Références :

Arrêté du 30 décembre 1998 ⁽¹⁾ portant organisation des instances relatives aux systèmes d'information et de communication du ministère de la défense.

Instruction générale interministérielle n^o 900/SGDN/SSD/DR - 900/DISSI/SCSSI/DR du 20 juillet 1993 ⁽²⁾ sur la sécurité des systèmes d'information qui font l'objet d'une classification de défense pour eux-mêmes ou pour les informations traitées.

Avis ⁽³⁾ relatif à la délivrance de certificats pour la sécurité offerte par les produits informatiques vis-à-vis de la malveillance.

Pour assurer la sécurité des systèmes d'information, le ministre de la défense, aux termes de l'arrêté cité en première référence, est assisté du secrétaire du directoire des systèmes d'information et de communication. Ce dernier préside la commission ministérielle de la sécurité des systèmes d'information qui coordonne l'activité des états-majors, directions et services en ce domaine.

Le secrétaire du directoire des systèmes d'information et de communication est lui-même assisté dans l'exercice des attributions définies par l'arrêté cité en première référence, d'un fonctionnaire de sécurité des systèmes d'information, prévu par l'instruction interministérielle citée en deuxième référence et qui lui est directement rattaché.

La présente instruction a pour objet de préciser les modalités de désignation et les attributions du fonctionnaire de sécurité des systèmes d'information du ministère de la défense.

1. Mode de désignation du fonctionnaire de sécurité des systèmes d'information.

Le fonctionnaire de sécurité des systèmes d'information est désigné par le ministre de la défense, sur proposition du secrétaire du directoire des systèmes d'information et de communication.

2. Attributions générales du fonctionnaire de sécurité des systèmes d'information.

Placé sous l'autorité du secrétaire du directoire des systèmes d'information et de communication et assurant les fonctions de secrétaire de la commission ministérielle de la sécurité des systèmes d'information, le fonctionnaire de sécurité des systèmes d'information est chargé :

• de porter les instructions interministérielles à la connaissance des états-majors, directions, services et organismes concernés et d'en préciser les modalités d'application ;

• d'élaborer les instructions ou circulaires ministérielles particulières et de définir pour chaque type de système d'information les mesures de protection nécessaires ;

• de veiller à l'exécution des contrôles effectués par les autorités qualifiées et les organismes spécialisés, en conformité avec les instructions ministérielles et interministérielles ;

• d'assurer la sensibilisation des autorités et du personnel à la sécurité des systèmes d'information et d'harmoniser la formation des cadres ;

• d'assurer la liaison avec les commissions interministérielle et ministérielle de sécurité des systèmes d'information.

Le fonctionnaire de sécurité des systèmes d'information est tenu informé des projets mis en œuvre par les autorités qualifiées.

3. Attributions particulières du fonctionnaire de sécurité des systèmes d'information.

3.1. Représentation du ministère de la défense à la commission interministérielle pour la sécurité des systèmes d'information.

Le fonctionnaire de sécurité des systèmes d'information représente le ministère de la défense à la commission interministérielle pour la sécurité des systèmes d'information.

Lors des séances, il peut se faire accompagner, selon le sujet traité :

• d'un représentant de l'état-major des armées ;

• d'un représentant de la délégation générale pour l'armement ;

• d'un représentant de la direction générale de la gendarmerie nationale ;

• d'un représentant de la direction générale de la sécurité extérieure ;

• d'un représentant de la direction de la protection et de la sécurité de la défense.

Il peut se faire représenter, le cas échéant, par l'une des personnes citées ci-dessus.

3.2. Représentation du ministère de la défense au comité directeur de la certification en sécurité des technologies de l'information.

Le fonctionnaire de sécurité des systèmes d'information et un représentant de la délégation générale pour l'armement représentent le ministère de la défense au comité directeur de la certification en sécurité des technologies de l'information.

En tant que de besoin, ils peuvent être accompagnés ou se faire représenter par toute personne qualifiée en raison de sa compétence ou de ses fonctions.

3.3. Fonction de coordination vis-à-vis des sous-commissions de la commission interministérielle pour la sécurité des systèmes d'information.

Le fonctionnaire de sécurité des systèmes d'information coordonne la participation du ministère de la défense aux sous-commissions de la commission interministérielle pour la sécurité des systèmes d'information.

Il propose au secrétaire du directoire des systèmes d'information et de communication après avis de la commission ministérielle de la sécurité des systèmes d'information et dans le cadre des orientations définies par celle-ci, de désigner un collège restreint, issu des différents états-majors, directions et services, chargé de représenter le ministère de la défense dans chacune des sous-commissions de la commission interministérielle pour la sécurité des systèmes d'information.

Les représentants rendent compte au fonctionnaire de sécurité des systèmes d'information des travaux de la sous-commission interministérielle pour laquelle ils sont mandatés et font connaître à la sous-commission les avis et propositions du ministère retenus par la commission ministérielle de la sécurité des systèmes d'information.

Le fonctionnaire de sécurité des systèmes d'information propose au secrétaire du directoire des systèmes d'information et de communication, après avis de la commission ministérielle de la sécurité des systèmes d'information et en tant que de besoin, de désigner les représentants du ministère de la défense dans les groupes de travail constituée par la commission interministérielle de la sécurité des systèmes d'information.