La France n'a pas son Bitkom. Cyber et physique sont mesurés séparément, et pour les prestataires de gardiennage qui interviennent sur des PIV, cet écart est devenu un problème contractuel.
Pour évaluer la menace cyber sur les entreprises françaises, vous lisez le Baromètre CESIN (40 % de grandes entreprises attaquées en 2025, 81 % d'impact métier, 35 % d'attaques reçues via un fournisseur tiers), le Panorama de la cybermenace 2025 de l'ANSSI (1 366 incidents confirmés, 128 compromissions par rançongiciel, 48 % de TPE/PME/ETI parmi les victimes), et le rapport Hiscox (59 % de PME attaquées). Pour la menace physique, vous lisez le bilan statistique du SSMSI : 67 400 cambriolages de locaux industriels, commerciaux ou financiers en 2024.
Ces deux mesures n'existent pas dans le même document. Aucune autorité ne combine "% d'entreprises ayant subi une menace cyber ou physique" en un seul indicateur. Pour un dirigeant de société de sécurité privée intervenant sur un PIV, cet écart se traduit en problème opérationnel quotidien.
En résumé : le régime SAIV impose déjà depuis 2006 aux opérateurs d'importance vitale une chaîne documentaire qui descend par contrat sur leurs prestataires de gardiennage. La transposition NIS2 française, encore en navette parlementaire en mai 2026, élargira ce périmètre à plusieurs milliers d'entités. La main courante électronique devient le pivot de cette traçabilité.
/Images/Blog/bitkom-wirtschaftsschutz-werkschutz-header.webp?width=1456&height=816&name=bitkom-wirtschaftsschutz-werkschutz-header.webp)
/Images/Icons/Analysis_OWKS_Icon.svg)
Pourquoi la France ne mesure pas le cyber-physique ensemble
La répartition n'est pas un accident statistique. Le cyber est suivi par trois dispositifs complémentaires (CESIN côté grandes entreprises, ANSSI côté incidents traités par le CERT-FR, Hiscox côté multinationales). Le physique est suivi par un seul dispositif, le SSMSI, qui ne mesure que les plaintes enregistrées. Aucune enquête de victimisation entreprise n'est publiée régulièrement en France pour les sites industriels et commerciaux, et le chiffre noir reste structurel.
Le Baromètre CESIN couvre l'hameçonnage, le rançongiciel, la compromission par tiers. Il ne couvre pas un individu qui entre dans une salle serveur avec une clé USB. Ce n'est pas une lacune, c'est un choix de périmètre.
Le bilan SSMSI 2024 donne la vision la plus proche de la prévalence d'attaque physique contre les entreprises françaises. Les chiffres-clés :
- 67 400 cambriolages de locaux industriels, commerciaux ou financiers en 2024 (police-recorded crime, base 100 = plaintes enregistrées)
- Pas d'enquête de victimisation entreprise publiée régulièrement, le chiffre noir reste massif
- Pas de stratification par secteur OIV (énergie, eau, transports, santé) dans les statistiques publiques
- Pas de coût économique unitaire publié par le SSMSI pour les incidents physiques contre les locaux d'entreprise
La menace côté cyber se voit dans les rapports annuels avec des montants estimés. La menace côté physique se voit dans des plaintes enregistrées au commissariat, sans coût ni typologie sectorielle. Le sabotage industriel, l'espionnage économique préparé par reconnaissance numérique, l'exfiltration de données précédée d'une visite physique : aucun de ces vecteurs hybrides n'apparaît dans les indicateurs publics. Côté cyber, le risque a un montant. Côté physique, il a un numéro de procès-verbal.
/Images/Icons/Paragraph_Icon.svg)
Le régime OIV impose déjà la traçabilité documentaire depuis 2006
Le régime SAIV est en vigueur depuis le décret de 2006, codifié au Code de la défense aux articles L1332-1 à L1332-7, et étendu en 2013 par la LPM avec un volet cyber pour les Systèmes d'Information d'Importance Vitale. Les obligations physiques associées au Plan Particulier de Protection sont continues, indépendamment du calendrier NIS2. Pour un prestataire de gardiennage intervenant sur un PIV, la pression réglementaire actuelle vient d'abord de là.
