🟦 Décret du 8 avril 2022 relatif à la sécurité numérique du système d’information et de communication de l’Etat et de ses établissements publics

Références

NOR : PRMD2135717D
ELI : https://www.legifrance.gouv.fr/eli/decret/2022/4/8/PRMD2135717D/jo/texte
Alias : https://www.legifrance.gouv.fr/eli/decret/2022/4/8/2022-513/jo/texte
Source : JORF n°0085 du 10 avril 2022, texte n° 1

Informations

Publics concernés : administrations et établissements publics de l’Etat.

Objet : définition de l’organisation de la sécurité numérique des systèmes d’information et de communication mise en œuvre par les ministères et les établissements publics sous leur tutelle.
Entrée en vigueur : le décret entre en vigueur le premier jour du sixième mois suivant celui de sa publication.

Notice : le décret fixe les règles de gouvernance de la sécurité numérique au sein des administrations de l’Etat et des établissements publics sous sa tutelle. Cette définition des responsabilités est rendue nécessaire par l’enjeu stratégique que représentent désormais, pour l’administration, l’accélération de sa numérisation ainsi que sa prise en compte de la sécurité numérique dans la conception, la mise en œuvre et l’exploitation de ses systèmes d’information et de communication. Le décret introduit en outre une homologation de sécurité des infrastructures et services logiciels informatiques du système d’information et de communication de l’Etat.

Références : le décret et le texte qu’il modifie peuvent être consultés, dans leur rédaction issue de ces modifications, sur le site Légifrance (https://www.legifrance.gouv.fr).

En-tête

Le Premier ministre,
Vu le code de la défense, notamment ses articles L. 2321-1, R. 1132-3, R. 1143-1, R. 1332-41-1, R. 1332-41-2, R. 2311-6- 2 et R. 2321-1 ;
Vu l’ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2010-112 du 2 février 2010 modifié pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2019-1088 du 25 octobre 2019 relatif au système d’information et de communication de l’Etat et à la direction interministérielle du numérique ;
Le Conseil d’Etat (section de l’administration) entendu,
Décrète :

Article 1

I. РLe d̩cret du 25 octobre 2019 susvis̩ est ainsi modifi̩ :
1° Le deuxième alinéa de l’article 1er est complété par les mots : « , qui détermine à ce titre les orientations générales et les règles de sécurité numérique applicables à ce système » ;
2° Au premier alinéa de l’article 2, après les mots : « La responsabilité du Premier ministre » sont insérés les mots : « , y compris en matière de sécurité numérique du système d’information et de communication de l’Etat, » ;
3° Après l’article 4, il est inséré un titre Ier bis ainsi rédigé :

« Titre Ier BIS
« DISPOSITIONS RELATIVES À LA SÉCURITÉ NUMÉRIQUE DU SYSTÈME D’INFORMATION ET DE COMMUNICATION DE L’ÉTAT ET DE SES ÉTABLISSEMENTS PUBLICS

« Art. 4-1. – Chaque ministre désigne un fonctionnaire de sécurité des systèmes d’information chargé de l’assister dans l’exercice de sa responsabilité en matière de sécurité numérique mentionnée à l’article 2. Ce fonctionnaire est placé sous l’autorité du haut fonctionnaire mentionné à l’article R. 1143-1 du code de la défense.
« Le fonctionnaire de sécurité des systèmes d’information s’assure de l’application cohérente par son département ministériel et par les organismes placés sous la tutelle de celui-ci des orientations générales et des règles de sécurité numérique relatives aux systèmes d’information et de communication.
« Il déclare à l’Agence nationale de la sécurité des systèmes d’information les incidents affectant les systèmes d’information et de communication de son département ministériel et des organismes placés sous la tutelle de celui-ci.
« Les responsabilités de ce fonctionnaire sont précisées par arrêté du Premier ministre.

« Art. 4-2. – Chaque ministre désigne également, pour son département ministériel, une ou plusieurs autorités qualifiées en sécurité des systèmes d’information compétentes pour les systèmes d’information et de communication autres que ceux qui sont classifiés.
« L’autorité qualifiée en sécurité des systèmes d’information est responsable de la sécurité numérique des systèmes d’information et de communication relevant de ses attributions. A ce titre, elle définit la politique de sécurité numérique qui leur est applicable et contrôle son application au travers notamment de l’homologation de ces systèmes d’information prévue à l’article 4-3. Elle peut déléguer cette fonction d’homologation à des autorités d’homologation qu’elle désigne.
« Les responsabilités des autorités qualifiées en sécurité des systèmes d’information ainsi que celles des personnes désignées pour les assister sont précisées par arrêté du Premier ministre.

