Dernière modification le
Protection des infrastructures critiques et la résilience des entités critiques
1. Introduction
Au coeur de la protection nationale se trouve la sauvegarde des intérêts vitaux et des besoins essentiels du pays et de la population, assurée par le maintien des fonctions sociétales vitales.
Les services essentiels nécessaires à ces fonctions reposent sur des infrastructures critiques, exploitées par des entités critiques. Leur indisponibilité est de nature à entraîner des perturbations graves, voire une crise, affectant la société, l'économie ou la sécurité du pays.
Ces infrastructures, interconnectées et interdépendantes, sont exposées à des risques multiples – naturels, technologiques, humains ou cyber – susceptibles d'affecter leur fonctionnement ou leur continuité.
Dans ce contexte, la résilience des entités critiques repose sur une approche globale visant à prévenir les perturbations, en limiter les effets et garantir la continuité des services essentiels, y compris en situation de crise.
Elle constitue ainsi un pilier central de la protection nationale, contribuant directement au maintien des fonctions sociétales vitales et à la sauvegarde des intérêts vitaux et des besoins essentiels du pays et de la population.
2. Contexte de reférence
2.1. Contexte national
Au niveau national, la résilience des entités critiques s'inscrit dans le Concept de protection nationale. Le Haut‑Commissariat à la protection nationale assure un rôle central de coordination dans une approche pangouvernementale associant autorités compétentes, sectorielles, fonctionnelles et entités critiques concernées.
2.2. Contexte européen
Au niveau de l'Union européenne, la directive relative à la résilience des entités critiques établit un cadre commun tous risques, complété par les exigences en matière de cybersécurité. Elle vise à garantir la continuité des services essentiels au coeur du marché intérieur.
2.3. Contexte OTAN
Dans le cadre de l'OTAN, la résilience des infrastructures critiques soutient la préparation du secteur civil – entendue comme la capacité d'assurer la continuité des pouvoirs publics, la fourniture de services essentiels à la population ainsi que le soutien civil aux opérations militaires – et contribue ainsi à la résilience nationale et collective.
3. Gouvernance et stratégie
La gouvernance de la résilience des entités critiques repose sur un cadre structuré, issu de la directive CER, transposée en droit national par la loi du 5 mai 2026 sur la résilience des entités critiques, et décliné par la Stratégie nationale de résilience et la Stratégie pour renforcer la résilience des entités critiques. Ce cadre s'inscrit dans un cycle stratégique pluriannuel intégrant l'évaluation des risques, le recensement des entités critiques, la mise en oeuvre des mesures de résilience, le soutien et la supervision.
La Stratégie pour renforcer la résilience des entités critiques constitue le cadre national de mise en oeuvre de la directive CER. Elle définit les objectifs stratégiques, les priorités, le cadre de gouvernance, les processus d'évaluation des risques, le recensement des entités critiques ainsi que les modalités de soutien, de supervision et de coordination avec les autres cadres pertinents, notamment en matière de cybersécurité.
Une page dédiée présente cette stratégie de manière détaillée.
4. Évaluation des risques et recensement
L'évaluation des risques identifie les menaces, les vulnérabilités, les dépendances et les interdépendances susceptibles d'affecter la fourniture des services essentiels. Elle couvre les risques d'origine naturelle, technologique, humaine ou antagoniste et s'appuie notamment sur les évaluations de risque sectorielles et l'analyse des incidents notifiés.
Le recensement vise à identifier les entités dont le dysfonctionnement de l'infrastructure est susceptible d'entraîner une crise au sens du Concept de la protection nationale. Il repose sur une analyse des effets perturbateurs potentiels, permettant d'en apprécier l'ampleur, la durée et la portée. Les critères de criticité traduisent ainsi le potentiel de crise associé à ces effets.
5. Mesures de sécurité et de résilience
Les entités critiques mettent en oeuvre des mesures techniques, organisationnelles et de sécurité appropriées et proportionnées afin de garantir leur résilience. Ces mesures couvrent notamment la prévention des incidents, la protection des infrastructures, la sécurité du personnel, la formation et la sensibilisation, la gestion de crise, la continuité des activités, le rétablissement et la cybersécurité.
Dans le cadre de leurs compétences respectives, les autorités compétentes CER et les autorités compétentes NIS2, ainsi que les autorités sectorielles et les autorités fonctionnelles assurent, selon le cas, la mise en oeuvre, la coordination et le soutien des dispositifs nécessaires au maintien de la continuité des services essentiels.
6. Soutien, supervision et coopération
Le soutien aux entités critiques comprend la sensibilisation aux risques, la diffusion de documents d'orientation, l'organisation de formations et d'exercices ainsi que l'animation de réseaux favorisant l'échange de pratiques et le développement d'une culture de résilience.
La supervision repose sur une approche proportionnée et fondée sur la confiance, combinant accompagnement, contrôle et coordination entre les autorités compétentes, y compris dans l'articulation entre les cadres CER et NIS2.
La résilience des infrastructures critiques repose enfin sur une coopération étroite aux niveaux national, européen et international, incluant les cadres régionaux, l'OTAN ainsi que les acteurs de la recherche et de l'innovation.
7. Normalisation et résilience
La normalisation demeure un processus essentiellement conduit par le marché. Les autorités encouragent le recours à des normes européennes et internationales pertinentes afin de soutenir une mise en oeuvre cohérente et structurée des mesures de sécurité et de résilience.
Les normes relatives à la continuité d'activité, à la gestion de crise, à la résilience organisationnelle, au management des risques et à la cybersécurité constituent des cadres de référence reconnus pour renforcer la résilience des entités critiques.