1. OBJET.

La présente instruction définit les missions et l\'organisation du service de la sécurité de défense et des systèmes d\'information (DGA/SSDI) de la direction générale de l\'armement et du centre de la sécurité de défense et des systèmes d\'information (CSDI), organisme extérieur qui lui est rattaché, selon les dispositions de l\'article 95. de l\'arrêté cité en référence d).

2. MISSIONS.

2.1. Le service de la sécurité de défense et des systèmes d'information.

1) Le service de la sécurité de défense et des systèmes d\'information est chargé, pour ce qui concerne la direction générale de l\'armement (DGA) et pour ce qui relève de ses attributions vis-à-vis des organismes placés sous sa tutelle, des établissements sous délégation des armées (ESDA), des entreprises titulaires de marchés ou de contrats classés ou à clause de sécurité passés par la DGA ou en sous-traitance de ceux-ci et des entreprises pressenties pour de tels marchés ou contrats :

• de mettre en œuvre et de faire appliquer la réglementation en matière de protection du secret de la défense nationale, de sécurité des systèmes d\'information, de protection du patrimoine scientifique et technologique sensible national et de protection des points et réseaux sensibles ainsi que d\'en préciser les dispositions, procédures et modalités d\'application ;
  
• de mettre en œuvre et de faire appliquer les accords et règlements de sécurité bilatéraux ou multilatéraux pris en application des traités ou accords intergouvernementaux et par conséquent de faire assurer la sécurité des informations classifiées d\'origine étrangère placées sous la protection de la DGA ;
  
• d\'instruire les demandes et de prononcer ou de faire prononcer les décisions d\'habilitation aux informations classifiées et d\'accès à la sécurité des systèmes d\'information lui incombant ainsi que les autorisations de visites, stages et embauches des ressortissants étrangers dans les établissements ou installations protégées ;
  
• de traiter toutes les questions de protection et de sécurité devant faire l\'objet d\'un traitement centralisé en application des réglementations, accords et règlements de sécurité cités ci-dessus, d\'une part, et en fonction de l\'organisation de la DGA, d\'autre part ;
  
• de contrôler ou faire contrôler l\'application de la réglementation en matière de protection du secret de la défense nationale et de sécurité des systèmes d\'information, ainsi que l\'application des accords et règlements de sécurité cités ci-dessus.

Ces attributions s\'étendent à la protection des informations sensibles (non classifiées) de la DGA, ainsi que de celles d\'origine nationale ou étrangère qui lui sont confiées.

2) Le service de la sécurité de défense et des systèmes d\'information assure également au profit des organismes centraux parisiens de la DGA (administration centrale et organismes extérieurs apparentés ⁽¹⁾) et sous le contrôle de leur officier de sécurité l\'ensemble des missions relevant des opérations de sécurité de défense et des opérations de sécurité des systèmes d\'information.

3) En outre, le service de la sécurité de défense et des systèmes d\'information :

• anime et coordonne le réseau de la sécurité de défense et de l\'information de la DGA constitué des officiers de sécurité, des officiers de sécurité des systèmes d\'information et des bureaux de sécurité des directions, services et organismes de la DGA ;
  
• participe aux travaux des organismes français et internationaux relatifs aux réglementations, accords et règlements de sécurité cités ci-dessus ; il élabore les directives d\'application de ces textes au sein de la DGA ;
  
• est le correspondant de la DGA, notamment auprès du secrétariat général de la défense et de la sécurité nationale (SGDSN) et de la direction de la protection et de la sécurité de la défense (DPSD), en matière de protection du secret de la défense nationale, de sécurité des systèmes d\'information, de protection du patrimoine scientifique et technologique sensible national et de protection des points et réseaux sensibles.

4) À ces missions peuvent s\'ajouter des missions spécifiques en fonction des besoins ponctuels des différentes entités de la DGA et définies en accord avec les responsables des entités concernées.

---

2.2. Le centre de la sécurité de défense et des systèmes d'information.

Le centre de la sécurité de défense et des systèmes d\'information (CSDI) est chargé d\'exécuter les missions du service de la sécurité de défense et des systèmes d\'information (SSDI), hormis celles qui relèvent de son administration centrale, au sein des autres organismes extérieurs de la DGA.

