Code de la défense

ChronoLégi

« TITRE II : SÉCURITÉ DES SYSTÈMES D'INFORMATION (Articles R2321-1 à R2323-12) »
Code de la défense

Version en vigueur au 01 décembre 2021

      • Article D2321-1 (abrogé)


        La commission interministérielle pour la sécurité des systèmes d'information, placée auprès du secrétaire général de la défense nationale, a pour mission d'assurer la concertation entre les départements ministériels sur les questions relatives à la sécurité des systèmes d'information qui se posent aux administrations. Elle peut être consultée par le Premier ministre sur la politique à conduire en matière de sécurité des systèmes d'information. Elle peut prêter son concours aux services et organismes publics qui en font la demande.

      • Article D2321-2 (abrogé)


        La commission interministérielle pour la sécurité des systèmes d'information est chargée d'harmoniser les conceptions, les méthodes et les programmes d'équipement des administrations de l'Etat en matière de sécurité des systèmes d'information et de favoriser l'élaboration de solutions nouvelles.
        A ce titre :
        1° Elle assure la collecte et la diffusion des informations sur les évolutions de toute nature pouvant affecter la sécurité des systèmes d'information ;
        2° Elle facilite les échanges d'informations entre les départements ministériels sur leurs projets en matière de sécurité des systèmes d'informations ;
        3° Elle participe à l'orientation des recherches, études et travaux lancés en France en vue de répondre aux besoins exprimés par les départements ministériels ;
        4° Elle propose des mesures réglementaires et des textes normatifs susceptibles d'améliorer la protection des systèmes d'information dont les départements ministériels ont la responsabilité.
        La commission interministérielle pour la sécurité des systèmes d'information est tenue informée des crédits consacrés à la sécurité des systèmes d'information dans les budgets ministériels.

      • Article D2321-3 (abrogé)

        La commission interministérielle pour la sécurité des systèmes d'information est présidée par le secrétaire général de la défense nationale. Elle comprend :

        1° Un représentant des ministres chargés des finances, de l'industrie, des télécommunications, de l'emploi, de la santé, de la justice, de l'intérieur, de l'éducation nationale, des affaires étrangères, de la défense, de l'équipement, des transports, de la culture, de l'agriculture, de l'environnement, de l'aménagement du territoire, de la fonction publique, de la jeunesse, des sports et de la recherche ;

        2° Un représentant du chef de l'état-major particulier du Président de la République ;

        3° Un représentant du chef du cabinet militaire du Premier ministre.

        Le directeur général de l'Agence nationale de la sécurité des systèmes d'information est membre de droit de la commission. Il en assure la présidence en cas d'empêchement du secrétaire général de la défense nationale.

        La commission interministérielle pour la sécurité des systèmes d'information peut entendre, sur convocation de son président, des représentants d'autres administrations ou organismes publics intéressés par une question inscrite à l'ordre du jour et, plus généralement, toute personne qualifiée dont elle juge la présence utile.

        Le secrétariat de la commission est assuré par l'Agence nationale de la sécurité des systèmes d'information.

      • Article D2321-4 (abrogé)


        La commission interministérielle pour la sécurité des systèmes d'information se réunit au moins deux fois par an en formation plénière sur convocation de son président. En fonction de la nature des sujets traités, elle peut être réunie en formation restreinte aux ministères intéressés, à l'initiative de son président.
        Le président fixe l'ordre du jour des réunions. Les départements ministériels adressent au secrétariat de la commission les points qu'ils souhaitent y voir figurer.

      • Article D2321-5 (abrogé)


        La commission interministérielle pour la sécurité des systèmes d'information peut créer des sous-commissions ou groupes de travail dont elle fixe le mandat et qui lui rendent compte de leurs travaux.
        Chaque sous-commission est animée par un président choisi en raison de sa compétence. Ce président est nommé, sur proposition du directeur central de la sécurité des systèmes d'information, par le secrétaire général de la défense nationale.
        Les sous-commissions se réunissent à l'initiative de leur président aussi souvent que leur mandat l'exige.

      • La décision de mettre en œuvre les dispositifs mentionnés au premier alinéa de l'article L. 2321-2-1 sur les réseaux et les systèmes d'information des personnes mentionnées au même alinéa leur est notifiée par l'Agence nationale de la sécurité des systèmes d'information.

