Arrêté du 26 octobre 2022 portant approbation de l'instruction générale interministérielle n° 1337/SGDSN/ANSSI sur l'organisation de la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics

Date de signature :26/10/2022 Statut du texte :En vigueur
Date de publication :30/10/2022 Emetteur :Première ministre
Consolidée le : Source :JO du 30 octobre 2022
Date d'entrée en vigueur :01/11/2022

Arrêté du 26 octobre 2022 portant approbation de l'instruction générale interministérielle n° 1337/SGDSN/ANSSI sur l'organisation de la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics

NOR : PRMD2221955A

La Première ministre, Arrêtent :

Art. 1er. – L’instruction générale interministérielle no 1337/SGDSN/ANSSI sur l’organisation de la sécurité numérique du système d’information et de communication de l’Etat et de ses établissements publics annexée au présent arrêté est approuvée.

Art. 2. – Le ministre de l’économie, des finances et de la souveraineté industrielle et numérique, le ministre de l’intérieur et des outre-mer, la ministre de l’Europe et des affaires étrangères, le garde des sceaux, ministre de la justice, le ministre des armées, le ministre du travail, du plein emploi et de l’insertion, le ministre de l’éducation nationale et de la jeunesse, la ministre de l’enseignement supérieur et de la recherche, le ministre de l’agriculture et de la souveraineté alimentaire, le ministre de la transition écologique et de la cohésion des territoires, la ministre de la transition énergétique, la ministre de la culture, le ministre de la santé et de la prévention, le ministre des solidarités, de l’autonomie et des personnes handicapées, le ministre de la transformation et de la fonction publiques et la ministre des sports et des jeux Olympiques et Paralympiques sont chargés, chacun en ce qui le concerne, de l’exécution du présent arrêté, qui entrera en vigueur le premier jour du sixième mois suivant celui de sa publication au Journal officiel de la République française.

Fait le 26 octobre 2022.

Le ministre de l’économie, des finances
et de la souveraineté industrielle et numérique,
Bruno Le Maire
 
La ministre de l’Europe et des affaires étrangères,
Catherine Colonna

La Première ministre,
Pour la Première ministre et par délégation : La secrétaire générale du Gouvernement,
CLAIRE LANDAIS
 
Le ministre de l’intérieur et des outre-mer,
Gérald Darmanin
 
Le garde des sceaux, ministre de la justice,
Éric Dupond-Moretti

Le ministre des armées,
Sébastien Lecornu
  
Le ministre de l’éducation nationale et de la jeunesse,
Pap Ndiaye
 
Le ministre de l’agriculture et de la souveraineté alimentaire,
Marc Fesneau
 
La ministre de la transition énergétique,
Agnès Pannier-Runacher
 
Le ministre de la santé et de la prévention,
François Braun
 
Le ministre de la transformation et de la fonction publiques,
Stanislas Guerini

Le ministre du travail, du plein emploi et de l’insertion,
Olivier Dussopt
  
La ministre de l’enseignement supérieur et de la recherche,
Sylvie Retailleau
  
Le ministre de la transition écologique et de la cohésion des territoires,
Christophe Béchu
 
La ministre de la culture,
Rima Abdul-Malak
 
Le ministre des solidarités, de l’autonomie et des personnes handicapées,
Jean-Christophe Combe
 
La ministre des sports et des jeux Olympiques et Paralympiques,
Amélie Oudéa-Castéra

ANNEXE

INSTRUCTION GÉNÉRALE INTERMINISTÉRIELLE No 1337/SGDSN/ANSSI SUR L’ORGANISATION DE LA SÉCURITÉ NUMÉRIQUE DU SYSTÈME D'INFORMATION ET DE COMMUNICATION DE L'ÉTAT ET DE SES ÉTABLISSEMENTS PUBLICS
 
 

1. Introduction

En s’inscrivant pleinement dans la dynamique de la transformation numérique, les ministères et les établissements publics investissent largement le domaine du numérique. Ainsi, le système d’information et de communication de l’Etat devient désormais essentiel pour l’accomplissement des missions de ces administrations. Dans cette perspective, il importe que l’amélioration de la relation entre le public et l’administration qu’apporte le numérique ne soit pas sapée par une dégradation de la confiance des usagers dans ce système d’information et de communication.
Or, l’actualité montre que le développement du numérique est aussi générateur d’opportunités et de développements pour des attaquants aux profils et aux objectifs très variés. Au moment de la rédaction de cette instruction, la tendance est à la généralisation des menaces de masse telles que les rançongiciels aux conséquences significatives pour les administrations.
Compte tenu de ces menaces, la sécurité numérique, composante essentielle de la confiance numérique, ne doit plus être un domaine réservé aux seuls spécialistes. Le risque associé aux cyberattaques, s’il a ses spécificités, ne doit plus être traité de manière singulière. Il devient impératif que chaque direction d’administration, jusqu’au plus haut niveau hiérarchique, appréhende le risque numérique au même titre que les autres risques afin d’y consacrer les ressources humaines, budgétaires et techniques suffisantes pour le couvrir.
Cette prise en compte doit s’effectuer dans l’ensemble des missions de ces administrations mais également dans la définition d’une organisation de la gouvernance de la sécurité numérique, se déclinant à tous les échelons de l’Etat.
La présente instruction définit l’organisation ainsi que les instances de la gouvernance de la sécurité numérique au niveau interministériel, dans les ministères, ainsi que dans les établissements publics d’Etat. Cette organisation conforte celle déjà définie dans la réglementation relative à la sécurité numérique en vigueur – notamment au travers de la protection du secret de la défense nationale avec l’instruction générale interministérielle 1300 – et l’étend pour permettre, notamment, l’appropriation du champ de la sécurité numérique par les chaînes métier. Elle porte également l’objectif de permettre une action coordonnée entre les acteurs du numérique, ceux de la sécurité numérique, de la protection des données à caractère personnel et de la protection du secret de la défense nationale. Cet objectif se traduit aussi par la compatibilité entre les trois gouvernances respectives, afin de permettre une articulation efficace entre celles-ci et un niveau de synergie suffisant.
Afin de permettre aux ministères de mettre en œuvre cette organisation et ces instances tout en tenant compte de leurs particularités et de l’organisation existante, il est demandé à ces derniers de décliner l’organisation prévue par la présente instruction en s’appuyant sur l’existant autant que possible et en la précisant le cas échéant.
La première section de la présente instruction décrit les rôles et responsabilités associés à la gouvernance de la sécurité numérique au niveau interministériel. Cette section présente également les instances interministérielles de gouvernance de la sécurité numérique.
La deuxième section décrit les rôles et responsabilités associés à la gouvernance de la sécurité numérique dans les ministères. Cette section présente également les instances ministérielles de gouvernance de la sécurité numérique.
La troisième et dernière section décrit les rôles et responsabilités associés à la gouvernance de la sécurité numérique dans les établissements publics de l’Etat.
 

