Environ 300 organisations françaises portent un statut particulier : celui d'Opérateur d'Importance Vitale (OIV). Désignés confidentiellement par le Premier ministre, ils opèrent dans 12 secteurs stratégiques — énergie, transport, eau, défense, santé, finance — et ont une responsabilité que la loi traduit en obligations concrètes.
Depuis 2013, la Loi de Programmation Militaire (renouvelée pour 2024-2030) impose aux OIV de sécuriser leurs Systèmes d'Information d'Importance Vitale (SIIV) selon un référentiel de 20 règles de sécurité définies par l'ANSSI. Ces règles couvrent trois axes majeurs :
Déclaration des SIIV et notification des incidents à l'ANSSI dans des délais stricts
Application de 20 règles techniques et organisationnelles (chiffrement, cloisonnement réseau, homologation des produits)
Audit par des prestataires qualifiés PASSI — sans lien juridique avec l'opérateur
En cas de manquement : jusqu'à 750 000 € d'amende pour la personne morale et 150 000 € pour le dirigeant. La conformité n'est pas une option.
Si les directions SSI ont souvent sécurisé les périmètres réseau et les postes de travail, la messagerie et les outils de travail collaboratif restent un vecteur sous-estimé. Or, la règle LPM est claire : tout prestataire dont les systèmes participent au fonctionnement d'un SIIV est soumis aux mêmes exigences que l'OIV lui-même. Utiliser une suite collaborative hébergée hors du territoire français, auprès d'un acteur soumis au Cloud Act américain ou au droit extraterritorial d'un pays tiers, c'est exposer ses données industrielles à un risque réglementaire direct.
Pour qu'un outil collaboratif puisse être utilisé dans le périmètre SIIV ou à sa proximité, il doit répondre à plusieurs critères :
Hébergement sur le sol français ou européen, chez un opérateur non soumis à une loi extraterritoriale
Chiffrement de bout en bout avec gestion des clés par le client
Traçabilité complète des accès et journaux d'audit exportables
Capacité à s'intégrer dans un dispositif d'homologation ANSSI
Engagement contractuel fort sur la non-divulgation et la localisation des données
Avec NIS 2 (applicable depuis 2024), les obligations s'étendent désormais aux sous-traitants et prestataires des OIV. Si vous fournissez un OIV, vous êtes potentiellement dans son périmètre d'exigences. Autrement dit, la question de la souveraineté numérique n'est plus réservée aux grandes structures — elle concerne toute l'écosystème de la filière.