L’Arrêté du 19 juillet 2024 a validé l’instruction ministérielle sur la gouvernance de la sécurité numérique (PGSN) dans l’éducation nationale. Tous les agents responsables des systèmes d’information doivent respecter les règles de sécurité établies et utiliser les outils fournis selon les conditions d’usage. L’autorité qualifiée de la sécurité des systèmes d’information (AQSSI) est chargée de garantir la sécurité des systèmes d’information, sans possibilité de délégation. Des conseillers à la sécurité numérique (CSN) et des responsables de la sécurité des systèmes d’information (RSSI) sont également désignés pour assurer la protection et la gestion des incidents de sécurité.. Consulter la source documentaire.

Quel est l’objet de l’Arrêté du 19 juillet 2024 ?

L’Arrêté du 19 juillet 2024 a pour objet d’approuver l’instruction ministérielle relative à la politique de gouvernance de la sécurité numérique (PGSN) au sein de plusieurs secteurs, notamment l’éducation nationale, la jeunesse, les sports, l’enseignement supérieur et la recherche.

Cette initiative vise à établir un cadre de sécurité numérique qui garantit la protection des systèmes d’information utilisés dans ces domaines. En effet, la sécurité numérique est devenue un enjeu déterminant dans un monde de plus en plus connecté, où les menaces informatiques sont omniprésentes.

Qui doit respecter les règles de sécurité définies par l’instruction ministérielle ?

Tous les agents publics en charge de systèmes d’information sont tenus de respecter les règles de sécurité établies par l’instruction ministérielle. Cela inclut le suivi des recommandations qui en découlent et l’utilisation des infrastructures et outils mis à leur disposition, conformément aux conditions d’usage précisées.

Cette obligation s’applique à tous les niveaux de l’administration, garantissant ainsi une approche cohérente et intégrée de la sécurité numérique à travers les différents services et établissements concernés.

Quel est le rôle de l’autorité qualifiée de la sécurité des systèmes d’information (AQSSI) ?

L’AQSSI est responsable de la sécurité des systèmes d’information et de communication qui sont essentiels à l’exécution des missions qui lui sont confiées. Cette autorité ne peut déléguer sa responsabilité, ce qui souligne l’importance de la sécurité numérique dans le cadre des missions publiques.

L’AQSSI est également chargée de tenir à jour un registre ministériel des autorités qualifiées, ce qui permet de centraliser les informations relatives à la sécurité numérique au sein des différentes administrations.

Qui sont les AQSSI désignés en administration centrale ?

En administration centrale, les AQSSI sont désignés parmi plusieurs catégories de responsables, notamment :

– Les directeurs et délégués d’administration centrale.
– Les chefs de service rattachés au secrétaire général.
– Le directeur du numérique pour l’éducation, pour les services numériques transverses.
– Le secrétaire général pour le numérique spécifique aux équipes internes.
– La cheffe de service de l’inspection générale de l’éducation, du sport et de la recherche.
– Le chef du bureau des cabinets pour le numérique spécifique aux cabinets.
– Chaque directeur de service à compétence nationale.

Ces désignations garantissent que des responsables compétents sont en charge de la sécurité numérique au sein des différentes entités administratives.

Quelles sont les responsabilités des conseillers à la sécurité numérique (CSN) ?

Les conseillers à la sécurité numérique (CSN) ont pour mission de conseiller et d’accompagner l’AQSSI dans l’exercice de ses responsabilités en matière de maîtrise des risques numériques. Ils assistent l’AQSSI pour l’homologation des systèmes d’information et contribuent à l’animation de la sécurité numérique dans leur périmètre de responsabilité.

Bien qu’ils ne soient pas des experts en sécurité numérique, les CSN possèdent une culture générale du numérique qui leur permet de contextualiser les enjeux pour l’AQSSI. Ils jouent un rôle clé dans la sensibilisation et la mise en œuvre des bonnes pratiques de sécurité au sein de leur organisation.

Quel est le rôle des responsables de la sécurité des systèmes d’information (RSSI) ?

Le responsable de la sécurité des systèmes d’information (RSSI) est un acteur clé de la sécurité opérationnelle au sein d’un périmètre d’activité. Il est désigné par l’AQSSI ou le dirigeant et a pour mission de garantir la sécurité des systèmes d’information.

En administration centrale, le RSSI ministériel est responsable du numérique ministériel et des missions nationales. Il coordonne également les RSSI académiques et les correspondants à la sécurité des systèmes d’information (CSSI). Dans les services déconcentrés, le RSSI de région académique ou d’académie est chargé de la sécurité numérique à l’échelle régionale ou académique.

Comment sont gérés les incidents de sécurité numérique ?

La gestion des incidents de sécurité numérique implique plusieurs étapes, notamment la qualification et le traitement des événements malveillants qui portent atteinte à la disponibilité, à l’intégrité ou à la confidentialité des services et données numériques.

Les incidents peuvent être signalés par divers acteurs, y compris les usagers, les administrateurs de services numériques, et des dispositifs de détection automatisée. Les incidents sont classés selon leur impact, allant de négligeable à maximal, et les incidents de niveaux 3 et supérieur doivent être déclarés à l’ANSSI.

Le centre de réponse à incident de sécurité du numérique (COSSIM) joue un rôle central dans l’assistance et la coordination des réponses aux incidents, en collaboration avec d’autres centres de réponse.

Quelles sont les principales responsabilités des pôles nationaux d’appuis et de ressources pour la sécurité numérique ?

Les pôles nationaux d’appuis et de ressources pour la sécurité numérique sont constitués par chaque ministère et ont pour mission de fournir un soutien et des ressources en matière de sécurité numérique.

Ils peuvent être sollicités par le FSSI pour participer à la gestion de crises nationales d’origine cyber. La liste des pôles, ainsi que leurs missions et leur organisation, est communiquée annuellement au FSSI, assurant ainsi une coordination efficace entre les différents acteurs de la sécurité numérique au niveau national.

Comment se déroule le processus d’homologation de sécurité des systèmes d’information ?

L’homologation de sécurité est une décision formelle prise par l’AQSSI ou par une personne désignée, appelée autorité d’homologation (AH). Ce processus permet d’attester que les risques liés à la sécurité ont été identifiés et que les mesures nécessaires pour les maîtriser sont mises en œuvre.

L’homologation est obligatoire pour tous les systèmes d’information qui concourent aux missions de l’État et doit être réalisée avant la mise en production de tout nouveau service numérique. Une directive ministérielle précise les modalités de réalisation des homologations, adaptées aux enjeux et à la sensibilité des systèmes concernés.