🟩 ArrĂȘtĂ© du 26 octobre 2022 portant approbation de l’instruction gĂ©nĂ©rale interministĂ©rielle sur l’organisation de la sĂ©curitĂ© numĂ©rique du systĂšme d’information et de communication de l’Etat et de ses Ă©tablissements publics

Références

NOR : PRMD2221955A
ELI : https://www.legifrance.gouv.fr/eli/arrete/2022/10/26/PRMD2221955A/jo/texte
Source : JORF n°0253 du 30 octobre 2022, texte n° 1

En-tĂȘte

La PremiĂšre ministre,
Vu le code de la défense, notamment ses articles L. 1111-3, R.* 1132-1 à D. 1132-54 et R. 1143-1 à D. 1143-13 ;
Vu le dĂ©cret n° 87-389 du 15 juin 1987 modifiĂ© relatif Ă  l’organisation des services d’administration centrale, notamment ses articles 3-5 et 3-8 ;
Vu le dĂ©cret n° 2009-834 du 7 juillet 2009 modifiĂ© portant crĂ©ation d’un service Ă  compĂ©tence nationale dĂ©nommĂ© « Agence nationale de la sĂ©curitĂ© des systĂšmes d’information » ;
Vu le dĂ©cret n° 2019-1088 du 25 octobre 2019 modifiĂ© relatif au systĂšme d’information et de communication de l’Etat et Ă  la direction interministĂ©rielle du numĂ©rique ;
Vu le dĂ©cret n° 2022-513 du 8 avril 2022 relatif Ă  la sĂ©curitĂ© numĂ©rique du systĂšme d’information et de communication de l’Etat et de ses Ă©tablissements publics,
ArrĂȘtent :

Article 1

L’instruction gĂ©nĂ©rale interministĂ©rielle n° 1337/SGDSN/ANSSI sur l’organisation de la sĂ©curitĂ© numĂ©rique du systĂšme d’information et de communication de l’Etat et de ses Ă©tablissements publics annexĂ©e au prĂ©sent arrĂȘtĂ© est approuvĂ©e.

Article 2

Le ministre de l’Ă©conomie, des finances et de la souverainetĂ© industrielle et numĂ©rique, le ministre de l’intĂ©rieur et des outre-mer, la ministre de l’Europe et des affaires Ă©trangĂšres, le garde des sceaux, ministre de la justice, le ministre des armĂ©es, le ministre du travail, du plein emploi et de l’insertion, le ministre de l’Ă©ducation nationale et de la jeunesse, la ministre de l’enseignement supĂ©rieur et de la recherche, le ministre de l’agriculture et de la souverainetĂ© alimentaire, le ministre de la transition Ă©cologique et de la cohĂ©sion des territoires, la ministre de la transition Ă©nergĂ©tique, la ministre de la culture, le ministre de la santĂ© et de la prĂ©vention, le ministre des solidaritĂ©s, de l’autonomie et des personnes handicapĂ©es, le ministre de la transformation et de la fonction publiques et la ministre des sports et des jeux Olympiques et Paralympiques sont chargĂ©s, chacun en ce qui le concerne, de l’exĂ©cution du prĂ©sent arrĂȘtĂ©, qui entrera en vigueur le premier jour du sixiĂšme mois suivant celui de sa publication au Journal officiel de la RĂ©publique française.

Annexe

ANNEXE
INSTRUCTION GÉNÉRALE INTERMINISTÉRIELLE NO 1337/SGDSN/ANSSI SUR L’ORGANISATION DE LA SÉCURITÉ NUMÉRIQUE DU SYSTÈME D’INFORMATION ET DE COMMUNICATION DE L’ÉTAT ET DE SES ÉTABLISSEMENTS PUBLICS

1. Introduction
2. Champ d’application
3. Organisation interministĂ©rielle de la gouvernance de la sĂ©curitĂ© numĂ©rique de l’Etat
3.1. Vue d’ensemble de l’organisation interministĂ©rielle
3.1.1. Rappel de l’organisation de niveau Ă©tatique en matiĂšre de numĂ©rique
3.1.2. Organisation étatique en matiÚre de sécurité numérique
3.2. RÎles et responsabilités
3.2.1. Le Premier ministre
3.2.2. L’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information (ANSSI)
3.2.3. Le directeur interministériel du numérique (DINUM)
3.3. Les instances interministérielles de la sécurité numérique
3.3.1. Instance stratégique de niveau politique
3.3.2. Le comité stratégique interministériel de la sécurité numérique (COSINUS)
3.3.3. Le comité interministériel de pilotage de la sécurité numérique (CINUS)
3.4. Gestion interministérielle de crise
4. Organisation ministĂ©rielle de la gouvernance de la sĂ©curitĂ© numĂ©rique de l’Etat
4.1. Vue d’ensemble de l’organisation ministĂ©rielle
4.1.1. Rappel de l’organisation ministĂ©rielle en matiĂšre de numĂ©rique
4.1.2. Organisation ministérielle en matiÚre de sécurité numérique
4.1.3. Relation entre le ministĂšre et les Ă©tablissements publics dont il a la tutelle
4.2. RÎles et responsabilités
4.2.1. Le ministre
4.2.2. Le service du haut fonctionnaire de défense et de sécurité
4.2.2.1. Le haut fonctionnaire de défense et de sécurité
4.2.2.2. Le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information (FSSI)
4.2.3. L’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information (AQSSI)
4.2.4. Le conseiller à la sécurité numérique (CSN)
4.2.5. Le directeur ministériel du numérique (DNUM)
4.2.6. Le responsable de la sĂ©curitĂ© des systĂšmes d’information (RSSI)
4.3. Les instances ministérielles de la sécurité numérique
4.3.1. L’instance stratĂ©gique ministĂ©rielle de la sĂ©curitĂ© numĂ©rique
4.3.2. L’instance ministĂ©rielle de pilotage de la sĂ©curitĂ© numĂ©rique
4.4. La chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information
4.5. La gestion de crise
5. Organisation de la gouvernance de la sĂ©curitĂ© numĂ©rique dans les Ă©tablissements publics de l’Etat
5.1. Le Point de contact relatif à la sécurité numérique
5.2. L’organisation de la gouvernance
5.3. Suivi des activitĂ©s en matiĂšre de sĂ©curitĂ© numĂ©rique de l’Ă©tablissement public
5.4. La déclaration des incidents de sécurité
6. Glossaire
7. Références

1. Introduction

En s’inscrivant pleinement dans la dynamique de la transformation numĂ©rique, les ministĂšres et les Ă©tablissements publics investissent largement le domaine du numĂ©rique. Ainsi, le systĂšme d’information et de communication de l’Etat devient dĂ©sormais essentiel pour l’accomplissement des missions de ces administrations. Dans cette perspective, il importe que l’amĂ©lioration de la relation entre le public et l’administration qu’apporte le numĂ©rique ne soit pas sapĂ©e par une dĂ©gradation de la confiance des usagers dans ce systĂšme d’information et de communication.
Or, l’actualitĂ© montre que le dĂ©veloppement du numĂ©rique est aussi gĂ©nĂ©rateur d’opportunitĂ©s et de dĂ©veloppements pour des attaquants aux profils et aux objectifs trĂšs variĂ©s. Au moment de la rĂ©daction de cette instruction, la tendance est Ă  la gĂ©nĂ©ralisation des menaces de masse telles que les rançongiciels aux consĂ©quences significatives pour les administrations.
Compte tenu de ces menaces, la sĂ©curitĂ© numĂ©rique, composante essentielle de la confiance numĂ©rique, ne doit plus ĂȘtre un domaine rĂ©servĂ© aux seuls spĂ©cialistes. Le risque associĂ© aux cyberattaques, s’il a ses spĂ©cificitĂ©s, ne doit plus ĂȘtre traitĂ© de maniĂšre singuliĂšre. Il devient impĂ©ratif que chaque direction d’administration, jusqu’au plus haut niveau hiĂ©rarchique, apprĂ©hende le risque numĂ©rique au mĂȘme titre que les autres risques afin d’y consacrer les ressources humaines, budgĂ©taires et techniques suffisantes pour le couvrir.
Cette prise en compte doit s’effectuer dans l’ensemble des missions de ces administrations mais Ă©galement dans la dĂ©finition d’une organisation de la gouvernance de la sĂ©curitĂ© numĂ©rique, se dĂ©clinant Ă  tous les Ă©chelons de l’Etat.
La prĂ©sente instruction dĂ©finit l’organisation ainsi que les instances de la gouvernance de la sĂ©curitĂ© numĂ©rique au niveau interministĂ©riel, dans les ministĂšres, ainsi que dans les Ă©tablissements publics d’Etat. Cette organisation conforte celle dĂ©jĂ  dĂ©finie dans la rĂ©glementation relative Ă  la sĂ©curitĂ© numĂ©rique en vigueur – notamment au travers de la protection du secret de la dĂ©fense nationale avec l’instruction gĂ©nĂ©rale interministĂ©rielle 1300 – et l’Ă©tend pour permettre, notamment, l’appropriation du champ de la sĂ©curitĂ© numĂ©rique par les chaĂźnes mĂ©tier. Elle porte Ă©galement l’objectif de permettre une action coordonnĂ©e entre les acteurs du numĂ©rique, ceux de la sĂ©curitĂ© numĂ©rique, de la protection des donnĂ©es Ă  caractĂšre personnel et de la protection du secret de la dĂ©fense nationale. Cet objectif se traduit aussi par la compatibilitĂ© entre les trois gouvernances respectives, afin de permettre une articulation efficace entre celles-ci et un niveau de synergie suffisant.
Afin de permettre aux ministĂšres de mettre en Ɠuvre cette organisation et ces instances tout en tenant compte de leurs particularitĂ©s et de l’organisation existante, il est demandĂ© Ă  ces derniers de dĂ©cliner l’organisation prĂ©vue par la prĂ©sente instruction en s’appuyant sur l’existant autant que possible et en la prĂ©cisant le cas Ă©chĂ©ant.
La premiÚre section de la présente instruction décrit les rÎles et responsabilités associés à la gouvernance de la sécurité numérique au niveau interministériel. Cette section présente également les instances interministérielles de gouvernance de la sécurité numérique.
La deuxiÚme section décrit les rÎles et responsabilités associés à la gouvernance de la sécurité numérique dans les ministÚres. Cette section présente également les instances ministérielles de gouvernance de la sécurité numérique.
La troisiĂšme et derniĂšre section dĂ©crit les rĂŽles et responsabilitĂ©s associĂ©s Ă  la gouvernance de la sĂ©curitĂ© numĂ©rique dans les Ă©tablissements publics de l’Etat.

