La Loi de Programmation Militaire (ou LPM) est de plus en plus connue dans le monde de la cybersécurité – mais pas que. Cette législation française définit en effet l’ensemble des priorités, objectifs et ressources allouées aux forces armées pour une période donnée. Ces objectifs concernent certes la sécurité des systèmes d’information, mais ils se rapportent aussi à l’équipement, aux efforts de recherche ou encore aux effectifs.
Cependant, c’est bien l’axe « cyber » de cette loi qui nous intéresse ici. Voici donc un bilan sur les exigences de la LPM en matière de sécurité informatique – et les façons de les mettre en œuvre.
La Loi de Programmation Militaire (LPM) : un bref rappel
Promulguée pour la première fois en 2013 pour une période de six ans (2014-2019), la LPM a été renouvelée pour 2019-2025, puis pour 2024-2030.
Avec un accent de plus en plus fort sur la cybersécurité au fur et à mesure des années, la loi inclut des dispositions spécifiques visant à renforcer la sécurité des systèmes d’information critiques pour la défense nationale.
En substance, la LPM établit un cadre réglementaire pour protéger les infrastructures critiques contre les cyberattaques. À cet effet, elle impose des mesures de sécurité obligatoires aux Opérateurs d’Importance Vitale (ou OIV). Ces derniers sont en fait des entités dont le fonctionnement est essentiel à la survie de la nation, touchant des secteurs comme l’énergie, les transports, la santé, et la finance.
La LPM oblige ces opérateurs à adopter des mesures de sécurité renforcées, et à se conformer à des normes strictes pour assurer la résilience de leurs systèmes informatiques.
Une loi destinée à renforcer la cybersécurité nationale
Le principe de la LPM ? Sécuriser les infrastructures critiques pour réduire les risques de cyberattaques qui pourraient avoir des conséquences graves sur la sécurité nationale et l’économie.
Pour atteindre cet objectif, plusieurs axes sont pris en compte.
- La standardisation des mesures de sécurité : en imposant des normes communes, la LPM facilite l’uniformité des pratiques de sécurité parmi les OIV. On améliore ainsi la résilience globale du pays face aux cyber menaces.
- L’amélioration de la réactivité : la loi oblige les OIV à notifier les incidents de sécurité aux autorités compétentes. Cette exigence permet une meilleure coordination et une réponse plus rapide en cas de cyberattaque.
- L’incitation à l’innovation : la nécessité de se conformer aux exigences de la LPM stimule l’innovation dans le domaine de la cybersécurité, poussant les entreprises à développer de nouvelles technologies et solutions de sécurité.
Mais il ne s’agit pas uniquement d’imposer des règles aux organisations ! D’autres mesures sont destinées à soutenir cet effort :
- augmentation des effectifs experts en cybersécurité ;
- protection des systèmes d’armes et des SI dès la phase conception ;
- renforcement des capacités du Centre d’analyse et de lutte informatique défensive (CALID), des SOC des armées…
Dans ce cadre, pas moins de 4 milliards d’euros ont été consacrés à la cybersécurité dans la dernière version de la LPM, publiée le 1er août 2023 pour 2024-2030.
Comment se mettre en conformité avec la LPM ?
Se mettre en conformité avec la Loi de Programmation Militaire du point de vue cyber n’est pas chose aisée. Et pour cause :
- la mise en œuvre des mesures de sécurité imposées peut coûter cher (technologies, formation, ressources humaines…) et nécessite des ajustements opérationnels conséquents ;
- les exigences de la LPM peuvent être difficiles à comprendre, surtout pour les petites entreprises n’ayant pas d’équipe cyber dédiée ;
- les mesures prescrites par la LPM évoluent constamment pour rester efficaces face aux nouvelles menaces.
Bonne nouvelle : voici quelques conseils pour vous aider à vous mettre en conformité avec la LPM.
- Comprenez les exigences : participez à des formations, consultez les documents officiels, lisez des guides pratiques…
- Évaluez les risques : menez une analyse de risques approfondie pour prioriser les mesures à mettre en œuvre.
- Mettez en place une gouvernance de la sécurité : établissez une politique de sécurité claire, définissant les rôles et responsabilités de chacun en matière de cybersécurité. La création d’un comité de sécurité peut également être utile pour superviser la conformité avec la LPM.
- Renforcez vos mesures de protection : chiffrement des données, authentification forte, segmentation des données… Utilisez des outils de détection et de réponse aux incidents pour identifier et réagir rapidement aux menaces.
- Sensibilisez et formez vos collaborateurs : une culture de sécurité solide au sein de l’organisation, c’est un pas de plus vers la conformité LPM !
- Collaborez avec les autorités : maintenez une communication régulière avec les autorités compétentes en matière de cybersécurité comme l’ANSSI.
Conformité LPM : quelques cas pratiques
Le secteur de l’énergie
Imaginons qu’une entreprise du secteur de l’énergie, classée comme OIV, a mis en place un programme de cybersécurité aligné sur les exigences de la LPM.
Ce plan d’action inclura :
- une analyse de risques détaillée (identification des actifs critiques et des vulnérabilités potentielles) ;
- la sécurisation des systèmes de contrôle et d’acquisition de données (pare-feux, systèmes de détection d’intrusion, politiques d’accès strictes, etc.) ;
- la formation continue, via des sessions régulières de formation pour les employés sur les menaces cyber et les bonnes pratiques à mettre en place.
Le secteur des transports
C’est au tour d’une entreprise ferroviaire d’adopter plusieurs mesures pour se conformer à la LPM :
- une segmentation des réseaux pour limiter la propagation des menaces ;
- l’utilisation de solutions de surveillance en temps réel pour détecter et répondre rapidement aux incidents de sécurité ;
- une collaboration intersectorielle (par exemple, le partage d’informations et de bonnes pratiques avec d’autres OIV du secteur des transports).
Vous l’aurez compris : si la Loi de Programmation Militaire ne concerne pas que la cybersécurité, cet axe occupe de plus en plus d’importance. Et cette dynamique risque de se poursuivre dans les années à venir… Alors pour mieux organiser votre veille réglementaire et ne pas manquer les évolutions des réglementations cyber, téléchargez notre fiche pratique dédiée !