Arrêté du 26 octobre 2022 portant approbation de l'instruction générale interministérielle n° 1337/SGDSN/ANSSI sur l'organisation de la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics
>> En s'inscrivant pleinement dans la dynamique de la transformation numérique, les ministères et les établissements publics investissent largement le domaine du numérique. Ainsi, le système d'information et de communication de l'Etat devient désormais essentiel pour l'accomplissement des missions de ces administrations.
Dans cette perspective, il importe que l'amélioration de la relation entre le public et l'administration qu'apporte le numérique ne soit pas sapée par une dégradation de la confiance des usagers dans ce système d'information et de communication.
Or, l'actualité montre que le développement du numérique est aussi générateur d'opportunités et de développements pour des attaquants aux profils et aux objectifs très variés. Au moment de la rédaction de cette instruction, la tendance est à la généralisation des menaces de masse telles que les rançongiciels aux conséquences significatives pour les administrations.
Compte tenu de ces menaces, la sécurité numérique, composante essentielle de la confiance numérique, ne doit plus être un domaine réservé aux seuls spécialistes. Le risque associé aux cyberattaques, s'il a ses spécificités, ne doit plus être traité de manière singulière. Il devient impératif que chaque direction d'administration, jusqu'au plus haut niveau hiérarchique, appréhende le risque numérique au même titre que les autres risques afin d'y consacrer les ressources humaines, budgétaires et techniques suffisantes pour le couvrir.
Cette prise en compte doit s'effectuer dans l'ensemble des missions de ces administrations mais également dans la définition d'une organisation de la gouvernance de la sécurité numérique, se déclinant à tous les échelons de l'Etat.
La présente instruction définit l'organisation ainsi que les instances de la gouvernance de la sécurité numérique au niveau interministériel, dans les ministères, ainsi que dans les établissements publics d'Etat. Cette organisation conforte celle déjà définie dans la réglementation relative à la sécurité numérique en vigueur - notamment au travers de la protection du secret de la défense nationale avec l'instruction générale interministérielle 1300 - et l'étend pour permettre, notamment, l'appropriation du champ de la sécurité numérique par les chaînes métier. Elle porte également l'objectif de permettre une action coordonnée entre les acteurs du numérique, ceux de la sécurité numérique, de la protection des données à caractère personnel et de la protection du secret de la défense nationale. Cet objectif se traduit aussi par la compatibilité entre les trois gouvernances respectives, afin de permettre une articulation efficace entre celles-ci et un niveau de synergie suffisant.
Afin de permettre aux ministères de mettre en œuvre cette organisation et ces instances tout en tenant compte de leurs particularités et de l'organisation existante, il est demandé à ces derniers de décliner l'organisation prévue par la présente instruction en s'appuyant sur l'existant autant que possible et en la précisant le cas échéant.
La première section de la présente instruction décrit les rôles et responsabilités associés à la gouvernance de la sécurité numérique au niveau interministériel. Cette section présente également les instances interministérielles de gouvernance de la sécurité numérique.
La deuxième section décrit les rôles et responsabilités associés à la gouvernance de la sécurité numérique dans les ministères. Cette section présente également les instances ministérielles de gouvernance de la sécurité numérique.
La troisième et dernière section décrit les rôles et responsabilités associés à la gouvernance de la sécurité numérique dans les établissements publics de l'Etat.
JORF n°0253 du 30 octobre 2022 - NOR : PRMD2221955A
>> En s'inscrivant pleinement dans la dynamique de la transformation numérique, les ministères et les établissements publics investissent largement le domaine du numérique. Ainsi, le système d'information et de communication de l'Etat devient désormais essentiel pour l'accomplissement des missions de ces administrations.
Dans cette perspective, il importe que l'amélioration de la relation entre le public et l'administration qu'apporte le numérique ne soit pas sapée par une dégradation de la confiance des usagers dans ce système d'information et de communication.
Or, l'actualité montre que le développement du numérique est aussi générateur d'opportunités et de développements pour des attaquants aux profils et aux objectifs très variés. Au moment de la rédaction de cette instruction, la tendance est à la généralisation des menaces de masse telles que les rançongiciels aux conséquences significatives pour les administrations.
Compte tenu de ces menaces, la sécurité numérique, composante essentielle de la confiance numérique, ne doit plus être un domaine réservé aux seuls spécialistes. Le risque associé aux cyberattaques, s'il a ses spécificités, ne doit plus être traité de manière singulière. Il devient impératif que chaque direction d'administration, jusqu'au plus haut niveau hiérarchique, appréhende le risque numérique au même titre que les autres risques afin d'y consacrer les ressources humaines, budgétaires et techniques suffisantes pour le couvrir.
Cette prise en compte doit s'effectuer dans l'ensemble des missions de ces administrations mais également dans la définition d'une organisation de la gouvernance de la sécurité numérique, se déclinant à tous les échelons de l'Etat.
La présente instruction définit l'organisation ainsi que les instances de la gouvernance de la sécurité numérique au niveau interministériel, dans les ministères, ainsi que dans les établissements publics d'Etat. Cette organisation conforte celle déjà définie dans la réglementation relative à la sécurité numérique en vigueur - notamment au travers de la protection du secret de la défense nationale avec l'instruction générale interministérielle 1300 - et l'étend pour permettre, notamment, l'appropriation du champ de la sécurité numérique par les chaînes métier. Elle porte également l'objectif de permettre une action coordonnée entre les acteurs du numérique, ceux de la sécurité numérique, de la protection des données à caractère personnel et de la protection du secret de la défense nationale. Cet objectif se traduit aussi par la compatibilité entre les trois gouvernances respectives, afin de permettre une articulation efficace entre celles-ci et un niveau de synergie suffisant.
Afin de permettre aux ministères de mettre en œuvre cette organisation et ces instances tout en tenant compte de leurs particularités et de l'organisation existante, il est demandé à ces derniers de décliner l'organisation prévue par la présente instruction en s'appuyant sur l'existant autant que possible et en la précisant le cas échéant.
La première section de la présente instruction décrit les rôles et responsabilités associés à la gouvernance de la sécurité numérique au niveau interministériel. Cette section présente également les instances interministérielles de gouvernance de la sécurité numérique.
La deuxième section décrit les rôles et responsabilités associés à la gouvernance de la sécurité numérique dans les ministères. Cette section présente également les instances ministérielles de gouvernance de la sécurité numérique.
La troisième et dernière section décrit les rôles et responsabilités associés à la gouvernance de la sécurité numérique dans les établissements publics de l'Etat.
JORF n°0253 du 30 octobre 2022 - NOR : PRMD2221955A