Renforcer la résilience opérationnelle sous la Directive REC 

La Directive REC remplace la Directive 2008/114/CE considérée comme insuffisante pour répondre aux nouvelles menaces, notamment l’augmentation de l’interconnexion des infrastructures critiques et la montée des risques humains tels que le terrorisme. 

Sont concernées : toutes les entités fournissant des services essentiels, publiques et privées, dans 11 secteurs d’activités hautement critiques

Statuts : 

• Entités essentielles : employant au moins 250 personnes ou chiffre d’affaires annuel excédant 50 M€, bilan excédant 43 M€. 

• Entités importantes : employant au moins 50 personnes ou CA/bilan > 10 M€. 

• Exceptions sectorielles spécifiques (sécurité nationale, défense, nucléaire…) et dispositions nationales renforcées possibles. 

Afin d’assurer le bon fonctionnement et la pérennité du dispositif de conformité, la répartition claire des rôles au sein des entités s’avère incontournable : 

• Ainsi, la formalisation des responsabilités, qu’elles soient assumées par les gestionnaires ou les coordinateurs, garantit une supervision continue, tout en facilitant l’interaction avec les autorités compétentes. Notamment, la sécurité des activités d’importance vitale est placée sous la vigilance du SGDSN (Secrétariat Général de la Défense et de la Sécurité Nationale), tandis que toutes les questions cyber relèvent de l’ANSSI. 

• Par ailleurs, il convient de souligner que l’institution d’une nouvelle commission des sanctions, désormais compétente pour infliger des amendes administratives, marque un tournant fort en matière de gouvernance. Les montants en jeu sont loin d’être anecdotiques : les sanctions peuvent aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial.

Dans ce contexte, la mise en place de politiques internes robustes et l’élaboration de documents formalisés de gouvernance apparaissent comme des piliers essentiels : 

• À cet effet, une attention toute particulière est portée à la cartographie des actifs, à la politique de gestion des risques, ou encore à la gestion des tiers. Il s’agit également d’intégrer la dimension des risques terroristes et des actes intentionnels, pour renforcer la résilience globale du dispositif. 

La gestion opérationnelle des risques s’appuie sur plusieurs piliers fondamentaux visant à renforcer la résilience des entités critiques. 

En premier lieu, il est indispensable de réaliser des évaluations approfondies des risques, permettant : 

• D’identifier les vulnérabilités, 

• D’effectuer une analyse croisée des risques majeurs, 

• Et de prendre en compte l’ensemble des menaces, qu’elles soient physiques ou cyber. 

Par ailleurs, l’intégration du risque terroriste devient incontournable. Désormais, chaque entité critique se doit d’inclure systématiquement dans son analyse : 

• Les risques naturels (inondations, séismes…), 

• Les risques technologiques (cyberattaques, accidents industriels…), 

• Sans oublier les risques humains, avec un accent particulier sur les actes de terrorisme, tels que l’intrusion, la malveillance ou le sabotage. 

Même si la directive REC et le régime SEVESO s’adressent à des champs réglementaires distincts, on retrouve une volonté commune de renforcer la résilience des infrastructures critiques.
Toutes deux privilégient une démarche structurée : anticiper les menaces, élaborer des procédures formalisées et adapter les plans de gestion aux différents profils de risques. Ainsi, la REC étend sa logique à l’ensemble des infrastructures critiques en s’appuyant sur des principes similaires : classification rigoureuse des installations, démarches proactives, scénarisation des situations à risque et planification de crise propre à chaque menace identifiée. 

En complément, il est désormais exigé que les entités critiques prennent en considération les effets des changements climatiques dans leur évaluation des risques : inondations, vagues de chaleur, sécheresses ou tempêtes doivent être anticipés. 

Cette démarche vise à répondre aux attentes de la directive européenne sur la résilience, qui impose une adaptation des plans de continuité aux nouveaux enjeux climatiques. 

