Par un nouveau décret, l'Etat affiche son ambition de renforcer sa propre cybersécurité

Un nouveau décret précise les responsabilités des administrations dans leur cybersécurité, le signe d’un "mouvement profond" sur la question, selon le sous-directeur Stratégie de l’Anssi.

Partager
Par un nouveau décret, l'Etat affiche son ambition de renforcer sa propre cybersécurité

L’administration vient de remonter d’un cran ses ambitions en matière de cybersécurité avec la publication d’un décret, lundi 8 avril. Ce dernier, qui entre en vigueur dans six mois, fixe les nouvelles règles de gouvernance de la sécurité numérique au sein de l'Etat et des établissements publics.

Concrètement, cet acte réglementaire précise les responsabilités, une définition "rendue nécessaire par l'enjeu stratégique" par “l’accélération” de la numérisation des administrations et une meilleure prise en compte de la sécurité numérique, souligne le texte.

Ce décret, rappelle sur LinkedIn Yves Verhoeven, le sous-directeur Stratégie de l’Anssi, le cyber-pompier de l’Etat, "réaffirme la responsabilité des ministres, de leurs directions métiers et du numérique, le rôle-clé des fonctionnaires de la sécurité des systèmes d’information, l’enjeu de la maîtrise du risque cyber" et les nouvelles obligations des établissements publics.

“Le signe d’un mouvement profond”

"Il n’y avait pas rien avant, et ça ne résout pas tout. Mais c’est le signe d’un mouvement profond qui a été amorcé il y a déjà un certain temps et de l’intérêt qui a été accordé à ce sujet", analyse Yves Verhoeven. "Ce n’est pas une révolution, mais ce renforcement de la prise en compte du risque cyber dans les administrations est toujours bienvenu", remarque également Nicolas Arpagian, le directeur de la stratégie en cybersécurité de Trend Micro.

Ainsi, le décret prévoit l’obligation, pour les ministres, de désigner un fonctionnaire de sécurité des systèmes d'information. Si cette disposition était déjà prévue par un arrêté de 2010, alors limitée aux “départements ministériels nécessitant une protection”, le nouveau décret précise les missions de ces fonctionnaires. Les ministres devront également désigner des autorités qualifiées en sécurité des systèmes d’information. Une structure qui sera chargée de définir et de contrôler la politique de sécurité numérique.

Nouvelles obligations pour les établissements publics

Le texte encadre également les obligations des dirigeants des établissements publics de l’Etat. Ces derniers héritent de la responsabilité de la sécurité numérique de leur structure. Ils devront définir et mettre en œuvre une organisation adéquate. Un référent sera en outre chargé de faire la liaison avec le ministère et l’Anssi et de notifier les éventuelles cyberattaques subies.

Le décret introduit enfin une nouvelle procédure d'homologation de sécurité. Cette "décision formelle (...) atteste que les risques pesant sur la sécurité ont été identifiés et que les mesures nécessaires pour maîtriser ces risques sont mises en œuvre", indique ce texte réglementaire.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS