4.2.2.2. Inspection du Haut Fonctionnaire de défense et de sécurité
Les inspections s'entendent ici comme des évaluations conduites par des personnes dûment désignées par le haut fonctionnaire de défense et de sécurité pour le compte des ministres. Elles ont pour objectif de s'assurer que les exigences réglementaires en matière de protection du secret sont appliquées (conditions d'élaboration, de détention, de conservation, de suivi, de protection des informations et supports classifiés qu'ils soient ou non dématérialisés).
Elles sont conduites de manière planifiée sur la base d'un calendrier arrêté par le haut fonctionnaire de défense et de sécurité qui est établi après concertation entre le fonctionnaire de sécurité de défense et les organismes concernés. Elles interviennent au rythme suivant :
- tous les cinq ans, pour les organismes du pôle ministériel et les organismes placés sous tutelle ;
- tous les sept ans, pour les opérateurs d'importance vitale ;
- en fonction de la périodicité prescrite au plan contractuel de sécurité, pour les organismes publics ou privés sous contrat ou convention.
Elles donnent lieu à un rapport classifié adressé au haut fonctionnaire de défense et de sécurité et au chef d'organisme inspecté.
Une instruction particulière précise les modalités de mise en œuvre des contrôles, audits et inspections.
A noter :
- les inspections sont planifiées par le haut fonctionnaire de défense et de sécurité un an avant leur réalisation ;
- en cas de manquement avéré ou supposé de la mise en œuvre de la politique de protection du secret de l'organisme, ou en cas d'événements de sécurité, le haut fonctionnaire de défense et de sécurité peut déclencher une inspection inopinée ;
- à partir de l'émission du rapport d'inspection, l'organisme inspecté dispose de six mois maximum pour rendre compte au haut fonctionnaire de défense et de sécurité des mesures correctives apportées ou engagées.
Glossaire
Accord de sécurité : accord intergouvernemental conclu entre la France et au moins un Etat ou une organisation internationale. Ces accords, qui doivent être obligatoirement consultés avant tout échange d'information ou support classifiés avec l'Etat ou l'organisation internationale considéré définissent les mesures de protection à appliquer dans le cadre de ces échanges, selon un principe d'équivalence entre les niveaux de classification français et ceux du partenaires, identifient les autorités nationales de sécurité compétentes, posent généralement le principe de la reconnaissance mutuelle des habilitations délivrées de part et d'autre, et précisent les modalités de transmission et de protection des informations et supports classifiés (Cf. IM §2.1.2).
Archivage : opération consistant à verser à un service d'archives des supports d'information lorsqu'ils ne sont plus d'utilisation habituelle. Les supports faisant encore l'objet d'une classification ne peuvent être archivés que dans certaines conditions et dans des services habilités à les recevoir (Cf. IM §3.6.3).
Auteur d'une information ou d'un support classifié : personne qui, sous le contrôle de l'autorité émettrice, prend la décision d'apposer le timbre de classification sur une information ou un support au niveau requis par son contenu. Il procède à l'analyse de l'importance de l'information au regard de son contexte et eu égard aux directives de classification reçues de l'autorité émettrice. C'est aussi lui qui fixe la date de déclassification (Cf. IM §3.1).
Autorité émettrice : Etat français, Etat étranger, organisation internationale ou institution, organisation ou organisme de l'Union européenne sous la responsabilité de laquelle ou duquel un timbre de classification est apposé sur une information ou un support, afin de lui conférer une protection au titre du secret de la défense nationale (Cf. IM §3.1).
Autorité nationale de sécurité ; autorité de sécurité déléguée : l'ANS est autorité nationale chargée d'assurer la protection des informations classifiées étrangères confiées aux organismes relevant de la juridiction de son Etat et d'assurer la liaison avec les autorités nationales de sécurité étrangères sur tout sujet relatif à la protection des informations et supports classifiés. En France, l'autorité nationale de sécurité est le secrétaire général de la défense et de la sécurité nationale. L'autorité nationale de sécurité peut déléguer sa mission à une autorité de sécurité déléguée dans un domaine spécifique et selon des modalités précisées dans une décision de délégation (Cf. IM §2.1.1).
