La sécurité du SI de l’État formalisée par décret

La sécurité numérique des SI de l’État fait désormais l’objet d’un décret. Le texte entrera en vigueur au 1^er octobre 2022. Les dispositions qu’il contient viendront s’insérer dans un autre décret. En l’occurrence, celui d’octobre 2019, relatif au SI de l’État et à la DINUM.

Premier point : la désignation, par chaque ministre, d’un fonctionnaire de sécurité des SI. Lequel s’assurera de « l’application cohérente […] des orientations générales et des règles » de sécurité numérique. Ce au sein de son département ministériel et des organismes placés sous la tutelle de celui-ci. Il fait office de point de contact avec l’ANSSI en cas d’incidents.

Deuxième point : la désignation, là encore par chaque ministre, d’une ou plusieurs autorités qualifiées en sécurité des SI. Ces autorités auront notamment à charge l’homologation des SI préalablement à leur mise en œuvre. Il s’agira principalement d’attester de la connaissance et de la maîtrise des éventuels risques.

Troisième point : l’attribution de la responsabilité de la sécurité des SI des établissements publics de l’État. Celle-ci revient aux dirigeants exécutifs desdits établissements. Dans ce cadre, il désigne, entre autres, un interlocuteur dont le fonctionnaire de sécurité du ministère aura les coordonnées. Il communique par ailleurs à ce dernier, une fois par an, une évaluation du niveau de sécurité numérique.

Sont exclus du champ d’application :

– SI de la défense (opérationnels et de communication ; scientifiques et techniques ; administration et gestion)
– Systèmes qui font intervenir, nécessitent ou comportent des supports ou informations classifiés
– SI opérés par la DGSE et la DGSI

Photo d’illustration © illustrez-vous – Fotolia