Environ 300 opérateurs d'importance vitale sont désignés sur listes classifiées, opérant 1 500 points d'importance vitale répartis sur les 12 secteurs d'activités d'importance vitale coordonnés par le SGDSN : énergie, eau, transports, santé, finances, industrie, communications, espace et recherche, alimentation, activités civiles, judiciaires et militaires de l'État. Chaque PIV produit son Plan Particulier de Protection (PPP), approuvé par le préfet départemental, qui décrit la défense en profondeur couche par couche : périmètre, contrôle d'accès, surveillance, alarme, procédures d'urgence.
Les obligations matérielles de l'opérateur découlent directement de l'Article L1332-3 et de son décret d'application : "dispositions efficaces de surveillance, d'alarme et de protection matérielle". Obligation de résultat, pas de moyen. Le PPP traduit cette obligation en consignes opérationnelles. Le contrat de prestation de gardiennage répercute ces consignes sur le prestataire, qui doit produire la preuve d'exécution. Les sanctions actuelles plafonnent à 150 000 € par infraction au titre de l'Article L1332-7, montant modeste qu'il faut comparer aux pénalités NIS2 à venir.
Trois mécanismes existent en pratique aujourd'hui, sans attendre la Loi Résilience :
- Revues PPP préfectorales périodiques. Le préfet, via le SIDPC, examine le dispositif de protection du PIV. Le DDS de l'OIV présente les éléments. Les journaux de ronde, fiches d'incident et attestations VIGIPIRATE fournis par le prestataire sont examinés. Une non-conformité repérée se traduit par un avertissement écrit, qui retombe sur le prestataire.
- Contrôles inopinés CNAPS. Le CNAPS vérifie sur site la validité des cartes professionnelles des agents présents, la conformité des consignes de poste, le respect des conditions de travail. Une carte expirée chez un agent en poste sur un PIV est une non-conformité grave.
- Mécanisme de vérification administrative L1332-2-1. L'OIV peut demander à l'autorité administrative de vérifier qu'un agent susceptible d'accéder au PIV ne présente pas de caractéristiques incompatibles avec la sécurité du site. Criblage renforcé qui s'ajoute aux exigences CNAPS standard.
/Images/Icons/Checkliste_OWKS_Icon.svg)
Loi Résilience et NIS2 : où en est la transposition française
Le projet de Loi Résilience transpose conjointement les directives européennes NIS2 (2022/2555) et REC (2022/2557). Adopté par le Sénat le 12 mars 2025, voté en commission spéciale à l'Assemblée nationale le 10 septembre 2025, il attend sa plénière à l'Assemblée pour juillet 2026 au plus tôt. Promulgation espérée au second semestre 2026, mise en application en 2027. La Commission européenne a sanctionné le retard par un avis motivé de manquement en mai 2025.
L'Assemblée nationale et vie-publique.fr tracent l'état du dossier en temps réel. La directive NIS 2 et la directive européenne sur la résilience des entités critiques donnent le texte de référence. L'ANSSI a publié en mars 2026 son référentiel cyber France (ReCyF), guide non contraignant qui anticipe les obligations à venir.
Deux éléments structurels comptent pour un prestataire de gardiennage :
- Périmètre élargi. Là où le régime OIV couvre environ 300 opérateurs désignés, NIS2 vise 10 000 à 15 000 entités françaises. Entités essentielles (EE) à partir de 250 salariés ou 50 M€ de CA dans les secteurs Annexe I ; entités importantes (EI) à partir de 50 salariés ou 10 M€. Un OIV pourra être simultanément OIV et EE. Mais beaucoup d'EE ne seront pas OIV. Le donneur d'ordre type pour un prestataire de gardiennage change à mesure que le périmètre s'élargit.
