Décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d'information des opérateurs d'importance vitale et pris pour l'application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense


JORF n°0075 du 29 mars 2015 page 5676
texte n° 3




Décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d'information des opérateurs d'importance vitale et pris pour l'application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense

NOR: PRMD1502905D
ELI: https://www.legifrance.gouv.fr/eli/decret/2015/3/27/PRMD1502905D/jo/texte
Alias: https://www.legifrance.gouv.fr/eli/decret/2015/3/27/2015-351/jo/texte


Publics concernés : opérateurs d'importance vitale mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense, services de l'Etat et prestataires de service mentionnés aux articles L. 1332-6-1 et L. 1332-6-3 du même code.
Objet : conditions et limites dans lesquelles s'appliquent les dispositions relatives à la sécurité des systèmes d'information des opérateurs d'importance vitale prévues aux articles L. 1332-6-1 et suivants du code de la défense.
Entrée en vigueur : le décret entre en vigueur le lendemain de sa publication.
Notice : le décret précise les conditions et limites dans lesquelles :
- sont fixées les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs d'importance vitale ;
- sont mis en œuvre les systèmes de détection d'événements affectant la sécurité de ces systèmes d'information ;
- sont déclarés les incidents affectant la sécurité ou le fonctionnement de ces systèmes d'information ;
- sont contrôlés ces systèmes d'information ;
- sont qualifiés les systèmes de détection d'événements et les prestataires de service chargés de leur exploitation ou du contrôle des systèmes d'information ;
- sont proposées les mesures pour répondre aux crises majeures menaçant ou affectant la sécurité des systèmes d'information.
Références : le code de la défense, modifié par le présent décret, peut être consulté, dans sa rédaction issue de cette modification, sur le site Légifrance (http://www.legifrance.gouv.fr).
Le Premier ministre,
Vu le code de la défense, notamment ses articles L. 1332-1 et suivants, L. 2321-1, R.* 1132-3, R. 1332-1 et suivants et R. 2311-1 et suivants ;
Vu le code pénal, notamment son article 413-9 ;
Vu le décret n° 97-1184 du 19 décembre 1997 modifié pris pour l'application au Premier ministre du 1° de l'article 2 du décret n° 97-34 du 15 janvier 1997 relatif à la déconcentration des décisions administratives individuelles ;
Vu le décret n° 2009-834 du 7 juillet 2009 modifié portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » ;
Vu le décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale ;
Le Conseil d'Etat (section de l'administration) entendu,
Décrète :


Après la section 7 du chapitre II du titre III du livre III de la partie 1 du code de la défense (partie réglementaire), il est inséré une section 7 bis ainsi rédigée :


« Section 7 bis
« Dispositions spécifiques à la sécurité des systèmes d'information


« Sous-section 1
« Règles de sécurité


« Art. R. 1332-41-1.-L'Agence nationale de la sécurité des systèmes d'information élabore et propose au Premier ministre les règles de sécurité prévues à l'article L. 1332-6-1. Ces règles sont établies par arrêté du Premier ministre pris après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernés. Lorsque l'arrêté n'est pas publié, il est notifié aux personnes ayant besoin d'en connaître.
« Les arrêtés mentionnés au premier alinéa peuvent prévoir des règles de sécurité différentes selon le secteur ou le type d'activité de l'opérateur. Ils fixent les délais dans lesquels les opérateurs d'importance vitale sont tenus d'appliquer les règles de sécurité. Ces délais peuvent être différents selon les règles de sécurité, le type de systèmes d'information concernés ou la date de mise en service de ces systèmes.


« Art. R. 1332-41-2.-Chaque opérateur d'importance vitale établit et tient à jour la liste des systèmes d'information mentionnés à l'article L. 1332-6-1, y compris ceux des opérateurs tiers qui participent à ces systèmes, auxquels s'appliquent les règles de sécurité prévues au même article.
« Les systèmes d'information figurant sur la liste mentionnée au premier alinéa sont dénommés “ systèmes d'information d'importance vitale ”.
« La liste est établie selon des modalités fixées par arrêté du Premier ministre pris après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernés. Ces arrêtés peuvent prévoir des modalités différentes selon le secteur ou le type d'activité de l'opérateur. Lorsque l'arrêté n'est pas publié, il est notifié aux personnes ayant besoin d'en connaître.
« Chaque opérateur communique sa liste de systèmes d'information d'importance vitale et les mises à jour de celle-ci à l'Agence nationale de la sécurité des systèmes d'information selon des modalités et dans des délais fixés par l'arrêté mentionné au troisième alinéa.
« L'Agence nationale de la sécurité des systèmes d'information peut, après avis des ministres coordonnateurs concernés, faire des observations à l'opérateur sur sa liste. Dans ce cas, l'opérateur modifie sa liste conformément à ces observations et communique la liste modifiée à l'Agence nationale de la sécurité des systèmes d'information dans un délai de deux mois à compter de la réception des observations.
« La liste des systèmes d'information d'importance vitale est couverte par le secret de la défense nationale.


« Sous-section 2
« Détection des événements de sécurité


« Art. R. 1332-41-3.-Les règles de sécurité prévues à l'article L. 1332-6-1 fixent les conditions et les délais dans lesquels les opérateurs d'importance vitale mettent en œuvre des systèmes de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information d'importance vitale. Elles déterminent également le type de système de détection utilisé.


« Art. R. 1332-41-4.-Lorsque l'opérateur d'importance vitale est une administration de l'Etat, le Premier ministre, après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernés, décide, en fonction des risques particuliers encourus par les systèmes d'information en cause, si les systèmes de détection sont exploités par l'Agence nationale de la sécurité des systèmes d'information, par un autre service de l'Etat ou par un prestataire de service qualifié.
« Dans les autres cas, les systèmes de détection sont exploités exclusivement par un prestataire de service qualifié.
« Lorsque les systèmes de détection sont exploités par un prestataire de service qualifié, l'opérateur choisit le prestataire sur la liste prévue à l'article R. 1332-41-9.


« Art. R. 1332-41-5.-L'opérateur d'importance vitale conclut une convention avec le service de l'Etat ou le prestataire de service chargé d'exploiter les systèmes de détection. Cette convention précise :
« 1° Les systèmes d'information de l'opérateur qui font l'objet du service de détection ;
« 2° Les fonctionnalités du service de détection et le type de système de détection utilisé ;
« 3° Les systèmes de détection qualifiés utilisés et leurs modalités d'installation et d'exploitation par le service de l'Etat ou le prestataire ;
« 4° La nature des informations échangées entre l'opérateur et le service de l'Etat ou le prestataire, les conditions dans lesquelles elles sont utilisées et protégées ainsi que les moyens de communication sécurisés nécessaires à ces échanges ;
« 5° Les moyens techniques et humains nécessaires à l'opérateur pour la mise en œuvre du service de détection.
« La convention est conclue dans des délais compatibles avec ceux prévus pour la mise en service des systèmes de détection.
« Une copie de la convention signée est adressée sans délai par l'opérateur à l'Agence nationale de la sécurité des systèmes d'information.


« Art. R. 1332-41-6.-Afin de rechercher et d'analyser des événements susceptibles d'affecter la sécurité des systèmes d'information d'importance vitale, l'Agence nationale de la sécurité des systèmes d'information peut demander aux services de l'Etat et aux prestataires de service chargés d'exploiter les systèmes de détection d'utiliser dans ces systèmes des données techniques qu'elle leur fournit.
« L'utilisation de ces données techniques est soumise à des conditions particulières définies par l'Agence nationale de la sécurité des systèmes d'information, en particulier lorsque les données sont couvertes par le secret de la défense nationale.


