INSTRUCTION N° 241/DEF/SEC/DIR/SIC relative au traitement de la sécurité des systèmes d'information dans les programmes et dans les projets de systèmes d'information et de communication.
Abrogé le 28 novembre 2014 par : INSTRUCTION N° 3/DEF/DGSIC portant abrogation de textes. Du 26 juin 2001NOR D E F M 0 1 5 1 3 9 8 J
1. Définitions.
On entend au sens de la présente instruction :
par système d'information et de communication tout système d'information opérationnel et de communication, y compris ceux qui sont destinés aux systèmes d'armes, ainsi que tout système d'informatique générale et d'informatique scientifique et technique ;
par projet toute opération de conception, développement ou de réalisation qu'elle constitue un programme d'armement, une opération non érigée en programme ou un projet ;
par équipe de projet l'équipe chargée de la conception, de la réalisation et du développement du système ; dans le cas d'un programme d'armement, il s'agit de l'équipe de programme intégrée.
2. Généralités.
Les systèmes d'information et de communication sont devenus essentiels pour le commandement, la mise en œuvre des forces et des armes et pour l'accomplissement des missions du ministère.
La sécurité de ces systèmes est une composante majeure de leur développement et de leur vie : toute insuffisance dans ce domaine produit donc une vulnérabilité d'ensemble des systèmes qui porte toujours atteinte aux moyens et capacités de défense et à l'exécution des missions confiées aux armées, aux directions et aux services.
La présente instruction provisoire fixe les principes et les règles essentielles qui doivent être mis en œuvre pour assurer une sécurité optimale aux systèmes d'information. Elle s'applique en attente d'instructions définitives dont une annexe à l'instruction no 1514 du 7 mai 1988 (édition 3 du 5 mai 1998) pour les programmes d'armement.
La sécurité des systèmes d'information et de communication a pour objectif de rendre les systèmes disponibles, d'assurer l'intégrité et la confidentialité des données ainsi que leurs traitements. A cet effet la disponibilité, l'intégrité et la confidentialité des fonctionnalités de sécurité de ces systèmes doivent également être préservées.
3. Rappel du dispositif réglementaire en vigueur.
L'instruction générale interministérielle no 900/SGDN/SSD/DR 900/DISSI/SCSSI/DR du 20 juillet 1993 (n.i. BO) commune au secrétariat général de la défense nationale (SGDN) et à la délégation interministérielle pour la sécurité des systèmes d'information (DISSI) sur la sécurité des systèmes d'information qui font l'objet d'une classification de défense pour eux-mêmes ou pour les informations traitées, prescrit notamment :
la rédaction d'une fiche d'expression rationnelle des objectifs de sécurité (FEROS) ;
l'établissement d'un plan de sécurité qui décrit le système et présente les mesures techniques et non techniques prises pour atteindre les objectifs de la FEROS.
Le plan de sécurité, doit expliquer en quoi les mesures prises permettent d'atteindre l'ensemble des objectifs de sécurité. Il contient, notamment, à cet effet les spécifications techniques de besoins en sécurité des systèmes d'information (SSI).
Lorsque les systèmes sont conçus, développés ou réalisés en application de conventions internationales ces document peuvent être remplacés par des documents qui, sous une forme convenue entre les parties, doivent viser à fixer les mêmes objectifs et exigences.
La FEROS est rédigée en utilisant une méthode d'analyse de risque. La méthode expression des besoins de sécurité et identification des objectifs de sécurité (EBIOS) est recommandée mais lorsque l'équipe de projet ne l'utilise pas dans son intégralité, elle doit analyser les risques à partir du référentiel de menaces de cette méthode.
La recommandation no 901/DISSI/SCSSI du 2 mars 1994 (n.i. BO) sur la sécurité des systèmes d'information sensibles préconise l'application des mêmes dispositions aux systèmes sensibles.
L'instruction no 4418/DEF/SEC/DIR/SIC du 25 septembre 2000 (n.i. BO) fixe les modalités de mise en œuvre de la sécurité des systèmes d'information (SSI) au sein du ministère.
4. Applications de ces principes.
Les dispositions rappelées ci-dessus seront appliquées aux systèmes d'information du ministère qui nécessitent des mesures de sécurité, qu'ils fassent l'objet d'une classification de défense pour eux-mêmes ou pour les informations traitées ou lorsque l'autorité qualifiée juge qu'il est nécessaire de fixer des mesures de sécurité en fonction du caractère sensible du système pour le ministère ou de l'importance et de la nature des informations à protéger. Elle détermine alors le contenu de ces mesures, leur portée et les fait mettre en œuvre conformément à ce qui est dit ci-dessous. Cette compétence ne peut être déléguée qu'à une autorité d'un rang immédiatement subordonné à celui de l'autorité qualifiée.
4.1.
La sécurité des systèmes d'information est soumise aux règles suivantes dans la conduite des projets :
a). Les dossiers de faisabilité, les documents qui fixent les objectifs du projet ainsi que les objectifs d'état-major pour les programmes et les opérations non érigées en programme sont accompagnés d'une étude pour déterminer les enjeux de sécurité. L'étude repose sur l'examen des conditions d'emploi du système et de ses relations avec d'autres systèmes ainsi que sur ses perspectives internationales.
b). Une FEROS, la politique de sécurité et le plan de sécurité qui en résultent sont établis dès la phase de définition par l'équipe de projet qui inclut dans les spécifications les mesures prévues au plan de sécurité dès leur première élaboration. La FEROS, la politique de sécurité, le plan de sécurité et les spécifications sont mis à jour à chacune des phases ultérieures. La FEROS et le plan de sécurité sont référencés respectivement dans la fiche de caractéristiques militaires (FCM) ou dans le document qui exprime le besoin ainsi que dans la spécification technique de besoin (STB).
c). Les produits utilisés pour la protection de l'information dans les systèmes classifiés de défense doivent avoir été agréés.
4.2.
L'équipe de projet transmet la FEROS, la politique de sécurité et le plan de sécurité au centre de l'armement pour la sécurité des systèmes d'information du centre électronique de l'armement (CELAR/CASSI) qui lui donne un avis sur la suffisance des mesures techniques envisagées en mettant le responsable du domaine technique SSI de la délégation générale pour l'armement (DGA) en copie. Une synthèse de cet avis, établie par le responsable du projet, est fournie au responsable du domaine technique de la sécurité des systèmes d'information de la DGA, à l'autorité qualifiée, à l'autorité chargée de la coordination du domaine informatique concerné ou à son délégué [état-major des armées (EMA), DGA, secrétariat général pour l'administration (SGA)], au secrétariat du directoire des SIC et au contrôle général des armées, en temps utile pour que ces autorités puissent en tirer les conséquences pour les décisions à prendre dans la conduite du programme.
Aucune décision de conduite de programme ne pourra être proposée à l'accord de l'autorité compétente sans être accompagnée des documents mentionnés au 1 b) ci-dessus et de l'avis du CELAR/CASSI. Il est également rendu compte à cette autorité de l'agrément des produits qui sont ou seront soumis à cette procédure et de l'intégration des mesures de sécurité dans les spécifications.
4.3.
Dès qu'un besoin de cryptologie est identifié, qu'il s'agisse d'assurer la confidentialité, l'intégrité, l'authentification ou autres services offerts par la cryptologie, le responsable du projet doit l'exprimer à l'EMA, le cas échéant en terme d'algorithme, avec copie au responsable du domaine technique. En application des dispositions en vigueur, l'EMA donne à l'équipe de projet les directives sur les choix préférentiels, leur cohérence d'ensemble avec le projet et les spécifications qui lui permettent de procéder à l'intégration des dispositifs de cryptologie et de les faire évaluer en vue de la caution ou de l'agrément du SCSSI. Lorsqu'il ne s'agit pas d'un système opérationnel ou d'un système classifié de défense le besoin est exprimé au responsable du domaine informatique concerné (DGA) (SGA) à charge pour ce dernier d'en saisir le cas échéant l'EMA. Dans tous les cas, le responsable du domaine technique SSI reçoit copie de ces directives.
L'équipe de projet informe les autorités qui ont une responsabilité dans l'exécution et le suivi des projets ainsi que les autorités qualifiées concernées des conséquences en matière de coûts et de délais des choix qui ont été faits.
4.4.
Dans le cas des projets qui fédèrent des sous-ensembles fournis par d'autres programmes, une FEROS de communauté de la SSI de ce projet et le plan de cohérence qui en résulte sont rédigés par l'équipe de projet. Ces documents accompagnés de l'avis du CELAR/CASSI, recueilli préalablement par l'équipe de projet, sont transmis pour approbation aux équipes de projet des systèmes en interface. Ces documents sont soumis à l'accord des autorités qui ont une responsabilité dans l'exécution et le suivi des projets ainsi qu'à celui des autorités qualifiées.
5. Application particulière aux programmes d'armement.
Les accords de coopération devront garantir la maîtrise nationale permanente des décisions sur la sécurité des systèmes considérés. Aucun accord ne pourra être soumis à la signature sans que l'équipe de projet ne présente aux autorités, qui ont une responsabilité dans l'exécution et le suivi des projets, ainsi que les autorités qualifiées, les conditions et moyens, y compris techniques, prévus pour atteindre cet objectif de maîtrise nationale. Ces dispositions s'appliquent tout particulièrement au transfert d'un programme à l'organisation conjointe de coopération en matière d'armement (OCCAR) ou à sa réalisation par cet organisme.
Les responsables d'un projet font part au plus tôt à l'EMA et au responsable du domaine technique de leurs propositions relatives aux conditions d'exportation d'un produit ou d'un système. Les programmes en cours à vocation d'exportation sont soumis à la même procédure.
Pour le ministre de la défense et par délégation :
Le contrôleur général des armées, directeur adjoint du cabinet civil et militaire,
Jean-Robert REBMEISTER.