Vous êtes sur la page 1sur 53

PREMIER MINISTRE Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes dinformation Sous-direction des oprations

Bureau conseil

Guide pour l'laboration d'une politique de scurit de systme d'information

PSSI
SECTION 3 PRINCIPES DE SCURIT

51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 71 75 84 15 - Fax 01 71 75 84 00

Ce document a t ralis par le bureau conseil de la DCSSI (SGDN / DCSSI / SDO / BCS) Les commentaires et suggestions sont encourags et peuvent tre adresss l'adresse suivante (voir formulaire de recueil de commentaires en fin de guide) : Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes d'information Sous-direction des oprations Bureau Conseil 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP conseil.dcssi@sgdn.pm.gouv.fr

Historique des modifications


Version Objet de la modification Statut Valid Draft

15/09/1994 Publication du guide d'laboration de politique de scurit interne (PSI). (1.1) 2002 Rvision globale : - actualisation des rfrences, - cration d'une mthodologie, - enrichissement et reclassement des principes de scurit, - sparation en 3 sections (mthodologie, principes de scurit et complments). Restructuration, remise en forme, amlioration de la mthode, mise en cohrence avec les outils mthodologiques et meilleures pratiques de la DCSSI suite une consultation d'experts internes.

2003

Prtest

23/12/2003 Sparation en 4 sections (introduction, mthodologie, principes de scurit et rfrences SSI) et amliorations diverses suite une consultation d'experts externes (notamment le Club EBIOS) et plusieurs mises en pratique (ministre de la Dfense, CNRS, Direction des Journaux Officiels). 03/03/2004 Publication du guide pour l'laboration d'une politique de scurit de systme d'information (PSSI)

Prtest pour validation

Valid

Table des matires


SECTION 1 INTRODUCTION (document spar)

SECTION 2 MTHODOLOGIE (document spar)

SECTION 3 PRINCIPES DE SCURIT INTRODUCTION ..................................................................................................................................... 8 OBJET DU DOCUMENT......................................................................................................................... 8 1 PRINCIPES ORGANISATIONNELS.............................................................................................. 9 PSI : POLITIQUE DE SCURIT ............................................................................................................... 9 PSI-01 : volutions de la PSSI ....................................................................................................... 9 PSI-02 : Diffusion de la PSSI.......................................................................................................... 9 PSI-03 : Contrle dapplication de la PSSI ..................................................................................... 9 PSI-04 : Protection des informations confies l'organisme ......................................................... 9 PSI-05 : Adoption d'une chelle de besoins ................................................................................. 10 PSI-06 : Critres de dtermination des besoins de scurit ........................................................ 10 PSI-07 : Dclassification des informations ............................................................................. 11 PSI-08 : Surclassification des informations ............................................................................ 12 PSI-09 : Identification et porte de la classification dune information ......................................... 12 PSI-10 : Dfinition et contrle des habilitations ............................................................................ 12 PSI-11 : Critres de diffusion interne des informations ................................................................ 12 PSI-12 : Critres de diffusion externe des informations ............................................................... 12 ORG : ORGANISATION DE LA SCURIT ................................................................................................ 12 ORG-01 : Responsabilits gnrales pour la scurit du systme d'information de l'organisme 12 ORG-02 : Les responsabilits pour l'laboration et la mise en uvre d'une PSSI ...................... 13 ORG-03 : Couverture des responsabilits.................................................................................... 13 ORG-04 : Responsabilits du niveau dcisionnel ........................................................................ 13 ORG-05 : Responsabilits du niveau de pilotage......................................................................... 14 ORG-06 : Responsabilits du niveau oprationnel ...................................................................... 14 ORG-07 : Autres responsables de lorganisme jouant un rle dans la SSI.................................. 15 ORG-08 : Entits spcifiques ddies la gestion et au pilotage de la scurit......................... 15 ORG-09 : Application de la notion de responsable-dtenteur ...................................................... 16 ORG-10 : Application de la notion de responsable-dpositaire ................................................... 16 ORG-11 : Gestion des relations avec des tiers intervenant dans le cadre de la SSI................... 16 ORG-12 : Cadre contractuel pour les changes de donnes scuriss ...................................... 16 ORG-13 : Modalits d'utilisation des rseaux de tlcommunication externes l'organisme ..... 17 ORG-14 : Clauses spcifiques de protection des informations .................................................... 17 ORG-15 : Slection, coordination et emploi des moyens cryptographiques ................................ 17 ORG-16 : Mise en place d'une organisation de veille et de prvention ....................................... 17 ORG-17 : Organisation de cellules de crise ................................................................................. 18 GER : GESTION DES RISQUES SSI....................................................................................................... 18 GER-01 : Dfinition du cadre de gestion des risques SSI............................................................ 18 GER-02 : Identification des objectifs de scurit.......................................................................... 18 GER-03 : Circonstances qui justifient une rvaluation de la scurit du SI ............................... 19 GER-04 : tude prospective sur l'volution de la SSI .................................................................. 19 GER-05 : Matrise et contrle de certains flux spcifiques........................................................... 19 GER-06 : Identification des services et moyens justifiant lutilisation de la cryptographie ........... 20 CDV : SCURIT ET CYCLE DE VIE ....................................................................................................... 20 CDV-01 : Intgration de la SSI dans les projets ........................................................................... 20 CDV-02 : Conditions de mise en exploitation de tout nouveau constituant du SI ........................ 20 CDV-03 : Contrle des logiciels avant leur mise en exploitation.................................................. 20 CDV-04 : Circonstances retenues pour la mise en uvre des contrles de scurit.................. 21

