Arrêté du 17 avril 2023 fixant les règles de sécurité et les modalités de déclaration des systèmes d'information d'importance vitale et des incidents de sécurité relatives au sous-secteur d'activités d'importance vitale « Veille et alerte sanitaires » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense

Date de signature :17/04/2023 Statut du texte :En vigueur
Date de publication :23/04/2023 Emetteur :Première ministre
Consolidée le : Source :JO du 23 avril 2023
Date d'entrée en vigueur :01/07/2023

Arrêté du 17 avril 2023 fixant les règles de sécurité et les modalités de déclaration des systèmes d'information d'importance vitale et des incidents de sécurité relatives au sous-secteur d'activités d'importance vitale « Veille et alerte sanitaires » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense

NOR : PRMD2310219A

Publics concernés : opérateurs d’importance vitale mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense relevant du sous-secteur d’activités d’importance vitale « Veille et alerte sanitaires » ; prestataires de service de confiance mentionnés dans le décret n°2015-350 du 27 mars 2015.

Objet : règles de sécurité prévues à l’article L. 1332-6-1 du code de la défense ; modalités de déclaration des systèmes d’information d’importance vitale mentionnés à l’article R. 1332-41-2 du même code ; modalités de déclaration des incidents de sécurité mentionnés à l’article R. 1332-41-10 du même code.

Entrée en vigueur : le texte entre en vigueur le 1er juillet 2023.

Notice : l’arrêté fixe les règles de sécurité que les opérateurs d’importance vitale sont tenus de respecter pour protéger leurs systèmes d’information (annexe I), les délais dans lesquels les opérateurs sont tenus d’appliquer les règles de sécurité (annexe II), les modalités selon lesquelles les opérateurs déclarent à l’Agence nationale de la sécurité des systèmes d’information la liste de leurs systèmes d’information d’importance vitale identifiés par types de système (annexe III), ainsi que les modalités selon lesquelles les opérateurs déclarent à l’agence certains types d’incidents affectant la sécurité ou le fonctionnement de leurs systèmes d’information (annexe IV).

Références : l’arrêté est pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense. Il peut être consulté sur le site Légifrance (https://www.legifrance.gouv.fr) à l’exception de ses annexes II, III et IV qui ne sont pas publiées. Ces annexes sont notifiées aux personnes ayant besoin d’en connaître.

La Première ministre, Arrête :

CHAPITRE Ier
RÈGLES DE SÉCURITÉ

Art. 1er. – Les règles de sécurité prévues à l’article L. 1332-6-1 du code de la défense relatives au sous-secteur d’activités d’importance vitale « Veille et alerte sanitaires » figurent à l’annexe I du présent arrêté.
A compter de l’entrée en vigueur du présent arrêté ou de sa date de désignation en tant qu’opérateur d’importance vitale conformément aux dispositions de l’article R. 1332-3 du code de la défense, tout opérateur d’importance vitale relevant du sous-secteur mentionné au premier alinéa applique ces règles de sécurité dans les délais qui figurent à l’annexe II.

CHAPITRE II
DÉCLARATION DES SYSTÈMES D’INFORMATION D’IMPORTANCE VITALE

Art. 2. – Dans un délai de trois mois à compter de la date d’entrée en vigueur du présent arrêté ou de sa désignation comme opérateur d’importance vitale conformément aux dispositions de l’article R. 1332-3 du code de la défense, tout opérateur relevant du sous-secteur d’activités d’importance vitale « Veille et alerte sanitaires » adresse par courrier à l’Agence nationale de la sécurité des systèmes d’information la liste de systèmes d’information d’importance vitale prévue à l’article R. 1332-41-2 du code de la défense, ainsi que, pour chaque système, le formulaire de déclaration disponible sur le site internet de l’Agence (www.ssi.gouv.fr).
Pour déterminer si un système d’information peut être qualifié d’importance vitale au sens des dispositions de l’article L. 1332-6-1 du code de la défense, l’opérateur d’importance vitale mène une analyse d’impacts sur ses systèmes d’information, notamment ceux relevant des types de système d’information mentionnés à l’annexe III du présent arrêté.
Lorsque, pour un type de système d’information mentionné à l’annexe III du présent arrêté, l’opérateur ne déclare aucun système d’information d’importance vitale relevant de ce type de système, il en précise les raisons.