2. Champ d'application

L’application de la présente instruction est obligatoire pour les ministères et les établissements publics de l’Etat, quel que soit leur régime, ci-après nommés « établissements ». Les principes énoncés doivent être déclinés dans des instructions ministérielles en précisant les rôles et responsabilités au niveau ministériel.
L’application de l’organisation décrite dans le chapitre 5 de cette organisation est recommandée pour tous les autres organismes publics.
L’application de la présente instruction est sans préjudice de l’application de réglementations spécifiques, notamment celles relatives à la protection du secret de la défense nationale et à la protection des données à caractère personnel.

 
3. Organisation interministérielle de la gouvernance de la sécurité numérique de l’Etat

3.1.Vue d’ensemble de l’organisation interministérielle

3.1.1.Rappel de l’organisation de niveau étatique en matière de numérique

L’Etat se dote d’une stratégie du numérique de l’Etat (1) qui vise à orienter les actions des administrations de l’Etat pour améliorer les services rendus par le système d’information et de communication de l’Etat. Le ministère de la transformation et de la fonction publique promeut les actions propres à accélérer la transformation numérique de l’Etat. La stratégie numérique de l’Etat est élaborée par le directeur interministériel du numérique sous l’autorité de son ministre de tutelle et approuvée par le Premier ministre. Le directeur interministériel du numérique pilote sa mise en œuvre, en liaison avec les directions du numérique des ministères.

3.1.2 Organisation étatique en matière de sécurité numérique

A travers la présente instruction, l’Etat se dote d’une politique de sécurité numérique de l’Etat.
Cette politique est complétée par les orientations stratégiques de sécurité numérique et la feuille de route associée, définies dans le comité stratégique interministériel de la sécurité numérique et validées en instance stratégique de niveau politique (cf. 3.3.1).
Les rôles et responsabilités contribuant particulièrement à la sécurité numérique au niveau interministériel, ainsi que les instances de gouvernance permettant de définir la stratégie interministérielle de sécurité numérique et d'assurer le suivi de sa mise en œuvre, sont décrits ci-après.

3.2.Rôles et responsabilités

3.2.1. Le Premier ministre

Le Premier ministre, en tant que responsable du système d’information et de communication de l’Etat (2), définit la politique de sécurité numérique de l'Etat. A ce titre, il valide l’organisation et les principes de la sécurité numérique du système d’information et de communication de l’Etat.
Le Premier ministre est assisté, dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale, par le secrétaire général de la défense et de la sécurité nationale qui propose et met en œuvre la politique du gouvernement en matière de sécurité numérique. Il dispose à cette fin de l’Agence nationale de la sécurité des systèmes d’information (3).

3.2.2. L’Agence nationale de la sécurité des systèmes d’information (ANSSI)

L’Agence nationale de la sécurité des systèmes d’information (4) assiste le secrétaire général de la défense et de la sécurité nationale pour la mise en œuvre de la politique de sécurité numérique de l’Etat. L’Agence nationale de la sécurité des systèmes d’information accompagne la direction interministérielle du numérique et les ministères dans l’articulation de cette politique avec leurs missions et en contrôle l’application.
L’Agence nationale de la sécurité des systèmes d’information anime et coordonne les travaux interministériels en matière de sécurité numérique. Elle élabore les mesures de sécurité des systèmes d'information et de communication proposées au Premier ministre et veille à leur application.
En lien avec chacun des ministères, l’Agence nationale de la sécurité des systèmes d’information réalise, selon une programmation annuelle, des audits et des inspections.
Elle rend compte de cette mise en œuvre en comité stratégique interministériel de la sécurité numérique.
L’Agence nationale de la sécurité des systèmes d’information, à travers son centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), diffuse les informations relatives aux vulnérabilités des systèmes d’information et de communication et aux menaces. Ce centre est également le point de contact unique de signalement des incidents de sécurité.
L’Agence nationale de la sécurité des systèmes d’information maintient à jour un catalogue des services qu’elle propose aux administrations de l’Etat pour les accompagner dans leurs missions relatives à la sécurité numérique.
L’Agence nationale de la sécurité des systèmes d’information coordonne la réponse aux crises affectant la sécurité numérique de l’Etat selon l’organisation présentée en section 3.4.
Une convention entre l’Agence nationale de la sécurité des systèmes d’information et chaque ministère précise les relations entre les parties et décrit les services auxquels recourent les ministères ainsi que les modalités et responsabilités associées.
Le directeur général de l’Agence nationale de la sécurité des systèmes d’information est membre du comité stratégique interministériel de la sécurité numérique (cf. 3.3.2).
Il préside le comité interministériel de pilotage de la sécurité numérique (cf. 3.3.3). L’Agence nationale de la sécurité des systèmes d’information assure le secrétariat de ce comité.

