Publiée en mars 2013, la note d'analyse n° 234 du centre d'analyse stratégique (CAS) proposait de renforcer, sous le contrôle de l'agence nationale de la sécurité des systèmes d'information (ANSSI), les exigences de sécurité portant sur les systèmes d'information des opérateurs d'importance vitale. Cette possibilité a parallèlement été évoquée au cours des travaux de la commission du Livre blanc sur la défense et de la sécurité nationale. Le Livre blanc précise : « S'agissant des activités d'importance vitale pour le fonctionnement normal de la Nation, l'État fixera, par un dispositif législatif et réglementaire approprié, les standards de sécurité à respecter à l'égard de la menace informatique et veillera à ce que les opérateurs prennent les mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes sensibles. Ce dispositif précisera les droits et les devoirs des acteurs publics et privés, notamment en matière d'audits, de cartographie de leurs systèmes d'information, de notification des incidents et de capacité pour l'agence nationale de la sécurité des systèmes d'information (ANSSI) et, le cas échéant, d'autres services de l'État, d'intervenir en cas de crise grave. » Dans le droit fil des conclusions du Livre blanc, le Gouvernement a décidé d'intégrer dans le projet de loi relatif à la programmation militaire pour les années 2014 à 2019 des dispositions permettant au Premier ministre de fixer les règles de sécurité nécessaires à la protection des systèmes d'information critiques des opérateurs d'importance vitale. Si ces dispositions sont adoptées, les opérateurs devront informer l'ANSSI des incidents affectant la sécurité ou le fonctionnement de ces systèmes d'information (la confidentialité des informations transmises par l'opérateur sera préservée). L'agence pourra également imposer aux opérateurs d'importance vitale des audits de sécurité informatique. Par ailleurs, et en cas de crise majeure, le Premier ministre pourra décider de mesures qu'ils devront mettre en oeuvre. Ces dispositions sont globalement conformes à certaines des propositions du CAS : obligation de s'équiper de systèmes de détection d'attaques labellisés, obligation de déclarer des attaques, pouvoir de contrôle donné à l'ANSSI par délégation du Premier ministre. Elles rejoignent également les recommandations de plusieurs rapports parlementaires. La cohérence de la réflexion et de l'action gouvernementale sur les moyens de protéger et de défendre nos systèmes d'information les plus critiques mérite d'être soulignée.