> Télécharger au format PDF
Direction générale des systèmes d'information et de communication :

INSTRUCTION GÉNÉRALE D'EMPLOI N° 2009/DEF/DGSIC/-- Cartographie à des fins de cybersécurité.

Du 25 novembre 2015
NOR D E F E 1 5 5 2 6 4 9 J

Classement dans l'édition méthodique : BOEM  160.4.

Référence de publication : BOC n°23 du 14/6/2018

1. Cadre général d'emploi.

1.1. Contexte.

La cartographie des systèmes d'information à des fins de cybersécurité ou cartographie cyber vise à donner une vision de synthèse du périmètre des SI du ministère à des fins de prise de décisions stratégiques dans le domaine de la cybersécurité.

1.2. Enjeux et objectifs.

La cartographie cyber repose sur la description systématique de chacun des SI opéré ou utilisé par le ministère à travers une sélection limitée d'informations jugées pertinentes pour évaluer l'état de cybersécurité et l'interdépendance des systèmes d'information du ministère. Elle ne se substitue pas aux outils existants et aux cartographies à la main des opérateurs de systèmes d'information, mais vient au contraire s'appuyer sur eux pour donner une vision transverse (administrative, fonctionnelle, technique) et intelligible du périmètre d'analyse.

Il ne s'agit pas d'un outil de conduite opérationnelle des systèmes d'information mais d'un outil à vocation d'analyse stratégique qui s'adresse aussi bien à la chaîne de cyberdéfense que de cyberprotection.

La cartographie cyber peut également répondre aux demandes des différents décideurs du ministère sur le périmètre qu'ils ont en charge et doit ainsi permettre de répondre aux attendus suivants :

  • disposer d'une vision métier / mission des différents systèmes pour évaluer les impacts ;

  • connaître l'état de chaque système par rapport au dispositif d'homologation ;

  • disposer des informations nécessaires à l'évaluation de la situation en cas d'incident de sécurité (liens avec d'autres SI, …) ;

  • identifier les composants techniques principaux du système ;

  • connaître le niveau et le principe de mise à jour des composants logiciels.

1.3. Principes.

Le ministère de la défense dispose déjà au travers de SICL@DE d'un outil de cartographie des systèmes d'information. La démarche de sécurisation et de suivi de la sécurité d'un système faisant intégralement partie de la démarche projet, il apparaît pertinent de ne pas redévelopper un outil spécifique, mais de s'appuyer sur cet outil et ses processus qui intègrent déjà un volet sécurité.

Ainsi, les données nécessaires à la mise en œuvre de la fonction cartographie des SI à des fins de cybersécurité seront intégrées dans SICL@DE (lorsqu'elles n'y figurent pas déjà). Le processus de contrôle de ces dernières sera intégré aux modalités de vérification, de contrôle et d'approbation des projets et de suivi des systèmes en service tout au long de leur cycle de vie.

1.4. Périmètre.

L'ensemble des systèmes d'information sont concernés, qu'il s'agisse de SI dit classiques [IOC (1), SIAG (2) ou SIST (3)] ou de systèmes industriel (SINDS) ou de systèmes d'information embarqués ou enfouis dans des systèmes d'arme (SIESA).

Ces systèmes devront être cartographiés avec des informations pertinentes dépendant de la phase dans laquelle ils se trouvent (conception ou projet, pré-production ou en service).

2. DESCRIPTION FONCTIONNELLE.

Les principaux attendus de la cartographie des systèmes d'information à des fins de cybersécurité sont de capitaliser l'information et de disposer d'une visualisation stratégique à des fins d'analyse.

2.1. Capitaliser l'information.

La cartographie cyber remplit un rôle de consolidation de données sur l'ensemble des systèmes d'information opérés ou mis en œuvre par le ministère. Elle concilie les trois exigences suivantes :

  • constituer un recensement des systèmes d'information du ministère ;

  • disposer sur chacun de ces systèmes d'une information structurée, systématique et correspondant à plusieurs types d'approche à des fins d'analyse liées à la cybersécurité, et d'élaboration d'indicateurs de gouvernance ;

  • décrire pour chaque système d'information ses interactions avec d'autres systèmes ou son intégration à un système de systèmes.

Les informations relatives à un système d'information peuvent se répartir en 4 vues conceptuelles dont la composition est détaillée en annexe :

  • une vue administrative : elle recense les caractéristiques essentielles d'un système d'information nécessaires à toute analyse. Cette vue constitue la carte d'identité du système d'information ;

  • une vue homologation : elle permet d'apprécier la maitrise du processus d'homologation et du processus de maintien en condition de sécurité du système d'information ;

  • une vue fonctionnelle : elle fournit une appréciation des impacts métiers d'une vulnérabilité ou d'un incident sur le système d'information considéré ;

  • une vue applicative et technique : elle regroupe les éléments à même de caractériser la vulnérabilité et la sensibilité du système et détaille ses principales caractéristiques techniques.

2.2. Disposer d'une visualisation stratégique à des fins d'analyse.

Sur la base de cette information consolidée, la cartographie cyber devient alors un outil d'aide à la décision et permet ainsi de répondre aux besoins selon deux modes :

  • l'analyse porte sur une question transverse : le caractère systématique de description de chaque système d'information permet alors d'identifier l'ensemble des systèmes d'information concernés, compte tenu de leurs caractéristiques.

  • l'analyse porte sur un système d'information : la cartographie permet d'identifier l'ensemble des systèmes externes potentiellement impactés par une vulnérabilité sur ce dernier.