CDV-05 : Modalits des contrles de scurit par le niveau de pilotage ..................................... 21 CDV-06 : Continuit du contrle de scurit par le niveau oprationnel ..................................... 21 CDV-07 : Contrle permanent des moyens de protection............................................................ 21 CDV-08 : Application de contrle de code et de procdure de recette ........................................ 22 CDV-09 : Autres types de contrles ncessaires ......................................................................... 22 CDV-10 : Les processus de contrle ne doivent pas perturber le fonctionnement des SI........... 22 CDV-11 : Ralisation daudit de scurit ...................................................................................... 22 ACR : ASSURANCE ET CERTIFICATION .................................................................................................. 23 ACR-01 : Exigences minimales sur les applicatifs utiliss dans le SI .......................................... 23 ACR-02 : laboration d'une cible de scurit ............................................................................... 23 ACR-03 : Respect des exigences scuritaires avant mise en service oprationnelle ................. 23 ACR-04 : Vrification priodique du respect des exigences scuritaires sur les applicatifs ........ 24 ACR-05 : valuation du niveau de confiance accord au SI : valuation et certification............. 24 ACR-06 : Critres d'acquisition et conditions d'usage de progiciels ............................................ 24 ACR-07 : Adoption de mthodes et d'outils de dveloppement ................................................... 24 ACR-08 : Adoption d'un standard de programmation et de codage des donnes ....................... 24 ACR-09 : Homologation du systme d'information....................................................................... 25 ACR-10 : Agrment du systme d'information ............................................................................. 25 ACR-11 : Gestion de la documentation de scurit ..................................................................... 25 ACR-12 : Adoption d'un standard d'laboration de la documentation de scurit ....................... 25 ACR-13 : Production de documents par lorganisme ................................................................... 26 ACR-14 : Maintenance de la documentation de scurit ............................................................. 26 2 PRINCIPES DE MISE EN UVRE .............................................................................................. 27 ASH : ASPECTS HUMAINS .................................................................................................................... 27 ASH-01 : Notion de reconnaissance de responsabilit ................................................................ 27 ASH-02 : Clauses de scurit dans les contrats de travail........................................................... 27 ASH-03 : Adoption de critres de slection du personnel travaillant sur les SI sensibles ........... 27 ASH-04 : Principes gnraux dhabilitation .................................................................................. 28 ASH-05 : Catgories dhabilitations .............................................................................................. 28 ASH-06 : Rgles dattribution et dengagement (responsabilits)................................................ 28 ASH-07 : Volants de personnel .................................................................................................... 28 ASH-08 : Procdure d'habilitation pour les postes de travail sensibles ....................................... 28 ASH-09 : Cloisonnement des postes de travail sensibles ............................................................ 29 ASH-10 : Dlgation ..................................................................................................................... 29 PSS : PLANIFICATION DE LA CONTINUIT DES ACTIVITS........................................................................ 29 PSS-01 : Dfinition du primtre dun plan de continuit ............................................................. 29 PSS-02 : Prise en compte des services externaliss ................................................................... 29 PSS-03 : laboration d'un plan de reprise.................................................................................... 30 PSS-04 : Positionnement des applications dans le plan de continuit......................................... 30 PSS-05 : Mise en place des procdures de sauvegarde ............................................................. 30 PSS-06 : Tests rguliers des plans .............................................................................................. 30 INC : GESTION DES INCIDENTS ............................................................................................................ 30 INC-01 : Dfinition des situations anormales envisageables ....................................................... 30 INC-02 : Mise en place d'un rseau de dtection et d'alerte des incidents de scurit ............... 30 INC-03 : Matrise des incidents de scurit .................................................................................. 31 INC-04 : Contrle des incidents de scurit ................................................................................. 31 INC-05 : Moyens de dtection dintrusion ou dutilisation frauduleuse......................................... 31 INC-06 : Mise en uvre dun service dalerte efficace................................................................. 32 INC-07 : Prvision des ractions rflexes face des situations durgence.................................. 32 FOR : SENSIBILISATION ET FORMATION ................................................................................................ 32 FOR-01 : Documentation des responsabilits .............................................................................. 32 FOR-02 : Sensibilisation gnrale la scurit ........................................................................... 32 FOR-03 : Communication sur la SSI ............................................................................................ 32 FOR-04 : Application pour la protection juridique des informations de l'organisme..................... 33 FOR-05 : Adaptation de la sensibilisation aux diffrentes classes d'utilisateurs.......................... 33 FOR-06 : Sensibilisation rgulire des personnels la SSI......................................................... 33 FOR-07 : Sensibilisation au traitement des incidents................................................................... 33 FOR-08 : Prparation et entranement la gestion des situations de crise................................. 33 FOR-09 : Sensibilisation du personnel l'usage des TIC ............................................................ 34 FOR-10 : Formation du personnel l'usage des TIC ................................................................... 34 FOR-11 : Sensibilisation des utilisateurs aux moyens de supervision ......................................... 34 EXP : EXPLOITATION........................................................................................................................... 34

