Allez au contenu, Allez à la navigation



Projet de loi de finances pour 2012 : Coordination du travail gouvernemental

17 novembre 2011 : Budget 2012 - Coordination du travail gouvernemental ( avis - première lecture )
2. L'enjeu de la sécurité des systèmes d'information

Créée par le décret n° 2009-834 du 7 juillet 2009, l'Agence nationale de la sécurité des systèmes d'information a la responsabilité de conduire et de coordonner les actions de sécurité des systèmes d'information de l'État mais aussi des opérateurs privés d'importance vitale. Elle échappe très largement à la rigueur budgétaire du projet de loi de finances pour 2012. La progression des crédits doit notamment permettre le développement du centre opérationnel de sécurité des systèmes d'information, destiné à repérer et à répondre aux attaques informatiques, centre qui comprend lui-même un centre de détection précoce des attaques informatiques (opérationnel depuis 2010) et couvre l'ensemble des systèmes d'information de l'État, ainsi que le développement des activités d'inspection de la sécurité des divers systèmes d'information des administrations.

Selon le projet annuel de performance du programme, au terme de sa montée en puissance, prévue à hauteur de 357 emplois en 2013, l'Agence devrait représenter 50 % des effectifs du Secrétariat général, contre plus de 30 % en 2011. L'Agence dispose de 179 emplois au 30 juin 2011 et devrait atteindre 212 emplois à la fin de l'année 2011 et 292 à la fin de l'année 2012, dont une majorité de contractuels.

L'Agence est un service à compétence nationale rattaché au secrétaire général de la défense et de la sécurité nationale, qu'elle assiste dans ses missions en matière de sécurité des systèmes d'information. Elle reçoit pour son fonctionnement des crédits du Secrétariat général de la défense et de la sécurité nationale. Elle a pris la suite de la direction centrale de la sécurité des systèmes d'information, qui avait été créée au sein du Secrétariat général de la défense nationale par le décret n° 2001-693 du 31 juillet 2001. L'Agence assure également le secrétariat du comité stratégique de la sécurité des systèmes d'information, chargé de proposer les orientations stratégiques en matière de sécurité des systèmes d'information. Cette stratégie repose sur quatre objectifs : protection de l'information de souveraineté de l'État, par la sécurisation des systèmes d'information de l'État, sécurisation des systèmes d'information des opérateurs sensibles, accompagnement du développement de la société de l'information sur les enjeux de sécurité et positionnement de la France comme nation majeure en matière de cyberdéfense.

Décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information »

(...)

Article 3

L'Agence nationale de la sécurité des systèmes d'information est l'autorité nationale en matière de sécurité des systèmes d'information.

A ce titre :

- elle conçoit, fait réaliser et met en oeuvre les moyens interministériels sécurisés de communications électroniques nécessaires au Président de la République et au Gouvernement ;

- elle anime et coordonne les travaux interministériels en matière de sécurité des systèmes d'information ;

- elle élabore les mesures de protection des systèmes d'information proposées au Premier ministre. Elle veille à l'application des mesures adoptées ;

- elle mène des inspections des systèmes d'information des services de l'État ;

- elle met en oeuvre un système de détection des évènements susceptibles d'affecter la sécurité des systèmes d'information de l'État et coordonne la réaction à ces évènements. Elle recueille les informations techniques relatives aux incidents affectant les systèmes d'information de l'État ;

- elle délivre des agréments aux dispositifs et aux mécanismes de sécurité destinés à protéger, dans les systèmes d'information, les informations couvertes par le secret de la défense nationale ;

- elle participe aux négociations internationales et assure la liaison avec ses homologues étrangers ;

- elle assure la formation des personnels qualifiés dans le domaine de la sécurité des systèmes d'information.

Article 4

L'Agence nationale de la sécurité des systèmes d'information se prononce sur la sécurité des dispositifs et des services, offerts par les prestataires, nécessaires à la protection des systèmes d'information.

L'agence est en particulier chargée, par délégation du Premier ministre :

- de la certification de sécurité des dispositifs de création et de vérification de signature électronique prévue par le décret du 30 mars 2001 susvisé ;

- de l'agrément des centres d'évaluation et de la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information prévus par le décret du 18 avril 2002 susvisé ;

- de la délivrance des autorisations et de la gestion des déclarations relatives aux moyens et aux prestations de cryptologie prévues par le décret du 2 mai 2007 susvisé.

