L’Arrêté du 19 juillet 2024 a approuvé l’instruction ministérielle relative à la politique de gouvernance de la sécurité numérique (PGSN) de l’éducation nationale, de la jeunesse, des sports, de l’enseignement supérieur et de la recherche.

Tous les agents publics en charge de systèmes d’information doivent respecter ces règles de sécurité, suivre les recommandations définies en application de celles-ci et utiliser les infrastructures et les outils mis à leur disposition dans les conditions d’usages précisées.

L’autorité qualifiée de la sécurité des systèmes d’information (AQSSI) est responsable de la sécurité des systèmes d’information et de communication qui contribuent à l’exécution des missions et du périmètre dont elle a la charge. L’AQSSI ne peut déléguer cette responsabilité.
Le HFDS tient à jour un registre ministériel des autorités qualifiées de la sécurité des systèmes d’information.
Sont désignés AQSSI en administration centrale :

– les directeurs et délégués d’administration centrale ;
– les chefs de service rattachés au secrétaire général ;
– le directeur du numérique pour l’éducation, pour les services numériques transverses à portée nationale ou ne relevant pas des attributions d’autres directions métiers ;
– le secrétaire général, pour le numérique spécifique aux équipes internes du secrétariat général ;
– la cheffe de service de l’inspection générale de l’éducation, du sport et de la recherche, pour le numérique spécifique à l’inspection générale ;
– le chef du bureau des cabinets, pour le numérique spécifique aux cabinets ;
– chaque directeur de service à compétence nationale.

Sont désignés AQSSI en services déconcentrés :

– les recteurs de région académique, pour le numérique en responsabilité directe de la région académique et les éventuels services de région académique ;
– les recteurs d’académie, pour le numérique de portée académique et les éventuels services inter-académiques sous leurs responsabilités.

Sont désignés AQSSI en établissements publics relevant de la tutelle ministérielle :

– les dirigeants exécutifs d’établissement public de l’Etat, pour leur périmètre de missions. Il s’agit notamment des présidents ou directeurs généraux des :
– établissements publics à caractère scientifique, culturel et professionnel (EPSCP) ;
– établissements publics scientifiques et techniques (EPST) ;
– établissements publics administratifs (EPA) ;
– établissements publics à caractère industriel et commercial (EPIC) ;
– établissements publics locaux de formation (EPLF) du secteur sport.

Concernant les établissements publics locaux d’enseignement (EPLE) :
En application des dispositions de la loi d’orientation et de programmation pour la refondation de l’Ecole de la République du 8 juillet 2013 (1), la maintenance et l’équipement informatique des établissements publics locaux d’enseignement (EPLE) sont à la charge des collectivités territoriales, à l’exception des services numériques contractualisés directement par le chef d’établissement. Le contrôle de l’application des référentiels de sécurité ainsi que le traitement des incidents de niveau majeur relèvent d’un traitement conjoint entre les RSSI académiques, qui sont en charge du signalement des incidents de sécurité numérique auprès du centre opérationnel de la sécurité des systèmes d’information du ministère (COSSIM), et les RSSI des collectivités territoriales.
Chaque chef d’établissement, sans être AQSSI, constitue le point de contact de la sécurité numérique pour les services déconcentrés de l’éducation nationale, notamment en cas d’incident de sécurité du numérique qui impacte fortement les activités de son établissement.
Chaque académie maintient un annuaire des points de contacts en EPLE.

4.2. Les conseillers à la sécurité numérique (CSN)

Le conseiller à la sécurité numérique conseille et accompagne l’autorité qualifiée dans l’exercice de ses responsabilités pour la maitrise des risques numériques.
Le CSN assiste l’AQSSI pour l’homologation des systèmes d’information, il dispose de la connaissance des enjeux métiers et des politiques publiques en responsabilité. Sans être un expert de la sécurité numérique, le CSN dispose d’une culture générale du numérique lui permettant de traduire et contextualiser les enjeux pour le compte de son AQSSI. Il contribue à l’animation de la sécurité numérique dans le périmètre de responsabilité de son AQSSI. Une description type des missions d’un conseiller à la sécurité numérique est précisée en annexe.
L’obligation réglementaire de désignation de CSN varie selon le type d’organisation :
En administration centrale :

– chaque AQSSI désigne un CSN pour son périmètre de missions et en informe le HFDS qui maintient un registre des CSN ;
– le CSN est nécessairement un acteur du pilotage et de la gouvernance du périmètre. A ce titre, il fait partie du comité de direction du périmètre.

En services déconcentrés :

– en accord avec les recteurs d’académie du périmètre, le recteur de région académique peut désigner un CSN de région académique (CSN-RA) agissant pour l’ensemble des académies ;
– à défaut de CSN de région académique, chaque recteur d’académie désigne un CSN (CSN-A) ;
– le CSN est nécessairement un acteur du pilotage et de la gouvernance du périmètre. A ce titre, il fait partie du comité de direction du périmètre ;
– le recteur de région académique informe le HFDS de l’organisation choisie et désigne le ou les CSN au HFDS, qui en tient compte dans le registre ministériel des CSN.

En établissement public, la nomination d’un conseiller à la sécurité numérique n’est pas attendue.

4.3. Les responsables de la sécurité des systèmes d’information (RSSI)

Le responsable de la sécurité des systèmes d’information (RSSI) est l’acteur clé de la sécurité opérationnelle d’un périmètre d’activité. Il dispose d’une lettre de mission ou d’une fiche de poste signée par l’AQSSI ou le dirigeant.
En administration centrale :

– le secrétaire général désigne un RSSI ministériel (RSSI-M) dont le mandat comprend le numérique ministériel et des missions nationales. Le RSSI ministériel dispose de RSSI ministériels adjoints (RSSIa-M), chacun disposant d’un mandat précisant son périmètre. Il anime le réseau des RSSI académiques et des correspondants à la SSI (CSSI) en administration centrale, en lien avec le FSSI. Les RSSI ministériels adjoints contribuent à la continuité des missions de RSSI ministériel ;
– les AQSSI, autres que le DNE, agissant en maitres d’œuvre (conception, développement, maintenance) de systèmes d’information, disposent nécessairement d’un responsable de la sécurité des systèmes d’information. Ce RSSI est affecté à la DNE dans le service en charge de la sécurité numérique. Néanmoins, en accord avec le secrétaire général, l’AQSSI peut désigner un RSSI, nécessairement dédié à cette fonction, affecté dans son service. A défaut, l’AQSSI désigne un correspondant à la sécurité des SI (CSSI) ;
– la liste des RSSI et des CSSI des ministères est maintenue par le HFDS ;
– l’AQSSI s’assure que le RSSI ministériel dispose de la visibilité complète sur les SI et les projets numériques du périmètre.

En services déconcentrés, selon l’un des schémas d’organisation suivants :

– première modalité d’organisation :
– un RSSI de région académique (RSSI-RA), occupant ces missions à temps plein, nommé par le recteur de région et les recteurs d’académie. Le RSSI-RA pilote et coordonne les acteurs de la SSI de l’ensemble régional ;
– associé à un RSSI adjoint par académie (RSSIa-A), agissant au moins 50 % de son temps pour les missions de sécurité numérique ;
– le RSSI-RA et le(s) RSSIa-A participent à la continuité des missions de RSSI pour la plaque territoriale ;
– la seconde modalité d’organisation est réservée aux régions mono-académiques :
– un RSSI d’académie (RSSI-A) agissant à temps plein sur la sécurité numérique est nommé par le recteur d’académie ;
– associé, a minima, à un RSSI adjoint d’académie (RSSIa-A) agissant à minima à 30 % de son temps pour la sécurité numérique ;
– le RSSIa-A participe à la continuité des missions du RSSI-A.

Il est recommandé que les RSSI de région académique et d’académie s’appuient sur des correspondants pour la sécurité des SI (CSSI) dans les directions des services départementaux de l’éducation nationale (DSDEN).
Dans les établissements publics :
Du fait de la diversité des structures, il est déterminé deux profils de RSSI :
Pour les établissements publics à portée nationale, disposant de réseaux de délégations ou directions territoriales (opérateurs nationaux de la recherche ou de l’enseignement) :

– le dirigeant désigne un RSSI national (RSSI-N) disposant du mandat pour l’ensemble de l’établissement public et de ses implantations ;
– le RSSI-N constitue le point de contact pour la sécurité numérique de l’établissement. A ce titre, il est nommé par le dirigeant, au sein de l’établissement et dispose d’un lien fonctionnel avec lui ;
– il est recommandé que le RSSI national dispose d’au moins un RSSI national adjoint (RSSIa-N) ;
– les RSSI-N et RSSIa-N s’appuient sur un réseau identifié et formalisé de correspondants à la SSI (CSSI), par exemple dans chaque centre, campus ou site, laboratoire de recherche, etc.

Pour tous les autres établissements publics :

– le dirigeant désigne un RSSI disposant de l’ensemble du mandat pour l’ensemble de l’établissement ;
– le RSSI constitue le point de contact pour la sécurité numérique de l’établissement. A ce titre, il est nommé par le dirigeant parmi les personnels de l’établissement. Quelle que soit son affectation dans la structure, il dispose d’un lien fonctionnel avec le dirigeant de l’établissement ;
– le RSSI d’établissement s’appuie sur des RSSI suppléants ou adjoints afin d’assurer la continuité des missions du RSSI et d’être en mesure de couvrir l’ensemble du périmètre de l’établissement et de ses composantes ;
– si cela est adapté au contexte de l’établissement, le RSSI s’appuie sur un réseau identifié et formalisé de correspondants à la SSI (CSSI).

4.4. Les centres de réponse à incident de sécurité du numérique

Les centres de réponse à incident de sécurité du numérique reçoivent et traitent les déclarations d’incidents des entités relevant de leurs mandats. Ils réalisent l’assistance à leurs bénéficiaires dans l’analyse des symptômes, le diagnostic, le traitement et la réaction aux incidents. Ils se coordonnent avec d’autres centres de réponse à incidents, en lien avec le centre national de réponse aux incidents (ANSSI/CERT-Fr). Ils diffusent des alertes et des recommandations. Ils sont susceptibles de prendre des mesures de mise en protection immédiate face à une menace majeure confirmée et imminente.
Le centre opérationnel de la sécurité des systèmes d’information ministériels (COSSIM) est le centre ministériel de référence pour l’assistance et le suivi des incidents de sécurité numérique des services centraux et déconcentrés et des établissements publics relevant du périmètre ministériel. Le COSSIM est positionné à la DNE, dans la sous-direction du socle numérique et dispose d’un lien fonctionnel avec le HFDS.
Pour les EPLE, le COSSIM s’appuie sur les RSSI de région académique et d’académie qui assistent les EPLE, en lien avec les collectivités territoriales. Les RSSI académiques signalent les incidents significatifs (2) des EPLE au COSSIM.
Pour les établissements de l’enseignement supérieur et de la recherche, le COSSIM s’appuie sur le CERT-RENATER qui prend en compte les signalisations initiales de ce périmètre, qualifie et assiste les établissements.
Le CERT (3)-RENATER est le centre de signalisation et d’expertises réseaux pour les incidents de sécurité du numérique :

– des établissements publics relevant de la tutelle du ministère de l’enseignement supérieur et de la recherche et raccordés à RENATER ;
– de toute autre entité raccordée au réseau RENATER, à l’exclusion et sans préjudice de dispositions spécifiques existantes pour les établissements publics relevant de tutelles ministérielles autres que celle de l’enseignement supérieur et de la recherche.

Le CERT-RENATER partage avec le COSSIM et le FSSI tous les incidents significatifs (2) affectant des établissements relevant de la tutelle du ministère de l’enseignement supérieur et de la recherche.
Le CERT-RENATER peut, avec l’accord du FSSI ou à défaut du COSSIM, mettre en œuvre des actions de mise en protection immédiate d’un établissement raccordé dans le cas d’une menace majeure confirmée et imminente, en particulier lorsque ni le RSSI ni l’AQSSI de l’établissement n’ont pu être contactés.
Le CERT-RENATER peut demander l’appui du COSSIM pour la remédiation d’établissements relevant de l’enseignement supérieur et de la recherche.
Le CERT-RENATER peut inviter le RSSI d’un établissement relevant de l’enseignement supérieur et de la recherche à solliciter le COSSIM pour bénéficier d’un appui à la remédiation d’incidents. Tous les incidents dont la gravité estimée est supérieure ou égale à « 3 – important » doivent faire l’objet d’une assistance conjointe avec le COSSIM.
Le FSSI dispose d’une visibilité complète sur les incidents suivis par le COSSIM et le CERT-RENATER et dispose, via le HFDS, d’un lien fonctionnel avec les centres de réponse à incidents.
Le COSSIM et le CERT-RENATER participent à la cellule opérationnelle de crise cyber (COCC), coordonnée par le FSSI en lien avec le dispositif ministériel de veille et d’alerte (CMVA) et le centre ministériel de crise (CMC).

4.5. Les pôles nationaux d’appuis et de ressources pour la sécurité numérique

Chaque ministère peut composer des pôles nationaux d’appuis et de ressources pour la sécurité numérique.
La liste complète des pôles nationaux du numérique, décrivant leurs missions et leur organisation, est communiquée annuellement au FSSI.
Selon leurs missions et compétences, les pôles nationaux d’appuis et de ressources pour la sécurité numérique peuvent être sollicités par le FSSI pour participer au dispositif ministériel de gestion de crises nationales d’origine cyber.

5. Les instances ministérielles de la sécurité du numérique

L’organisation des instances ministérielles pour la sécurité du numérique est déclinée selon les principes définis dans l’instruction interministérielle n° 1337/PM/SGDSN/ANSSI.
Un comité stratégique ministériel de la sécurité du numérique (COSTRAT SECNUM) est constitué par ministère. Il est présidé par le ministre ou son représentant et se réunit au moins une fois par an. Le HFDS en assure le secrétariat.
Il présente les synthèses de sécurité numérique du périmètre ministériel et détermine les orientations stratégiques pour la sécurité du numérique.
Le COSTRAT SECNUM MENJ associe les AQSSI ministériels, un AQSSI représentant les régions académiques, un AQSSI représentant les académies, le DNE ou son représentant, le FSSI et le RSSI ministériel. Les dirigeants des établissements publics y sont conviés.
Le COSTRAT SECNUM MESR associe les AQSSI ministériels, un représentant de France Universités (FU), un représentant de la conférence des grandes écoles (CGE), un représentant de la conférence des directeurs des écoles françaises d’ingénieurs (CDEFI), le DNE ou son représentant, le FSSI et le RSSI ministériel. Les dirigeants des EPST y sont conviés. Sont également associés au titre de leurs missions pour le secteur, le directeur du GIP RENATER et le directeur du GIP AMUE.
Le COSTRAT SECNUM MSJOP associe les AQSSI ministériels, le dirigeant de l’INSEP, le dirigeant de l’agence nationale du sport, un représentant de CREPS, le DNE ou son représentant, le FSSI et le RSSI ministériel.
Un comité ministériel de pilotage de la sécurité numérique (COPIL SECNUM) est constitué par ministère.
Il est présidé par le HFDS ou son représentant et se réunit au moins deux fois par an. Le FSSI en assure le secrétariat.
Il examine les activités et états des lieux liés à la sécurité numérique, réalise un suivi des homologations, des plans d’amélioration continue, de la gestion des incidents et de la prise en compte de la sécurité numérique. Il traite les points d’arbitrage techniques ou relatifs aux processus de sécurité du numérique.
Le COPIL SECNUM MENJ associe les CSN et les RSSI du ministère, le sous-directeur socle numérique de la DNE ou son représentant, le responsable du COSSIM, un représentant des CSN de région académique, un représentant des RSSI de région académique, un représentant des CSN d’académie, un représentant de RSSI d’académie, des RSSI d’établissement public.
Le COPIL SECNUM MESR associe les CSN et les RSSI du ministère, le sous-directeur socle numérique de la DNE ou son représentant, les responsables du COSSIM et du CERT-RENATER, un RSSI représentant les universités, un RSSI représentant les grandes écoles, un RSSI représentant les EPST. Sont également associés le RSSI de RENATER et le RSSI de l’AMUE.
Le COPIL SECNUM MSJOP associe les CSN et les RSSI du ministère, le sous-directeur socle numérique de la DNE ou son représentant, le responsable du COSSIM, le responsable SI de la direction des Sports, le RSSI de l’INSEP, un RSSI représentant les CREPS.

