Documents à produire

Les OIV sont tenus de garantir à leurs frais la sécurité de leurs sites et de leurs systèmes d'information les plus critiques, contre tout risque et toute menace, notamment à caractère terroriste. Les OIV doivent alors exposer à travers un certain nombre de documents de planification les choix de sécurité qui leur permettent de répondre à cette obligation de résultat.

Ils doivent ainsi élaborer des plans de sécurité d'opérateurs (PSO) puis des plans particuliers de protection (PPP) pour chacun de leurs points d'importance vitale. Ces documents doivent notamment comprendre :

  •    Une analyse de l'ensemble des risques (naturels, technologiques, sanitaires, etc.) et des menaces (malveillance, terrorisme, cyber, etc.) pouvant affecter les activités d'importance vitale ;
•    Une déclinaison des mesures Vigipirate qui concernent leurs activités ;
•    Une démonstration du dispositif de sûreté et de gestion de crise.

Les OIV doivent également rédiger un plan de continuité d'activité ou de reprise d'activité (PCA/PRA). Enfin, les préfectures de département complètent le dispositif en réalisant, pour chaque PIV, un plan de protection externe (PPE).

Formalisme

Le formalisme requis pour la rédaction de ces plans de protection est prévu par différents textes ou documents :

• L'arrêté du 2 juillet 2018 fixant le plan type pour les PSO;
• Le guide d'élaboration des PSO du SGDSN de juillet 2018 ;

• L'arrêté du 2 juillet 2018 fixant le plan type pour les PPP ;

• Le guide de rédaction des plans particuliers de protection de DGA/SSDI ;
• L'arrêté du 2 juillet 2018 fixant la méthode d'analyse de risque pour les PSO et PPP ;
• Le guide du SGDSN pour réaliser un plan de continuité d'activité ;

• L'arrêté du 2 juillet 2018 fixant le plan type des PPE.