Arrêté du 4 septembre 2017 portant création d'un comité de maîtrise des risques numériques au sein du comité stratégique de maîtrise des risques des ministères chargés des affaires sociales

JORF n°0216 du 15 septembre 2017
texte n° 10




Arrêté du 4 septembre 2017 portant création d'un comité de maîtrise des risques numériques au sein du comité stratégique de maîtrise des risques des ministères chargés des affaires sociales

NOR: SSAZ1725493A
ELI: https://www.legifrance.gouv.fr/eli/arrete/2017/9/4/SSAZ1725493A/jo/texte


La ministre des solidarités et de la santé, la ministre du travail, le ministre de l'éducation nationale et la ministre des sports,
Vu le décret n° 2011-497 du 5 mai 2011 modifié relatif à la maîtrise des risques et à l'audit interne au sein des ministères chargés des affaires sociales ;
Vu le décret n° 2013-727 du 12 août 2013 modifié portant création, organisation et attributions d'un secrétariat général des ministères chargés des affaires sociales ;
Vu l'arrêté du 13 décembre 2016 portant désignation des autorités qualifiées pour la sécurité des systèmes d'information dans les services d'administration centrale, les services déconcentrés, les organismes et les établissements sous tutelle des ministères chargés des affaires sociales,
Arrêtent :


Un comité de maîtrise des risques numériques est créé au sein du comité stratégique de maîtrise des risques des ministères chargés des affaires sociales, conformément aux dispositions du second alinéa de l'article 2 du décret du 5 mai 2011 susvisé.
Par délégation du comité stratégique de maîtrise des risques, le comité de maîtrise des risques numériques assure le pilotage du contrôle interne dans le domaine des systèmes d'information pour les secteurs des affaires sociales et de la santé, du travail, de l'emploi et du dialogue social, de la jeunesse et des sports. A cet effet :


- il veille à la mise en œuvre de la politique de sécurité des systèmes d'information pour les ministères chargés des affaires sociales et à la progression du niveau de conformité légale et réglementaire de ces ministères ;
- il pilote l'élaboration de la cartographie des risques numériques qui sera ensuite intégrée dans la cartographie des risques ministérielle soumise à la validation du comité stratégique de maîtrise des risques ;
- il définit une doctrine commune sur les sujets transversaux relatifs à la maîtrise des risques numériques ;
- il élabore la stratégie de réduction des risques numériques et le plan d'action ministériel pluriannuel, soumis à la validation du comité stratégique de maîtrise des risques. A à ce titre, il exploite le bilan des incidents significatifs et l'état des lieux des cybermenaces susceptibles d'affecter les ministères chargés des affaires sociales, ainsi que les résultats des contrôles de sécurité des systèmes d'information menés sur les systèmes d'information stratégiques ;
- il s'assure de l'exécution du plan d'action et des feuilles de route par type de structures ;
- il rend compte au comité stratégique de maîtrise des risques, à chaque réunion de celui-ci ;
- il peut proposer au comité stratégique de maîtrise des risques des thèmes d'audit dans les domaines numériques.


Le comité de maîtrise des risques numériques se compose comme suit :


- du secrétaire général des ministères chargés des affaires sociales - haut fonctionnaire de défense et de sécurité ou son représentant ;
- des directeurs d'administration centrale ou de leurs représentants ;
- du fonctionnaire de sécurité des systèmes d'information ou son représentant ;
- du délégué à la stratégie des systèmes d'information de santé ou son représentant ;
- d'un directeur régional de la jeunesse, des sports et de la cohésion sociale (DRJSCS) désigné par le secrétaire général des ministères chargés des affaires sociales après avis du préfet de région, ou de son représentant ;
- d'un directeur régional des entreprises, de la concurrence, de la consommation, du travail et de l'emploi (DIRECCTE) désigné par le secrétaire général des ministères chargés des affaires sociales après avis du préfet de région, ou de son représentant ;
- d'un directeur général d'agence régionale de santé, désigné par le secrétaire général des ministères chargés des affaires sociales, ou de son représentant.


Les missions permanentes d'audit interne de l'inspection générale des affaires sociales et de l'inspection générale de la jeunesse et des sports et le secrétariat du comité stratégique de maîtrise des risques assistent aux réunions en fonction de l'ordre du jour.
Le comité de maîtrise des risques numériques se réunit au moins deux fois par an. Il est présidé par le secrétaire général des ministères chargés des affaires sociales. Son secrétariat est assuré conjointement par la direction des systèmes d'information et par le service spécialisé du haut fonctionnaire de défense et de sécurité.
En tant que de besoin, peuvent participer aux réunions du comité de maîtrise des risques numériques des représentants des opérateurs de l'Etat et des caisses de sécurité sociale.


Le secrétaire général des ministères chargés des affaires sociales, haut fonctionnaire de défense et de sécurité, est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.


Fait le 4 septembre 2017.


La ministre des solidarités et de la santé,

Pour la ministre et par délégation :

Le secrétaire général des ministères chargés des affaires sociales,

P. Ricordeau


La ministre du travail,

Pour la ministre et par délégation :

Le secrétaire général des ministères chargés des affaires sociales,

P. Ricordeau


Le ministre de l'éducation nationale,

Pour le ministre et par délégation :

Le secrétaire général des ministères chargés des affaires sociales,

P. Ricordeau


La ministre des sports,

Pour la ministre et par délégation :

Le secrétaire général des ministères chargés des affaires sociales,

P. Ricordeau