E. LA SÉCURISATION DES SYSTÈMES D'INFORMATIONS DE L'ADMINISTRATION DES SERVICES PUBLICS (LA DCSSI)
Aux termes du décret du 29 janvier 1996, le SGDN porte la responsabilité du volet « sécurité » du programme d'action gouvernemental pour la société de l'information. La transformation en direction centrale de la sécurité des systèmes d'information (DCSSI) de ce service dès l'été 2000, après son intégration budgétaire dans le SGDN en 1998, a été confirmée par le décret du 31 juillet 2001 qui a également défini ses missions. Son organisation a été précisée par les arrêtés du Premier ministre en date du 15 mars 2002.
L'effectif de cette direction, déjà forte de quelques 98 personnes au 1 er septembre 2004 (dont 80 sur ses emplois budgétaires), sera renforcé par la création, sur le budget pour 2005, de 6 emplois d'inspecteurs de la DCSSI. Depuis la fin de l'année 2003 ses services, à l'exception du centre de formation à la sécurité des systèmes d'information (CFSSI), sont désormais regroupés à l'Hôtel national des invalides, à l'instar des autres directions du SGDN.
Deux actions marquantes ont été conduites en 2003 par la DCSSI :
- l'élaboration du plan de renforcement de la sécurité des systèmes d'information dans l'Etat (PRSSI) , préparé avec l'ensemble des départements ministériels dans le cadre de la commission interministérielle pour la sécurité des systèmes d'information (CISSI). Ce plan a été approuvé par le Premier ministre en décembre 2003 et intégré au programme ADELE dédié au développement de l'administration électronique ;
- le renforcement de la DCSSI avec la création, d'un centre opérationnel de la SSI (COSSI) . Ce centre est chargé d'assurer une veille et une alerte, de coordonner l'action des départements ministériels en cas de mise en oeuvre des volets SSI des plans de vigilance et d'intervention, de fournir des synthèses de situation aux autorités gouvernementales et de définir et diffuser les mesures à prendre pour faire face aux attaques visant les réseaux et systèmes d'information. Deux exercices SSI interministériel, conduits en 2003, ont permis de tester et de valider cette organisation.
La DCSSI dispose, pour l'accomplissement de sa mission, du Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques (CERTA) , crée fin 1999 et désormais intégré au COSSI, intervenant comme centre d'alerte et de secours au profit des administrations et organismes publics. Son activité s'est poursuivie à un rythme soutenu en 2003 : 329 avis publiés et 138 incidents traités.
Une mission nouvelle lui a été confiée au second semestre 2001 : assurer le pilotage des réponses techniques pour le volet SSI du plan Vigipirate et en cas de déclenchement du plan gouvernemental d'intervention face à une agression « cyberterroriste » Il constitue, en la matière, la cellule d'appui du COSSI.
L'organisation interministérielle a été modifiée dans le sens d'une simplification des structures et d'une plus grande réactivité, avec la création d'une instance de concertation unique, la commission interministérielle pour la sécurité des systèmes d'information (CISSI) , dont les attributions sont définies par le décret du 31 juillet 2001.
La DCSSI, pour accomplir sa mission, exerce cinq grandes catégories de fonctions :
- stratégique de contribution à la définition interministérielle et à l'expression de la politique gouvernementale de SSI ;
- de régulation consistant notamment à délivrer les autorisations, prévues par les textes, et à jouer le rôle d'autorité nationale de régulation, à la fois au plan national et international ;
- opérationnelle (avec l'appui du CERTA), sous forme de prestations de service, au profit prioritairement des administrations et organismes publics (évaluation, information sur les vulnérabilités et les menaces et prévention) ;
- de centre de référence et d'expertise scientifique et technique couvrant les différentes disciplines concernées ;
- de sensibilisation et de formation des agents de l'Etat à la SSI, assurée par le CFSSI.
La DCSSI comprend trois sous-directions auxquelles s'ajoute le centre de formation et la cellule de communication :
1) La sous-direction opérations qui comprend quatre bureaux :
- CERTA . Sa notoriété est désormais bien établie au plan national comme au sein du réseau mondial et du réseau européen des CERTs ( Computer Emergency Response Teams ) ;
- conseil en sécurité des systèmes d'information , interlocuteur naturel des administrations ;
- audit en sécurité des systèmes d'information , qui propose des parades aux administrations et mène également des actions de sensibilisation ;
- cryptologie appliquée , qui produit des clés de chiffrement, notamment pour les programmes satellitaires.
2) La sous-direction régulation qui comprend aussi quatre bureaux :
- réglementation , largement sollicité pour les textes relatifs à la signature électronique et la cryptologie et la doctrine en matière de sécurité ;
- relations internationales , particulièrement actif avec l'Union Européenne ;
- certification . Suivi et agrément des centres d'évaluation de la sécurité des technologies de l'information (CESTI) et, dans ses perspectives, la certification de signatures sécurisées. La promotion de produits de confiance est accentuée au travers du schéma français d'évaluation et de certification (décret du 18 avril 2002) ;
- relations industrielles . Veille générale du marché et application de la réglementation relative à la cryptologie.
3) La sous-direction scientifique et technique qui se compose de trois laboratoires :
- de cryptographie qui a obtenu des résultats, de niveau international, en matière de chiffrement. Il a entrepris une campagne de réévaluation des logiques qui sera poursuivie ;
- des signaux compromettants (activités dans les équipements TEMPEST et l'appréciation de la menace liée aux émissions de signaux) ;
- des technologies de l'information , de création récente qui étudie les architectures de sécurité et la sécurité des logiciels.
4) Le CFSSI qui assure la mission de sensibilisation et de formation au profit de l'ensemble des administrations.
5) La cellule de communication met en oeuvre la communication interne et externe, en liaison étroite avec le Secrétaire général et avec l'appui d'un site thématique SSI ouvert en mai 2001 ( www.ssi.gouv.fr ).