Autorité qualifiée en sécurité des systèmes d'Information : au titre de la présente instruction, autorité chargée de définir les lignes directrices relatives à la sécurité des systèmes d'informations classifiées pour les organismes relevant de ses attributions et d'en contrôler l'application (Cf. IM §2.3.1).
Besoin d'en connaître : nécessité impérieuse de prendre connaissance d'une information dans le cadre de l'exercice d'une fonction ou l'accomplissement d'une mission (Cf. IM §3.3.1).
Catalogue des emplois : dans un organisme, liste des emplois, des fonctions et du nom, prénom des personnes occupant les postes qui nécessitent l'accès aux informations et supports classifiés. Le catalogue des emplois est dressé sur le seul critère du besoin d'en connaître. Il est établi et tenu à jour par l'officier de sécurité pour un niveau de classification donné. Un organisme peut ainsi détenir plusieurs catalogues des emplois (Cf. IM §3.3.1).
Compromission : destruction, détournement, soustraction, reproduction non autorisée ou divulgation, supposée ou avérée, d'une information ou d'un support classifié à une ou plusieurs personnes non qualifiées au sens de la présente instruction (Cf. IM §3.7).
Contrat sensible : contrat, quel que soit son régime juridique ou sa dénomination, qui n'implique pas l'accès à des informations et supports classifiés mais dont l'exécution nécessite l'accès à un lieu abritant des éléments couverts par le secret de la défense nationale. (Cf. IM §2.4.2).
Déclassification : suppression de la classification d'une information ou d'un support classifié. La déclassification n'est effective qu'après l'adoption d'une décision de déclassification par l'autorité émettrice compétente matérialisée sur le support classifié par un timbre de déclassification. A ne pas confondre avec le déclassement qui est la modification, par abaissement, du niveau de classification d'une information ou d'un support classifié (Cf. IM §3.1.1).
Enquête administrative : procédure destinée à vérifier que le comportement des personnes physiques ou morales intéressées n'est pas incompatible avec l'accès à certaines zones sensibles, l'exercice de la fonction ou l'accomplissement de la mission envisagée (Art. L. 114-1 du code de la sécurité intérieure).
Fonctionnaire de sécurité de défense : personne placée auprès du haut fonctionnaire de défense et de sécurité, chargée d'accompagner les responsables d'organisme dépendant du champ d'attribution de son ministère dans l'animation de leur chaîne fonctionnelle de la protection du secret (Cf. IM §2.1.4).
Fonctionnaire de sécurité des systèmes d'information : personne placée auprès du haut fonctionnaire de défense et de sécurité, chargée d'accompagner les responsables d'organisme dépendant du champ d'attribution de son ministère dans l'animation de leurs chaînes fonctionnelles de sécurité des systèmes d'information classifiés et de sécurité des articles contrôlés de la sécurité des systèmes d'information (Cf. IM §2.1.5).
Haut Fonctionnaire de défense et de sécurité : autorité chargée d'assister le ministre dans l'exercice de ses attributions de sécurité, de défense et de protection du secret. Il est, dans certains ministères, appelé haut fonctionnaire correspondant de sécurité et de défense ou haut fonctionnaire de défense (Cf. IM §2.1.3).
Informations et supports classifiés : information, document, support, matériel, procédé, réseau informatique, donnée informatisée ou fichier, quels qu'en soient la forme, la nature ou le mode de transmission, qu'ils soient élaborés ou en cours d'élaboration, auxquels un niveau de classification a été attribué et qui, dans l'intérêt de la défense nationale et conformément aux procédures, lois et règlements en vigueur, nécessitent une protection contre toute violation, toute destruction, tout détournement, toute divulgation, toute perte ou tout accès par toute personne non autorisée ou tout autre type de compromission. Pour avoir accès à ce type d'information, il faut être habilité et avoir le besoin d'en connaître.
Marquage : opération consistant à apposer sur un support classifié les mentions précisant son niveau de protection ou de classification, l'échéance de la classification, le numéro d'exemplaire, le numéro d'enregistrement, la pagination pour un document papier et, le cas échéant, la destination exclusivement nationale (Cf. IM §3.2).
Organisme : au titre de la présente instruction, toute personne morale publique ou privée ayant accès, même à titre provisoire, à des informations et supports classifiés.
