Le ministre du travail, de la solidarité et de la fonction publique, la ministre de la santé et des sports et le
ministre de la jeunesse et des solidarités actives,
Vu l'article L. 1141-1 du code de la défense ;
Vu l'article L. 1431-1 du code de la santé publique ;
Vu le décret no 2007-207 du 19 février 2007 relatif aux attributions des hauts fonctionnaires de défense et de
sécurité ;
Vu le décret no 2009-1540 du 10 décembre 2009 relatif à l'organisation et aux missions des directions
régionales de la jeunesse, des sports et de la cohésion sociale ;
Vu l'arrêté du 11 mai 2007 modifié relatif à l'organisation, aux attributions et aux moyens du service du
haut fonctionnaire de défense et de sécurité auprès des ministres chargés des affaires sociales ;
Vu l'instruction générale interministérielle no 900/SGDN/SSD/DR du 20 juillet 1993 sur la sécurité des
systèmes d'information qui font l'objet d'une classification de défense ;
Vu la recommandation no 901/DISSI/SCSSI du 2 mars 1994 pour la protection des systèmes d'information
traitant des informations sensibles non classifiées de défense,
Arrêtent :
Art. 1er. - Sont désignés autorités qualifiées pour la sécurité des systèmes d'information (AQSSI), pour les
administrations centrales, les titulaires des fonctions suivantes :
les chefs de cabinet des ministres, des secrétaires d'Etat et des hauts commissaires ;
les directeurs d'administration centrale ;
les délégués ministériels et interministériels.
Art. 2. - Sont désignés autorités qualifiées pour la sécurité des systèmes d'information (AQSSI) pour les
services déconcentrés et les établissements publics et les organismes nationaux placés sous la tutelle des
ministres :
les directeurs des directions régionales de la jeunesse, des sports et de la cohésion sociale ;
le directeur régional des affaires sanitaires et sociales d'Ile-de-France ;
le directeur régional de la jeunesse, des sports et de la vie associative d'Ile-de-France ;
les directeurs des agences sanitaires nationales et des agences régionales de santé ;
les directeurs des autres établissements publics nationaux et des organismes nationaux placés sous la
tutelle des ministres.
Art. 3. - L'autorité qualifiée pour la sécurité des systèmes d'information (AQSSI) est la personne
responsable, pour sa structure, de la sécurité des systèmes d'information. Sa responsabilité ne peut être
déléguée. L'autorité qualifiée pour la sécurité des systèmes d'information s'assure, à ce titre, de l'application
des instructions ministérielles données en cette matière, sous l'autorité du haut fonctionnaire de défense et de
sécurité.
Dans ce cadre, en liaison avec le fonctionnaire de sécurité des systèmes d'information (FSSI), elle est
chargée :
de désigner l'autorité d'appui la représentant au sein des différentes instances traitant de la sécurité des
systèmes d'information ;
de disposer d'une analyse des risques encourus par les systèmes d'information de sa structure et de la
mettre régulièrement à jour ;
de décliner la politique ministérielle de sécurité des systèmes d'information adaptée aux spécificités de sa
structure et d'en fixer les objectifs ;
de s'assurer que les dispositions réglementaires et contractuelles sur la sécurité des systèmes d'information
sont appliquées ;
d'élaborer les directives internes et de désigner les responsables de la sécurité des systèmes d'information
chargés des diverses tâches liées à la sécurité des systèmes d'information ;
d'organiser la sensibilisation et la formation du personnel aux questions de sécurité ;
de veiller à l'application des procédures prescrites, y compris par les entreprises contractantes, pour la
protection et le contrôle des personnels, en particulier concernant les droits d'accès, l'habilitation et le
respect de la vie privée ;
de s'assurer que les contrôles internes de sécurité sont régulièrement effectués ;
de s'assurer que tout système d'information, avant sa mise en service, a fait l'objet d'une homologation
tant pour les produits que les installations ;
d'apporter sa contribution aux plans de lutte interministériels contre le cyberterrorisme, en prenant
notamment en compte les avis ou alertes émis par le centre d'expertise gouvernemental de réponse et de
traitement des attaques informatiques (CERTA) et en rendant compte immédiatement aux autorités de tout
incident et de tout phénomène suspect pouvant affecter la sécurité des systèmes d'information avec, si
besoin, un régime d'astreinte approprié.
Art. 4. - L'arrêté du 11 décembre 2008 portant désignation des autorités qualifiées de sécurité des systèmes
d'information dans les services de l'administration centrale et les services déconcentrés du ministère du travail,
des relations sociales, de la famille et de la solidarité et du ministère de la santé, de la jeunesse, des sports et
de la vie associative est abrogé.
Art. 5. - Le haut fonctionnaire de défense et de sécurité est chargé de l'exécution du présent arrêté, qui
sera publié au Journal officiel de la République française.
Fait à Paris, le 25 mars 2010.
La ministre de la santé et des sports,
Pour la ministre et par délégation :
Le secrétaire général des ministères
chargés des affaires sociales,
haut fonctionnaire de défense et de sécurité,
J.-M. BERTRAND
Le ministre du travail, de la solidarité
et de la fonction publique,
Pour le ministre et par délégation :
Le secrétaire général des ministères
chargés des affaires sociales,
haut fonctionnaire de défense et de sécurité,
J.-M. BERTRAND
Le ministre de la jeunesse
et des solidarités actives,
Pour le ministre et par délégation :
Le secrétaire général des ministères
chargés des affaires sociales,
haut fonctionnaire de défense et de sécurité,
J.-M. BERTRAND