Recevez chaque jour toute l'actualité du numérique

x

Par un nouveau décret, l'Etat affiche son ambition de renforcer sa propre cybersécurité

Un nouveau décret précise les responsabilités des administrations dans leur cybersécurité, le signe d’un "mouvement profond" sur la question, selon le sous-directeur Stratégie de l’Anssi.
Twitter Facebook Linkedin Flipboard Email
×

Par un nouveau décret, l'Etat affiche son ambition de renforcer sa propre cybersécurité
Par un nouveau décret, l'Etat affiche son ambition de renforcer sa propre cybersécurité © Linda Holman-Unsplash

L’administration vient de remonter d’un cran ses ambitions en matière de cybersécurité avec la publication d’un décret, lundi 8 avril. Ce dernier, qui entre en vigueur dans six mois, fixe les nouvelles règles de gouvernance de la sécurité numérique au sein de l'Etat et des établissements publics.

Concrètement, cet acte réglementaire précise les responsabilités, une définition "rendue nécessaire par l'enjeu stratégique" par “l’accélération” de la numérisation des administrations et une meilleure prise en compte de la sécurité numérique, souligne le texte.

Ce décret, rappelle sur LinkedIn Yves Verhoeven, le sous-directeur Stratégie de l’Anssi, le cyber-pompier de l’Etat, "réaffirme la responsabilité des ministres, de leurs directions métiers et du numérique, le rôle-clé des fonctionnaires de la sécurité des systèmes d’information, l’enjeu de la maîtrise du risque cyber" et les nouvelles obligations des établissements publics.
 

“Le signe d’un mouvement profond”

"Il n’y avait pas rien avant, et ça ne résout pas tout. Mais c’est le signe d’un mouvement profond qui a été amorcé il y a déjà un certain temps et de l’intérêt qui a été accordé à ce sujet", analyse Yves Verhoeven. "Ce n’est pas une révolution, mais ce renforcement de la prise en compte du risque cyber dans les administrations est toujours bienvenu", remarque également Nicolas Arpagian, le directeur de la stratégie en cybersécurité de Trend Micro.

Ainsi, le décret prévoit l’obligation, pour les ministres, de désigner un fonctionnaire de sécurité des systèmes d'information. Si cette disposition était déjà prévue par un arrêté de 2010, alors limitée aux “départements ministériels nécessitant une protection”, le nouveau décret précise les missions de ces fonctionnaires. Les ministres devront également désigner des autorités qualifiées en sécurité des systèmes d’information. Une structure qui sera chargée de définir et de contrôler la politique de sécurité numérique.
 

Nouvelles obligations pour les établissements publics

Le texte encadre également les obligations des dirigeants des établissements publics de l’Etat. Ces derniers héritent de la responsabilité de la sécurité numérique de leur structure. Ils devront définir et mettre en œuvre une organisation adéquate. Un référent sera en outre chargé de faire la liaison avec le ministère et l’Anssi et de notifier les éventuelles cyberattaques subies.

Le décret introduit enfin une nouvelle procédure d'homologation de sécurité. Cette "décision formelle (...) atteste que les risques pesant sur la sécurité ont été identifiés et que les mesures nécessaires pour maîtriser ces risques sont mises en œuvre", indique ce texte réglementaire. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

1 commentaire

HERMANN
10/05/2022 14h58 - HERMANN

je ne constate pas l'annonce d'une NOUVELLE procédure d'homologation, le décret redit ce qui est dit depuis déjà des années : "faire l'objet d'une homologation de sécurité" : la procédure n'est pas changée ...

Répondre au commentaire | Signaler un abus