2. Champ d’application

L’application de la prĂ©sente instruction est obligatoire pour les ministĂšres et les Ă©tablissements publics de l’Etat, quel que soit leur rĂ©gime, ci-aprĂšs nommĂ©s « Ă©tablissements ». Les principes Ă©noncĂ©s doivent ĂȘtre dĂ©clinĂ©s dans des instructions ministĂ©rielles en prĂ©cisant les rĂŽles et responsabilitĂ©s au niveau ministĂ©riel.
L’application de l’organisation dĂ©crite dans le chapitre 5 de cette organisation est recommandĂ©e pour tous les autres organismes publics.
L’application de la prĂ©sente instruction est sans prĂ©judice de l’application de rĂ©glementations spĂ©cifiques, notamment celles relatives Ă  la protection du secret de la dĂ©fense nationale et Ă  la protection des donnĂ©es Ă  caractĂšre personnel.

3. Organisation interministĂ©rielle de la gouvernance de la sĂ©curitĂ© numĂ©rique de l’Etat
3.1. Vue d’ensemble de l’organisation interministĂ©rielle
3.1.1. Rappel de l’organisation de niveau Ă©tatique en matiĂšre de numĂ©rique

L’Etat se dote d’une stratĂ©gie du numĂ©rique de l’Etat (1) qui vise Ă  orienter les actions des administrations de l’Etat pour amĂ©liorer les services rendus par le systĂšme d’information et de communication de l’Etat. Le ministĂšre de la transformation et de la fonction publique promeut les actions propres Ă  accĂ©lĂ©rer la transformation numĂ©rique de l’Etat. La stratĂ©gie numĂ©rique de l’Etat est Ă©laborĂ©e par le directeur interministĂ©riel du numĂ©rique sous l’autoritĂ© de son ministre de tutelle et approuvĂ©e par le Premier ministre. Le directeur interministĂ©riel du numĂ©rique pilote sa mise en Ɠuvre, en liaison avec les directions du numĂ©rique des ministĂšres.

3.1.2. Organisation étatique en matiÚre de sécurité numérique

A travers la prĂ©sente instruction, l’Etat se dote d’une politique de sĂ©curitĂ© numĂ©rique de l’Etat.
Cette politique est complétée par les orientations stratégiques de sécurité numérique et la feuille de route associée, définies dans le comité stratégique interministériel de la sécurité numérique et validées en instance stratégique de niveau politique (cf. 3.3.1).
Les rĂŽles et responsabilitĂ©s contribuant particuliĂšrement Ă  la sĂ©curitĂ© numĂ©rique au niveau interministĂ©riel, ainsi que les instances de gouvernance permettant de dĂ©finir la stratĂ©gie interministĂ©rielle de sĂ©curitĂ© numĂ©rique et d’assurer le suivi de sa mise en Ɠuvre, sont dĂ©crits ci-aprĂšs.

3.2. RÎles et responsabilités
3.2.1. Le Premier ministre

Le Premier ministre, en tant que responsable du systĂšme d’information et de communication de l’Etat (2), dĂ©finit la politique de sĂ©curitĂ© numĂ©rique de l’Etat. A ce titre, il valide l’organisation et les principes de la sĂ©curitĂ© numĂ©rique du systĂšme d’information et de communication de l’Etat.
Le Premier ministre est assistĂ©, dans l’exercice de ses responsabilitĂ©s en matiĂšre de dĂ©fense et de sĂ©curitĂ© nationale, par le secrĂ©taire gĂ©nĂ©ral de la dĂ©fense et de la sĂ©curitĂ© nationale qui propose et met en Ɠuvre la politique du gouvernement en matiĂšre de sĂ©curitĂ© numĂ©rique. Il dispose Ă  cette fin de l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information (3).

3.2.2. L’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information (ANSSI)

L’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information (4) assiste le secrĂ©taire gĂ©nĂ©ral de la dĂ©fense et de la sĂ©curitĂ© nationale pour la mise en Ɠuvre de la politique de sĂ©curitĂ© numĂ©rique de l’Etat. L’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information accompagne la direction interministĂ©rielle du numĂ©rique et les ministĂšres dans l’articulation de cette politique avec leurs missions et en contrĂŽle l’application.
L’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information anime et coordonne les travaux interministĂ©riels en matiĂšre de sĂ©curitĂ© numĂ©rique. Elle Ă©labore les mesures de sĂ©curitĂ© des systĂšmes d’information et de communication proposĂ©es au Premier ministre et veille Ă  leur application.
En lien avec chacun des ministĂšres, l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information rĂ©alise, selon une programmation annuelle, des audits et des inspections. Elle rend compte de cette mise en Ɠuvre en comitĂ© stratĂ©gique interministĂ©riel de la sĂ©curitĂ© numĂ©rique.
L’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information, Ă  travers son centre gouvernemental de veille, d’alerte et de rĂ©ponse aux attaques informatiques (CERT-FR), diffuse les informations relatives aux vulnĂ©rabilitĂ©s des systĂšmes d’information et de communication et aux menaces. Ce centre est Ă©galement le point de contact unique de signalement des incidents de sĂ©curitĂ©.
L’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information maintient Ă  jour un catalogue des services qu’elle propose aux administrations de l’Etat pour les accompagner dans leurs missions relatives Ă  la sĂ©curitĂ© numĂ©rique.
L’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information coordonne la rĂ©ponse aux crises affectant la sĂ©curitĂ© numĂ©rique de l’Etat selon l’organisation prĂ©sentĂ©e en section 3.4.
Une convention entre l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information et chaque ministĂšre prĂ©cise les relations entre les parties et dĂ©crit les services auxquels recourent les ministĂšres ainsi que les modalitĂ©s et responsabilitĂ©s associĂ©es.
Le directeur gĂ©nĂ©ral de l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information est membre du comitĂ© stratĂ©gique interministĂ©riel de la sĂ©curitĂ© numĂ©rique (cf. 3.3.2).
Il prĂ©side le comitĂ© interministĂ©riel de pilotage de la sĂ©curitĂ© numĂ©rique (cf. 3.3.3). L’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information assure le secrĂ©tariat de ce comitĂ©.

