7. Annexe A1 Rôle et missions détaillées des acteurs de la chaine fonctionnelle de la sécurité numérique
7.1. Le ministre
Le ministre est responsable du système d'information et de communication de son ministère. A ce titre, il s'assure que l'ensemble des infrastructures et services logiciels informatiques de son ministère sont sous la responsabilité d'une autorité qualifiée en sécurité des systèmes d'information. Le ministre s'assure de la maîtrise des risques numériques ayant un impact sur l'exécution des missions de son ministère.
Le ministre est garant de la bonne prise en compte de la stratégie numérique de l'Etat et de la politique de sécurité numérique de l'Etat, dans l'élaboration de la politique publique portée par son ministère. Il valide les orientations ministérielles en matière de sécurité numérique ainsi que la politique ministérielle de sécurité numérique. Il s'assure de la prise en compte de la sécurité numérique dans l'élaboration et la mise en œuvre d'une stratégie de résilience numérique, notamment des plans de continuité et de reprise d'activité pour les missions essentielles portées par son ministère ainsi que dans l'élaboration et la mise en œuvre du dispositif de gestion de crise ministériel.
Lorsqu'un établissement, une direction ou un service est sous la tutelle de plusieurs ministères, les ministres concernés décident du ministère de référence sur les sujets relatifs à la sécurité numérique.
7.2. Le haut fonctionnaire de défense et de sécurité (HFDS), secrétaire général des ministères
Le haut fonctionnaire de défense et de sécurité conseille les ministres du périmètre pour les questions relatives à la sécurité numérique et leur propose la politique ministérielle de sécurité numérique qu'il anime. Il est également l'interlocuteur privilégié du directeur général de l'ANSSI. Pour ce faire, Il s'appuie sur un haut fonctionnaire adjoint de défense et de sécurité, chef du service de défense et de sécurité.
Le haut fonctionnaire de défense et de sécurité est membre du comité stratégique interministériel de la sécurité numérique et participe à l'instance stratégique ministérielle de la sécurité numérique. Il préside l'instance ministérielle de pilotage de la sécurité numérique.
7.3. Le fonctionnaire de sécurité des systèmes d'information (FSSI)
Le fonctionnaire de sécurité des systèmes d'information (FSSI), désigné par le ministre, est placé sous l'autorité hiérarchique du haut fonctionnaire adjoint de défense et de sécurité, au sein du service de défense et de sécurité (SDS).
Il accompagne les autorités qualifiées de la sécurité des systèmes d'information (AQSSI), pilote la mise en œuvre de la sécurité numérique et contribue, en lien avec la direction du numérique en charge des plans de continuité et de reprise informatique, aux stratégies de résilience numérique dans les plans de continuité et de reprise d'activité.
Lorsqu'un système d'information et de communication est critique pour la réalisation des missions de plusieurs directions de son ministère, le FSSI, en lien avec les directions et autorités qualifiées en sécurité des systèmes d'information concernées, propose au HFDS la direction qui en a la responsabilité.
Il contrôle l'application des exigences de sécurité (par exemple par des états des lieux, audits, contrôles, bilans). Il contribue à la gestion de crise en conseillant les autorités ministérielles et en participant aux dispositifs de gestion de crise ministériel.
Le FSSI est un des interlocuteurs privilégiés de l'agence nationale de la sécurité des systèmes d'information au sein du ministère sur les sujets de mise en œuvre de la sécurité numérique ou liés au suivi de la feuille de route ministérielle de sécurité numérique.
En tant qu'animateur et coordinateur de la chaîne fonctionnelle de sécurité des systèmes d'information, il dispose d'un accès à l'ensemble des déclarations d'incidents du périmètre. Il s'assure que les incidents de sécurité les plus significatifs sont notifiés à l'agence nationale de la sécurité des systèmes d'information dans les plus brefs délais. Pour ce faire, il s'appuie sur les centres ministériels et sectoriels de réponse aux incidents de sécurité des systèmes d'information.
Il organise la relation avec les établissements publics pour les sujets relatifs à la sécurité numérique.
