Arrêté du 1er août 2016 portant approbation de la politique générale de sécurité des systèmes d'information pour les ministères économiques et financiers
| Jurisdiction | France |
| Record Number | JORFTEXT000033057599 |
| Date de publication | 23 août 2016 |
| Enactment Date | 01 août 2016 |
| Publication au Gazette officiel | JORF n°0195 du 23 août 2016 |
| Court | Ministère des finances et des comptes publics |
| ELI | https://www.legifrance.gouv.fr/eli/arrete/2016/8/1/FCPP1622039A/jo/texte |
Le ministre des finances et des comptes publics et le ministre de l'économie, de l'industrie et du numérique,
Vu le code de la défense, notamment ses articles L. 2321-1 et R. 1143-1 à R. 1143-8 ;
Vu la circulaire du Premier ministre du 17 juillet 2014 portant la politique de sécurité des systèmes d'information de l'Etat,
Arrêtent :
La politique générale de sécurité des systèmes d'information pour les ministères économiques et financiers, ci-après annexée, est approuvée.
Le présent arrêté sera publié au Journal officiel de la République française.
Secrétariat général des ministères économiques et financiers
Service du haut fonctionnaire de défense et de sécurité
Politique générale de sécurité des systèmes d'information (PGSSI) des ministères économiques et financiers
Juillet 2016
TABLE DES MATIERES
Synthèse managériale
Contexte et périmètre
Contexte et terminologie
Objectifs
Périmètre
Exclusions
Dérogations
Date d'effet et révision
Principes généraux
Classifications
Conformités
Subsidiarité de l'analyse de risque
Homologations
Surveillance et contrôles
Gestion des incidents
Plans de continuité et de reprise d'activité
Cloisonnements
Culture sécurité
Standardisation
Organisation
Acteurs habilités
Coordinations croisées
Procédure d'homologation de sécurité
Avis et standards
Glossaire
Synthèse managériale
Depuis l'élaboration de la première version de la politique de sécurité des systèmes d'information des ministères économiques et financiers (MEF) en 2008, les réformes successives de l'État ont modifié en profondeur l'organisation et les missions des MEF. Ces changements ont eu pour conséquence de diversifier sensiblement :
- les métiers des ministères (missions économiques, budgétaires, fiscales, achat, de police judicaire, de contrôle de la concurrence et de protection du consommateur, statistiques, de lutte contre la fraude, de gestion de la trésorerie et de la dette de l'État...) ;
- la réglementation applicable (code monétaire et financier, des douanes, de la consommation, des impôts, loi informatique et liberté, code de procédure pénale, LOLF...) ;
- les technologies déployées en matière informatique dans les directions ;
- les approches et les priorités en termes de sécurité des systèmes d'information dans chaque direction.
Dans cet environnement, la sécurité et la disponibilité du patrimoine informationnel des MEF et des systèmes d'information sous-jacents deviennent stratégiques pour la performance de l'institution. Ces ministères doivent pouvoir garantir aux usagers, aux entreprises et à leurs partenaires la sécurité et la fiabilité de ses systèmes tout en gardant une agilité nécessaire à son développement. Ces systèmes d'information sont soumis à des menaces en constante évolution, tout en se complexifiant de plus en plus par leur nécessaire ouverture, les besoins de mobilité et l'apport de nouvelles technologies différenciatrices en support aux activités métiers.
Ainsi, pour répondre à ces enjeux dans la continuité de l'impulsion de la PSSI Etat (circulaire Premier ministre du 17 juillet 2014), les MEF se dotent d'une politique de sécurité de systèmes d'information applicable à l'ensemble de leurs entités et permettant une vision commune consolidée de leur sécurité.
Elle repose sur deux éléments fondateurs :
- une approche de la sécurité par les risques permettant un alignement des mesures de sécurité avec un ensemble de risques à couvrir, liés aux enjeux métiers. L'homologation des systèmes d'information est un dispositif clé de voute pour enclencher cette démarche et permettre la maîtrise de ces risques ;
- la mise en œuvre d'un système de management de la sécurité de l'information (SMSI) permettant d'assurer un pilotage efficace et en amélioration continue des activités de sécurité, prenant en compte les évolutions de l'organisation et les contraintes auxquelles elle est soumise.
L'application de cette politique revêt un enjeu majeur pour les MEF. Pilotée par la filière Sécurité des Systèmes d'Information, elle est l'un des vecteurs majeurs du développement d'une culture sécurité à tous les niveaux des ministères et entités rattachées.
Contexte et périmètre
Contexte et terminologie
Les informations, ainsi que les Systèmes d'Information (SI) qui permettent de les traiter, constituent une part essentielle du patrimoine des ministères économiques et financiers (MEF).
Ces systèmes d'information sont exposés à des risques et menaces (accidents, erreurs et malveillances) pouvant porter atteinte aux activités des MEF. Ces menaces évoluent en permanence, alors que l'exposition et la complexité des systèmes d'information ainsi que leur interdépendance ne font que croître, avec des besoins d'ouverture, d'évolution et de flexibilité toujours plus importants.
La Sécurité des Systèmes...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI