Décret n° 2024-158 du 28 février 2024 relatif à la sécurité des systèmes d’information d’importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire
Publics concernés : états-majors, directions et services du ministère de la défense ; entreprises et organismes non militaires effectuant des activités nucléaires nécessaires à la mise en œuvre de la politique de dissuasion ; prestataires de service effectuant des activités de sécurité des systèmes d’information.
Objet : rendre applicables aux systèmes d’information d’importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire (SIIV-CG), les règles de sécurité applicables aux systèmes d’information d’importance vitale, sous réserve de la prise en compte de certaines spécificités propres aux dispositions du contrôle gouvernemental.
Entrée en vigueur : au lendemain de sa publication.
Notice : le décret complète et améliore l’articulation des dispositions des articles R. 1332-41-1 et suivants et R.* 1411-7 et suivants du code de la défense. Il s’applique aux systèmes d’information d’importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire qui sont définis comme les systèmes pour lesquels l’atteinte à leur sécurité ou à leur fonctionnement risque de nuire à la poursuite des objectifs de la politique de dissuasion. Il prévoit que les déclarations de ces systèmes, leurs règles spécifiques de sécurité, et les informations relatives aux incidents les affectant sont fixées par arrêté du Premier ministre sur proposition du ministre de la défense. Il fixe également les contrôles applicables aux opérateurs d’importance vitale pour ces systèmes d’information.
Références : le décret peut être consulté sur le site Légifrance ( https://www.legifrance.gouv.fr).
Le Président de la République,
Sur le rapport du Premier ministre et du ministre des armées,
Vu le code de la défense ;
Vu le décret n° 2015-350 du 27 mars 2015 modifié relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d’information ;
Vu l’avis de l’inspecteur des armements nucléaires en date du 23 novembre 2023 ;
Le Conseil d’Etat (section de l’administration) entendu ;
Le conseil des ministres entendu,
Décrète :
-
Article 1
La section 7 bis du chapitre II du titre III du livre III de la première partie du code de la défense est complétée par une sous-section 8 ainsi rédigée :
« Sous-section 8
« Dispositions spécifiques au contrôle gouvernemental de la dissuasion nucléaire« Art. R. 1332-41-24. – La sécurité des systèmes d’information mentionnés à l’article L. 1332-6-1 relevant du contrôle gouvernemental de la dissuasion nucléaire est régie par les dispositions de la sous-section 4 de la section 2 du chapitre Ier du titre Ier du livre IV et, sous réserve des précisions et dérogations prévues par cette sous-section, par celles de la présente section. »
-
Article 2
La section 2 du chapitre Ier du titre Ier du livre IV de la première partie du même code est complétée par une sous-section 4 ainsi rédigée :
« Sous-section 4
« Dispositions spécifiques à la sécurité des systèmes d’information d’importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire« Art. R.* 1411-11-36. – Les systèmes d’information mentionnés à l’article L. 1332-6-1 pour lesquels toute atteinte à leur sécurité ou à leur fonctionnement risquerait de nuire à la poursuite de la finalité définie à l’article R.* 1411-7 sont dénommés “systèmes d’information d’importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire”.
« Ces systèmes d’information sont régis par les dispositions de la présente sous-section et, sous réserve des précisions et dérogations qu’elle prévoit, par celles de la section 7 bis du chapitre II du titre III du livre III.
« Les opérateurs d’importance vitale désignés dans la présente sous-section sont ceux mentionnés à l’article R. 1332-1 qui disposent d’au moins un système d’information d’importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire.« Art. R. 1411-11-37. – I. – Les règles de sécurité mentionnées à l’article L. 1332-6-1 nécessaires à la protection des systèmes d’information d’importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire sont fixées par arrêté du Premier ministre sur proposition du ministre de la défense.
« II. – La liste des systèmes d’information d’importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire est établie selon des modalités fixées par arrêté du Premier ministre.« Art. R. 1411-11-38. – Lorsqu’ils s’appliquent aux systèmes d’information d’importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire, les systèmes de détection mentionnés à l’article L. 1332-6-1 sont exploités par l’autorité compétente définie par arrêté du Premier ministre ou par un prestataire de service mentionné au même article, qualifié dans les conditions prévues par les dispositions du chapitre III du décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d’information.
