M. Bernard Carayon interroge M. le Premier ministre sur l'Agence nationale de sécurité des systèmes d'information (ANSSI). Il souhaite savoir si cette agence est chargée d'assister les administrations centrales de l'État dans la sélection des entreprises de maintenance de leurs réseaux informatiques.
L'Agence nationale de la sécurité des systèmes d'information est un service à compétence nationale qui relève du secrétaire général de la défense et de la sécurité nationale, chargé d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale. Selon l'article 4 du décret n° 2009-834 du 7 juillet 2009 qui a présidé à sa création, l'Agence nationale de la sécurité des systèmes d'information, parmi ses missions, « se prononce sur la sécurité des dispositifs et des services, offerts par les prestataires, nécessaires à la protection des systèmes d'information ». En son article 5, le même décret précise qu'elle « apporte son concours aux services de l'État en matière de sécurité des systèmes d'information ». Tous les services de l'État, et notamment les administrations centrales, peuvent donc solliciter l'Agence nationale de la sécurité des systèmes d'information pour obtenir conseils et assistance dans le domaine de la sécurité des systèmes d'information, y compris pour ce qui concerne l'externalisation de prestations sur leurs réseaux informatiques. Chaque ministère conserve la responsabilité de la sélection des entreprises et de tout autre choix en matière de sécurité des systèmes d'information. En effet, la circulaire du Premier ministre n° 4201/SG du 13 avril 1995 relative à la sécurité des systèmes d'information prévoit que « chaque ministre est responsable des dispositions à prendre dans son département en vue de développer à tous les échelons le sens de la sécurité ; apprécier en permanence le niveau de sécurité des installations ; recenser les besoins en matière de protection des systèmes d'information et dégager les ressources nécessaires ; faire appliquer les décisions supérieures et les prescriptions réglementaires ; répondre aux objectifs de cette directive ». Compte tenu de ses moyens limités, notamment en ressources humaines, l'Agence nationale de la sécurité des systèmes d'information réserve l'assistance directe de ses experts aux projets informatiques les plus structurants ou novateurs, ou ayant un besoin de sécurité élevé. Pour répondre aux besoins d'assistance courants, l'Agence nationale de la sécurité des systèmes d'information développe et diffuse un important corpus documentaire, composé de référentiels, de guides et de recommandations, sur lequel les administrations peuvent s'appuyer dans toute démarche, interne ou externalisée, de sécurisation de leurs systèmes d'information. Par ailleurs, à terme, les administrations seront aidées, dans le choix des sociétés auxquelles elles pourront confier tout ou partie de leurs systèmes d'information, par un dispositif de labellisation. L'Agence nationale de la sécurité des systèmes d'information va mettre en place ce dispositif en application du décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Ce décret fixe les conditions dans lesquelles les prestataires de services de confiance (PSCO) peuvent faire l'objet d'une qualification, délivrée par le Premier ministre, attestant que les fonctions de sécurité qu'ils mettent en oeuvre sont conformes aux règles du référentiel général de sécurité. Enfin, au-delà des aspects techniques, les administrations ont la possibilité, avant d'entamer une démarche d'externalisation touchant leurs systèmes d'information, de solliciter les conseils, selon le cas, de la direction de la protection et de la sécurité de la défense du ministère de la défense, ou de la direction centrale du renseignement intérieur du ministère de l'intérieur, de l'outre-mer et des collectivités territoriales.
Aucun commentaire n'a encore été formulé sur cette question.