EXP-01 : Documentation des procdures et rgles dexploitation ............................................... 34 EXP-02 : Intgration de la SSI dans les procdures et rgles dexploitation ............................... 34 EXP-03 : Sparation du dveloppement et des oprations ou de la production.......................... 34 EXP-04 : Conditions d'usage de l'infogrance ............................................................................. 35 EXP-05 : Conditions de scurit pour la maintenance des constituants du SI ............................ 35 EXP-06 : Conditions de scurit pour la reprise aprs maintenance........................................... 35 EXP-07 : Suivi des oprations de maintenance des constituants du SI....................................... 35 EXP-08 : Gestion des prestations de services externes .............................................................. 35 EXP-09 : Intgration de la SSI dans les contrats dinfogrance................................................... 36 EXP-10 : Scurit dans les services externaliss ........................................................................ 36 EXP-11 : Contrle antiviral des logiciels et donnes avant leur mise en exploitation.................. 36 EXP-12 : Contrles de scurit en phase d'exploitation du systme d'information ..................... 37 EXP-13 : Rduction des vulnrabilits ......................................................................................... 37 EXP-14 : Procdures d'exploitation scurise des informations et des donnes ........................ 37 EXP-15 : Mise en place dune organisation pour la lutte contre le code malveillant.................... 38 EXP-16 : Consignes de scurit concernant la tl-action .......................................................... 38 EXP-17 : Protection et utilisation de la messagerie...................................................................... 38 EXP-18 : Rgles spcifiques de filtrage aux accs ...................................................................... 38 EXP-19 : Normes de conservation et de destruction des informations protger ...................... 38 EXP-20 : Contrle des supports amovibles avant leur mise en exploitation ................................ 39 EXP-21 : Les supports, sources dinfection et de risque de divulgation....................................... 39 EXP-22 : Mise au rebut des supports ou sortie de matriel informatique .................................... 39 EXP-23 : Photocopie de documents............................................................................................. 39 EXP-24 : Stockage des informations par lorganisme .................................................................. 39 EXP-25 : Connexion des postes nomades et PDA ...................................................................... 40 ENV : ASPECTS PHYSIQUES ET ENVIRONNEMENT.................................................................................. 40 ENV-01 : Continuit dans la gestion des biens physiques ........................................................... 40 ENV-02 : Prise en compte des contraintes oprationnelles de l'organisme................................. 40 ENV-03 : Compltude des mesures de scurit physique ........................................................... 40 ENV-04 : Isolement des systmes sensibles ou vitaux ................................................................ 41 ENV-05 : Adquation des mesures de scurit physique aux types de biens ............................. 41 ENV-06 : Protection contre les accidents et pannes .................................................................... 41 ENV-07 : Protection physique du cblage et des rseaux tlcoms............................................ 41 ENV-08 : Dcoupage de l'infrastructure en zones de scurit..................................................... 41 ENV-09 : Application des modalits d'accueil et de circulation des visiteurs ............................... 42 ENV-10 : Gestion spcifique des biens physiques ncessitant une protection ........................... 42 ENV-11 : Procdures d'exploitation scurise des moyens dcentraliss .................................. 42 ENV-12 : Protection de la documentation de scurit.................................................................. 42 ENV-13 : Protection de lquipement contre le vol ....................................................................... 43 ENV-14 : Protection des supports de sauvegarde ....................................................................... 43 ENV-15 : Protection de la documentation systme ...................................................................... 43 ENV-16 : Utilisation lextrieur du site ....................................................................................... 43 3 PRINCIPES TECHNIQUES.......................................................................................................... 44 AUT : IDENTIFICATION / AUTHENTIFICATION .......................................................................................... 44 AUT-01 : Utilisation dun mme secret pour accder plusieurs services .................................. 44 AUT-02 : Combinaison des moyens d'authentification................................................................. 44 AUT-03 : Unicit de l'identit des utilisateurs ............................................................................... 44 AUT-04 : Dlivrance et recouvrement des moyens dauthentification.......................................... 44 CAL : CONTRLE D'ACCS LOGIQUE AUX BIENS .................................................................................... 45 CAL-01 : Dispositifs et procdures de protection contre les intrusions ........................................ 45 CAL-02 : Cloisonnement des rseaux et matrise des flux .......................................................... 45 CAL-03 : Modalits dutilisation scurise des rseaux de tlcommunication de lorganisme .. 46 CAL-04 : Organisation des accs au systme dinformation........................................................ 46 CAL-05 : Fichiers contenant des mots de passe.......................................................................... 47 CAL-06 : Suppression des accs non matriss au systme dinformation ................................. 47 CAL-07 : Attribution de privilges daccs aux services............................................................... 47 CAL-08 : Protection des accs particuliers (accs de maintenance) au SI.................................. 47 CAL-09 : Vrification des listes d'accs au systme dinformation .............................................. 47 CAL-10 : Contrle des privilges des utilisateurs du systme d'information................................ 47 CAL-11 : Application de la notion de profil d'utilisateur du systme d'information ....................... 48 CAL-12 : Administration des privilges d'utilisation du systme d'information............................. 48 CAL-13 : Verrouillage des sessions de travail.............................................................................. 48

CAL-14 : Protection de lenvironnement de travail ....................................................................... 48 JRN : JOURNALISATION ....................................................................................................................... 48 JRN-01 : Moyens de journalisation des intrusions ou des utilisations frauduleuses .................... 48 JRN-02 : Enregistrement des oprations ..................................................................................... 49 JRN-03 : Constitution de preuves................................................................................................. 49 JRN-04 : Gestion des traces......................................................................................................... 49 JRN-05 : Alerte de scurit........................................................................................................... 49 JRN-06 : Analyse des enregistrements des donnes de contrle de scurit............................. 49 IGC : INFRASTRUCTURES DE GESTION DES CLS CRYPTOGRAPHIQUES .................................................. 50 IGC-01 : Politique de gestion des cls.......................................................................................... 50 IGC-02 : Protection des cls secrtes ou cls prives ................................................................. 50 IGC-03 : Certification des cls publiques ..................................................................................... 50 SCP : SIGNAUX COMPROMETTANTS ..................................................................................................... 50 SCP-01 : Zonage .......................................................................................................................... 51 SCP-02 : Matriel TEMPEST ....................................................................................................... 51 SCP-03 : Cages de Faraday......................................................................................................... 51 SCP-04 : Signaux compromettants intentionnels ......................................................................... 51 FORMULAIRE DE RECUEIL DE COMMENTAIRES ........................................................................... 52

