LPM — Loi de Programmation Militaire

Vue d'ensemble

La Loi de Programmation Militaire (LPM) établit le cadre de défense et de sécurité nationale de la France, incluant des exigences obligatoires en cybersécurité pour les Opérateurs d'Importance Vitale (OIV). Ces environ 250 opérateurs couvrent 12 secteurs critiques, dont l'énergie, les transports, les télécommunications, la santé et la finance.

ANSSI (Agence nationale de la sécurité des systèmes d'information) impose des règles techniques obligeant les OIV à mettre en place des systèmes de détection qualifiés, la déclaration d’incidents et des contrôles cryptographiques incluant l’authentification basée sur PKI et les communications chiffrées. La loi confère à l’ANSSI le pouvoir d’auditer les systèmes des OIV et d’assurer le respect.

Non-conformité aux obligations de cybersécurité du LPM peut entraîner des sanctions sévères. La dernière itération, LPM 2024-2030, renforce davantage ces exigences et les aligne sur les cadres européens émergents tels que NIS2, renforçant la position de la France en tant que leader de la cybersécurité des infrastructures critiques.

Clé Exigences

Obligations de sécurité des OIV (Art. L.1332-6-1)

Les opérateurs d'importance vitale doivent mettre en œuvre les mesures de sécurité définies par le Premier ministre, y compris la segmentation du réseau, les contrôles d'accès et les protections cryptographiques pour les systèmes d'information critiques.

Systèmes de détection d'intrusion qualifiés

Les OIV doivent déployer des sondes de détection d’intrusion qualifiées par l’ANSSI sur leurs systèmes d’information critiques afin de détecter et signaler les cyberattaques en temps réel.

Déclaration d’incident à l’ANSSI

Les OIV doivent signaler sans délai les incidents de sécurité importants à l’ANSSI, en fournissant des informations techniques détaillées afin de permettre une réponse coordonnée et le partage du renseignement sur les menaces.

Contrôles cryptographiques & Gestion des clés

Les OIV doivent mettre en œuvre des mécanismes cryptographiques approuvés par l’ANSSI pour la protection des données, incluant l’authentification basée sur les certificats et les communications chiffrées sur les systèmes critiques.

Audits de sécurité par des prestataires qualifiés par l’ANSSI

Les OIV doivent subir des audits de sécurité réguliers réalisés par des prestataires de services d’audit qualifiés ANSSI (PASSI) afin de vérifier la conformité aux règles techniques et aux normes de sécurité.

Conformité aux règles techniques de l’ANSSI

Les OIV doivent se conformer aux règles techniques sectorielles (arrêtés) émises par l’ANSSI, couvrant l’architecture réseau, le contrôle d’accès, la cryptographie et les exigences de renforcement du système.

Clé Jalons

2013

Adoption de la LPM 2014-2019

L’article 22 introduit pour la première fois dans le droit français des obligations obligatoires en cybersécurité pour les Opérateurs d’Importance Vitale (OIV).

2016

Règles techniques de l’ANSSI publiées

L'ANSSI publie des règles techniques sectorielles (arrêtés) détaillant les exigences de sécurité pour chaque secteur OIV.

2018

LPM 2019-2025 renforce les obligations

La loi mise à jour renforce les obligations de cybersécurité des OIV et élargit les pouvoirs d'audit et d'application de l'ANSSI.

2023

LPM 2024-2030 adopté

Nouvelle loi de programmation militaire adoptée, renforçant les capacités de défense cybernétique et alignant les exigences des OIV avec les menaces évolutives.

2025 Actuel

Exigences OIV renforcées

Les obligations OIV renforcées entrent en vigueur avec l'alignement à la transposition de NIS2 et aux cadres techniques mis à jour de l'ANSSI.

Impact sur PKI & Certificates

Les exigences en cybersécurité du LPM' ont des implications importantes pour l’infrastructure PKI et la gestion des certificats au sein des systèmes critiques OIV. Voici les domaines critiques :

Authentification basée sur les certificats

L’authentification basée sur les certificats est obligatoire pour les systèmes critiques OIV, garantissant une vérification d’identité forte pour les administrateurs et les processus automatisés accédant à l’infrastructure sensible.

Cryptographie approuvée par l’ANSSI

Les communications chiffrées doivent utiliser des algorithmes et protocoles cryptographiques approuvés par l’ANSSI, nécessitant des certificats émis par une infrastructure PKI conforme.

Authentification du système de détection

Une infrastructure PKI est requise pour authentifier les sondes de détection d'intrusion qualifiées et garantir l'intégrité des données d'événements de sécurité transmises à l'ANSSI.

Gestion des clés pour les informations sensibles

Les obligations de gestion des clés s'appliquent aux informations classifiées et sensibles, nécessitant des processus rigoureux du cycle de vie des certificats et l'intégration de modules de sécurité matérielle.

Evertrust & LPM

PKI certifiée ANSSI avec Stream — Stream fournit une infrastructure PKI souveraine, certifiée ANSSI, offrant une sécurité de niveau OIV pour l'autorité de certification, l'autorité d'enregistrement et les opérations d'horodatage.

Hygiène des certificats avec Horizon — Horizon garantit une visibilité complète des certificats et une hygiène sur l’ensemble des systèmes critiques OIV grâce à la découverte, à l’inventaire et à l’application de politiques.

Gestion automatisée du cycle de vie — L’émission, le renouvellement et la révocation automatisés des certificats répondent aux exigences de délai de réponse de l’ANSSI, éliminant les processus manuels et réduisant les fenêtres d’exposition.

Traçabilité de conformité prête pour l’audit — Des traçabilités d’audit complètes et des rapports de conformité prêts pour les inspections de l’ANSSI, démontrant le respect des règles techniques de la LPM et des normes de sécurité.

PKI

CLM

Cas d’utilisation

Secteurs

Conformité

Apprendre

Outils & analyses

Événements & Communauté

Loi de Programmation Militaire

Faits rapides