Le Conseil d’État publie tous les ans un rapport d’activités. Celui de 2024 comporte un volet consacré à la sécurité face au respect des libertés. On y évoque les cyberattaques et en particulier le fait que depuis 2013, des entreprises et des administrations dont l’activité est indispensable au fonctionnement et la sécurité des du pays (accès aux soins, fournitures d’énergie, transport, télécommunications) sont désignées comme opérateurs d’importance vitale (OIV) par l’État.

En 2024, le gouvernement a préparé un projet de loi transposant 3 directives européennes pour mieux préparer les OIV au risque de cyberattaques. L’avis du conseil d’État a donc été sollicité. Le projet prévoit le passage de 600 OIV à 15000 OIV, incluant ainsi des collectivités, départements groupements de communes et collectivités d’outre-mer. Chaque OIV doit se doter d’un plan de résilience visant à permettre la poursuite de son activité en cas d’attaque, avec des sanctions administratives. Les collectivités locales et les administrations de l’État devaient faire l’objet d’une exception concernant ces sanctions mais le conseil d’État préconise de ne pas exempter les collectivités locales. Cette partie du rapport est disponible ici.