        Cette notification est accompagnée d'un cahier des charges élaboré, le cas échéant, après concertation avec les personnes destinataires. Ce document précise les conditions techniques d'organisation et de fonctionnement nécessaires à la mise en œuvre de ces dispositifs ainsi que le délai dans lequel ils sont mis en œuvre et la durée de leur mise en œuvre. Il prévoit, le cas échéant, une phase de test préalable sur les réseaux ou systèmes d'information concernés.

        La décision mentionnée au premier alinéa est communiquée sans délai à l'Autorité de régulation des communications électroniques et des postes.

      • Les dispositifs mentionnés au premier alinéa de l'article L. 2321-2-1 sont mis en œuvre pour une période maximale de trois mois, prorogeable en cas de persistance de la menace et dans cette limite. Toute prorogation fait l'objet d'une décision de l'Agence nationale de la sécurité des systèmes d'information notifiée aux personnes mentionnées au premier alinéa de l'article R. 2321-1-1 et communiquée à l'Autorité de régulation des communications électroniques et des postes.

      • Les marqueurs techniques exploités par les dispositifs mentionnés au premier alinéa de l'article L. 2321-2-1 sont des éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace susceptible d'affecter la sécurité des systèmes d'information. Ils visent à détecter les communications et programmes informatiques malveillants et à recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation de la menace.

      • Les dispositifs de traçabilité des données collectées mentionnés au 2° de l'article L. 36-14 du code des postes et des communications électroniques garantissent notamment l'identification des agents mentionnés au deuxième alinéa de article L. 2321-2-1 et au premier alinéa de l'article L. 2321-3. Ces dispositifs enregistrent les opérations effectuées sur les données, dont leur suppression à l'issue du délai mentionné au troisième alinéa de l'article L. 2321-2-1.

      • Les modalités de la compensation des prestations assurées par les personnes mentionnées au premier alinéa de l'article R. 2321-1-1 au titre de l'article L. 2321-2-1 et du deuxième alinéa de l'article L. 2321-3 sont fixées par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques.

      • Les habilitations prévues aux articles L. 2321-2-1 et L. 2321-3 sont accordées, de manière individuelle, par décision du Premier ministre à des agents de l'Agence nationale de la sécurité des systèmes d'information.

        Nul ne peut être habilité s'il n'a fait l'objet d'une enquête administrative conformément à l'article L. 114-1 du code de la sécurité intérieure. Si besoin, l'enquête administrative peut être reconduite pendant la période d'habilitation de l'agent. Toutefois, l'enquête administrative n'est pas requise lorsque l'agent est déjà titulaire de l'habilitation prévue à l'article R. 2311-7.

        L'habilitation peut être retirée à tout moment par décision du Premier ministre. Elle prend fin lorsque son titulaire n'exerce plus les fonctions à raison desquelles il a été habilité.

      • Pour accomplir leur mission prévue à l'article L. 2321-3, les agents habilités de l'Agence nationale de la sécurité des systèmes d'information présentent une commission d'emploi aux opérateurs de communications électroniques. La commission d'emploi mentionne la décision d'habilitation de l'agent.

        Tout agent qui n'est plus habilité remet sans délai sa commission d'emploi à l'Agence nationale de la sécurité des systèmes d'information.

      • Les agents habilités de l'Agence nationale de la sécurité des systèmes d'information prêtent devant le tribunal judiciaire dans le ressort duquel ils exercent leurs fonctions le serment suivant : " Je jure de bien et fidèlement remplir la mission pour laquelle je suis habilité et de ne rien révéler ou utiliser de ce qui sera porté à ma connaissance à l'occasion de son exercice. "

        La prestation de serment est enregistrée sans frais au greffe du tribunal. L'acte de ce serment est dispensé de timbre et d'enregistrement. Le greffier du tribunal transcrit gratuitement l'acte de ce serment sur la commission d'emploi mentionnée à l'article R. 2321-3.



        Conformément à l’article 9 du décret n° 2019-966 du 18 septembre 2019, les présentes dispositions entrent en vigueur le 1er janvier 2020.

      • Les agents habilités de l'Agence nationale de la sécurité des systèmes d'information veillent à la protection des informations à caractère secret qui sont recueillies dans le cadre de leur mission prévue à l'article L. 2321-3 et dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal.

        La transmission des informations mentionnées à l'article L. 2321-3 par les opérateurs de communications électroniques aux agents habilités de l'Agence nationale de la sécurité des systèmes d'information est effectuée selon des modalités assurant la sécurité, l'intégrité et le suivi de ces informations.

