La mise en œuvre de ce dispositif repose en premier lieu sur une concertation entre les acteurs concernés.
Lorsqu’il existe un risque lié à la captation d’informations, de savoirs et de savoir-faire sensibles, susceptible de porter atteinte au potentiel scientifique et technique de la nation, le chef d’établissement et le ministère des armées (DGA/SSDI, qui est responsable de la mise en œuvre du dispositif pour l’industrie de défense*, avec le soutien de la Direction du renseignement et de la sécurité de la défense, DRSD) s’entendent sur la nécessité de créer une (ou plusieurs) zone(s) à régime restrictif (ZRR).
Afin de déterminer le besoin de protection, un questionnaire d’évaluation du potentiel scientifique et technique détenu au sein de l’établissement (voir document type) est tout d’abord renseigné par le chef d’établissement puis transmis** à DGA/SSDI et à la DRSD.
Ce questionnaire invite notamment le chef d’établissement à identifier les éléments sensibles, matériels et immatériels, relatifs aux activités scientifiques et technologiques de l’établissement et à délimiter en conséquence la/les zone(s) nécessitant une protection renforcée à travers la mise en place de ZRR.

Si l’étude du questionnaire complété et l’analyse du contexte sécuritaire confirment le besoin de protection au titre du dispositif de la PPST, DGA/SSDI invite alors l’établissement à constituer le dossier de création (télécharger la liste des pièces nécessaires) et à le lui retourner***. L’instruction, par DGA/SSDI, du dossier complété aboutit alors à la prise d’un arrêté de création de ZRR (signé par la DGA).

Pour toutes ces phases d’identification, de localisation des éléments à protéger, de délimitation de la/des ZRR, la concertation et le soutien des entités étatiques (DGA/SSDI et DRSD) peuvent être recherchés.

Aucune mesure de protection physique n’est exigée en dehors d’un espace clos, délimité et doté à chacun de ses accès extérieurs d’une signalétique informant du statut de ZRR. L’établissement adapte, selon ses moyens et ses besoins, le niveau de protection des activités sensibles qu’il abrite.

En matière de sécurité des systèmes d’information, l’établissement doit notamment mettre en place une politique de sécurité des systèmes d’information (PSSI), document qui diffuse notamment les bonnes pratiques en matière de sécurité informatique (voir le guide sur la protection numérique du PSTN de l’ANSSI).

L’accès à une ZRR relevant du ministère des armées, qu’il soit physique ou virtuel, pour y effectuer un stage, y préparer un doctorat, y participer à une activité de recherche, y suivre une formation, y effectuer une prestation de service ou y exercer une activité professionnelle est soumis à l’autorisation du chef d’établissement, après avis favorable du ministre des armées (en l’occurrence de DGA/SSDI).
La procédure de demande d’accès est formalisée par le remplissage, par le demandeur, d’un formulaire type. Le formulaire est complété par l’établissement puis transmis aux services compétents du ministère des armées (DRSD puis DGA/SSDI) pour instruction. L’avis ministériel est rendu par DGA/SSDI et transmis au chef d’établissement. La décision finale d’accès en ZRR appartient au chef d’établissement. Elle ne peut différer de l’avis ministériel qu’en cas d’avis ministériel favorable ou favorable avec réserve(s). Dans ce cas uniquement, l’établissement informe, par courriel, DGA/SSDI de sa décision (voir modèle de notification de décision d'accès en ZRR).

Un document de synthèse et de rappels des principaux points en lien avec la réglementation peut être communiqué sur demande auprès du service compétent DGA.

* pour les seules entreprises ayant conclu un contrat (ou une convention spécifique) avec la DGA.

** ce document complété doit alors être considéré comme un document de sensibilité « diffusion restreinte ». Il doit alors être transmis de façon adaptée (chiffré et avec le marquage en cas d’envoi par courriel ou avec le marquage en cas d’envoi par courrier). Voir le courriel et l’adresse postale de DGA/SSDI.
*** certaines pièces complétées du dossier doivent être considérées comme des documents de sensibilité « diffusion restreinte ». Elles doivent alors être transmises de façon adaptée (chiffrées et avec le marquage en cas d’envoi par courriel ou avec le marquage en cas d’envoi par courrier). Voir le courriel et l’adresse postale de DGA/SSDI.

A télécharger aussi :
- Formulaire type d’inscription au répertoire national des ZRR
- Convention type liant la DGA et l'établissement en matière de PPST