Loi de programmation militaire obligation : sécurité, défense nationale et impacts pour les entreprises de la loi de programmation militaire obligation

La « loi de programmation militaire », ça sonne comme un sujet réservé aux uniformes, aux cartes d’état-major et aux stratèges en chambre. Pourtant, derrière ce titre martial se cachent des obligations très concrètes pour les entreprises privées, souvent loin, très loin, des barbelés et des miradors. Si vous pensiez que la défense nationale se jouait uniquement dans les casernes, la lecture de la LPM vous rappellera que le front passe désormais aussi par vos serveurs, vos sous-traitants… et parfois même par vos salariés.

La dernière loi de programmation militaire (LPM 2024-2030, mais les précédentes ont déjà posé les jalons) ne se contente pas de fixer un budget pour les chars et les avions. Elle organise un écosystème complet de sécurité, de cybersécurité et de résilience nationale, au sein duquel les entreprises deviennent, qu’elles le veuillent ou non, des acteurs à part entière. Et bien sûr, acteur à part entière rime rarement avec « sans aucune obligation ».

Ce que la loi de programmation militaire est vraiment (et ce qu’elle n’est pas)

Commençons par remettre les choses à leur place. Une LPM, en France, c’est :

• Un texte qui fixe, sur plusieurs années, les grandes orientations de la politique de défense.
• Une trajectoire budgétaire pluriannuelle (combien, pour quoi, et à quel rythme).
• Un véhicule législatif pour faire passer discrètement – ou moins discrètement – des mesures structurelles en matière de sécurité et de défense nationale.

Ce n’est pas :

• Un simple catalogue de crédits militaires (même si les montants font tourner la tête).
• Un texte purement « technique » sans impact sur le civil.
• Un document que les entreprises peuvent snober en se disant « pas notre problème, nous on fait du e-commerce / de la logistique / du conseil ».

Depuis plusieurs éditions, les LPM ont glissé de plus en plus de dispositions touchant :

• les infrastructures critiques (énergie, transport, santé, télécoms, finance, etc.) ;
• les systèmes d’information sensibles (OIV, OSE, futurs « entités essentielles » et « importantes » façon directive NIS2) ;
• la coopération des acteurs privés avec les services de l’État ;
• la cybersécurité et la protection des données stratégiques.

Résultat : même si votre logo n’a jamais croisé celui du ministère des Armées, vous pouvez être, directement ou par ricochet, embarqué dans le dispositif.

Qui est vraiment concerné dans le secteur privé ? (Indice : beaucoup plus de monde que ce que vous pensez)

On pourrait croire que seules les entreprises directement liées à l’armement sont dans le viseur. En réalité, la LPM et les textes qui gravitent autour d’elle (code de la défense, décret OIV, transposition de la directive NIS2, etc.) dessinent un périmètre nettement plus large.

Trois cercles se dégagent.

1. Les acteurs au cœur de la défense et de l’armement

• Industriels de l’armement (aéronautique, naval, terrestre, cybersécurité « de défense »).
• Sous-traitants directs : électronique, composants, logiciels embarqués, maintenance, etc.
• Prestataires ayant accès à des informations classifiées ou sensibles.

Pour eux, la LPM, ce n’est pas un texte de fond d’écran. C’est un cadre de travail au quotidien, avec des obligations renforcées en matière de :

• protection du secret de la défense nationale ;
• sécurisation des systèmes d’information ;
• contrôle des exportations de matériels et de technologies.

2. Les opérateurs d’importance vitale (OIV) et assimilés

Même si tout ne découle pas exclusivement de la LPM, celle-ci s’insère dans un continuum législatif qui place sous haute surveillance les secteurs jugés vitaux :

• énergie, eau, transport, santé, télécoms, finance, alimentation, etc.

Les entreprises désignées comme OIV (et demain, sous le régime NIS2, comme « entités essentielles ») se voient imposer des exigences très élevées en matière de :

• cybersécurité (mesures techniques, organisationnelles, audits réguliers) ;
• continuité d’activité et résilience (plans de secours, redondances, exercices de crise) ;
• coopération avec les autorités (signalement d’incidents, partage d’informations).

