Ce site est une archive officieuse de l'ancien site de l'ANSSI, remplacé fin novembre 2023.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.

Cadre de gouvernance de la sécurité numérique de l’État (PSSIE)

Le cadre de gouvernance de la sécurité numérique de l’État renforce la prise en compte du risque numérique dans la mise en œuvre et l’exploitation des systèmes d’information et de communication de l’État par les ministères et les établissements publics d’État.

Ce cadre vise à :

  • Responsabiliser les dirigeants (par exemple les directeurs d’administration centrale ou les responsables d’établissement) dans la prise en compte du risque numérique;
  • Renforcer la sécurité numérique des ministères et des établissements publics de l’État;
  • Responsabiliser les acteurs de la transformation numérique (par exemple: les directions du numérique, les directions des systèmes d’information) ;
  • Assurer la cohérence avec les principaux textes réglementaires définissant une gouvernance en matière de numérique ou de sécurité, notamment l’IGI 1300 relative à la protection du secret de la défense nationale et le décret n2019-1088 définissant les responsabilités de la direction interministérielle du numérique (DINUM);
  • Assurer la gouvernance aux différents niveaux de l’État via la mise en place d’une procédure de prise de décision aux niveaux interministériel et ministériel.

Ce cadre de gouvernance se substituera à terme à la circulaire du Premier ministre no 5725/SG du 17 juillet 2014 introduisant la politique de sécurité des systèmes d’information de l’État (PSSIE). Actuellement les deux cohabitent et se complètent, surtout en ce qui concerne les règles de sécurité prévues par cette PSSI.

Ce cadre de gouvernance s’articule autour :

  • Du décret no2019-1088 du 25 octobre 2019 relatif au système d’information et de communication de l’État et à la direction interministérielle du numérique modifié par le décret no 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d’information et de communication de l’État et de ses établissements publics.
  • De l’instruction générale interministérielle no1337/SGDSN/ANSSI sur l’organisation de la gouvernance de la sécurité numérique de l’État, approuvée par arrêté.
  • D’une instruction générale interministérielle qui portera les règles de sécurité numérique de l’État.
  • La circulaire du Premier ministre n°5725/SG du 17 juillet 2014 introduisant la politique de sécurité des systèmes d’information de l’État (PSSIE).

À qui s’adresse cette réglementation ?

Cette réglementation s’applique aux ministères et aux établissements publics d’État.

Que contient-elle ?

Le cadre de gouvernance de la sécurité numérique de l’État définit une comitologie permettant la prise en compte de la sécurité numérique aux niveaux interministériel et ministériel aux niveaux stratégique et opérationnel. Cette comitologie est présentée ci-dessous.

pssie-cadre

De plus, ce cadre de gouvernance en s’appuyant notamment sur l’organisation définie dans l’instruction générale interministérielle no 1300/SGDSN/PSE/PSD sur la protection du secret de la défense nationale, définit les rôles et responsabilités pour une prise en compte de la sécurité numérique au bon niveau. L’organisation cible est présentée ci-dessous bien que chaque ministère, conserve un degré de liberté pour adapter cette organisation à son contexte et son organisation.

organisation-pssie

Enfin, le cadre de gouvernance de la sécurité numérique de l’État fait porter la responsabilité de la sécurité numérique des établissements publics d’État sur les dirigeants exécutifs de ces établissements qui doivent s’assurer de la conformité aux exigences suivantes :

  • La définition et la mise en œuvre d’une organisation en matière de sécurité numérique;
  • La désignation et la communication à l’ANSSI des coordonnées d’un point de contact sur les sujets relatifs à la sécurité numérique;
  • La réalisation d’une évaluation annuelle du niveau de sécurité;
  • La notification des incidents de sécurité.

Quel est le rôle de l’ANSSI ?

En plus des missions qui lui ont été attribuées au titre du décret no 2009-834 du 7 juillet 2009 modifié, le cadre de la gouvernance de la sécurité numérique de l’État confie à l’ANSSI les missions suivantes :

  • La participation au comité stratégique interministériel de la sécurité numérique (COSINUS) afin de présenter un état de la menace en matière de sécurité numérique;
  • La présidence de l’instance interministérielle de pilotage de la sécurité numérique (CINUS) permettant de suivre la mise en œuvre de la feuille de route définie au niveau politico-stratégique et de partager et réfléchir sur les difficultés rencontrées par les différents participant;
  • La participation, sur invitation des ministères, à leur instance stratégique ministérielle de la sécurité numérique;
  • Le maintien à jour d’un catalogue des services qu’elle propose aux administrations de l’État et l’établissement d’une convention précisant, parmi ces services, ceux que l’ANSSI fournis au bénéficie de chaque ministère;
  • L’accompagnement des bénéficiaires dans leur mise en conformité avec ce nouveau cadre, notamment via la publication de guides ou la qualification de produits ou services de sécurité;
  • La réception et le traitement des incidents significatifs que les administrations de l’État et les établissements publics d’État pourraient lui notifier.

Pour aller plus loin

Référence Lien
Décret no 2019-1088 du 25 octobre 2019 modifié relatif au système d’information et de communication de l’Etat et à la direction interministérielle du numérique Décret n° 2019-1088 du 25 octobre 2019 relatif au système d’information et de communication de l’Etat et à la direction interministérielle du numérique – Légifrance (legifrance.gouv.fr)
Décret no 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d’information et de communication de l’Etat et de ses établissements publics Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d’information et de communication de l’Etat et de ses établissements publics – Légifrance (legifrance.gouv.fr)
Instruction interministérielle no 1337/SGDSN/ANSSI du 26/10/2022 sur l’organisation de la sécurité numérique du système d’information et de communication de l’État et de ses établissements publics Arrêté du 26 octobre 2022 portant approbation de l’instruction générale interministérielle n° 1337/SGDSN/ANSSI sur l’organisation de la sécurité numérique du système d’information et de communication de l’Etat et de ses établissements publics – Légifrance (legifrance.gouv.fr)
Circulaire no 5725/SG du 14 juillet 2014 (PSSIE) https://www.legifrance.gouv.fr/circulaire/id/38641

 

 

À voir aussi