SECTION 4 RFRENCES SSI (document spar)

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

Introduction
Le guide PSSI est dcompos en quatre sections : l'introduction permet de situer la place de la PSSI dans le rfrentiel normatif de la SSI au sein de l'organisme et de prciser les bases de lgitimit sur lesquelles elle s'appuie ; la mthodologie prsente, de faon dtaille, la conduite de projet dlaboration dune PSSI, ainsi que des recommandations pour la construction des rgles de scurit ; le rfrentiel de principes de scurit (ce document) ; une liste de documents de rfrences de la SSI (critres dvaluation, textes lgislatifs, normes, codes dthiques, notes complmentaires...).

L'attention du lecteur est attire sur le fait que les sections composant le guide PSSI seront mises jour indpendamment. Un formulaire de recueil de commentaires figure en annexe de chaque guide afin de renvoyer des propositions et remarques la DCSSI.

Objet du document
Cette section du guide PSSI prsente la liste des principes utiles pour llaboration d'une politique de scurit des systmes d'information (PSSI). Ces principes couvrent 16 domaines de la scurit des systmes dinformation.
!

Principes organisationnels 1. Politique de scurit 2. Organisation de la scurit 3. Gestion des risques SSI 4. Scurit et cycle de vie 5. Assurance et certification Principes de mise en uvre 6. Aspects humains 7. Planification de la continuit des activits 8. Gestion des incidents 9. Sensibilisation et formation 10. Exploitation 11. Aspects physiques et environnementaux Principes techniques 12. Identification / authentification 13. Contrle daccs logique 14. Journalisation 15. Infrastructures de gestion des cls cryptographiques 16. Signaux compromettants

Chacun des principes pourra tre dclin en rgles d'application pour rdiger une PSSI. La DCSSI recommande : de conserver les conventions d'criture, d'viter la recopie des principes de scurit sans analyse approfondie.

Page 8 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

1 Principes organisationnels
PSI : Politique de scurit
PSI-01 : volutions de la PSSI
Un organisme peut changer au cours du temps (organisation, missions, primtre, axes stratgiques, valeurs). Son systme dinformation est donc lobjet de modifications frquentes, tout comme les menaces et vulnrabilits qui s'y appliquent. Il convient alors de prvoir un rexamen de la PSSI : lors de toute volution majeure du contexte ou du SI ; dans le cas d'une volution de la menace ; dans le cas d'une volution des besoins de scurit ; la suite dun audit ; la suite dun incident de scurit ; systmatiquement intervalle dfini ; sur demande d'une autorit (responsable de la scurit, direction) dans le cadre d'une procdure dfinir dans la PSSI.

PSI-02 : Diffusion de la PSSI


La PSSI ainsi que toutes ses dclinaisons oprationnelles doivent tre parfaitement documentes et les versions de rfrences jour doivent tre facilement accessibles tous les personnels de lorganisme. La PSSI doit tre connue de lensemble des acteurs internes, ainsi que, le cas chant, de lensemble des personnes accdant au systme dinformation de lorganisme (sous-traitants, prestataires, stagiaires) ; Cependant, elle peut contenir des informations confidentielles et les personnels de lorganisme peuvent tre concerns de faon diffrencie en fonction de leur rle. De ce fait, il est recommand, le cas chant, d'laborer et de diffuser des synthses, incluant des extraits plus dtaills pour les informations pertinentes en fonction des lecteurs. Le but de ces synthses est de permettre chacun de connatre les enjeux et les rgles de scurit en fonction de ses besoins.

PSI-03 : Contrle dapplication de la PSSI


Il est judicieux de prvoir des procdures et moyens de contrle interne de l'application de la PSSI et de les complter par des procdures et moyens daudits externes. diter des rgles sans se donner les moyens de contrler leur application ne constitue pas une situation acceptable, en particulier sur le plan de la scurit.