Dans ce cadre, le CSDI anime et coordonne les missions définies par le département du contrôle et de procédures du service de la sécurité de défense et des systèmes d\'information, avec les officiers de sécurité et les officiers de sécurité des systèmes d\'information des bureaux de sécurité de ces organismes extérieurs.

3. ORGANISATION.

3.1. Le service de la sécurité de défense et des systèmes d'information.

Le service de la sécurité de défense et des systèmes d\'information comprend, outre le bureau de sécurité du service central de la modernisation et de la qualité (SMQ) qui assume au profit du chef de ce service les tâches précisées dans les instructions citées en référence :

• le départementdu contrôle et des procédures ;
  
• le département des opérations de sécurité de défense ;
  
• le département des opérations de sécurité des systèmes d\'information.

Le département des opérations de sécurité de défense  rassemble les officiers de sécurité adjoints de direction qui suppléent les officiers de sécurité de direction.

Le département des opérations de sécurité des systèmes d\'information rassemble les officiers de sécurité des systèmes d\'information (OSSI) des directions.

3.2. Le centre de la sécurité de défense et des systèmes d'information.

Le centre de la sécurité de défense et des systèmes d\'information (CSDI) comprend les bureaux sécurité des organismes extérieurs de la DGA relevant de la compétence du centre ainsi que les officiers de sécurité adjoints, les officiers de sécurité des systèmes d\'information (OSSI) et les OSSI adjoints de ces organismes extérieurs.

4. DIRECTION.

4.1. Le chef du service.

Le chef du service de la sécurité de défense et des systèmes d\'information est responsable des activités de l\'ensemble du service. Il veille à ce que les moyens du service soient utilisés au mieux pour l\'accomplissement de ses missions.

Il est responsable de la tenue des objectifs qui lui ont été fixés, devant le délégué général pour l\'armement ou l\'adjoint du délégué général pour l\'armement plus particulièrement chargé de superviser les activités de la DGA en matière de sécurité de défense et des systèmes d\'information.

Le chef du SSDI nomme les officiers de sécurité des établissements extérieurs de la DGA.

4.2. L'adjoint sécurité industrielle.

Le chef du service dispose d\'un adjoint chargé de la sécurité industrielle. Cet adjoint est par ailleurs en charge d\'un département du SSDI.

L\'adjoint chargé de la sécurité industrielle remplace le chef de service en cas d\'absence ou d\'empêchement. Il le seconde et peut recevoir, de celui-ci, des habilitations relatives au fonctionnement du service ou à la gestion de ses moyens.

4.3. Les collaborateurs immédiats du chef de service.

Le chef de service dispose des chefs de département qui participent directement à l\'exécution des missions du service et dont les attributions sont détaillées ci-après. Il dispose également d\'un chargé de mission sécurité internationale et de spécialistes pour l\'aide aux décisions dans les domaines des ressources humaines, de la qualité et du contrôle interne.

4.4. Le chef du centre de la sécurité de défense et des systèmes d'information.

Le chef du centre de la sécurité de défense et des systèmes d\'information est le responsable des activités du centre. Il veille à ce que les moyens du centre soient utilisés au mieux pour l\'accomplissement de ses missions.

Il est responsable, devant le chef du service de la sécurité de défense et des systèmes d\'information, de la tenue des objectifs qui lui ont été fixés par lui.

Le chef du centre de la sécurité de défense et des systèmes d\'information dispose d\'un adjoint qui le seconde et le remplace en cas d\'absence ou d\'empêchement.

L\'adjoint est plus spécialement chargé de la sécurité des systèmes d\'information. Il est l\'officier de sécurité des systèmes d\'information du service central de la modernisation et de la qualité (SMQ) et du centre technique des systèmes d\'information (CTSI).

5. LES ENTITÉS DU SERVICE.

5.1. Le département du contrôle et des procédures.

Les missions du département du contrôle et des procédures concernent :

• la politique de la réglementation, le référentiel documentaire, la protection des points d\'importance vitale ;
  
• les affaires internationales et programmes ;
  
• les audits, contrôles et l\'analyse des incidents en matière de sécurité de défense et des systèmes d\'information.