Le FSSI dispose de FSSI adjoints en charge de secteurs opérationnels, qui participent à la continuité de la fonction de FSSI et disposent des attributs des missions de FSSI.
Le FSSI participe au comité interministériel de pilotage de la sécurité numérique. Il assure le secrétariat, en appui du HFDS, de l'instance stratégique ministérielle de la sécurité numérique et de l'instance ministérielle de pilotage de la sécurité numérique. Il anime et coordonne, en lien avec le HFDS, la chaîne fonctionnelle de sécurité des systèmes d'information pour le ministère dont il dépend. Il organise la relation entre son ministère et les établissements publics dont son ministère a la tutelle pour les sujets relatifs à la sécurité numérique.
7.4. Les autorités qualifiées de la sécurité des systèmes d'information (AQSSI)
L'autorité qualifiée de la sécurité des systèmes d'information est responsable de la sécurité des systèmes d'information et de communication qui contribuent à l'exécution des missions et du périmètre dont elle a la charge. L'autorité qualifiée de la sécurité des systèmes d'information ne peut déléguer cette responsabilité. A ce titre, elle est responsable, en particulier, de :
- l'élaboration et le maintien à jour d'une cartographie des risques numériques principaux et des SI associés pour son périmètre ;
- le maintien en condition opérationnelle et de sécurité de ces systèmes ;
- la planification des audits de sécurité de ces systèmes.
L'AQSSI alloue les ressources nécessaires pour mener à bien les projets de transformation numérique de son périmètre de responsabilité et s'assure à ce titre que les risques numériques sont gérés. Ces éléments sont tenus à la disposition du fonctionnaire de sécurité des systèmes d'information.
L'AQSSI s'assure de la bonne prise en compte de ses orientations en matière de sécurité numérique dans les missions qu'elle porte et dans la stratégie ministérielle du numérique pour laquelle elle rend un avis.
Sur son périmètre de responsabilité, l'AQSSI contrôle l'application des exigences de sécurité numérique auxquelles elle est soumise. Elle intègre dans la programmation de ses contrôles internes le volet relatif à la sécurité numérique.
Elle remet annuellement au HFDS un rapport dans lequel elle intègre l'évaluation du niveau de sécurité numérique et une synthèse des incidents de sécurité ayant impacté ses missions. Ce rapport, issu d'un format proposé par l'ANSSI puis adapté en contexte ministériel et sectoriel, est synthétisé et présenté en instance stratégique ministérielle de la sécurité numérique. Ce rapport annuel permet de consolider et communiquer annuellement au ministère de tutelle les résultats de l'évaluation du niveau de sécurité numérique de l'établissement.
L'AQSSI s'assure de l'élaboration, de la mise en œuvre et du maintien, notamment au travers d'exercices, des plans de continuité et de reprise des activités relevant de son domaine de responsabilité face à des incidents de sécurité.
L'AQSSI s'assure de la définition et de la mise en œuvre d'un processus de gestion des incidents de sécurité ainsi que d'une organisation de gestion de crise face aux incidents de sécurité, en lien avec la chaine ministérielle et sectorielle de traitement des incidents de sécurité des SI.
Le rôle d'autorité qualifiée de la sécurité des systèmes d'information est assumé par chaque responsable devant le ministre d'une ou plusieurs missions ministérielles.
Conformément au décret n° 2019-1088, chaque système d'information et de communication fait l'objet, préalablement à sa mise en œuvre, d'une homologation de sécurité. Sauf pour les exceptions prévues aux articles 6.1.2, 6.2.1 et 6.2.2 de l'instruction générale interministérielle 1300 sur la protection du secret de la défense nationale, l'autorité qualifiée de la sécurité des systèmes d'information est l'autorité d'homologation, par défaut, de chaque système d'information et de communication dont elle est responsable.
Lorsque l'AQSSI peut déléguer l'instruction des démarches d'homologation à une ou plusieurs autorités d'homologation, elle s'assure du respect des recommandations ministérielles et de l'agence nationale de la sécurité des systèmes d'information. En particulier elle veille à ce qu'une seule et unique autorité d'homologation existe pour chaque système d'information et de communication.
