La prise en compte de la Sécurité des Systèmes d’Information se fait au plus haut niveau de l’Etat selon l'organisation fonctionnelle suivante (cliquer sur l'image pour zoomer).

La sécurité de l’information relève des responsabilités propres à chaque ministre dans le domaine dont il a la charge. Il est assisté par un haut fonctionnaire de défense et de sécurité (HFDS) dont les attributions sont fixées par le code de la défense. Le HFDS relève directement du ministre et dispose d’un service spécialisé.

Un fonctionnaire de sécurité des systèmes d’information (FSSI) est désigné par le ministre et généralement placé sous l’autorité du HFDS. Il anime la politique de sécurité des systèmes d’information et en contrôle l’application.

En complément des mesures de prévention et de surveillance, il est nécessaire de prévoir les modalités d'alertes afin de réagir le plus efficacement et le plus rapidement possible. Tout le personnel, à son niveau, agit pour la sécurité du système d’information.

Sur le plan décisionnel et juridique, chaque service déconcentré (rectorat, dsden), chaque établissement public (lycées, collèges) est responsable dans son périmètre.

L’autorité hiérarchique (recteur, ia-dasen, proviseur, principal) est  responsable, par convention. Elle est appelée « Personne Juridiquement Responsable » (PJR). La PJR est de fait l’Autorité Qualifiée en Sécurité du Système d’Information (AQSSI).

Les incidents sur le système d’information  doivent remonter par la voie fonctionnelle SSI, en assurant l’information des autres partenaires, avec si nécessaire une concertation sur les suites à donner telles que les dépôts de plainte.

En cas d’incident, l’information des autorités hiérarchiques, du RSSI, du DPD est obligatoire lorsque celui-ci peut mettre en cause l’entité dans son fonctionnement, sa sécurité, sa discipline interne, son image et si il est susceptible d’implications juridiques.

Outre cette obligation, chaque établissement peut solliciter une aide en cas d’incident de sécurité. Cette aide peut être :

• juridique (conseils, etc.),
• technique (analyse à posteriori, remédiation),

Inversement, chaque établissement sera informé par les autorités hiérarchiques de l’académie et par la chaîne SSI en cas d’événements graves justifiant le déclenchement d’alertes nationales. La mise en œuvre des plans de posture (VIGIPIRATE) ou d’intervention (PIRANET) est déclinée au sein de l’académie par le recteur et le RSSI.

Textes de référence :

• Politique de sécurité des systèmes d’information (PSSIE) portée par la circulaire du Premier ministre n° 5725/SG du 17 juillet 2014.
• Instruction interministérielle n°901 relative à la protection des systèmes d’information sensibles
• Instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale