P.I.L.O.T.E

6 min de lecture

01_Introduction

La Loi de Programmation Militaire (LPM) 2024–2030 marque une inflexion nette par rapport à la précédente (2019–2025). Là où l’édition 2019–2025 a d’abord permis la remontée en puissance générale des armées après une décennie de restriction, la version 2024–2030 assume le cyber comme un domaine opérationnel à part entière et un axe de souveraineté. L’effort financier passe d’environ 294 Md€ à 413 Md€, avec une enveloppe dédiée d’ampleur inédite pour la cyberdéfense, traduisant le constat que les opérations numériques – qu’elles soient de renseignement, de neutralisation ou de résilience – ne sont plus périphériques mais centrales dans la conduite des opérations et la protection du territoire, des citoyens et des intérêts économiques.

Tip

La LPM 2024–2030 place la résilience des infrastructures critiques et la coopération ANSSI–COMCYBER au cœur de la stratégie. Les OIV et OSE sont indirectement concernés par des obligations et des contrôles renforcés, même si la LPM est d’abord une loi militaire.

Différences clés avec la LPM 2019–2025

La LPM 2019–2025 a priorisé la reconstitution capacitaire et la modernisation des grands équipements, tout en amorçant la structuration du Commandement de la cyberdéfense (COMCYBER – French Cyber Defense Command). La LPM 2024–2030 franchit un cap en considérant le cyber comme un milieu de confrontation à part entière et en consolidant les moyens humains, techniques et industriels dédiés. Concrètement, cela se traduit par une montée des effectifs cyber, par l’industrialisation de capacités défensives et offensives assumées dans un cadre légal français, et par un recentrage des investissements sur la souveraineté numérique (cryptographie, composants de confiance, Cloud de Confiance (SecNumCloud – Trusted Cloud), intelligence artificielle appliquée à la défense). Cette bascule a des répercussions directes sur la manière dont l’État attend des acteurs publics et privés qu’ils organisent leur sécurité opérationnelle, leur détection d’incidents et leur continuité d’activité.

La résilience devient un fil conducteur au-delà du seul périmètre militaire. Les dispositifs de surveillance, d’alerte et de réponse doivent couvrir les interconnexions entre systèmes d’armes, réseaux ministériels et écosystèmes critiques civils. Cette continuité opérationnelle inclut la capacité des opérateurs civils à fonctionner en mode dégradé, à prioriser les services essentiels et à s’insérer dans des cellules de crise interministérielles lorsque la situation l’exige.

Impacts transverses pour le secteur civil (OIV/OSE et sous-traitants)

Même si la LPM n’impose pas directement des articles au secteur privé, ses orientations se traduisent par des exigences rehaussées pour les Opérateur d’importance vitale (OIV – Operator of Vital Importance) et les Opérateur de services essentiels (OSE – Operator of Essential Services), ainsi que pour les chaînes de sous-traitance associées. Les RSSI doivent anticiper des audits plus serrés, une attente de maturité accrue dans les dispositifs de détection et de réponse (SOC/Centre opérationnel de sécurité (SOC – Security Operations Center), Équipe de réponse aux incidents (CSIRT – Computer Security Incident Response Team)) et une plus grande intégration avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI – National Cybersecurity Agency of France). Pour accéder à des projets sensibles, la conformité à des référentiels de confiance comme Cloud de Confiance (SecNumCloud – Trusted Cloud) et la démonstration de capacités de résilience (tests réguliers, PCA/PRA, gestion de crise) deviennent des prérequis opérationnels.

Cette dynamique touche également les PME/ETI intégrées à la supply chain de la défense : les exigences documentaires et techniques augmentent (gouvernance de la sécurité, gestion des vulnérabilités, durcissement des environnements de développement, protection des informations classifiées ou sensibles, maîtrise des dépendances Cloud). La capacité à produire des preuves – registres, journaux, comptes rendus d’exercices, rapports d’audit – conditionne l’accès aux marchés critiques et la confiance des donneurs d’ordre publics.

