- 175 -
définition des droits d’accès aux informations, et les responsables de la
sécurité physique des locaux.
Placée sous l’autorité du HFDS ou d’une structure de sécurité
équivalente, la chaîne fonctionnelle de sécurité des systèmes d’information
est chargée de prescrire, d’appliquer et de contrôler les mesures de sécurité
nécessaires. Ces mesures doivent être proportionnées aux enjeux des
informations et des systèmes concernés et doivent avoir pour objectif la
disponibilité, la confidentialité et l’intégrité de ces informations.
L’autorité qualifiée en sécurité des systèmes d’information (AQSSI)
est responsable de la sécurité des systèmes d’information pour une structure
donnée (service, direction d’un ministère, organisme ou établissement
relevant d’un ministère, etc.). Elle est désignée par le ministre et ne peut
déléguer sa responsabilité. Elle peut néanmoins se faire assister par un ou
plusieurs agents, responsables ou officiers de sécurité des systèmes
d’information (ASSI, RSSI ou OSSI) qui assurent principalement des
fonctions opérationnelles en ce domaine.
Après une évaluation des risques, l’autorité responsable procède à
l’homologation du système d’information qui certifie que sa protection, et
celle des informations qu’il contient, sont assurées au niveau requis :
- pour le niveau « très secret-défense », l’autorité d’homologation est
le SGDSN ;
- pour les niveaux inférieurs, l’autorité d’homologation est désignée
par l’autorité qualifiée. Il s’agit en principe de l’autorité chargée de l’emploi
du système d’information, mais l’autorité qualifiée peut se désigner
elle-même.
L’autorité d’homologation met en place une commission ad hoc à
laquelle l’ANSSI peut participer en sa qualité d’autorité nationale en matière
de sécurité des syst��mes d’information.
1. À la DGSE
Afin d’assurer la protection des données informatiques sensibles, les
agents bénéficient de droits d’accès définis suivant les fonctions qu’ils
occupent et leur besoin d’en connaître. Chaque agent accède au système
d’information du service à l’aide d’une carte à puce individuelle, ce qui
permet à la direction technique de tracer les actions qu’il effectue.
S’agissant des prestataires du service, ils font l’objet d’une enquête
administrative préalable, suivant le type de prestations à réaliser. Leurs
prestations peuvent nécessiter des interventions sur site ou la manipulation
d’informations classifiées (administration de systèmes industriels et
techniques classifiés, par exemple) ; le cas échéant, des postes informatiques
dédiés sont mis à leur disposition, et ce uniquement dans l’enceinte du