3.2.3. Le directeur interministériel du numérique (DINUM)

La direction interministérielle du numérique propose au Premier ministre et met en œuvre la stratégie numérique de l’Etat (5). Elle s’assure de la bonne prise en compte de la politique de sécurité numérique de l'Etat dans cette stratégie ainsi que dans les différents projets qui lui sont soumis au titre de cette stratégie et de ses attributions (6).
Pour les sujets relatifs à la sécurité numérique des services interministériels dont elle a la charge, la direction interministérielle du numérique s’inscrit dans la chaîne fonctionnelle de sécurité des systèmes d’information des services du Premier ministre.
Le directeur interministériel du numérique est autorité qualifiée en sécurité des systèmes d’information des systèmes d’information et de communication transverses dont il a la responsabilité. A ce titre, il assume les responsabilités décrites au 4.2.3.
La direction interministérielle du numérique établit et maintient à jour un catalogue des services qu’elle propose et le communique aux administrations de l’Etat afin de les accompagner dans leurs projets de transformation numérique. Pour chaque service, ce catalogue précise le niveau de sécurité numérique, le périmètre et les conditions d’emploi validés par l'autorité d'homologation.
Le directeur interministériel du numérique est membre du comité stratégique interministériel de la sécurité numérique (cf. 3.3.2).


3.3.Les instances interministérielles de la sécurité numérique

3.3.1. Instance stratégique de niveau politique

Il est organisé régulièrement et au minimum une fois par an une réunion interministérielle, à l’initiative du Premier ministre, relative à la cybersécurité.

3.3.2. Le comité stratégique interministériel de la sécurité numérique (COSINUS)

Le comité stratégique interministériel de la sécurité numérique est présidé par le secrétaire général de la défense et de la sécurité nationale et se compose :

L’Agence nationale de la sécurité des systèmes d’information assure le secrétariat du comité stratégique interministériel de la sécurité numérique.
Le secrétaire général de la défense et de la sécurité nationale et chaque haut fonctionnaire de défense et de sécurité présentent le niveau de sécurité numérique pour leur domaine de responsabilité et les plans d’actions associés. Ils présentent également une synthèse sur les incidents de sécurité passés.
Le directeur général de l’Agence nationale de la sécurité des systèmes d’information présente un état de la menace relative à la sécurité numérique.
Sur la base de ces présentations, le comité stratégique interministériel de la sécurité numérique peut proposer la révision de la prise en compte de la sécurité numérique par les ministères dans la stratégie numérique de l’Etat ainsi que dans la présente instruction. Il définit les orientations stratégiques en matière de sécurité numérique et la feuille de route associée qui seront présentées en instance stratégique de niveau politique (cf. 3.3.1).
Le comité stratégique interministériel de la sécurité numérique se réunit au minimum une fois par an, en amont des dialogues de gestion budgétaire.

3.3.3. Le comité interministériel de pilotage de la sécurité numérique (CINUS)

Présidé par le directeur général de l’Agence nationale de la sécurité des systèmes d’information, le comité interministériel de pilotage de la sécurité numérique est composé des fonctionnaires de la sécurité des systèmes d’information de chaque ministère. Sont également conviés des représentants des services de la Présidence de la République, de l’Assemblée nationale, du Sénat et de la direction interministérielle du numérique, qualifiés sur les sujets relatifs au pilotage de la sécurité numérique.
Le comité interministériel de pilotage de la sécurité numérique suit la mise en œuvre de la feuille de route validée lors de l’instance stratégique de niveau politique (cf. 3.3.1) en proposant une instance de partage et de réflexion sur les difficultés éventuellement rencontrées et l’actualité relative à la sécurité numérique.
Le comité interministériel de pilotage de la sécurité numérique se réunit sur une base mensuelle et en tant que de besoin.

3.4.Gestion interministérielle de crise

L’Agence nationale de la sécurité des systèmes d’information assure la coordination du traitement des incidents de sécurité interministériels de manière adaptée à l’ampleur de ceux-ci. En particulier, lorsque cela est justifié, l’Agence nationale de la sécurité des systèmes d’information apporte son soutien au secrétaire général de la défense et de la sécurité nationale pour organiser la coordination interministérielle afin de permettre :

Lorsque cet évènement de sécurité numérique fait l’objet d’un suivi par le centre de coordination des crises cyber (C4) ou par la cellule interministérielle de crise (CIC), l’Agence nationale de la sécurité des systèmes d’information assure la liaison avec ces enceintes.

4. Organisation ministérielle de la gouvernance de la sécurité numérique de l’Etat

Le présent chapitre vise à définir les rôles et responsabilités contribuant à la sécurité numérique selon une approche générique. Ces rôles et responsabilités sont déclinés et mis en œuvre au sein de chaque ministère en s’inscrivant dans ses spécificités. Dans une perspective d’efficacité, cette déclinaison s’articule avec l’organisation en matière de numérique, de protection des données à caractère personnel et de protection du secret de la défense nationale.

4.1 Vue d’ensemble de l’organisation ministérielle

4.1.1. Rappel de l’organisation ministérielle en matière de numérique

La responsabilité du Premier ministre sur le système d’information et de communication de l’Etat est déléguée de plein droit à chaque ministre dans la mesure requise pour l’exercice de ses attributions (7). Ainsi, chaque ministère met en place une structure qui organise et met œuvre la stratégie interministérielle du numérique (8).

4.1.2. Organisation ministérielle en matière de sécurité numérique

Chaque ministère est responsable d'assurer la gouvernance, la protection, la défense et la résilience des systèmes d’information et de communication qui supportent ses missions.
Chaque ministère définit également des orientations ministérielles stratégiques en matière de sécurité numérique. Ces orientations, déclinées des orientations stratégiques de sécurité numérique de l’Etat validées en instance stratégique de niveau politique (cf. 3.3.1), définissent les priorités ministérielles en matière de sécurité numérique.
Chaque ministère se dote d'une politique ministérielle de sécurité numérique qui définit, conformément à la présente instruction, l’organisation ministérielle de la sécurité numérique afin de tenir compte de ses spécificités. En particulier, et pour répondre à des incidents de sécurité, chaque ministère élabore une stratégie de résilience numérique et s’assure que son dispositif de gestion de crise est en capacité de couvrir les aspects relatifs à la sécurité numérique, dans le respect des principes définis dans le chapitre 4.5 de la présente instruction. Cette politique définit également, sur la base des orientations ministérielles stratégiques en matière de sécurité numérique et de la politique de sécurité numérique de l’Etat, les principes de gouvernance, de protection, de défense et de résilience des systèmes d’information et de communication mis en œuvre sur son périmètre de responsabilité.
Afin de piloter la mise en conformité à la politique ministérielle de sécurité numérique, chaque ministère se dote d’une feuille de route ministérielle de sécurité numérique détaillant les plans d’actions nécessaires à la mise en conformité à cette politique.
Chaque ministère, pour contrôler la conformité à la politique ministérielle de sécurité numérique, consolide de manière régulière un rapport d'évaluation du niveau de sécurité numérique ainsi qu'une synthèse des incidents de sécurité sur son périmètre de responsabilité. Ces éléments, qui s’appuient sur les modèles et méthodologies définis par l’Agence nationale de la sécurité des systèmes d’information, sont notamment présentés en instance stratégique de niveau politique (cf. 3.3.1).
Pour mener à bien ces missions, le ministère s'appuie notamment sur une chaîne fonctionnelle de sécurité des systèmes d’information telle que décrite au chapitre 4.4 de la présente instruction.
Les rôles et responsabilités contribuant particulièrement à la sécurité numérique au niveau ministériel, ainsi que les instances de gouvernance permettant de définir la stratégie ministérielle de sécurité numérique et d'assurer le suivi de sa mise en œuvre, sont décrits ci-après.

4.1.3. Relation entre le ministère et les établissements publics dont il a la tutelle

Au titre de leurs responsabilités (9), les secrétaires généraux des ministères s’assurent de la prise en compte de la sécurité numérique dans la coordination de la tutelle des établissements publics de l’Etat relevant de leur ministère en s’appuyant, notamment, sur la chaîne fonctionnelle de sécurité des systèmes d’information du ministère.

4.2.Rôles et responsabilités

4.2.1. Le ministre

Le ministre est responsable du système d’information et de communication de son ministère (10). A ce titre, il s’assure que l’ensemble des infrastructures et services logiciels informatiques de son ministère sont sous la responsabilité d’une autorité qualifiée en sécurité des systèmes d’information.
Le ministre s’assure de la maîtrise des risques numériques ayant un impact sur l’exécution des missions de son ministère.
Le ministre est garant de la bonne prise en compte de la stratégie numérique de l’Etat et de la politique de sécurité numérique de l’Etat, dans l’élaboration de la politique publique portée par son ministère. Il valide les orientations ministérielles en matière de sécurité numérique ainsi que la politique ministérielle de sécurité numérique.
Le ministre s’assure de la prise en compte de la sécurité numérique dans l’élaboration et la mise en œuvre d’une stratégie de résilience numérique, notamment des plans de continuité et de reprise d’activité pour les missions essentielles portées par son ministère ainsi que dans l’élaboration et la mise en œuvre du dispositif de gestion de crise ministériel en vertu des principes définis au chapitre 4.5 de la présente instruction.
Lorsqu’un établissement, une direction ou un service est sous la tutelle de plusieurs ministères, les ministres concernés décident du ministère de référence sur les sujets relatifs à la sécurité numérique.

4.2.2. Le service du haut fonctionnaire de défense et de sécurité

4.2.2.1. Le haut fonctionnaire de défense et de sécurité

Le haut fonctionnaire de défense et de sécurité (11) conseille le ministre pour toutes les questions relatives à la sécurité numérique (12).
Le haut fonctionnaire de défense et de sécurité propose au ministre la politique ministérielle de sécurité numérique qu’il est chargé d’animer.
Le haut fonctionnaire de défense et de sécurité est l’interlocuteur privilégié du directeur général de l’Agence nationale de la sécurité des systèmes d’information, au sein de son ministère, sur les sujets relatifs à la sécurité numérique de niveau stratégique.
Le haut fonctionnaire de défense et de sécurité est membre du comité stratégique interministériel de la sécurité numérique et participe à l’instance stratégique ministérielle de la sécurité numérique. Il préside l’instance ministérielle de pilotage de la sécurité numérique.
Au titre des missions qu’il exerce (notamment secrétariat général ou directeur général au sein de son ministère), le haut fonctionnaire de défense et de sécurité peut être désigné comme autorité qualifiée en sécurité des systèmes d’information. Il porte alors les responsabilités associées et définies dans la section 4.2.3.

4.2.2.2. Le fonctionnaire de sécurité des systèmes d’information (FSSI)

Le fonctionnaire de sécurité des systèmes d’information conseille et accompagne, au sein de son ministère, l’ensemble des rôles présentés au chapitre 4.2 sur les questions relatives à la sécurité numérique. Sur les sujets relatifs à la sécurité numérique, il peut, le cas échéant, conseiller et accompagner les établissements relevant du ministère et leurs tutelles, les opérateurs régulés (notamment les opérateurs d’importance vitale ou de service essentiel) et toute autre structure dépendante du ministère (13).
Il pilote la mise en œuvre de la politique ministérielle de sécurité numérique. Il est consulté sur la bonne prise en compte de la sécurité numérique dans les politiques publiques ministérielles et la stratégie ministérielle du numérique. Il contrôle l'application des exigences de sécurité numérique définies dans la politique ministérielle de sécurité numérique, la stratégie ministérielle du numérique avec les moyens à sa disposition (par exemple les audits, les contrôles, les bilans).
Le fonctionnaire de sécurité des systèmes d’information accompagne les autorités qualifiées en sécurité des systèmes d’information dans la bonne prise en compte de la sécurité numérique sur leur périmètre de responsabilité et notamment dans l’élaboration, la mise en œuvre et la coordination des stratégies de résilience numérique, supportées par les différents plans de continuité et de reprise d’activité. Le fonctionnaire de sécurité des systèmes d’information contribue à la gestion de crise via l’accompagnement et l’aide à la décision des autorités ministérielles sur les sujets relatifs à la sécurité numérique.
Le fonctionnaire de sécurité des systèmes d’information est nommé par le ministre et placé sous l'autorité hiérarchique du haut fonctionnaire de défense et de sécurité. Il peut disposer d’un ou plusieurs adjoints. Le haut fonctionnaire de défense et de sécurité s'assure que le fonctionnaire de sécurité des systèmes d’information dispose :

Le fonctionnaire de sécurité des systèmes d’information est un des interlocuteurs privilégiés de l’Agence nationale de la sécurité des systèmes d’information au sein du ministère sur les sujets de mise en œuvre de la sécurité numérique ou liés au suivi de la feuille de route ministérielle de sécurité numérique.
Lorsqu’un système d’information et de communication est critique pour la réalisation des missions de plusieurs directions de son ministère, le fonctionnaire de sécurité des systèmes d’information, en lien avec les directions et autorités qualifiées en sécurité des systèmes d’information concernées, propose au haut fonctionnaire de défense et de sécurité, pour arbitrage du ministre, la direction qui en a la responsabilité.
Le fonctionnaire de sécurité des systèmes d’information participe au comité interministériel de pilotage de la sécurité numérique. Il assure le secrétariat, en appui du haut fonctionnaire de défense et de sécurité, de l’instance stratégique ministérielle de la sécurité numérique et de l’instance ministérielle de pilotage de la sécurité numérique. Il anime et coordonne la chaîne fonctionnelle de sécurité des systèmes d'information pour le ministère dont il dépend. Il organise la relation entre son ministère et les établissements publics dont son ministère a la tutelle pour les sujets relatifs à la sécurité numérique.
En tant qu’animateur et coordinateur de la chaîne fonctionnelle de sécurité des systèmes d'information, le fonctionnaire de sécurité des systèmes d'information s’assure que les incidents de sécurité significatifs sont notifiés à l'Agence nationale de la sécurité des systèmes d'information dans les plus brefs délais.

 4.2.3. L'autorité qualifiée en sécurité des systèmes d’information (AQSSI)

L’autorité qualifiée en sécurité des systèmes d’information est responsable de la sécurité des systèmes d’information et de communication qui contribuent à l'exécution des missions dont elle a la charge (14). L’autorité qualifiée en sécurité des systèmes d’information ne peut déléguer cette responsabilité. A ce titre, elle est responsable, en particulier, de :

L’autorité qualifiée en sécurité des systèmes d’information alloue les ressources nécessaires pour mener à bien les projets de transformation numérique de son périmètre de responsabilité et s’assure à ce titre que les risques numériques sont gérés. Ces éléments sont tenus à la disposition du fonctionnaire de sécurité des systèmes d’information.
L’autorité qualifiée en sécurité des systèmes d’information s’assure de la bonne prise en compte de ses orientations en matière de sécurité numérique dans les missions qu’elle porte et dans la stratégie ministérielle du numérique pour laquelle elle rend un avis.
Sur son périmètre de responsabilité, l’autorité qualifiée en sécurité des systèmes d’information contrôle l’application des exigences de sécurité numérique auxquelles elle est soumise. Elle intègre dans la programmation de ses contrôles internes le volet relatif à la sécurité numérique.
Elle remet annuellement au haut fonctionnaire de défense et de sécurité un rapport dans lequel elle intègre l’évaluation du niveau de sécurité numérique et une synthèse des incidents de sécurité ayant impactés ses missions. Ce rapport est synthétisé et présenté en instance stratégique ministérielle de la sécurité numérique (cf. 4.3.1).
L’autorité qualifiée en sécurité des systèmes d’information s’assure de l’élaboration, de la mise en œuvre et du maintien, notamment au travers d’exercices, des plans de continuité et de reprise des activités relevant de son domaine de responsabilité face à des incidents de sécurité.
L’autorité qualifiée en sécurité des systèmes d’information s’assure de la définition et de la mise en œuvre d’un processus de gestion des incidents de sécurité ainsi que d’une organisation de gestion de crise face aux incidents de sécurité, dans le respect des principes définis au chapitre 4.5.
Le rôle d’autorité qualifiée en sécurité des systèmes d’information est assumé par chaque responsable devant le ministre d'une ou plusieurs missions ministérielles. Le ministre définit, sur son domaine de responsabilités, les modalités de nomination des autorités qualifiées en sécurité des systèmes d’information (16).
Conformément au décret no 2019-1088 (17), chaque système d’information et de communication fait l’objet, préalablement à sa mise en œuvre, d’une homologation de sécurité. Sauf pour les exceptions prévues aux articles 6.1.2, 6.2.1 et 6.2.2 de l’instruction générale interministérielle 1300 sur la protection du secret de la défense nationale, l’autorité qualifiée en sécurité des systèmes d’information est l’autorité d’homologation, par défaut, de chaque système d’information et de communication dont elle est responsable.
Lorsque l’autorité qualifiée en sécurité des systèmes d’information délègue l’instruction des démarches d’homologation à une ou plusieurs autorités d’homologation, elle s’assure du respect des recommandations de l’Agence nationale de la sécurité des systèmes d’information. En particulier elle veille à ce qu’une seule et unique autorité d’homologation existe pour chaque système d’information et de communication.
Pour l’assister dans l’exercice de ses responsabilités, l’autorité qualifiée en sécurité des systèmes d’information nomme un conseiller à la sécurité numérique.
L’autorité qualifiée en sécurité des systèmes d’information est membre de l’instance stratégique ministérielle de la sécurité numérique. Elle contribue à la chaîne fonctionnelle de sécurité des systèmes d’information.

4.2.4. Le conseiller à la sécurité numérique (CSN)

Le conseiller à la sécurité numérique conseille et accompagne l’autorité qualifiée en sécurité des systèmes d’information dans l’exercice de ses responsabilités définies au 4.2.3 pour la gestion des risques numériques. Il peut être chargé d’accompagner les autorités d’homologation dans leurs démarches d’homologation.
Le conseiller à la sécurité numérique est placé sous l’autorité d’une autorité qualifiée en sécurité des systèmes d’information. Sans nécessairement être un expert du domaine, il dispose d’une culture de la sécurité numérique lui permettant d’en traduire les enjeux pour le compte de son autorité qualifiée en sécurité des systèmes d’information.
Le conseiller à la sécurité numérique s’appuie sur les compétences à disposition en matière de sécurité numérique, notamment le responsable de la sécurité des systèmes d’information, le directeur ministériel du numérique et les structures en charge du numérique. Il échange également autant que de besoin avec le délégué à la protection des données.
Le conseiller à la sécurité numérique contribue à la chaîne fonctionnelle de sécurité des systèmes d’information et représente l’autorité qualifiée en sécurité des systèmes d’information dans l’instance ministérielle de pilotage de sécurité numérique.