« Sous-section 3
« Qualification des systèmes de détection et des prestataires de service exploitant ces systèmes


« Art. R. 1332-41-7.-Les systèmes de détection et les prestataires de service mentionnés à l'article L. 1332-6-1 sont qualifiés dans les conditions prévues respectivement par les chapitres II et III du décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.


« Art. R. 1332-41-8.-Un opérateur d'importance vitale peut agir comme prestataire de service exploitant des systèmes de détection au profit d'autres opérateurs d'importance vitale ou pour ses besoins propres sous réserve d'être qualifié dans les conditions prévues à l'article R. 1332-41-7.


« Art. R. 1332-41-9.-L'Agence nationale de la sécurité des systèmes d'information met à la disposition du public par voie électronique la liste des systèmes de détection et des prestataires de service exploitant ces systèmes, qualifiés dans les conditions prévues à l'article R. 1332-41-7.


« Sous-section 4
« Déclaration des incidents de sécurité


« Art. R. 1332-41-10.-En application de l'article L. 1332-6-2, les opérateurs d'importance vitale communiquent à l'Agence nationale de la sécurité des systèmes d'information les informations relatives aux incidents affectant la sécurité ou le fonctionnement de leurs systèmes d'information d'importance vitale.
« Les opérateurs communiquent les informations dont ils disposent dès qu'ils ont connaissance d'un incident et les complètent au fur et à mesure de leur analyse de l'incident. Ils répondent aux demandes d'informations complémentaires de l'Agence nationale de la sécurité des systèmes d'information concernant l'incident.
« Le Premier ministre précise par arrêté, en distinguant le cas échéant selon le secteur ou le type d'activité de l'opérateur, les informations qui doivent être communiquées, les modalités de leur transmission ainsi que les types d'incident auxquels s'applique l'obligation prévue à l'article L. 1332-6-2. Lorsque l'arrêté n'est pas publié, il est notifié aux personnes ayant besoin d'en connaître.


« Art. R. 1332-41-11.-L'Agence nationale de la sécurité des systèmes d'information transmet aux ministres coordonnateurs des secteurs d'activités d'importance vitale concernés, lorsque son analyse de l'incident le justifie, une synthèse des informations recueillies relatives à cet incident.


« Sous-section 5
« Contrôles de sécurité


« Art. R. 1332-41-12.-Le Premier ministre, après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernés, notifie aux opérateurs d'importance vitale sa décision d'imposer un contrôle prévu à l'article L. 1332-6-3. Il précise les objectifs et le périmètre du contrôle et fixe le délai dans lequel le contrôle est réalisé. Il précise, en fonction de la nature des opérations à mener, si ce contrôle est effectué par l'Agence nationale de la sécurité des systèmes d'information, par un autre service de l'Etat ou par un prestataire de service qualifié. Dans ce dernier cas, l'opérateur choisit le prestataire sur la liste prévue à l'article R. 1332-41-16.
« Le Premier ministre ne peut imposer à un opérateur plus d'un contrôle par année civile d'un même système d'information, sauf si les systèmes d'information de cet opérateur sont affectés par un incident de sécurité ou si des vulnérabilités ou des manquements aux règles de sécurité ont été constatés lors d'un contrôle précédent subi par l'opérateur.


« Art. R. 1332-41-13.-L'opérateur d'importance vitale fournit au service de l'Etat ou au prestataire de service chargé du contrôle :
« 1° Les informations nécessaires pour évaluer la sécurité de ses systèmes d'information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels ;
« 2° Les moyens nécessaires pour accéder à ses systèmes d'information et à l'ensemble de leurs composants afin de permettre au service de l'Etat ou au prestataire de réaliser des analyses sur les systèmes, notamment des relevés d'informations techniques.