Art. 3. – L’opérateur d’importance vitale communique une fois par an à l’Agence nationale de la sécurité des systèmes d’information les mises à jour de sa liste et des formulaires de déclaration.
Il déclare tout nouveau système d’information d’importance vitale préalablement à sa mise en service et tout système d’information qui satisfait aux conditions pour être qualifié d’importance vitale postérieurement à sa mise en service dès qu’il satisfait à ces conditions.
Il informe sans délai l’Agence nationale de la sécurité des systèmes d’information de tout retrait de sa liste d’un des systèmes précédemment déclarés et en précise les raisons.

CHAPITRE III
DÉCLARATION DES INCIDENTS DE SÉCURITÉ

Art. 4. – En application de l’article R. 1332-41-10 du code de la défense, tout opérateur relevant du sous- secteur d’activités d’importance vitale « Veille et alerte sanitaires » déclare chaque incident qui relève d’un type figurant à l’annexe IV du présent arrêté. Il adresse à cet effet à l’Agence nationale de la sécurité des systèmes d’information le formulaire de déclaration disponible sur le site internet de l’agence (www.ssi.gouv.fr) selon le moyen approprié à la sensibilité des informations déclarées.
Le formulaire est un document confidentiel susceptible de contenir des informations dont la révélation est réprimée par les dispositions de l’article 226-13 du code pénal. Il est, le cas échéant, couvert par le secret de la défense nationale.

CHAPITRE IV
DISPOSITIONS FINALES

Art. 5. – Tout opérateur d’importance vitale relevant du sous-secteur d’activités d’importance vitale « Veille et alerte sanitaires » communique à l’Agence nationale de la sécurité des systèmes d’information les coordonnées de la personne mentionnée à l’article R. 1332-41-20 du code de la défense dans un délai de trois mois à compter de l’entrée en vigueur du présent arrêté ou de sa désignation comme opérateur d’importance vitale conformément aux dispositions de l’article R. 1332-3 du code de la défense.

Art. 6. – Les dispositions du présent arrêté entrent en vigueur le 1er juillet 2023.

Art. 7. – Le directeur général de l’Agence nationale de la sécurité des systèmes d’information est chargé de l’exécution du présent arrêté, qui sera publié au Journal officiel de la République française à l’exception de ses annexes II, III et IV. Ces annexes sont notifiées aux personnes ayant besoin d’en connaître par le directeur général de l’Agence nationale de la sécurité des systèmes d’information.

Fait le 17 avril 2023.

Pour la Première ministre et par délégation :
Le secrétaire général de la défense et de la sécurité nationale,
S. Bouillon

ANNEXE I
RÈGLES DE SÉCURITÉ RELATIVES AU SOUS-SECTEUR D’ACTIVITÉS D’IMPORTANCE VITALE « VEILLE ET ALERTE SANITAIRES »

1. Règle relative à la politique de sécurité des systèmes d’information
L’opérateur d’importance vitale élabore, tient à jour et met en œuvre une politique de sécurité des systèmes d’information (PSSI).

La PSSI décrit l’ensemble des moyens organisationnels et techniques mis en œuvre par l’opérateur afin d’assurer la sécurité de ses systèmes d’information d’importance vitale (SIIV). En particulier, elle :

La PSSI et ses documents d’application sont approuvés formellement par la direction de l’opérateur. L’opérateur élabore au profit de sa direction, au moins annuellement, un rapport sur la mise en œuvre de la PSSI et de ses documents d’application. Ce rapport précise notamment l’état des lieux des risques, le niveau de sécurité des SIIV et les actions de sécurisation menées.

La PSSI, ses documents d’application et les rapports sur leur mise en œuvre sont tenus à la disposition de l’Agence nationale de la sécurité des systèmes d’information.

2. Règle relative à l’homologation de sécurité
L’opérateur d’importance vitale procède à l’homologation de sécurité de chaque système d’information d’importance vitale (SIIV), en mettant en œuvre la procédure d’homologation prévue par sa politique de sécurité des systèmes d’information (PSSI).

L’homologation d’un système est une décision formelle prise par l’opérateur qui atteste que les risques pesant sur la sécurité de ce système ont été identifiés et que les mesures nécessaires pour le protéger sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l’opérateur.

Dans le cadre de l’homologation, un audit de la sécurité du SIIV doit être réalisé. Cet audit vise à vérifier l’application et l’efficacité des mesures de sécurité du SIIV et notamment le respect des règles de sécurité mentionnées dans le présent arrêté. L’audit doit permettre d’évaluer le niveau de sécurité du SIIV au regard des menaces et des vulnérabilités connues. Il comporte notamment la réalisation d’un audit d’architecture, d’un audit de configuration et d’un audit organisationnel et physique.

Cet audit est réalisé dans le respect des règles fixées par le référentiel en matière d’audit de sécurité des systèmes d’information prévu à l’article 10 du décret n°2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d’information.

L’opérateur peut réaliser lui-même l’audit ou recourir à un prestataire qualifié dans les conditions prévues au chapitre III du décret n°2015-350 du 27 mars 2015 précité.

A l’issue de l’audit, l’opérateur ou, le cas échéant, le prestataire élabore un rapport d’audit qui expose les constatations sur les mesures appliquées et sur le respect des règles de sécurité prévues par le présent arrêté. Le rapport précise si le niveau de sécurité atteint est conforme aux objectifs de sécurité, compte tenu des menaces et des vulnérabilités connues. Il formule des recommandations pour remédier aux éventuelles non-conformités et vulnérabilités découvertes.

L’opérateur prend la décision d’homologuer un SIIV sur la base du dossier d’homologation comportant notamment : La validité de l’homologation est réexaminée par l’opérateur au moins tous les trois ans et lors de chaque événement ou évolution de nature à modifier le contexte décrit dans le dossier d’homologation. Chaque réexamen de l’homologation est consigné dans le dossier d’homologation. L’opérateur procède au renouvellement de l’homologation dès qu’elle n’est plus valide.

L’opérateur tient à la disposition de l’Agence nationale de la sécurité des systèmes d’information les décisions et dossiers d’homologation, notamment les rapports d’audit. Ces documents confidentiels sont susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l’article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.

La présente règle relative à l’homologation s’applique sans préjudice des dispositions prévues par l’arrêté du 9 août 2021 portant approbation de l’instruction générale interministérielle n°1300 sur la protection du secret de la défense nationale, en matière d’homologation des systèmes d’information traitant des informations classifiées.

3. Règle relative à la cartographie
L’opérateur d’importance vitale élabore et tient à jour, pour chaque système d’information d’importance vitale (SIIV), les éléments de cartographie suivants :

Les éléments de cartographie ainsi réunis sont des documents confidentiels susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l’article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.

Sur demande de l’Agence nationale de la sécurité des systèmes d’information, l’opérateur lui communique les éléments de cartographie mis à jour sur un support électronique, dans un format qui peut être lu par les principaux logiciels bureautiques accessibles au public.

4. Règle relative au maintien en conditions de sécurité
L’opérateur d’importance vitale élabore, tient à jour et met en œuvre une procédure de maintien en conditions de sécurité des ressources matérielles et logicielles de ses systèmes d’information d’importance vitale (SIIV), conformément à sa politique de sécurité des systèmes d’information.

Cette procédure définit les conditions permettant de maintenir le niveau de sécurité des ressources des SIIV en fonction de l’évolution des vulnérabilités et des menaces et notamment la politique d’installation de toute nouvelle version et mesure correctrice de sécurité d’une ressource et les vérifications à effectuer avant l’installation. Elle prévoit que :

5. Règle relative à la journalisation
L’opérateur d’importance vitale met en œuvre sur chaque système d’information d’importance vitale (SIIV) un système de journalisation qui enregistre les événements relatifs à l’authentification des utilisateurs, à la gestion des comptes et des droits d’accès, à l’accès aux ressources, aux modifications des règles de sécurité du SIIV ainsi qu’au fonctionnement du SIIV.

Le système de journalisation porte sur les équipements suivants lorsqu’ils génèrent les événements mentionnés au 1er alinéa : Les événements enregistrés par le système de journalisation sont horodatés au moyen de sources de temps synchronisées. Ils sont, pour chaque SIIV, centralisés et archivés pendant une durée d’au moins six mois. Le format d’archivage des événements permet de réaliser des recherches automatisées sur ces événements.

6. Règle relative à la corrélation et l’analyse de journaux
L’opérateur d’importance vitale met en œuvre un système de corrélation et d’analyse de journaux qui exploite les événements enregistrés par le système de journalisation installé sur chacun des systèmes d’information d’importance vitale (SIIV), afin de détecter des événements susceptibles d’affecter la sécurité des SIIV.

Le système de corrélation et d’analyse de journaux est installé et exploité sur un système d’information mis en place exclusivement à des fins de détection d’événements susceptibles d’affecter la sécurité des systèmes d’information.

