes concerné par une obligation formelle de PCA, posez-vous ces 5 questions :

1. Votre entité a-t-elle été identifiée OIV par décret pris en application de la LPM ? (Si oui, vous le savez — le statut est communiqué directement par le SGDSN à votre direction générale.)
2. Êtes-vous un acteur du secteur financier au sens du règlement DORA (banque, assurance, gestion d'actifs, paiements, cryptoactifs, plateforme de marché) ? Si oui, vous êtes obligé DORA depuis le 17/01/2025.
3. Votre entité a-t-elle plus de 50 salariés ET 10 M€ de CA dans l'un des 18 secteurs NIS2 (énergie, transport, santé, eau, déchets, alimentation, manufacturier critique, infrastructure numérique, administration publique, espace, postal, chimie, recherche, fournisseur numérique) ? Si oui, vous êtes EE ou EI NIS2.
4. Êtes-vous prestataire critique d'un OIV, d'une banque, d'un hôpital ou d'un grand groupe ? Si oui, vous serez tenu contractuellement à des engagements de continuité, même si vous n'êtes pas directement régulé.
5. Traitez-vous des données personnelles sensibles à grande échelle (santé, financier, biométrique) ? Si oui, le RGPD article 32 exige des mesures de disponibilité — un PCA documenté est la meilleure défense.

Si la réponse est « oui » à au moins une question, la mise en place d'un PCA n'est plus optionnelle. Au-delà du formalisme juridique, c'est aussi une question de survie économique : 60 % des PME victimes d'un sinistre majeur ne se relèvent pas (Gartner 2023).

Pour les entités non obligées, le PCA reste fortement recommandé dès 250 salariés. La BPI France propose des accompagnements financiers via le dispositif « Diag Continuité » (50 % du coût de l'accompagnement, jusqu'à 30 k€).