« Art. R. 1332-41-14.-L'opérateur d'importance vitale conclut une convention avec le service de l'Etat ou le prestataire de service chargé d'effectuer le contrôle. Cette convention précise :
« 1° Les systèmes d'information qui font l'objet du contrôle ;
« 2° Les objectifs et le périmètre du contrôle ;
« 3° Les modalités de déroulement du contrôle, notamment les conditions d'accès aux sites et aux systèmes d'information de l'opérateur ;
« 4° Les informations nécessaires à la réalisation du contrôle, fournies par l'opérateur, et les conditions de leur protection ;
« 5° Les modalités selon lesquelles sont effectuées les analyses techniques sur les systèmes d'information de l'opérateur.
« La convention est conclue dans des délais compatibles avec le délai fixé par le Premier ministre pour la réalisation du contrôle.
« Une copie de la convention signée est adressée sans délai par l'opérateur à l'Agence nationale de la sécurité des systèmes d'information.


« Art. R. 1332-41-15.-Le service de l'Etat ou le prestataire ayant réalisé le contrôle rédige un rapport exposant ses constatations, au regard de l'objectif du contrôle, sur le niveau de sécurité des systèmes d'information contrôlés et le respect des règles de sécurité prévues à l'article L. 1332-6-1. Les vulnérabilités et les manquements aux règles de sécurité constatés lors du contrôle sont indiqués dans le rapport, qui formule le cas échéant des recommandations pour y remédier. Le rapport est couvert par le secret de la défense nationale.
« Après avoir mis l'opérateur en mesure de faire valoir ses observations, le service de l'Etat ou le prestataire remet, dans le délai fixé pour la réalisation du contrôle, le rapport à l'Agence nationale de la sécurité des systèmes d'information.
« L'Agence nationale de la sécurité des systèmes d'information peut auditionner, dans un délai de deux mois à compter de la remise du rapport, le service de l'Etat ou le prestataire ayant réalisé le contrôle, le cas échéant en présence de l'opérateur, aux fins d'examiner les constatations et les recommandations figurant dans le rapport. Elle peut inviter les ministres coordonnateurs des secteurs d'activités d'importance vitale concernés à assister à cette audition.
« L'Agence nationale de la sécurité des systèmes d'information communique aux ministres coordonnateurs des secteurs d'activités d'importance vitale concernés les conclusions du contrôle.


« Art. R. 1332-41-16.-Les prestataires de service mentionnés à l'article L. 1332-6-3 sont qualifiés dans les conditions prévues par le chapitre III du décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.
« L'Agence nationale de la sécurité des systèmes d'information met à la disposition du public par voie électronique la liste des prestataires de service qualifiés mentionnés au premier alinéa.


« Art. R. 1332-41-17.-Le coût des contrôles effectués par un service de l'Etat en application de l'article L. 1332-6-3 est calculé en fonction du temps nécessaire à la réalisation du contrôle et du nombre d'agents publics qui y participent. Un arrêté du Premier ministre fixe le coût d'un contrôle mobilisant un agent public pendant une journée.
« Le coût des contrôles effectués par un prestataire de service est déterminé librement par les parties.


« Sous-section 6
« Réponse aux crises majeures


« Art. R. 1332-41-18.-L'Agence nationale de la sécurité des systèmes d'information propose au Premier ministre les mesures mentionnées à l'article L. 1332-6-4.


« Sous-section 7
« Dispositions diverses


« Art. R. 1332-41-19.-Les opérateurs d'importance vitale prennent les mesures nécessaires, notamment par voie contractuelle, pour garantir l'application des dispositions prévues à la présente section aux systèmes d'information des opérateurs tiers mentionnés au premier alinéa de l'article R. 1332-41-2.


« Art. R. 1332-41-20.-Chaque opérateur d'importance vitale désigne une personne chargée de le représenter auprès de l'Agence nationale de la sécurité des systèmes d'information pour toutes les questions relatives à l'application des dispositions prévues à la présente section. Nul ne peut être désigné s'il n'est titulaire de l'habilitation mentionnée à l'article R. 2311-7.


