1. Objet et champ d'application.

En vue de répondre aux besoins croissants des utilisateurs en matière de communication et d'accès à l'information, la présente instruction fixe les modalités de raccordement des réseaux du ministère de la défense aux réseaux externes (réseau mondial internet, réseau interministériel, extranet, postes nomades…) dans le respect des exigences de sécurité des systèmes d'information.

Elle s'applique à l'utilisation de ces réseaux externes par les organismes du ministère de la défense ou relevant de lui, à partir de moyens utilisés dans ou hors de ses établissements. Elle concerne tous les types de raccordement envisageables, directs ou indirects, qu'il s'agisse d'accès aux services proposés par les réseaux ou d'ouverture de services sur le réseau interministériel (AdER), les extranets et l'internet, avec ou sans recours à des prestataires de service.

Elle concerne les systèmes d'information du ministère traitant des informations non protégées ⁽¹⁾et sensibles ⁽²⁾, qu'ils soient organisés en réseaux locaux isolés ou en réseaux de type intranet intégrés dans l'intranet du ministère (INTRADEF).

L'interconnexion d'un réseau du ministère avec un réseau national étranger doit faire l'objet d'un protocole spécifique associant l'autorité nationale de sécurité.

2. Caractéristiques des réseaux externes en matière de sécurité.

2.1. Réseau internet.

Le réseau internet constitue un réseau mondial ouvert disposant de fonctions d'administration parcellaires et très décentralisées. Il n'offre en conséquence aucune garantie en matière d'intégrité des informations et n'assure qu'une disponibilité partielle des services.

La confidentialité des informations échangées sur le réseau ou stockées sur les équipements directement raccordés n'est pas assurée. Les informations de toute nature reçues via le réseau n'offrent par ailleurs aucune garantie d'authenticité, de validité ou d'intégrité. Les fichiers extraits peuvent également être porteurs d'infections informatiques. Des attaques de toute nature peuvent nuire à la disponibilité des serveurs ou des accès ainsi qu'à la confidentialité et l'intégrité des données traitées.

Le réseau se caractérise par ailleurs par des faiblesses en matière d'authentification des correspondants, susceptibles de faciliter divers types d'attaques, notamment dans le cadre d'activités d'espionnage systématiques ou d'intrusions, ciblées ou non, sans possibilité d'identification de leur origine.

2.2. Réseau AdER.

Le réseau AdER est un réseau de type intranet qui relie les différents départements ministériels et le conseil d'État.

Le service de transport, s'appuyant sur le protocole internet, est un réseau privé construit sur des infrastructures louées à un opérateur de télécommunications qui offre des garanties en matière de disponibilité et des moyens accrus en matière de sécurité.

La continuité en terme de disponibilité du service offert par AdER doit être prolongée par celle des architectures des réseaux interfacés.

L'intégrité et la confidentialité des informations échangées ou détenues sont assurées par les mécanismes de sécurité mis en œuvre par les entités connectées conformément à l'annexe « référentiel de sécurité » de la charte AdER.

2.3. Autres réseaux.

Les caractéristiques des autres réseaux, candidats à l'interconnexion avec un réseau du ministère, seront examinées au cas par cas afin d'évaluer les garanties offertes en terme de confidentialité, intégrité et disponibilité des informations détenues et échangées.

Les nomades (ordinateurs portables, assistants personnels électroniques, téléphones mobiles, …) utilisent en général le réseau internet, dont les caractéristiques sont décrites précédemment, comme vecteur de communication. Ils présentent les mêmes caractéristiques qu'un élément d'un réseau externe.

3. Principes et modalités de mise en œuvre.

3.1. Cadre général et application.

L'utilisation des réseaux externes relève des règles générales applicables en matière d'accès aux réseaux et applications informatiques, les aspects relatifs à la sécurité sont traités par la voie fonctionnelle de la sécurité des systèmes d'information (SSI) dans le cadre des règles en vigueur pour ces fonctions. Les interactions potentielles (échanges de données, importations directes ou non) entre les systèmes d'information du ministère et les médias connectés aux réseaux externes imposent cependant une étroite collaboration entre cette voie fonctionnelle SSI et les administrateurs du ministère d'une part, les prestataires en charge de l'exploitation des services hébergés à l'extérieur et filtrés à leur profit d'autre part.

