> Télécharger au format PDF
Archivé CABINET DU MINISTRE :

INSTRUCTION N° 4418/DEF/SEC/DIR/SIC relative à la mise en œuvre de la sécurité des systèmes d'information au sein du ministère de la défense.

Du 25 septembre 2000
NOR D E F M 0 0 5 2 1 3 6 J

Autre(s) version(s) :

 

Texte(s) abrogé(s) :

Instruction n° 4418/DEF du 6 juillet 1981 (BOC, p. 4129) et son modificatif du 1er octobre 1984 (BOC, 1985, p. 728).

Classement dans l'édition méthodique : BOEM  160.3.

Référence de publication : BOC, p. 4343.

1. Objet et champ d'application.

La présente instruction fixe les modalités de mise en œuvre de la sécurité des systèmes d'information (SSI) et sa prise en compte dans toutes les phases du cycle de vie des systèmes d'information du ministère de la défense dès lors qu'ils relèvent des champs d'application de l'instruction générale interministérielle (IGI) no 900/SGDN de référence d) ou de la recommandation no 901/DISSI/SCSSI de référence l).

Elle se place en complément des mesures définies dans le cadre de l'IGI no 1300/SGDN de référence c).

Elle s'applique à tous les organismes du ministère de la défense, aux établissements ou organismes sous tutelle, et aux sociétés ou personnes titulaires de contrats classés de défense au sens de l'instruction interministérielle no 2000/SGDN de référence e).

Les systèmes devant respecter des mesures de sécurité relevant de l'organisation du traité de l'Atlantique Nord (OTAN) et de l'union de l'Europe occidentale (UEO) sont soumis aux règles particulières éventuellement prescrites par ces organisations.

2. La sécurité des systèmes d'information.

Au sein du ministère de la défense, la sécurité des systèmes d'information telle que définie par l'article 2 de l'IGI no 900 [voir réf. d)] s'applique à l'ensemble des systèmes d'information et de communication définis au même article, quel que soit le domaine dont ils relèvent, opérationnel, scientifique et technique, informatique générale, ainsi qu'aux interfaces avec tout système externe.

Elle comporte la définition et l'application :

  • de dispositions de sécurité générale relatives au personnel, aux sites et aux locaux abritant les systèmes ou éléments de systèmes d'information, ainsi qu'aux équipements et à leur environnement technique (énergie, climatisation, incendie, etc.) ;

  • de mesures d'organisation précisant en particulier les périmètres de responsabilité ;

  • de procédures d'exploitation ;

  • de mesures techniques relatives au chiffre et à la sécurité des communications, à la sécurité informatique ainsi qu'à la protection contre l'émission de signaux parasites compromettants.

3. Nature des systèmes et des informations à protéger.

Les mesures de sécurité des systèmes d'information s'appliquent aux systèmes suivants :

  • 1. Systèmes traitant des informations classifiées de défense, c'est-à-dire :

    • des informations protégées au niveau national ;

    • des informations confiées à la France par des puissances étrangères (organismes ou pays) en application d'accords ou de protocoles de sécurité ;

    • des informations protégées dans le cadre du déploiement et de la mise en œuvre de systèmes d'armes ou de systèmes d'information et de communication en opération extérieure.

  • 2. Systèmes traitant des informations sensibles non classifiées de défense au sens de l'article 4 de la recommandation no 901 [voir réf. l)] et de l'instruction ministérielle no 981 [voir réf. i)] ainsi que celles dont le non-respect de la confidentialité, de la disponibilité ou de l'intégrité mettrait en cause le bon fonctionnement et la continuité du service public.

Sont également à protéger l'ensemble des équipements et des informations vitaux, au sens de l'article 6 de l'IGI no 900/SGDN de référence d) et de l'article 5 de la recommandation no 900/DISSI/SCSSI de référence l) pour le fonctionnement des systèmes précédents.

4. Organisation et responsabilités.

4.1. Organisation du ministère.

La sécurité des systèmes d'information est une composante essentielle des systèmes d'information et de communication du ministère de la défense. Elle relève de l'autorité du ministre. A ce titre, elle est partie intégrante de la politique générale définie par le directoire des systèmes d'information et de communication et sa mise en œuvre est assurée dans le cadre d'organisations définies par les textes de références b) et j).

Pour assurer la sécurité des systèmes d'information, le ministre de la défense est assisté du secrétaire du directoire des systèmes d'information et de communication.

Le secrétaire du directoire des systèmes d'information et de communication préside la commission ministérielle de la sécurité des systèmes d'information qui coordonne l'activité des états-majors, directions et services en ce domaine.

