2.3.3. Le responsable de la sécurité des systèmes d'information
Outre ses attributions générales, le responsable de la sécurité des systèmes d'information est désigné pour piloter la démarche d'intégration de la sécurité des systèmes d'information classifiés.
Il est garant pour l'organisme de la cohérence des mécanismes et des procédures à mettre en œuvre pour garantir la sécurité tout au long de la vie du système d'information classifié.
Son rôle et ses liens fonctionnels sont précisés dans l'instruction particulière relative à la sécurité des systèmes d'information.
2.4. Le rôle spécifique de certains services
2.4.1. Les services en charge des ressources humaines
Si l'habilitation d'une personne physique ne constitue pas un processus du domaine des ressources humaines mais une procédure de sécurité, les services des ressources humaines y jouent néanmoins un rôle fondamental.
La collaboration entre les services des ressources humaines et l'officier de sécurité de l'organisme concerné est en effet systématiquement recherchée pour gérer, avec fluidité et dans le respect de la règlementation, les aspects de sécurité liés au recrutement, au départ ou au changement de fonction du personnel habilité au secret.
Ainsi, l'autorité d'emploi et son officier de sécurité sont avertis, le plus en amont possible, de tout changement de situation d'une personne habilitée, de tout recrutement sur un poste nécessitant une habilitation ou de tout changement de poste d'une personne habilitée afin :
- de traiter au plus tôt la demande d'habilitation de tout nouvel arrivant, compte tenu de la durée des enquêtes administratives (26) ;
- d'organiser les formalités de départ d'une personne habilitée quittant ses fonctions : inventaire contradictoire des informations et supports classifiés détenus, signature du second volet de l'engagement de responsabilité et, le cas échéant, retrait des droits d'accès au site et aux systèmes d'information.
Par ailleurs, pour tout recrutement sur un poste nécessitant une habilitation, les services en charge des ressources humaines s'attachent à spécifier dans la fiche de poste que le recrutement est soumis à enquête administrative de sécurité de façon à considérer la prise de poste comme étant effective qu'à partir du moment où la personne retenue sur le poste est habilitée au niveau requis par le catalogue des emplois.
Afin de s'assurer que le changement de comportement ou de situation d'une personne habilitée n'est pas devenu incompatible avec les exigences relatives à la protection du secret de la défense nationale, l'autorité d'habilitation peut, d'elle-même ou après signalement par l'officier de sécurité de l'autorité d'emploi dont la personne habilitée relève, diligenter une nouvelle enquête administrative conformément au II de l'article L. 114-1 du code de la sécurité intérieure.
Si cette nouvelle enquête administrative fait apparaitre des vulnérabilités, l'autorité d'habilitation peut décider d'abroger la décision d'habilitation en cours. Dans ce cas, la personne habilitée est informée par l'officier de sécurité de la perte de ses droits liés à l'habilitation, lui restitue les informations et supports classifiés et les articles contrôlés de la sécurité des systèmes d'information dont elle était détentrice puis, au titre des informations classifiées auxquelles elle a eu accès, signe le second volet de son engagement de responsabilité.
(26) Cf. IGI 1300 §3.3.1.3 c).