« Un arrêté du Premier ministre définit les modalités de sélection du prestataire de service qualifié.
« Par dérogation aux dispositions de l’article R. 1332-41-9, les prestataires de services qualifiés aux seules fins de mise en œuvre des dispositions de la présente sous-section ne figurent pas sur la liste mise à disposition du public par l’agence nationale de la sécurité des systèmes d’information.« Art. R. 1411-11-39. – Les opérateurs d’importance vitale communiquent au Premier ministre et à l’autorité compétente définie par arrêté du Premier ministre les informations relatives aux incidents affectant la sécurité ou le fonctionnement des systèmes d’information d’importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire, selon des modalités définies par ce même arrêté.
« Art. R. 1411-11-40. – La décision d’imposer aux opérateurs d’importance vitale les contrôles mentionnés à l’article L. 1332-6-3 lorsqu’ils portent sur des systèmes d’information d’importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire est notifiée par le Premier ministre sur proposition de l’autorité compétente définie par arrêté du Premier ministre. Les modalités de ces contrôles sont précisées par ce même arrêté.
« La copie de la convention mentionnée à l’article R. 1332-41-14 est adressée à l’autorité compétente définie par arrêté du Premier ministre selon les modalités précisées par ce même arrêté.
« Les dispositions des deuxième, troisième et quatrième alinéas de l’article R. 1332-41-15 ne sont pas applicables aux contrôles portant sur les systèmes d’information d’importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire lorsque ceux-ci sont réalisés en application du présent article.
« Lorsque le contrôle est réalisé par un prestataire de service qualifié, le rapport mentionné au premier alinéa de l’article R. 1332-41-15 est remis à l’autorité compétente définie par arrêté du Premier ministre.
« L’autorité compétente définie par arrêté du Premier ministre peut auditionner, dans un délai de deux mois à compter de la remise du rapport, le service de l’Etat ou le prestataire ayant réalisé le contrôle, le cas échéant en présence de l’opérateur, aux fins d’examiner les constatations et les recommandations figurant dans le rapport.« Art. R. 1411-11-41. – Chaque opérateur d’importance vitale désigne une personne chargée de le représenter auprès des autorités définies par arrêté du Premier ministre pour toutes les questions relatives à l’application de la présente sous-section. Nul ne peut être désigné s’il n’est titulaire de l’habilitation mentionnée à l’article R. 2311-7.
« Art. R. 1411-11-42. – Un arrêté du Premier ministre peut imposer aux opérateurs d’importance vitale et aux prestataires de services qualifiés l’utilisation d’un moyen particulier pour protéger les échanges d’information prévus à la présente sous-section lorsqu’ils sont effectués par voie électronique.
« Art. R. 1411-11-43. – Si un opérateur d’importance vitale ne satisfait pas aux obligations prévues aux articles L. 1332-6-1 à L. 1332-6-4 en ce qui concerne ses systèmes d’information d’importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire, l’autorité compétente définie par arrêté du Premier ministre saisit l’autorité judiciaire aux fins de poursuite de l’auteur du délit prévu au troisième alinéa de l’article L. 1332-7. Hormis le cas d’un manquement à l’article L. 1332-6-2, cette saisine est précédée d’une mise en demeure adressée à l’opérateur par l’autorité compétente définie par arrêté du Premier ministre.
« Art. R.* 1411-11-44. – Les arrêtés pris par le Premier ministre en application de la présente sous-section ne sont pas publiés. Ils sont notifiés aux personnes ayant besoin d’en connaître. »
-
Article 3
A l’article D. * 1432-1 du même code, les mots : « et en Nouvelle-Calédonie » sont remplacés par les mots : «, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises ».
-
Article 4
Le Premier ministre et le ministre des armées sont responsables, chacun en ce qui le concerne, de l’application du présent décret, qui sera publié au Journal officiel de la République française.
Fait le 28 février 2024.
Emmanuel Macron
Par le Président de la République :
Le Premier ministre,
Gabriel Attal
Le ministre des armées,
Sébastien Lecornu
Texte n° 44