Le département est composé du bureau de la politique et de la réglementation, du bureau affaires internationales et programmes et du bureau audits et contrôles.

5.1.1. Le bureau de la politique et de la réglementation.

Les missions du bureau de la politique et de la réglementation sont :

• la veille technologique et diffusion des informations ;
  
• la veille réglementaire, la diffusion des textes et la tenue à jour du référentiel de la fonction sécurité de défense et sécurité des systèmes d\'information en cohérence avec les référentiels applicables (textes réglementaires, référentiels DGA et processus) ;
  
• la préparation de l\'avenir ;
  
• la définition des concepts et doctrines en matière de sécurité de défense et de l\'information ;
  
• la préparation de la politique de sécurité de défense et de sécurité des systèmes d\'information relative aux équipements de défense ;
  
• la participation à l\'élaboration des textes réglementaires et la représentation dans les instances externes à la DGA, nationales et internationales ;
  
• l\'élaboration et la diffusion des consignes de sécurité aux partenaires industriels de la DGA ;
  
• la définition des fonctions et des responsabilités des acteurs de la sécurité de défense et de la sécurité des systèmes d\'information, y compris en ce qui concerne les sites et antennes relevant d\'entités éloignées ;
  
• l\'identification des ressources humaines et matérielles nécessaires ;
  
• la définition des méthodes de travail au sein de la DGA permettant d\'harmoniser les pratiques ;
  
• l\'organisation et l\'animation du réseau COSMIC et du réseau FOCAL ;
  
• la protection des points d\'importance vitale (PIV), l\'élaboration de la politique de sécurité opérationnelle (PSO) de la DGA, la proposition de la liste des PIV et de sa mise à jour, la participation à l\'élaboration des plans particuliers de protection ;
  
• l\'instruction des demandes de création de zones protégées et de zones réservées ;
  
• l\'identification de l\'autorité qualifiée si nécessaire (systèmes d\'information relevant de plusieurs autorités qualifiées) et proposition de l\'autorité d\'homologation des systèmes d\'information ;
  
• la diffusion des consignes et alertes particulières.

5.1.2. Le bureau affaires internationales et programmes.

Les missions du bureau affaires internationales et programmes sont :

• la préparation de l\'avenir (international et déroulement des programmes) ;
  
• la participation à l\'élaboration des textes réglementaires et la représentation dans les instances externes à la DGA (international et spécifique programme) ;
  
• la participation aux revues de programmes.

5.1.3. Le bureau audits et contrôles.

Les missions du bureau audits et contrôles sont :

• l\'élaboration du programme des actions de surveillance internes ;
  
• la synthèse des recommandations issues des actions de surveillance et diffusion interne pour exploitation ;
  
• la conduite d\'audits et inspections internes ;
  
• la préparation des inspections en liaison avec la DPSD et la participation aux inspections DPSD (et/ou SGDSN) ;
  
• la définition des méthodes d\'audits et de contrôle au sein de la DGA.

5.2. Le département des opérations de sécurité de défense.

Les missions du département des opérations de sécurité de défense sont :

• la sécurité de défense et de l\'information ;
  
• la sécurité industrielle ;
  
• les affaires internationales.

5.2.1. Le bureau de la sécurité de défense et de l'information.

Les missions du bureau de la sécurité de défense et de l\'information sont :

• la gestion des habilitations ;
  
• la prise en compte des informations relatives aux habilitations gérées par les sites de province ;
  
• la coordination de la formation et de la sensibilisation ;
  
• l\'organisation de la sensibilisation des sites parisiens ;
  
• la gestion des informations classifiées de défense ;
  
• la gestion du bureau COSMIC principal et du bureau FOCAL principal ;
  
• la gestion des documents spéciaux ;
  
• l\'interface avec le service parisien de soutien de l\'administration centrale (SPAC) pour la gestion des sites parisiens ;
  
• le recensement et suivi des homologations relevant de l\'autorité qualifiée DGA des systèmes d\'information.

