Sécurité numérique de l’Etat : publication d’un nouveau décret (« fonctionnaire de sécurité des systèmes d’information » ; « autorités qualifiées en sécurité des systèmes d’information compétentes pour les systèmes d’information et de communication autres que ceux qui sont classifiés » ; adaptation aux EP de l’Etat)

A été publié le décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d’information et de communication de l’Etat et de ses établissements publics (NOR : PRMD2135717D) :

Ce texte, qui entrera en vigueur le premier jour du sixième mois suivant celui de sa publication, fixe les règles de gouvernance de la sécurité numérique au sein des administrations de l’Etat et des établissements publics sous sa tutelle.

La notice de ce décret rappelle qu’adopter de telles mesures est rendu «  nécessaire par l’enjeu stratégique que représentent désormais, pour l’administration, l’accélération de sa numérisation ainsi que sa prise en compte de la sécurité numérique dans la conception, la mise en œuvre et l’exploitation de ses systèmes d’information et de communication

Chaque ministre devra désigner :

  • un fonctionnaire de sécurité des systèmes d’information chargé de l’assister dans l’exercice de sa responsabilité en matière de sécurité numérique. A charge pour celui-ci de :
    • s’assurer de l’application cohérente par son département ministériel et par les organismes placés sous la tutelle de celui-ci des orientations générales et des règles de sécurité numérique relatives aux systèmes d’information et de communication. 
    • déclarer à l’Agence nationale de la sécurité des systèmes d’information les incidents affectant les systèmes d’information et de communication de son département ministériel et des organismes placés sous la tutelle de celui-ci.
  • une ou plusieurs autorités qualifiées en sécurité des systèmes d’information compétentes pour les systèmes d’information et de communication autres que ceux qui sont classifiés. Cette autorité qualifiée en sécurité des systèmes d’information :
    • est responsable de la sécurité numérique des systèmes d’information et de communication relevant de ses attributions.
    • définit la politique de sécurité numérique qui leur est applicable et contrôle son application au travers notamment de l’homologation de ces systèmes d’information prévue à l’article 4-3.
    • peut déléguer cette fonction d’homologation à des autorités d’homologation qu’elle désigne.

Avec une nouvelle homologation de sécurité en sus de celles existantes :

  • « Art. 4-3. – Sans préjudice des mesures prises en application des articles R. 1332-41-1 et R. 1332-41-2 du code de la défense pour les systèmes d’information d’importance vitale et de l’article 9 de l’ordonnance du 8 décembre 2005 susvisée pour les systèmes d’information des autorités administratives faisant l’objet d’échanges par voie électronique ainsi que de l’homologation prévue par l’article R. 2311-6-1 du même code pour les systèmes d’information contenant des informations classifiées, les infrastructures et services logiciels informatiques qui composent le système d’information et de communication de l’Etat mentionné à l’article 1er du présent décret font l’objet, préalablement à leur mise en œuvre, d’une homologation de sécurité.
    « L’homologation de sécurité est une décision formelle prise par l’autorité qualifiée en sécurité des systèmes d’information ou par toute personne à qui elle délègue cette fonction. Elle atteste que les risques pesant sur la sécurité ont été identifiés et que les mesures nécessaires pour maîtriser ces risques sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l’autorité qualifiée en sécurité des systèmes d’information.

Le dirigeant exécutif d’un établissement public de l’Etat est responsable de la sécurité numérique des systèmes d’information et de communication de cet établissement (avec des missions précisées, sur ce point, par le nouveau décret).