Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics (Lien Legifrance, JO 10/04/2022)
Le décret fixe les règles de gouvernance de la sécurité numérique au sein des administrations de l'Etat et des établissements publics sous sa tutelle. Cette définition des responsabilités est rendue nécessaire par l'enjeu stratégique que représentent désormais, pour l'administration, l'accélération de sa numérisation ainsi que sa prise en compte de la sécurité numérique dans la conception, la mise en œuvre et l'exploitation de ses systèmes d'information et de communication. Le décret introduit en outre une homologation de sécurité des infrastructures et services logiciels informatiques du système d'information et de communication de l'Etat. (D'après la notice publiée avec le décret)
Le présent décret complète le décret n° 2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique par un titre relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics (art. 4-1 à 4-4). Il doit être précisé par des arrêtés.
Il prévoit que chaque ministre désigne un fonctionnaire de sécurité des systèmes d'information chargé de l'assister dans l'exercice de sa responsabilité en matière de sécurité numérique. Ce fonctionnaire est placé sous l'autorité du haut fonctionnaire de défense et de sécurité. Le fonctionnaire de sécurité des systèmes d'information s'assure de l'application cohérente par son département ministériel et par les organismes placés sous la tutelle de celui-ci des orientations générales et des règles de sécurité numérique relatives aux systèmes d'information et de communication. Il déclare à l'Agence nationale de la sécurité des systèmes d'information les incidents affectant les systèmes d'information et de communication de son département ministériel et des organismes placés sous la tutelle de celui-ci.
Chaque ministre désigne également, pour son département ministériel, une ou plusieurs autorités qualifiées en sécurité des systèmes d'information compétentes pour les systèmes d'information et de communication autres que ceux qui sont classifiés. L'autorité qualifiée en sécurité des systèmes d'information est responsable de la sécurité numérique des systèmes d'information et de communication relevant de ses attributions. A ce titre, elle définit la politique de sécurité numérique qui leur est applicable et contrôle son application au travers notamment de l'homologation de ces systèmes d'information. Elle peut déléguer cette fonction d'homologation à des autorités d'homologation qu'elle désigne.
Sans préjudice des mesures prises pour les systèmes d'information d'importance vitale et pour les systèmes d'information des autorités administratives faisant l'objet d'échanges par voie électronique ainsi que de l'homologation prévue par l'article R. 2311-6-1 du même code pour les systèmes d'information contenant des informations classifiées, les infrastructures et services logiciels informatiques qui composent le système d'information et de communication de l'Etat font l'objet, préalablement à leur mise en œuvre, d'une homologation de sécurité. L'homologation de sécurité est une décision formelle prise par l'autorité qualifiée en sécurité des systèmes d'information ou par toute personne à qui elle délègue cette fonction. Elle atteste que les risques pesant sur la sécurité ont été identifiés et que les mesures nécessaires pour maîtriser ces risques sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l'autorité qualifiée en sécurité des systèmes d'information.
Le dirigeant exécutif d'un établissement public de l'Etat est responsable de la sécurité numérique des systèmes d'information et de communication de cet établissement.
Rubriques : médias, télécommunications, informatique / défense, police, sécurité civile
Voir aussi :
Décret n° 2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique