Protéger ne suffit plus : la directive REC et le défi de la continuité

Les événements récents fournissent le contexte le plus éloquent qui soit :

  • Avril 2022
    Isère
    Incendie d'un transformateur RTE à Froges, puis sabotage des lignes haute tension sous le pont de Brignoud. STMicroelectronics (4 300 salariés, site Seveso seuil haut) et Soitec sont contraints à un arrêt brutal. Les deux entreprises n'ont pas été attaquées directement : leur alimentation électrique externe, à trois kilomètres, l'a été. La CGT alerte sur le risque d'accident industriel majeur.
  • Oct. 2022
    Allemagne
    Sabotage simultané des câbles radio GSM-R de la Deutsche Bahn en deux points. Le trafic ferroviaire nord-allemand est paralysé trois heures. Berlin–Hambourg, Berlin–Amsterdam : coupés. Le ministre des Transports parle d'« action ciblée et délibérée ».
  • Mars 2024
    Berlin
    Incendie d'un pylône haute tension à Grünheide. La seule gigafactory européenne de Tesla (12 500 salariés) s'arrête plusieurs jours. Préjudice estimé : plusieurs centaines de millions d'euros. Même mécanique qu'en Isère : l'alimentation externe, pas le site.
  • Mai 2024
    Berlin
    Incendie majeur de l'usine Diehl Metal Applications, fournisseur de systèmes IRIS-T pour l'Ukraine. 170 pompiers mobilisés, nuage potentiellement toxique sur la ville. Les autorités allemandes soupçonnent une implication des services russes.
  • Juil. 2024
    France
    Trois LGV sabotées simultanément la nuit avant les JO de Paris. 800 000 voyageurs perturbés, 11 millions d'euros de dégâts pour SNCF Réseau. Même schéma en Allemagne (Brême, Hambourg, Berlin) quelques jours plus tard.
  • Avril 2025
    Ibérique
    Blackout électrique total en Espagne et au Portugal. 15 GW s'effondrent en quelques secondes. Transports, aéroports, réseaux mobiles, terminaux bancaires à l'arrêt pendant plus de 12 heures. L'ENTSO-E le qualifie d'« incident le plus grave du réseau européen depuis vingt ans ». Cause : un enchaînement de défaillances techniques non maîtrisées, pas une cyberattaque.
  • Sept. 2025
    Europe
    Cyberattaque ransomware sur Collins Aerospace, fournisseur du logiciel MUSE d'enregistrement aéroportuaire. Bruxelles, Heathrow, Berlin et Dublin paralysés simultanément. Un seul prestataire visé — quatre pays touchés en cascade.
  • Oct. 2025
    France
    Incendie volontaire de câbles au sud de Valence TGV. 50 000 voyageurs perturbés en plein week-end de Toussaint.
  • Déc. 2025
    Baltique
    Câble Helsinki–Tallinn sectionné dans la nuit du 31 décembre. Des soldats finlandais descendent en rappel depuis un hélicoptère pour prendre le contrôle du cargo suspect. Deux autres câbles suédo-estoniens endommagés le même jour. Kaja Kallas (UE) : les infrastructures européennes sont « à haut risque de sabotage ».
  • Janv. 2026
    Berlin
    Incendie criminel sur une installation électrique : 45 000 foyers sans électricité pendant une semaine, réseaux mobiles coupés, transports paralysés. Le gouvernement offre un million d'euros de récompense. La BKA recense 321 actes de sabotage contre des infrastructures critiques pour la seule année 2025.
  • Fév. 2026
    Munich
    Conférence de sécurité de Munich. Eurelectric : les infrastructures énergétiques sont « aussi vulnérables que la défense du continent ». Pour la première fois, des responsables OTAN participent à un Conseil des ministres de l'énergie de l'UE.

Constat clé

Ces événements ont un point commun : aucune des organisations touchées n’était négligente. Ce qui a manqué, c’est la capacité à tenir quand la rupture survient hors du périmètre. Une infrastructure peut être mise à l’arrêt sans être elle-même attaquée.

Une évolution du cadre : vers la résilience opérationnelle

Le cadre français de sécurité des activités d’importance vitale a permis, depuis plusieurs années, de structurer des politiques de protection robustes dans les secteurs les plus sensibles. La directive (UE) 2022/2557 sur la résilience des entités critiques (REC) ne remet pas en cause cet acquis. Elle en déplace le centre de gravité.

L’approche traditionnelle repose sur la protection d’actifs, d’installations et de fonctions identifiés comme vitaux. La directive élargit cette lecture en mettant au premier plan la continuité effective du service. L’enjeu n’est plus seulement de savoir ce qu’il faut protéger, mais ce qui doit impérativement continuer à fonctionner malgré une crise, une rupture ou une dégradation prolongée.

Le blackout ibérique illustre précisément ce déplacement. Les actifs du réseau espagnol étaient protégés. Ce qui a manqué, c’est la capacité à absorber un enchaînement de défaillances. La cyberattaque sur MUSE illustre autre chose : une infrastructure critique peut être mise à l’arrêt par la simple défaillance d’un prestataire dont personne n’avait mesuré le caractère systémique. L’incendie du Grésivaudan, le sabotage Tesla et le blackout de Berlin de janvier 2026 démontrent la même chose : aucun dispositif de protection périmétrique interne ne peut prévenir une attaque sur une infrastructure externe dont dépend le site.

À Berlin en janvier 2026, des dizaines de milliers de foyers ne dépendaient que d’un seul point de raccordement. Cette vulnérabilité n’avait été identifiée par personne — jusqu’à ce qu’elle soit exploitée.

OIV, SAIV : résilience opérationnelle et nouvelles attentes

Pour les acteurs déjà soumis à des exigences fortes, la directive REC n’est pas un point de départ, mais une étape supplémentaire de maturité. Ces organisations disposent souvent d’une base structurée : gouvernance de sûreté, plans de continuité, procédures de crise, exercices réguliers. Cet avantage est réel. Il ne dispense pas d’un travail de réévaluation.

Le principal enjeu réside dans l’intégration. Dans de nombreuses entreprises, les dispositifs de sûreté, de cybersécurité, de continuité d’activité, de gestion de crise et de pilotage des tiers critiques ont été construits séparément, selon des logiques distinctes. La directive REC oblige à les articuler dans une vision cohérente de la résilience organisationnelle.

Le sabotage des LGV françaises en juillet 2024 est révélateur. La SNCF disposait de plans de continuité. Elle n’avait pas anticipé la simultanéité de quatre attaques coordonnées sur des postes de signalisation stratégiques. L’incendie de l’usine Diehl illustre une dimension supplémentaire : une entreprise industrielle stratégique peut être ciblée non pas seulement pour neutraliser sa production, mais pour fragiliser une chaîne d’approvisionnement critique.

La question centrale pour tout opérateur critique devient : les dispositifs existants permettent-ils non seulement de protéger, mais aussi de maintenir le service essentiel, de fonctionner en mode dégradé et de reprendre rapidement dans un contexte de crise complexe ?

Continuité d’activité et infrastructures critiques : au-delà du périmètre historique

La directive REC doit également retenir l’attention d’entreprises qui ne se considèrent pas spontanément comme concernées. L’épisode des aéroports européens de septembre 2025 est particulièrement instructif. Collins Aerospace n’est pas un aéroport. C’est un prestataire logiciel dont la défaillance a suffi à paralyser simultanément plusieurs infrastructures critiques dans plusieurs pays.

L’incendie du Grésivaudan en 2022 et le sabotage du pylône Tesla en 2024 illustrent le même mécanisme dans une filière industrielle. Dans les deux cas, la dépendance à une alimentation externe non redondée a suffi à provoquer l’arrêt — depuis l’extérieur du périmètre.