Et si vous n’êtes « que » un fournisseur clé d’un OIV, vous êtes de facto aspiré dans la spirale : difficile d’être le maillon faible de la chaîne sans se faire gentiment, puis fermement, demander des comptes.

3. Le reste du tissu économique… par capillarité

Sans être formellement visé par la LPM, un nombre croissant d’entreprises subissent ses effets :

• clauses contractuelles de cybersécurité imposées par de grands donneurs d’ordre ;
• exigences de conformité pour pouvoir répondre à des appels d’offres publics ;
• demande de garanties renforcées sur l’hébergement, la localisation des données, la gestion des accès.

La LPM fonctionne alors comme une sorte de gravité juridique : même si vous êtes loin du centre, vous finissez par ressentir la force d’attraction.

LPM et cybersécurité : la défense nationale passe par vos serveurs

Le volet le plus visible (et douloureux pour certains budgets SI) est celui de la cybersécurité. La LPM s’inscrit dans une trajectoire où l’État ne se contente plus de « recommander » des bonnes pratiques, mais exige des niveaux de sécurité mesurables, vérifiables et, idéalement, audités.

Concrètement, pour les acteurs concernés, cela signifie :

• renforcement des obligations de protection des systèmes d’information sensibles : segmentation des réseaux, durcissement des configurations, supervision de sécurité, gestion des identités et des accès ;
• plans de sécurité des systèmes d’information (PSSI) plus robustes, alignés sur des référentiels parfois inspirés des guides de l’ANSSI ;
• notification obligatoire des incidents de sécurité majeurs à l’ANSSI ou aux autorités compétentes, avec des délais qui se mesurent en heures plutôt qu’en jours ;
• audits réguliers (tests d’intrusion, analyses de risques, contrôles de conformité) pouvant être imposés par contrat ou par la réglementation ;
• contrôle plus strict de la sous-traitance : fin du « on a externalisé, donc ce n’est plus notre problème ».

Un exemple typique : une PME qui fournit un logiciel de supervision à un opérateur d’importance vitale. Sur le papier, elle n’est pas un acteur de la défense. Dans les faits, si son logiciel devient la porte d’entrée d’une attaque sur un hôpital ou un réseau d’énergie, elle se retrouvera très vite au cœur des préoccupations de cybersécurité… et des questions embarrassantes.

La LPM participe à ce mouvement de fond : transformer la cybersécurité d’un « sujet informatique » en « composante de la défense nationale ». Pour les directions générales, cela change la nature de l’arbitrage budgétaire. Couper dans la sécurité n’est plus seulement prendre un risque opérationnel, c’est potentiellement s’exposer à un risque politique et réglementaire.

Données, surveillance et coopération avec l’État : un triangle délicat

Un autre pan, plus discret mais tout aussi sensible, concerne la collecte, la conservation et le partage d’informations avec les autorités. Sans entrer dans la technicité de chaque article, plusieurs tendances se dégagent.

1. Des obligations de conservation de données renforcées ou clarifiées

Dans certains secteurs (télécommunications, hébergement, services numériques), la LPM et les textes connexes contribuent à encadrer :

• la durée de conservation de certaines catégories de données ;
• les conditions d’accès par les autorités compétentes (judiciaires, renseignement, défense) ;
• les modalités techniques de mise à disposition (formats, délais, traçabilité).

Pour les entreprises, cela se traduit par des investissements dans :

• des infrastructures de stockage sécurisées ;
• des procédures internes de traitement des réquisitions ;
• une gestion fine de la frontière entre ce qui est légalement exigé et ce qui ne doit pas être conservé inutilement (ne serait-ce que pour des raisons RGPD).

2. Une coopération accrue en matière de renseignement et de lutte contre les menaces

La LPM renforce également la capacité des services de l’État à solliciter des informations ou des mesures techniques auprès d’acteurs privés pour :

• prévenir ou suivre des attaques informatiques ;
• protéger des installations sensibles ;
• surveiller des flux suspects ou des comportements à risque.

On est là sur une crête : d’un côté, la nécessité légitime de protéger la nation ; de l’autre, le risque d’empiéter sur la vie privée, le secret des affaires ou les obligations de confidentialité contractuelle. Les entreprises se retrouvent parfois au milieu, sommées de coopérer sans toujours avoir la visibilité (ni le temps) pour apprécier pleinement les implications.