- Cascade fournisseur explicite. L'Article 21(2)(d) de la directive NIS2 impose aux entités régulées la gestion du risque associé à leurs fournisseurs et prestataires, y compris physiques. Les pénalités atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les EE, soit 67 fois le plafond OIV actuel. La sanction étant proportionnée à la taille du donneur d'ordre, la motivation à exiger des clauses contractuelles strictes vis-à-vis du prestataire est mécanique.
En mai 2026, NIS2 n'est pas en vigueur en France. Mais la directive est publiée. Les services achats des futures entités essentielles préparent déjà les clauses de leurs prochains appels d'offres en anticipant la promulgation. Attendre la promulgation revient à renoncer aux appels d'offres en cours de rédaction.
/Images/Icons/Problemstellung_Problems_Icon.svg)
Pourquoi la main courante électronique devient le pivot du contrôle prestataire
Le registre papier et le tableur Excel se brisent à trois endroits prévisibles dans toute revue PPP ou tout audit OIV : l'horodatage déclaratif, la géométrie de site captée comme une liste de points, et la dispersion de la preuve entre plusieurs systèmes. Sur un PIV multi-sites avec 30 à 50 entrées par poste, la différence avec une main courante électronique se mesure en heures de reconstitution gagnées au moment du contrôle.
L'horodatage sans preuve indépendante. Quand l'agent inscrit l'heure dans un registre papier, l'auditeur la traite comme une déclaration, pas comme une preuve. Sur un site OIV multi-PIV avec rotation d'agents entre postes, démontrer qu'une heure n'a pas été ajustée une demi-heure plus tard est impossible. Le scan NFC ou le passage GPS produisent un horodatage généré par l'appareil et indélébile après remontée.
Les surfaces, pas les points. Une ligne de tableur capture une heure et un nom de lieu. Elle ne peut pas montrer combien de temps un agent est resté à l'intérieur du périmètre d'une sous-station ou d'une zone de chargement. La durée de présence dans une zone définie est une donnée spatiale ; le registre papier ne l'enregistre pas.
Cinq systèmes séparés ne sont pas une chaîne de preuve. Une organisation papier-et-Excel typique tient le registre de main courante à un endroit, le planning à un autre, les extractions GPS à un troisième, les remises de clés sur un porte-document, les fiches d'incident dans une boîte mail partagée. L'auditeur veut la chaîne unique de preuve pour un poste à une date. Cinq fichiers déconnectés ne produisent pas cette chaîne. Le PPP exige que le prestataire puisse démontrer, à la demande, comment il enregistre, conserve et restitue cette preuve.
"Ça a fonctionné jusqu'ici" n'est pas une réponse à une revue PPP. Le préfet attend un processus documenté, répétable, dont l'exécution effective peut être démontrée.
/Images/Blog/bitkom-wirtschaftsschutz-werkschutz-kritis-audit.webp?width=1456&height=819&name=bitkom-wirtschaftsschutz-werkschutz-kritis-audit.webp)
/Images/Icons/Loesung_OWKS_Icon.svg)
Ce que les contrats OIV ajoutent désormais aux appels d'offres gardiennage
Les services achats des opérateurs d'importance vitale révisent leurs appels d'offres gardiennage en fonction de ce que le préfet et le CNAPS examineront en revue. Cinq exigences reviennent systématiquement dans les contrats OIV récents, et préfigurent ce que la cascade NIS2 imposera plus largement : journal de ronde horodaté et géolocalisé, registre visiteurs et sous-traitants intégral, déclaration d'incident sous 24 heures avec photo et localisation, traçabilité des passations de consignes, disponibilité 12 mois de toute la documentation sur demande.
- Journal de ronde horodaté par point de contrôle, vérifié par NFC ou GPS, résistant à la manipulation, restituable à la demande. "Vers 02h00 la nuit dernière" n'est plus une preuve recevable. L'audit attend : 02h17, portail Ouest, agent XY, GPS vérifié.
