Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de Sécurité Numérique

Il est créé une autorité administrative dénommée « Agence Monégasque de Sécurité Numérique » (A.M.S.N.) placée sous l'autorité directe du Ministre d'État.

L'Agence Monégasque de Sécurité Numérique est l'autorité nationale en charge de la sécurité des systèmes d'information.

Elle constitue un centre d'expertise, de réponse et de traitement en matière de sécurité et d'attaques numériques et a, à ce titre, en particulier pour missions :

• a) de prévenir, détecter et de traiter les cyberattaques, notamment par l'élaboration de plans, de procédures, de dispositifs de protection et de précaution et, plus généralement, de toutes mesures à proposer au titre de la sécurité numérique ;

• b) de réagir en situation de crises provoquées par des cyberattaques et de coordonner les actions de réaction ;

• c) de représenter la Principauté dans les instances internationales de sécurité numérique et auprès des autres centres d'expertise, de réponse et de traitement en matière d'attaques informatiques ;

• d) de sensibiliser et inciter les services publics et les opérateurs d'importance vitale (O.I.V.) aux exigences de la sécurité numérique ;

• e) de contrôler le niveau de sécurité des opérateurs d'importance vitale (O.I.V.) avec la collaboration de la Direction des Plateformes et des Ressources Numériques en ce qui concerne les opérateurs de communications électroniques exploitant de réseau ou fournisseur de services de télécommunications ou d'accès à internet.

Aux sens de la présente ordonnance et des textes pris pour son application, les opérateurs d'importance vitale s'entendent d'opérateurs publics ou privés :

• a) qui exerçent dans des secteurs essentiels pour le fonctionnement des institutions et des services publics, pour l'activité économique ou plus généralement pour la vie en Principauté ;

• b) qui exploitent des établissements ou utilisent des installations ou des ouvrages dont l'indisponibilité risquerait d'affecter de façon importante les intérêts mentionnés à la lettre a) du présent alinéa.

Les conditions et limites dans lesquelles s'exercent les missions susmentionnées sont fixées par arrêté ministériel*^[1].

L'Agence Monégasque de Sécurité Numérique a également pour missions :

• a) de contrôler les prestataires de services de confiance qualifiés, avancés ou simples, afin de s'assurer, à tout moment, que lesdits prestataires et les services qu'ils fournissent satisfont aux exigences fixées par arrêté ministériel ;

• b) de mettre en place, actualiser et publier la liste des prestataires de services de confiance qualifiés ainsi que les informations relatives aux services qu'ils fournissent, dénommée « liste de confiance » ;

• c) de mettre en place, si besoin, un service de certification électronique pour les services de l'État, la Commune, les personnes physiques ou morales inscrites au répertoire du commerce et de l'industrie.

Aux fins d'assurer l'accomplissement des missions définies à l'article 2-1, l'Agence Monégasque de Sécurité Numérique peut notamment :

• a) analyser les rapports d'évaluation de la conformité des prestataires de services de confiance qualifiés et des services de confiance qualifiés ;

• b) informer d'autres organes de contrôle et le public d'atteintes à la sécurité ou de pertes d'intégrité ;

• c) procéder à des audits ou demander à des organismes compétents d'effectuer une évaluation de la conformité des prestataires de services de confiance qualifiés et des services de confiance qualifiés ;

• d) vérifier l'existence et l'application de dispositions relatives au plan d'arrêt d'activité lorsque le prestataire de services de confiance qualifié cesse son activité ;

• e) vérifier l'existence et l'application de dispositions relatives au plan d'arrêt de service lorsque le prestataire de services de confiance qualifié cesse de fournir un service de confiance qualifié ;

• f) exiger que les prestataires de services de confiance remédient à tout manquement aux obligations fixées par arrêté ministériel.

• Les conditions, limites et modalités dans lesquelles s'exercent les missions susmentionnées sont fixées par arrêté ministériel.

L'Agence Monégasque de Sécurité Numérique est dirigée par un directeur, ayant qualité de chef de service au sens de la loi n° 975 du 12 juillet 1975, modifiée, susvisée. Le directeur a en outre pour mission :

• a) l'évaluation et la certification de la sécurité des produits et systèmes des technologies de l'information ;

• b) la qualification des prestataires de services de confiance et des services de confiance (PSCO) ;

• c) la qualification des prestataires d'audit de la sécurité des systèmes d'information (PASSI) ;

• d) la qualification des prestataires de réponse aux incidents (PRIS) ;

• e) la qualification des prestataires de détection d'incidents de sécurité (PDIS) ;

• f) la qualification des prestataires d'informatique en nuage et d'hébergement (PINH) ;

• g) l'élaboration des fonctions de sécurité prévus au titre IV de l'Ordonnance Souveraine n° 3.413 du 29 août 2011, modifiée, susvisée.

Il assure en outre toutes autres missions qui lui sont confiées par des dispositions légales ou réglementaires.

Les modalités d'évaluation et de certification de la sécurité des produits et systèmes des technologies de l'information ainsi que les conditions de délivrance de la qualification des divers prestataires sont déterminées par arrêté ministériel.

Outre son directeur, les services de l'Agence Monégasque de Sécurité Numérique comprennent des fonctionnaires et agents soumis aux règles générales applicables aux fonctionnaires et agents de l'État.

Aux fins d'assurer l'accomplissement des missions définies aux articles 2 à 3, le directeur peut mettre en œuvre des traitements, automatisés ou non, d'informations nominatives permettant l'identification, par tous procédés techniques et/ou moyens informatiques, des personnes et des biens, dans le respect des dispositions de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.

Lesdits traitements ont la qualité de traitements de sécurité publique au sens de ladite loi.

Le directeur est tenu de prendre toutes mesures utiles, au regard de la nature des données, pour préserver leur sécurité en empêchant, notamment, qu'elles soient déformées ou endommagées et pour veiller à ce qu'elles soient inaccessibles à des tiers non autorisés.

Seuls les personnels dûment et spécialement habilités par le directeur peuvent accéder aux données figurant dans les traitements d'informations nominatives susmentionnés.

L'habilitation précise les traitements auxquels elle autorise l'accès.

L'accès aux traitements fait l'objet d'une traçabilité sous la forme d'une journalisation périodique conservée par le responsable du traitement au sens de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, pendant dix ans.

Le directeur est tenu d'assurer la mise à jour des données et de veiller, selon les besoins, à ce qu'elles soient complétées, rectifiées ou effacées.

Les données figurant dans les traitements d'informations nominatives mentionnés à l'article précédent peuvent être transmises, conformément à des engagements internationaux exécutoires dans la Principauté, à des organismes de coopération de sécurité numérique ou à des services d'États étrangers dans le respect des dispositions des articles 20 et 20.1 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée, compétents en matière de prévention ou de répression d'infractions relatives à la sécurité numérique.

L'Agence Monégasque de Sécurité Numérique peut, quant à elle, recevoir des données contenues dans les traitements d'informations nominatives mis en œuvre par des organismes ou des services et conformément aux engagements internationaux mentionnés au précédent alinéa.

Notre Secrétaire d'État, Notre Directeur des Services Judiciaires et Notre Ministre d'État sont chargés, chacun en ce qui le concerne, de l'exécution de la présente ordonnance.