L'agence instruit les demandes d'autorisation présentées en application de l'article 226-3 du code pénal.

Article 5

L'Agence nationale de la sécurité des systèmes d'information apporte son concours aux services de l'État en matière de sécurité des systèmes d'information.

Elle apporte son soutien :

- au ministre chargé des communications électroniques dans le domaine de l'intégrité et de la sécurité des réseaux de communications électroniques ouverts au public ;

- aux ministres coordonnateurs des secteurs d'activité d'importance vitale pour la protection de la sécurité des systèmes d'information des installations d'importance vitale.

Article 6

L'Agence nationale de la sécurité des systèmes d'information favorise la prise en compte de la sécurité dans le développement des technologies de l'information et de la communication.

Elle participe à l'orientation de la recherche, des études et du développement des dispositifs et des technologies de la sécurité des systèmes d'information.

Elle contribue à la promotion des technologies et des savoir-faire nationaux en matière de sécurité des systèmes d'information.

Lors du conseil des ministres du 25 mai 2011, un plan d'action a été arrêté en faveur du renforcement de la sécurisation des systèmes d'information de l'État, à l'occasion d'une communication du Premier ministre, décidant d'accélérer la montée en puissance de l'Agence et d'amplifier l'effort dans ce domaine. Ce plan comporte notamment les mesures suivantes :

- création d'un groupe d'intervention rapide au sein de l'Agence pour réagir aux cyberattaques les plus graves ;

- développement d'une politique interministérielle de sécurité des systèmes d'information, avec la mise en place d'un réseau interministériel résilient regroupant l'ensemble des réseaux des ministères et permettant la continuité de l'action gouvernementale en cas de dysfonctionnement grave d'Internet ;

- participation à cette politique de sécurité des opérateurs publics et privés chargés d'infrastructures vitales ;

- développement de la formation et de la recherche en matière de sécurité des systèmes d'information.

La France est en effet confrontée à des attaques informatiques de grande ampleur de plus en plus fréquentes, qui concernent tant les systèmes d'information de l'État que ceux des entreprises, mettant ainsi en danger des infrastructures vitales de la nation.

Garantir la sécurité des systèmes d'information est d'une importance telle, à l'heure où les communications internes au Gouvernement passent de plus en plus par la voie numérique, qu'améliorer la sécurité des systèmes d'information de l'État figure parmi les sept objectifs (objectif n° 6) du programme « Coordination du travail gouvernemental ». Cet objectif, qui rend compte d'une part importante des crédits du programme, est assorti d'un double indicateur de performance relatif au niveau de sécurité des systèmes d'information de l'État. Cet indicateur évalue, d'une part, la maturité globale en sécurité des systèmes d'information de l'État, sur la base d'un guide méthodologique et d'un questionnaire établis par l'Agence en lien avec les ministères32(*), et, d'autre part, le niveau d'avancement des grands projets en matière de sécurité des systèmes d'information33(*), tels qu'ils ont été prévus par le Livre blanc en 2008. L'évolution de ces indicateurs, telle qu'elle figure dans le projet annuel de performance du programme, est reprise ci-après.

Évolution du niveau de sécurité des systèmes d'information de l'État

 

2009
Réalisation

2010
Réalisation

2011
Prévision
PLF 2011

2011
Prévision
actualisée

2012
Prévision

2013
Cible

Maturité globale en sécurité (note de 0 à 5)

2,98

3,29

3,35

3,50

3,70

3,90

Niveau d'avancement des grands projets interministériels

39 %

51 %

62 %

62 %

70 %

78 %


* 32 Dans cette méthodologie, l'exigence de maturité de la sécurité des systèmes d'information est plus élevée dans les ministères régaliens que dans les autres ministères.

* 33 La réalisation de ces grands projets, de nature interministérielle, a conduit à la mise en place de l'Agence : création d'un centre de détection des attaques informatiques, développement de systèmes d'information sécurisés et résilients pour assurer la continuité du travail gouvernemental, notamment en cas de crise, et développement des produits de sécurité nécessaires pour une protection adéquate des systèmes d'information de l'État.