S'il va de soi que l'État veille depuis toujours à la sécurité de son informatique, un décret du 8 avril 2022 paru au journal officiel du 10 avril vient formaliser certaines dispositions et choix. La plupart de ces décisions sont déjà appliquées ou fortement préconisées, en particulier par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Ce qui relevait de bonnes pratiques plus ou moins mises en oeuvre va désormais être par conséquent strictement obligatoire et donc normalement systématique. Rappelons que, depuis 2015, l'État considère qu'il n'a qu'un seul système d'information qui concerne l'ensemble des ministères, administrations d'État et établissements publics dont la tutelle est ministérielle. La responsabilité politique de la sécurité informatique de l'État est de ce fait placée entre les mains du Premier ministre.
Chaque ministère doit se doter, si ce n'est déjà fait, d'un fonctionnaire de sécurité des systèmes d'information, un RSSI ministériel, et d'une autorité qualifiée compétente en matière de SSI. Cette autorité qualifiée est chargée de l'homologation de sécurité de l'ensemble de la partie du SI de l'État dont elle est responsable. Cette homologation devient au passage strictement obligatoire. Elle comporte une analyse détaillée des risques et des réponses aux risques identifiés.
Les dispositions formelles seront obligatoires avec un délai de six mois, soit le 10 octobre 2022, les homologations devant être achevées dans un délai de deux ans à compter de cette date, soit avant le 10 octobre 2024.
Commentaire