Cadre de gouvernance de la sécurité numérique de l’État (PSSIE)

Le cadre de gouvernance de la sécurité numérique de l’État, corédigé avec l’ensemble des ministères, renforce la prise en compte du risque numérique dans la mise en œuvre et l’exploitation des systèmes d’information et de communication de l’État par les ministères et les établissements publics d’État.

Ce cadre vise à :

Responsabiliser les dirigeants (par exemple les directeurs d’administration centrale ou les responsables d’établissement) à la sécurité numérique;
Renforcer la sécurité numérique des établissements publics de l’État;
Responsabiliser les acteurs de la transformation numérique;
Assurer la cohérence avec les principaux textes réglementaires définissant une gouvernance en matière de numérique ou de sécurité, notamment la nouvelle IGI 1300 et le décret no 2019-1088 définissant les responsabilités de la direction interministérielle du numérique (DINUM);
Assurer la gouvernance aux différents niveaux de l’État via la mise en place d’une procédure de prise de décision aux niveaux interministériel et ministériel.

Le cadre de gouvernance, à terme, se substituera à la circulaire du Premier ministre n° 5725/SG du 17 juillet 2014 introduisant la politique de sécurité des systèmes d’information de l’État (PSSIE). Actuellement les deux cohabitent et se complètent, surtout en ce qui concerne les règles de sécurité prévues par cette PSSI.

Ce cadre s’articule autour :

Du décret n° 2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'État et à la direction interministérielle du numérique modifié par le décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'État et de ses établissements publics.
De l’instruction générale interministérielle n°1337/SGDSN/ANSSI sur l’organisation de la gouvernance de la sécurité numérique de l’État, approuvée par arrêté.
D’une instruction générale interministérielle qui portera les règles de sécurité numérique de l’État.
La circulaire du Premier ministre n° 5725/SG du 17 juillet 2014 introduisant la politique de sécurité des systèmes d’information de l’État (PSSIE).

À qui s’adresse cette réglementation ?

Cette réglementation s’applique aux ministères et aux établissements publics d’État sous la tutelle de ces derniers.

Que contient-elle ?

Le cadre de gouvernance de la sécurité numérique de l’État définit une comitologie permettant la prise en compte de la sécurité numérique aux niveaux interministériel et ministériel aux niveaux stratégique et opérationnel. Cette comitologie est présentée ci-dessous.

De plus, ce cadre de gouvernance en s’appuyant notamment sur l’organisation définie dans l’instruction générale interministérielle no 1300/SGDSN/PSE/PSD sur la protection du secret de la défense nationale, définit les rôles et responsabilités pour une prise en compte de la sécurité numérique au bon niveau. L’organisation cible est présentée ci-dessous bien que chaque ministère, conserve un degré de liberté pour adapter cette organisation à son contexte et son organisation.

Enfin, le cadre de gouvernance de la sécurité numérique de l’État fait porter la responsabilité de la sécurité numérique des établissements publics d’État sur les dirigeants exécutifs de ces établissements qui doivent s’assurer de la conformité aux exigences suivantes :

La définition et la mise en œuvre d’une organisation en matière de sécurité numérique;
La désignation et la communication à l’ANSSI des coordonnées d’un point de contact sur les sujets relatifs à la sécurité numérique;
La réalisation d’une évaluation annuelle du niveau de sécurité;
La notification des incidents de sécurité.

Quel est le rôle de l’ANSSI ?

En plus des missions qui lui ont été attribuées au titre du décret no 2009-834 du 7 juillet 2009 modifié, le cadre de la gouvernance de la sécurité numérique de l’État confie à l’ANSSI les missions suivantes :

La participation au comité stratégique interministériel de la sécurité numérique (COSINUS) afin de présenter un état de la menace en matière de sécurité numérique;
La présidence de l’instance interministérielle de pilotage de la sécurité numérique (CINUS) permettant de suivre la mise en œuvre de la feuille de route définie au niveau politico-stratégique et de partager et réfléchir sur les difficultés rencontrées par les différents participant;
La participation, sur invitation des ministères, à leur instance stratégique ministérielle de la sécurité numérique;
Le maintien à jour d’un catalogue des services qu’elle propose aux administrations de l’État et l’établissement d’une convention précisant, parmi ces services, ceux que l’ANSSI fournis au bénéficie de chaque ministère;
L’accompagnement des bénéficiaires dans leur mise en conformité avec ce nouveau cadre, notamment via la publication de guides ou la qualification de produits ou services de sécurité;
La réception et le traitement des incidents significatifs que les administrations de l’État et les établissements publics d’État pourraient lui notifier.

Pour aller plus loin

Référence	Lien
Décret n° 2019-1088 du 25 octobre 2019 modifié relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique	(Ouvre une nouvelle fenêtre) legifrance.gouv.fr
Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics	(Ouvre une nouvelle fenêtre) legifrance.gouv.fr
Instruction interministérielle n° 1337/SGDSN/ANSSI du 26/10/2022 sur l’organisation de la sécurité numérique du système d’information et de communication de l’État et de ses établissements publics	(Ouvre une nouvelle fenêtre) legifrance.gouv.fr
Circulaire n° 5725/SG du 14 juillet 2014 (PSSIE)	(Ouvre une nouvelle fenêtre) legifrance.gouv.fr