La question n’est donc pas seulement « que dit la loi ? », mais aussi « comment l’applique-t-on sans se retrouver pris en étau entre plusieurs régimes juridiques contradictoires ? » : code de la défense, RGPD, secret des affaires, contrats avec des clients internationaux… Voilà un cocktail qui mérite plus qu’un simple coup d’œil du service juridique.

Chaîne d’approvisionnement, exportations et souveraineté : les angles morts qui coûtent cher

La LPM s’inscrit également dans une stratégie plus large de souveraineté industrielle et technologique. Pour les entreprises, cela se traduit par plusieurs points d’attention.

1. Contrôle des exportations et dépendances technologiques

Les industriels de défense et leurs sous-traitants connaissent bien les régimes de contrôle des exportations (matériels de guerre, biens à double usage, technologies sensibles). La LPM peut venir durcir ou préciser certains aspects, par exemple :

• définition de technologies particulièrement sensibles ;
• conditions de transfert vers certains États ;
• exigences de transparence et de traçabilité.

Mais au-delà du secteur strictement militaire, d’autres entreprises se découvrent concernées, parfois à leurs dépens. Un algorithme, un composant, un capteur initialement développé pour le civil peut, dans un second temps, être considéré comme stratégique s’il trouve une application possible dans le champ de la défense.

2. Localisation et maîtrise des technologies critiques

Dans un contexte de tensions géopolitiques, la LPM pousse à une réduction des dépendances critiques. Cela peut se traduire par :

• des incitations (ou des pressions) à relocaliser certaines productions stratégiques ;
• des exigences sur la localisation des données (cloud souverain, solutions « de confiance ») ;
• des critères de choix de fournisseurs intégrant la dimension de souveraineté.

Pour un groupe qui a optimisé sa chaîne de valeur sur le seul critère du coût, le réveil peut être brutal : ce qui était « optimal » économiquement hier devient « vulnérable » stratégiquement aujourd’hui.

Ressources humaines, réserve et mobilisation : l’entreprise comme réservoir de compétences

La défense nationale, ce n’est pas seulement du matériel, c’est aussi des compétences. La LPM s’intéresse donc de plus en plus à la manière dont l’État peut s’appuyer sur les ressources humaines du secteur privé.

Parmi les leviers :

• développement de la réserve opérationnelle, y compris dans les domaines cyber, renseignement, logistique, santé, etc. ;
• facilitation de l’engagement des salariés en réserve, avec des aménagements possibles (autorisations d’absence, coordination avec les employeurs) ;
• partenariats entre le ministère des Armées et des entreprises pour la montée en compétences sur des sujets clés (cyberdéfense, IA, traitement de données).

Pour les DRH, cela pose plusieurs questions très terre à terre :

• Comment intégrer contractuellement la possibilité d’un engagement en réserve ?
• Comment gérer l’absence (parfois prolongée) de salariés très spécialisés ?
• Comment valoriser cet engagement sans désorganiser les équipes ?

On touche ici à une dimension culturelle : accepter que certains profils critiques pour l’entreprise (experts cyber, ingénieurs systèmes, médecins, etc.) puissent aussi être mobilisables au titre de la défense nationale. Une forme de copropriété, en quelque sorte, qui n’est pas toujours simple à administrer.

Pour les entreprises : risques, opportunités et fausses bonnes idées

Face à la LPM et au cadre qui l’entoure, les entreprises oscillent souvent entre deux extrêmes :

• le déni (« c’est un texte pour les militaires, pas pour nous ») ;
• la panique (« on va devoir se transformer en bunker numérique et juridique du jour au lendemain »).

Aucune de ces positions n’est tenable à long terme. La réalité est plus nuancée, mais appelle un minimum de stratégie.

Les principaux risques

• Risque juridique et réglementaire : non-respect d’obligations de sécurité, défaut de notification d’incidents, manquements aux exigences contractuelles liées à la défense ou à la sécurité nationale.
• Risque réputationnel : être identifié comme le maillon faible ayant permis une attaque sur un secteur critique n’est jamais un bon argument de communication.
• Risque économique : perte de marchés pour cause de non-conformité, coûts de mise à niveau en urgence après un incident majeur.

