TITRE V
MESURES DE SÉCURITÉ
RELATIVES AUX SYSTÈMES D'INFORMATION
Pour les systèmes d'information traitant d'informations classifiées s'appliquent les règles de la présente instruction et des instructions spécifiques d'application émises par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ;
La SSI concerne tous les acteurs ayant une responsabilité dans la mise en œuvre de ces principes et mesures : les services informatiques pour la sécurité logique et les autres aspects de la sécurité informatique, les directions métiers pour les droits d'accès aux informations, et les responsables de la sécurité physique des locaux ;
La chaîne fonctionnelle de sécurité des systèmes d'information, placée sous l'autorité du HFDS dans les ministères, ou d'une structure de sécurité équivalente dans les organismes ne relevant pas d'un département ministériel, est chargée de prescrire, d'appliquer pour ce qui la concerne, et de contrôler les mesures de sécurité nécessaires ; ces dernières doivent viser la disponibilité, la confidentialité et l'intégrité, en restant proportionnées aux enjeux des informations et des systèmes concernés ;
L'homologation est l'acte formel par lequel l'autorité responsable certifie, après évaluation des risques, que la protection des informations et du système est assurée au niveau requis.
Article 83
Champ d'application
Le présent titre précise les mesures à appliquer pour protéger les informations classifiées dans les systèmes informatisés de traitement de l'information.
Ces mesures s'appliquent à tout système d'information ayant vocation à traiter des informations classifiées, qu'il soit placé sous la responsabilité d'un département ministériel (administration centrale ou service déconcentré), d'un organisme ou d'un établissement qui en relève, d'un organisme public ou privé ayant passé un contrat concernant la défense ou la sécurité nationale, ou plus généralement de toute personne publique ou privée qui traite de telles informations.
Des instructions et des directives techniques complètent en tant que de besoin les mesures générales exposées dans la présente instruction.
Chapitre Ier
L'organisation des responsabilités
relatives aux systèmes d'information
Article 84
Les instances interministérielles chargées de la sécurité
des systèmes d'information
1. Le Secrétariat général de la défense
et de la sécurité nationale (SGDSN)
Le SGDSN propose et met en œuvre la politique du Gouvernement en matière de sécurité des systèmes d'information (132), notamment pour les systèmes traitant d'informations relevant dusystème d'information secret de la défense nationale. Il s'assure que le Président de la République et le Gouvernement disposent des moyens de communication électronique nécessaires en matière de défense et de sécurité nationale. Il est à ce titre également chargé de garantir la sécurité de ces moyens de communication. Il dispose à cette fin d'un service à compétence nationale, l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
2. L'Agence nationale de la sécurité
des systèmes d'information (ANSSI)
L'ANSSI est l'autorité nationale en matière de défense et de sécurité des systèmes d'information (133). Elle assiste le Secrétaire général de la défense et de la sécurité nationale dans l'exercice de ses attributions dans le domaine de la sécurité des systèmes d'information.
3. Le comité stratégique de la sécurité
des systèmes d'information
Ce comité propose au Premier ministre les orientations stratégiques en matière de sécurité des systèmes d'information et suit leur mise en œuvre (134).
Il est présidé par le Secrétaire général de la défense et de la sécurité nationale. Son secrétariat est assuré par l'ANSSI.