« Art. R. 1332-41-21.-L'Agence nationale de la sécurité des systèmes d'information peut imposer aux opérateurs d'importance vitale et aux prestataires de service mentionnés aux articles L. 1332-6-1 et L. 1332-6-3 l'utilisation d'un moyen particulier pour protéger les échanges d'information prévus à la présente section lorsqu'ils sont effectués par voie électronique.


« Art. R. 1332-41-22.-Les services de l'Etat et les prestataires de service mentionnés aux articles L. 1332-6-1 et L. 1332-6-3 accèdent aux systèmes d'information des opérateurs d'importance vitale et, le cas échéant, aux informations qu'ils contiennent dans le respect des secrets protégés par la loi.


« Art. R. 1332-41-23.-Si un opérateur d'importance vitale ne satisfait pas aux obligations prévues aux articles L. 1332-6-1 à L. 1332-6-4, l'Agence nationale de la sécurité des systèmes d'information saisit l'autorité judiciaire aux fins de poursuite de l'auteur du délit prévu au troisième alinéa de l'article L. 1332-7. Hormis le cas d'un manquement à l'article L. 1332-6-2, cette saisine est précédée d'une mise en demeure adressée à l'opérateur par l'Agence nationale de la sécurité des systèmes d'information. »


Le code de la défense est également modifié comme suit :
I. - A l'article R. 1332-10 :
1° La numérotation : « 7° » est remplacée par la numérotation : « 8° » ;
2° Après le 6°, il est inséré un 7° ainsi rédigé :
« 7° Le directeur général de l'Agence nationale de la sécurité des systèmes d'information ou son représentant ; ».
II. - A l'article R. 1332-33, après les mots : « l'article R. 1332-26 », sont insérés les mots : « ou de toute décision mentionnée à la section 7 bis du présent chapitre ».


I. - Le second alinéa de l'article 1er du décret du 7 juillet 2009 susvisé est remplacé par un alinéa ainsi rédigé :
« L'Agence nationale de la sécurité des systèmes d'information est dirigée par un directeur général, qui a rang de directeur d'administration centrale. Le directeur général est compétent pour agir au nom de l'agence. Il a qualité pour signer les décisions relevant de la compétence de l'agence. Il peut donner délégation à son adjoint pour signer ces décisions, y compris celles relatives aux affaires pour lesquelles il a lui-même reçu délégation. »
II. - L'article 3 du décret du 7 juillet 2009 susvisé est modifié comme suit :
1° Au troisième alinéa, la deuxième phrase est remplacée par la phrase suivante : « En cette qualité, elle propose au Premier ministre les mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d'information des autorités publiques et des opérateurs d'importance vitale et elle coordonne, dans le cadre des orientations fixées par le Premier ministre, l'action gouvernementale en matière de défense des systèmes d'information ; » ;
2° Les septième et huitième alinéas sont complétés par les mots : « et des opérateurs d'importance vitale. ».
III. - Le second alinéa de l'article 8 du même décret est supprimé.
IV. - Les articles 1er et 3 du décret du 7 juillet 2009 susvisé dans leur rédaction résultant des I et II du présent article peuvent être modifiés par décret.


Sous l'intitulé « Sécurité et défense nationale » du point 2 de l'annexe au décret du 19 décembre 1997 susvisé, il est ajouté, dans le tableau relatif au code de la défense, la ligne suivante :


5

Décisions imposant aux opérateurs d'importance vitale un contrôle de leurs systèmes d'information.

Article R. 1332-41-12.


I. - Au 2° des articles R. 1641-2, R. 1651-3, R. 1661-3 et R. 1671-3 du code de la défense, après les mots : « R. 1332-38, » sont ajoutés les mots : « R. 1332-41-1 à R. 1332-41-23, ».
II. - L'article 2 du présent décret est applicable sur l'ensemble du territoire de la République.


La ministre des outre-mer est chargée de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 27 mars 2015.


Manuel Valls

Par le Premier ministre :


La ministre des outre-mer,

George Pau-Langevin