PSI-04 : Protection des informations confies l'organisme


Ce principe permet de s'assurer de l'exhaustivit des rfrences rglementaires. Les informations dtenues provisoirement par l'organisme et qui comportent, du fait de leur propritaire, une classification ou une mention particulire de protection devraient tre protges rigoureusement selon les mmes mesures que celles appliques par l'organisme d'origine. Ces mesures peuvent dcouler de lapplication des textes de loi (Loi n78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts), d'instructions interministrielles comme, par exemple, celle traitant du respect de la classification des informations lies au secret de dfense [IGI 900], de la protection des informations concernant le patrimoine national [II 486] ou de l'tablissement d'un march de dfense [II 2000]. Dans le cas o ces rgles ne dcoulent pas de rglementations communes, ils convient de contractualiser lengagement des parties vis--vis des informations changes.

Page 9 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

PSI-05 : Adoption d'une chelle de besoins


Une chelle de besoins selon diffrents critres de scurit (disponibilit, intgrit, confidentialit) permettra de faciliter la classification objective des lments essentiels de l'organisme (informations et fonctions). La dmarche mthodologique du guide PSSI propose une approche pour laborer une chelle de besoins. Elle prcise qu'une pondration et des valeurs de rfrence doivent tre dtermines pour chacun des critres de scurit. Les valeurs de rfrence doivent tre objectives, propres l'organisme et lies ses orientations stratgiques. Par ailleurs, dans le plan-type propos dans le guide PSSI, il est recommand d'inclure cette chelle dans la PSSI.

PSI-06 : Critres de dtermination des besoins de scurit


La dmarche mthodologique du guide PSSI propose une approche pour dterminer les besoins de scurit (en termes de disponibilit, d'intgrit, de confidentialit) des lments essentiels (informations et fonctions) selon l'chelle de besoins adopte. Deux cas se prsentent pour les lments essentiels identifis : l'utilisation directe de cette chelle de besoins pour ceux qui ne possdent pas de classification ; la mise en correspondance avec cette chelle de besoins pour ceux qui possdent dj une classification (par exemple les informations relevant du secret de dfense, sensibles, vitales).

En dehors, principalement, des informations relevant du secret de dfense et des informations nominatives pour lesquelles les textes lgislatifs en vigueur doivent tre appliqus, les besoins de scurit seront dtermins selon le contrle de l'origine des informations, l'apprciation de leur intrt et de leur validit par rapport leur cycle de vie dans le processus oprationnel de production : le contrle de l'origine des informations (provenance trangre, domaine public, client, fournisseur) revt un caractre majeur pour la scurit ; des critres spcifiques peuvent tre prvus en fonction de la provenance pour juger d'une ventuelle compromission avant leur collecte, de leur exactitude, de leur validit et de leur correcte prsentation pour le systme ; l'apprciation de l'intrt et de la validit de l'information recueillie se fait par application de critres clairement dfinis par la direction de l'organisme et qui peuvent porter sur un domaine particulier (R&D, cercles de qualit, veille technologique).

Remarque concernant les informations sensibles : Les informations sensibles sont celles dont la divulgation ou l'altration peut porter atteinte aux intrts de l'tat ou ceux de l'organisme pour lequel un prjudice financier pourrait par exemple le conduire la faillite. Il faut par consquent, assurer principalement leur confidentialit et, assez souvent, rpondre un besoin important d'intgrit. Les informations classes dans cette catgorie sont : d'une part, les informations relevant du secret de dfense au sens de l'article 5 de l'[IGI 900] ; l'organisme est alors tenu de respecter les rgles de classification spcifies dans la rglementation ; de plus, lorganisme a obligation de mettre en uvre les moyens pour tre conforme la rglementation ; d'autre part, les informations sensibles non classifies de dfense au sens de l'article 4 de la [REC 901], c'est--dire, celles lies la mission ou au mtier de l'organisme (par exemple, au savoir-faire technologique ou au secret professionnel), celles relatives aux propositions commerciales ou bien encore aux renseignements sur l'tat de la scurit (par exemple, les rsultats d'audits internes).