Il est assisté, dans l'exercice de ces responsabilités, par le fonctionnaire de sécurité des systèmes d'information (FSSI) qui lui est directement rattaché. Ce dernier, secrétaire de la commission ministérielle pour la sécurité des systèmes d'information, est chargé de s'assurer de la bonne exécution des directives et orientations ministérielles et interministérielles ainsi que de la coordination et de la cohérence des actions menées dans le ministère.

Le chef d'état-major des armées coordonne l'informatique opérationnelle et les actions conduites par les armées en matière de sécurité des systèmes d'information. A ce titre il est responsable de l'interopérabilité des systèmes opérationnels.

Le délégué général pour l'armement coordonne l'informatique scientifique et technique au sein du ministère. Il assure la maîtrise d'ouvrage déléguée des systèmes développés dans le cadre des programmes d'armement et projets que la délégation conduit. A ce titre, il dispose d'un centre d'expertise technique unique pour tout le ministère.

Le chef d'état-major des armées et le délégué général pour l'armement participent à la définition de la politique de développement des produits de chiffrement.

Le chef d'état-major des armées fixe les règles générales relatives à l'emploi des procédés de chiffrement utilisés pour le traitement des informations protégées, dans le cadre national et international. A ce titre, il :

  • choisit, sauf cas régis par des règles particulières, les procédés, circuits et algorithmes développés au profit du ministère de la défense, en liaison avec l'état-major concerné et la délégation générale pour l'armement ;

  • approuve tout projet de mise en place par une ou plusieurs autorités qualifiées de procédé ou moyen cryptographique agréé au profit d'un système ou d'un réseau particulier des armées ;

  • veille à la conformité d'emploi des systèmes et à la satisfaction des impératifs d'interopérabilité et de sécurité dans le respect des prérogatives des autorités qualifiées.

Le secrétaire général pour l'administration coordonne l'informatique générale. Il est responsable de l'application de la sécurité des systèmes d'information relevant de sa compétence.

4.2. Voie fonctionnelle de la sécurité des systèmes d'information.

Conformément à l'article 6 de l'instruction interministérielle no 910/SGDN [voir réf. f)], il est créé une voie fonctionnelle de la sécurité des systèmes d'information placée sous le contrôle du fonctionnaire de sécurité des systèmes d'information et visant à assurer l'efficacité et la cohérence des mesures prises dans le domaine. Elle est constituée de circuits spécifiques d'autorités de gestion, d'information et de contrôle. L'arborescence fonctionnelle identifie les autorités qualifiées, les bureaux centraux de sécurité des systèmes d'information, les officiers de sécurité des systèmes d'information d'organismes centraux ou locaux (OSSI) et les responsables de sécurité des systèmes d'information de programmes ou projets (RSSI).

En respectant le cadre d'interopérabilité fixé, la voie fonctionnelle a pour objet notamment :

  • de créer les conditions d'une protection efficace et cohérente des systèmes d'information, en définissant les structures appropriées et en fixant les responsabilités des différents acteurs ;

  • de concourir à la définition des politiques de sécurité interne des systèmes ;

  • de promouvoir la mise en œuvre de méthodes harmonisées d'homologation, d'audit, d'inspection et de contrôle ;

  • de porter et de maintenir les systèmes d'information au niveau de sécurité fixé par l'autorité qualifiée ;

  • d'assurer au niveau de chacun des sites la gestion (comptabilité et détention) des articles contrôlés de la sécurité des systèmes d'information (ACSSI) ;

  • d'assurer une maîtrise des risques par l'adoption de toute mesure appropriée, en particulier en cas d'incident ou d'apparition de menaces.

4.2.1. Les autorités qualifiées.

  • a).  Désignation.

    Le respect des attributions des autorités hiérarchiques, l'étendue du domaine couvert ainsi que la spécificité des systèmes mise en œuvre conduisent à confier la responsabilité de la sécurité des systèmes d'information à des autorités qualifiées.

    L'autorité qualifiée désignée en application de l'article 20 de l'IGI no 900/SGDN de référence d) est responsable devant le ministre de la sécurité des systèmes d'information pour les organismes relevant de son autorité ainsi que pour les systèmes dont elle a directement la charge. Elle applique les orientations générales fixées par la commission ministérielle de la SSI ou le directoire des systèmes d'information et de communication. Elle affecte les ressources humaines et budgétaires nécessaires à la réalisation des objectifs assignés.

    Cette responsabilité ne peut pas se déléguer.

    Les autorités qualifiées du ministère de la défense sont :

    • le chef d'état-major des armées ;

    • le délégué général pour l'armement ;

    • le secrétaire général pour l'administration ;

    • le chef d'état-major de l'armée de terre ;

    • le chef d'état-major de la marine ;

    • le chef d'état-major de l'armée de l'air ;

    • le directeur général de la gendarmerie nationale ;

    • le directeur général de la sécurité extérieure ;

    • le directeur de la protection et de la sécurité de la défense ;

    • le directeur du service à compétence nationale DCN.

