Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Réglementation nationale En vigueur

LPM Réglementation

Loi de Programmation Militaire française imposant des obligations strictes de cybersécurité aux Opérateurs d'Importance Vitale (OIV), notamment des mesures cryptographiques et de gestion des certificats pour les infrastructures critiques nationales.

En bref

Statut
En vigueur
Type
Réglementation nationale
Portée
Infrastructures critiques nationales (OIV)

Vue d'ensemble

La Loi de Programmation Militaire (LPM) définit le cadre français de défense et de sécurité nationale, et fixe notamment des exigences obligatoires de cybersécurité pour les Opérateurs d'Importance Vitale (OIV). Ces quelque 250 opérateurs couvrent 12 secteurs critiques, dont l'énergie, les transports, les télécommunications, la santé et la finance.

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) fait appliquer les règles techniques qui imposent aux OIV des systèmes de détection qualifiés, la déclaration d'incidents et des mesures cryptographiques incluant l'authentification par PKI et le chiffrement des communications. La loi donne à l'ANSSI le pouvoir d'auditer les systèmes des OIV et de faire respecter la conformité.

Le non-respect des obligations de cybersécurité de la LPM expose à des sanctions sévères. Sa dernière version, la LPM 2024-2030, renforce encore ces exigences et les aligne sur les cadres européens émergents tels que NIS2, confirmant la position de la France comme acteur de référence dans la cybersécurité des infrastructures critiques.

Exigences clés

Obligations de sécurité des OIV (Art. L.1332-6-1)

Les Opérateurs d'Importance Vitale doivent mettre en œuvre les mesures de sécurité définies par le Premier ministre, notamment la segmentation des réseaux, le contrôle des accès et la protection cryptographique des systèmes d'information critiques.

Systèmes de détection d'intrusion qualifiés

Les OIV doivent déployer des sondes de détection d'intrusion qualifiées par l'ANSSI sur leurs systèmes d'information critiques afin de détecter et signaler les cyberattaques en temps réel.

Déclaration d'incidents à l'ANSSI

Les OIV doivent signaler sans délai à l'ANSSI tout incident de sécurité significatif, en fournissant des informations techniques détaillées pour permettre une réponse coordonnée et le partage de renseignements sur les menaces.

Mesures cryptographiques et gestion des clés

Les OIV doivent mettre en œuvre des mécanismes cryptographiques approuvés par l'ANSSI pour la protection des données, incluant l'authentification par certificat et le chiffrement des communications sur les systèmes critiques.

Audits de sécurité par des prestataires qualifiés ANSSI

Les OIV doivent faire l'objet d'audits de sécurité réguliers, réalisés par des prestataires d'audit qualifiés par l'ANSSI (PASSI), afin de vérifier la conformité aux règles techniques et aux normes de sécurité.

Conformité aux règles techniques de l'ANSSI

Les OIV doivent se conformer aux règles techniques sectorielles (arrêtés) émises par l'ANSSI, couvrant l'architecture réseau, le contrôle d'accès, la cryptographie et le durcissement des systèmes.

Grandes étapes

13
2013

Adoption de la LPM 2014-2019

L'article 22 introduit pour la première fois en droit français des obligations de cybersécurité pour les Opérateurs d'Importance Vitale (OIV).

16
2016

Publication des règles techniques de l'ANSSI

L'ANSSI publie des règles techniques sectorielles (arrêtés) détaillant les exigences de sécurité pour chaque secteur d'OIV.

18
2018

La LPM 2019-2025 renforce les obligations

La loi mise à jour renforce les obligations de cybersécurité des OIV et étend les pouvoirs d'audit et de contrôle de l'ANSSI.

23
2023 En vigueur

Adoption de la LPM 2024-2030

Une nouvelle loi de programmation militaire est adoptée, renforçant les capacités de cyberdéfense et alignant les exigences OIV sur l'évolution des menaces.

25
2025 Application

Renforcement des exigences OIV

Les obligations OIV renforcées entrent en application, en alignement avec la transposition de NIS2 et la mise à jour des cadres techniques de l'ANSSI.

Impact sur la PKI et les certificats

Les exigences de cybersécurité de la LPM ont des implications significatives pour l'infrastructure PKI et la gestion des certificats au sein des systèmes critiques OIV. Voici les domaines clés :
1

Authentification par certificat

L'authentification par certificat est obligatoire pour les systèmes critiques OIV, garantissant une vérification d'identité forte pour les administrateurs et les processus automatisés accédant aux infrastructures sensibles.

2

Cryptographie approuvée par l'ANSSI

Les communications chiffrées doivent utiliser des algorithmes et protocoles cryptographiques approuvés par l'ANSSI, exigeant des certificats émis par une infrastructure PKI conforme.

3

Authentification des systèmes de détection

Une infrastructure PKI est nécessaire pour authentifier les sondes de détection d'intrusion qualifiées et garantir l'intégrité des données d'événements de sécurité transmises à l'ANSSI.

4

Gestion des clés pour les informations sensibles

Les obligations de gestion des clés s'appliquent aux informations classifiées et sensibles, exigeant des processus rigoureux de cycle de vie des certificats et l'intégration de modules matériels de sécurité.

Comment nous aidons

Evertrust & LPM

PKI certifiée ANSSI avec StreamStream fournit une infrastructure PKI souveraine certifiée ANSSI, offrant un niveau de sécurité conforme aux exigences OIV pour l'autorité de certification, l'autorité d'enregistrement et l'horodatage.

Hygiène des certificats avec HorizonHorizon assure une visibilité complète et l'hygiène des certificats sur l'ensemble des systèmes critiques OIV grâce à la découverte, l'inventaire et l'application des politiques.

Gestion automatisée du cycle de vieL'émission, le renouvellement et la révocation automatisés des certificats répondent aux délais imposés par l'ANSSI, en éliminant les processus manuels et en réduisant les fenêtres d'exposition.

Traces d'audit prêtes pour la conformitéPistes d'audit complètes et rapports de conformité prêts pour les inspections de l'ANSSI, démontrant le respect des règles techniques et des normes de sécurité de la LPM.

Parler à un expert Découvrir Stream
Retour au centre de conformité Bénéficiez de conseils d’experts