« Art. 4-3. – Sans préjudice des mesures prises en application des articles R. 1332-41-1 et R. 1332-41-2 du code de la défense pour les systèmes d’information d’importance vitale et de l’article 9 de l’ordonnance du 8 décembre 2005 susvisée pour les systèmes d’information des autorités administratives faisant l’objet d’échanges par voie électronique ainsi que de l’homologation prévue par l’article R. 2311-6-1 du même code pour les systèmes d’information contenant des informations classifiées, les infrastructures et services logiciels informatiques qui composent le système d’information et de communication de l’Etat mentionné à l’article 1er du présent décret font l’objet, préalablement à leur mise en œuvre, d’une homologation de sécurité.
« L’homologation de sécurité est une décision formelle prise par l’autorité qualifiée en sécurité des systèmes d’information ou par toute personne à qui elle délègue cette fonction. Elle atteste que les risques pesant sur la sécurité ont été identifiés et que les mesures nécessaires pour maîtriser ces risques sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l’autorité qualifiée en sécurité des systèmes d’information.

« Art. 4-4. – Le dirigeant exécutif d’un établissement public de l’Etat est responsable de la sécurité numérique des systèmes d’information et de communication de cet établissement.
« A ce titre :
« 1° Il s’assure de la définition et de la mise en œuvre d’une organisation permettant d’assurer la sécurité numérique des systèmes d’information et de communication de l’établissement ;
« 2° Il désigne au sein de l’établissement un interlocuteur compétent pour l’ensemble des sujets relatifs à la sécurité numérique. Les coordonnées de cet interlocuteur sont tenues à jour et communiquées au fonctionnaire de sécurité des systèmes d’information du ministère assurant la tutelle de l’établissement ainsi qu’à l’Agence nationale de la sécurité des systèmes d’information ;
« 3° Il réalise et communique annuellement au fonctionnaire de sécurité des systèmes d’information du ministère assurant la tutelle de l’établissement une évaluation du niveau de sécurité numérique de celui-ci ;
« 4° Il déclare au fonctionnaire de sécurité des systèmes d’information du ministère de tutelle ainsi qu’à l’Agence nationale de la sécurité des systèmes d’information les incidents de sécurité affectant le système d’information et de communication de l’établissement.
« Lorsque la tutelle de l’établissement public relève de plusieurs ministres, les communications et déclarations prévues aux 2°, 3° et 4° sont faites auprès du fonctionnaire de sécurité des systèmes d’information de chacun des ministères correspondants.

« Art. 4-5. – L’article 4-4 ne peut être modifié que par décret en Conseil d’Etat. »

II. – A l’exception de ses articles 4-4 et 4-5, les dispositions du décret du 25 octobre 2019 susvisé modifiées ou insérées par le I du présent article peuvent être modifiées par décret.

Article 2

Le présent décret entre en vigueur le premier jour du sixième mois suivant celui de sa publication au Journal officiel de la République française.

Article 3

Les infrastructures et services logiciels informatiques qui, à la date d’entrée en vigueur du présent décret, composent le système d’information et de communication de l’Etat mentionné à l’article 1er du décret du 25 octobre 2019 susvisé font l’objet de l’homologation de sécurité prévue à l’article 4-3 du même décret dans un délai de deux ans à compter de cette date.

Article 4

Les dispositions des articles 2 et 3 du présent décret peuvent être modifiées par décret.

Article 5

Le ministre de l’Europe et des affaires étrangères, la ministre de la transition écologique, le ministre de l’éducation nationale, de la jeunesse et des sports, le ministre de l’économie, des finances et de la relance, la ministre des armées, le ministre de l’intérieur, la ministre du travail, de l’emploi et de l’insertion, le ministre des outre-mer, le ministre de la cohésion des territoires et des relations avec les collectivités territoriales, le garde des sceaux, ministre de la justice, la ministre de la culture, le ministre des solidarités et de la santé, la ministre de la mer, la ministre de l’enseignement supérieur, de la recherche et de l’innovation, le ministre de l’agriculture et de l’alimentation et la ministre de la transformation et de la fonction publiques sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.

Date et signature(s)

Fait le 8 avril 2022.

Jean Castex
Par le Premier ministre :

Le ministre de l’Europe et des affaires étrangères,
Jean-Yves Le Drian

La ministre de la transition écologique,
Barbara Pompili

Le ministre de l’éducation nationale, de la jeunesse et des sports,
Jean-Michel Blanquer

Le ministre de l’économie, des finances et de la relance,
Bruno Le Maire

La ministre des armées,
Florence Parly

Le ministre de l’intérieur,
Gérald Darmanin

La ministre du travail, de l’emploi et de l’insertion,
Elisabeth Borne

Le ministre des outre-mer,
Sébastien Lecornu

Le ministre de la cohésion des territoires et des relations avec les collectivités territoriales,
Joël Giraud

Le garde des sceaux, ministre de la justice,
Éric Dupond-Moretti

La ministre de la culture,
Roselyne Bachelot-Narquin

Le ministre des solidarités et de la santé,
Olivier Véran

La ministre de la mer,
Annick Girardin

La ministre de l’enseignement supérieur, de la recherche et de l’innovation,
Frédérique Vidal

Le ministre de l’agriculture et de l’alimentation,
Julien Denormandie

La ministre de la transformation et de la fonction publiques,
Amélie de Montchalin