4.2.5. Le directeur ministériel du numérique (DNUM)

Le directeur ministériel du numérique définit la stratégie ministérielle du numérique dans laquelle il s’assure de la bonne prise en compte de la sécurité numérique en respectant la politique ministérielle de sécurité numérique. Il définit le plan de transformation numérique ministériel et le schéma directeur des systèmes d’information et de communication qui décline la mise en œuvre de cette stratégie, en veillant à une bonne répartition des expertises en sécurité numérique entre la direction du numérique et les directions métiers pour une appropriation optimale de la sécurité numérique au sein du ministère. Ces éléments sont soumis à l’avis du fonctionnaire de sécurité des systèmes d’information et validés par le ministre.
Chaque ministère met en place une structure qui organise et pilote les actions du ministère en matière de numérique (18). Outre cette direction ministérielle du numérique, le ministère peut disposer de différentes structures en charge du numérique, qu’elles soient responsables de systèmes d’information et de communication transverses ou qu’elles assurent la mise en œuvre et l’exploitation de systèmes d’information et de communication pour le compte d’une autorité qualifiée en sécurité des systèmes d’information. Il est nécessaire que chaque structure, sur le périmètre qui la concerne, prenne en compte la sécurité numérique. A cet effet, il convient d’y consacrer les ressources humaines nécessaires, en tenant compte de la diversité des profils nécessaire pour suivre la mutation permanente du domaine de la sécurité numérique.
Le directeur ministériel du numérique, dans son rôle d’organisation et de pilotage du système d’information et de communication au sein du ministère, veille, en lien avec le fonctionnaire de sécurité des systèmes d’information, à ce que chaque structure responsable de systèmes d’information et de communication transverses relève de l’autorité d’une autorité qualifiée en sécurité des systèmes d’information.
Le directeur ministériel du numérique veille à ce que chaque structure assurant la mise en œuvre et l’exploitation de systèmes d’information et de communication pour le compte d’une autorité qualifiée en sécurité des systèmes d’information contribue, sous la responsabilité de cette dernière et dans le cadre de la démarche d’homologation, à :

Lorsque cela est nécessaire, et au regard de son rôle en matière de protection des données à caractère personnel, le directeur du numérique veille à ce qu’une analyse d’impact relative à la protection des données soit élaborée. Le directeur ministériel du numérique et chaque responsable de structure en charge du numérique nomment un
ou plusieurs responsables de la sécurité de systèmes d’information pour les assister dans l’exercice des missions listées ci-dessus.
 

4.2.6. Le responsable de la sécurité des systèmes d’information (RSSI)

Le responsable de la sécurité des systèmes d’information conseille et accompagne le directeur ministériel du numérique, le conseiller à la sécurité numérique ou tout responsable d’une structure en charge du numérique dans la mise en œuvre opérationnelle de la sécurité numérique.
Le responsable de la sécurité des systèmes d’information dispose d’une expertise technique en matière de sécurité numérique.
Le responsable de la sécurité des systèmes d’information contribue à la chaîne fonctionnelle de sécurité des systèmes d’information et est membre de l’instance ministérielle de pilotage de sécurité numérique.
 

4.3.Les instances ministérielles de la sécurité numérique

La comitologie décrite dans la présente section sur un modèle générique vise à garantir que le traitement des sujets de sécurité numérique est organisé d’une manière qui leur permet de bénéficier d’un pilotage et d’une attention à un niveau approprié.
Cette comitologie est déclinée et mise en œuvre au sein de chaque ministère en s’inscrivant dans ses spécificités. Dans une perspective d’efficacité, cette déclinaison devra s’articuler avec les comitologies en matière de numérique, de protection des données à caractère personnel et de protection du secret de la défense nationale.
Le ministre s’assure du bon niveau de représentation à ces instances selon les exigences définies ci-après.

4.3.1. L’instance stratégique ministérielle de la sécurité numérique

L’instance stratégique ministérielle de la sécurité numérique a pour objectif de présenter le niveau de sécurité numérique global du ministère afin de définir les orientations stratégiques en matière de sécurité numérique.
Présidée par le ministre, cette instance est composée du haut fonctionnaire de défense et de sécurité, de l’ensemble des autorités qualifiées en sécurité des systèmes d’information du ministère, du directeur ministériel du numérique et peut être élargie à toute autorité en fonction de l’ordre du jour, notamment au directeur général de l’Agence nationale de la sécurité des systèmes d’information.
Le haut fonctionnaire de défense et de sécurité assure le secrétariat de cette instance.
L’instance stratégique ministérielle de la sécurité numérique se réunit au minimum une fois par an, en amont du comité stratégique interministériel de la sécurité numérique.
Chaque autorité qualifiée en sécurité des systèmes d’information présente une synthèse du niveau de sécurité numérique sur son périmètre de responsabilité ainsi qu’une synthèse des incidents de sécurité. Elle présente les plans d’action associés.
L’instance stratégique ministérielle de la sécurité numérique vérifie la bonne prise en compte de la sécurité numérique dans les politiques publiques portées par le ministère ainsi que dans la stratégie ministérielle numérique. En s’appuyant sur les éléments ci-dessus et en tenant compte des orientations prises en comité stratégique
interministériel de la sécurité numérique, l’instance stratégique ministérielle de la sécurité numérique définit, pour son ministère, les orientations stratégiques en matière de sécurité numérique. Ces orientations sont déclinées dans une feuille de route pluriannuelle.
L’instance stratégique ministérielle de la sécurité numérique est l’instance qui permet, le cas échéant, d’arbitrer les questions budgétaires, sur la base des éléments qui lui sont communiqués, relatifs à la sécurité numérique des systèmes d’information et de communication.
 

