Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics

Paru dans le N°338 - 5 mai 2022
Numérique

Le système d'information et de communication de l'Etat est composé de l'ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique les données qui concourent aux missions des services de l'Etat et des organismes placés sous sa tutelle.

Le décret du 8 avril 2022(1) modifie le décret n° 2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique(2) et précise qu’il revient au Premier ministre de déterminer les orientations générales et les règles de sécurité numérique applicables à ce système et d’en assurer la sécurité numérique.

Le décret n° 2022-513 a, en effet, pour objet de renforcer la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics, d’une part en prévoyant les modalités des “référents“ en la matière au sein de chaque ministre et, d’autre part, en instaurant un système d’homologation préalable.

A ce titre, chaque ministre doit désigner un fonctionnaire de sécurité des systèmes d'information chargé de l'assister dans l'exercice de sa responsabilité en matière de sécurité numérique.

Cet agent sera notamment tenu de déclarer à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) les incidents affectant les systèmes d'information et de communication de son département ministériel et des organismes placés sous la tutelle de celui-ci.

De plus, chaque ministre devra désigner, pour son département ministériel, une ou plusieurs autorités qualifiées en sécurité des systèmes d'information compétentes pour les systèmes d'information et de communication autres que ceux qui sont classifiés. Cette autorité sera en charge de la définition de la politique de sécurité numérique applicable et du contrôle de son application au travers notamment de l'homologation de ces systèmes d'information.

En outre, les infrastructures et services logiciels informatiques qui composent le système d'information et de communication de l'Etat devront faire l'objet, préalablement à leur mise en œuvre, d'une homologation de sécurité.

Cette homologation permettra d’attester que :
  • les risques pesant sur la sécurité du système ont été identifiés ;
  • les mesures nécessaires pour maîtriser ces risques sont mises en œuvre ;
  • les éventuels risques résiduels ont été identifiés et acceptés par l'autorité qualifiée en sécurité des systèmes d'information.
Enfin et afin de permettre la mise en place de ces nouvelles procédures, les dispositions du décret du 8 avril 2022 entreront en vigueur le 1er octobre 2022.

Informations légales | Données personnelles