Articles

Article Annexe (Titre V : 85 à 94) AUTONOME ABROGE, en vigueur du au (Arrêté du 23 juillet 2010 portant approbation de l'instruction générale interministérielle sur la protection du secret de la défense nationale)

Article Annexe (Titre V : 85 à 94) AUTONOME ABROGE, en vigueur du au (Arrêté du 23 juillet 2010 portant approbation de l'instruction générale interministérielle sur la protection du secret de la défense nationale)

TITRE V

MESURES DE SÉCURITÉ RELATIVES AUX SYSTÈMES D'INFORMATION

Pour les systèmes d'information traitant d'informations classifiées s'appliquent les règles de la présente instruction et des instructions spécifiques d'application émises par l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

La SSI concerne tous les acteurs ayant une responsabilité dans la mise en œuvre de ces principes et mesures : les services informatiques pour la sécurité logique et les autres aspects de la sécurité informatique, les directions métiers pour les droits d'accès aux informations et les responsables de la sécurité physique des locaux.

La chaîne fonctionnelle de sécurité des systèmes d'information, placée sous l'autorité du HFDS dans les ministères ou d'une structure de sécurité équivalente dans les organismes ne relevant pas d'un département ministériel, est chargée de prescrire, d'appliquer pour ce qui la concerne, et de contrôler les mesures de sécurité nécessaires ; ces dernières doivent viser la disponibilité, la confidentialité et l'intégrité, en restant proportionnées aux enjeux des informations et des systèmes concernés.

L'homologation est l'acte formel par lequel l'autorité responsable certifie, après évaluation des risques, que la protection des informations et du système est assurée au niveau requis.

Article 85

Champ d'application

Le présent titre précise les mesures à appliquer pour protéger les informations classifiées dans les systèmes informatisés de traitement de l'information.

Ces mesures s'appliquent à tout système d'information ayant vocation à traiter des informations classifiées, qu'il soit placé sous la responsabilité d'un département ministériel (administration centrale ou service déconcentré), d'un organisme ou d'un établissement qui en relève, d'un organisme public ou privé ayant passé un contrat concernant la défense ou la sécurité nationale, ou plus généralement de toute personne publique ou privée qui traite de telles informations.

Des instructions et des directives techniques complètent en tant que de besoin les mesures générales exposées dans la présente instruction.

Chapitre Ier

L'organisation des responsabilités relatives aux systèmes d'information

Article 86

Les instances interministérielles chargées de la sécurité des systèmes d'information

1. Le secrétariat général de la défense et de la sécurité nationale (SGDSN)

Le SGDSN propose et met en œuvre la politique du Gouvernement en matière de sécurité des systèmes d'information (143) comme étant l'une des composantes de la protection du secret de la défense nationale. Il s'assure que le Président de la République et le Gouvernement disposent des moyens de communication électronique nécessaires en matière de défense et de sécurité nationale. Il est, à ce titre, également chargé de garantir la sécurité de ces moyens de communication. Il dispose à cette fin d'un service à compétence nationale, l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

2.L'Agence nationale de la sécurité des systèmes d'information (ANSSI)

L'ANSSI est l'autorité nationale en matière de sécurité des systèmes d'information (144). Elle assiste le secrétaire général de la défense et de la sécurité nationale dans l'exercice de ses attributions dans le domaine de la sécurité des systèmes d'information.

3. Le comité stratégique de la sécurité des systèmes d'information

Ce comité propose au Premier ministre les orientations stratégiques en matière de sécurité des systèmes d'information d'information et suit leur mise en œuvre (145).

Il est présidé par le secrétaire général de la défense et de la sécurité nationale. Son secrétariat est assuré par l'ANSSI.

(143) Article R. 1132-3 du code de la défense. (144) Décret n° 2009-834 du 7 juillet 2009, article 3. (145) Décret n° 2009-834 du 7 juillet 2009, article 7.

Article 87

Les départements ministériels

Chaque ministre est responsable, dans le département et les organismes dont il a la charge, de la sécurité des systèmes d'information. Il met en place un réseau de responsabilités dénommé chaîne fonctionnelle de la sécurité des systèmes d'information, chargé d'appliquer la réglementation, de mettre en œuvre les mesures et d'en contrôler l'application.

L'organisation de cette chaîne de responsabilités, décrite dans le présent chapitre, peut être adaptée dans chaque département ministériel en fonction de contraintes particulières.