6. Processus principaux pour la sécurité numérique
6.1. Cartographie des risques

Chaque ministère élabore et actualise annuellement une cartographie des risques, incluant les risques numériques principaux. Les risques font l’objet d’un examen dans un comité dédié afin de déterminer un plan de réduction et de maitrise des risques.
La démarche est également fortement recommandée en établissement public et fait l’objet d’un suivi au sein d’un comité propre à l’établissement.

6.2. Identification des SI prioritaires

Chaque AQSSI réalise annuellement l’identification des systèmes d’information prioritaires de son périmètre, en regard de l’importance de ses services et infrastructures numériques dans l’exercice des missions principales de son champ de responsabilités.
En administration centrale et en services déconcentrés, le HFDS, assisté du FSSI, organise la campagne d’identification et de synthèse des SI prioritaires. A l’issue de chaque campagne, un référentiel des SI prioritaires avec impacts nationaux est élaboré par le FSSI.
Les SI prioritaires avec impacts sur des missions nationales bénéficient de plans de sécurisation renforcés et font l’objet d’une déclaration à l’agence nationale de la sécurité des systèmes d’information.
En établissements publics, ces actions sont organisées par le dirigeant, assisté par son RSSI. Ces éléments sont internes à l’établissement mais peuvent sur demande être mis à disposition du HFDS, du FSSI et de l’ANSSI.
Un modèle documentaire pour conduire l’identification de SI prioritaires est proposé par le FSSI.

6.3. Homologation de sécurité des SI

L’homologation de sécurité est une décision formelle prise par l’autorité qualifiée de la sécurité des systèmes d’information, ou par toute personne désignée par l’AQSSI appelée autorité d’homologation (AH), à qui elle délègue cette fonction. La démarche d’homologation permet d’attester que les risques pesant sur la sécurité ont été identifiés et que les mesures nécessaires pour maîtriser ces risques sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l’AQSSI.
L’homologation de sécurité s’impose à tous les SI concourant aux missions de l’Etat et des organismes placés sous sa tutelle (4), ainsi qu’aux systèmes d’information soumis à des réglementations spécifiques (5).
L’homologation formelle intervient avant toute mise en production de tout nouveau service numérique.
Pour les périmètres concernés par la présente instruction, la démarche d’homologation de sécurité est adaptée en fonction des enjeux et de la sensibilité du SI à homologuer. Une directive ministérielle précisera les modalités de réalisation des homologations.

6.4. Gestion des incidents et de crise d’origine cyber

La gestion des incidents de sécurité numérique permet de qualifier et de traiter tout évènement d’origine malveillante qui porte atteinte à la disponibilité, à l’intégrité ou à la confidentialité des services et données numériques.
Les incidents, ou suspicion d’incidents, de sécurité numérique sont signalés par :

– les usagers de services numériques auprès du support informatique de proximité, qui évalue l’incident puis le notifie au RSSI du périmètre. Le RSSI déclare ensuite l’incident à son centre de réponse à incident de référence ;
– les administrateurs de services numériques qui signalent au RSSI du périmètre ou, à défaut, au centre de réponse à incident de référence ;
– des acteurs de veille et de réponses en sécurité numérique (CERT-Fr, autres CERT, RSSI d’autres secteurs…) ;
– des dispositifs de détection automatisée des menaces (antivirus, pare-feu, systèmes de supervision ou de détection d’évènements…)

Les incidents de sécurité avérés font l’objet d’une évaluation des impacts par le centre de réponse à incident selon une échelle de quatre niveaux :

– 1 – négligeable : pas d’impact opérationnel sur l’activité du périmètre, ni sur la sécurité des personnes et des biens ;
– 2 – limité : impact opérationnel avec dégradation limitée de l’activité (fonctionnement en mode dégradé), pas d’impact sur la sécurité des personnes et des biens ;
– 3 – important : impact opérationnel important pouvant entrainer l’arrêt d’une partie des activités d’un périmètre, avec d’éventuels impacts sur la sécurité des personnes et des biens ;
– 4 – maximal : impact opérationnel maximal entrainant l’arrêt immédiat et prolongé des activités du périmètre concerné ou impact important sur une ou plusieurs missions nationales.