5.2.2. Le bureau de la sécurité industrielle.

Les missions du bureau de la sécurité industrielle sont :

• le conseil et l\'assistance en matière de sécurité industrielle dans les achats publics ;
  
• la gestion des habilitations des personnes morales ;
  
• la gestion des habilitations des personnes physiques ;
  
• l\'élaboration et la gestion des annexes de sécurité aux marchés classés ou à clauses de sécurité.

5.2.3. Le bureau affaires internationales.

Les missions du bureau affaires internationales sont :

• l\'application des accords et réglements de sécurité internationaux ;
  
• l\'élaboration des documents de sécurité, certificats de courrier, plans de transport ;
  
• la gestion des demandes de visite, stages, recrutement de ressortissants étrangers.

5.3. Le département des opérations de sécurité des systèmes d'information.

Les missions du département « opérations de sécurité des systèmes d\'information » sont :

• la gestion, la fourniture et la mise à disposition des moyens de chiffrement ;
  
• la tenue d\'un catalogue des outils de chiffrement autorisés ;
  
• la centralisation des demandes et la prise en compte des besoins en liaisons sécurisées ;
  
• l\'organisation de l\'installation et de la maintenance des matériels et réseaux spécifiques ;
  
• la gestion des articles contrôlés de la SSI (ACSSI) de la DGA.

5.3.1. Les officiers de sécurité des systèmes d'information.

Ce département des opérations de sécurité des systèmes d\'information rassemble les officiers de sécurité des systèmes d\'information (SSI) des directions qui ont pour mission :

• la prise en compte de la SSI au sein de la direction ;
  
• l\'établissement des consignes particulières d\'exploitation en matière de gestion des droits d\'accès aux ressources informatiques ;
  
• le maintien en condition de sécurité des systèmes d\'information de la direction et la contribution à l\'amélioration de la SSI au sein de l\'organisme ;
  
• la gestion des supports magnéto optiques classifiés de défense (acheminement, concervation, duplication, inventaires annuels, ...) ;
  
• la gestion des équipements informatiques classifiés de défense (disques durs, ordinateurs portables, ...) ;
  
• l\'homologation des systèmes d\'information de la direction ;
  
• de contribuer à l\'amélioration de la SSI au sein de la direction.

6. LES ENTITÉS DU CENTRE.

6.1. Les bureaux sécurité.

Relevant du centre, ils assurent au profit de l\'officier de sécurité de l\'organisme extérieur les fonctions définies ci-après.

6.1.1. Soutien en sécurité de site :

a) Dans le domaine du renforcement de la sécurité de défense :

• assurer la sécurité physique du site et des bâtiments et leur intégrité périmétrique ;
  
• rédiger et tenir à jour le plan particulier de protection du PIV.

b) Dans le domaine de la surveillance et de l\'intervention :

• émettre les consignes générales et particulières du site, conformément à la réglementation et en complément du règlement intérieur du site, et les faire respecter ;
  
• mettre en application pour le site les mesures gouvernementales relatives aux différents plans d\'alerte ;
  
• contrôler le gardiennage du site et de ses installations ;
  
• centraliser toutes les alarmes, intervenir sur leur déclenchement et informer la direction de site de ces déclenchements hors des heures ouvrables ;
  
• contrôler les prestations de nettoyage, de travaux, d\'installation et de maintenance dans les zones réservées.

c) Dans le domaine du filtrage :

• contrôler tous les accès au site conformément aux procédures établies et en cohérence avec les avis et fiches de prévention émises par les services de sécurité ;
  
• délivrer un badge nominatif à chacun des personnels des organismes affecté sur le site selon la procédure établie et après sensibilisation dans le cadre d\'un circuit arrivée ;
  
• délivrer un badge nominatif à tout personnel de l\'administration dont le besoin d\'accès sur le site aura été validé par un ou plusieurs organismes (résidants temporaires) ;
  
• délivrer les autorisations d\'accès et de stationnement pour les véhicules privés en fonction des règles établies et dans la limite des places disponibles ;
  
• gérer l\'accès des visiteurs français et visiteurs étrangers ressortissants de l\'Union Européenne à partir des avis de visites émis par les organismes ;
  
• filtrer l\'accès au site des visiteurs étrangers hors Union Européenne à partir des avis de visites établis selon les procédures internationales.

d) Dans le domaine du soutien :

• assurer la fonction PC TELEC comme position de quart pour les messages MUSE.

