Une circulaire introductive de la PSSIE au préambule creux... Circ. n°5725/SG, 17 juillet 2013, politique de sécurité des systèmes d’information de l’État

Le 26 août 2014, par Geneviève Koubi,

Mise en ligne sur www.circulaires....gouv.fr le 22 août 2014, la circulaire n°5725/SG du Premier ministre du 17 juillet 2013 relative à la politique de sécurité des systèmes d’information de l’État comporte en annexe un document « fixant un ensemble de règles de protection applicables aux systèmes d’information de l’État ».

Il est signalé que : « Ces règles sont élaborées par l’ANSSI (Agence nationale de la sécurité des sysèmes d’information de l’État) en liaison avec les ministères. Il leur est demandé d’appliquer cette politique de sécurité des systèmes d’information de l’État aux systèmes d’information de chacun de leur ministère » [1]. En quelque sorte, la circulaire a été publiée essentiellement pour porter à la connaissance de tout public la teneur de ces règles.

En fait, le résumé de cette circulaire du 17 juillet 2014 présenté sur le site de l’ANSSI est plus élaboré : « Portée par une circulaire du Premier ministre signée le 17 juillet 2014, la PSSIE fixe les règles de protection applicables aux systèmes d’information de l’État. Ce document est l’aboutissement de travaux pilotés par l’ANSSI qui s’appuient sur l’expérience des participants ministériels et de l’Agence en matière de prévention et de réaction aux attaques informatiques. Essentiels à l’action publique, les systèmes d’information sont porteurs d’efficacité, mais aussi de risques : menaces d’exfiltration de données confidentielles, d’atteinte à la vie privée des usagers, voire de sabotage des systèmes d’information. Afin de prendre en compte ces risques, le Premier ministre a défini une politique volontariste, mais également pragmatique par laquelle l’État affiche sa volonté de se montrer exemplaire en matière de cybersécurité. La PSSIE décline dix principes fondamentaux portant sur le choix d’éléments de confiance pour construire les systèmes d’information, sur la gouvernance de la sécurité et sur la sensibilisation des acteurs. Parmi ces principes, la circulaire met en exergue la nécessité pour les administrations de l’État de recourir à des produits et à des services qualifiés par l’ANSSI ainsi qu’à un hébergement sur le territoire national de leurs données les plus sensibles. Chaque ministère est désormais responsable de l’application de la PSSIE qui entre en vigueur immédiatement. Celle-ci a également été conçue pour constituer une base méthodologique pour tout organisme ou institution, extérieur à l’État, ayant à élaborer un document de cette nature. »

.

Bien que ne relevant que de la catégorie des ’mesures d’organisation des services retenues par le ministre pour la mise en œuvre des dispositions dont il s’agit’, cette circulaire qui ne fait donc qu’introduire le document annexé (de 41 pages), insiste sur les principes de base d’une vigilance constante à l’égard du déploiement numérique dans les administrations centrales. Elle voudrait rendre compte des stratégies générales d’un mode de gouvernement qui s’appuie de plus en plus sur les systèmes d’information, lesquels sont estimés « indispensables à l’efficacité de l’action publique ». Or la vulnérabilité de tels systèmes nécessite en effet des protections tant espionnage, piratage, cybercriminalité, etc., se multiplient de par le monde. Dès lors, seul le document de l’ANSSI ainsi rattaché à la circulaire elle-même revêtirait de l’importance, en dépit de son caractère technique [2] – et malgré les non-dits qui le sous-tendent.

Le texte de la circulaire, tel que directement signé par le Premier ministre, prend donc la forme d’une introduction au document de politique de sécurité des systèmes d’information de l’État. Il enjoint les administrations centrales (et déconcentrées) plus que les membres du gouvernement à respecter scrupuleusement les consignes qui y sont détaillées. Il évoque notamment « les principes de sécurité incontournables » énoncés dans le préambule du document et insiste sur deux d’entre eux : « l’obligation d’acquérir des produits et des services labellisés par l’ANSSI et l’hébergement des données sensibles sur le territoire national ». S’intéresser plus particulièrement à ce préambule en tant qu’il présenterait les « principes stratégiques » - au nombre de 10 [3]- s’ensuit...

.

La politique de sécurité – et de défense [4] – des systèmes d’information de l’État (PSSIE [5]) détiendrait quelques finalités particulières.

La première, logique, est d’« assurer la continuité des activités régaliennes » ; la deuxième, ambiguë et énigmatique dans ce schéma, est « de prévenir la fuite des informations sensibles » [6] ; la troisième, quelque peu incongrue dans ce cadre particulier parce que s’insinuant dans un tout autre domaine qui dépasse les seules activités régaliennes, est de « renforcer la confiance des citoyens et des entreprises dans les téléprocédures » [7]. Si ces trois orientations ne répondent pas aux mêmes enjeux, elles sont réunies autour d’une fonction de prévention et de traitement des ’risques’.

Pour que ces trois objectifs puissent être intégralement assurés, dix principes dits « stratégiques » sont alignés dans le préambule du document de PSSIE. Ils sont, par la suite, expliqués, notifiés et complétés dans la deuxième partie concernant les objectifs et les règles [8]. Cependant, à la lecture de la liste de ces principes, le terme ’stratégique’ ne semble pas adéquat. Le titre donné au document en apparaît alors fallacieux.

Ces principes retraduisent plus des directives, consignes ou instructions, générales à l’attention des administrations et de leurs agents que d’une politique globale de sécurité des systèmes d’information. D’ailleurs, cette adresse est inscrite dans le préambule du document : « La PSSSIE s’adresse à l’ensemble des agents de l’État, et tout particulièrement : - aux autorités hiérarchiques qui sont responsables de la sécurité des informations traitées au sein de leurs services ; - aux agents chargés des fonctions de directeurs des systèmes d’information ; aux personnes chargées de la sécurité et de l’exploitation des systèmes d’information ». En fait, dans la première partie du document de PSSIE de l’ANSSI, la détermination du champ d’application de l’instruction confirme cette perspective puisque « la PSSIE concerne l’ensemble des personnes physiques ou morales intervenant dans les systèmes d’informations des administrations de l’État qu’il s’agisse des administrations de l’État et de leurs agents ou bien de tiers (prestataires ou sous-traitants) et de leurs employés » [9].

Ces principes, énumérés de P1 à P10, tournent autour de quelques règles qui semblent évidentes [10] en même temps qu’insolites [11] - qui n’ont que peu de qualité stratégique [12].

Par exemples : - en P1 il est annoncé que : « Lorsque la maîtrise des systèmes d’information l’exige, l’administration fait appel à des opérateurs et des prestataires de confiance ». Est-ce à dire qu’il existerait des systèmes d’information exploités par l’administration qui n’exigeraient pas de telles précautions ? En ces temps qui encensent la privatisation et l’externalisation, comment déterminer un opérateur ou un prestataire de ’confiance’ ? Sur ce point, c’est vers l’ANSSI qu’il faut se tourner [13] ; - en P3 il est précisé que : « Les moyens humains et financiers consacrés à la sécurité des systèmes d’information de l’État doivent être planifiés, quantifiés et identifiés au sein des ressources globales des systèmes d’information ». L’imprévu, l’accidentel, l’exceptionnel et l’urgent peuvent-ils l’être ? La réponse à cette question se situe dans les développements présentés dans la première partie du document général (seule partie formée en ’articles’). A l’article 6 sont évoqués les cas dans lesquels une évolution de la PSSIE est nécessaire : "menaces et retours d’expérience" ; "analyses de risques et actions découlant de contrôles ou d’inspections" ; "évolution des contextes organisation, juridique, réglementaire et technologique" [14]. A l’article 10 est signifiée la "rapidité des attaques informatiques" et on passe à "une stratégie de traitement des incidents et de gestion de crise", en prenant en considération des "situations d’urgence" [15] ; et, - en P5, pourquoi donc transformer en principe ce qui est une règle posée en droit : « Les opérations de gestion et d’administration des systèmes d’information de l’État doivent être tracées et contrôlées » ?

.

Nul doute que la lecture du préambule, auquel fait principalement référence la circulaire proprement dite, c’est-à-dire le texte introductif signé par le Premier ministre, ne suffit pas pour se saisir du sens « stratégique » donné au document de l’ANSSI...

..

.

Notes :

[1] Extrait du résumé sur www.circulaires....gouv.fr.

[2] Notamment en sa deuxième partie.

[3] V. p. 4-5 du doc.

[4] Ce terme est introduit à l’article 7 de la première partie du document annexé concernant l’organisation de l’État pour la mise en application de la politique de sécurité des systèmes d’information (p. 8). Dans ce schéma, le haut fonctionnaire de défense et de sécurité se trouve directement concerné.

[5] On peut penser à un certain psschhhhitttt...

[6] Ce qui renverrait au décret n° 2007-914 du 15 mai 2007 pris pour l’application du I de l’article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (récemment modifié,cf. SIREX).

[7] On devine toutefois que ce sont là surtout les entreprises qui sont visées...

[8] En introduction à cette 2ème partie, en caractère italique gras : « Les 10 principes stratégiques à la base de la PSSIE sont traduits en objectifs à atteindre. Des règles permettant de contribuer à la réalisation de chaque objectif sont énoncés » (p. 12).

[9] Art. 2 - p. 7 du doc.

[10] En P6 : « La protection des systèmes d’information doit être assurée par l’application rigoureuse de règles précises. Ces règles font l’objet de la présente PSSIE ».

[11] En P8 : « Les administrateurs des systèmes d’informations doivent appliquer, après formation, les règles élémentaires d’hygiène informatique ».

[12] Sauf, peut-être, en P10 : « Les informations de l’administration considérées comme sensibles, en raison de leurs besoins en confidentialité, intégrité ou disponibilité, sont hébergées sur le territoire national ». Bien des informations, tout aussi sensibles seraient-elles, mais non considérées comme telles par l’administration, ne le seraient point...

