1. Objet et champ d'application.

En vue de répondre aux besoins croissants des utilisateurs en matière de communication et d'accès à l'information, la présente instruction fixe les modalités de raccordement au réseau mondial Internet satisfaisant les impératifs de sécurité des systèmes d'information.

Elle s'applique à l'utilisation du réseau Internet par les organismes du ministère de la défense ou relevant de lui, à partir de moyens du département utilisés dans ou hors de ses établissements. Elle concerne tous les types de raccordement envisageables, directs ou indirects, qu'il s'agisse d'accès aux services proposés par le réseau ou d'ouverture de services sur Internet, avec ou sans recours à des prestataires de service.

2. Caractéristiques du réseau internet en matière de sécurité.

Le réseau Internet constitue un réseau mondial ouvert disposant de fonctions d'administration parcellaires et très décentralisées. Il n'offre en conséquence aucune garantie en matière de confidentialité et d'intégrité des informations et n'assure qu'une disponibilité partielle des services.

La confidentialité des informations échangées sur le réseau ou stockées sur les équipements raccordés n'est pas assurée. Les informations de toute nature reçues via le réseau n'offrent par ailleurs aucune garantie d'authenticité, de validité ou d'intégrité. Les fichiers extraits peuvent également être porteurs d'infections informatiques. Des attaques de toute nature peuvent nuire à la disponibilité des serveurs ou des accès.

Le réseau se caractérise par ailleurs par des faiblesses en matière d'authentification des correspondants, susceptibles de faciliter divers types d'attaques, notamment dans le cadre d'activités d'espionnage systématiques.

3. Principes et modalités.

3.1. Cadre général et application.

L'utilisation d'Internet relève des règles applicables en matière d'accès aux réseaux et applications informatiques, les aspects relatifs à la sécurité étant traités dans le cadre de l'organisation en vigueur dans le domaine de la sécurité des systèmes d'information (SSI).

Les prescriptions et recommandations de sécurité relatives à l'utilisation d'Internet s'appuient sur les travaux conduits par la commission ministérielle de la sécurité des systèmes d'information (CMSSI) avec le concours technique du centre d'électronique de l'armement (CELAR) et bénéficient des études menées dans le cadre interministériel par le service central de la sécurité des systèmes d'information (SCSSI). La coordination des travaux et la diffusion des directives ministérielles spécifiques sont du ressort du fonctionnaire de sécurité des systèmes d'information (FSSI).

3.2. Autorisation d'accès ou d'ouverture de service.

Tout raccordement au réseau Internet doit correspondre à l'expression d'un besoin avéré. L'autorisation d'accès ou d'ouverture de service sur le réseau Internet est donnée, à la demande du chef de l'organisme, par l'autorité qualifiée compétente désignée dans l'instruction n^o 4418/DEF du 6 juillet 1981 (BOC, p. 4129), modifiée relative à l'organisation de la « sécurité informatique » au sein du ministère de la défense. Chaque autorisation est assortie de la mention des besoins à satisfaire, des services autorisés ainsi que des dérogations éventuellement accordées, notamment celles mentionnées au paragraphe IV.2 ci-après.

L'autorité qualifiée peut déléguer sous sa responsabilité la délivrance de tout ou partie des autorisations à des autorités qui lui sont directement rattachées. Elle assure ou fait assurer sous sa responsabilité le recensement des serveurs et des abonnements souscrits.

3.3. Mise en application au sein des organismes.

Chaque organisme utilisateur est responsable de l'exploitation des moyens dans les conditions prévues par l'autorisation. Il met en œuvre ou fait appliquer les directives générales et techniques édictées à l'échelon ministériel et par l'autorité qualifiée dont il relève. Les dispositions de sécurité qu'il met en place sont propres à assurer la prévention et la protection contre les menaces identifiées. Elles comportent des mesures techniques et non techniques (protection des personnes, sécurité physique des installations) dont la cohérence doit être assurée et qui peuvent faire l'objet d'instructions séparées.

Sous l'autorité du chef de l'organisme, l'officier de sécurité des systèmes d'information (OSSI) s'assure du respect des conditions d'emploi, de la mise en œuvre et du suivi des mesures de sécurité. Il coordonne et contrôle à cet effet les activités respectives des responsables des réseaux informatiques et du réseau téléphonique. Il est tenu informé, via la voie fonctionnelle SSI, des évolutions concernant les menaces et les techniques de sécurisation. Il rend compte par cette voie des incidents survenus.

3.4. Contrôles.

Dans le cadre de l'application de la présente instruction, les autorités qualifiées tiennent ou font tenir un dossier recensant les sites et caractéristiques des installations connectées au réseau, lesquelles sont assujetties aux contrôles en vigueur pour les systèmes d'information. Chaque organisme inclut dans le dossier de sécurité des systèmes d'information du site les éléments organisationnels et techniques relatifs au système connecté.