En matière de sécurité des systèmes d'information, le HFDS, sous la responsabilité du ministre, anime la politique de sécurité des systèmes d'information et en contrôle l'application (146). En particulier, il veille au déploiement, dans son ministère, des moyens sécurisés gouvernementaux de communication électronique. Il désigne un fonctionnaire de sécurité des systèmes d'information (FSSI) pour l'assister dans ce domaine.

Le HFDS est plus particulièrement chargé :
-de diffuser les instructions interministérielles relatives à la sécurité des systèmes d'information à l'ensemble des personnels concernés et d'en préciser les modalités d'application ;
-d'élaborer les instructions particulières pour son ministère, en définissant, pour chaque type de système d'information, les mesures de protection nécessaires ;
-de contrôler l'application de ces instructions et l'efficacité des mesures prescrites ;
-de recenser les besoins de protection des systèmes d'information et de veiller à ce qu'ils soient satisfaits ;
-de prescrire les inspections et les contrôles nécessaires pour vérifier l'application effective des instructions et des directives traitant de la sécurité des systèmes d'information ;
-d'organiser la sensibilisation des personnels, et particulièrement des autorités qualifiées et agents de sécurité des systèmes d'information, et de contrôler la formation des personnels.

(146) Article R. 1143-5 du code de la défense.

Article 88

Autorités qualifiées et agents de sécurité

1.L'autorité qualifiée en sécurité des systèmes d'information (AQSSI)

Les autorités qualifiées sont responsables de la sécurité des systèmes d'information au niveau d'un service, d'une direction d'un ministère, au niveau d'un organisme ou d'un établissement relevant d'un ministère.

Les autorités qualifiées sont désignées par le ministre pour le département et les organismes dont il a la charge. Leur responsabilité ne peut être déléguée.

En liaison avec le HFDS et le FSSI du département ministériel dont elle relève, l'autorité qualifiée est notamment chargée :
-de définir, à partir des objectifs de sécurité qu'elle fixe, ou, pour les systèmes traitant d'informations classifiées, des objectifs de sécurité fixés par la présente instruction, une politique de sécurité des systèmes d'information adaptée à son service, sa direction, son établissement ou son organisme ;
-de s'assurer que les dispositions réglementaires et, le cas échéant, contractuelles sur la sécurité des systèmes d'information sont appliquées, notamment celles relatives à la sécurité des systèmes traitant d'informations classifiées ;
-de faire appliquer les consignes et les directives internes ;
-de s'assurer que des contrôles internes de sécurité sont régulièrement effectués ;
-d'organiser la sensibilisation et la formation du personnel aux questions de sécurité, en particulier en matière de systèmes d'information ;
-de s'assurer de la mise en œuvre des procédures réglementaires prescrites pour l'homologation des systèmes, pour l'agrément des dispositifs de sécurité et pour la gestion des articles contrôlés de la sécurité des systèmes d'information (ACSSI) (147) ;
-de désigner les autorités d'homologation des systèmes relevant de sa responsabilité.

Dans le cas d'un organisme qui ne relève pas d'un ministre, notamment un organisme privé, il appartient au responsable de cet organisme de désigner, en son sein, une personne ayant la fonction d'autorité qualifiée au sens du présent article.

2.L'agent, le responsable ou l'officier de sécurité des systèmes d'information (ASSI, RSSI, OSSI)

Les autorités qualifiées peuvent se faire assister par un ou plusieurs agents, responsables ou officiers de sécurité des systèmes d'information (ASSI, RSSI, OSSI) (148). Elles précisent, lors de leur désignation, le périmètre de leurs attributions et leur dépendance hiérarchique. Ce périmètre peut être un service, une direction ou un organisme, dans sa totalité, ou un ou plusieurs systèmes d'information, ou un établissement.