    Toute autre autorité qualifiée du ministère est désignée par le ministre, sur proposition du directoire des systèmes d'information et de communication.

    La compétence d'une autorité qualifiée s'étend à tout organisme qui ne lui est pas subordonné, si celui-ci n'a pas d'autorité qualifiée et si elle y met en place des systèmes d'information à la demande du responsable de l'organisme.

    Tout organisme, société ou personne, mentionné au troisième alinéa du paragraphe I, doit notifier à l'autorité contractante, représentante du ministre, la désignation d'une autorité qualifiée selon des modalités qui lui sont propres.

  • b).  Responsabilités.

    L'autorité qualifiée assume les responsabilités énoncées à l'article 20 de l'IGI no 900/SGDN de référence d). En outre, elle est chargée :

    • de mettre en place l'organisation de la sécurité des systèmes d'information, de définir les règles de désignation des officiers de sécurité des systèmes d'information des échelons subordonnés ainsi que des responsables de la sécurité de systèmes d'information des systèmes dont elle a la charge ;

    • d'organiser le processus d'homologation de ses systèmes ;

    • de définir les objectifs de formation et de sensibilisation de son personnel aux questions de sécurité ;

    • d'assurer la gestion centralisée des ACSSI ;

    • de délivrer les autorisations ou les décisions d'accès SSI ;

    • d'évaluer le niveau général de sécurité de ses systèmes.

    Elle dispose d'un bureau ou d'une section, à défaut d'un responsable chargé d'exécuter ou de faire exécuter les tâches :

    • d'organisation de la voie fonctionnelle de la sécurité des systèmes d'information ;

    • d'élaboration des directives particulières d'application ;

    • de participation à l'expression des objectifs de sécurité des systèmes et de mise en œuvre des méthodes de sécurisation correspondantes ;

    • de mise en place et d'actualisation des cycles et actions de formation et de sensibilisation ;

    • de suivi des homologations et de définition des modalités de leur mise en œuvre ;

    • de mise en œuvre des opérations d'inspection, de contrôle ou d'audit ;

    • de participation aux travaux des instances spécialisées mises en place au sein du ministère ;

    • de recensement des systèmes et des applications classifiées de défense ou sensibles et de mise à jour de la liste correspondante ;

    • de tenue à jour, dans le respect des directives ministérielles en la matière et en précisant s'ils bénéficient ou non d'un agrément, de la liste des ACSSI.

    Elle peut confier ses attributions en matière d'homologation des systèmes à des autorités déléguées. La délégation fixe les limites des attributions correspondantes et précise le niveau de confidentialité maximal pour lequel chaque autorité déléguée est compétente.

    Elle peut déléguer la délivrance des autorisations d'accès SSI à des autorités hiérarchiques subordonnées ou à l'un de ses subordonnés désignés à cet effet.

4.2.2. Les autorités hiérarchiques subordonnées.

Les mesures d'exécution sont à la charge des échelons de commandement opérationnels, organiques ou territoriaux ainsi que des directions et services, jusqu'au niveau organique élémentaire propre à chaque organisation.

Toute autorité, jusqu'au niveau élémentaire selon chaque organisation, applique la politique de sécurité par l'autorité qualifiée. Elle fait adopter, dans le cadre de la réglementation et des directives reçues, les mesures permettant d'assurer la sécurité des systèmes d'information qu'elle met en œuvre. Elle veille à la cohérence entre la sécurité des systèmes d'information et la sécurité générale.

Elle assure le suivi de son personnel en matière de formation et de sensibilisation et met en œuvre les procédures réglementaires de sécurité prescrites pour l'habilitation des personnes.

Elle est assistée dans ses missions par un officier de sécurité des systèmes d'information nommément désigné parmi le personnel relevant de son autorité. L'action de l'OSSI s'exerce sur l'ensemble des systèmes d'information relevant de l'autorité concernée ou mis en œuvre par elle. Selon l'importance ou la spécificité d'un système considéré, l'autorité peut désigner pour ce système un responsable de la sécurité des systèmes d'information.

Elle peut mettre en œuvre à son initiative des opérations de contrôle et d'audit.

4.3. Cas particuliers.

4.3.1. Système mis en œuvre par des organismes relevant d'autorités qualifiées différentes.

La responsabilité de la sécurité d'un même système dont la mise en œuvre est partagée entre des organismes relevant d'autorités qualifiées différentes incombe à l'une d'entre elles agissant en tant qu'autorité qualifiée pour ce système. Lorsque l'identification de cette autorité ne peut pas être déterminée de manière évidente, sa désignation relève d'une décision prise en commission ministérielle de la sécurité des systèmes d'information. En cas de désaccord la décision relève du directoire des systèmes d'information et de communication.

