icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Arrêté Ministériel n° 2022-125 du 9 mars 2022 portant application de l'article 8 de l'arrêté ministériel n° 2016-723 du 12 décembre 2016 portant application de l'article 18 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale et fixant les niveaux de classification des informations, modifié.

  • N° journal 8582
  • Date de publication 18/03/2022
  • Qualité 100%
  • N° de page

Nous, Ministre d’État de la Principauté,

Vu la Constitution ;

Vu la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l’État, modifiée ;

Vu la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;

Vu la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique ;

Vu l’Ordonnance Souveraine n° 8.504 du 18 février 2021 portant application de l’article 24 de la loi n° 1.435 du 8 novembre 2016, susvisée ;

Vu l’arrêté ministériel n° 2016-723 du 12 décembre 2016, modifié, portant application de l’article 18 de la loi n° 1.430 du 13 juillet 2016, susvisée ;

Vu la délibération du Conseil de Gouvernement en date du 23 février 2022 ;

Arrêtons :

Article Premier.

Certains équipements contribuant à la protection des éléments classifiés, visés au premier alinéa de l’article 18 de la loi n° 1.430 du 13 juillet 2016, susvisée, tels que les dispositifs de sécurité ou leurs composants, de même que certains documents relatifs à ces équipements, nécessitent la mise en œuvre d’une gestion spécifique, visant à assurer leur traçabilité tout au long de leur cycle de vie.

Ces équipements et documents sont appelés : « Articles Contrôlés de la Sécurité des Systèmes d’Information » ou désignés sous l’acronyme « ACSSI ».

Art. 2.

La désignation d’un équipement ou d’un document en tant qu’ACSSI est prise par le Directeur de l’Agence Monégasque de Sécurité Numérique.

La liste des ACSSI est disponible à l’annexe I du présent arrêté.

En application des dispositions de l’arrêté ministériel n° 2016‑723 du 12 décembre 2016, modifié, susvisé, l’annexe I précitée ne donne pas lieu à publication. Son contenu est notifié aux seules personnes ayant le besoin d’en connaître.

Art. 3.

Les ACSSI portent un marquage spécifique tout au long de leur cycle de vie.

Ce marquage, qui consiste en un timbre de couleur rouge portant la mention « ACSSI », peut être gravé, imprimé ou apposé par étiquette indécollable.

Ce marquage peut, le cas échéant, accompagner une mention de niveau de classification.

Les documents ACSSI, doivent être paginés et identifiés conformément au Titre VI du paragraphe 1.2 de l’annexe à l’arrêté ministériel n° 2016-723 du 12 décembre 2016, modifié, susvisé.

Art. 4.

Les ACSSI bénéficient, le cas échéant, des mesures de protection liées à leur niveau de classification éventuel.

En cas de perte ou de compromission d’un ACSSI, l’utilisateur en informe sans délai l’officier de sécurité dont il relève. Ce dernier déclare l’incident à l’Agence Monégasque de Sécurité Numérique selon les modalités définies à l’annexe II du présent arrêté.

Un inventaire des incidents est adressé annuellement par l’Agence Monégasque de Sécurité Numérique au Ministre d’État.

Art. 5.

Les officiers de sécurité désignés conformément à l’article 10 de l’arrêté ministériel n° 2016-723 du 12 décembre 2016, modifié, susvisé, sont en charge du suivi des ACSSI.

Pour chaque ACSSI et chaque utilisateur concerné, les officiers de sécurité assurent :

-  la remise de l’ACSSI en application d’une décision prise conformément à l’article 7 du présent arrêté ;

-  la traçabilité au moyen d’un registre tel que prévu à l’article 6 du présent arrêté ;

-  un recensement annuel ;

-  la sensibilisation des utilisateurs à la détention et la manipulation des ACSSI ;

-  la délivrance des décisions d’accès aux ACSSI prises en application de l’article 7 du présent arrêté, en veillant à leur constante actualité ;

-  le recueil des déclarations de perte ou de compromission par un utilisateur ;

-  la notification, sans délai, à l’AMSN de toute perte ou compromission.

Art. 6.

La traçabilité des ACSSI dans le temps et dans l’espace est assurée à l’aide d’un registre mis en œuvre par l’Agence Monégasque de Sécurité Numérique.

Les officiers de sécurité y renseignent :

-  le numéro de série des équipements ;

-  le numéro de référence des documents ;

-  le numéro d’exemplaire ;

-  l’identité de l’utilisateur et le service au sein duquel il est affecté ;

-  le lieu de détention de l’ACSSI ;

-  la date de délivrance et la date de restitution à l’officier de sécurité.

Annuellement, les officiers de sécurité réalisent, à la date fixée par l’Agence Monégasque de Sécurité Numérique, un inventaire des ACSSI les concernant.

L’Agence Monégasque de Sécurité Numérique consolide les inventaires en les comparant aux informations contenues dans le registre.

Les écarts peuvent donner lieu à une déclaration d’incident par l’officier de sécurité concerné.

Art. 7.