4.3.2. L’instance ministérielle de pilotage de la sécurité numérique

L’instance ministérielle de pilotage de la sécurité numérique a pour objectif de piloter les activités relatives à la sécurité numérique et d’assurer le suivi de la feuille de route validée lors de l’instance stratégique ministérielle de la sécurité numérique.
Présidée par le haut fonctionnaire de défense et de sécurité, l’instance ministérielle de pilotage de la sécurité numérique est composée du fonctionnaire de sécurité des systèmes d’information, des conseillers à la sécurité numérique et responsables de la sécurité des systèmes d’information du ministère et peut être élargie à toute personne pertinente pour discuter des sujets présentés ci-dessus, notamment à des responsables métiers du numérique.
Le secrétariat de cette instance est assuré par le fonctionnaire de sécurité des systèmes d’information.
L’instance ministérielle de pilotage de la sécurité numérique se réunit au minimum quatre fois par an et en tant que de besoin, sur convocation de son président.
Cette instance assure un suivi sur les activités liées à la sécurité numérique, en particulier les homologations, les plans de traitement des risques associés, la gestion des incidents de sécurité comportant une composante numérique et la prise en compte de la sécurité numérique dans le dispositif de gestion de crise ministériel. Elle assure également un suivi de la feuille de route définie par l’instance stratégique ministérielle de la sécurité numérique.
L’instance ministérielle de pilotage de la sécurité numérique traite les points d’arbitrage sur les orientations techniques suivies au sein du ministère, programme les audits, suit la mise en œuvre des plans d’action associés, en étroite collaboration avec les responsables métiers du numérique et prépare les éléments en vue de la tenue de l’instance stratégique ministérielle de la sécurité numérique.

4.4.La chaîne fonctionnelle de sécurité des systèmes d'information

La chaîne fonctionnelle de sécurité des systèmes d’information est animée par le fonctionnaire de sécurité des systèmes d’information. Elle s’organise, au sein d’un ministère, autour de l’ensemble des autorités qualifiées en sécurité des systèmes d’information, des conseillers à la sécurité numérique, des responsables de la sécurité des systèmes d’information et des autorités d’homologation. Cette chaîne fonctionnelle est déclinée dans les différentes entités dont le ministère a la charge au titre d’une tutelle ou des différentes réglementations applicables.
La chaîne fonctionnelle de sécurité des systèmes d’information rend compte au fonctionnaire de sécurité des systèmes d’information de l’application de la politique ministérielle de sécurité numérique.
Cette chaîne fonctionnelle de sécurité des systèmes d’information participe à la gestion et au traitement d’un incident de sécurité ou d’une crise lorsque ceux-ci comportent une composante numérique. En particulier, la chaîne fonctionnelle remonte toute information pertinente à l’autorité qualifiée en sécurité des systèmes d’information afin d’éclairer les décisions qu’elle prend. Si les conséquences concernent plus d’une direction métier, les informations sont remontées au fonctionnaire de sécurité des systèmes d’information.
Elle propose et conseille les autorités dans le domaine de la sécurité numérique, notamment sur les mesures de sécurité à mettre en œuvre. Elle contribue à fournir les éléments pertinents en vue des instances stratégiques et de pilotage de la sécurité numérique au sein du ministère.

4.5.La gestion de crise

Le ministre s’assure de la bonne prise en compte de la sécurité numérique dans le dispositif de gestion de crise ministériel. Cette intégration s’appuie sur l’implication de la chaîne fonctionnelle de sécurité des systèmes d’information. Le ministre s’assure que les autorités qualifiées en sécurité des systèmes d’information sont parties prenantes au processus de décision dans la gestion de la crise. Il s’assure également que les équipes opérationnelles, en particulier les équipes techniques de réponse aux incidents de sécurité, sont intégrées dans cette organisation de gestion de crise.
Ainsi, dans le cadre de la gestion des incidents de sécurité comportant une composante numérique, le fonctionnaire de sécurité des systèmes d’information propose au haut fonctionnaire de défense et de sécurité, en lien avec les différentes autorités qualifiées en sécurité des systèmes d’information, les critères d’évaluation d’un incident de sécurité (20) pour décider de l’activation ou de la désactivation de la cellule de crise de cyberdéfense. Ces critères tiennent compte, notamment, de la criticité du ou des systèmes d’information et de communication affectés et de la gravité des conséquences évaluées.
Le dispositif de gestion de crise ministériel, dans son volet relatif à la communication, intègre les particularités liées à la sécurité numérique et tient compte des exigences réglementaires applicables, notamment en matière de notification d’incidents de sécurité. Les services ministériels spécialisés dans la communication sont associés à ces activités.
En préparation de crises majeures, le ministre s’assure de l’articulation du dispositif de crise ministériel avec le dispositif de gestion des crises majeures de l’Etat (21).
Concernant la sécurité numérique, le ministre s’assure de la coordination de son dispositif avec celui de l’Agence nationale de la sécurité des systèmes d’information.
Afin d'éprouver les capacités opérationnelles de résilience numérique du dispositif de gestion de crise de son ministère, le haut fonctionnaire de défense et de sécurité s’assure de l’organisation d’exercices de gestion de crise ou de la participation de son ministère à des exercices planifiés. Ces exercices doivent intégrer un volet relatif à la sécurité numérique, se traduisant par l'intégration de cette thématique dans les scénarios métiers.
Après chaque exercice ou chaque crise subie, le ministre s’assure de la réalisation d’un retour d'expérience afin d'identifier les forces et les faiblesses du dispositif mis en œuvre. Ce retour d'expérience intègre un volet relatif à la sécurité numérique. Le ministre s’assure que les mesures nécessaires sont prises pour traiter les faiblesses identifiées.
 

5. Organisation de la gouvernance de la sécurité numérique dans les établissements publics de l’Etat

Le dirigeant exécutif de l’établissement est responsable, sur son périmètre, de la sécurité numérique. Cette responsabilité se traduit par les exigences suivantes (22).

5.1.Le Point de contact relatif à la sécurité numérique

Le dirigeant exécutif de l’établissement nomme sous son autorité hiérarchique un point de contact pour les sujets relatifs à la sécurité numérique.
Ce point de contact est l’interlocuteur privilégié du ministère de tutelle et de l’Agence nationale de la sécurité des systèmes d’information sur tous les sujets relatifs à la sécurité numérique. Le dirigeant exécutif de l’établissement s’assure que les informations de contact de ce référent sont communiquées au ministère de tutelle et à l’Agence nationale de la sécurité des systèmes d’information.

