OIV cybersécurité : définition, obligations et secteurs d’activités d’importance vitale
Un OIV est une organisation indispensable à la vie de la nation.
- Introduit par la Loi de Programmation Militaire (LPM) 2014-2019.
- Désigné par arrêté ministériel selon le Code de la Défense.
- Exploite au moins 1 500 Points d’Importance Vitale (PIV) recensés.
- Appartient à un secteur parmi 12 SAIV stratégiques.
- Doit appliquer 20 règles de sécurité sur ses SIIV.
Qu’est-ce qu’un OIV en cybersécurité ?
Définition et origine réglementaire
Un Opérateur d’Importance Vitale (OIV) désigne toute organisation dont l’activité est indispensable à la vie de la nation. Cette notion a été introduite en droit français par la Loi de Programmation Militaire (LPM) 2014-2019, qui a établi un socle minimum de sécurité pour ces entités critiques. Concrètement, un OIV peut être :
- Administration, entreprise publique ou privée : toute personne morale exerçant une activité dans un secteur sensible
- Indispensable à la vie de la nation : son dysfonctionnement affecterait la sécurité, l’économie ou la santé publique
- Désigné par arrêté ministériel : la qualification repose sur un acte officiel du ministre de tutelle
- Exploite au moins un PIV : un Point d’Importance Vitale, c’est-à-dire un site ou un système dont l’arrêt porterait atteinte au potentiel de guerre ou à la sécurité du pays
Critères de désignation d’un OIV
La désignation d’un OIV repose sur des critères stricts, définis par le Code de la Défense. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) joue un rôle central dans ce processus. Pour être qualifié d’OIV, une entité doit répondre à deux conditions principales :
- Appartenir à un secteur d’activités d’importance vitale (SAIV) : la France en compte 12 secteurs stratégiques, allant de l’énergie aux transports en passant par la santé et les communications
- Exploiter des Points d’Importance Vitale : environ 1 500 PIV sont ainsi recensés sur l’ensemble du territoire
L’arrêté de désignation signé par le ministre compétent détaille précisément les périmètres concernés. Une fois désigné, l’OIV est tenu d’appliquer les 20 règles de sécurité issues de la LPM sur ses Systèmes d’Information d’Importance Vitale (SIIV). Ces règles couvrent des aspects essentiels comme le chiffrement des données, le cloisonnement des réseaux et l’homologation des systèmes.
Obligations réglementaires des OIV en matière de cybersécurité

Les OIV doivent assumer seuls le coût de la sécurisation de leurs Systèmes d’Information d’Importance Vitale (SIIV). Le cadre légal, fixé par la Loi de Programmation Militaire (LPM), impose un ensemble d’actions concrètes et contrôlables.
- Déclarer les SIIV à l’ANSSI : chaque OIV identifie et notifie ses systèmes critiques auprès de l’agence nationale.
- Notifier incidents de sécurité : tout incident significatif affectant un SIIV doit être signalé rapidement à l’ANSSI.
- Appliquer 20 règles de sécurité LPM : ces règles constituent le socle minimum obligatoire pour protéger les infrastructures sensibles.
- Chiffrement et cloisonnement réseaux : les flux de données doivent être cryptés et les réseaux physiquement ou logiquement segmentés.
- Homologation des systèmes critiques : chaque SIIV doit obtenir une homologation de sécurité, attestant de sa conformité aux exigences réglementaires.
- Audits par ANSSI ou prestataires qualifiés : des contrôles réguliers vérifient l’application effective des mesures de sécurité.
Ces obligations transforment la cybersécurité en une responsabilité juridique et financière pour les entités désignées. Les arrêtés sectoriels rédigés par l’ANSSI précisent les modalités d’application pour chaque domaine d’activité, garantissant une mise en œuvre adaptée aux risques spécifiques de chaque secteur.
Secteurs d’activités d’importance vitale (SAIV) : les 12 domaines concernés
| Secteur d’activité | Exemples d’infrastructures | Nombre estimé de PIV |
|---|---|---|
| Alimentation | Agroalimentaire, réserves stratégiques | PIV variables |
| Activités civiles de l’État | Ministères, préfectures, data centers publics | PIV variables |
| Communications électroniques | Réseaux fixes/mobiles, satellites | PIV variables |
| Économie et finances | Banques, assurances, places de marché | PIV variables |
| Énergie | Électricité, gaz, pétrole, nucléaire | PIV variables |
| Espace et recherche | CNES, laboratoires, stations sol | PIV variables |
| Justice | Palais de justice, prisons, casiers judiciaires | PIV variables |
| Militaire | Bases, armements, systèmes de commandement | PIV variables |
| Santé | Hôpitaux, laboratoires, chaîne du médicament | PIV variables |
| Transports | Aéroports, trains, métros, autoroutes | PIV variables |
| Eau | Barrages, usines de traitement, réseaux | PIV variables |
| Activités judiciaires | Gendarmerie, police, renseignement | PIV variables |
Ces 12 secteurs, définis par l’article R. 1332-2 du code de la Défense, regroupent environ 1 500 Points d’Importance Vitale (PIV). Un PIV correspond à un site, un bâtiment ou un système d’information spécifique dont l’indisponibilité ou la destruction aurait des conséquences graves sur la vie de la nation.