- Registre visiteurs et sous-traitants intégral : identité, heure d'entrée, zones autorisées, agent escorteur, heure de sortie. Le cahier d'entrée papier décroche dès le troisième visiteur simultané d'un poste chargé.
- Déclaration d'incident sous 24 heures, avec preuve photographique, localisation et chaîne d'escalade documentée. L'interface de remontée entre prestataire et cellule incident de l'OIV est elle-même un artefact d'audit.
- Traçabilité des passations de consignes : éléments en cours, événements notables, mouvements de clés, tous consignés par écrit et non transmis oralement entre agents.
- Disponibilité 12 mois de toute la documentation, accessible sans recherche manuelle. Le préfet ne donne pas de délai "on vous fera ça la semaine prochaine".
Ces clauses ne sont pas spéculatives. Elles découlent directement des exigences L1332-3 du Code de la défense et du PPP de chaque PIV. Un prestataire qui ne peut pas en produire la preuve devient une vulnérabilité connue dans le dispositif de l'OIV au moment de la revue préfectorale.
/Images/Icons/Erste_Schritte_Icon.svg)
Ce qu'une société de sécurité mature met en place en 2026
Trois actions concrètes tiennent dans les deux trimestres qui viennent pour un prestataire intervenant sur PIV : varier les rondes et documenter la variation, digitaliser la captation visiteurs et sous-traitants, construire la chaîne de preuve avant la prochaine revue PPP. Chacune est réalisable en moins de six mois. Aucune ne dépend de la promulgation de la Loi Résilience.
1. Varier les itinéraires et horaires de ronde, et documenter la variation. Le sabotage et le vol se concentrent dans les angles morts prévisibles. Une ronde quotidienne à la même heure sur le même parcours est un planning pour un attaquant. La variation ne compte comme mesure de sécurité que si elle est enregistrée. Sans trace, elle ne peut pas être présentée au donneur d'ordre, et le préfet ne la verra pas en revue PPP.
2. Digitaliser la captation visiteurs, sous-traitants et intervenants. Distinguer un vrai technicien de maintenance d'un imposteur crédible à l'entrée d'un site demande captation d'identité, attribution d'escorteur, mesure de la durée en zone, confirmation de sortie. Sur papier, les contrôles décrochent dès le troisième visiteur d'un poste. Ces enregistrements doivent vivre dans le même système que le journal de ronde, pas dans un registre séparé.
3. Construire la chaîne de preuve avant la prochaine revue PPP. Quand un client OIV demande comment les 12 derniers mois de documentation sont restituables, la réponse est soit "à l'écran, maintenant" soit "je vous reviens". Les revues préfectorales n'acceptent pas la seconde réponse. La migration du papier vers une main courante électronique intégrée demande typiquement plusieurs semaines pour le déploiement matériel, la formation des agents et la configuration des sites. Le délai compte.
À ce stade, COREDINATE offre un exemple concret de plateforme qui couvre les trois points de défaillance identifiés plus haut. Pour l'horodatage, les scans NFC et les géoclôtures polygonales GPS produisent une trace que l'agent ne peut pas réécrire. Pour la captation des surfaces, des formulaires configurables enregistrent l'identité, la zone autorisée et la durée de présence des visiteurs et sous-traitants, et la déclaration d'incident se fait immédiatement sur l'appareil. Pour la dispersion de la preuve, le journal de poste numérique s'auto-alimente des scans et des événements, les rapports s'exportent en PDF filtrés par site, période ou type d'incident, et un portail client optionnel rend la documentation consultable directement par le donneur d'ordre OIV sans relances par messagerie.
Hébergement en Allemagne sous RGPD, données protégées et haute disponibilité géo-redondante : trois propriétés qu'un OIV peut nommer dans son propre PCA. La planification d'agents multi-sites est intégrée via le module plan de service.