5.2.L’organisation de la gouvernance

Sur la base des rôles et responsabilités définies aux sections 4.2.3 et suivants, le dirigeant exécutif de l’établissement s’assure de la définition et de la mise en œuvre d’une organisation adaptée pour assurer la sécurité numérique des systèmes d’information et de communication qui participent aux missions de l’établissement.
Un organigramme détaillé de cette organisation est maintenu à jour et tenu à disposition du ministère de tutelle et de l’Agence nationale de la sécurité des systèmes d’information.

5.3.Suivi des activités en matière de sécurité numérique de l’établissement public

Le dirigeant exécutif de l’établissement consolide et communique annuellement au ministère de tutelle les résultats de l’évaluation du niveau de sécurité numérique de son établissement.

5.4.La déclaration des incidents de sécurité

Les incidents de sécurité affectant le système d’information et de communication de l’établissement sont déclarés aux ministères de tutelle via la chaîne fonctionnelle de sécurité des systèmes d’information et sont également déclarés à l’Agence nationale de la sécurité des systèmes d’information (23).

6. Glossaire

Autorité d’homologation : personne physique qui, après instruction du dossier d’homologation, prononce l’homologation de sécurité du système d’information et de communication, c’est-à-dire, prend la décision d’accepter les risques résiduels identifiés sur le système.
Crise : une crise se définit par ses impacts, notamment sur les services numériques (par exemple : indisponibilité suite à un rançongiciel), dont les conséquences sont perceptibles au niveau métier (par exemple : interruption ou perturbation de l'activité, conséquences financières, juridiques ou en termes d'image). La crise s’inscrit, notamment, dans la continuité d’un incident de sécurité numérique dont les conséquences sont telles que l’organisation et les procédures définies ne sont pas suffisantes pour arriver à le gérer.
Politique du numérique : document qui définit les orientations en matière de transformation numérique d’un ministère ou d’un établissement. Au niveau interministériel, cette politique est portée par la direction interministérielle du numérique sous le nom de stratégie numérique de l’Etat.
Politique de sécurité numérique : document qui définit les orientations en matière de sécurité numérique d’un ministère ou d’un établissement. Au niveau interministériel, cette politique est portée par l’Agence nationale de la sécurité des systèmes d’information. La présente instruction en est une composante.
Résilience numérique : la résilience numérique désigne la capacité d’une organisation à mettre en place les moyens opérationnels adaptés aux menaces et les déployer pour, en cas de crise, être en mesure de maintenir et rétablir les services rendus par les systèmes d’information et de communication concourant à la réalisation des activités critiques de l’organisation, qu’ils soient internes ou externes. 
Sécurité numérique : ensemble d’activités organisationnelles, techniques ou juridiques visant à protéger et défendre les systèmes d’information et de communication, ainsi que les informations qu’ils manipulent, contre d’éventuels incidents de sécurité de nature accidentelle ou intentionnelle, et à assurer la résilience numérique des entités concernées.
Système d’information et de communication de l’Etat : défini à l’article 1er  du décret no  2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique, « [l]e système d'information et de communication de l'Etat est composé de l'ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique les données qui concourent aux missions des services de l'Etat et des organismes placés sous sa tutelle. »
Système d'information et de communication : sous-ensemble du système d’information et de communication de l’Etat mis en œuvre par une direction ou un service d’un ministère ou par un établissement public de l’Etat pour la réalisation de ses missions.
 

7. Références

Articles L. 1111-3, R.* 1132-3, R. 1143-1, R. 1143-4 et R. 1143-5 du code de la défense.
Décret no 87-389 du 15 juin 1987 modifié, relatif à l'organisation des services d'administration centrale. Décret no 2009-834 du 7 juillet 2009 modifié, portant création d'un service à compétence nationale dénommé
« Agence nationale de la sécurité des systèmes d'information ».
Décret no 2019-1088 du 25 octobre 2019 modifié relatif au système d’information et de communication de l’Etat et à la direction interministérielle du numérique.
Arrêté du 9 août 2021 portant approbation de l'instruction générale interministérielle no 1300 sur la protection du secret de la défense nationale.

                                             
(1) Décret no 2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique, art. 6.
(2) Décret no 2019-1088, art. 1er.
(3) Article R.* 1132-3 du code de la défense.
(4) Décret no 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information ». (5) Décret no 2019-1088, art. 6, 1o.
(6) Décret no 2019-1088, art. 3.
(7) Décret no 2019-1088, art. 2.
(8) Décret no 2019-1088, art. 7.
(9) Décret no 87-389 du 15 juin 1987 relatif à l'organisation des services d'administration centrale, art. 3-8, 8o.
(10) Décret no 2019-1088, art. 2.
(11) Pour les ministères des armées et de l’Europe et des affaires étrangères : le haut fonctionnaire correspondant de défense et de sécurité. Pour le ministère de l’intérieur : le haut fonctionnaire de défense (article R. 1143-1 du code de la défense).
(12) Articles R. 1143-4 et R. 1143-5 du code de la défense.
(13) Décret no 2019-1088, art. 4-1.
(14) Décret no 2019-1088, art. 4-2.
(15) Il est recommandé de se référer aux recommandations de l’ANSSI pour l’élaboration de ces cartographies.
(16) En particulier et dans la mesure du possible, les AQSSI définies au titre de la présente instruction sont nommées en cohérence avec celles prévues à l’article R. 2321-6-2 du code de la défense.
(17) Décret no 2019-1088, art. 4-3.
(18) Décret no 2019-1088, art. 7.
(19) Il est recommandé de se référer aux recommandations de l’ANSSI pour l’élaboration de ces cartographies.
(20) Ces critères peuvent s’appuyer sur l’échelle de classement des attaques informatiques publiée dans la Revue stratégique de cyberdéfense du 12 février 2018.
(21) Au sens de l’article L. 1111-3 du code de la défense.
(22) Décret no 2019-1088, art. 4-4.
(23) Des entités spécialisées peuvent être également rendues destinataires des remontées d’incident en fonction des spécificités du ministère.

Source Légifrance