6.1.2. Soutien en sécurité de défense.

a) Assurer le soutien de l\'officier de sécurité du service extérieur de la DGA :

Les bureaux sécurité du CSDI mettent à disposition des officiers de sécurité les informations et les dossiers nécessaires à l\'exécution de leurs fonctions et de leurs responsabilités.

Ils rendent compte mensuellement (tableau de bord) des tâches exécutées à leur profit.

L\'officier de sécurité de chaque centre de la DGA peut en permanence avoir accès aux documents nécessaires à l\'exécution de sa mission.

b) Contribuer à la protection du personnel du centre :

le bureau sécurité :

• élabore le catalogue des emplois à partir des éléments fournis par l\'officier de sécurité ;
  
• assure la gestion des habilitations au niveau national, Organisation du traité de l\'Atlantique Nord (OTAN), Union de l\'Europe occidentale (UEO), agrément de sécurité des systèmes d\'information (SSI - CHIFFRE) et des contrôles élémentaires ;
  
• assure la formation des personnels nouvellement habilités ainsi que leur sensibilisation sur ces questions ;
  
• informe l\'officier de sécurité du centre sur sa demande.

c) Contribuer à la protection des informations classifiées de défense ou sensibles du centre de la direction technique (DT) :

le bureau sécurité :

• effectue la gestion des supports classifiés « secret défense » ou de classification équivalente (acheminement, conservation, reprographie, duplication, inventaires annuels, destruction ....) du centre de la DGA ;
  
• effectue la gestion des supports classifiés « confidentiel défense » (conservation, reprographie, duplication...) du centre de la DGA ;
  
• organise la protection physique des supports d\'informations classifiés cités ci-dessus au sein du centre de la DT dans les phases de réception de ces supports.

d) Assurer le traitement des demandes de déplacements à l\'étranger :

le bureau sécurité assure la gestion des demandes du groupe multinational de sécurité industrielle des personnels du centre.

e) Conduire les actions de progrès en sécurité de défense et de l\'information du centre :

le bureau sécurité :

• établit et tient à jour la monographie de sécurité et les dossiers de sécurité des systèmes d\'information du centre selon les directives de l\'officier de sécurité de centre et les soumet à son approbation ;
  
• assiste l\'officier de sécurité du centre dans la préparation des audits et des inspections de sécurité ;
  
• organise les audits et les contrôles internes selon les directives et le contrôle de l\'officier de sécurité ;
  
• recense et traite les incidents de sécurité ;
  
• assiste l\'officier de sécurité du centre dans la préparation et l\'exécution des actions correctives ou d\'amélioration de la sécurité ;
  
• établit les tableaux de bord selon les directives de l\'officier de sécurité du centre et lui prépare le compte rendu annuel.

6.2. Les officiers de sécurité adjoints.

Les officiers de sécurité adjoints assurent ou supervisent au profit des chefs des organismes extérieurs de la DGA relevant de la compétence du centre et de son officier de sécurité, les tâches réalisées par le bureau sécurité décrites au paragraphe précédent.

Les officiers de sécurité adjoints suppléent les officiers de sécurité.

---

6.3. Les officiers de sécurité des systèmes d'information et les OSSI adjoints.

Les officiers de sécurité des systèmes d\'information (assistés de l\'OSSI adjoint) assurent au profit des chefs des organismes extérieurs relevant de la compétence du centre, les fonctions décrites au point 5.3.1.

7. Texte abrogé.

La troisième édition de l\'instruction DGA n° 89 ⁽²⁾ relative à l\'organisation du département central de sécurité de défense et de l\'information approuvée le 16 mars 2005 est abrogée.

Le chef du service de la sécurité de défense et des systèmes d\'information et le chef du centre de la sécurité de défense et des systèmes d\'information sont chargés de l\'application de la présente instruction, qui sera publiée au Bulletin officiel des armées.