/Images/Blog/bitkom-wirtschaftsschutz-werkschutz-nfc-scan.webp?width=1456&height=819&name=bitkom-wirtschaftsschutz-werkschutz-nfc-scan.webp)
/Images/Icons/Fragezeichen_Icon.svg)
Foire aux questions sur OIV, NIS2 et gardiennage
Pourquoi la France n'a-t-elle pas d'étude équivalente au Bitkom Wirtschaftsschutz ?
La France mesure le risque cyber et le risque physique dans des dispositifs institutionnels séparés. Le cyber est couvert par le Baromètre CESIN (40 % de grandes entreprises attaquées en 2025), le Panorama ANSSI 2025 (1 366 incidents confirmés, 48 % des victimes de rançongiciel sont des TPE/PME/ETI) et le rapport Hiscox. Le physique est suivi par le SSMSI du ministère de l'Intérieur, qui dénombre 67 400 cambriolages de locaux industriels, commerciaux ou financiers en 2024. Aucune autorité, aucune fédération ne combine ces deux mesures dans un indicateur unique.
Qu'est-ce qu'un OIV et combien y en a-t-il en France ?
Un OIV est un opérateur d'importance vitale au sens du Code de la défense L1332-1 : opérateur public ou privé dont l'indisponibilité réduirait significativement le potentiel de guerre, économique, de sécurité ou la survie de la nation. Environ 300 OIV sont désignés sur listes classifiées, opérant environ 1 500 points d'importance vitale (PIV) répartis sur 12 secteurs d'activités d'importance vitale (SAIV) : énergie, eau, transports, santé, finances, industrie, communications, espace et recherche, alimentation, activités civiles, judiciaires et militaires de l'État.
NIS2, qui est concerné en France ?
La directive NIS2 couvre deux catégories d'entités : les entités essentielles (EE), à partir de 250 salariés ou 50 millions d'euros de chiffre d'affaires dans les secteurs de l'Annexe I, et les entités importantes (EI), à partir de 50 salariés ou 10 millions d'euros. Au total, 10 000 à 15 000 entités françaises devraient être concernées contre environ 300 OIV aujourd'hui. Les prestataires de sécurité privée ne sont pas directement régulés mais subissent la cascade contractuelle de leurs clients EE/EI via les clauses fournisseurs prévues par l'Article 21(2)(d) de la directive.
Quand la Loi Résilience entre-t-elle en vigueur en France ?
Le projet de Loi Résilience, qui transpose conjointement les directives NIS2 (2022/2555) et REC (2022/2557), a été adopté par le Sénat le 12 mars 2025. La commission spéciale de l'Assemblée nationale a voté son rapport le 10 septembre 2025. La plénière de l'Assemblée nationale n'est pas attendue avant juillet 2026. La promulgation est espérée au second semestre 2026 dans le scénario le plus favorable, pour une mise en application des obligations en 2027. La Commission européenne a notifié à la France un avis motivé de manquement en mai 2025 pour transposition tardive.
Qu'exige un OIV de son prestataire de gardiennage aujourd'hui ?
Trois clauses sont systématiques dans les contrats OIV-prestataire : conformité documentaire au Plan Particulier de Protection (PPP) du PIV avec adaptation immédiate à toute modification, auditabilité par le donneur d'ordre et l'autorité préfectorale lors des revues PPP périodiques avec production sur demande des journaux de ronde, registres de main courante et fiches d'incident horodatées, et vérification administrative des agents accédant au PIV via le mécanisme L1332-2-1. Le projet NIS2 y ajoutera des clauses de déclaration d'incident dans 24 à 72 heures et un droit d'audit cyber sur les systèmes connectés du prestataire.
Pour la position officielle de l'ANSSI sur les obligations relatives à la chaîne d'approvisionnement, voir le dispositif SAIV de l'ANSSI. Pour le suivi de la transposition NIS2 en temps réel, voir le dossier législatif de l'Assemblée nationale.
La prochaine revue PPP de votre client OIV est le bon moment pour tester cette approche. Contactez notre équipe commerciale, ou commandez le kit de test 14 jours pour le déployer sur un site en conditions réelles.