L’opérateur ou le prestataire mandaté à cet effet installe et exploite ce système de corrélation et d’analyse de journaux en s’appuyant sur les exigences du référentiel en matière de détection des incidents de sécurité prévu à l’article 10 du décret n°2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d’information.

7. Règle relative à la détection
L’opérateur d’importance vitale met en œuvre, en application de l’article R. 1332-41-3 du code de la défense, un système de détection qualifié de type « sonde d’analyse de fichiers et de protocoles ».

Les sondes d’analyse de fichiers et de protocoles analysent les flux de données transitant par ces sondes afin de rechercher des événements susceptibles d’affecter la sécurité des systèmes d’information d’importance vitale (SIIV). Elles sont positionnées de manière à pouvoir analyser l’ensemble des flux échangés entre les SIIV et les systèmes d’information tiers à ceux de l’opérateur.

Ces systèmes de détection sont exploités selon les règles fixées par le référentiel en matière de détection des incidents de sécurité prévu à l’article 10 du décret n°2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d’information. Ils sont exploités par un service de l’Etat ou un prestataire qualifié à cet effet dans les conditions prévues par le décret précité.

8. Règle relative au traitement des incidents de sécurité
L’opérateur d’importance vitale élabore, tient à jour et met en œuvre une procédure de traitement des incidents affectant le fonctionnement ou la sécurité de ses systèmes d’information d’importance vitale (SIIV), conformément à sa politique de sécurité des systèmes d’information.

L’opérateur ou le prestataire mandaté à cet effet procède au traitement des incidents en s’appuyant sur les exigences du référentiel en matière de réponse aux incidents de sécurité prévu à l’article 10 du décret n°2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d’information.
 
Un système d’information spécifique doit être mis en place pour traiter les incidents, notamment pour stocker les relevés techniques relatifs aux analyses des incidents. Ce système est cloisonné vis-à-vis du SIIV concerné par l’incident.

L’opérateur conserve les relevés techniques relatifs aux analyses des incidents pendant une durée d’au moins six mois. Il tient ces relevés techniques à la disposition de l’Agence nationale de la sécurité des systèmes d’information.

Les relevés techniques sont des documents confidentiels susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l’article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.

9. Règle relative au traitement des alertes
L’opérateur d’importance vitale met en place un service de permanence lui permettant de prendre connaissance, à tout moment et sans délai, d’informations transmises par l’Agence nationale de la sécurité des systèmes d’information relatives à des incidents, des vulnérabilités et des menaces. Il met en œuvre une procédure pour traiter les informations ainsi reçues et le cas échéant prendre les mesures de sécurité nécessaires à la protection de ses systèmes d’information d’importance vitale (SIIV).

L’opérateur communique à l’Agence nationale de la sécurité des systèmes d’information les coordonnées (nom du service, numéro de téléphone et adresse électronique) tenues à jour du service de permanence prévu à l’alinéa précédent.

10. Règle relative à la gestion de crises
L’opérateur d’importance vitale élabore, tient à jour et met en œuvre une procédure de gestion de crises en cas d’attaques informatiques majeures, conformément à sa politique de sécurité des systèmes d’information.

Cette procédure décrit les moyens techniques et organisationnels dont dispose l’opérateur pour mettre en œuvre les mesures décidées par la Première ministre en cas de crises, notamment les mesures suivantes : La procédure précise les conditions dans lesquelles ces mesures peuvent être appliquées compte tenu des contraintes techniques et organisationnelles de mise en œuvre.

11. Règle relative à l’identification
L’opérateur d’importance vitale crée des comptes individuels pour tous les utilisateurs (y compris les utilisateurs ayant des comptes privilégiés ou des comptes d’administration) et pour les processus automatiques accédant aux ressources de ses systèmes d’information d’importance vitale (SIIV).

Lorsque des raisons techniques ou opérationnelles ne permettent pas de créer de comptes individuels pour les utilisateurs ou pour les processus automatiques, l’opérateur met en place des mesures permettant de réduire le risque lié à l’utilisation de comptes partagés et d’assurer la traçabilité de l’utilisation de ces comptes. Dans ce cas, l’opérateur décrit ces mesures dans le dossier d’homologation du SIIV concerné et les raisons justifiant le recours à des comptes partagés.

L’opérateur désactive sans délai les comptes qui ne sont plus nécessaires.

