Article 89
L'administrateur de la sécurité d'un système
Pour chaque système d'information traitant d'informations classifiées, l'autorité responsable de l'emploi du système désigne un administrateur de la sécurité pour mettre en œuvre les mesures opérationnelles de sécurité. A cet effet, l'administrateur est notamment chargé, en liaison avec l'ASSI concerné :
― de l'installation des logiciels correctifs de sécurité et des logiciels de protection ;
― de la gestion des moyens d'accès et d'authentification du système ;
― de la gestion des comptes et des droits d'accès des utilisateurs ;
― de l'exploitation des alertes de sécurité et des journaux de sécurité.
L'administrateur rend compte à l'ASSI de toute vulnérabilité du système qu'il détecte, de tout incident de sécurité et de toute difficulté dans l'application des mesures de sécurité.
L'administrateur de la sécurité doit, dans la mesure du possible, être distinct de l'administrateur du système. Il doit être habilité au niveau de classification des informations traitées par le système et au minimum au niveau Secret Défense.
Chapitre II
La protection des systèmes d'information
Article 90
Principes généraux de protection
des systèmes d'information
L'objectif général de la protection d'un système d'information est de garantir l'intégrité, l'authenticité, la confidentialité et la disponibilité des informations traitées par ce système. La protection d'un système d'information s'appuie sur des principes portant sur l'organisation et sur les moyens techniques, auxquels s'ajoutent des principes de défense en profondeur. Ces principes doivent être respectés strictement dès lors que le système est susceptible de traiter des informations classifiées.
1. Principes relatifs à l'organisation
Ces principes comprennent :
― la prise en compte de la sécurité : la sécurité du système d'information doit être prise en compte dans toutes les phases de la vie du système, sous le contrôle de l'autorité d'homologation, notamment lors des études de conception et de spécification du système, tout au long de son exploitation et lors de son retrait du service ;
― la politique de sécurité du système d'information : une politique de sécurité définissant les principes et les exigences, techniques et organisationnels, de sécurité du système doit être établie et approuvée par l'autorité d'homologation. Cette politique s'appuie sur une gestion des risques prenant en compte les menaces pesant sur le système et sur les informations et les vulnérabilités identifiées sur le système ;
― l'homologation du système : tout système doit être homologué (149) par une autorité désignée conformément à l'article 92 avant sa mise en service opérationnel ;
― l'organisation de la chaîne des responsabilités : il convient d'identifier clairement les personnes qui ont des responsabilités dans la sécurité du système d'information, de les habiliter au niveau requis et de veiller à les informer des menaces pesant sur le système et sur les informations ;
― le contrôle de la sécurité du système en phase d'exploitation : la mise en œuvre des mesures de sécurité et le respect des conditions dont est assortie l'homologation sont contrôlés tout au long de l'exploitation du système d'information, notamment en conduisant régulièrement des audits de sécurité ;
― la gestion des incidents de sécurité : des procédures de détection et de traitement des incidents de sécurité susceptibles d'affecter la sécurité du système d'information doivent être mises en place. Il est rendu compte à l'autorité d'homologation des incidents rencontrés et des moyens mis en œuvre pour leur traitement. L'ANSSI est tenue informée des incidents et de leurs caractéristiques techniques affectant les systèmes d'information traitant d'informations classifiées.
2. Principes relatifs aux moyens techniques
Ces principes comprennent :
― la protection technique du système : le système d'information doit être conçu de manière à protéger l'information qu'il traite et à garantir son intégrité, sa disponibilité et la confidentialité des informations sensibles relatives à sa conception et à son paramétrage de sécurité ;
― la gestion des composants sensibles du système : une gestion des ACSSI et des autres composants sensibles du système d'information doit être mise en place, permettant d'en assurer la traçabilité tout au long de leur cycle de vie, conformément à l'article 93 ;
― la protection physique du système : les mesures relatives à la protection physique d'un système d'information prévues à l'annexe 8 doivent être appliquées ;
― la gestion et le contrôle des accès au système : le système d'information doit être conçu et géré de manière à ne permettre son accès (150) qu'aux seules personnes ayant le niveau d'habilitation requis et le besoin d'en connaître ;
― l'agrément des dispositifs de sécurité : des dispositifs de sécurité agréés par l'ANSSI conformément à l'article 91 du présent chapitre doivent être utilisés (151).
3. Principes de défense en profondeur
La protection d'un système d'information nécessite d'exploiter tout un ensemble de techniques de sécurité, afin de réduire les risques lorsqu'un composant particulier de sécurité est compromis ou défaillant. Cette défense en profondeur se décline en cinq axes majeurs :
― prévenir : éviter la présence ou l'apparition de failles de sécurité ;
― bloquer : empêcher les attaques de parvenir jusqu'aux composants de sécurité du système ;
― contenir : limiter les conséquences de la compromission d'un composant de sécurité du système ;
― détecter : pouvoir identifier, en vue d'y réagir, les incidents et les compromissions survenant sur le système d'information ;
― réparer : disposer de moyens pour remettre le système en fonctionnement et en conditions de sécurité à la suite d'un incident ou d'une compromission.