Arrêté du 8 septembre 2017 fixant les règles de sécurité et les modalités de déclaration des systèmes d'information d'importance vitale et des incidents de sécurité relatives au sous-secteur d'activités d'importance vitale « Activités industrielles de l'armement » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense




Arrêté du 8 septembre 2017 fixant les règles de sécurité et les modalités de déclaration des systèmes d'information d'importance vitale et des incidents de sécurité relatives au sous-secteur d'activités d'importance vitale « Activités industrielles de l'armement » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense

NOR: PRMD1722149A
Version consolidée au 24 avril 2019


Le Premier ministre,
Vu le code de la défense, notamment ses articles L. 1332-1 et suivants, L. 2321-1, R.* 1132-3, R. 1332-3, R. 1332-4, R. 1332-41-1 et suivants, R.* 1411-7 et suivants et R. 2311-1 et suivants ;
Vu le code pénal, notamment ses articles 226-13 et 413-9 ;
Vu le décret n° 2009-834 du 7 juillet 2009 modifié portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » ;
Vu le décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale ;
Vu le décret n° 2015-1029 du 19 août 2015 modifié relatif à la direction de la protection des installations, moyens et activités de la défense ;
Vu l'arrêté du 2 juin 2006 modifié fixant la liste des secteurs d'activités d'importance vitale et désignant les ministres coordonnateurs desdits secteurs ;
Vu l'arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale ;
Vu l'avis du ministre des armées en date du 16 mai 2017,
Arrête :

  • Chapitre Ier : Règles de sécurité


    Les règles de sécurité prévues à l'article L. 1332-6-1 du code de la défense relatives au sous-secteur d'activités d'importance vitale « Activités industrielles de l'armement » figurent à l'annexe I du présent arrêté.
    A compter de l'entrée en vigueur du présent arrêté ou de sa date de désignation en tant qu'opérateur d'importance vitale conformément aux dispositions de l'article R. 1332-3 du code de la défense, tout opérateur d'importance vitale relevant du sous-secteur mentionné au premier alinéa applique ces règles de sécurité dans les délais qui figurent à l'annexe II.

  • Chapitre II : Déclaration des systèmes d'information d'importance vitale


    Dans un délai de trois mois à compter de la date d'entrée en vigueur du présent arrêté ou de sa désignation comme opérateur d'importance vitale conformément aux dispositions de l'article R. 1332-3 du code de la défense, tout opérateur relevant du sous-secteur d'activités d'importance vitale « Activités industrielles de l'armement » adresse par courrier à l'Agence nationale de la sécurité des systèmes d'information la liste de systèmes d'information d'importance vitale prévue à l'article R. 1332-41-2 du code de la défense, ainsi que, pour chaque système, le formulaire de déclaration disponible sur le site internet de l'agence (www.ssi.gouv.fr).
    Pour déterminer si un système d'information peut être qualifié d'importance vitale au sens des articles L. 1332-6-1 et R. 1332-41-2 du code de la défense, l'opérateur d'importance vitale mène une analyse des impacts sur les activités militaires de l'Etat en cas de dysfonctionnement ou d'atteinte à la sécurité de ses systèmes d'information, notamment ceux relevant des types de système d'information mentionnés à l'annexe III du présent arrêté.
    Lorsque, pour un type de système d'information mentionné à l'annexe III du présent arrêté, l'opérateur ne déclare aucun système d'information d'importance vitale relevant de ce type de système, il en précise les raisons.
    Les systèmes d'information relevant du contrôle gouvernemental de la dissuasion nucléaire prévu aux articles R.* 1411-7 et suivants du code de la défense n'entrent pas dans le champ d'application du présent arrêté.


    L'opérateur d'importance vitale communique une fois par an à l'Agence nationale de la sécurité des systèmes d'information les mises à jour de sa liste et des formulaires de déclaration.
    Il déclare tout nouveau système d'information d'importance vitale préalablement à sa mise en service et tout système d'information qui satisfait aux conditions pour être qualifié d'importance vitale postérieurement à sa mise en service dès qu'il satisfait à ces conditions.
    Il informe sans délai l'Agence nationale de la sécurité des systèmes d'information de tout retrait de sa liste d'un des systèmes précédemment déclarés et en précise les raisons.

  • Chapitre III : Déclaration des incidents de sécurité


    En application de l'article R. 1332-41-10 du code de la défense, tout opérateur relevant du sous-secteur d'activités d'importance vitale « Activités industrielles de l'armement » déclare chaque incident qui relève d'un type figurant à l'annexe IV du présent arrêté. Il adresse à cet effet à l'Agence nationale de la sécurité des systèmes d'information le formulaire de déclaration disponible sur le site internet de l'agence (www.ssi.gouv.fr) selon le moyen approprié à la sensibilité des informations déclarées.
    Le formulaire est un document confidentiel susceptible de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Il est, le cas échéant, couvert par le secret de la défense nationale.

  • Chapitre IV : Dispositions finales


    Tout opérateur d'importance vitale relevant du sous-secteur d'activités d'importance vitale « Activités industrielles de l'armement » communique à l'Agence nationale de la sécurité des systèmes d'information les coordonnées de la personne mentionnée à l'article R. 1332-41-20 du code de la défense dans un délai de trois mois à compter de l'entrée en vigueur du présent arrêté ou de sa désignation comme opérateur d'importance vitale conformément aux dispositions de l'article R. 1332-3 du code de la défense.


    Les dispositions du présent arrêté entrent en vigueur le 1er octobre 2017.


    Le directeur général de l'Agence nationale de la sécurité des systèmes d'information est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française à l'exception de ses annexes. Ces annexes sont notifiées aux personnes ayant besoin d'en connaître par le directeur général de l'Agence nationale de la sécurité des systèmes d'information.


Fait le 8 septembre 2017.


Pour le Premier ministre et par délégation :

Le secrétaire général de la défense et de la sécurité nationale,

L. Gautier