JORF n°0044 du 21 février 2020

Arrêté du 17 février 2020

La garde des sceaux, ministre de la justice,

Vu le code de défense, notamment ses articles L. 1141-1, R. 1143-1 (3°) et R. 1143-5 (8°) ;

Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, notamment son article 9 ;

Vu le décret n° 2010-112 du 2 février 2010 modifié pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, notamment ses articles 2, 22 et 23 ;

Vu l'arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale ;

Vu l'arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques ;

Vu l'arrêté du 18 août 2016 portant approbation de la politique ministérielle de défense et de sécurité pour le ministère de la justice ;

Vu l'instruction interministérielle n° 920 /SGDSN/ DCSSI du 12 janvier 2005 relative aux systèmes traitant des informations classifiées de défense de niveau Confidentiel défense ;

Vu l'instruction interministérielle n° 901 SGDSN/ANSSI du 28 janvier 2015 relative à la protection des systèmes d'information sensibles ;

Vu la circulaire n° 5725/SG du 17 juillet 2014 relative à la politique de sécurité des systèmes d'information de l'Etat,

Arrête :

Article 1

Sont désignés autorités qualifiées pour la sécurité des systèmes d'information (AQSSI), pour les directions et services placés sous l'autorité du ministre :

- pour le secrétariat général : le secrétaire général du ministère de la justice ;
- pour les directions placées sous l'autorité directe du ministre : le directeur ;
- pour l'inspection générale de la justice : l'inspecteur général, chef de l'inspection générale ;
- pour le Conseil d'Etat : le secrétaire général du Conseil d'Etat ;
- pour les services à compétence nationale rattachés directement au ministre ou à caractère interministériel : le directeur ou le chef de service.

1 version

Article 2

Sont désignés autorités qualifiées pour la sécurité des systèmes d'information (AQSSI) pour les établissements publics nationaux placés sous la tutelle du ministre et les autorités relevant du périmètre du ministère de la justice :

- les responsables, quel que soit leur titre, des fonctions de direction générale des établissements publics ;
- les responsables, quel que soit leur titre, des fonctions de direction générale des autorités administratives indépendantes et des autorités publiques indépendantes.

1 version

Article 3

L'autorité qualifiée est responsable de la sécurité des systèmes d'information au sein de sa direction, du service, de l'établissement ou de l'autorité. Sa responsabilité ne peut être déléguée.
Elle s'assure, à ce titre, de l'application des instructions ministérielles données en cette matière, sous l'autorité du haut fonctionnaire de défense et de sécurité.
Dans ce cadre, en liaison avec le haut fonctionnaire de défense et de sécurité (HFDS) et le fonctionnaire de sécurité des systèmes d'information (FSSI) qui lui est rattaché, l'autorité qualifiée est chargée :

- de définir, à partir des objectifs de sécurité qu'il fixe, ou, pour les systèmes traitant d'informations classifiées, des objectifs de sécurité fixés par la présente instruction, une politique de sécurité des systèmes d'information adaptée à son service, sa direction, son établissement ou son organisme ;
- de désigner les autorités d'homologation des systèmes relevant de sa responsabilité ;
- de s'assurer que les dispositions réglementaires et, le cas échéant, contractuelles sur la sécurité des systèmes d'information sont appliquées, notamment celles relatives à la sécurité des systèmes traitant d'informations classifiées ;
- de faire appliquer les consignes et les directives internes ;
- de disposer d'une analyse, régulièrement mise à jour, des risques encourus par les SI de sa structure ;
- de s'assurer que des contrôles internes de sécurité sont régulièrement effectués ;
- d'organiser la sensibilisation et la formation du personnel aux questions de sécurité, en particulier en matière de systèmes d'information ;
- de s'assurer de la mise en œuvre des procédures réglementaires prescrites pour l'homologation des systèmes, pour l'agrément des dispositifs de sécurité et pour la gestion des articles contrôlés de la sécurité des systèmes d'information (ACSSI) ;
- de désigner les autorités d'homologation des systèmes et des services numériques relevant de sa responsabilité.

1 version

Article 4

Le présent arrêté sera publié au Journal officiel de la République française.

1 version

Fait le 17 février 2020.

Nicole Belloubet