Les pirates ont changé de camp. Ils ne pillent plus les navires, mais les serveurs. Résultat : l’État français a sorti les grands moyens avec la LPM. Et si tu penses que ça ne te concerne pas… détrompe-toi.
⚔️ La LPM, c’est quoi exactement ?
LPM = Loi de Programmation Militaire
C’est une loi quinquennale qui définit les priorités, les moyens et les orientations de la politique de défense nationale.Mais depuis plusieurs années, la LPM ne se contente plus de parler de chars, de missiles et de rafales : la cybersécurité est devenue un pilier stratégique de la défense.
🇫🇷 Version actuelle : LPM 2024-2030, promulguée le 1ᵉʳ août 2023
Elle prévoit 413 milliards d’euros pour la défense, dont une part importante consacrée à la cyberdéfense, à la résilience nationale, et à la sécurisation des infrastructures critiques.
💻 Et la cybersécurité là-dedans ?
La LPM donne à l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) de nouveaux pouvoirs pour renforcer la résilience numérique de l’État… et de certaines entreprises privées.
Elle crée un cadre juridique spécifique pour les « opérateurs d’importance vitale » (OIV) et les « opérateurs de services essentiels » (OSE) déjà connus via la directive NIS/NIS2, mais va encore plus loin.
🏭 Qui est concerné par la LPM version cyber ?
Les gagnants sont :
- Les ministères, collectivités stratégiques, établissements publics sensibles
- Les OIV (énergie, transport, eau, finance, santé, etc.)
- Les entreprises sous-traitantes de ces entités, si elles participent à un système d’information critique
- De nouvelles structures désignées comme « entités d’importance vitale » (EIV)
⚠️ Et non, ce n’est pas réservé aux entreprises qui vendent des satellites ou des armes. Un hébergeur, une société d’assainissement ou un éditeur SaaS dans la santé peuvent être concernés.
📋 Ce que dit la LPM 2024-2030 côté cybersécurité
| Domaine | Contenu |
|---|---|
| Cybersécurité nationale | Renforcement des capacités de cyberdéfense de l’État |
| Protection des SI sensibles | Nouvelles exigences pour les SI classés « d’importance vitale » |
| Intervention de l’ANSSI | Pouvoirs étendus : audits obligatoires, sanctions administratives |
| Régime d’homologation | Homologation renforcée pour les prestataires de services critiques |
| Soutien à l’écosystème | Appui aux startups et acteurs français du secteur cyber |
| Investissements | Déploiement d’une force de réaction cyber, recrutement de cyber-opérateurs, financement de R&D |
⚙️ Mise en œuvre concrète
La LPM impose :
- Une cartographie précise des SI critiques de l’entité (privée ou publique)
- La mise en œuvre de mesures techniques renforcées :
- Cloisonnement,
- MFA obligatoire,
- Journalisation,
- Supervision (SIEM, SOC),
- Mise à jour rigoureuse.
- La désignation d’un responsable sécurité LPM en interne
- Une collaboration étroite avec l’ANSSI
- Une capacité de réponse aux incidents à formaliser (PRA, playbooks, outils d’analyse)
🛠️ En bref, si vous êtes visé, il faut passer à une cybersécurité de niveau militaire. Et non, un antivirus gratuit ne suffira pas.
🧠 Exemple d’impact : Cas fictif
Entreprise : HydroNormand, société de traitement de l’eau potable
- Fournit des services à plusieurs villes moyennes.
- Gère des SCADA (automates industriels).
- Est classée OIV dans le secteur Eau.
Conséquences :
- Obligation d’homologuer ses systèmes critiques avec l’ANSSI
- Audit régulier
- Architecture réseau repensée : VLANs, bastions, VPN durcis
- Sensibilisation obligatoire de tous les opérateurs industriels
- Obligation de remonter tout incident cyber grave
🧨 Et en cas de non-conformité ? L’État peut imposer des sanctions, voire suspendre certains systèmes critiques.
🧯 Sanctions prévues ?
Ce n’est pas la CNIL ici… c’est l’État qui pilote. Et les sanctions ne sont pas qu’administratives :
- Mises en demeure,
- Obligation de se conformer sous délai,
- Possibilité d’interventions directes (retrait de système, coupure, etc.),
- Dans certains cas extrêmes : responsabilité pénale si des manquements mettent en péril la sécurité nationale.
📅 Calendrier
| Date | Événement |
|---|---|
| 1ᵉʳ août 2023 | LPM 2024-2030 promulguée |
| Fin 2023 – 2025 | Désignations des nouvelles entités concernées |
| 2024–2026 | Déploiement des dispositifs de sécurité obligatoires |
| 2026–2030 | Renforcement des contrôles et montée en puissance du dispositif ANSSI |
📌 En résumé : LPM = RGPD + NIS2, mais version commando
- Pour qui ? : toutes les structures qui ont un rôle stratégique pour la nation
- Pourquoi ? : parce que la prochaine guerre ne se fera peut-être pas à coup de missiles, mais de malwares
- Comment ? : en transformant la SSI en véritable enjeu de gouvernance
🎯 Et si vous n’êtes pas encore concerné, préparez-vous. Car dans l’ombre de la LPM se dessine une vision plus large : un écosystème souverain, résilient et cyber-prêt.
