Articles

Article AUTONOME (Arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale)

Article AUTONOME (Arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale)



3. Principes de défense en profondeur


La protection d'un système d'information nécessite d'exploiter tout un ensemble de techniques de sécurité, afin de réduire les risques lorsqu'un composant particulier de sécurité est compromis ou défaillant. Cette défense en profondeur se décline en cinq axes majeurs :
― prévenir : éviter la présence ou l'apparition de failles de sécurité ;
― bloquer : empêcher les attaques de parvenir jusqu'aux composants de sécurité du système ;
― contenir : limiter les conséquences de la compromission d'un composant de sécurité du système ;
― détecter : pouvoir identifier, en vue d'y réagir, les incidents et les compromissions survenant sur le système d'information ;
― réparer : disposer de moyens pour remettre le système en fonctionnement et en conditions de sécurité à la suite d'un incident ou d'une compromission.


Article 89
Agrément des dispositifs de sécurité


Les dispositifs de sécurité sont des moyens matériels ou logiciels destinés à protéger les informations traitées par le système ou à protéger le système lui-même. Ces dispositifs peuvent être développés pour un usage général ou spécifiquement pour un système particulier.
Ces dispositifs mettent en œuvre différents types de fonctions et de mécanismes de sécurité, notamment :
― des fonctions de cryptologie, chiffrant les informations stockées ou transmises sur des réseaux et assurant la signature, l'authentification ou la gestion de clés cryptographiques ;
― des fonctions de contrôle d'accès aux informations, comme l'authentification, le filtrage, le cloisonnement logique entre niveaux de sécurité ou le marquage des informations ;
― des fonctions ou des mécanismes destinés à protéger le dispositif lui-même, comme l'enregistrement et l'imputabilité des accès au dispositif, à empêcher ou à détecter les intrusions physiques ou logiques non autorisées, à garantir la protection, ou l'effacement le cas échéant, des données sensibles stockées, et plus généralement toute fonction ou tout mécanisme destiné à garantir l'intégrité et la disponibilité du dispositif ;
― des fonctions d'administration et de gestion sécurisée du dispositif ;
― des fonctions protégeant la transmission d'un signal radio, notamment contre le brouillage ;
― des fonctions ou des mécanismes limitant les émissions de signaux compromettants.
Un dispositif de sécurité mis en place dans un système d'information qui traite d'informations classifiées doit être agréé par l'ANSSI lorsqu'il est utilisé, en complément de mesures organisationnelles de sécurité, comme un moyen essentiel de protection contre les accès non autorisés aux informations classifiées ou au système.
Exceptionnellement, en fonction de l'étude des risques qui a été menée et des conditions particulières d'emploi, l'autorité d'homologation peut décider de ne pas recourir à un dispositif agréé. Cette décision doit être expressément justifiée au regard des risques qui en découlent et motivée dans la décision d'homologation du système.
L'agrément est habituellement demandé par l'autorité chargée du développement du dispositif de sécurité, ou à défaut par l'autorité responsable de l'emploi du système. Il est délivré à l'issue d'une évaluation de sécurité du dispositif, réalisée par un ou plusieurs laboratoires agréés par l'ANSSI. Cette évaluation a pour objectif de vérifier la cohérence des objectifs de sécurité, identifiés dans la cible de sécurité, au regard des menaces, et d'évaluer l'efficacité des fonctions et des mécanismes de sécurité. En fonction des résultats de l'évaluation, l'ANSSI peut prononcer un agrément qui atteste de l'aptitude du dispositif à protéger les informations classifiées à un niveau spécifié, dans des conditions d'emploi identifiées. A l'issue de sa période de validité, un agrément doit faire l'objet d'un renouvellementrenouvellement d'habilitation pouvant nécessiter de réévaluer le dispositif. En raison de l'évolution des menaces ou de la découverte de vulnérabilités, un agrément peut être retiré avant son échéance.
Pour assurer le bon déroulement de la procédure d'agrément ou de son renouvellement d'habilitation, l'autorité l'ayant demandé doit mettre en place une commission d'agrément réunissant, outre cette autorité, l'ANSSI, les laboratoires d'évaluation concernés et, le cas échéant, l'autorité d'emploi du système.