Directive NIS 2 et LPM : quel cadre réglementaire pour les OIV ?
Le cadre réglementaire des OIV repose sur deux piliers complémentaires. La loi de programmation militaire (LPM) 2013 a posé les bases en introduisant la notion d’opérateur d’importance vitale en droit français. Elle impose un socle de sécurité avec 20 règles LPM visant à protéger les systèmes d’information d’importance vitale (SIIV).
La directive NIS 2, mise en place en 2024, vient élargir ce périmètre de façon significative. Le nombre de secteurs concernés passe de 19 à 35, et le nombre d’entités soumises aux obligations de cybersécurité est multiplié par 10. NIS 2 crée deux nouvelles catégories : les entités essentielles et les entités importantes, qui remplacent progressivement les anciennes distinctions.
Ces deux textes imposent aux OIV de déclarer leurs SIIV à l’ANSSI, de notifier les incidents et de se soumettre à des audits réguliers. La conformité exige des mesures techniques comme le chiffrement, le cloisonnement et l’homologation des systèmes critiques. L’objectif est d’assurer une protection continue face aux menaces croissantes.
Différence entre OIV et OSE (Opérateur de Services Essentiels)
| Critère | OIV | OSE |
|---|---|---|
| Objectif principal | Assurer la sécurité nationale | Garantir les services quotidiens des populations |
| Cadre réglementaire | LPM (Loi de Programmation Militaire) | Directive NIS / NIS 2 |
| Périmètre | Infrastructures stratégiques de la nation | Services cruciaux pour la vie économique et sociale |
| Nombre d’entités | Environ 1 500 Points d’Importance Vitale | Périmètre élargi avec NIS 2 (multiplié par 10) |
| Règles applicables | 20 règles de la LPM pour sécuriser les SIIV | Exigences proportionnées au niveau de criticité |
| Contrôle | Audits par ANSSI ou prestataires qualifiés | Supervision nationale avec reporting obligatoire |
Les OIV se concentrent sur les infrastructures dont la défaillance mettrait en péril la sécurité nationale, tandis que les Opérateurs de Services Essentiels (OSE) couvrent des services indispensables au quotidien des citoyens (énergie, transports, santé, banque). Avec la directive NIS 2, le nombre d’entités soumises à des obligations de cybersécurité a été multiplié par 10, et les secteurs concernés passent de 19 à 35. Les OIV restent toutefois soumis au cadre plus strict de la LPM, avec ses 20 règles obligatoires pour sécuriser les systèmes d’information d’importance vitale (SIIV).
Foire aux questions sur les OIV en cybersécurité
Quelle est la définition d’un OIV en cybersécurité ?
Un OIV, ou opérateur d’importance vitale, est une organisation publique ou privée dont les activités sont indispensables à la sécurité et à la souveraineté nationale. Une cyberattaque contre un OIV pourrait gravement entraver le fonctionnement économique ou social du pays.
Quelles entités sont considérées comme des OIV ?
Sont considérées comme des OIV les entreprises ou administrations opérant dans les 12 secteurs d’activités d’importance vitale (SAIV) comme l’énergie, les transports, la santé, l’eau ou les télécommunications. Leur désignation est effectuée par arrêté ministériel via les points de contact SAIV.
Quelles sont les principales obligations des OIV ?
Les OIV doivent mettre en place un système de détection des cyberattaques, réaliser des audits réguliers, élaborer un plan de continuité d’activité, désigner un prestataire de détection qualifié (PDIS) et signaler immédiatement tout incident à l’ANSSI.
Qu’est-ce qui distingue un OIV d’un OSE ?
La distinction repose sur le niveau d’impact. Un OSE est un opérateur de services essentiels au titre de la directive NIS, tandis qu’un OIV est un opérateur d’importance vitale défini par le code de la défense. Les OIV sont soumis à des obligations plus strictes et à un contrôle renforcé de l’ANSSI.