Cas pratiques & retours d’expérience

Les dernières années illustrent la centralité de la menace numérique pour la continuité des activités souveraines. L’épisode NotPetya (2017) a démontré qu’une opération d’ampleur quasi-étatique pouvait provoquer des dommages collatéraux massifs sur des industriels français, avec des semaines d’arrêt de production et des impacts financiers majeurs. De même, les attaques par rançongiciel contre des hôpitaux français (2020–2022) ont mis en lumière la dépendance de la santé publique à des systèmes d’information résilients, l’obligation de bascules papier, et les tensions sur la coordination avec les autorités. Dans les deux cas, on observe que les interconnexions entre secteurs civils et besoins régaliens imposent une coordination structurée : circuits d’alerte vers l’ANSSI, appui du COMCYBER lorsqu’un intérêt vital est en jeu, articulation avec les préfets et les ministères concernés pour prioriser les services essentiels et décider des mesures d’exception.

Ces cas montrent pourquoi la LPM 2024–2030 durcit les attentes de résilience : inventaires d’actifs réellement maîtrisés, segmentation des environnements critiques, journaux de sécurité exploitables et horodatés, exercices de crise multi-acteurs, et processus de reprise testés sur des scénarios réalistes. La performance ne se mesure pas seulement à la prévention, mais à la capacité prouvée à opérer en mode dégradé et à rétablir des services vitaux dans des délais compatibles avec les objectifs stratégiques de l’État.

Conseils opérationnels pour RSSI

La première recommandation consiste à positionner son organisation dans la cartographie nationale : statut OIV/OSE, rôle de sous-traitant défense, exposition aux données et systèmes stratégiques, dépendances au Cloud et aux prestataires d’infogérance. À partir de ce diagnostic, il convient de formaliser une trajectoire de conformité et de résilience qui parle aussi bien aux autorités (ANSSI, autorités sectorielles) qu’aux donneurs d’ordre : politique de sécurité actualisée et diffusée, procédures de gestion de crise révisées, mécanismes de détection et d’alerte raccordés à des centres de services capables d’échanges sécurisés, preuves d’audit prêtes à l’emploi. Le RSSI doit également planifier des exercices réguliers avec les parties prenantes publiques et privées, intégrer des objectifs de restauration mesurables dans le Plan de continuité d’activité (PCA – Business Continuity Plan) et le Plan de reprise d’activité (PRA – Disaster Recovery Plan), et prévoir des clauses contractuelles spécifiques pour ses prestataires critiques (journaux exportables, obligations d’alerte, tests de reprise).

Objectifs pédagogiques

À l’issue de ce chapitre, le lecteur comprend les différences de positionnement entre les LPM 2019–2025 et 2024–2030, en particulier la centralité du cyber et de la résilience intersectorielle. Il sait expliquer pourquoi les OIV, OSE et sous-traitants sont concernés, même sans texte prescriptif direct, et comment cette évolution se matérialise en attentes de gouvernance, de détection, de réponse et de continuité. Il est en mesure d’identifier les chantiers prioritaires à lancer dans son contexte (gouvernance, SOC/CSIRT, PCA/PRA, maîtrise du Cloud de confiance) et de préparer des preuves vérifiables par les autorités ou les donneurs d’ordre.

Schéma (articulation simplifiée)

                  Gouvernement / Parlement
                             │
                Ministère des Armées (LPM)
                             │
      ┌──────────────────────┴──────────────────────┐
      │                                             │
  COMCYBER (opérations                         ANSSI (protection
  militaires cyber)                            du secteur civil)
      │                                             │
      └─────────── coordination / partage ──────────┘
                             │
                   OIV / OSE / Sous-traitants
        (détection, réponse, continuité, conformité)

Checklist RSSI – Chapitre 01

  • Statut clarifié : mon organisation est-elle OIV, OSE ou sous-traitante critique et avec quels périmètres ?
  • Cartographie faite : dépendances clés (Cloud, infogérance, données sensibles) et points de défaillance.
  • Dispositif SOC/CSIRT raccordé à des canaux d’échange sécurisés avec l’ANSSI et les autorités sectorielles.
  • PCA/PRA alignés sur des objectifs de restauration mesurables et testés sur des scénarios réalistes, avec preuves disponibles.

Vue Graphique