Statut français
SIIV : Système d'Information d'Importance Vitale
Un Système d'Information d'Importance Vitale (SIIV) désigne un système d'information dont une attaque avérée aurait des conséquences graves pour la nation. Les Opérateurs d'Importance Vitale (OIV) déterminent si un système d'information est un SIIV en menant une analyse des impacts sur leurs activités vitales pouvant résulter d'une atteinte à la sécurité ou au fonctionnement du système. Un SIIV constitue le cœur numérique d'une activité stratégique : il ne couvre pas l'ensemble du parc informatique de l'OIV, mais uniquement les systèmes critiques directement liés aux missions d'importance vitale.
Origine et cadre réglementaire
La notion de SIIV a été introduite fin 2013 par l'article 22 de la Loi de Programmation Militaire (LPM), imposant aux OIV le renforcement de la sécurité de leurs systèmes d'information critiques. Ce cadre, codifié dans le Code de la Défense (articles R.1332-41-1 et suivants), relève du dispositif national SAIV (Sécurité des Activités d'Importance Vitale).
Les OIV doivent déclarer leurs SIIV à l'ANSSI selon les délais précisés dans les arrêtés sectoriels. Cette déclaration est classifiée au niveau « Confidentiel défense ». L'ANSSI définit 20 règles techniques et organisationnelles de sécurité que l'opérateur doit appliquer à ses SIIV, couvrant la gouvernance, la protection des systèmes et la gestion de crise. Chaque SIIV fait l'objet d'une homologation de sécurité formelle.
Lien avec NIS2
Le dispositif SIIV-LPM et la directive NIS2 poursuivent des objectifs convergents mais dans des cadres juridiques distincts. Les SIIV relèvent d'un régime national de protection de la sécurité nationale, tandis que NIS2 instaure un cadre européen de résilience pour les entités essentielles et importantes.
Les 20 règles LPM applicables aux SIIV couvrent des mesures similaires à celles de l'article 21 §2 de la directive NIS2 : gestion des risques, sécurisation des réseaux, continuité d'activité, détection d'incidents, réponse à incident. Les OIV français peuvent être simultanément désignés entités essentielles sous NIS2, auquel cas ils demeurent soumis au régime LPM pour leurs SIIV et au régime NIS2 pour le reste de leur périmètre. La supervision relève dans les deux cas de l'ANSSI.
Pour la mise en conformité NIS2, les entités régulées peuvent s'inspirer des bonnes pratiques LPM-SIIV sur les sujets d'homologation, de cartographie (voir /mesures/cartographie), de journalisation ou de détection via prestataires qualifiés (PDIS, PRIS).