12. Règle relative à l’authentification
L’opérateur d’importance vitale protège les accès aux ressources de ses systèmes d’information d’importance vitale (SIIV), que ce soit par un utilisateur ou par un processus automatique, au moyen d’un mécanisme d’authentification impliquant un élément secret.

L’opérateur définit, conformément à sa politique de sécurité des systèmes d’information, les règles de gestion des éléments secrets d’authentification mis en œuvre dans ses SIIV.
 
Lorsque la ressource le permet techniquement, les éléments secrets d’authentification doivent pouvoir être modifiés par l’opérateur chaque fois que cela est nécessaire. Dans ce cas, l’opérateur respecte les règles suivantes : Lorsque la ressource ne permet pas techniquement de modifier l’élément secret d’authentification, l’opérateur met en place un contrôle d’accès approprié à la ressource concernée ainsi que des mesures de traçabilité des accès et de réduction du risque lié à l’utilisation d’un élément secret d’authentification fixe. L’opérateur décrit dans le dossier d’homologation du SIIV concerné ces mesures et les raisons techniques ayant empêché la modification de l’élément secret d’authentification.

13. Règle relative aux droits d’accès
L’opérateur d’importance vitale définit, conformément à sa politique de sécurité des systèmes d’information, les règles de gestion et d’attribution des droits d’accès aux ressources de ses systèmes d’information d’importance vitale (SIIV), et respecte les règles suivantes :

14. Règle relative aux comptes d’administration
L’opérateur d’importance vitale crée des comptes (appelés « comptes d’administration ») destinés aux seules personnes (appelées administrateurs) chargées d’effectuer les opérations d’administration (installation, configuration, gestion, maintenance, supervision, etc.) des ressources de ses systèmes d’information d’importance vitale (SIIV).

L’opérateur définit, conformément à sa politique de sécurité des systèmes d’information, les règles de gestion et d’attribution des comptes d’administration de ses SIIV, et respecte les règles suivantes :

15. Règle relative aux systèmes d’information d’administration
L’opérateur d’importance vitale applique les règles suivantes aux systèmes d’information utilisés pour effectuer l’administration de ses systèmes d’information d’importance vitale (SIIV), qui sont appelés « systèmes d’information d’administration » :

16. Règle relative au cloisonnement
L’opérateur d’importance vitale procède au cloisonnement de ses systèmes d’information d’importance vitale (SIIV) afin de limiter la propagation des attaques informatiques au sein de ses systèmes ou ses sous-systèmes. Il respecte les règles suivantes : L’opérateur décrit dans le dossier d’homologation de chaque SIIV les mécanismes de cloisonnement qu’il met en place.

17. Règle relative au filtrage
L’opérateur d’importance vitale met en place des mécanismes de filtrage des flux de données circulant dans ses systèmes d’information d’importance vitale (SIIV) afin de bloquer la circulation des flux inutiles au fonctionnement de ses systèmes et susceptibles de faciliter des attaques informatiques. Il respecte les règles suivantes :

L’opérateur décrit dans le dossier d’homologation de chaque SIIV les mécanismes de filtrage qu’il met en place.

18. Règle relative aux accès à distance
L’opérateur d’importance vitale protège les accès à ses systèmes d’information d’importance vitale (SIIV) effectués à travers des systèmes d’information tiers. En particulier, lorsque l’opérateur ou un prestataire qu’il a mandaté à cet effet accède à un SIIV à travers un système d’information tiers à ceux de l’opérateur ou du prestataire, l’opérateur applique ou fait appliquer à son prestataire les règles suivantes :

19. Règle relative à l’installation de services et d’équipements
L’opérateur d’importance vitale respecte les règles suivantes lorsqu’il installe des services et des équipements sur ses systèmes d’information d’importance vitale (SIIV) :

20. Règle relative aux indicateurs
L’opérateur d’importance vitale évalue et tient à jour, pour chaque système d’information d’importance vitale (SIIV), les indicateurs suivants :

L’opérateur précise pour chaque indicateur la méthode d’évaluation employée et, le cas échéant, la marge d’incertitude de son évaluation. Lorsqu’un indicateur évolue de façon significative par rapport à l’évaluation précédente, l’opérateur en précise les raisons.

Les indicateurs ainsi réunis sont des documents confidentiels susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l’article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.

L’opérateur communique, une fois par an, à l’Agence nationale de la sécurité des systèmes d’information, ces indicateurs mis à jour sur un support électronique, dans un format qui peut être lu par les principaux logiciels bureautiques accessibles au public.

Source Légifrance