    • Au sens du présent chapitre, on entend par :

      1° “ Service public réglementé ” : le service public réglementé offert par le système mondial de radionavigation par satellite issu du programme européen Galileo, mentionné à l'article L. 2323-1 ;

      2° “ Equipements ” : les modules de sécurité et les récepteurs, les outils servant à l'essai, à la qualification et au fonctionnement des modules de sécurité ou des récepteurs du service public réglementé ;

      3° “ Technologies ” : les logiciels, le matériel et l'information, dont les clés, nécessaires à la recherche, au développement, à la conception, à la qualification, à la production ou à l'utilisation d'équipements ;

      4° “ Biens conçus pour le service public réglementé ” : les biens matériels et immatériels, qui consistent en des équipements et des technologies ;

      5° “ Accès au service public réglementé ” : l'utilisation et la détention de biens conçus pour le service public réglementé, y compris la mise en service des équipements et les opérations visant à tester, à leurrer ou à brouiller le service public réglementé ;

      6° “ Communauté d'utilisateurs ” : un ensemble d'utilisateurs du service public réglementé, résidant ou établis sur le territoire français, dont l'organisation et le fonctionnement sont conformes aux normes minimales communes adoptées en application de l'article 8 de la décision n° 1104/2011/ UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux modalités d'accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo.

    • Les demandes d'autorisation sont déposées auprès de l'autorité mentionnée à l'article R. * 1132-3, autorité responsable du service public réglementé. Elles comportent :

      1° Les nom, prénom et adresse du demandeur, s'il est une personne physique, ou sa raison sociale ou sa dénomination et l'adresse de son siège social, s'il est une personne morale ;

      2° L'objet de la demande et les caractéristiques techniques des équipements et technologies concernés, accompagnés d'une documentation technique ;

      3° Les lieux prévus pour l'exercice de l'activité objet de la demande, notamment l'adresse de l'établissement principal et des établissements secondaires concernés ;

      4° Selon le type d'autorisation sollicitée au titre de l'article L. 2323-1 :

      a) En cas de demande tendant à l'accès au service public réglementé, la communauté d'utilisateurs représentée par le demandeur ;

      b) En cas de demande tendant au développement et à la fabrication d'équipements conçus pour ce service, y compris l'intégration des modules de sécurité dans d'autres équipements, la communauté d'utilisateurs à laquelle sont destinés ces équipements ;

      c) En cas de demande tendant à l'exportation d'équipements et de technologies conçus pour ce service, la finalité de l'opération, les nom, prénom et adresse du destinataire, s'il est une personne physique, ou sa raison sociale ou sa dénomination et l'adresse de son siège social, s'il est une personne morale, et, le cas échéant, l'adresse de l'établissement destinataire ;

      5° L'engagement de respecter les règles de sécurité et de confidentialité inhérentes, selon le cas, à l'accès au service public réglementé ou à la fabrication ou détention des biens et équipements et de se soumettre aux contrôles et audits nécessaires à la vérification du respect des indications fournies dans la demande et des conditions de l'autorisation.

    • L'autorisation mentionnée à l'article R. 2323-2 indique :

      1° Les nom, prénom et adresse du titulaire, s'il est une personne physique, ou sa raison sociale ou sa dénomination et son siège social, s'il est une personne morale, et, le cas échéant, la communauté d'utilisateurs qu'il représente ;

      2° L'objet de l'autorisation et, lorsqu'il s'agit d'un accès au service réglementé, sa finalité ;

      3° Les lieux d'exercice de l'activité autorisée ;

      4° Sa durée de validité. Celle-ci peut être limitée à la réalisation d'une opération ou délivrée pour une durée n'excédant pas cinq ans. L'autorisation est renouvelable selon la même procédure ;

      5° Le cas échéant, les conditions ou restrictions dont elle est assortie. Celles-ci peuvent porter sur les caractéristiques techniques ou sur les performances des biens conçus pour le service public réglementé, sur leur destination ou sur leur utilisation finale, sur les aspects commerciaux ou contractuels, ou sur la réalisation d'une opération.

    • L'autorisation peut être refusée pour des raisons d'ordre public, de défense ou de sécurité nationales, de respect des engagements internationaux de la France ou des normes minimales communes adoptées en application de l'article 8 de la décision du 25 octobre 2011 précitée, notamment en ce qui concerne la sécurité du service public réglementé et la protection des informations relatives à ce service.