Article 90
L'homologation de sécurité
1. Démarche d'homologation


Il est nécessaire de mettre en œuvre une démarche dite « d'homologation » pour permettre d'identifier, d'atteindre puis de maintenir un niveau de risque de sécurité acceptable pour le système d'information considéré, compte tenu du besoin de protection requis. Cette démarche s'appuie sur une gestion globale des risques de sécurité concernant l'ensemble du système d'information tout au long de son cycle de vie.
L'homologation de sécurité d'un système est globale en ce qu'elle inclut dans son périmètre tout ce qui peut avoir un impact sur la sécurité du système, de nature technique ou organisationnelle. En particulier, il devra être tenu le plus grand compte :
― des interconnexions avec d'autres systèmes ;
― des supports amovibles ;
― des accès à distance par des utilisateurs « nomades » ;
― des opérations de maintenance, d'exploitation ou de télégestion du système, notamment lorsqu'elles sont effectuées par des prestataires externes.
Tout système d'information traitant d'informations classifiées doit faire l'objet d'une homologation, consistant en la déclaration par une autorité dite « d'homologation » que le système d'information considéré est apte à traiter des informations classifiées du niveau de classification retenu conformément aux objectifs de sécurité visés, et que cette autorité accepte les risques résiduels de sécurité. Lorsque le système recourt à des dispositifs de sécurité agréés par l'ANSSI, l'autorité d'homologation prend en compte les conditions attachées à ces agréments.


2. Autorité et commission d'homologation


L'homologation est prononcée par une autorité désignée dans les conditions suivantes :
― dans le cas où le système d'information traite d'informations classifiées au niveau Très Secret Défense, le SGDSN est l'autorité d'homologation ;
― dans le cas où le système d'information appartient à une administration, un service, un organisme ou un établissement relevant de la responsabilité d'un ministre, l'autorité qualifiée concernée désigne l'autorité d'homologation ;
― dans le cas où le système d'information relève de la responsabilité de plusieurs ministres, une autorité d'homologation unique est désignée conjointement par les ministres intéressés ;
― dans les autres cas, notamment lorsque le système d'information appartient à un organisme privé, la désignation de l'autorité d'homologation relève de la responsabilité du ou des organismes concernés par le système d'information.
L'autorité d'homologation doit être choisie au niveau hiérarchique suffisant pour assumer la responsabilité afférente à la décision d'homologation, et notamment pour accepter les risques résiduels. Elle est en principe l'autorité chargée de l'emploi du système. Elle peut être l'autorité qualifiée.
L'autorité d'homologation met en place une commission d'homologation chargée de l'assister et de préparer la décision d'homologation. Une telle commission comprend notamment des représentants des utilisateurs du système, et des responsables de l'exploitation et de la sécurité du système. En tant qu'autorité nationale en matière de sécurité des systèmes d'information, l'ANSSI peut participer à toute commission d'homologation. Elle en est membre de droit lorsque le SGDSNautorité nationale de sécurité est l'autorité d'homologation.


3. Décision d'homologation


La décision d'homologation est prise après l'examen du dossier d'homologation. Celui-ci comporte notamment :
― une analyse de risques ;
― la politique de sécurité du système ;
― les procédures d'exploitation de la sécurité ;
― la gestion des risques résiduels ;
― les résultats des tests et des audits menés pour vérifier la conformité du système à la politique de sécurité et aux procédures d'exploitation ;
― le cas échéant, les agréments des dispositifs de sécurité.
La décision d'homologation doit intervenir avant la mise en service opérationnel du système. Cependant, de façon exceptionnelle, lorsque l'urgence opérationnelle le requiert, il peut être procédé à une mise en service provisoire, sans attendre l'homologation du système, en tenant compte de l'avancement de la procédure d'homologation et des risques résiduels de sécurité. Dans ce cas, la mise en service définitive interviendra ultérieurement, lorsque l'homologation de sécurité aura été prononcée.
La décision d'homologation est prononcée pour une durée maximale :
― de cinq ans pour un système d'information au niveau Confidentiel Défense ;
― de deux ans pour un système d'information au niveau Secret Défense ou Très Secret Défense.
L'ANSSI est destinataire de toute décision d'homologation portant sur les systèmes d'information traitant d'informations classifiées. Elle peut demander le dossier d'homologation correspondant.