3.2.3. Le directeur interministériel du numérique (DINUM)

La direction interministĂ©rielle du numĂ©rique propose au Premier ministre et met en Ɠuvre la stratĂ©gie numĂ©rique de l’Etat (5). Elle s’assure de la bonne prise en compte de la politique de sĂ©curitĂ© numĂ©rique de l’Etat dans cette stratĂ©gie ainsi que dans les diffĂ©rents projets qui lui sont soumis au titre de cette stratĂ©gie et de ses attributions (6).
Pour les sujets relatifs Ă  la sĂ©curitĂ© numĂ©rique des services interministĂ©riels dont elle a la charge, la direction interministĂ©rielle du numĂ©rique s’inscrit dans la chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information des services du Premier ministre.
Le directeur interministĂ©riel du numĂ©rique est autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information des systĂšmes d’information et de communication transverses dont il a la responsabilitĂ©. A ce titre, il assume les responsabilitĂ©s dĂ©crites au 4.2.3.
La direction interministĂ©rielle du numĂ©rique Ă©tablit et maintient Ă  jour un catalogue des services qu’elle propose et le communique aux administrations de l’Etat afin de les accompagner dans leurs projets de transformation numĂ©rique. Pour chaque service, ce catalogue prĂ©cise le niveau de sĂ©curitĂ© numĂ©rique, le pĂ©rimĂštre et les conditions d’emploi validĂ©s par l’autoritĂ© d’homologation.
Le directeur interministériel du numérique est membre du comité stratégique interministériel de la sécurité numérique (cf. 3.3.2).

3.3. Les instances interministérielles de la sécurité numérique
3.3.1. Instance stratégique de niveau politique

Il est organisĂ© rĂ©guliĂšrement et au minimum une fois par an une rĂ©union interministĂ©rielle, Ă  l’initiative du Premier ministre, relative Ă  la cybersĂ©curitĂ©.

3.3.2. Le comité stratégique interministériel de la sécurité numérique (COSINUS)

Le comité stratégique interministériel de la sécurité numérique est présidé par le secrétaire général de la défense et de la sécurité nationale et se compose :

– des hauts fonctionnaires de dĂ©fense et de sĂ©curitĂ© de chaque ministĂšre ;
– du directeur interministĂ©riel du numĂ©rique ;
– du directeur gĂ©nĂ©ral de l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information.

L’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information assure le secrĂ©tariat du comitĂ© stratĂ©gique interministĂ©riel de la sĂ©curitĂ© numĂ©rique.
Le secrĂ©taire gĂ©nĂ©ral de la dĂ©fense et de la sĂ©curitĂ© nationale et chaque haut fonctionnaire de dĂ©fense et de sĂ©curitĂ© prĂ©sentent le niveau de sĂ©curitĂ© numĂ©rique pour leur domaine de responsabilitĂ© et les plans d’actions associĂ©s. Ils prĂ©sentent Ă©galement une synthĂšse sur les incidents de sĂ©curitĂ© passĂ©s.
Le directeur gĂ©nĂ©ral de l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information prĂ©sente un Ă©tat de la menace relative Ă  la sĂ©curitĂ© numĂ©rique.
Sur la base de ces prĂ©sentations, le comitĂ© stratĂ©gique interministĂ©riel de la sĂ©curitĂ© numĂ©rique peut proposer la rĂ©vision de la prise en compte de la sĂ©curitĂ© numĂ©rique par les ministĂšres dans la stratĂ©gie numĂ©rique de l’Etat ainsi que dans la prĂ©sente instruction. Il dĂ©finit les orientations stratĂ©giques en matiĂšre de sĂ©curitĂ© numĂ©rique et la feuille de route associĂ©e qui seront prĂ©sentĂ©es en instance stratĂ©gique de niveau politique (cf. 3.3.1).
Le comité stratégique interministériel de la sécurité numérique se réunit au minimum une fois par an, en amont des dialogues de gestion budgétaire.

3.3.3. Le comité interministériel de pilotage de la sécurité numérique (CINUS)

PrĂ©sidĂ© par le directeur gĂ©nĂ©ral de l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information, le comitĂ© interministĂ©riel de pilotage de la sĂ©curitĂ© numĂ©rique est composĂ© des fonctionnaires de la sĂ©curitĂ© des systĂšmes d’information de chaque ministĂšre. Sont Ă©galement conviĂ©s des reprĂ©sentants des services de la PrĂ©sidence de la RĂ©publique, de l’AssemblĂ©e nationale, du SĂ©nat et de la direction interministĂ©rielle du numĂ©rique, qualifiĂ©s sur les sujets relatifs au pilotage de la sĂ©curitĂ© numĂ©rique.
Le comitĂ© interministĂ©riel de pilotage de la sĂ©curitĂ© numĂ©rique suit la mise en Ɠuvre de la feuille de route validĂ©e lors de l’instance stratĂ©gique de niveau politique (cf. 3.3.1) en proposant une instance de partage et de rĂ©flexion sur les difficultĂ©s Ă©ventuellement rencontrĂ©es et l’actualitĂ© relative Ă  la sĂ©curitĂ© numĂ©rique.
Le comité interministériel de pilotage de la sécurité numérique se réunit sur une base mensuelle et en tant que de besoin.

3.4. Gestion interministérielle de crise

L’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information assure la coordination du traitement des incidents de sĂ©curitĂ© interministĂ©riels de maniĂšre adaptĂ©e Ă  l’ampleur de ceux-ci. En particulier, lorsque cela est justifiĂ©, l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information apporte son soutien au secrĂ©taire gĂ©nĂ©ral de la dĂ©fense et de la sĂ©curitĂ© nationale pour organiser la coordination interministĂ©rielle afin de permettre :

– une comprĂ©hension partagĂ©e de la situation ;
– l’Ă©laboration d’un Ă©tat des lieux interministĂ©riel ;
– la dĂ©finition d’une rĂ©ponse coordonnĂ©e ;
– le suivi de la mise en Ɠuvre de la rĂ©ponse.

Lorsque cet Ă©vĂšnement de sĂ©curitĂ© numĂ©rique fait l’objet d’un suivi par le centre de coordination des crises cyber (C4) ou par la cellule interministĂ©rielle de crise (CIC), l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information assure la liaison avec ces enceintes.

4. Organisation ministĂ©rielle de la gouvernance de la sĂ©curitĂ© numĂ©rique de l’Etat

Le prĂ©sent chapitre vise Ă  dĂ©finir les rĂŽles et responsabilitĂ©s contribuant Ă  la sĂ©curitĂ© numĂ©rique selon une approche gĂ©nĂ©rique. Ces rĂŽles et responsabilitĂ©s sont dĂ©clinĂ©s et mis en Ɠuvre au sein de chaque ministĂšre en s’inscrivant dans ses spĂ©cificitĂ©s. Dans une perspective d’efficacitĂ©, cette dĂ©clinaison s’articule avec l’organisation en matiĂšre de numĂ©rique, de protection des donnĂ©es Ă  caractĂšre personnel et de protection du secret de la dĂ©fense nationale.

4.1. Vue d’ensemble de l’organisation ministĂ©rielle
4.1.1. Rappel de l’organisation ministĂ©rielle en matiĂšre de numĂ©rique

La responsabilitĂ© du Premier ministre sur le systĂšme d’information et de communication de l’Etat est dĂ©lĂ©guĂ©e de plein droit Ă  chaque ministre dans la mesure requise pour l’exercice de ses attributions (7). Ainsi, chaque ministĂšre met en place une structure qui organise et met Ɠuvre la stratĂ©gie interministĂ©rielle du numĂ©rique (8).

4.1.2. Organisation ministérielle en matiÚre de sécurité numérique

Chaque ministĂšre est responsable d’assurer la gouvernance, la protection, la dĂ©fense et la rĂ©silience des systĂšmes d’information et de communication qui supportent ses missions.
Chaque ministĂšre dĂ©finit Ă©galement des orientations ministĂ©rielles stratĂ©giques en matiĂšre de sĂ©curitĂ© numĂ©rique. Ces orientations, dĂ©clinĂ©es des orientations stratĂ©giques de sĂ©curitĂ© numĂ©rique de l’Etat validĂ©es en instance stratĂ©gique de niveau politique (cf. 3.3.1), dĂ©finissent les prioritĂ©s ministĂ©rielles en matiĂšre de sĂ©curitĂ© numĂ©rique.
Chaque ministĂšre se dote d’une politique ministĂ©rielle de sĂ©curitĂ© numĂ©rique qui dĂ©finit, conformĂ©ment Ă  la prĂ©sente instruction, l’organisation ministĂ©rielle de la sĂ©curitĂ© numĂ©rique afin de tenir compte de ses spĂ©cificitĂ©s. En particulier, et pour rĂ©pondre Ă  des incidents de sĂ©curitĂ©, chaque ministĂšre Ă©labore une stratĂ©gie de rĂ©silience numĂ©rique et s’assure que son dispositif de gestion de crise est en capacitĂ© de couvrir les aspects relatifs Ă  la sĂ©curitĂ© numĂ©rique, dans le respect des principes dĂ©finis dans le chapitre 4.5 de la prĂ©sente instruction. Cette politique dĂ©finit Ă©galement, sur la base des orientations ministĂ©rielles stratĂ©giques en matiĂšre de sĂ©curitĂ© numĂ©rique et de la politique de sĂ©curitĂ© numĂ©rique de l’Etat, les principes de gouvernance, de protection, de dĂ©fense et de rĂ©silience des systĂšmes d’information et de communication mis en Ɠuvre sur son pĂ©rimĂštre de responsabilitĂ©.
Afin de piloter la mise en conformitĂ© Ă  la politique ministĂ©rielle de sĂ©curitĂ© numĂ©rique, chaque ministĂšre se dote d’une feuille de route ministĂ©rielle de sĂ©curitĂ© numĂ©rique dĂ©taillant les plans d’actions nĂ©cessaires Ă  la mise en conformitĂ© Ă  cette politique.
Chaque ministĂšre, pour contrĂŽler la conformitĂ© Ă  la politique ministĂ©rielle de sĂ©curitĂ© numĂ©rique, consolide de maniĂšre rĂ©guliĂšre un rapport d’Ă©valuation du niveau de sĂ©curitĂ© numĂ©rique ainsi qu’une synthĂšse des incidents de sĂ©curitĂ© sur son pĂ©rimĂštre de responsabilitĂ©. Ces Ă©lĂ©ments, qui s’appuient sur les modĂšles et mĂ©thodologies dĂ©finis par l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information, sont notamment prĂ©sentĂ©s en instance stratĂ©gique de niveau politique (cf. 3.3.1).
Pour mener Ă  bien ces missions, le ministĂšre s’appuie notamment sur une chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information telle que dĂ©crite au chapitre 4.4 de la prĂ©sente instruction.
Les rĂŽles et responsabilitĂ©s contribuant particuliĂšrement Ă  la sĂ©curitĂ© numĂ©rique au niveau ministĂ©riel, ainsi que les instances de gouvernance permettant de dĂ©finir la stratĂ©gie ministĂ©rielle de sĂ©curitĂ© numĂ©rique et d’assurer le suivi de sa mise en Ɠuvre, sont dĂ©crits ci-aprĂšs.

