Arrêté du 13 décembre 2016 portant désignation des autorités qualifiées pour la sécurité des systèmes d'information dans les services d'administration centrale, les services déconcentrés, les organismes et établissements sous tutelle des ministères chargés des affaires sociales

Sur l'arrêté

Entrée en vigueur : 19 décembre 2016
Dernière modification : 19 décembre 2016

Commentaire0

Aucun commentaire indexé par Doctrine ne cite cette loi

Décision0

Aucune décision indexée sur Doctrine ne cite cette loi.

Document parlementaire0

Doctrine propose ici les documents parlementaires sur les articles modifiés par les lois à partir de la XVe législature (2017).

Versions du texte


La ministre des affaires sociales et de la santé, la ministre du travail, de l'emploi, de la formation professionnelle et du dialogue social, la ministre des familles, de l'enfance et des droits des femmes et le ministre de la ville, de la jeunesse et des sports,
Vu le code de la défense, notamment ses articles L. 1141-1 et R. 1143-1 ;
Vu l'article L. 1431-1 du code de la santé publique ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2007-207 du 19 février 2007 relatif aux attributions des hauts fonctionnaires de défense et de sécurité ;
Vu le décret n° 2009-1540 du 10 décembre 2009 relatif à l'organisation et aux missions des directions régionales de la jeunesse, des sports et de la cohésion sociale ;
Vu le décret n° 2010-112 du 2 février 2010 modifié pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2013-727 du 12 août 2013 portant création, organisation et attributions d'un secrétariat général des ministères chargés des affaires sociales ;
Vu l'arrêté du 12 août 2013 portant organisation de la direction des systèmes d'information en sous-directions et en bureaux ;
Vu l'instruction générale interministérielle n° 1300/SGDSN/ PSE/PSD du 30 novembre 2011 sur la protection du secret de la défense nationale ;
Vu l'instruction interministérielle n° 901/SGDSN/ANSSI du 28 janvier 2015 relative à la protection des systèmes d'informations sensibles ;
Vu l'arrêté du 1er octobre 2015 portant approbation de la politique de sécurité des systèmes d'information pour les ministères chargés des affaires sociales,
Arrêtent :

Article 1

Sont désignés autorités qualifiées pour la sécurité des systèmes d'information (AQSSI) pour les systèmes dont ils ont directement la charge les titulaires des fonctions suivantes :


- les directeurs d'administration centrale ;
- les directeurs des directions régionales et départementales de la jeunesse, des sports et de la cohésion sociale ;
- les directeurs des directions régionales des entreprises, de la concurrence, de la consommation, du travail et de l'emploi ;
- les directeurs des agences sanitaires nationales et des agences régionales de santé ;
- les directeurs des autres établissements publics et des organismes placés sous la tutelle des ministres.

Article 2

L'autorité qualifiée pour la sécurité des systèmes d'information (AQSSI) est la personne responsable, pour sa structure, de la sécurité des systèmes d'information. C'est l'autorité juridiquement responsable, sa responsabilité ne peut être déléguée.
Elle s'assure, à ce titre, de l'application des instructions ministérielles données en cette matière, sous l'autorité du haut fonctionnaire de défense et de sécurité. Dans ce cadre, en liaison avec le fonctionnaire de sécurité des systèmes d'information (FSSI) du service du haut fonctionnaire de défense et de sécurité (SHFDS), elle est chargée :


- de désigner l'autorité d'appui la représentant au sein des différentes instances traitant de la sécurité des systèmes d'information ;
- de désigner les responsables ou les correspondants de sécurité des systèmes d'information chargés des diverses tâches liées à la sécurité des systèmes d'information ;
- de veiller à l'application des dispositions réglementaires et contractuelles par les différents niveaux de responsabilité, en particulier concernant les droits d'accès, l'habilitation et le respect de la vie privée ;
- de disposer de la cartographie de l'ensemble de ses systèmes d'information dont elle a directement la charge ;
- de disposer des analyses des risques encourus, à jour, par les systèmes d'information dont elle à la charge ;
- de désigner les autorités d'homologation des systèmes relevant de sa responsabilité ;
- de s'assurer que tout système d'information qu'elle emploie, avant sa mise en service, a fait l'objet d'une homologation tant pour les produits que les installations ;
- de s'assurer que les contrôles internes de sécurité sont régulièrement effectués ;
- d'organiser la sensibilisation et la formation du personnel aux questions de sécurité ;
- de contribuer à la cybersécurité, notamment en rendant compte immédiatement au FSSI de tout incident et de tout phénomène suspect pouvant affecter la sécurité des systèmes d'information dont elle a la responsabilité.

Article 3

En matière d'homologation, pour les systèmes dont elle assure le financement, l'autorité qualifiée pour la sécurité des systèmes d'information (AQSSI) est autorité d'homologation. Elle peut désigner un représentant de l'autorité administrative en qualité d'autorité d'homologation qui est chargé de s'engager sur l'acceptabilité de la sécurité pour l'autorité administrative.
La décision d'homologation est un acte formel par lequel l'autorité d'homologation :


- prend connaissance et accepte les risques résiduels ;
- valide la mise en exploitation du système ;
- engage la responsabilité de l'AQSSI en matière de cybersécurité.


Cette décision est prise par l'autorité d'emploi ou toute autorité subordonnée désignée ayant reçu délégation de signature ce domaine, la responsabilité de l'AQSSI n'étant pas déléguée.