La logique de la directive conduit à apprécier le caractère critique d’une entité à partir de son impact potentiel sur la continuité d’un service essentiel, et non à partir d’une qualification historique. Une organisation n’a pas besoin d’être classée « vitale » pour le devenir dans les faits.

Anticiper dès maintenant : continuité d’activité et résilience opérationnelle

Attendre la stabilisation complète du cadre national serait une erreur d’appréciation. Le projet de loi français, voté au Sénat en mars 2025, est toujours en cours d’examen à l’Assemblée nationale. Mais la philosophie du texte est suffisamment claire pour agir. L’Allemagne, qui a transposé la directive fin janvier 2026, illustre ce que signifie agir sans attendre.

Plusieurs démarches méritent d’être engagées sans délai :

  • Identifier les fonctions critiques : distinguer ce qui est important de ce qui est réellement indispensable à la continuité, et cartographier les dépendances internes et externes. Les surprises surgissent presque toujours sur des dépendances que personne n’avait formalisées.
  • Faire évoluer l’analyse de risques : vers une approche multi-menaces et multi-scénarios combinant défaillance fournisseur, incident cyber, rupture énergétique, désorganisation logistique. Le blackout ibérique a montré que c’est la combinaison de facteurs, et non une cause unique, qui conduit à l’effondrement.
  • Évaluer les capacités réelles : gouvernance de crise, fonctionnement en mode dégradé, capacité de reprise, robustesse du pilotage des prestataires essentiels. Brussels Airlines, lors de la cyberattaque de septembre 2025, a maintenu ses opérations parce qu’elle avait anticipé et disposait d’un système indépendant. Les autres compagnies présentes à Bruxelles ce week-end-là n’avaient pas cette résilience.

 

Trois questions à poser sans attendre

  • Quelles fonctions sont réellement indispensables à la continuité du service ? Quelles dépendances internes et externes conditionnent leur maintien ?
  • Que se passe-t-il si un fournisseur clé, un système ou une infrastructure d’alimentation tombe pendant plusieurs jours ? L’organisation a-t-elle cartographié ce risque ?
  • L’organisation dispose-t-elle de plans testés, d’une chaîne de décision claire et d’une capacité de reprise crédible pour continuer à assurer l’essentiel si la crise survient ?

Un sujet de direction générale

La préparation à REC ne peut pas être traitée comme un chantier de conformité spécialisé. Elle engage des arbitrages de gouvernance, de priorisation et d’organisation qui relèvent directement de la direction générale, en lien avec les fonctions sécurité, cyber, continuité, juridique et communication de crise.

Les organisations les plus robustes ne sont pas celles qui accumulent les procédures. Ce sont celles qui disposent d’une lecture claire de leurs fonctions essentielles, d’une chaîne de décision maîtrisée et d’une capacité démontrée à absorber un choc sans rupture majeure de service. La solidité d’un dispositif de résilience se vérifie dans les premières heures d’un incident, pas dans l’épaisseur d’un plan.

En février 2026, les dirigeants de l’industrie électrique européenne ont posé la question en termes clairs devant la Conférence de Munich : la résilience énergétique mérite d’être traitée avec la même urgence que la défense. Dans un contexte où les menaces sont plus fréquentes, plus hybrides et plus systémiques qu’elles ne l’ont jamais été, la directive REC doit être abordée pour ce qu’elle est : un cadre structurant pour renforcer durablement la robustesse des organisations qui tiennent une fonction essentielle dans l’économie et la société.

En résumé

REC n’est pas un exercice réglementaire supplémentaire. C’est un test de robustesse pour les organisations qui tiennent une fonction essentielle — et un signal clair que protéger ne suffit plus : il faut désormais être capable de tenir.de confusion.

C’est pourquoi elle doit être pensée comme un objet à part entière de la préparation, comme une séquence stratégique autonome, avec ses règles, ses priorités et ses exigences propres.

Altaïr Conseil vous accompagne

Notre équipe accompagne les organisations dans la structuration de leur démarche de résilience, en articulation avec leurs obligations réglementaires et leurs enjeux sectoriels.

Nous contacter