Tous les incidents avec impacts de niveau égal ou supérieur à « 2 – limité » font l’objet d’une signalisation par le RSSI au centre de réponse à incident de sécurité du numérique de référence (6) pour l’entité.
Les incidents de sécurité de niveaux 3 et supérieur font l’objet d’une déclaration par le centre de réponse à incident, ou à défaut le FSSI, à l’ANSSI.
Le centre de réponse à incident apporte une assistance dans l’analyse des symptômes, le diagnostic, le traitement et la réaction aux incidents. Il se coordonne avec d’autres centres de réponse à incidents et acteurs opérationnels de la sécurité numérique.
En fonction de l’impact et de l’évolution de l’incident, le FSSI peut activer la cellule opérationnelle de crise cyber (COCC) et en informe le HFDS.
La COCC permet de réunir les moyens des centres de réponse à incidents (COSSIM et CERT-RENATER) et d’associer tous les acteurs opérationnels pertinents pour la maitrise de la situation (RSSI, experts techniques…).
La COCC permet d’évaluer l’impact global et les scénarios d’évolutions possibles, d’éclairer les AQSSI et décideurs sur la conduite à tenir, identifie les mesures conservatoires et de remédiation et réalise des communications si besoin d’urgences, à destination des acteurs de gestion de la crise et du numérique.
Si le centre ministériel de crise (CMC) est activé, la COCC constitue l’une des cellules d’appui au CMC.

6.5. Gestion des vulnérabilités et des alertes de sécurité

La gestion des vulnérabilités et des alertes de sécurité permet d’éviter qu’une faille ou menace confirmée ne puisse provoquer un incident de sécurité numérique avec impacts sur les données ou le fonctionnement des services numériques.
Les signalements de vulnérabilités et alertes peuvent émaner :

– d’acteurs de veille et de réponse aux incidents en sécurité numérique, comme le CERT-FR (ANSSI) et d’autres CERT nationaux ou sectoriels ;
– de lanceurs d’alertes (dits « hackeurs éthiques ») signalant des vulnérabilités à l’ANSSI dans le cadre de l’article 47 de la loi pour une République numérique n° 2016-1321 du 7 octobre 2016 (7) ;
– de personnels internes signalant au RSSI du périmètre, qui qualifie puis, si confirmé, réalise la déclaration à son centre de réponse à incident de référence (COSSIM ou CERT-RENATER) ;
– d’acteurs internes de la sécurité opérationnelle (RSSI, COSSIM, CERT-RENATER, FSSI…) qui disposent de solutions de détection de vulnérabilités et d’évènements de sécurité du numérique.

Les types d’alertes sont :

– les injonctions formelles, qui sont émises par l’ANSSI vers le HFDS. Elles requièrent une réponse obligatoire. Chaque injonction fait l’objet d’une campagne par sondage organisé par le FSSI à destination de chaque RSSI des entités composant le périmètre. A l’issue de la campagne d’injonction, une synthèse des réponses est transmise par le HFDS à l’ANSSI ;
– le signalement d’alertes critiques, qui font l’objet d’une notification vers chaque RSSI d’entité concernée et précisent l’élément concerné. Chaque signalement doit être acquitté par le RSSI et sa remédiation doit faire l’objet d’un retour au centre de réponse à incident l’ayant signalé ;
– les vulnérabilités standards, qui sont transmises par les listes de diffusion dédiées à cet usage à destination des RSSI. Il n’est pas demandé d’acquittement mais chaque acteur détermine si ce composant est présent dans son périmètre et procède dans les plus brefs délais aux mises à jour ou, à défaut, à la mise en protection des éléments vulnérables.