Pour l'assister dans l'exercice de ses responsabilités, l'AQSSI nomme un conseiller à la sécurité numérique.
Selon l'organisation précisée dans la présente instruction, l'AQSSI participe à l'instance stratégique ministérielle de la sécurité numérique.
Elle contribue à la chaîne fonctionnelle de sécurité des systèmes d'information.
7.5. Le conseiller à la sécurité numérique (CSN)
Le conseiller à la sécurité numérique est désigné par chaque AQSSI. Il conseille et accompagne l'autorité qualifiée dans l'exercice de ses responsabilités.
Sans être un expert de la sécurité du numérique, le CSN dispose d'une connaissance globale des enjeux des métiers du périmètre et d'une culture générale du numérique, lui permettant d'en traduire les enjeux pour le compte de l'AQSSI.
Il est placé sous la responsabilité d'une autorité qualifiée de la sécurité des systèmes d'information et est associé à la gouvernance du périmètre concerné.
Pour ces raisons, le CSN est nécessairement un acteur du pilotage et de la gouvernance du périmètre. A ce titre, il fait partie du comité de direction ou du comité exécutif du périmètre.
Il s'appuie sur les compétences à disposition en matière de sécurité numérique, notamment le RSSI. Il échange également avec le référent à la protection des données. Il peut être chargé d'accompagner les autorités d'homologation dans leurs démarches d'homologation.
Description type des missions d'un conseiller à la sécurité numérique (8) :
Nommé par l'autorité qualifiée de la sécurité des systèmes d'information (AQSSI) et placé sous son autorité, le conseiller à la sécurité numérique (CSN) l'assiste dans ses responsabilités relatives à la sécurité des systèmes d'information soutenant les missions de son entité.
S'appuyant sur sa connaissance métier et en lien avec les experts techniques en sécurité numérique, le CSN :
- conseille l'AQSSI sur les orientations à prendre en matière de maîtrise des risques numériques ;
- dresse une cartographie des missions critiques et des risques stratégiques, puis identifie les SI qui les soutiennent ;
- informe l'AQSSI du niveau de sécurité des systèmes d'information soutenant le métier et propose des priorités en matière de gestion des risques ;
- conseille l'AQSSI et, le cas échéant, les autorités d'homologation en matière d'homologation ;
- conseille l'AQSSI dans sa prise de décision en cas de crise cyber ;
- suit la mise en œuvre des orientations de l'AQSSI en matière de sécurité numérique ;
- s'assure de la bonne prise en compte des besoins de sécurité du métier par les fournisseurs de services numériques ainsi que de la mise en œuvre des démarches de maîtrise des risques numériques ;
- prépare l'AQSSI en vue des instances stratégiques ministérielles de la sécurité numérique et la représente lors des instances ministérielles de pilotage de la sécurité numérique ;
- contribue à l'élaboration du rapport annuel de sécurité que l'AQSSI remet au haut fonctionnaire de défense et de sécurité (HFDS) ;
- promeut des actions de sensibilisation au risque numérique et de diffusion des bonnes pratiques au sein de son périmètre.
Eclairages sur les missions du CSN :
Pour mener ses missions, le CSN doit être un interlocuteur direct de l'AQSSI. Le positionnement adéquat est généralement au sein des plus proches collaborateurs de l'AQSSI, notamment de son cabinet ou du comité de direction qu'il préside.
Le CSN est un expert des activités métier du périmètre. Par sa connaissance des enjeux, il peut identifier les conséquences métier d'éventuels dysfonctionnements ou compromissions des systèmes dont dépend son entité pour l'exécution de ses missions.
Il bénéficie d'une formation de premier niveau à la gestion des risques numériques dispensée par le ministère et par l'ANSSI. Le CSN s'appuie sur les outils et méthodes ministériels définis par le fonctionnaire de sécurité des systèmes d'information (FSSI).
Il est en lien avec le(s) responsable(s) de la sécurité des systèmes d'information (RSSI) du périmètre. Le(s) RSSI propose(nt) des solutions techniques aux besoins qu'il exprime et apporte(nt) des éclairages techniques pour alimenter sa compréhension du risque. Il échange en tant que de besoin avec le(s) délégué(s) à la protection des données (DPD) du périmètre.