La délivrance d’une décision d’accès aux ACSSI doit respecter les conditions suivantes :

-  l’utilisateur désigné doit être titulaire d’une décision d’habilitation au secret de sécurité nationale à un niveau équivalent à celui de l’ACSSI si celui-ci est lui-même classifié ;

-  l’emploi ou la fonction de l’utilisateur doivent nécessiter de manipuler ou de détenir des informations aux moyens d’un ACSSI ;

-  l’utilisateur doit avoir reçu une sensibilisation à la détention et la manipulation d’un ACSSI.

La décision d’accès aux ACSSI rendue au regard des critères susmentionnés, est délivrée pour une période maximale de cinq ans, renouvelable.

Dès lors que le titulaire ne remplit plus les conditions requises, la décision d’accès aux ACSSI lui est immédiatement retirée et les ACSSI dont il était attributaire sont restitués sans délai à l’officier de sécurité.

À l’occasion de convoyages, une décision d’accès temporaire aux ACSSI peut être délivrée par l’officier de sécurité dont dépend le convoyeur. La durée de validité est précisée sur la décision.

Le formulaire de décision d’accès aux ACSSI est disponible à l’annexe III du présent arrêté.

En application des dispositions de l’arrêté ministériel n° 2016‑723 du 12 décembre 2016, modifié, susvisé, l’annexe III précitée ne donne pas lieu à publication. Son contenu n’est notifié qu’aux seules personnes ayant le besoin d’en connaître.

Art. 8.

Le transport des ACSSI est réalisé conformément au paragraphe 3.2 du Titre VII de l’annexe à l’arrêté ministériel n° 2016-723 du 12 décembre 2016, modifié, susvisé.

Art. 9.

La fin de vie des ACSSI est organisée conformément au paragraphe 5 du Titre VII de l’annexe à l’arrêté ministériel n° 2016-723 du 12 décembre 2016, modifié, susvisé.

Art. 10.

Le Conseiller de Gouvernement-Ministre de l’Intérieur, le Secrétaire Général du Gouvernement et le Directeur de l’Agence Monégasque de Sécurité Numérique sont chargés, chacun en ce qui le concerne, de l’exécution du présent arrêté.

Fait à Monaco, en l’Hôtel du Gouvernement, le neuf mars deux mille vingt-deux.

Le Ministre d’État,

P. Dartout.

 

Annexe à l’arrêté ministériel n° 2022-125 du 9 mars 2022.

Annexe II - PERTE OU COMPROMISSION D’ACSSI

Un incident de sécurité est un événement indésirable ou inattendu présentant une probabilité forte de porter atteinte à la confidentialité, l’intégrité ou la disponibilité des informations ou des systèmes protégés par un ACSSI.

Un incident de sécurité peut ou non conduire à une compromission. En revanche, une compromission est nécessairement issue d’un incident de sécurité.

Tout incident de sécurité concernant un ACSSI doit être immédiatement, et par tout moyen, déclaré par l’utilisateur de l’ACSSI à l’officier de sécurité dont il relève. Les informations concernant l’incident sont collectées par ce dernier et transmises à l’Agence Monégasque de Sécurité Numérique au moyen du formulaire de déclaration d’incident disponible et téléchargeable à l’adresse : https://amsn.gouv.mc/securite nationale/ .

Une compromission d’ACSSI est un incident de sécurité dont l’issue possible ou avérée est la divulgation d’un bien protégé à une personne non légitime, de manière fortuite ou délibérée.

Au regard de la déclaration de l’incident de sécurité, l’Agence Monégasque de Sécurité Numérique en évalue l’impact et prononce ou non une compromission. Elle précise les actions à mener par les acteurs responsables.

En fonction de la décision de l’Agence Monégasque de Sécurité Numérique, celle-ci peut déposer plainte auprès de la Direction de la Sûreté Publique pour enquête.

L’Agence Monégasque de Sécurité Numérique adresse un rapport immédiat au Ministre d’État pour toute compromission d’un ACSSI classifié.

L’AMSN peut déclarer une compromission concernant un matériel, un composant, un document ou un réseau. Elle s’adresse alors à l’officier de sécurité afin que celui-ci lui transmette dans les plus brefs délais les éléments relatifs :

-  aux usagers dont les ACSSI sont potentiellement compromis (volume, géographie, contexte opérationnel, …) ;

-  aux localisations des dispositifs déclarés compromis ;

-  à la quantité des moyens ou informations déclarés compromis par site ;

-  à toute autre information pertinente.

L’Agence Monégasque de Sécurité Numérique est avertie sans délai de tout incident. Elle décide des mesures conservatoires à prendre au plus tôt selon l’incident rapporté : révocation de l’équipement du réseau de chiffrement, passage sur une clé de secours, ou toute autre mesure qu’elle juge nécessaire pour limiter les conséquences de l’incident. Elle qualifie l’importance de l’incident, éventuellement, en liaison avec l’autorité française concernée.

Les délais de traitement sont conditionnés par :

-  la gravité de l’impact sur le système intégrant l’ACSSI compromis ou sur le réseau de chiffrement dont l’ACSSI est un élément ;

-  les obligations vis-à-vis d’institutions internationales.

Le compte rendu initial est adressé à l’Agence Monégasque de Sécurité Numérique dans les 24 heures qui suivent tout incident.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14