      En application du 4° de l'article L. 231-4 du code des relations entre le public et l'administration, le silence gardé pendant deux mois par le Premier ministre sur une demande d'autorisation vaut décision de rejet.

    • L'accès au service public réglementé mentionné au a du 4° de l'article R. 2323-3 est autorisé pour une communauté d'utilisateurs ayant préalablement fait l'objet d'un agrément délivré par le Premier ministre, au regard du respect des normes minimales communes adoptées en application de l'article 8 de la décision du 25 octobre 2011 précitée.

      La demande d'agrément est déposée auprès de l'autorité mentionnée à l'article R. * 1132-3. Elle comporte :

      1° La dénomination de la communauté ;

      2° Les nom, prénom et adresse de la personne qui représente l'ensemble des utilisateurs de la communauté ;

      3° L'identification des utilisateurs, individuellement ou par catégorie ;

      4° Les conditions de gestion et d'utilisation des équipements et technologies ;

      5° La désignation des responsables de la distribution des clés et du suivi des biens conçus pour le service public réglementé au sein de la communauté d'utilisateurs.

    • En application du 4° de l'article L. 231-4 du code des relations entre le public et l'administration, le silence gardé pendant deux mois par le Premier ministre sur une demande d'agrément vaut décision de rejet.

      Lorsque la communauté d'utilisateurs ne remplit plus les conditions de la délivrance de cet agrément, celui-ci peut être suspendu, modifié ou abrogé par le Premier ministre, après que le représentant de la communauté a été mis à même de faire valoir ses observations, dans un délai de quinze jours, selon les modalités prévues à l'article L. 122-1 du même code.

    • L'autorité responsable du service public réglementé s'assure du respect des règles de sécurité et de confidentialité par les communautés d'utilisateurs. A cette fin, le titulaire de l'autorisation remplit un registre recensant :

      1° L'inventaire des biens conçus pour le service public réglementé en sa possession ou sous son contrôle ;

      2° En cas d'opération d'exportation ou de transfert intracommunautaire prévu à l'article R. 2323-11, l'objet et la date de celle-ci ;

      3° Les nom, prénom et adresse du destinataire de l'exportation ou transfert, s'il est une personne physique, ou sa raison sociale ou sa dénomination et l'adresse de son siège social, s'il est une personne morale ;

      4° L'adresse de l'établissement destinataire.

      Le titulaire de l'autorisation transmet à l'autorité responsable toutes pièces justificatives lui permettant de s'assurer du respect des conditions de l'autorisation.

      Des inspections, contrôles ou audits, sur pièces ou sur place, peuvent être organisés par cette autorité pour vérifier la cohérence entre, d'une part, les autorisations détenues, les conditions et restrictions dont elles sont assorties et les registres tenus par leurs titulaires et, d'autre part, les informations et pièces justificatives transmises à l'administration ou sollicitées par cette dernière. Le contrôle ou audit est réalisé par des agents désignés par le Premier ministre à cet effet.

    • La modification, l'abrogation ou le retrait de l'autorisation ne peut intervenir qu'après que le titulaire de l'autorisation a été mis à même de faire valoir ses observations à l'autorité responsable, dans un délai de quinze jours, selon les modalités prévues à l'article L. 122-1 du code des relations entre le public et l'administration.

      En cas d'urgence, le Premier ministre peut suspendre l'autorisation sans délai.

    • Toute opération de transfert d'équipements ou de technologies conçus pour le service public réglementé réalisée depuis la France vers les autres Etats membres de l'Union européenne doit être précédée d'une déclaration au Premier ministre dans un délai minimum de trente jours avant la date à laquelle est envisagé le début de l'opération.

      La déclaration comporte :

      1° Les nom, prénom et adresse du destinataire, s'il est une personne physique, ou sa raison sociale ou sa dénomination et son siège social, s'il est une personne morale, et, le cas échéant, l'adresse de l'établissement destinataire ;

      2° L'objet du transfert et les caractéristiques techniques des équipements et technologies concernés.

      En cas d'incompatibilité entre l'opération de transfert déclarée et les normes minimales communes adoptées en application de l'article 8 de la décision du 25 octobre 2011 précitée, le Premier ministre informe l'auteur de la déclaration que la réalisation de l'opération prévue est susceptible d'entraîner la suspension, la modification, l'abrogation ou le retrait de l'autorisation prévus à l'article L. 2321-1.

Retourner en haut de la page