4.1.3. Relation entre le ministĂšre et les Ă©tablissements publics dont il a la tutelle

Au titre de leurs responsabilitĂ©s (9), les secrĂ©taires gĂ©nĂ©raux des ministĂšres s’assurent de la prise en compte de la sĂ©curitĂ© numĂ©rique dans la coordination de la tutelle des Ă©tablissements publics de l’Etat relevant de leur ministĂšre en s’appuyant, notamment, sur la chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information du ministĂšre.

4.2. RÎles et responsabilités
4.2.1. Le ministre

Le ministre est responsable du systĂšme d’information et de communication de son ministĂšre (10). A ce titre, il s’assure que l’ensemble des infrastructures et services logiciels informatiques de son ministĂšre sont sous la responsabilitĂ© d’une autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information.
Le ministre s’assure de la maĂźtrise des risques numĂ©riques ayant un impact sur l’exĂ©cution des missions de son ministĂšre.
Le ministre est garant de la bonne prise en compte de la stratĂ©gie numĂ©rique de l’Etat et de la politique de sĂ©curitĂ© numĂ©rique de l’Etat, dans l’Ă©laboration de la politique publique portĂ©e par son ministĂšre. Il valide les orientations ministĂ©rielles en matiĂšre de sĂ©curitĂ© numĂ©rique ainsi que la politique ministĂ©rielle de sĂ©curitĂ© numĂ©rique.
Le ministre s’assure de la prise en compte de la sĂ©curitĂ© numĂ©rique dans l’Ă©laboration et la mise en Ɠuvre d’une stratĂ©gie de rĂ©silience numĂ©rique, notamment des plans de continuitĂ© et de reprise d’activitĂ© pour les missions essentielles portĂ©es par son ministĂšre ainsi que dans l’Ă©laboration et la mise en Ɠuvre du dispositif de gestion de crise ministĂ©riel en vertu des principes dĂ©finis au chapitre 4.5 de la prĂ©sente instruction.
Lorsqu’un Ă©tablissement, une direction ou un service est sous la tutelle de plusieurs ministĂšres, les ministres concernĂ©s dĂ©cident du ministĂšre de rĂ©fĂ©rence sur les sujets relatifs Ă  la sĂ©curitĂ© numĂ©rique.

4.2.2. Le service du haut fonctionnaire de défense et de sécurité
4.2.2.1. Le haut fonctionnaire de défense et de sécurité

Le haut fonctionnaire de défense et de sécurité (11) conseille le ministre pour toutes les questions relatives à la sécurité numérique (12).
Le haut fonctionnaire de dĂ©fense et de sĂ©curitĂ© propose au ministre la politique ministĂ©rielle de sĂ©curitĂ© numĂ©rique qu’il est chargĂ© d’animer.
Le haut fonctionnaire de dĂ©fense et de sĂ©curitĂ© est l’interlocuteur privilĂ©giĂ© du directeur gĂ©nĂ©ral de l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information, au sein de son ministĂšre, sur les sujets relatifs Ă  la sĂ©curitĂ© numĂ©rique de niveau stratĂ©gique.
Le haut fonctionnaire de dĂ©fense et de sĂ©curitĂ© est membre du comitĂ© stratĂ©gique interministĂ©riel de la sĂ©curitĂ© numĂ©rique et participe Ă  l’instance stratĂ©gique ministĂ©rielle de la sĂ©curitĂ© numĂ©rique. Il prĂ©side l’instance ministĂ©rielle de pilotage de la sĂ©curitĂ© numĂ©rique.
Au titre des missions qu’il exerce (notamment secrĂ©tariat gĂ©nĂ©ral ou directeur gĂ©nĂ©ral au sein de son ministĂšre), le haut fonctionnaire de dĂ©fense et de sĂ©curitĂ© peut ĂȘtre dĂ©signĂ© comme autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information. Il porte alors les responsabilitĂ©s associĂ©es et dĂ©finies dans la section 4.2.3.

4.2.2.2. Le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information (FSSI)

Le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information conseille et accompagne, au sein de son ministĂšre, l’ensemble des rĂŽles prĂ©sentĂ©s au chapitre 4.2 sur les questions relatives Ă  la sĂ©curitĂ© numĂ©rique. Sur les sujets relatifs Ă  la sĂ©curitĂ© numĂ©rique, il peut, le cas Ă©chĂ©ant, conseiller et accompagner les Ă©tablissements relevant du ministĂšre et leurs tutelles, les opĂ©rateurs rĂ©gulĂ©s (notamment les opĂ©rateurs d’importance vitale ou de service essentiel) et toute autre structure dĂ©pendante du ministĂšre (13).
Il pilote la mise en Ɠuvre de la politique ministĂ©rielle de sĂ©curitĂ© numĂ©rique. Il est consultĂ© sur la bonne prise en compte de la sĂ©curitĂ© numĂ©rique dans les politiques publiques ministĂ©rielles et la stratĂ©gie ministĂ©rielle du numĂ©rique. Il contrĂŽle l’application des exigences de sĂ©curitĂ© numĂ©rique dĂ©finies dans la politique ministĂ©rielle de sĂ©curitĂ© numĂ©rique, la stratĂ©gie ministĂ©rielle du numĂ©rique avec les moyens Ă  sa disposition (par exemple les audits, les contrĂŽles, les bilans).
Le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information accompagne les autoritĂ©s qualifiĂ©es en sĂ©curitĂ© des systĂšmes d’information dans la bonne prise en compte de la sĂ©curitĂ© numĂ©rique sur leur pĂ©rimĂštre de responsabilitĂ© et notamment dans l’Ă©laboration, la mise en Ɠuvre et la coordination des stratĂ©gies de rĂ©silience numĂ©rique, supportĂ©es par les diffĂ©rents plans de continuitĂ© et de reprise d’activitĂ©. Le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information contribue Ă  la gestion de crise via l’accompagnement et l’aide Ă  la dĂ©cision des autoritĂ©s ministĂ©rielles sur les sujets relatifs Ă  la sĂ©curitĂ© numĂ©rique.
Le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information est nommĂ© par le ministre et placĂ© sous l’autoritĂ© hiĂ©rarchique du haut fonctionnaire de dĂ©fense et de sĂ©curitĂ©. Il peut disposer d’un ou plusieurs adjoints. Le haut fonctionnaire de dĂ©fense et de sĂ©curitĂ© s’assure que le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information dispose :

– du positionnement adĂ©quat pour pouvoir s’adresser aux diffĂ©rentes autoritĂ©s qualifiĂ©es en sĂ©curitĂ© des systĂšmes d’information de son pĂ©rimĂštre de responsabilitĂ© ;
– des moyens financiers, humains et techniques nĂ©cessaires pour assumer ses responsabilitĂ©s.