L'autorité qualifiée responsable est garante de la cohérence de la politique de sécurité et de la coordination des mesures à mettre en œuvre conformément à un protocole d'accord visé par les organismes concernés. Elle désigne un RSSI dont la compétence s'étend à l'ensemble du système. Celui-ci prépare les commissions d'homologation qui réunissent les représentants des autorités qualifiées concernées.

4.3.2. Interconnexion de systèmes internes du ministère.

Lorsque des systèmes doivent être interconnectés, les autorités qualifiées (ou leurs représentants) concernées se concertent pour définir et approuver conjointement une politique de sécurité de l'interconnexion.

Cette politique, déterminée après réalisation d'une analyse de sécurité visant à identifier les risques et à garantir la cohérence des objectifs de sécurité des systèmes interconnectés, fixe notamment les règles de filtrage en termes de niveau de sécurité et du besoin d'en connaître, les mesures techniques et les dispositions d'organisation adoptées, les règles de sécurité et les procédures d'exploitation retenues ainsi que les modalités de réalisation des homologations.

Lorsque les systèmes dépendent d'autorités qualifiées différentes, un protocole d'accord est établi entre les autorités qualifiées des systèmes participant à l'interconnexion. Celui-ci énonce la politique de sécurité retenue et précise notamment l'autorité qualifiée responsable de son application.

Toute évolution majeure des connexions d'un système doit conduire à une révision de l'homologation en cours.

4.3.3. Interconnexion avec des systèmes extérieurs au ministère.

L'autorité qualifiée responsable propose à l'approbation du ministre tout projet impliquant d'autres ministères, organisations internationales ou partenaires français ou étrangers et relatif à la mise en œuvre conjointe ou à la connexion permanente de systèmes d'information traitant des informations classifiées de défense au sens de l'article 5 de l'IGI no 900/SGDN de référence d), des informations sensibles définies à l'article 4 de la recommandation no 901DISSI/SCSSI de référence l) et de l'instruction ministérielle no 981/DEF de référence i). Le dossier correspondant est instruit par l'autorité qualifiée pour ce qui relève de son domaine de compétences.

Lorsque le ministre autorise l'interconnexion, l'autorité qualifiée établit un protocole avec les autorités responsables des systèmes connectés. Celui-ci précise notamment l'autorité responsable de l'interconnexion, les mesures techniques et les dispositions d'organisation adoptées, les règles de sécurité et les procédures d'exploitation retenues ainsi que les modalités de réalisation des homologations.

Pour les interconnexions temporaires, la demande est effectuée une fois et globalement pour toute les connexions de même type et de conditions d'exploitation équivalentes.

5. Procédures et méthodes.

5.1. Généralités.

L'assurance qu'un système d'information possède le niveau de sécurité requis implique le respect de règles de conformité dans la conduite du projet (expression du besoin, conception, réalisation) ainsi que dans la réalisation des tests de recette.

Le cadre méthodique utilisé assure la prise en compte de la sécurité tout au long du cycle de vie d'un système d'information, notamment dans les phases ou situations suivantes :

  • expression du besoin et des objectifs de sécurité ;

  • conception ;

  • réalisation ;

  • évaluation ;

  • homologation ;

  • exploitation et gestion de la configuration ;

  • contrôles périodiques ;

  • intervention préventive ou curative ;

  • réévaluation éventuelle ;

  • retrait et destruction.

Les mesures de maintien en condition opérationnelle et les contrôles périodiques concourent à l'entretien du niveau de sécurité des systèmes d'information requis.

5.1.1. Expression du besoin et des objectifs de sécurité.

La cohérence d'ensemble de la prise en compte de la sécurité des systèmes d'information exige que l'expression du besoin de sécurité soit établie sur la base de méthodes reconnues au niveau du ministère. Une analyse des menaces pesant sur le système précède la formalisation des objectifs de sécurité, partie intégrante du cahier des charges fonctionnelles. Cette dernière contribue à la définition de la cible de sécurité.

5.1.2. Conception, réalisation.

Le développement des systèmes d'information opérationnels et de communication relève principalement des instructions particulières no 1514 [voir réf. g)] et no 800 [voir réf. k)] sur la conduite des programmes d'armement pour la prise en compte de la sécurité des systèmes d'information.

Lors de la conception et de la réalisation du système les exigences de sécurité sont satisfaites dans le respect des normes internationales, lorsqu'elles existent, éventuellement reconnues sous forme d'accords ou d'arrangements signés par le service central de la sécurité des systèmes d'information (SCSSI).

Il convient d'établir un plan d'organisation du développement, rappelant les réglementations générales et spécifiques, précisant les contrats à conclure et les conditions de choix des contractants. Il comprend une annexe précisant les niveaux de classification et tous les produits créés pour la mise en œuvre du projet, ainsi que les outils et procédures à utiliser pour garantir la sécurité au cours du développement.

5.1.3. Utilisation.

L'utilisation de tous les systèmes d'information nécessite la mise en œuvre de procédures d'exploitation dont les modalités d'exécution relèvent de l'autorité d'emploi et restent conformes aux directives émises par la voie fonctionnelle SSI. Les points suivants devront en particulier faire l'objet de directives d'application propres au système :

  • administration et organisation de la sécurité ;

  • protection physique associée ;

  • sécurité du personnel, protection des documents ;

  • sécurité informatique ;

  • plans de sauvegarde et de secours ;

  • sécurité des communications ;

  • gestion de configuration.

5.1.4. Homologation.

L'évaluation qui comprend deux volets l'un technique, l'autre opérationnel, a pour objet le respect de la réglementation, des normes internationales et des conditions opérationnelles d'exploitation.

L'homologation atteste, au vu de l'évaluation, de la capacité d'un système à traiter les informations protégées (ou sensibles) au niveau de sécurité requis ; elle traduit l'acceptation d'un niveau de risque résiduel quantifié en termes de confidentialité, d'intégrité et de disponibilité. Elle est obligatoire pour les systèmes traitant des informations classifiées de défense.

L'autorité qualifiée institue une commission d'homologation chargée d'examiner les demandes et de fournir un avis motivé sur la capacité d'un système à répondre aux objectifs assignés. Lorsqu'elle délègue sa compétence en matière d'homologation à une autorité subordonnée, elle fixe les règles générales de création et de fonctionnement de la commission d'homologation que cette dernière autorité devra instaurer. L'autorité qualifiée définit également les exigences et les recommandations en matière d'organisation, d'exploitation et de risques applicables aux différents systèmes en fonction de leur nature et de leur sensibilité.

La décision d'homologation est prise par l'autorité qualifiée ou l'autorité déléguée après délibération par la commission d'homologation au vu d'un dossier de sécurité du système d'information, défini au paragraphe 5.2 que cette autorité approuve, et des résultats des audits de sécurité.

L'homologation est prononcée pour une durée maximale de deux ans pour les systèmes traitant des informations classifiées « secret défense » et de cinq ans pour ceux traitant des informations classifiées « confidentiel défense ». L'autorité qualifiée fixe la liste des systèmes traitant des informations sensibles qui doivent être homologués pour une durée de validité de cinq ans.

Pour les autres systèmes, l'homologation est laissée à l'appréciation de l'autorité qualifiée ou de l'autorité déléguée compétente.

Le dossier de sécurité est validé avant la mise en service opérationnel du système par l'autorité fonctionnelle d'emploi, responsable de la mise en œuvre.

5.1.5. Intervention préventive ou curative.

Avant chaque intervention préventive ou curative, l'OSSI ou le RSSI s'assure de la mise en place des mesures de préservation des informations à protéger et des équipements sensibles. Après l'intervention, il fait procéder à la reconfiguration du système et veille à sa conformité avec l'état requis. Il vérifie en particulier que les modifications apportées n'altèrent pas le niveau de sécurité pour lequel une homologation a été prononcée. Si l'intervention est associée à une évolution significative du système et notamment de sa configuration, celle-ci donne lieu à une nouvelle homologation du système.

5.1.6. Retrait et destruction.

Lors du retrait du service d'un système, l'ensemble des versions successives des fichiers de données et de configuration principaux ou intermédiaires, ainsi que toutes les copies éventuellement réalisées, devront être détruites conformément à la réglementation.

5.2. Le dossier de sécurité du système d'information.

Un dossier de sécurité est établi pour chaque système d'information dans son ensemble, un dossier complémentaire étant éventuellement constitué pour chaque site d'implantation, en fonction de ses caractéristiques et de son importance.

Le dossier de sécurité présente les données et leurs traitements, les mesures générales et particulières de sécurité, les moyens de protection associés ainsi que les moyens et techniques concourant au fonctionnement du système d'information. Il recense les vulnérabilités résiduelles.

Il contient notamment :

  • l'expression des objectifs de sécurité et des risques acceptés (rédaction de la fiche d'expression rationnelle des objectifs de sécurité ou FEROS) ;

  • un plan de sécurité qui présente les mesures techniques et non techniques prises pour atteindre ces objectifs [aspects organisationnels, administration du système et de sa sécurité, protection physique, protection du personnel, protection des documents, mesures de sécurité informatique et des communications, gestion de la configuration, maintenance, sauvegardes et mesures d'urgence (reconfiguration, évacuation, destruction)] ;

  • la validation des mesures techniques et d'organisation ;

  • le plan d'organisation du développement ;

  • une documentation d'administration et d'utilisation du système qui traite notamment, sous l'angle de la sécurité ;

  • de la nature et du niveau de responsabilité des exploitants ;

  • des procédures d'installation et de mise en ordre de marche ;

  • des règles et procédures d'exploitation du système d'information ;

  • des procédures de sauvegarde et de remise en configuration ;

  • des procédures de modification de configuration ;

  • de l'état récapitulatif des modifications intervenues sur les équipements généraux ou sur les composants du système ;

  • des procédures de maintenance et de dépannage ;

  • l'agrément ou la caution du SCSSI au niveau considéré pour les produits de sécurité relevant de l'IGI no 900/SGDN [(voir réf. d)] ou de la recommandation no 901 [(voir réf. l)].

Il est finalisé à l'issue d'une visite ou d'un audit de sécurité du système et des sites correspondants.

Les éléments relatifs aux homologations du système ainsi que les remarques formulées au cours des différents contrôles et inspections sont consignés dans un sous-ensemble spécifique du dossier.

Le dossier de sécurité est obligatoire pour les systèmes d'information traitant des informations classifiées de défense. Il est établi selon les directives particulières des autorités qualifiées pour ce qui concerne les systèmes traitant des informations sensibles.

Le dossier est rédigé et tenu à jour sous le couvert de l'autorité responsable du système, avec le concours des responsables de site.

Il reçoit une mention de protection établie en rapport avec la sensibilité du système d'information et des éléments qu'il contient. Il est déclassifié lorsqu'il ne contient pas les mécanismes de protection mis en œuvre et les vulnérabilités potentielles.

Il peut faire l'objet d'un extrait non classifié destiné au personnel chargé de sa mise en œuvre sous réserve de ne pas comporter en particulier, l'état de ses vulnérabilités.

6. Inspections, contrôles et audits.

6.1. Définitions et finalités.

La réalisation d'inspections, de contrôles et d'audits permet, à différents niveaux et selon des objectifs et modalités variés, de vérifier ou d'apprécier le niveau de sécurité des systèmes d'information.

Ces opérations portent sur les quatre principaux aspects que sont le chiffre et la sécurité des communications, la sécurité informatique (y compris le volet de la lutte informatique défensive), la protection contre les signaux parasites compromettants, l'organisation de la SSI et ses procédures de mise en œuvre.

L'autorité qualifiée fait procéder à des inspections, contrôles et audits selon une périodicité qu'elle définit. Les autorités hiérarchiques subordonnées font de même à leur initiative. Les inspections et contrôles sont obligatoires.

6.1.1. Inspection.

Il s'agit d'une action conduite par une entité indépendante de l'autorité responsable du système. Elle consiste essentiellement à réaliser un examen qualitatif et à vérifier l'adéquation des moyens et mesures avec les objectifs de sécurité, la réglementation et les directives en vigueur.

6.1.2. Contrôle.

Il s'agit d'une action consistant à réaliser un examen limité et précis afin de vérifier l'application des procédures et de la réglementation. Les contrôles peuvent indifféremment porter sur des systèmes d'information, les sites hôtes ou les organisations concernées.

6.1.3. Audit.

L'audit est une démarche d'investigation conduite sur un système en exploitation à partir d'un référentiel. Elle inclut un diagnostic et conduit à des recommandations ou des conseils.

Les audits, effectués sur tout ou partie d'un système d'information, ont pour objet :

  • de vérifier, voire d'évaluer, la qualité, l'efficacité et la cohérence, des dispositifs, mesures et procédures de sécurité ;

  • de mettre en évidence les vulnérabilités résiduelles ;

  • de qualifier les risques effectifs ou d'en quantifier le niveau ;

  • de proposer les éventuelles actions correctives.

Ils sont effectués selon une méthode cohérente avec la politique de sécurité du ministère, ils contribuent à la qualification du volet défensif.

6.2. Points d'application.

Les inspections et contrôles peuvent porter sur :

  • l'application des dispositions réglementaires et des directives particulières de l'autorité qualifiée responsable ;

  • le respect des conditions organisationnelles et techniques prévues par l'homologation ou la décision de mise en service opérationnel du système ;

  • l'adéquation des règles d'exploitation (contrôle des procédures d'exploitation de sécurité) ;

  • la protection du personnel (au sens habilitation) ;

  • les mesures de sauvegarde en cas d'incident ou d'accident ;

  • la planification des mesures particulières relatives aux situations de crise ;

  • l'évaluation des conséquences des risques acceptés ;

  • le respect des dispositions réglementaires relatives à la gestion des ACSSI.

6.3. Modalités de réalisation.

6.3.1. Inspections relevant du ministre.

La direction de la protection et de la sécurité de la défense (DPSD) procède, dans le cadre de ses attributions, à des inspections portant sur la sécurité des systèmes d'information qui font l'objet d'une classification, au sens des dispositions du décret no 98-608 [(voir réf. a)], pour eux-mêmes ou pour les informations traitées, directement sur ordre du ministre ou selon un programme annuel établi après consultation des autorités qualifiées et soumis à leur approbation.

Ces inspections permettent de vérifier les respect des règles de niveau ministériel et d'évaluer l'état de protection du système d'information inspecté. A l'issue de l'inspection, les inspecteurs conseillent l'autorité responsable.

Chaque inspection donne lieu à un rapport adressé au président de la commission ministérielle de la sécurité des systèmes d'information, à l'autorité qualifiée concernée, à l'autorité contrôlée et au ministre lorsqu'elle est prescrite par ce dernier.

Un compte rendu annuel de synthèse, portant sur l'état général de sécurité constaté et les tendances observées et assorti de propositions de nature à pallier les insuffisances révélées, est adressé par la DPSD au ministre de la défense et au président de la commission ministérielle pour la sécurité des systèmes d'information. Ce dernier l'exploite avec les autorités qualifiées concernées.

6.3.2. Contrôles et audits relevant du fonctionnaire de sécurité des systèmes d'information.

Conformément à l'instruction de référence g), le fonctionnaire de sécurité des systèmes d'information du ministère de la défense veille à l'exécution des contrôles effectués par les autorités qualifiées et les organismes spécialisés.

6.3.3. Inspections, contrôles et audits au niveau des autorités qualifiées et subordonnées.

L'autorité qualifiée adresse au fonctionnaire de sécurité des systèmes d'information, selon les directives reçues, un compte rendu annuel portant sur le niveau global de sécurité des systèmes dont elle a la charge. Un plan annuel d'inspections et contrôles futurs est joint à ce compte rendu.

6.3.4. Règles particulières de sécurité.

Les inspections, contrôles et audits de sécurité sont en principe effectués par des organismes ou des équipes spécialisées du ministère.

L'intervention éventuelle d'experts ou de sociétés de conseil extérieurs, sur des systèmes en exploitation traitant des informations classifiées de défense au sens de l'article 5 de l'IGI no 900/SGDN [(voir réf. d)], doit impérativement faire l'objet d'une décision de l'autorité qualifiée, après avis du fonctionnaire de sécurité des systèmes d'information et de la direction de la protection et de la sécurité de la défense. Ces avis ne sont pas obligatoires pour les informations sensibles non classifiées de défense au sens de la recommandation no 901/DISSI/SCSSI [(voir réf. l)].

Tout recours à des tests de pénétration de systèmes en exploitation doit donner lieu à l'établissement d'un document contractuel précis entre l'organisme auditeur et l'organisme audité, établi sous la responsabilité de l'autorité qualifiée.

Les questionnaires ou enquêtes, de portée générale ou particulière, adressés, par des personnes physiques ou morales de droit privé, aux organismes du ministère de la défense, ne doivent pas donner lieu à réponse. Leur réception est portée à la connaissance du FSSI et de la DPSD.

7. Traîtements des incidents SSI.

Tout incident ou accident affectant, directement ou indirectement, un système d'information classifié de défense ou sensible donne lieu sans délai à l'élaboration d'un message à destination de l'autorité responsable et de l'autorité qualifiée, en tenant informée la voie fonctionnelle SSI.

En fonction de la gravité de l'événement estimée par les responsables de la voie fonctionnelle SSI, de ses implications opérationnelles ou techniques, l'autorité qualifiée informe le FSSI. En cas de compromission possible, supposée ou avérée, la DPSD est saisie conformément aux règles du TTA 191.

En complément des mesures adoptées au niveau du ministère, l'autorité qualifiée assure ou fait assurer sous sa responsabilité une gestion centralisée des incidents.

Sur le plan technique, les cellules spécialisées des autorités qualifiées, par l'intermédiaire du réseau d'alerte et de réaction SSI, échangent les informations appropriées relatives aux alertes et incidents en vue de leur résolution et de leur prévention. Elles recouvrent à l'expertise du centre technique compétent du ministère de la défense pour analyser les incidents pour lesquels les mesures de prévention n'ont pas encore été identifiées.

8. Dispositions diverses.

L'instruction no 4418/DEF du 6 juillet 1981 (BOC, p. 4129) relative à l'organisation de la sécurité informatique au sein du ministère de la défense, est abrogée.

Pour le ministre de la défense et par délégation :

Le directeur adjoint du cabinet civil et militaire,

Laurent GIOVACHINI.

Annexe

ANNEXE. Références et textes utiles pour l'application de l'instruction.

1 Références.

  • a).   Décret 98-608 du 17 juillet 1998 (BOC, p. 2709) relatif à la protection des secrets de la défense nationale.

  • b).   Arrêté du 30 décembre 1998 (BOC, 1999, p. 949) portant organisation des instances relatives aux systèmes d'information et de communication du ministère de la défense modifié par l' arrêté du 23 juillet 1999 (BOC, p. 3668).

  • c).  Instruction générale interministérielle no 1300/SGDN/SSD/DR du 12 mars 1982 (n.i. BO) sur la protection des informations concernant la défense nationale et la sûreté de l'Etat.

  • d).  Instruction générale interministérielle no 900/SGDN/SSD/DR - 900/DISSI/SCSSI/DR du 20 juillet 1993 (n.i. BO) sur la sécurité des systèmes d'information qui font l'objet d'une classification de défense pour eux-mêmes ou pour les informations traitées.

  • e).  Instruction interministérielle no 2000/SGDN/SSD/DR du 1er octobre 1986 (n.i. BO) modifiée sur la protection du secret et des informations concernant la défense et la sécurité de l'Etat dans les marchés publics et autres contrats.

  • f).  Instruction interministérielle no 910/DISSI/SCSSI/DR - 910/SGDN/SSD/DR du 19 décembre 1994 (n.i. BO) sur les articles contrôlés de la sécurité des systèmes d'information et la directive d'application no 911/DISSI/SCSSI/DR du 20 juin 1995 (n.i. BO).

  • g).  Instruction générale no 1514 du 7 mai 1988 (n.i. BO) (édition 3 du 5 mai 1998) sur le déroulement des programmes d'armement.

  • h).  Instruction no 2500/DEF/C/23 du 26 janvier 1983 (n.i. BO) relative à la protection du secret dans les marchés et autres contrats passés par les organismes relevant du ministère de la défense.

  • i).  Instruction no 981/DEF/DR du 13 mars 1984 (n.i. BO) relative à la protection des informations de diffusion restreinte et de la confidentialité spécifique.

  • j).   Instruction 26111 /DEF/CAB du 20 juillet 1999 (BOC, p. 3574) relative aux attributions du fonctionnaire de sécurité des systèmes d'information.

  • k).  Instruction no 800/EMA/PPE - 60800/DGA/DPM du 9 février 1994 (n.i. BO) (édition 2 du 1er septembre 1999) sur la conduite des programmes d'armement.

  • l).  Recommandation no 901/DISSI/SCSSI du 2 mars 1994 (n.i. BO) pour la protection des systèmes d'information traitant des informations sensibles non classifiées de défense.

2 Textes utiles pour l'application de l'instruction.

  • a).   Décret 81-1041 du 20 novembre 1981 (BOC, p. 5032) fixant les attributions de la direction de la protection et de la sécurité de la défense et portant suppression de la direction de la sécurité militaire.

  • b).   Décret 98-1307 du 30 décembre 1998 (BOC, 1999, p. 948) relatif aux systèmes d'information et de communication du ministère de la défense.

  • c).  Instruction interministérielle no 300/SGDN/TTS/SSI/DR du 20 juin 1997 (n.i. BO) sur la protection contre les signaux parasites compromettants.

  • d).  Directive no 485/SGDN/DISSI/SCSSI/DR du 15 décembre 1988 (n.i. BO) relative à l'installation des sites et systèmes d'information. Protection contre les signaux compromettants.

  • e).  Directive no 495/SGDN/TTS/SI/DR du 19 septembre 1997 (n.i. BO) de zonage TEM-PEST. Protection contre les signaux compromettants.

  • f).  Instruction no 200/DEF/CAB/DR du 27 novembre 1984 (n.i. BO) sur la protection du personnel relevant du ministère de la défense.

  • g).  Instruction particulière sur les annexes de sécurité no 2520/DEF/CM/13/DR du 29 avril 1994 (n.i. BO) relative à la protection du secret dans les marchés et autres contrats passés par les organismes relevant du ministère de la défense.

  • h).  Décision ministérielle no 15151/DEF/CAB/C/23/FSI du 17 avril 1986 (n.i. BO) relative à la création du groupe de sécurité chargé du contrôle des systèmes de traitement automatique de données (GSTAD).

  • i).  TTA 191 « L'officier de sécurité » (n.i. BO).

  • j).  Guide interministériel no 730/SCSSI du 13 janvier 1997 (n.i. BO) sur les systèmes d'information et applications sensibles.

  • k).  Mémento no 970/SCCI/DR du 5 juin 1997 (n.i. BO) de l'agent de sécurité des systèmes d'information.

  • l).  Répertoire no 980/SCSSI/DR du 21 octobre 1997 (n.i. BO) des documents relatifs à la sécurité des systèmes d'information.

  • m).  Mémento no 981/SCSSI/DR du 21 octobre 1997 (n.i. BO) relatif à la sécurité des systèmes d'information.