Ces agents assurent principalement les fonctions opérationnelles de la sécurité des systèmes d'information. Ils peuvent être notamment chargés :
-d'être les contacts privilégiés des utilisateurs du système pour les questions de sécurité ;
-d'assurer la formation et la sensibilisation des responsables, des informaticiens et des usagers en matière de sécurité des systèmes d'information ;
-de tenir à jour la liste des personnels ayant accès aux systèmes d'information ;
-de faire surveiller en permanence les activités des personnes extérieures appelées à effectuer des interventions sur les systèmes d'information ;
-de s'assurer de l'application, par les personnels d'exploitation et les utilisateurs, des règles de sécurité prescrites ;
-d'assurer leur sensibilisation aux mesures de sécurité et de les informer de toute modification des conditions d'emploi du système ;
-de veiller à la mise en œuvre des mesures de protection prescrites, d'établir des consignes particulières et de contrôler leur application ;
-d'assurer la gestion, la comptabilité et le suivi des ACSSI dans leur périmètre de responsabilité et d'en assurer périodiquement l'inventaire ;
-d'établir les consignes de sécurité relatives à la conservation, au stockage et à la destruction des ACSSI ;
-de vérifier périodiquement l'installation et le bon fonctionnement des dispositifs de sécurité ;
-de veiller au respect des procédures opérationnelles de sécurité propres au système d'information ;
-de surveiller les opérations de maintenance ;
-de rendre compte de toute anomalie constatée ou de tout incident de sécurité.

(147) Article 93 de la présente instruction. (148) Désignés sous l'appellation d'ASSI dans la suite de l'instruction.

Article 89

L'administrateur de la sécurité d'un système

Pour chaque système d'information traitant d'informations classifiées, l'autorité responsable de l'emploi du système désigne un administrateur de la sécurité pour mettre en œuvre les mesures opérationnelles de sécurité.A cet effet, l'administrateur est notamment chargé, en liaison avec l'ASSI concerné :
-de l'installation des logiciels correctifs de sécurité et des logiciels de protection ;
-de la gestion des moyens d'accès et d'authentification du système ;
-de la gestion des comptes et des droits d'accès des utilisateurs ;
-de l'exploitation des alertes de sécurité et des journaux de sécurité.

L'administrateur rend compte à l'ASSI de toute vulnérabilité du système qu'il détecte, de tout incident de sécurité et de toute difficulté dans l'application des mesures de sécurité.

L'administrateur de la sécurité doit, dans la mesure du possible, être distinct de l'administrateur du système. Il doit être habilité au niveau de classification des informations traitées par le système et au minimum au niveau Secret Défense.

Chapitre II

La protection des systèmes d'information

Article 90

Principes généraux de protection des systèmes d'information

L'objectif général de la protection d'un système d'information est de garantir l'intégrité, l'authenticité, la confidentialité et la disponibilité des informations traitées par ce système. La protection d'un système d'information s'appuie sur des principes portant sur l'organisation et sur les moyens techniques, auxquels s'ajoutent des principes de défense en profondeur. Ces principes doivent être respectés strictement dès lors que le système est susceptible de traiter des informations classifiées.

1. Principes relatifs à l'organisation

Ces principes comprennent :
-la prise en compte de la sécurité : la sécurité du système d'information doit être prise en compte dans toutes les phases de la vie du système, sous le contrôle de l'autorité d'homologation, notamment lors des études de conception et de spécification du système, tout au long de son exploitation et lors de son retrait du service ;
-la politique de sécurité du système d'information : une politique de sécurité définissant les principes et les exigences, techniques et organisationnels, de sécurité du système doit être établie et approuvée par l'autorité d'homologation. Cette politique s'appuie sur une gestion des risques prenant en compte les menaces pesant sur le système et sur les informations et les vulnérabilités identifiées sur le système ;
-l'homologation du système : tout système doit être homologué (149) par une autorité désignée conformément à l'article 92 avant sa mise en service opérationnel ;
-l'organisation de la chaîne des responsabilités : il convient d'identifier clairement les personnes qui ont des responsabilités dans la sécurité du système d'information, de les habiliter au niveau requis et de veiller à les informer des menaces pesant sur le système et sur les informations ;
-le contrôle de la sécurité du système en phase d'exploitation : la mise en œuvre des mesures de sécurité et le respect des conditions dont est assortie l'homologation sont contrôlés tout au long de l'exploitation du système d'information, notamment en conduisant régulièrement des audits de sécurité ;
-la gestion des incidents de sécurité : des procédures de détection et de traitement des incidents de sécurité susceptibles d'affecter la sécurité du système d'information doivent être mises en place. Il est rendu compte à l'autorité d'homologation des incidents rencontrés et des moyens mis en œuvre pour leur traitement.L'ANSSI est tenue informée des incidents et de leurs caractéristiques techniques affectant les systèmes d'information traitant d'informations classifiées.