4. MESURES TECHNIQUES ET D'ORGANISATION.

4.1.

Les équipements raccordés au réseau Internet doivent satisfaire aux règles de sécurité informatique en vigueur. En outre, les stations et terminaux doivent être dédiés exclusivement à l'utilisation d'Internet et ne mettre en œuvre aucune autre application. A défaut d'utilisation de dispositifs de protection agréés par le SCSSI, ils sont en permanence isolés de tout autre réseau ou système du ministère de la défense.

L'utilisation de moyens privés pour le transfert d'informations entre Internet et des systèmes et réseaux du ministère est interdite.

4.2. Modes d'exploitation.

Le traitement et le stockage d'informations classifiées de défense (confidentiel défense et au-dessus) ou sensibles (diffusion restreinte et confidentiel spécifique) sur les stations ou terminaux dédiés à Internet sont interdits.

L'exportation à destination du réseau Internet d'informations classifiées de défense ou sensibles est interdite quel que soit le service utilisé.

L'importation d'informations en provenance du réseau Internet, via un support quelconque, vers un réseau, un système ou une application traitant des informations classifiées de défense ou sensibles ainsi que vers des réseaux, systèmes ou applications présentant une forte exigence en terme d'intégrité, est interdite. Lorsqu'elle est autorisée par dérogation expresse de l'autorité qualifiée, la mise en œuvre d'une importation d'informations doit faire l'objet de mesures spécifiques permettant de préserver la sécurité du système destinataire, du réseau et des applications qu'il supporte.

4.3.

Le personnel utilisateur reçoit, à l'égard de la préservation des informations classifiées de défense ou sensibles, une information particulière sur les risques spécifiques liés à l'utilisation des divers services offerts par Internet.

4.4. Cas particulier de l'ouverture de services sur Internet.

L'ouverture de serveurs dédiés à la communication, à l'information ou à la documentation des services du ministère est soumise, outre celles de la présente instruction, au respect des dispositions de l' instruction 1344 /DEF/CAB/CM/3 du 10 janvier 1997 (BOC, p. 372) relative à la communication, à l'information et à la documentation des services du ministère de la défense utilisant les nouveaux réseaux de télécommunications.

Les projets de réalisation de serveurs Internet sont conduits selon les procédures en usage en matière d'informatisation. L'expression des besoins fonctionnels est obligatoirement accompagnée, dès la phase initiale du projet, d'une définition des objectifs de sécurité menée selon une méthode appropriée et incluse au cahier des charges.

L'étude des risques, puis des mesures de sécurité à appliquer qui visent à détecter, réduire et si possible empêcher les nuisances potentielles, donne lieu à la rédaction d'un dossier de sécurité. La réalisation peut donner lieu à un hébergement par un fournisseur de services ; dans ce cas, les clauses contractuelles à appliquer sont rédigées en respectant les règles précisées au paragraphe V ci-après.

Les conditions de mise en œuvre du système sont répertoriées dans un dossier d'exploitation tenant compte des mesures techniques et d'organisation imposées par le dossier de sécurité.

La décision de mise en service opérationnel est prise après vérification de la conformité du système complet et de la validité des procédures d'exploitation.

5. Cadre juridique.

5.1.

Le caractère mondial du réseau et la délocalisation des services correspondants imposent des précautions particulières dans les relations contractuelles avec les fournisseurs d'accès et les prestataires de service.

Le recours à ces intermédiaires donne ainsi lieu à l'établissement de contrats stipulant que l'ensemble de leurs modalités sont régies par la loi française. Lesdits contrats précisent en particulier :

• l'application de la législation nationale concernant le droit des télécommunications, le droit d'auteur, le code de la propriété intellectuelle et de la protection des informations nominatives ;

• l'interdiction de la communication sans autorisation préalable à un service privé ou public étranger, de façon directe ou indirecte et sous quelque forme que ce soit, d'informations résultant de l'activité exercée au profit de l'administration.

En outre, les moyens et prestations fournis dans le cadre du contrat doivent être localisés sur le territoire national. Compte tenu de la nature du contrat, tout litige sera arbitré par le juge administratif compétent.

Les obligations à la charge du prestataire doivent être traduites en termes de résultat, en particulier quant à la disponibilité du système et à l'intégrité des données ainsi qu'au respect de la ligne éditoriale, des règles et mesures de sécurité, du suivi de l'activité et notamment de la comptabilité.

Les responsables de contrats ou marchés de prestations informatiques doivent veiller à ce que ceux-ci offrent la possibilité de recevoir les prestations susceptibles de donner lieu à des importations de logiciels ou de données par un autre moyen que le réseau Internet.

V. 2. les responsables de contrats ou marchés à clauses de sécurité doivent veiller, le cas échéant et dans le contexte précis de leur exécution, au respect par les entreprises titulaires des principes de sécurité énoncés dans la présente instruction.