À l’issue de cette évaluation, la mise en œuvre des plans de résilience prend tout son sens : 

• L’élaboration de plans de résilience opérateur (OIV) s’accompagne de l’intégration des nouvelles exigences du plan particulier de résilience, désormais remplaçant du plan actuel pour les PIV. Ces plans comportent nécessairement un volet détaillé sur la prévention, la protection et la gestion des risques terroristes, allant des dispositifs physiques et organisationnels aux protocoles de coordination avec les autorités compétentes. 

Pour garantir la stabilité des services essentiels, les plans de continuité d’activités doivent, eux aussi, couvrir l’ensemble des risques, y compris les menaces terroristes, et assurer la continuité des services primordiaux tels que l’électricité, l’eau ou les soins de santé. 

De plus, la sécurité intégrée devient une priorité pour faire face aux menaces multiples : inondations, cyberattaques, séismes, actes de terrorisme. 

Enfin, la surveillance technique et organisationnelle s’articule autour de plusieurs leviers : 

• Installation de systèmes de détection et de surveillance (firewalls, IDS, SIEM, caméras, etc.) afin d’identifier et d’anticiper toute forme de menace, y compris celles de nature terroriste. 

• Suivi des incidents et notification obligatoire aux autorités compétentes dans les 24h en cas de perturbation majeure ou tentative d’acte terroriste. 

• Inspections régulières, audits internes/externes et rapport aux autorités, respectant scrupuleusement les exigences des réglementations européennes et françaises. 

La sécurité ne se limite pas à des dispositifs matériels : la formation et la sensibilisation des acteurs sont essentielles pour garantir une gestion efficace des risques. 

• Ainsi, la mise en œuvre de programmes réguliers de formation et d’exercices vise à s’assurer que tous les personnels, qu’il s’agisse des opérationnels, des managers ou des tiers, maîtrisent les mesures de résilience, de prévention et de gestion des incidents. Il est particulièrement important que chacun connaisse les protocoles et exercices anti-terrorisme, conformément aux exigences légales. 

• De plus, l’information du public et des travailleurs occupe une place centrale : il s’agit non seulement de diffuser les bonnes pratiques sur la prévention et les modalités d’alerte, mais aussi de renforcer l’attention portée à la prévention des risques humains, notamment terroristes. 

La maîtrise des risques ne s’arrête pas aux frontières de l’organisation. La gestion des relations avec les tiers et la coopération entre entités sont devenues indispensables. 

• Pour commencer, la supervision des risques liés aux fournisseurs et partenaires externes repose sur différents leviers : audits, contractualisation avec des clauses de sécurité renforcées, ainsi que le partage régulier d’informations et de bonnes pratiques. Ces mesures incluent évidemment les exigences spécifiques de sécurité contre les risques intentionnels et terroristes. 

• Par ailleurs, l’établissement d’une collaboration étroite avec les autorités nationales s’avère crucial. Cela se traduit par des inspections, des échanges d’informations et la notification systématique des incidents, garantissant un niveau de contrôle et de conformité continu. Le partage d’informations et les exercices conjoints, en particulier dans le cadre du risque terroriste, illustrent cette coopération active. 

• Enfin, une veille réglementaire active doit être assurée afin de pouvoir s’adapter immédiatement à toute évolution normative. Chaque modification de la directive ou de ses textes d’application impose une révision immédiate des plans, procédures et dispositifs de conformité, notamment pour maintenir l’actualisation des plans de réponse au terrorisme. 

La conformité n’est pas une démarche ponctuelle mais un processus structuré et évolutif. 

• Elle s’organise en trois phases principales : tout d’abord, un audit initial permet une évaluation exhaustive des vulnérabilités, y compris des risques intentionnels. 

• Ensuite, le développement du plan de conformité s’accompagne d’une allocation précise des mesures correctives pour chaque kit (cartographie, gouvernance, risque, tiers, détection, gestion des incidents), en intégrant systématiquement les exigences relatives à la lutte anti-terrorisme. 

• Enfin, un suivi opérationnel et une revue périodique permettent de s’assurer que la règlementation la plus récente est respectée, avec une attention constante portée à la présence et à l’efficacité des volets antiterroristes.