Objet : Note relative à l'organisation de la Sécurité des Systèmes d'information des Directions Départementales de l'Equipement et de l'Agriculture
Mots-clés : Système d'information, informatique, DDEA, FSSI, MSSI, PIRANET

La création des Directions Départementales de l'Equipement et de l'Agriculture (DDEA) au 1^er janvier 2007 a pour corollaire l'obligation d'une réorganisation des systèmes d'information utilisés par ces nouvelles structures.
La sécurité de ces systèmes d'information se doit d'être assurée, afin de garantir la disponibilité , l'intégrité, la confidentialité et la traçabilité des informations à un niveau suffisant, au regard des enjeux liés aux missions de ces structures locales et des départements ministériels qui en définissent les politiques au plan national.

Cette note fixe les responsabilités respectives du Ministère de l'Agriculture et de la Pêche et du Ministère des Transports, de l'Equipement, du Tourisme et de la Mer vis à vis de la Sécurité des Systèmes d'Information utilisés par les DDEA.
La Sécurité des Systèmes d'Information (SSI) est de la responsabilité du Haut Fonctionnaire Défense (HFD) de chaque département ministériel conformément au décret n° 86-446 du 14 mars 1986 qui modifie le décret n° 80-243 du 3 avril 1980.
Réglementairement, le HFD est compétent pour l'ensemble du département ministériel de son ministère de rattachement. Il s'appuie sur un Fonctionnaire Sécurité des Systèmes d'Information (FSSI) qui traite spécifiquement de la SSI.
Dans le cadre de l'opération de fusion il s'agit de déterminer les responsabilités SSI vis à vis d'une nouvelle structure ; la DDEA, issue de deux structures qui jusqu'à présent voyaient leur sécurité gérée par deux départements ministériels différents : le Ministère de l'Agriculture et de la Pêche et le Ministère des Transports, de l'Equipement, du Tourisme et de la Mer.

Les politiques de sécurité respectives des deux départements ministériels, analysées courant 2006, bien que différentes, sont sensiblement de même niveau.
Au plan national, les FSSI ont nommé des Autorités Qualifiées en Sécurité des Systèmes d'Information (AQSSI) chargées de la mise en œuvre et du suivi de ces politiques.
Les Sous Directions chargées de l'informatique au sein de chacun des deux ministères assurent au plan opérationnel cette mise en œuvre pour toutes les infrastructures et dans tous les projets dont elles sont responsables.
Ces Sous directions disposent toutes deux d'une Mission de la Sécurité des Systèmes d'Information (MSSI) qui assurent l'assistance à maîtrise d'ouvrage sur les questions de SSI.

Au plan local, dans les deux types de services déconcentrés DDE et DDAF, la responsabilité de la SSI est du ressort du directeur qui est assisté d'un responsable de la sécurité des systèmes d'information pour la mise en œuvre locale de la politique définie au plan national.
Partant de cette situation et dans la perspective d'une fusion sur 8 départements qui pourrait être ensuite étendue, il convient de mettre en place une organisation permettant de définir la politique de sécurité applicable en DDEA et, sur le plan opérationnel, susceptible de traiter avec efficacité les descentes d'alertes et recommandations issues du Secrétariat Général à la Défense Nationale (SGDN), la mise en œuvre des mesures VIGIPIRATE aux différents niveaux d'alerte, ainsi que les remontées d'incidents de sécurité au quotidien. Cette organisation doit être en capacité de réagir en cas d'activation du plan d'intervention PIRANET.

Après étude de différents scénarii, les Hauts Fonctionnaires Défense du Ministère de l'Agriculture et de la Pêche et du Ministère des Transports, de l'Equipement, du Tourisme et de la Mer ont souhaité privilégier les liens opérationnels existants entre les administrations centrales, les centres support nationaux et régionaux et les services déconcentrés.
Les HFD des deux départements ministériels restent compétents pour l'ensemble des DDEA.
L'AQSSI de l'Administration Centrale du Ministère des Transports, de l'Equipement, du Tourisme et de la Mer et le sous-directeur des systèmes d'information du Ministère de l'Agriculture et de la Pêche s'organisent en comité de coordination pour définir, à partir des politiques de sécurité des deux départements ministériels, le cadre commun des mesures de sécurité applicables en DDEA. Ce cadre sera soumis à l'approbation des deux HFD.
Ce comité de coordination définira également la répartition des compétences entre les deux départements ministériels vis à vis des domaines techniques sur lesquels s'applique la sécurité ; infrastructures réseau, infrastructure messagerie, annuaires, systèmes d'information de gestion, systèmes d'information métiers, etc.

Le cadre commun de sécurité des systèmes d'information applicable aux DDEA indiquera les mesures à prendre en respectant le principe de responsabilité du directeur de la DDEA et d'une nomination effective d'un responsable chargé de la SSI qui puisse conseiller le directeur, organiser la mise en œuvre des mesures de sécurité avec notamment le suivi des incidents de sécurité en lien avec les points d'appui et supports techniques nationaux.
Il est donc retenu au niveau des DDEA que :
► le directeur est directement responsable de la SSI ;
► le directeur nomme un collaborateur chargé de la SSI à qui il adresse une lettre de mission ;
► Après concertation, l'AQSSI de l'Administration Centrale du MTETM et le sous-directeur des systèmes d'information du MAP transmettent les consignes SSI à la DDEA ;
► Le comité de coordination définit les champs de compétence des domaines techniques
► les deux services du Haut Fonctionnaire Défense et leurs FSSI réciproques restent compétents dans l'ensemble des DDEA.

HAUT