dimanche 4 décembre 2016

Des systèmes d’information d’importance vitale - SIIV

Deux arrêtés, publiés au Journal officiel du 4 décembre 2016, évoquent les secteurs et les systèmes d’information d’importance vitale (sans doute pour des mesures de prévention d’une cyberguerre ou d’un cyberpiratage d’ampleur) :

l’arrêté du 28 novembre 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Communications électroniques et Internet » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense ;

l’arrêté du 28 novembre 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Audiovisuel et information » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense.

L’article 2 du premier de ces arrêtés, celui concernant les "communications électroniques et internet", indique que, « pour déterminer si un système d’information peut être qualifié d’importance vitale au sens des dispositions de l’article L. 1332-6-1 du code de la défense, l’opérateur d’importance vitale mène une analyse d’impacts sur ses systèmes d’information, notamment ceux relevant des types de système d’information mentionnés à l’annexe III du présent arrêté. / Lorsque, pour un type de système d’information mentionné à l’annexe III du présent arrêté, l’opérateur ne déclare aucun système d’information d’importance vitale relevant de ce type de système, il en précise les raisons. » Or, il n’y a pas d’annexe III publiée... mais existe une longue annexe I qui présente 20 règles de sécurité.

L’article 2 du second arrêté, celui relatif à l’audiovisuel et à l’information, utilise les mêmes formules. Et l’annexe III mentionnée n’est pas attachée, la longue annexe I présentant les mêmes 20 règles.

Pour l’un comme pour l’autre, ne sont pas affichées donc l’annexe II, l’annexe III, l’annexe IV (déclaration d’incident). Mais cette prédisposition est clairement exprimée dans les arrêtés eux-mêmes, en leur article 7 :

« Le directeur général de l’Agence nationale de la sécurité des systèmes d’information est chargé de l’exécution du présent arrêté qui sera publié au Journal officiel de la République française à l’exception de ses annexes II, III et IV. Ces annexes sont notifiées aux personnes ayant besoin d’en connaître par le directeur général de l’Agence nationale de la sécurité des systèmes d’information. »...

.

ce qui induit encore une fois la nécessité de s’interroger sur cette notion si souvent avancée de "besoin d’en connaître"...

Droit cri-TIC ou Droit cri TIC

Cri TIC, cri-TIC en Droit. Cri-TIC de droit : critique du droit, droit de la critique, droit à la critique, droit critique.

La forme interrogative étant un des signes de l’esprit critique qui anime toute recherche et parcourt tout enseignement, ce site a pour objet, en quelques articles ou brèves, de faire part de questionnements, incomplets et inachevés, sur des thèmes diversifiés... en Droit certes, mais aussi à côté ou aux alentours du Droit.

Pr. Geneviève Koubi

Votre recherche

RSS 2.0 | Espace privé
Visiteurs par jour (cumul) : 4318 (3322463)