La classification retenue vise en premier lieu donner lutilisateur une juste apprciation de la sensibilit des informations quil traite, puis faciliter le contrle et, par consquent, amliorer la protection des informations sensibles. Pour celles qui ne sont pas du ressort de l'[IGI 900] la classification choisie doit tre approuve par l'organisme.

Page 10 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

Remarque concernant les informations vitales : Les informations dites "vitales" sont celles dont l'existence est ncessaire au bon fonctionnement de l'organisme. Il faut principalement assurer leur disponibilit et, assez souvent, rpondre un besoin important d'intgrit. Les informations que l'on peut identifier comme vitales sont : d'une part, les informations relevant du secret de dfense au sens de l'article 6 de l'[IGI 900], d'autre part, les informations ne relevant pas du secret de dfense au sens de l'article 5 de la [REC 901] mais ncessaires pour le fonctionnement du systme, ainsi que des informations sortant du champ de l'article 5 (par exemple, les nomenclatures d'articles pour une unit de production).

La classification retenue vise en premier lieu donner lutilisateur une juste apprciation de la sensibilit des informations quil traite, puis faciliter le contrle et, par consquent, amliorer la protection des informations vitales. Pour celles qui ne sont pas du ressort de l'[IGI 900], la classification choisie doit tre approuve par l'organisme. En particulier, il peut tre prvu la spcification d'un seuil minimal de disponibilit des informations vitales (traites ou traitantes) en dessous duquel le systme d'information est dclar inoprant. Remarque concernant les informations stratgiques : Les informations stratgiques sont des informations dont la connaissance est ncessaire pour atteindre les objectifs correspondant aux orientations stratgiques de l'organisme. Elles peuvent tre protges par des textes lgislatifs, mais peuvent galement faire lobjet de contrats, de conventions ou de protocoles daccord protgs par le Code Civil. La classification retenue vise en premier lieu donner lutilisateur une juste apprciation de la sensibilit des informations quil traite puis faciliter le contrle et, par consquent, amliorer la protection des informations stratgiques ; elle peut s'appuyer sur des critres propres l'organisme comme, par exemple, un secteur particulier (tudes, innovations, marchs), le niveau de valeur accord et la dure de validit. Remarque concernant les informations nominatives : L'article 4 de la loi "Informatique et Liberts" dfinit la notion d'information nominative : "les informations nominatives sont celles qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectu par une personne physique ou par une personne morale". La classification retenue vise faciliter le contrle et, par consquent, amliorer la protection des informations nominatives conformment la loi ; elle peut s'appuyer sur des critres propres l'organisme comme, par exemple, un domaine particulier (mdical, recrutement), le type de sondage ou d'enqute, le lieu de traitement ou de stockage. Remarque concernant les informations coteuses : Les informations coteuses sont des informations qui font partie du patrimoine de l'organisme et dont la collecte, le traitement, le stockage ou la transmission ncessitent un dlai important ou un cot d'acquisition lev. Les dispositions lgislatives numres pour les informations stratgiques peuvent tre appliques cette catgorie. La classification retenue vise en premier lieu donner lutilisateur une juste apprciation de la sensibilit des informations quil traite puis faciliter le contrle et, par consquent, amliorer la protection des informations coteuses ; elle peut s'appuyer sur des critres propres l'organisme comme, par exemple, un secteur particulier (tudes, innovations), la provenance et le niveau de cot.

PSI-07 : Dclassification des informations


La classification dune information est parfois attribue pour une priode de temps. Des rgles devront dfinir les priodes minimales selon la nature des informations.

Page 11 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

PSI-08 : Surclassification des informations


Le degr de protection doit tre proportionnel la classification des informations et des systmes. Si l'emploi dune classification leve semble garantir une meilleure protection, un recours systmatique la surclassification risque dentraner une perte de confiance vis vis de la mthode de classification. Pour viter cela il convient : - dviter de surclasser linformation ; - de revoir priodiquement la classification attribue.