2. Principes relatifs aux moyens techniques

Ces principes comprennent :
-la protection technique du système : le système d'information doit être conçu de manière à protéger l'information qu'il traite et à garantir son intégrité, sa disponibilité et la confidentialité des informations sensibles relatives à sa conception et à son paramétrage de sécurité ;
-la gestion des composants sensibles du système : une gestion des ACSSI et des autres composants sensibles du système d'information doit être mise en place, permettant d'en assurer la traçabilité tout au long de leur cycle de vie, conformément à l'article 93 ;
-la protection physique du système : les mesures relatives à la protection physique d'un système d'information prévues à l'annexe 8 doivent être appliquées ;
-la gestion et le contrôle des accès au système : le système d'information doit être conçu et géré de manière à ne permettre son accès (150) qu'aux seules personnes ayant le niveau d'habilitation requis et le besoin d'en connaître ;
-l'agrément des dispositifs de sécurité : des dispositifs de sécurité agréés par l'ANSSI conformément à l'article 91 du présent chapitre doivent être utilisés (151).

3. Principes de défense en profondeur

La protection d'un système d'information nécessite d'exploiter tout un ensemble de techniques de sécurité, afin de réduire les risques lorsqu'un composant particulier de sécurité est compromis ou défaillant. Cette défense en profondeur se décline en cinq axes majeurs :
-prévenir : éviter la présence ou l'apparition de failles de sécurité ;
-bloquer : empêcher les attaques de parvenir jusqu'aux composants de sécurité du système ;
-contenir : limiter les conséquences de la compromission d'un composant de sécurité du système ;
-détecter : pouvoir identifier, en vue d'y réagir, les incidents et les compromissions survenant sur le système d'information ;
-réparer : disposer de moyens pour remettre le système en fonctionnement et en conditions de sécurité à la suite d'un incident ou d'une compromission.

(149) Article R. 2311-6-1 du code de la défense. (150) Article R. 2311-7-1 du code de la défense. (151) Article R. 2311-6-1 du code de la défense.

Article 91

Agrément des dispositifs de sécurité

Les dispositifs de sécurité sont des moyens matériels ou logiciels destinés à protéger les informations traitées par le système ou à protéger le système lui-même. Ces dispositifs peuvent être développés pour un usage général ou spécifiquement pour un système particulier.

Ces dispositifs mettent en œuvre différents types de fonctions et de mécanismes de sécurité, notamment :
-des fonctions de cryptologie, chiffrant les informations stockées ou transmises sur des réseaux et assurant la signature, l'authentification ou la gestion de clés cryptographiques ;
-des fonctions de contrôle d'accès aux informations, comme l'authentification, le filtrage, le cloisonnement logique entre niveaux de sécurité ou le marquage des informations ;
-des fonctions ou des mécanismes destinés à protéger le dispositif lui-même, comme l'enregistrement et l'imputabilité des accès au dispositif, à empêcher ou à détecter les intrusions physiques ou logiques non autorisées, à garantir la protection, ou l'effacement, le cas échéant, des données sensibles stockées, et plus généralement toute fonction ou tout mécanisme destiné à garantir l'intégrité et la disponibilité du dispositif ;
-des fonctions d'administration et de gestion sécurisée du dispositif ;
-des fonctions protégeant la transmission d'un signal radio, notamment contre le brouillage ;
-des fonctions ou des mécanismes limitant les émissions de signaux compromettants.

Un dispositif de sécurité mis en place dans un système d'information qui traite d'informations classifiées doit être agréé par l'ANSSI lorsqu'il est utilisé, en complément de mesures organisationnelles de sécurité, comme un moyen essentiel de protection contre les accès non autorisés aux informations classifiées ou au système.

Exceptionnellement, en fonction de l'étude des risques qui a été menée et des conditions particulières d'emploi, l'autorité d'homologation peut décider de ne pas recourir à un dispositif agréé. Cette décision doit être expressément justifiée au regard des risques qui en découlent et motivée dans la décision d'homologation du système.

L'agrément est habituellement demandé par l'autorité chargée du développement du dispositif de sécurité ou, à défaut, par l'autorité responsable de l'emploi du système. Il est délivré à l'issue d'une évaluation de sécurité du dispositif, réalisée par un ou plusieurs laboratoires agréés par l'ANSSI. Cette évaluation a pour objectif de vérifier la cohérence des objectifs de sécurité, identifiés dans la cible de sécurité, au regard des menaces, et d'évaluer l'efficacité des fonctions et des mécanismes de sécurité. En fonction des résultats de l'évaluation, l'ANSSI peut prononcer un agrément qui atteste de l'aptitude du dispositif à protéger les informations classifiées à un niveau spécifié, dans des conditions d'emploi identifiées.A l'issue de sa période de validité, un agrément doit faire l'objet d'un renouvellement d'habilitation pouvant nécessiter de réévaluer le dispositif. En raison de l'évolution des menaces ou de la découverte de vulnérabilités, un agrément peut être retiré avant son échéance.

Pour assurer le bon déroulement de la procédure d'agrément ou de son renouvellement, l'autorité l'ayant demandé doit mettre en place une commission d'agrément réunissant, outre cette autorité, l'ANSSI, les laboratoires d'évaluation concernés et, le cas échéant, l'autorité d'emploi du système.

Article 92

L'homologation de sécurité

1. Démarche d'homologation

Il est nécessaire de mettre en œuvre une démarche, dite d'homologation, pour permettre d'identifier, d'atteindre puis de maintenir un niveau de risque de sécurité acceptable pour le système d'information considéré, compte tenu du besoin de protection requis. Cette démarche s'appuie sur une gestion globale des risques de sécurité concernant l'ensemble du système d'information tout au long de son cycle de vie.

L'homologation de sécurité d'un système est globale en ce qu'elle inclut dans son périmètre tout ce qui peut avoir un impact sur la sécurité du système, de nature technique ou organisationnelle. En particulier, il devra être tenu le plus grand compte :
-des interconnexions avec d'autres systèmes ;
-des supports amovibles ;
-des accès à distance par des utilisateurs nomades ;
-des opérations de maintenance, d'exploitation ou de télégestion du système, notamment lorsqu'elles sont effectuées par des prestataires externes.

Tout système d'information traitant d'informations classifiées doit faire l'objet d'une homologation, consistant en la déclaration par une autorité, dite d'homologation, que le système d'information considéré est apte à traiter des informations classifiées du niveau de classification retenu conformément aux objectifs de sécurité visés, et que cette autorité accepte les risques résiduels de sécurité. Lorsque le système recourt à des dispositifs de sécurité agréés par l'ANSSI, l'autorité d'homologation prend en compte les conditions attachées à ces agréments.

2. Autorité et commission d'homologation

L'homologation est prononcée par une autorité désignée dans les conditions suivantes :
-dans le cas où le système d'information traite d'informations classifiées au niveau Très Secret Défense, le SGDSN est l'autorité d'homologation ;
-dans le cas où le système d'information appartient à une administration, un service, un organisme ou un établissement relevant de la responsabilité d'un ministre, l'autorité qualifiée concernée désigne l'autorité d'homologation ;
-dans le cas où le système d'information relève de la responsabilité de plusieurs ministres, une autorité d'homologation unique est désignée conjointement par les ministres intéressés ;
-dans les autres cas, notamment lorsque le système d'information appartient à un organisme privé, la désignation de l'autorité d'homologation relève de la responsabilité du ou des organismes concernés par le système d'information.
L'autorité d'homologation doit être choisie au niveau hiérarchique suffisant pour assumer la responsabilité afférente à la décision d'homologation, et notamment pour accepter les risques résiduels. Elle est en principe l'autorité chargée de l'emploi du système. Elle peut être l'autorité qualifiée.

L'autorité d'homologation met en place une commission d'homologation chargée de l'assister et de préparer la décision d'homologation. Une telle commission comprend notamment des représentants des utilisateurs du système, et des responsables de l'exploitation et de la sécurité du système. En tant qu'autorité nationale en matière de sécurité des systèmes d'information, l'ANSSI peut participer à toute commission d'homologation. Elle en est membre de droit lorsque le SGDSN est l'autorité d'homologation.

3. Décision d'homologation

La décision d'homologation est prise après l'examen du dossier d'homologation. Celui-ci comporte notamment :
-une analyse de risques ;
-la politique de sécurité du système ;
-les procédures d'exploitation de la sécurité ;
-la gestion des risques résiduels ;
-les résultats des tests et des audits menés pour vérifier la conformité du système à la politique de sécurité et aux procédures d'exploitation ;
-le cas échéant, les agréments des dispositifs de sécurité.

La décision d'homologation doit intervenir avant la mise en service opérationnel du système. Cependant, de façon exceptionnelle, lorsque l'urgence opérationnelle le requiert, il peut être procédé à une mise en service provisoire, sans attendre l'homologation du système, en tenant compte de l'avancement de la procédure d'homologation et des risques résiduels de sécurité. Dans ce cas, la mise en service définitive interviendra ultérieurement, lorsque l'homologation de sécurité aura été prononcée.