 

3. ACTEURS, ACCÈS AUX DONNÉES ET RESPONSABILITÉS.

3.1. Acteurs.

3.1.1. La direction générale des systèmes d'information et de communication.

Conformément à l'instruction ministérielle 900, le fonctionnaire de la sécurité des systèmes d'information du ministère (FSSI) recense et veille à ce que les besoins de protection des SI soient exprimés et satisfaits. À ce titre, il dispose d'un accès à l'ensemble des données de la cartographie cyber contenues dans SICL@DE.

3.1.2. L'officier général cyberdéfense.

Au titre de ses missions, l'officier général cyberdéfense (et ses mandataires) dispose d'un accès à l'ensemble des données de la cartographie cyber contenues dans SICL@DE.

3.1.3. L'Officier de la sécurité des systèmes d'information d'organisme.

Des officiers de la sécurité des systèmes d'information sont désignés au sein de l'état-major des armées, du secrétariat général pour l'administration, de la direction générale pour l'armement, de la direction de la protection et de la sécurité de défense et de la direction générale de la sécurité extérieure. Des délégations peuvent être réalisées pour que le portefeuille applicatif de chaque responsable soit adapté (délégation par armée …).

Outre l'exploitation des données à des fins de gouvernance, ils sont chargés de contrôler le bon remplissage de ces dernières (cf. annexe).

3.1.4. Responsable chargé du projet / Responsable technique du système.

Selon la phase du projet, le responsable chargé du projet et le responsable technique du système sont responsables respectivement de l'atteinte ou du maintien des objectifs, y compris ceux relatifs à la sécurité. Ils sont chargés, éventuellement avec l'aide du responsable de la sécurité du système d'information (RSSI) lorsqu'il est désigné, de renseigner et de mettre à jour les données de la cartographie cyber pour le SI dont ils ont la charge.

3.2. Accessibilité des données.

Une partie des données n'est accessible qu'à un nombre restreint de profils sous SICL@DE du fait de leur sensibilité. Ces données sont identifiées en annexe dans la description de la composition des différentes vues. Seuls le responsable chargé du projet, le responsable technique du système, le responsable SSI du système (lorsqu'il dispose d'un accès à SICL@DE), les OSSI, le FSSI et l'officier général cyberdéfense (et/ou leurs mandataires) sont autorisés à accéder à l'intégralité de ces données.

3.3. Saisie des données.

Le responsable chargé du projet et le responsable technique du système, éventuellement appuyés par le responsable de la sécurité du système d'information projet ou aval lorsqu'il est désigné, sont chargés de saisir et de mettre à jour les données présentées en annexe sur SICL@DE.

3.4. Contrôle / vérification des données.

Le contrôle et la vérification des données sont réalisés soit ponctuellement soit lors des revues ou examens prévus par l'instruction ministérielle 2008 (4). L'annexe précise le jalon à partir duquel chaque donnée doit être vérifiée ou contrôlée.

3.4.1. Contrôles ponctuels.

Les contrôles ponctuels sont réalisés par et à la convenance des OSSI  (cf. point 3.1.1). Le FSSI (ou ses mandataires), au titre de sa mission de contrôle, peut effectuer des contrôles inopinés et informer les OSSI des résultats afin que des mesures adéquates soient prises.

3.4.2. Lors du passage des jalons.

La revue des projets est assurée selon des modalités mise en place par les commissions relatives à chaque segment (COVESIOC, CSIAG et CSIST) conformément à l'instruction ministérielle 2008. Lors de ces revues, notamment au passage d'un jalon, la présence effective des données figurant en annexe est vérifiée. Concernant les données en accès restreint, les responsables SSI d'organisme sont sollicités et apportent leur concours.

Tout projet dont la fiche est incomplète ne peut se voir autorisé à passer au jalon suivant sauf dérogation accordée par le responsable de la sécurité des systèmes d'information d'organisme concerné.

Pour le ministre de la défense et par délégation :

L'ingénieur général hors classe de l'armement,
directeur général des systèmes d'information et de communication,

Marc LECLÈRE.

Annexe

Annexe I. À l'instruction générale d'emploi N° 2009 DEF/DGSIC/-- du 25 novembre 2015.

1. Détail des vues de la cartographie cyber.

1.1. Vue administrative.

La vue administrative rassemble le socle minimal d'informations pour caractériser un système d'information et disposer des informations administratives le concernant. Cette vue, qui constitue la carte d'identité d'un système d'information est composée des champs suivants :

  


 


 

1.2. Vue homologation.

Répondant aux besoins spécifiques de la chaîne cyberprotection, cette vue rassemble les éléments nécessaires à une analyse critique des SI par rapport au processus d'homologation ainsi qu'au processus de maintien en condition de sécurité.


 


1.3. Vue fonctionnelle.

Cette vue permet d'apprécier les impacts métiers associés à une vulnérabilité ou un incident sur le SI. Fondée majoritairement sur l'exploitation du POS, elle décrit le SI selon ses clients ainsi que les activités soutenues par le SI.

 

1.4. Vue technique et applicative.

Cette vue regroupe les éléments à même de caractériser la vulnérabilité et la sensibilité du SI et de détailler ses principales caractéristiques techniques. Ne sont retenus que des éléments techniques permettant de faire apparaître les caractéristiques majeures du SI. L'obtention d'information plus détaillées se fera auprès de l'opérateur.