La part du temps de travail à consacrer à cette mission est variable selon l'environnement, la taille du périmètre, l'avancée de la transformation numérique ou son rythme.
7.6. Le directeur du numérique pour l'éducation (DNE)
Le directeur du numérique pour l'éducation (DNE) définit la stratégie ministérielle du numérique dans laquelle il s'assure de la bonne prise en compte de la sécurité numérique dans les projets et du maintien en condition opérationnelle de sécurité. Il définit le plan de transformation numérique ministériel et le schéma directeur des systèmes d'information et de communication. Il veille d'une part à ce que chaque structure compétente assure la mise en œuvre et l'exploitation sécurisée de systèmes d'information et de communication, et d'autre part à l'élaboration d'une analyse d'impact relative à la protection des données.
Le directeur de la DNE est donc à la fois un AQSSI parmi les autres (participation aux échanges entre AQSSI) mais aussi le représentant d'une organisation participant au pilotage de la sécurité des SI du fait du rôle de la DNE dans la mise en œuvre des systèmes d'information et des dispositifs de sécurité correspondants et du rôle de conseil voire d'alerte dans la prise en compte des enjeux de sécurité dans les projets ou dans la réaction lors de crises, en appui du HFDS et du FSSI. A ce titre, il participe aux COSTRAT sectoriels.
7.7. Le directeur des systèmes d'information de service déconcentré ou d'établissement public
Le directeur des systèmes d'information (DSI) définit la stratégie du numérique de son périmètre, en tenant compte des réglementations des SI de l'Etat et des directives ministérielles sur le numérique. Il s'assure de la bonne prise en compte de la sécurité numérique dans les projets et du maintien en condition opérationnelle de sécurité. Il définit le plan de transformation numérique de son périmètre et le schéma directeur des systèmes d'information et de communication. Il veille d'une part à ce que chaque structure compétente assure la mise en œuvre et l'exploitation sécurisée de systèmes d'information et de communication, et d'autre part à l'élaboration d'une analyse d'impact relative à la protection des données.
7.8. Le responsable de la sécurité des systèmes d'information
Le responsable de la sécurité des systèmes d'information (RSSI) est l'acteur clé de la sécurité opérationnelle d'un périmètre d'activité et dispose d'expertises en sécurité du numérique.
Il éclaire l'AQSSI sur les risques opérationnels pesant sur le numérique et produit les états des lieux de sécurité du numérique du périmètre.
Il propose des mesures, actions ou projets afin de réduire ces risques et renforcer la protection des services et données numériques du périmètre concerné.
Il supervise, en lien avec le directeur du numérique ou des systèmes d'information du périmètre, le déploiement des actions de sécurisation et de renforcement de la sécurité du numérique.
Il est l'acteur clé de coordination opérationnelle pour la gestion des incidents de la sécurité numérique du périmètre et participe à la gestion de crises d'origine cyber.
Il contribue à l'intégration de la sécurité numérique dans les projets du périmètre et réalise des audits et des contrôles de la sécurité de son périmètre d'activité.
Il pilote des projets spécifiques de sécurité du numérique.
Les RSSI ministériels et nationaux organisent et animent des réseaux territoriaux de RSSI et de correspondants à la sécurité des systèmes d'information (CSSI). Ils participent et contribuent au déploiement des politiques ministérielles et interministérielles de la sécurité du numérique, en lien avec le FSSI.
Les RSSI d'établissement peuvent, si cela est pertinent pour le contexte, constituer un réseau interne de CSSI, qu'ils animent, dans les directions, composantes ou sites de l'établissement.
Au-delà de la relation privilégiée avec l'AQSSI du périmètre, les RSSI informent et agissent en tant que de besoin en lien avec les délégués à la protection des données (en cas par exemple d'incidents ou de plans d'actions sur la sécurité de données personnelles du périmètre) et les personnels en charge de la sécurité physique et des données réglementées du périmètre (les fonctionnaires de défense et de sécurité et les délégués à la protection des données par exemple).
(8) Ces missions peuvent se cumuler avec d'autres activités.