Les opportunités réelles

• Positionnement sur des marchés en croissance : cybersécurité, résilience, technologies duales (civil / défense), cloud de confiance.
• Renforcement de la crédibilité : une entreprise capable de démontrer une conformité solide aux exigences de sécurité devient plus attractive pour les grands donneurs d’ordre.
• Structuration interne : les contraintes de la LPM et des textes connexes peuvent servir de catalyseur pour professionnaliser la gestion des risques, de la sécurité et de la continuité d’activité.

Les fausses bonnes idées

• Se contenter d’un « on verra quand on sera officiellement concernés » : généralement, on « voit » le jour où l’on reçoit un appel d’un client stratégique ou d’une autorité, et ce n’est pas le meilleur moment pour commencer.
• Empiler des solutions techniques sans stratégie globale : un firewall par-ci, un antivirus par-là, deux slides sur la « résilience » en comité… Cela rassure cinq minutes, jusqu’à la première attaque sérieuse.
• Externaliser la responsabilité avec la technique du « c’est le prestataire » : la LPM, comme le droit en général, a une certaine tendance à remonter la chaîne des responsabilités.

Comment se préparer intelligemment : quelques pistes très concrètes

Sans transformer votre comité de direction en cellule de crise permanente, il existe des démarches pragmatiques pour anticiper les effets de la LPM sur votre entreprise.

1. Cartographier vos expositions

• Êtes-vous directement dans un secteur touché (défense, OIV, services numériques critiques) ?
• Êtes-vous fournisseur d’acteurs manifestement stratégiques ?
• Manipulez-vous des données ou technologies potentiellement sensibles (algorithmes, capteurs, cryptographie, etc.) ?

Cette cartographie ne demande pas forcément un rapport de 200 pages, mais au moins une vision claire, partagée entre direction générale, juridique, DSI et, idéalement, responsables métiers.

2. Mettre à niveau le socle de cybersécurité

La LPM, en matière cyber, ne réinvente pas la roue : elle renforce des exigences qui, honnêtement, devraient déjà être en place. Quelques incontournables :

• authentification forte sur les accès sensibles ;
• gestion rigoureuse des droits (principe du moindre privilège) ;
• sauvegardes régulières, testées, isolées ;
• supervision de sécurité minimale (journaux, détection d’anomalies) ;
• formation des équipes (la porte d’entrée préférée des attaquants n’est pas toujours un port réseau).

Pas besoin d’être sous les drapeaux pour justifier ce socle : c’est du simple bon sens économique à l’ère numérique.

3. Clarifier vos processus de coopération avec l’État

• Qui, dans l’entreprise, reçoit et traite les réquisitions ou demandes officielles ?
• Comment concilier ces demandes avec vos obligations contractuelles et réglementaires (RGPD, secret des affaires) ?
• Quels délais pouvez-vous raisonnablement tenir, et avec quelles garanties de traçabilité ?

Ne pas avoir de réponse à ces questions n’empêche pas de recevoir une réquisition. Cela empêche simplement d’y répondre correctement.

4. Sensibiliser le top management

La LPM doit être lue pour ce qu’elle est : un signal politique fort sur la priorité donnée à la sécurité et à la défense nationale. Pour une entreprise, l’enjeu n’est pas de connaître chaque article par cœur, mais de comprendre que :

• la tolérance au risque diminue sur certains sujets (cyber, données, continuité d’activité) ;
• les attentes des grands clients et des autorités vont mécaniquement monter ;
• les arbitrages purement financiers à court terme sur la sécurité deviennent de plus en plus difficiles à justifier.

Un comité de direction qui continue à traiter la cybersécurité comme une ligne de coût optionnelle plutôt que comme un enjeu de survie stratégique n’a pas seulement un problème de lecture de la LPM ; il a un problème de lecture du monde.

La loi de programmation militaire ne va pas transformer toutes les entreprises françaises en supplétifs du ministère des Armées. En revanche, elle confirme une réalité désormais incontournable : dans une économie numérisée, interconnectée et sous tension géopolitique, la frontière entre « sécurité de l’État » et « sécurité de l’entreprise » devient de plus en plus poreuse. Et ignorer cette porosité n’offre jamais une bonne défense.