P.I.L.O.T.E

4 min de lecture

00_Accueil_LPM

La Loi de Programmation Militaire (LPM) constitue depuis 1960 l’outil de planification stratégique de la défense française. Révisée tous les 5 à 7 ans, elle fixe les priorités budgétaires, capacitaires et organisationnelles des armées. La version 2024–2030, adoptée en août 2023, est la plus ambitieuse jamais votée : 413 milliards d’euros sont consacrés sur sept ans, dont une part croissante dédiée à la cyberdéfense. Dans un contexte de conflits hybrides (Ukraine, tensions Indo-Pacifique, cyberattaques massives sur les OIV européens), la LPM affirme la cybersécurité comme un axe majeur de souveraineté au même titre que la dissuasion nucléaire ou la projection de puissance.

La nouveauté de cette programmation réside dans l’intégration complète de la dimension cyber au sein des forces armées, mais aussi dans la coopération renforcée avec les acteurs civils stratégiques : OIV (opérateurs d’importance vitale), OSE (opérateurs de services essentiels), industriels de défense, et partenaires européens. La LPM devient donc un cadre hybride, entre défense militaire et sécurité nationale, qui impacte directement les RSSI des secteurs sensibles.

Info

La LPM fixe les moyens militaires & cyber de la France pour 2024–2030.
Pour les RSSI : nouvelles obligations, coopération renforcée avec l’ANSSI et le Commandement de la Cyberdéfense (COMCYBER).

Contexte général

La LPM 2024–2030 a été conçue dans un contexte de menaces accrues :

  • Cyberattaques destructrices contre des infrastructures critiques (ex. hôpitaux français en 2021, attaques NotPetya en 2017 ayant touché Saint-Gobain et Maersk).
  • Espionnage industriel massif visant les secteurs de la défense et de l’aéronautique.
  • Multiplication des campagnes d’influence et de désinformation en ligne.

L’État a identifié que la cybersécurité n’est plus une fonction de soutien, mais une capacité stratégique offensive et défensive. C’est pourquoi près de 4 milliards d’euros sont explicitement fléchés vers la cyberdéfense, soit une augmentation significative par rapport à la LPM précédente (2019–2025).

Place de la cyber dans la LPM 2024–2030

La LPM précise plusieurs axes prioritaires :

  • Renforcement du COMCYBER (Commandement de la cyberdéfense), avec des effectifs portés à plus de 7 000 cyber-combattants d’ici 2030.
  • Soutien aux capacités offensives pour mener des opérations de lutte informatique offensive (LIO) dans le cadre légal français.
  • Modernisation des infrastructures critiques (réseaux militaires, satellites, systèmes d’armes connectés).
  • Partenariats avec l’ANSSI : articulation claire entre la protection du secteur civil stratégique et les missions militaires.
  • Investissements industriels : création de pôles souverains dans la cryptographie, les processeurs sécurisés et la cybersécurité appliquée à l’IA.

Impacts pour les RSSI

La LPM n’est pas uniquement une loi militaire. Elle a des implications directes pour les RSSI des secteurs publics et privés :

  1. OIV/OSE : obligations renforcées en matière de détection, de notification et de résilience. Un RSSI d’hôpital ou d’opérateur d’énergie devra aligner ses dispositifs SOC/CSIRT sur les standards militaires.
  2. PME/ETI sous-traitantes : exigences accrues de conformité et de certification (SecNumCloud, visas de sécurité ANSSI) pour intégrer la supply chain de défense.
  3. Coopération accrue : exercices conjoints armée-civil (ex. DEFNET), partage d’indicateurs de compromission avec l’ANSSI, intégration des RSSI civils dans les plans de continuité nationaux.
  4. Contrôle parlementaire et audits : chaque LPM fait l’objet de rapports de suivi (Cour des Comptes, commissions défense). Les RSSI devront être capables de produire des preuves d’audit de leur conformité aux référentiels ANSSI et aux schémas de résilience nationale.

Objectifs pédagogiques

À l’issue de ce chapitre, le lecteur doit être capable de :

  • Comprendre la portée stratégique de la LPM 2024–2030 et son impact budgétaire.
  • Identifier les axes cyber prioritaires définis par l’État.
  • Situer son rôle de RSSI dans la chaîne de commandement cyber nationale (ANSSI ↔ COMCYBER ↔ secteur privé).
  • Anticiper les implications concrètes pour son organisation (audits, obligations légales, coopération).

Checklist RSSI – Chapitre 00

  • Ai-je identifié si mon organisation est OIV, OSE, sous-traitant défense ou autre acteur stratégique ?
  • Ai-je intégré dans mon plan stratégique les nouveaux objectifs cyber de la LPM 2024–2030 ?
  • Ai-je prévu une coopération active avec l’ANSSI/COMCYBER (exercices DEFNET, partage IOC) ?
  • Ai-je commencé à documenter des preuves de conformité et de résilience exploitables lors d’un audit parlementaire ou ANSSI ?

Vue Graphique