6.6. Maintien en condition opérationnelle de sécurité

Le maintien en condition opérationnelle de sécurité (MCOS) permet de garder les services et les infrastructures numériques à un niveau de sécurité qui garantit leur sécurité de fonctionnement et de protection des données.
Le MCOS comprend le durcissement de la configuration des ressources déployées, le déploiement, éventuellement en urgence, des correctifs publiés par les éditeurs et fournisseurs afin de traiter les vulnérabilités applicatives ou techniques, la mise à jour des dispositifs de sécurité et l’anticipation de l’obsolescence technologique des ressources utilisées.
Les procédures de MCOS sont définies conjointement par les services en charge d’applications et d’infrastructures et par le responsable de la sécurité des systèmes d’information (RSSI) du périmètre.
Ces procédures sont ensuite appliquées par les équipes en charge du suivi opérationnel des services ou infrastructures numériques (DNE, DSI, services en maitrise d’œuvre de SI).
Pour les services exploités dans des infrastructures externes nuagiques (cloud), un plan d’assurance sécurité (PAS) doit être élaboré lors de la phase de contractualisation. Ce PAS doit décrire la politique de maintien opérationnel en condition de sécurité, qui est contrôlée ensuite par les responsables applicatifs et le RSSI du périmètre.
Pour les ministères et le numérique des missions nationales, en cas de défaut du maintien en conditions de sécurité d’un service, l’autorité qualifiée pour la sécurité des systèmes d’information (AQSSI) responsable du service numérique, ou à défaut le fonctionnaire de sécurité des systèmes d’information (FSSI) qui s’appuie sur les centres de réponses à incident, pourront demander l’arrêt des ressources concernées jusqu’à la correction des failles et le cas échéant, à l’assainissement du service concerné.
En dernier recours, le haut fonctionnaire de défense et de sécurité (HFDS) peut prendre cette décision pour toute ressource du ministère et pour des services et infrastructures numériques portant des missions nationales.

6.7. Inspections, audits et contrôles de sécurité numérique

Les audits et contrôles ministériels de sécurité du numérique font l’objet d’un plan annuel proposé par le FSSI au HFDS, en lien avec les AQSSI et les RSSI des périmètres concernés. Des audits et contrôles en dehors du programme annuel peuvent néanmoins être diligentés en complément selon les besoins.
Les audits et contrôles ministériels des systèmes d’information le plus sensibles – les SI d’importance vitale (SIIV) ou les SI essentiels (SIE) déclarés à l’ANSSI – sont réalisés par l’ANSSI ou par un prestataire d’audit de la sécurité des systèmes d’information qualifié par l’ANSSI (PASSI LPM pour les SIIV, PASSI RGS pour les SIE).
Les audits et contrôles des autres systèmes d’information ministériels ou à portée nationale sont réalisés par des prestataires d’audits qualifiés par l’ANSSI (PASSI RGS) ou par le pôle interne national de compétence et expertises affecté aux audits de sécurité numérique (DNE), sur validation du RSSI ministériel et du FSSI.
Les services déconcentrés et les établissements publics déterminent leurs programmes d’audits et de contrôles pour leur périmètre et veillent à recourir à des prestataires d’audits qualifiés par l’ANSSI (PASSI RGS).
Les inspections ministérielles de sécurité numérique sont réalisées par l’ANSSI, selon un calendrier et des périmètres définis entre les parties.

6.8. Rapports annuels de sécurité du numérique

Chaque AQSSI et dirigeant communique un rapport annuel de la sécurité du numérique, selon un format commun élaboré au niveau interministériel communiqué par l’ANSSI.
Le FSSI réalise une campagne annuelle de remise des rapports de sécurité numérique et réalise une synthèse pour le HFDS. Les éléments de synthèse font l’objet d’une présentation en COSTRAT de sécurité numérique du périmètre.

6.9. Règles de sécurité

Le référentiel de règles de sécurité s’appuie sur la politique de sécurité des systèmes d’information de l’Etat (PSSI-E), complété pour les SI relevant de réglementations spécifiques par des mesures complémentaires.
Une directive de « politique opérationnelle de sécurité du numérique » (POSN) complètera la PSSI-E et précisera les règles de sécurité applicables. Ce document aura valeur de recommandations pour les établissements publics.