Plan contractuel de sécurité : document attaché à une convention ou à un contrat énumérant, les engagements pris par la personne morale cocontractante de l'Etat pour protéger les informations et supports classifiés auxquels elle aura accès dans le cadre de la convention ou du contrat. Ce document fait partie intégrante de la convention ou du contrat (Cf. IM §2.4.2).
Politique de protection du secret : document définissant l'ensemble des mesures de protection mises en œuvre par l'organisme pour protéger les informations et supports classifiés auquel il a accès. Ce document est élaboré par l'officier de sécurité de l'organisme, en lien avec l'officier de sécurité des systèmes d'information pour les organismes utilisant un système d'information classifié. Il est conforme à la présente instruction, ainsi qu'à l'instruction ministérielle et le cas échéant aux instructions particulières applicables. Il prend en compte les obligations souscrites par l'organisme dans le cadre des plans contractuels de sécurité qui lui sont applicables (Cf. IM §4.1.1).
Procédure d'habilitation : procédure visant à s'assurer qu'une personne peut, sans risque pour la défense et la sécurité nationale ou pour sa propre sécurité, connaître des informations et supports classifiés dans l'exercice de ses fonctions (Cf. IM §3.3.2).
Responsable d'organisme : au sens de la présente instruction, pour les services de l'Etat (services centraux, services déconcentrés, services à compétence nationale), le responsable d'organisme est le chef du service ayant accès à des informations et supports classifiés (directeur de cabinet ministériel, secrétaire général d'un ministère, directeur d'administration centrale, chef de service, chef d'établissement, etc.). Pour les personnes morales autres que l'Etat, le représentant légal de la personne morale. Le responsable d'organisme est pénalement responsable de la protection du secret de la défense nationale au sein de son organisme et par ses personnels (Cf. IM §2.2.1).
Sécurité des systèmes d'information : ensemble des mesures techniques et non techniques menées pour atteindre l'état de cybersécurité pour les systèmes d'information, leur permettant de résister à des événements issus du cyberespace susceptible de compromettre la disponibilité, l'intégrité, la confidentialité ou la traçabilité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu'ils rendent accessibles.
Sensibilisation : instruction périodiquement prodiguée aux personnes habilitées ou susceptibles d'être habilitées, destinée à leur faire prendre conscience des enjeux de la protection du secret de la défense nationale, à les familiariser avec leur obligation de signalement de tout incident dans le respect des règles associées, à les mettre en capacité d'identifier les tentatives d'approche et à leur rappeler les sanctions judiciaires et administratives encourues en cas de manquement aux règles (Cf. IM §2.2.2).
Spécial France : mention complémentaire de protection visant à restreindre la divulgation d'une information ou d'un support aux seuls ressortissants français qualifiés au regard du code pénal. Une information ou un support portant cette mention ne peut, en aucune circonstance, être communiqué, en tout ou partie, à un Etat étranger ou à l'un de ses ressortissants, organisation internationale ou personne morale de droit étranger, même s'il existe un accord de sécurité entre la France et l'Etat ou l'organisation internationale considéré (Cf. IM §3.2.1.2).
Support : tout moyen matériel, quelles qu'en soient la forme et les caractéristiques physiques, permettant de recevoir, de conserver ou de restituer des informations ou des données.
Système d'information : ensemble organisé de ressources (matériels, logiciels, données, etc.) permettant de traiter, stocker ou transmettre des informations sous forme dématérialisée ; Système d'information d'administration : système d'information comprenant les ressources nécessaires pour administrer un système d'information considéré ; système d'information classifié : système d'information homologué pour traiter, stocker ou transmettre des informations et supports classifiés.
Timbre : mention figurant sur un support d'information précisant son niveau de classification et, le cas échéant, une mention de protection complémentaire. Le timbre respecte les caractéristiques définies par l'instruction générale interministérielle n° 1300 (Cf. IM §3.2.1).
Vulnérabilité : en matière de protection au sens large, la vulnérabilité est une faiblesse organique, fonctionnelle ou structurelle, permanente ou temporaire, dont l'exploitation pourrait favoriser la concrétisation d'une menace. Rapportée à la protection du secret, la vulnérabilité est aussi définie par le SGDSN comme un élément relatif à la situation d'une personne, d'un système d'information ou d'un local et qui amoindrit les garanties qu'il présente pour la protection des informations et supports classifiés.