Réponse publiée le 26 janvier 2016

Le Livre blanc sur la défense et la sécurité nationale de 2013 a placé les cyberattaques au rang des menaces majeures auxquelles peut être confronté notre pays. Il annonçait une évolution législative destinée à améliorer la protection des systèmes d'information des infrastructures critiques nationales. Les dispositions relatives à la sécurité des systèmes d'information des opérateurs d'importance vitale contenues dans la loi no 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ont permis à l'agence nationale de la sécurité des systèmes d'information (ANSSI), service du Premier ministre rattaché au secrétaire général de la défense et de la sécurité nationale, d'engager la concertation avec les opérateurs concernés, par secteur d'activité d'importance vitale. La loi dispose que ces opérateurs doivent désormais appliquer les règles techniques fixées par le Premier ministre pour la protection de leurs systèmes d'information les plus critiques, notifier à l'ANSSI les incidents informatiques intervenant sur ces systèmes, permettre les contrôles de l'application des règles prescrites et du niveau effectif de sécurité de ces systèmes. Enfin, en cas de crise informatique majeure, ces opérateurs seront tenus de mettre en œuvre les directives données par le Premier ministre en matière de sécurité informatique. Le décret no 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d'information des opérateurs d'importance vitale et pris pour l'application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense fixe le cadre d'application des dispositions concernées. Les premiers arrêtés sectoriels devraient être publiés à la fin de l'année 2015.