4. Contrôle et renouvellement de l'homologation


L'autorité d'homologation fixe les conditions du maintien de l'homologation de sécurité au cours du cycle de vie du système d'information. Elle contrôle régulièrement que le système fonctionne effectivement selon les conditions qu'elle a approuvées, en particulier après des opérations de maintien en condition opérationnelle.
L'autorité d'homologation examine le besoin de renouvellement de l'homologation avant le terme prévu notamment lorsque :
― les conditions d'exploitation du système ont été modifiées ;
― des nouvelles fonctionnalités ou applications ont été installées ;
― le système a été interconnecté à de nouveaux systèmes ;
― des problèmes d'application des mesures de sécurité ou des conditions de maintien de l'homologation ont été révélés, par exemple lors d'un audit de sécurité ;
― les menaces sur le système ont évolué ;
― de nouvelles vulnérabilités ont été découvertes ;
― le système a fait l'objet d'un incident de sécurité.


Article 91
Articles contrôlés de la sécurité
des systèmes d'information (ACSSI)


Certains moyens, tels que les dispositifs de sécurité ou leurs composants, et certaines informations relatives à ces moyens (spécifications algorithmiques, documents de conception, clés de chiffrement, rapports d'évaluation, etc.) peuvent nécessiter la mise en œuvre d'une gestion spécifique visant à assurer leur traçabilité tout au long de leur cycle de vie. Il s'agit des moyens et des informations, qu'ils soient eux-mêmes classifiés ou non, qu'il est essentiel de pouvoir localiser à tout moment et en particulier en cas de compromission suspectée ou avérée.
Ces moyens et informations sont appelés « articles contrôlés de la sécurité des systèmes d'information » (ACSSI). Ils portent un marquage spécifique les identifiant, en plus, le cas échéant, de leur mention de classification.
La décision de classer ACSSI un moyen ou une information est prise par l'ANSSI après avis de la commission d'agrément du dispositif de sécurité concerné. Dans le cas où le dispositif de sécurité n'est pas soumis à agrément du dispositif de sécurité n'est pas soumis à agrément, l'autorité d'homologation d'un système d'information qui met en œuvre un tel dispositif de sécurité peut décider après avis de la commission d'homologation de classer ACSSI ce dispositif ou ses composants ou les informations qui y sont liées.
Les principes de gestion des ACSSI ont pour objectif :
― de former, de sensibiliser et de responsabiliser les détenteurs de tels moyens et informations ;
― d'assurer la comptabilité de ces moyens et informations, et d'en établir l'inventaire à un niveau central ou local, selon les besoins, de façon qu'ils puissent être localisés à tout moment ;
― de gérer leur diffusion ;
― de contrôler périodiquement leur localisation et leur état ;
― d'informer la chaîne fonctionnelle de toute compromission suspectée ou avérée à la suite d'événements tels que la perte, le vol ou la disparition, même temporaire ;
― de s'assurer de leur destruction.


Article 92
Systèmes d'information particuliers
1. Traitement des informations « Spécial France »


Les systèmes d'information susceptibles de traiter des informations portant la mention « Spécial France » (141) doivent faire en outre l'objet de mesures de sécurité particulières pour garantir que les utilisateurs étrangers qui auraient un besoin d'accès légitime au système ne puissent accéder aux informations dont l'accès n'est autorisé qu'aux seuls utilisateurs français.


2. Echanges internationaux


Lorsque des informations classifiées sont transmises dans des systèmes d'information relevant de la responsabilité d'Etats étrangers ou d'organisations internationales, des mesures de protection doivent être fixées par des accords ou des règlements de sécurité avec ces partenaires, qui assurent à ces informations un niveau de protection au moins équivalent à celui prévu dans la présente instruction.
La protection des systèmes d'information traitant d'informations classifiées confiées à la France par des Etats étrangers ou par des organisations internationales, est assurée conformément aux accords et aux règlements de sécurité établis avec ces partenaires. Ces accords et règlements font, le cas échéant, l'objet d'instructions complémentaires pour l'application de ces mesures en France. AA défaut de tels accords ou règlements, les dispositions de la présente instruction s'appliquent à ces systèmes.

(141) Conformément à l'article R. 2311-4 du code de la défense.