Le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information est un des interlocuteurs privilĂ©giĂ©s de l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information au sein du ministĂšre sur les sujets de mise en Ɠuvre de la sĂ©curitĂ© numĂ©rique ou liĂ©s au suivi de la feuille de route ministĂ©rielle de sĂ©curitĂ© numĂ©rique.
Lorsqu’un systĂšme d’information et de communication est critique pour la rĂ©alisation des missions de plusieurs directions de son ministĂšre, le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information, en lien avec les directions et autoritĂ©s qualifiĂ©es en sĂ©curitĂ© des systĂšmes d’information concernĂ©es, propose au haut fonctionnaire de dĂ©fense et de sĂ©curitĂ©, pour arbitrage du ministre, la direction qui en a la responsabilitĂ©.
Le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information participe au comitĂ© interministĂ©riel de pilotage de la sĂ©curitĂ© numĂ©rique. Il assure le secrĂ©tariat, en appui du haut fonctionnaire de dĂ©fense et de sĂ©curitĂ©, de l’instance stratĂ©gique ministĂ©rielle de la sĂ©curitĂ© numĂ©rique et de l’instance ministĂ©rielle de pilotage de la sĂ©curitĂ© numĂ©rique. Il anime et coordonne la chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information pour le ministĂšre dont il dĂ©pend. Il organise la relation entre son ministĂšre et les Ă©tablissements publics dont son ministĂšre a la tutelle pour les sujets relatifs Ă  la sĂ©curitĂ© numĂ©rique.
En tant qu’animateur et coordinateur de la chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information, le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information s’assure que les incidents de sĂ©curitĂ© significatifs sont notifiĂ©s Ă  l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information dans les plus brefs dĂ©lais.

4.2.3. L’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information (AQSSI)

L’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information est responsable de la sĂ©curitĂ© des systĂšmes d’information et de communication qui contribuent Ă  l’exĂ©cution des missions dont elle a la charge (14). L’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information ne peut dĂ©lĂ©guer cette responsabilitĂ©. A ce titre, elle est responsable, en particulier, de :

– l’Ă©laboration et le maintien Ă  jour d’une cartographie de ces systĂšmes (15) ;
– le maintien en condition opĂ©rationnelle et de sĂ©curitĂ© de ces systĂšmes ;
– la planification des audits de sĂ©curitĂ© de ces systĂšmes.

L’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information alloue les ressources nĂ©cessaires pour mener Ă  bien les projets de transformation numĂ©rique de son pĂ©rimĂštre de responsabilitĂ© et s’assure Ă  ce titre que les risques numĂ©riques sont gĂ©rĂ©s. Ces Ă©lĂ©ments sont tenus Ă  la disposition du fonctionnaire de sĂ©curitĂ© des systĂšmes d’information.
L’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information s’assure de la bonne prise en compte de ses orientations en matiĂšre de sĂ©curitĂ© numĂ©rique dans les missions qu’elle porte et dans la stratĂ©gie ministĂ©rielle du numĂ©rique pour laquelle elle rend un avis.
Sur son pĂ©rimĂštre de responsabilitĂ©, l’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information contrĂŽle l’application des exigences de sĂ©curitĂ© numĂ©rique auxquelles elle est soumise. Elle intĂšgre dans la programmation de ses contrĂŽles internes le volet relatif Ă  la sĂ©curitĂ© numĂ©rique.
Elle remet annuellement au haut fonctionnaire de dĂ©fense et de sĂ©curitĂ© un rapport dans lequel elle intĂšgre l’Ă©valuation du niveau de sĂ©curitĂ© numĂ©rique et une synthĂšse des incidents de sĂ©curitĂ© ayant impactĂ©s ses missions. Ce rapport est synthĂ©tisĂ© et prĂ©sentĂ© en instance stratĂ©gique ministĂ©rielle de la sĂ©curitĂ© numĂ©rique (cf. 4.3.1).
L’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information s’assure de l’Ă©laboration, de la mise en Ɠuvre et du maintien, notamment au travers d’exercices, des plans de continuitĂ© et de reprise des activitĂ©s relevant de son domaine de responsabilitĂ© face Ă  des incidents de sĂ©curitĂ©.
L’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information s’assure de la dĂ©finition et de la mise en Ɠuvre d’un processus de gestion des incidents de sĂ©curitĂ© ainsi que d’une organisation de gestion de crise face aux incidents de sĂ©curitĂ©, dans le respect des principes dĂ©finis au chapitre 4.5.
Le rĂŽle d’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information est assumĂ© par chaque responsable devant le ministre d’une ou plusieurs missions ministĂ©rielles. Le ministre dĂ©finit, sur son domaine de responsabilitĂ©s, les modalitĂ©s de nomination des autoritĂ©s qualifiĂ©es en sĂ©curitĂ© des systĂšmes d’information (16).
ConformĂ©ment au dĂ©cret n° 2019-1088 (17), chaque systĂšme d’information et de communication fait l’objet, prĂ©alablement Ă  sa mise en Ɠuvre, d’une homologation de sĂ©curitĂ©. Sauf pour les exceptions prĂ©vues aux articles 6.1.2, 6.2.1 et 6.2.2 de l’instruction gĂ©nĂ©rale interministĂ©rielle 1300 sur la protection du secret de la dĂ©fense nationale, l’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information est l’autoritĂ© d’homologation, par dĂ©faut, de chaque systĂšme d’information et de communication dont elle est responsable.
Lorsque l’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information dĂ©lĂšgue l’instruction des dĂ©marches d’homologation Ă  une ou plusieurs autoritĂ©s d’homologation, elle s’assure du respect des recommandations de l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information. En particulier elle veille Ă  ce qu’une seule et unique autoritĂ© d’homologation existe pour chaque systĂšme d’information et de communication.
Pour l’assister dans l’exercice de ses responsabilitĂ©s, l’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information nomme un conseiller Ă  la sĂ©curitĂ© numĂ©rique.
L’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information est membre de l’instance stratĂ©gique ministĂ©rielle de la sĂ©curitĂ© numĂ©rique. Elle contribue Ă  la chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information.

4.2.4. Le conseiller à la sécurité numérique (CSN)

Le conseiller Ă  la sĂ©curitĂ© numĂ©rique conseille et accompagne l’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information dans l’exercice de ses responsabilitĂ©s dĂ©finies au 4.2.3 pour la gestion des risques numĂ©riques. Il peut ĂȘtre chargĂ© d’accompagner les autoritĂ©s d’homologation dans leurs dĂ©marches d’homologation.
Le conseiller Ă  la sĂ©curitĂ© numĂ©rique est placĂ© sous l’autoritĂ© d’une autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information. Sans nĂ©cessairement ĂȘtre un expert du domaine, il dispose d’une culture de la sĂ©curitĂ© numĂ©rique lui permettant d’en traduire les enjeux pour le compte de son autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information.
Le conseiller Ă  la sĂ©curitĂ© numĂ©rique s’appuie sur les compĂ©tences Ă  disposition en matiĂšre de sĂ©curitĂ© numĂ©rique, notamment le responsable de la sĂ©curitĂ© des systĂšmes d’information, le directeur ministĂ©riel du numĂ©rique et les structures en charge du numĂ©rique. Il Ă©change Ă©galement autant que de besoin avec le dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es.
Le conseiller Ă  la sĂ©curitĂ© numĂ©rique contribue Ă  la chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information et reprĂ©sente l’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information dans l’instance ministĂ©rielle de pilotage de sĂ©curitĂ© numĂ©rique.

4.2.5. Le directeur ministériel du numérique (DNUM)

Le directeur ministĂ©riel du numĂ©rique dĂ©finit la stratĂ©gie ministĂ©rielle du numĂ©rique dans laquelle il s’assure de la bonne prise en compte de la sĂ©curitĂ© numĂ©rique en respectant la politique ministĂ©rielle de sĂ©curitĂ© numĂ©rique. Il dĂ©finit le plan de transformation numĂ©rique ministĂ©riel et le schĂ©ma directeur des systĂšmes d’information et de communication qui dĂ©cline la mise en Ɠuvre de cette stratĂ©gie, en veillant Ă  une bonne rĂ©partition des expertises en sĂ©curitĂ© numĂ©rique entre la direction du numĂ©rique et les directions mĂ©tiers pour une appropriation optimale de la sĂ©curitĂ© numĂ©rique au sein du ministĂšre. Ces Ă©lĂ©ments sont soumis Ă  l’avis du fonctionnaire de sĂ©curitĂ© des systĂšmes d’information et validĂ©s par le ministre.
Chaque ministĂšre met en place une structure qui organise et pilote les actions du ministĂšre en matiĂšre de numĂ©rique (18). Outre cette direction ministĂ©rielle du numĂ©rique, le ministĂšre peut disposer de diffĂ©rentes structures en charge du numĂ©rique, qu’elles soient responsables de systĂšmes d’information et de communication transverses ou qu’elles assurent la mise en Ɠuvre et l’exploitation de systĂšmes d’information et de communication pour le compte d’une autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information. Il est nĂ©cessaire que chaque structure, sur le pĂ©rimĂštre qui la concerne, prenne en compte la sĂ©curitĂ© numĂ©rique. A cet effet, il convient d’y consacrer les ressources humaines nĂ©cessaires, en tenant compte de la diversitĂ© des profils nĂ©cessaire pour suivre la mutation permanente du domaine de la sĂ©curitĂ© numĂ©rique.
Le directeur ministĂ©riel du numĂ©rique, dans son rĂŽle d’organisation et de pilotage du systĂšme d’information et de communication au sein du ministĂšre, veille, en lien avec le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information, Ă  ce que chaque structure responsable de systĂšmes d’information et de communication transverses relĂšve de l’autoritĂ© d’une autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information.
Le directeur ministĂ©riel du numĂ©rique veille Ă  ce que chaque structure assurant la mise en Ɠuvre et l’exploitation de systĂšmes d’information et de communication pour le compte d’une autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information contribue, sous la responsabilitĂ© de cette derniĂšre et dans le cadre de la dĂ©marche d’homologation, Ă  :

