2.2.2. L'officier de sécurité
Directement subordonné au chef d'organisme, l'officier de sécurité est le maillon essentiel de la chaîne de protection du secret et des informations « Diffusion Restreinte ».
Il est nommé par le chef d'organisme (18) en tenant compte des critères ci-après :
- appartenir de façon stable à l'organisme ;
- être habilité à un niveau au moins égal au niveau maximum de classification des informations et supports classifiés détenus par l'organisme ;
- être formé à la protection du secret ;
- avoir un niveau hiérarchique et l'autorité fonctionnelle suffisante ;
- disposer des moyens nécessaires pour accomplir ses missions.
Sa désignation est formalisée par une décision de nomination adressée via le haut fonctionnaire de défense et de sécurité au fonctionnaire de sécurité de défense du ministère dont il est le correspondant privilégié pour toutes les questions relatives à la protection du secret.
Au sein de son organisme, l'officier de sécurité (19) est chargé de :
- définir, le cas échéant en lien avec l'officier de sécurité des systèmes d'information, la politique de protection du secret, de la faire approuver par le chef d'organisme et d'en contrôler l'application (20) ;
- s'assurer, le cas échéant en lien avec l'officier de sécurité des systèmes d'information, du niveau de sécurité des systèmes d'information classifiés ;
- gérer les procédures d'habilitation et de contrôle d'accès aux zones protégées ;
- sensibiliser/former régulièrement les personnes habilitées.
Lorsque l'organisme détient des informations et supports classifiés de niveau Très Secret, il est en outre chargé de :
- définir, en liaison avec l'officier de sécurité des systèmes d'information, les besoins de l'organisme en matière de systèmes d'information et de communication sécurisés ;
- diriger le bureau de protection du secret (21), obligatoire pour ce niveau et au sein duquel s'effectuent l'élaboration, le traitement, le marquage, la conservation et la destruction de ces informations et supports classifiés.
La prise de fonction d'un officier de sécurité est conditionnée par la détention d'une formation professionnelle qui doit avoir été obtenue dans les cinq ans précédant la prise de fonction ou dans les douze mois suivants.
A noter :
- dans le cas d'organismes de grande taille, une organisation de sécurité ad hoc peut être mise en place avec la désignation, d'un officier central de sécurité, d'officiers de sécurité d'établissement et de correspondants de sécurité ;
- dans le cas d'un groupe ou d'une holding, un officier de sécurité de groupe (ou de holding) peut être nommé pour coordonner la protection du secret avec les officiers de sécurité des filiales qui sont désignés par chaque responsable de filiale ;
- au-delà du domaine de la protection du secret, il est recommandé que l'officier de sécurité soit aussi chargé de la protection physique des installations. Cette fonction est obligatoire pour le délégué à la défense et à la sécurité d'un opérateur d'importance vitale (22).
(18) A des fins de continuité d'activité, l'officier de sécurité dispose d'un suppléant ou d'un adjoint répondant aux mêmes exigences de désignation.
(19) Les missions de l'officier de sécurité Cf. IGI 1300 §2.2.2.1.
(20) Les prescriptions d'élaboration de la politique de protection du secret d'un organisme Cf. IGI 1300 §2.3.1.3.
(21) Le bureau de protection du secret Cf. IGI 1300 §7.2.1.2.
(22) Cf. IGI 1300 §4.2.