[13] V. sur le site de cette agence : Qualification des prestataires de services de confiance et Prestataires de services de confiance qualifiés.

[14] p. 8.

[15] p. 11.

Droit cri-TIC ou Droit cri TIC

Cri TIC, cri-TIC en Droit. Cri-TIC de droit : critique du droit, droit de la critique, droit à la critique, droit critique.

La forme interrogative étant un des signes de l’esprit critique qui anime toute recherche et parcourt tout enseignement, ce site a pour objet, en quelques articles ou brèves, de faire part de questionnements, incomplets et inachevés, sur des thèmes diversifiés... en Droit certes, mais aussi à côté ou aux alentours du Droit.

Pr. Geneviève Koubi

Dans la même rubrique

La promotion de la diversité au rapport...
Contrefort et confort d’un gouvernement législateur
Les édifices du culte sous éclairage administratif
Repérage du décrocheur, repêchage du repéré ?
Affaire hippo-tée-TIC : Enseignant-chercheur c/. président d’Université
Mathieu Touzeil-Divina La doctrine publiciste (1800-1880) - Eléments de patristique administrative
La doctrine administrative officielle en dossiers thématiques
Au risque d’une rentrée ... agrippée aux circulaires
Droit de l’éducation Temps grippal : le maintien de la continuité pédagogique
Validation jurisprudentielle du site "circulaires.gouv.fr"
Contrôle fiscal sous sentinelle ministérielle
Cours - Exercice. Codification. Notion de “droit constant”
Circulaires recalées ? Une au moins : la circulaire du 24 juillet 2008 sur les fonctionnement et pilotage des Centres d’accueil pour demandeurs d’asile.
Détours extérieurs au Conseil d’Etat
Instructions du Gouvernement et circulaires administratives
Archives administratives : où vont les circulaires effacées ?
Rapports entre rapports. Dernier rapport du Médiateur de la République / 5ème rapport d’étape RGPP
La date de mise en ligne n’est pas le point de départ du délai de recours...
A la recherche des circulaires non publiées...
Entrée en vigueur d’un acte réglementaire différée pour les entreprises...
Fouille en garde à vue...
Centraliser la production du droit et simplifier la présentation du droit
A la recherche de la publication officielle d’une circulaire...
Nuances circulaires ... Par exemple : la lutte contre les dérives sectaires
Circulaires : L’application immédiate dispense-t-elle de publication ?
La procédure consultative à l’heure d’internet
Les "actes administratifs" aux armées...
Amalgames organisés autour du "service public" en milieu rural !
Etat d’un Code de la sécurité intérieure...
L’efficience recherchée de l’édition étatique.
Des décrets et des arrêtés en pagaille...
Circulaire en mots-valises de logement social ... aux couleurs de la RGPP !
L’allocation de reconnaissance à l’aune des circulaires...
Contrats de partenariat en collectivité locale
Le "rapporteur public" prend "note" et donne "sens".
Une "doctrine DGOS" ?
Le prix du gaz… ou l’entreprise privée GDF Suez, une existence dépourvue de fondement juridique.
La privatisation de GDF sans loi et ses conséquences actuelles
La politique pénale, objet d’une circulaire ... en l’attente d’une loi nouvelle.
Circulaire au bulletin officiel par-delà le site circulaire...gouv.fr ?
L’organisation du travail entre Etat et ARS en temps d’astreinte.
Les Mesdemoiselles déboutées...
De l’influence du vice dans la procédure administrative...
Croisements entre circulaire et décisions de justice (CE et CC QPC)
Des circulaires abrogées parce que non mises en ligne au 1er mai 2009...
Relations entre administrations et administrés. A codifier ?!
Epilogue ou étape ? Sur le rapport du "rapporteur public" (CEDH, 4 juin 2013, F. M-A c/ France - n° 54984/09)
Gel en été : "le gel de la réglementation"
A propos des textes publiés aux Bulletins officiels...
Dialogue ’interne’ dans la gendarmerie
Caractère réglementaire ou impératif d’une circulaire en "indisposition passagère" ?
- Le Conseil d’Etat correcteur de l’inintelligibilité de dispositions recodifiées
Sécurité des activités d’importance vitale et plan Vigipirate.
Quand la circulaire vient "avant" l’acte règlementaire qu’elle met en oeuvre...
Les références de/dans les circulaires
Décalage en dates ... pour enquête administrative et procédure disciplinaire
Modification d’une circulaire... une méthode peu intelligible.
Une circulaire introductive de la PSSIE au préambule creux...
Une circulaire s’intéresse (enfin !) à Ebola
Une politique managériale de l’encadrement dans les départements ministériels
De la méthode gouvernementale en "je"

À propos de cet article

Dernière mise à jour le :
26 août 2014
Statistiques de l'article :
10 visiteurs aujourd'hui
6493 visiteurs cumulés

Votre recherche

RSS 2.0 | Espace privé
Visiteurs par jour (cumul) : 4318 (3322121)