LPM : Loi de Programmation Militaire

La Loi de Programmation Militaire (LPM) est un cadre législatif français qui fixe tous les cinq ans les orientations de la politique de défense et le budget associé. Depuis la LPM 2013-2019, promulguée le 18 décembre 2013, elle impose des obligations de cybersécurité aux Opérateurs d'Importance Vitale (OIV), marquant un tournant décisif dans la protection des infrastructures critiques françaises face à la cybermenace.

Origine et périmètre d'application

L'article 22 de la LPM constitue le volet cybersécurité applicable aux OIV, visant la protection des Systèmes d'Information d'Importance Vitale (SIIV). Environ 250 à 300 opérateurs répartis dans 12 secteurs d'activité vitale (énergie, santé, transports, finance, télécommunications, eau, alimentation, etc.) sont qualifiés OIV. Leur liste demeure confidentielle défense.

L'article 22 impose aux OIV le renforcement de la sécurité des SIIV qu'ils exploitent, en complément du dispositif de Sécurité des Activités d'Importance Vitale (SAIV) déjà existant. L'ANSSI définit 20 règles techniques et organisationnelles couvrant la gouvernance, la protection des SI, la gestion des incidents et la continuité d'activité.

Le manquement aux obligations expose les dirigeants à une amende pouvant atteindre 150 000 € ou les personnes morales à 750 000 €. L'ANSSI peut déclencher des contrôles via un PASSI-LPM.

Lien avec NIS2

La LPM 2013 constitue une transposition anticipée de la logique de la directive européenne NIS. Les deux cadres partagent l'objectif de sécuriser les infrastructures critiques, mais se distinguent par leur périmètre et leur niveau d'exigence. Contrairement à la LPM, NIS2 ne repose pas sur un mécanisme de certification, ce qui permet techniquement à une activité d'être opérationnelle sans conformité.

NIS2 étend le périmètre à plusieurs milliers d'entités (entités essentielles et importantes), là où la LPM cible les OIV uniquement. Les entités soumises à la LPM devront également se préparer à NIS2, dont la transposition française est pilotée par l'ANSSI.

Pour approfondir votre mise en conformité LPM, consultez les mesures techniques de l'Article 22 LPM et la liste des prestataires qualifiés PASSI-LPM.

Pour aller plus loin

• Dispositif SAIV et cybersécurité des OIV (ANSSI)
• LOI n° 2013-1168 du 18 décembre 2013 (Légifrance)