La décision d'homologation est prononcée pour une durée maximale :
-de cinq ans pour un système d'information au niveau Confidentiel Défense ;
-de deux ans pour un système d'information au niveau Secret Défense ou Très Secret Défense.

L'ANSSI est destinataire de toute décision d'homologation portant sur les systèmes d'information traitant d'informations classifiées. Elle peut demander le dossier d'homologation correspondant.

4. Contrôle et renouvellement de l'homologation

L'autorité d'homologation fixe les conditions du maintien de l'homologation de sécurité au cours du cycle de vie du système d'information. Elle contrôle régulièrement que le système fonctionne effectivement selon les conditions qu'elle a approuvées, en particulier après des opérations de maintien en condition opérationnelle.

L'autorité d'homologation examine le besoin de renouvellement de l'homologation avant le terme prévu, notamment lorsque :
-les conditions d'exploitation du système ont été modifiées ;
-des nouvelles fonctionnalités ou applications ont été installées ;
-le système a été interconnecté à de nouveaux systèmes ;
-des problèmes d'application des mesures de sécurité ou des conditions de maintien de l'homologation ont été révélés, par exemple lors d'un audit de sécurité ;
-les menaces sur le système ont évolué ;
-de nouvelles vulnérabilités ont été découvertes ;
-le système a fait l'objet d'un incident de sécurité.

Article 93

Articles contrôlés de la sécurité des systèmes d'information (ACSSI)

Certains moyens, tels que les dispositifs de sécurité agréés ou leurs composants, et certaines informations relatives à ces moyens (spécifications algorithmiques, documents de conception, clés de chiffrement, rapports d'évaluation, etc.) peuvent nécessiter la mise en œuvre d'une gestion spécifique visant à assurer leur traçabilité tout au long de leur cycle de vie. Il s'agit des moyens et des informations, qu'ils soient eux-mêmes classifiés ou non, qu'il est essentiel de pouvoir localiser à tout moment et en particulier en cas de compromission suspectée ou avérée.

Ces moyens et informations sont appelés articles contrôlés de la sécurité des systèmes d'information (ACSSI). Ils portent un marquage spécifique les identifiant, en plus, le cas échéant, de leur mention de classification.

La décision de classer ACSSI un moyen ou une information est prise par la commission d'agrément lors de l'instruction de l'agrément du dispositif de sécurité concerné.

Les principes de gestion des ACSSI ont pour objectif :
-de former, de sensibiliser et de responsabiliser les détenteurs de tels moyens et informations ;
-d'assurer la comptabilité de ces moyens et informations, et d'en établir l'inventaire à un niveau central ou local, selon les besoins, de façon qu'ils puissent être localisés à tout moment ;
-de gérer leur diffusion ;
-de contrôler périodiquement leur localisation et leur état ;
-d'informer la chaîne fonctionnelle de toute compromission suspectée ou avérée à la suite d'événements tels que la perte, le vol ou la disparition, même temporaire ;
-de s'assurer de leur destruction.

Article 94

Systèmes d'information particuliers

1. Traitement des informations Spécial France

Les systèmes d'information susceptibles de traiter des informations portant la mention Spécial France (152) doivent faire en outre l'objet de mesures de sécurité particulières pour garantir que les utilisateurs étrangers qui auraient un besoin d'accès légitime au système ne puissent accéder aux informations dont l'accès n'est autorisé qu'aux seuls utilisateurs français.

2. Echanges internationaux

Lorsque des informations classifiées sont transmises dans des systèmes d'information relevant de la responsabilité d'Etats étrangers ou d'organisations internationales, des mesures de protection doivent être fixées par des accords ou des règlements de sécurité avec ces partenaires, qui assurent à ces informations un niveau de protection au moins équivalent à celui prévu dans la présente instruction.

La protection des systèmes d'information traitant d'informations classifiées confiées à la France par des Etats étrangers ou par des organisations internationales, est assurée conformément aux accords et aux règlements de sécurité établis avec ces partenaires. Ces accords et règlements font, le cas échéant, l'objet d'instructions complémentaires pour l'application de ces mesures en France.A défaut de tels accords ou règlements, les dispositions de la présente instruction s'appliquent à ces systèmes.

(152) Conformément à l'article R. 2311-4 du code de la défense.