La coordination des travaux et la diffusion des directives ministérielles spécifiques sont du ressort du fonctionnaire de sécurité des systèmes d'information (FSSI).

Toutes les interconnexions de réseaux intégrés à l'INTRADEF, avec des réseaux externes devront faire l'objet d'une déclaration en commission ministérielle de la sécurité des systèmes d'information (CMSSI) suivie d'une homologation.

Les interconnexions de réseaux locaux isolés d'organismes ou de postes de travail isolés avec des réseaux externes relèvent de la responsabilité des organismes et font l'objet d'une déclaration auprès de l'autorité qualifiée concernée qui tient à jour un inventaire de ces interconnexions.

3.2. Principes relatifs à la sécurité.

L' instruction 4418 /DEF/SEC/DIR/SIC du 25 septembre 2000 (BOC, p. 4343) définit les responsabilités des autorités qualifiées responsables des systèmes candidats à l'interconnexion.

Les prescriptions et recommandations de sécurité relatives à l'utilisation de réseaux externes s'appuient sur les politiques de sécurité des systèmes d' information du ministère de la défense et sur celles des réseaux externes concernés lorsqu'elles existent.

L'interconnexion à des nouveaux réseaux peut nécessiter la réactualisation des politiques de sécurité des organismes et donner lieu à l'élaboration d'une politique de sécurité liée à l'inter-connexion approuvée par les organismes concernés.

La directive « d'orientation pour la sécurisation des interconnexions et des architectures de réseau » (OSCAR) définit un ensemble de règles à mettre en œuvre pour réaliser une interconnexion en regard des enjeux de sécurité en termes de confidentialité, d'intégrité et de disponibilité des informations détenues ou échangées.

Dans le cas particulier du réseau internet, pour lequel il n'existe pas de politique de sécurité, une politique de sécurité du segment d'interconnexion sera établie et approuvée par l'autorité qualifiée responsable du réseau candidat à la connexion.

3.3. Autorisation de raccordement ou d'ouverture de service.

L'autorisation formelle de raccordement d'un réseau local isolé ou d'un poste de travail isolé d'organisme au réseau internet est délivrée par l'autorité qualifiée en charge du réseau (qui peut confier cette mission au responsable d'organisme).

L'autorisation de raccordement de tout réseau intégré à l'INTRADEF au réseau internet sera implicite dans la mesure où ce service sera offert par le segment d'interface sécurisé unique de l'INTRADEF.

L'ouverture de serveurs dédiés à la communication, à l'information ou à la documentation des services du ministère est soumise, outre celles de la présente instruction, au respect des dispositions de l' instruction 1344 /DEF/CAB/CM/3 du 10 janvier 1997 ⁽³⁾ relative à la communication, à l'information et à la documentation des services du ministère de la défense utilisant les nouveaux réseaux de télécommunications.

L'autorisation formelle de raccordement d'un réseau local isolé ou d'un poste de travail isolé d'organisme à un autre réseau externe est délivrée conjointement par l'autorité qualifiée en charge du réseau (qui peut confier cette mission au responsable d'organisme) et par l'autorité de responsabilité équivalente en charge du réseau externe.

L'autorisation formelle de raccordement de tout réseau intégré à l'INTRADEF à un autre réseau externe est délivrée conjointement par l'autorité qualifiée en charge de l'INTRADEF (après information des autres autorités qualifiées du ministère) et par l'autorité de responsabilité équivalente en charge du réseau externe.

3.4. Mise en application et contrôles au sein des organismes.

Chaque organisme met en œuvre ou fait appliquer les directives générales et techniques édictées à l'échelon ministériel et par l'autorité qualifiée dont il relève. Les dispositions de sécurité qu'il met en place sont propres à assurer la prévention et la protection contre les menaces identifiées, qu'elles soient génériques ou particulières selon le concept d'emploi, et doivent être conformes aux architectures de connexion à des réseaux externes validées par le ministère.

Elles comportent des mesures techniques et non techniques (protection des personnes, sécurité physique des installations) dont la cohérence doit être assurée et qui peuvent faire l'objet d'instructions séparées.

Dans le cadre de l'application de la présente instruction, les autorités qualifiées tiennent ou font tenir un dossier recensant les sites et caractéristiques des installations connectées à des réseaux externes, lesquelles sont assujetties aux contrôles en vigueur pour les systèmes d'information.

Chaque organisme inclut dans le dossier de sécurité ⁽⁴⁾ des systèmes d'information du site les éléments organisationnels et techniques relatifs au système connecté.

Dans le cadre de la mise en œuvre du concept de lutte informatique défensive (LID), un dossier de sécurité des installations connectées à des réseaux externes doit être constitué. Il sera mis à la disposition de l'adjoint lutte informatique de site (ALIS).

3.5. Mise en application et contrôles au niveau central.

Tout raccordement d'un réseau intégré à l'INTRADEF à un réseau externe est susceptible d'engendrer des vulnérabilités supplémentaires et d'augmenter ainsi le niveau de risque effectif de l'ensemble des réseaux interconnectés.

Tous les réseaux internes connectés à des réseaux externes et leurs segments d'interface lorsqu'ils existent seront surveillés en temps réel et en permanence. Un état synthétique de leur niveau de sécurité sera transmis périodiquement à la structure centralisée de supervision de la sécurité des réseaux du ministère, lorsque celle-ci sera opérationnelle.

Tout nouveau système d'information du ministère doit prendre en compte cette exigence dans la spécification de ses besoins de sécurité.

Pour les systèmes existants, cet état synthétique sera fourni à la structure centralisée de supervision de la sécurité sous forme électronique par un moyen sécurisé et avec une périodicité mensuelle. Les évolutions et mises à niveaux de ces systèmes intégreront des dispositifs automatiques de remontée d'informations de sécurité vers la structure centralisée.

3.6. Traitement des incidents de sécurité du système d'information.

Compte tenu de l'évolution de la menace résultant de l'ouverture à des réseaux externes, une attention toute particulière doit être portée à l'analyse des incidents de sécurité et à leur traitement en fonction de leur niveau de gravité.

Tout incident de sécurité est traité conformément aux recommandations de la PSSI ⁽⁵⁾ du ministère.

Afin de maintenir un niveau de qualité conforme aux objectifs de sécurité préalablement définis, une information doit être diffusée, pour tout incident, à tous les partenaires concernés de la voie fonctionnelle SSI interne et/ou externe.

A l'intérieur du ministère de la défense, l'information des autorités de commandement se fera conformément à la politique de sécurité interne de l'organisme qui retransmettra vers ses contractants externes si nécessaire.

4. Mesures techniques et d'organisation.

4.1. Généralités.

Conformément à la PSSI du ministère, chaque autorité qualifiée doit définir les mesures à mettre en œuvre permettant d'assurer la protection en disponibilité, intégrité et confidentialité des informations dont les traitements relèvent de sa responsabilité qu'elle en soit l'émettrice ou l'utilisatrice.

Les postes de travail raccordés aux réseaux externes doivent satisfaire aux règles de sécurité informatique en vigueur dans le ministère. A défaut d'utilisation de dispositifs de protection cautionnés par la DCSSI ou validés pour une analyse du centre technique SSI de la défense (CELAR/CASSI) et approuvés par les autorités qualifiées, ces stations et terminaux sont en permanence isolés physiquement de tout autre réseau ou système du ministère de la défense.

L'utilisation de supports privés pour le transfert d'informations entre un réseau public et des systèmes et réseaux du ministère est interdite sans un contrôle technique d'intégrité et d'innocuité réalisé sur un sas ou segment dédié à l'analyse de sécurité. A défaut de sas ou segment dédié, un poste non connecté au réseau interne du ministère et muni d'antivirus à jour sera utilisé pour effectuer les contrôles d'innocuité.

En cas de doute sur l'innocuité de fichiers, un séquestre ou un confinement des fichiers suspects doit être possible, sans que l'urgence opérationnelle ne puisse justifier de faire courir des risques inacceptables à l'ensemble de la communauté de l'intranet du ministère. L'exportation d'informations sensibles ⁽⁶⁾ à destination des réseaux ou correspondants externes est autorisée à condition d'avoir été chiffrées, sur un poste non directement connecté à un réseau externe, par un mécanisme de chiffrement cautionné ou validé.

L'importation d'informations en provenance de réseaux externes, via un support quelconque, vers l'INTRADEF ou un système ou une application traitant des informations classifiées de défense ainsi que vers des réseaux, systèmes ou applications présentant une forte exigence en terme d'intégrité peut être autorisée.

Cette autorisation, délivrée sous la responsabilité de l'autorité qualifiée, est soumise à la préservation de la sécurité du système destinataire, du réseau et des applications qu'il supporte par un contrôle d'intégrité sur un sas de décontamination ou segment adapté au niveau de sécurité concerné (passerelle sécurisée, DMZ, …).

4.2. Modalités d'exploitations.

4.2.1. Réseau internet.

4.2.1.1. Accès permanent à l'internet.

Lorsque le besoin d'utilisation d'internet représente l'activité principale de la personne ou du service, l'accès permanent sur le réseau internet est ouvert sur un réseau ou sur des postes dédiés, isolés de tout autre réseau du ministère.

Le traitement et le stockage d'informations classifiées de défense sur les réseaux ou postes dédiés connectés en permanence à l'internet sont interdits.

Afin d'éviter la multiplication des accès individuels difficilement maîtrisables, des solutions de mutualisation d'accès internet haut débit seront privilégiées. L'architecture de sécurité mise en place devra comporter les éléments suivants :

• une machine bastion assurant des fonctions de filtrage (pare-feu), de masquage d'adresses, d'antivirus et de proxy si nécessaire ;

• un dispositif de connexion à l'internet (routeur, modem) qui sera de préférence localisé au sein du ministère et administré par des équipes du ministère ;

• des outil s de détection d' intrusion et d'administration de la sécurité.

Ces équipements sont administrés, contrôlés et maintenus à jour avec le plus grand soin par du personnel formé et compétent.

Dans tous les cas, les limites de responsabilité devront être clairement établies par contrat entre le FAI ⁽⁷⁾ et le ministère.

4.2.1.2. Accès partagé à l'internet.

Pour les autres cas d'utilisation des services de l'internet, lorsque le besoin de consultation ou d'échange d'informations est régulier, sans pour autant représenter l'activité principale de l'utilisateur, un accès à partir du poste de travail sera possible sous réserve d'utiliser un segment d'interface composé d'éléments assurant des fonctions de journalisation des échanges, d'imputation des actions, de contrôle des flux et de dispositifs de sécurité garantissant la protection et la sécurité des réseaux internes du ministère et les données accessibles.

Tous les réseaux d'organismes intégrés à l'INTRADEF utiliseront le segment d'interface sécurisé unique de l'INTRADEF.

Le traitement et le stockage d'informations classifiées de défense sur les postes de travail susceptibles d'être connectés à l'internet sont interdits.

L'obligation de protection des informations sensibles ⁽⁸⁾ traitées et stockées sur des postes de travail en accès partagé à l'internet est de la responsabilité de chaque autorité qualifiée ; cependant une analyse formelle des nouvelles menaces liées à l'accès et à l'utilisation des services de l'internet sera systématiquement menée et les mécanismes de sécurité nécessaires seront implémentés afin de limiter le niveau de risque résiduel.

4.2.1.3. Information.

Le personnel utilisateur reçoit, à l'égard de la préservation des informations classifiées de défense ou sensibles, une information particulière sur les risques spécifiques liés à l'utilisation des divers services offerts par l'internet.

4.2.1.4. Formation.

Le personnel administrateur des dispositifs et passerelles de connexion à l'internet reçoit, à l'égard des menaces génériques identifiées, une formation particulière et actualisée sur les paramétrages des équipements de sécurité et sur la conduite à observer face aux risques spécifiques liés à l'utilisation des divers services offerts par l'internet. La qualification doit être détenue avant l'affectation à un des postes correspondants.

4.2.2. Réseau AdER.

L'INTRADEF est relié au réseau interministériel AdER par l'intermédiaire d'un segment d'interface composé d'éléments assurant des fonctions applicatives, de gestion des droits d'accès et de contrôle des flux, et de dispositifs de sécurité garantissant la protection et la sécurité des réseaux internes du ministère et les données accessibles.

Le service assurant l'authenticité des échanges demeure à la charge des applications supportées.

4.2.3. Autres réseaux.

Toute interconnexion d'un réseau isolé d'organisme avec un réseau externe est réalisée par l'intermédiaire d'un segment d'interface sécurisé dédié, validé par une analyse du centre technique SSI du ministère de la défense ou cautionné.

L'extension d'un intranet d'organisme vers un ou plusieurs sites externes au ministère de la défense, pour constituer un extranet est soumise à la mise en place d'un segment d'interface sécurisé, dédié, validé par une analyse du centre technique SSI du ministère ou cautionné. Le segment d'interface devra contrôler l'intégrité au niveau de sécurité concerné, en mettant en œuvre des mécanismes permettant l'identification des terminaux concernés de part et d'autre, l'authentification de l'utilisateur et l'imputation des actions.

La connexion d'un nomade à distance sur un réseau du ministère de la défense est réalisée par l'intermédiaire de dispositifs de sécurité assurant des fonctions d'identification du poste, authentification de l'utilisateur, contrôle d'accès et chiffrement, mis en place sous la responsabilité de l'autorité qualifiée.

La connexion d'un nomade en local sur un réseau du ministère de la défense est réalisée en utilisant les mêmes procédures que lorsqu'il est à distance.

5. Cas particulier de l'ouverture de services sur l'INTERNET.

Du point de vue de la sécurité ⁽⁹⁾, il est rappelé que chaque ministre est responsable des informations qu'il diffuse sur l'internet. Il est donc seul responsable de la détermination du niveau de sensibilité des informations traitées ou transportées à travers les moyens de communication et de celle des moyens adéquats à mettre en œuvre en conformité avec la réglementation.

De plus, l' instruction 1344 /DEF/CAB/CM/3 du 10 janvier 1997 , relative à la communication, à l'information et à la documentation des services du ministère de la défense utilisant les nouveaux réseaux de télécommunications, définit les modalités de réalisation et de mise en œuvre de produits d'information et de communication sur le réseau internet au ministère de la défense.

En complément, les directives suivantes seront appliquées :

• les projets de réalisation de serveurs internet sont conduits selon les procédures en usage en matière d'informatisation. L'expression des besoins fonctionnels est obligatoirement accompagnée, dès la phase initiale du projet, d'une définition des objectifs de sécurité menée selon une méthode appropriée ⁽¹⁰⁾, complétée par une analyse de risques et incluse au cahier des charges ;

• l'étude des risques, puis des mesures de sécurité à appliquer qui visent à détecter, réduire ou confiner et si possible empêcher les nuisances potentielles, s'accompagne de la rédaction d'un dossier de sécurité ;

• la réalisation d'une ouverture de service sur l'internet peut donner lieu à un hébergement par un fournisseur de services ; dans ce cas, les clauses contractuelles à appliquer sont rédigées en respectant les règles précisées au point 6 ci-après ;

• les conditions de mise en œuvre du système sont répertoriées dans un dossier d'exploitation tenant compte des mesures techniques et d'organisation imposées par le dossier de sécurité ;

• la décision de mise en service opérationnel est prise, sous la responsabilité de l'autorité qualifiée, après vérification de la conformité du système complet et de la validité des procédures d'exploitation, et notamment de traitement ou de confinement des incidents.

6. Cadre juridique.

6.1. Généralités.

Les contrats passés par l'administration avec les fournisseurs d'accès aux réseaux externes et les prestataires de service sont des marchés publics et doivent donc respecter les principes généraux et les règles de passation et d'exécution figurant dans le code des marchés publics.

Le caractère mondial du réseau internet et la délocalisation des services correspondants imposent des précautions particulières dans les relations contractuelles avec les fournisseurs d'accès et les prestataires de service.

Les dispositifs d'accès à des extranets ou autres réseaux externes peuvent également être fournis par des prestataires de services.

Le recours à ces intermédiaires donne lieu à l'établissement de contrats stipulant que l'ensemble de leurs modalités sont régies par la loi française ; lesdits contrats précisent en particulier :

• l'application de la législation nationale concernant le droit des télécommunications, le droit d'auteur, le code de la propriété intellectuelle, la protection des informations nominatives et le respect des interdictions légales et réglementaires relatives aux informations interdites ou soumises à restrictions ;

• l'interdiction de communication sans autorisation préalable à un service privé ou public étranger, de façon directe ou indirecte et sous quelque forme que ce soit, d'informations résultant de l'activité exercée au profit de l'administration.

En outre, toute solution pour laquelle les moyens et prestations fournis dans le cadre du contrat sont localisés sur le territoire national sera privilégiée. Dans ce cas, tout litige sera arbitré par le juge administratif compétent.

Les obligations à la charge du prestataire doivent être traduites en termes de résultat, en particulier quant à la disponibilité du système et à l'intégrité des données ainsi qu'au respect de l'image de marque, de la ligne éditoriale, des règles et mesures de sécurité, du suivi de l'activité et notamment de la comptabilité.

Par ailleurs, le contrat doit prévoir autant que possible une obligation de résultat du titulaire en matière de traitement d'incidents ou à défaut, une information systématique et rapide de l'administration cliente.

De plus l'accès aux informations d'activités et aux règles et mesures de sécurité par des équipes spécialisées et dûment mandatées du ministère de la défense à titre de contrôle ou dans le cadre d'investigations doit être prévu dans le cadre du contrat.

6.2. Cas particuliers et dérogations.

Dans le cas particulier des systèmes d'information déployés hors du territoire national, des dérogations aux règles précédentes pourront être accordées par les autorités qualifiées concernées.

Le choix du prestataire de services sera soumis à l'approbation des services de la direction de la protection et de la sécurité de défense ou de leurs représentants locaux qui se détermineront en fonction de divers critères parmi lesquels :

• éléments d'intelligence économique (environnement économique et financier, alliances, références, …) ;

• éléments relatifs à la sécurité des prestations proposées (réseaux de transport utilisés, conservation et utilisation des journaux d'activité, protection des informations, …) ;

• éléments d'information sur les dirigeants et personnels employés.

L'analyse des menaces tiendra compte de ce contexte particulier et les dispositifs de sécurité adaptés seront installés (utilisation intensive de mécanismes de chiffrement, authentification forte).

Dans le cas particulier de réseaux dédiés à la recherche de renseignement sur l'internet [OSINT ⁽¹¹⁾], chaque autorité qualifiée met en œuvre le s dispositifs nécessaires au bon accomplissement de la mission.

6.3. Les contrats et marchés.

Les responsables de contrats ou marchés de prestations informatiques doivent veiller à ce que ceux-ci offrent la possibilité de recevoir les prestations susceptibles de donner lieu à des importations de logiciels ou de données par un autre moyen que le réseau internet. Si aucune alternative ne permettait de rendre le service dans les délais (informations météorologiques, …), le prestataire doit mettre en œuvre des mécanismes garantissant l'origine et l'intégrité des logiciels ou données.

Les responsables de contrats ou marchés à clauses de sécurité doivent veiller, le cas échéant et dans le contexte précis de leur exécution, au respect par les entreprises titulaires des principes de sécurité énoncés dans la présente instruction.

7. Texte abrogé.

La présente instruction ministérielle annule et remplace l' instruction ministérielle 8192 /DEF/CAB/CM/3 du 24 février 1997 relative aux modalités d'accès et à l'utilisation du réseau internet au sein du ministère de la défense.