– l’Ă©laboration et le maintien Ă  jour d’une cartographie des systĂšmes d’information et de communication (19) ;
– le maintien en condition opĂ©rationnelle et de sĂ©curitĂ© des systĂšmes d’information et de communication ;
– la rĂ©alisation des audits de sĂ©curitĂ© des systĂšmes d’information et de communication ;
– l’Ă©laboration de la stratĂ©gie de rĂ©silience numĂ©rique, notamment des plans de continuitĂ© et de reprise d’activitĂ© en fournissant aux autoritĂ©s qualifiĂ©es en sĂ©curitĂ© des systĂšmes d’information concernĂ©es les Ă©lĂ©ments relatifs aux ressources numĂ©riques. Ces plans sont dĂ©clinĂ©s, pour le volet numĂ©rique, dans des plans de continuitĂ© et de reprise informatique ;
– la gestion de crise par l’apport de son expertise et la fourniture de moyens pour rĂ©pondre Ă  la crise, pour son pĂ©rimĂštre de responsabilitĂ©.

Lorsque cela est nĂ©cessaire, et au regard de son rĂŽle en matiĂšre de protection des donnĂ©es Ă  caractĂšre personnel, le directeur du numĂ©rique veille Ă  ce qu’une analyse d’impact relative Ă  la protection des donnĂ©es soit Ă©laborĂ©e.
Le directeur ministĂ©riel du numĂ©rique et chaque responsable de structure en charge du numĂ©rique nomment un ou plusieurs responsables de la sĂ©curitĂ© de systĂšmes d’information pour les assister dans l’exercice des missions listĂ©es ci-dessus.

4.2.6. Le responsable de la sĂ©curitĂ© des systĂšmes d’information (RSSI)

Le responsable de la sĂ©curitĂ© des systĂšmes d’information conseille et accompagne le directeur ministĂ©riel du numĂ©rique, le conseiller Ă  la sĂ©curitĂ© numĂ©rique ou tout responsable d’une structure en charge du numĂ©rique dans la mise en Ɠuvre opĂ©rationnelle de la sĂ©curitĂ© numĂ©rique.
Le responsable de la sĂ©curitĂ© des systĂšmes d’information dispose d’une expertise technique en matiĂšre de sĂ©curitĂ© numĂ©rique.
Le responsable de la sĂ©curitĂ© des systĂšmes d’information contribue Ă  la chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information et est membre de l’instance ministĂ©rielle de pilotage de sĂ©curitĂ© numĂ©rique.

4.3. Les instances ministérielles de la sécurité numérique

La comitologie dĂ©crite dans la prĂ©sente section sur un modĂšle gĂ©nĂ©rique vise Ă  garantir que le traitement des sujets de sĂ©curitĂ© numĂ©rique est organisĂ© d’une maniĂšre qui leur permet de bĂ©nĂ©ficier d’un pilotage et d’une attention Ă  un niveau appropriĂ©.
Cette comitologie est dĂ©clinĂ©e et mise en Ɠuvre au sein de chaque ministĂšre en s’inscrivant dans ses spĂ©cificitĂ©s. Dans une perspective d’efficacitĂ©, cette dĂ©clinaison devra s’articuler avec les comitologies en matiĂšre de numĂ©rique, de protection des donnĂ©es Ă  caractĂšre personnel et de protection du secret de la dĂ©fense nationale.
Le ministre s’assure du bon niveau de reprĂ©sentation Ă  ces instances selon les exigences dĂ©finies ci-aprĂšs.

4.3.1. L’instance stratĂ©gique ministĂ©rielle de la sĂ©curitĂ© numĂ©rique

L’instance stratĂ©gique ministĂ©rielle de la sĂ©curitĂ© numĂ©rique a pour objectif de prĂ©senter le niveau de sĂ©curitĂ© numĂ©rique global du ministĂšre afin de dĂ©finir les orientations stratĂ©giques en matiĂšre de sĂ©curitĂ© numĂ©rique.
PrĂ©sidĂ©e par le ministre, cette instance est composĂ©e du haut fonctionnaire de dĂ©fense et de sĂ©curitĂ©, de l’ensemble des autoritĂ©s qualifiĂ©es en sĂ©curitĂ© des systĂšmes d’information du ministĂšre, du directeur ministĂ©riel du numĂ©rique et peut ĂȘtre Ă©largie Ă  toute autoritĂ© en fonction de l’ordre du jour, notamment au directeur gĂ©nĂ©ral de l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information.
Le haut fonctionnaire de défense et de sécurité assure le secrétariat de cette instance.
L’instance stratĂ©gique ministĂ©rielle de la sĂ©curitĂ© numĂ©rique se rĂ©unit au minimum une fois par an, en amont du comitĂ© stratĂ©gique interministĂ©riel de la sĂ©curitĂ© numĂ©rique.
Chaque autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information prĂ©sente une synthĂšse du niveau de sĂ©curitĂ© numĂ©rique sur son pĂ©rimĂštre de responsabilitĂ© ainsi qu’une synthĂšse des incidents de sĂ©curitĂ©. Elle prĂ©sente les plans d’action associĂ©s.
L’instance stratĂ©gique ministĂ©rielle de la sĂ©curitĂ© numĂ©rique vĂ©rifie la bonne prise en compte de la sĂ©curitĂ© numĂ©rique dans les politiques publiques portĂ©es par le ministĂšre ainsi que dans la stratĂ©gie ministĂ©rielle numĂ©rique.
En s’appuyant sur les Ă©lĂ©ments ci-dessus et en tenant compte des orientations prises en comitĂ© stratĂ©gique interministĂ©riel de la sĂ©curitĂ© numĂ©rique, l’instance stratĂ©gique ministĂ©rielle de la sĂ©curitĂ© numĂ©rique dĂ©finit, pour son ministĂšre, les orientations stratĂ©giques en matiĂšre de sĂ©curitĂ© numĂ©rique. Ces orientations sont dĂ©clinĂ©es dans une feuille de route pluriannuelle.
L’instance stratĂ©gique ministĂ©rielle de la sĂ©curitĂ© numĂ©rique est l’instance qui permet, le cas Ă©chĂ©ant, d’arbitrer les questions budgĂ©taires, sur la base des Ă©lĂ©ments qui lui sont communiquĂ©s, relatifs Ă  la sĂ©curitĂ© numĂ©rique des systĂšmes d’information et de communication.

4.3.2. L’instance ministĂ©rielle de pilotage de la sĂ©curitĂ© numĂ©rique

L’instance ministĂ©rielle de pilotage de la sĂ©curitĂ© numĂ©rique a pour objectif de piloter les activitĂ©s relatives Ă  la sĂ©curitĂ© numĂ©rique et d’assurer le suivi de la feuille de route validĂ©e lors de l’instance stratĂ©gique ministĂ©rielle de la sĂ©curitĂ© numĂ©rique.
PrĂ©sidĂ©e par le haut fonctionnaire de dĂ©fense et de sĂ©curitĂ©, l’instance ministĂ©rielle de pilotage de la sĂ©curitĂ© numĂ©rique est composĂ©e du fonctionnaire de sĂ©curitĂ© des systĂšmes d’information, des conseillers Ă  la sĂ©curitĂ© numĂ©rique et responsables de la sĂ©curitĂ© des systĂšmes d’information du ministĂšre et peut ĂȘtre Ă©largie Ă  toute personne pertinente pour discuter des sujets prĂ©sentĂ©s ci-dessus, notamment Ă  des responsables mĂ©tiers du numĂ©rique.
Le secrĂ©tariat de cette instance est assurĂ© par le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information.
L’instance ministĂ©rielle de pilotage de la sĂ©curitĂ© numĂ©rique se rĂ©unit au minimum quatre fois par an et en tant que de besoin, sur convocation de son prĂ©sident.
Cette instance assure un suivi sur les activitĂ©s liĂ©es Ă  la sĂ©curitĂ© numĂ©rique, en particulier les homologations, les plans de traitement des risques associĂ©s, la gestion des incidents de sĂ©curitĂ© comportant une composante numĂ©rique et la prise en compte de la sĂ©curitĂ© numĂ©rique dans le dispositif de gestion de crise ministĂ©riel. Elle assure Ă©galement un suivi de la feuille de route dĂ©finie par l’instance stratĂ©gique ministĂ©rielle de la sĂ©curitĂ© numĂ©rique.
L’instance ministĂ©rielle de pilotage de la sĂ©curitĂ© numĂ©rique traite les points d’arbitrage sur les orientations techniques suivies au sein du ministĂšre, programme les audits, suit la mise en Ɠuvre des plans d’action associĂ©s, en Ă©troite collaboration avec les responsables mĂ©tiers du numĂ©rique et prĂ©pare les Ă©lĂ©ments en vue de la tenue de l’instance stratĂ©gique ministĂ©rielle de la sĂ©curitĂ© numĂ©rique.

