La sécurité du SI de l'État formalisée par décret

À l’automne, des dispositions relatives à la sécurité viendront s’ajouter au décret de 2019 sur le système d’information de l’État.

La sécurité numérique des SI de l’État fait désormais l’objet d’un décret. Le texte entrera en vigueur au 1^er octobre 2022. Les dispositions qu’il contient viendront s’insérer dans un autre décret. En l’occurrence, celui d’octobre 2019, relatif au SI de l’État et à la DINUM.

Premier point : la désignation, par chaque ministre, d’un fonctionnaire de sécurité des SI. Lequel s’assurera de « l’application cohérente […] des orientations générales et des règles » de sécurité numérique. Ce au sein de son département ministériel et des organismes placés sous la tutelle de celui-ci. Il fait office de point de contact avec l’ANSSI en cas d’incidents.

Deuxième point : la désignation, là encore par chaque ministre, d’une ou plusieurs autorités qualifiées en sécurité des SI. Ces autorités auront notamment à charge l’homologation des SI préalablement à leur mise en œuvre. Il s’agira principalement d’attester de la connaissance et de la maîtrise des éventuels risques.

Troisième point : l’attribution de la responsabilité de la sécurité des SI des établissements publics de l’État. Celle-ci revient aux dirigeants exécutifs desdits établissements. Dans ce cadre, il désigne, entre autres, un interlocuteur dont le fonctionnaire de sécurité du ministère aura les coordonnées. Il communique par ailleurs à ce dernier, une fois par an, une évaluation du niveau de sécurité numérique.

Sont exclus du champ d’application :

– SI de la défense (opérationnels et de communication ; scientifiques et techniques ; administration et gestion)
– Systèmes qui font intervenir, nécessitent ou comportent des supports ou informations classifiés
– SI opérés par la DGSE et la DGSI

Lire aussi : DevSecOps : un déficit de communication freine les déploiements