4.4. La chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information

La chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information est animĂ©e par le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information. Elle s’organise, au sein d’un ministĂšre, autour de l’ensemble des autoritĂ©s qualifiĂ©es en sĂ©curitĂ© des systĂšmes d’information, des conseillers Ă  la sĂ©curitĂ© numĂ©rique, des responsables de la sĂ©curitĂ© des systĂšmes d’information et des autoritĂ©s d’homologation. Cette chaĂźne fonctionnelle est dĂ©clinĂ©e dans les diffĂ©rentes entitĂ©s dont le ministĂšre a la charge au titre d’une tutelle ou des diffĂ©rentes rĂ©glementations applicables.
La chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information rend compte au fonctionnaire de sĂ©curitĂ© des systĂšmes d’information de l’application de la politique ministĂ©rielle de sĂ©curitĂ© numĂ©rique.
Cette chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information participe Ă  la gestion et au traitement d’un incident de sĂ©curitĂ© ou d’une crise lorsque ceux-ci comportent une composante numĂ©rique. En particulier, la chaĂźne fonctionnelle remonte toute information pertinente Ă  l’autoritĂ© qualifiĂ©e en sĂ©curitĂ© des systĂšmes d’information afin d’Ă©clairer les dĂ©cisions qu’elle prend. Si les consĂ©quences concernent plus d’une direction mĂ©tier, les informations sont remontĂ©es au fonctionnaire de sĂ©curitĂ© des systĂšmes d’information.
Elle propose et conseille les autoritĂ©s dans le domaine de la sĂ©curitĂ© numĂ©rique, notamment sur les mesures de sĂ©curitĂ© Ă  mettre en Ɠuvre. Elle contribue Ă  fournir les Ă©lĂ©ments pertinents en vue des instances stratĂ©giques et de pilotage de la sĂ©curitĂ© numĂ©rique au sein du ministĂšre.

4.5. La gestion de crise

Le ministre s’assure de la bonne prise en compte de la sĂ©curitĂ© numĂ©rique dans le dispositif de gestion de crise ministĂ©riel. Cette intĂ©gration s’appuie sur l’implication de la chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information. Le ministre s’assure que les autoritĂ©s qualifiĂ©es en sĂ©curitĂ© des systĂšmes d’information sont parties prenantes au processus de dĂ©cision dans la gestion de la crise. Il s’assure Ă©galement que les Ă©quipes opĂ©rationnelles, en particulier les Ă©quipes techniques de rĂ©ponse aux incidents de sĂ©curitĂ©, sont intĂ©grĂ©es dans cette organisation de gestion de crise.
Ainsi, dans le cadre de la gestion des incidents de sĂ©curitĂ© comportant une composante numĂ©rique, le fonctionnaire de sĂ©curitĂ© des systĂšmes d’information propose au haut fonctionnaire de dĂ©fense et de sĂ©curitĂ©, en lien avec les diffĂ©rentes autoritĂ©s qualifiĂ©es en sĂ©curitĂ© des systĂšmes d’information, les critĂšres d’Ă©valuation d’un incident de sĂ©curitĂ© (20) pour dĂ©cider de l’activation ou de la dĂ©sactivation de la cellule de crise de cyberdĂ©fense. Ces critĂšres tiennent compte, notamment, de la criticitĂ© du ou des systĂšmes d’information et de communication affectĂ©s et de la gravitĂ© des consĂ©quences Ă©valuĂ©es.
Le dispositif de gestion de crise ministĂ©riel, dans son volet relatif Ă  la communication, intĂšgre les particularitĂ©s liĂ©es Ă  la sĂ©curitĂ© numĂ©rique et tient compte des exigences rĂ©glementaires applicables, notamment en matiĂšre de notification d’incidents de sĂ©curitĂ©. Les services ministĂ©riels spĂ©cialisĂ©s dans la communication sont associĂ©s Ă  ces activitĂ©s.
En prĂ©paration de crises majeures, le ministre s’assure de l’articulation du dispositif de crise ministĂ©riel avec le dispositif de gestion des crises majeures de l’Etat (21). Concernant la sĂ©curitĂ© numĂ©rique, le ministre s’assure de la coordination de son dispositif avec celui de l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information.
Afin d’Ă©prouver les capacitĂ©s opĂ©rationnelles de rĂ©silience numĂ©rique du dispositif de gestion de crise de son ministĂšre, le haut fonctionnaire de dĂ©fense et de sĂ©curitĂ© s’assure de l’organisation d’exercices de gestion de crise ou de la participation de son ministĂšre Ă  des exercices planifiĂ©s. Ces exercices doivent intĂ©grer un volet relatif Ă  la sĂ©curitĂ© numĂ©rique, se traduisant par l’intĂ©gration de cette thĂ©matique dans les scĂ©narios mĂ©tiers.
AprĂšs chaque exercice ou chaque crise subie, le ministre s’assure de la rĂ©alisation d’un retour d’expĂ©rience afin d’identifier les forces et les faiblesses du dispositif mis en Ɠuvre. Ce retour d’expĂ©rience intĂšgre un volet relatif Ă  la sĂ©curitĂ© numĂ©rique. Le ministre s’assure que les mesures nĂ©cessaires sont prises pour traiter les faiblesses identifiĂ©es.

5. Organisation de la gouvernance de la sĂ©curitĂ© numĂ©rique dans les Ă©tablissements publics de l’Etat

Le dirigeant exĂ©cutif de l’Ă©tablissement est responsable, sur son pĂ©rimĂštre, de la sĂ©curitĂ© numĂ©rique. Cette responsabilitĂ© se traduit par les exigences suivantes (22).

5.1. Le Point de contact relatif à la sécurité numérique

Le dirigeant exĂ©cutif de l’Ă©tablissement nomme sous son autoritĂ© hiĂ©rarchique un point de contact pour les sujets relatifs Ă  la sĂ©curitĂ© numĂ©rique.
Ce point de contact est l’interlocuteur privilĂ©giĂ© du ministĂšre de tutelle et de l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information sur tous les sujets relatifs Ă  la sĂ©curitĂ© numĂ©rique. Le dirigeant exĂ©cutif de l’Ă©tablissement s’assure que les informations de contact de ce rĂ©fĂ©rent sont communiquĂ©es au ministĂšre de tutelle et Ă  l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information.

5.2. L’organisation de la gouvernance

Sur la base des rĂŽles et responsabilitĂ©s dĂ©finies aux sections 4.2.3 et suivants, le dirigeant exĂ©cutif de l’Ă©tablissement s’assure de la dĂ©finition et de la mise en Ɠuvre d’une organisation adaptĂ©e pour assurer la sĂ©curitĂ© numĂ©rique des systĂšmes d’information et de communication qui participent aux missions de l’Ă©tablissement.
Un organigramme dĂ©taillĂ© de cette organisation est maintenu Ă  jour et tenu Ă  disposition du ministĂšre de tutelle et de l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information.

5.3. Suivi des activitĂ©s en matiĂšre de sĂ©curitĂ© numĂ©rique de l’Ă©tablissement public

Le dirigeant exĂ©cutif de l’Ă©tablissement consolide et communique annuellement au ministĂšre de tutelle les rĂ©sultats de l’Ă©valuation du niveau de sĂ©curitĂ© numĂ©rique de son Ă©tablissement.

5.4. La déclaration des incidents de sécurité

Les incidents de sĂ©curitĂ© affectant le systĂšme d’information et de communication de l’Ă©tablissement sont dĂ©clarĂ©s aux ministĂšres de tutelle via la chaĂźne fonctionnelle de sĂ©curitĂ© des systĂšmes d’information et sont Ă©galement dĂ©clarĂ©s Ă  l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information (23).

6. Glossaire

AutoritĂ© d’homologation : personne physique qui, aprĂšs instruction du dossier d’homologation, prononce l’homologation de sĂ©curitĂ© du systĂšme d’information et de communication, c’est-Ă -dire, prend la dĂ©cision d’accepter les risques rĂ©siduels identifiĂ©s sur le systĂšme.
Crise : une crise se dĂ©finit par ses impacts, notamment sur les services numĂ©riques (par exemple : indisponibilitĂ© suite Ă  un rançongiciel), dont les consĂ©quences sont perceptibles au niveau mĂ©tier (par exemple : interruption ou perturbation de l’activitĂ©, consĂ©quences financiĂšres, juridiques ou en termes d’image). La crise s’inscrit, notamment, dans la continuitĂ© d’un incident de sĂ©curitĂ© numĂ©rique dont les consĂ©quences sont telles que l’organisation et les procĂ©dures dĂ©finies ne sont pas suffisantes pour arriver Ă  le gĂ©rer.
Politique du numĂ©rique : document qui dĂ©finit les orientations en matiĂšre de transformation numĂ©rique d’un ministĂšre ou d’un Ă©tablissement. Au niveau interministĂ©riel, cette politique est portĂ©e par la direction interministĂ©rielle du numĂ©rique sous le nom de stratĂ©gie numĂ©rique de l’Etat.
Politique de sĂ©curitĂ© numĂ©rique : document qui dĂ©finit les orientations en matiĂšre de sĂ©curitĂ© numĂ©rique d’un ministĂšre ou d’un Ă©tablissement. Au niveau interministĂ©riel, cette politique est portĂ©e par l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information. La prĂ©sente instruction en est une composante.
RĂ©silience numĂ©rique : la rĂ©silience numĂ©rique dĂ©signe la capacitĂ© d’une organisation Ă  mettre en place les moyens opĂ©rationnels adaptĂ©s aux menaces et les dĂ©ployer pour, en cas de crise, ĂȘtre en mesure de maintenir et rĂ©tablir les services rendus par les systĂšmes d’information et de communication concourant Ă  la rĂ©alisation des activitĂ©s critiques de l’organisation, qu’ils soient internes ou externes.
SĂ©curitĂ© numĂ©rique : ensemble d’activitĂ©s organisationnelles, techniques ou juridiques visant Ă  protĂ©ger et dĂ©fendre les systĂšmes d’information et de communication, ainsi que les informations qu’ils manipulent, contre d’Ă©ventuels incidents de sĂ©curitĂ© de nature accidentelle ou intentionnelle, et Ă  assurer la rĂ©silience numĂ©rique des entitĂ©s concernĂ©es.
SystĂšme d’information et de communication de l’Etat : dĂ©fini Ă  l’article 1er du dĂ©cret n° 2019-1088 du 25 octobre 2019 relatif au systĂšme d’information et de communication de l’Etat et Ă  la direction interministĂ©rielle du numĂ©rique, « [l]e systĂšme d’information et de communication de l’Etat est composĂ© de l’ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numĂ©rique les donnĂ©es qui concourent aux missions des services de l’Etat et des organismes placĂ©s sous sa tutelle. »
SystĂšme d’information et de communication : sous-ensemble du systĂšme d’information et de communication de l’Etat mis en Ɠuvre par une direction ou un service d’un ministĂšre ou par un Ă©tablissement public de l’Etat pour la rĂ©alisation de ses missions.

7. Références

Articles L. 1111-3, R.* 1132-3, R. 1143-1, R. 1143-4 et R. 1143-5 du code de la défense.
DĂ©cret n° 87-389 du 15 juin 1987 modifiĂ©, relatif Ă  l’organisation des services d’administration centrale.
DĂ©cret n° 2009-834 du 7 juillet 2009 modifiĂ©, portant crĂ©ation d’un service Ă  compĂ©tence nationale dĂ©nommĂ© « Agence nationale de la sĂ©curitĂ© des systĂšmes d’information ».
DĂ©cret n° 2019-1088 du 25 octobre 2019 modifiĂ© relatif au systĂšme d’information et de communication de l’Etat et Ă  la direction interministĂ©rielle du numĂ©rique.
ArrĂȘtĂ© du 9 aoĂ»t 2021 portant approbation de l’instruction gĂ©nĂ©rale interministĂ©rielle n° 1300 sur la protection du secret de la dĂ©fense nationale.

(1) DĂ©cret n° 2019-1088 du 25 octobre 2019 relatif au systĂšme d’information et de communication de l’Etat et Ă  la direction interministĂ©rielle du numĂ©rique, art. 6.
(2) Décret n° 2019-1088, art. 1er.
(3) Article R.* 1132-3 du code de la défense.
(4) DĂ©cret n° 2009-834 du 7 juillet 2009 portant crĂ©ation d’un service Ă  compĂ©tence nationale dĂ©nommĂ© « Agence nationale de la sĂ©curitĂ© des systĂšmes d’information ».
(5) Décret n° 2019-1088, art. 6, 1°.
(6) Décret n° 2019-1088, art. 3.
(7) Décret n° 2019-1088, art. 2.
(8) Décret n° 2019-1088, art. 7.
(9) DĂ©cret n° 87-389 du 15 juin 1987 relatif Ă  l’organisation des services d’administration centrale, art. 3-8, 8°.
(10) Décret n° 2019-1088, art. 2.
(11) Pour les ministĂšres des armĂ©es et de l’Europe et des affaires Ă©trangĂšres : le haut fonctionnaire correspondant de dĂ©fense et de sĂ©curitĂ©. Pour le ministĂšre de l’intĂ©rieur : le haut fonctionnaire de dĂ©fense (article R. 1143-1 du code de la dĂ©fense).
(12) Articles R. 1143-4 et R. 1143-5 du code de la défense.
(13) Décret n° 2019-1088, art. 4-1.
(14) Décret n° 2019-1088, art. 4-2.
(15) Il est recommandĂ© de se rĂ©fĂ©rer aux recommandations de l’ANSSI pour l’Ă©laboration de ces cartographies.
(16) En particulier et dans la mesure du possible, les AQSSI dĂ©finies au titre de la prĂ©sente instruction sont nommĂ©es en cohĂ©rence avec celles prĂ©vues Ă  l’article R. 2321-6-2 du code de la dĂ©fense.
(17) Décret n° 2019-1088, art. 4-3.
(18) Décret n° 2019-1088, art. 7.
(19) Il est recommandĂ© de se rĂ©fĂ©rer aux recommandations de l’ANSSI pour l’Ă©laboration de ces cartographies.
(20) Ces critĂšres peuvent s’appuyer sur l’Ă©chelle de classement des attaques informatiques publiĂ©e dans la Revue stratĂ©gique de cyberdĂ©fense du 12 fĂ©vrier 2018.
(21) Au sens de l’article L. 1111-3 du code de la dĂ©fense.
(22) Décret n° 2019-1088, art. 4-4.
(23) Des entitĂ©s spĂ©cialisĂ©es peuvent ĂȘtre Ă©galement rendues destinataires des remontĂ©es d’incident en fonction des spĂ©cificitĂ©s du ministĂšre.

Date et signature(s)

Fait le 26 octobre 2022.

La PremiĂšre ministre,
Pour la PremiÚre ministre et par délégation :
La secrétaire générale du Gouvernement,
Claire Landais

Le ministre de l’Ă©conomie, des finances et de la souverainetĂ© industrielle et numĂ©rique,
Bruno Le Maire

Le ministre de l’intĂ©rieur et des outre-mer,
GĂ©rald Darmanin

La ministre de l’Europe et des affaires Ă©trangĂšres,
Catherine Colonna

Le garde des sceaux, ministre de la justice,
Éric Dupond-Moretti

Le ministre des armées,
SĂ©bastien Lecornu

Le ministre du travail, du plein emploi et de l’insertion,
Olivier Dussopt

Le ministre de l’Ă©ducation nationale et de la jeunesse,
Pap Ndiaye

La ministre de l’enseignement supĂ©rieur et de la recherche,
Sylvie Retailleau

Le ministre de l’agriculture et de la souverainetĂ© alimentaire,
Marc Fesneau

Le ministre de la transition écologique et de la cohésion des territoires,
Christophe BĂ©chu

La ministre de la transition énergétique,
AgnĂšs Pannier-Runacher

La ministre de la culture,
Rima Abdul-Malak

Le ministre de la santé et de la prévention,
François Braun

Le ministre des solidaritĂ©s, de l’autonomie et des personnes handicapĂ©es,
Jean-Christophe Combe

Le ministre de la transformation et de la fonction publiques,
Stanislas Guerini

La ministre des sports et des jeux Olympiques et Paralympiques,
Amélie Oudéa-Castéra