PSI-09 : Identification et porte de la classification dune information


Lidentification de la classification doit tre claire, connue de tous et immdiatement reconnaissable. Pour les documents, elle doit tre intgre aux chartes graphiques ; pour les disquettes et autres supports informatiques, aux procdures de gestion des supports ; pour les fichiers, aux procdures dorganisation des ressources informatiques. Les machines appartenant un rseau traitant dinformations confidentielles ou hbergeant des informations de ce type doivent galement tre identifies. Il est important que les personnels aient conscience que la classification de leur organisme peut ne pas tre quivalente une classification porte sur des informations provenant dautres organismes. linverse la classification dfinie pour lorganisme peut navoir de sens que dans le primtre de la PSSI.

PSI-10 : Dfinition et contrle des habilitations


L'organisme propritaire des informations doit tre en mesure d'attribuer des habilitations lies l'utilisation des informations et il a pour mission de dfinir les rgles de gestion des habilitations et d'effectuer les contrles correspondants. Sans tre ncessairement le propritaire des informations un instant donn, lorganisme peut nanmoins en tre le dpositaire. Dans ce cas, il ne dispose pas de pouvoir de dcision vis vis des informations traites mais doit respecter les rgles de gestion dfinies par le propritaire (clients, sous-traitants...) en fonction de la classification affecte.

PSI-11 : Critres de diffusion interne des informations


Afin d'viter les indiscrtions et les fuites, les informations et gnralement les supports associs, ne doivent pouvoir tre utiliss que dans un environnement rpondant aux exigences de scurit dfinies par l'organisme. Le contrle de la diffusion interne a pour but de s'assurer que les informations sont rendues disponibles exclusivement aux personnes ayant le besoin de les connatre dans le cadre de leur travail. Un contrle permet galement de vrifier que la recopie d'informations est conforme aux prrogatives prvues par la loi (droit d'auteur, copyright), la rglementation (secret de dfense) et aux contraintes spcifiques de l'organisme. Le besoin d'en connatre (pour la confidentialit) peut tre tendu aux besoins d'en modifier (pour l'intgrit), d'en utiliser (pour la disponibilit)

PSI-12 : Critres de diffusion externe des informations


La mise disposition non contrle d'informations ncessitant une protection peut porter prjudice l'organisme (par exemple, perte de crdibilit ou d'image de marque, rcupration de savoir-faire). La mise en place de critres permet de s'assurer que les informations transmises l'extrieur d'un organisme, si elles sont de nature confidentielle, imposent un contrle pralable d'habilitation du rcepteur ou une clause contractuelle liant les organismes concerns ; dans le cas d'informations nominatives, la communication doit tre en accord avec la loi. Par ailleurs, dans le cadre de ce principe, il peut tre envisag que la diffusion externe des informations soit effectue par du personnel habilit et selon une procdure d'autorisation pralable.

ORG : Organisation de la scurit


ORG-01 : Responsabilits gnrales pour la scurit du systme d'information de l'organisme
La nomination d'un responsable de la scurit des systmes dinformation (RSSI ou quivalent) est ncessaire pour assurer la responsabilit globale de llaboration, de la mise en uvre et du Page 12 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

fonctionnement de la gestion de la SSI dans lorganisme. Ce RSSI (terminologie habituelle qui sera employe dans la suite de ce document) est en charge du respect d'une PSSI tous les chelons et domaines de l'organisme. Ce responsable, rattach la direction de l'organisme doit pouvoir faire prvaloir l'aspect scuritaire sur les intrts particuliers et intgrer la scurit dans tous les projets touchant les systmes d'information. La mise en place de cette fonction est un signal fort et ncessaire de l'importance donne par l'organisme sa PSSI. Dans le cadre des administrations, la voie fonctionnelle SSI couvre ces responsabilits.

ORG-02 : Les responsabilits pour l'laboration et la mise en uvre d'une PSSI


La PSSI concerne toutes les fonctions vitales d'un organisme ; en effet, celui-ci ne pourrait gnralement pas supporter une dfaillance prolonge de son ou de ses systmes d'information. De ce fait, la PSSI revt un intrt stratgique : une rgle doit dfinir les responsabilits pour son laboration comme pour ses inluctables volutions au sein, par exemple, d'un comit de pilotage. De plus, dans la phase de mise en uvre de la PSSI, la rgle tablit les responsabilits des autorits qualifies dans la mise en place et le contrle des consignes de scurit pour l'installation et l'exploitation des moyens composant le systme d'information. Elle met tout particulirement en vidence, la ncessit d'une intgration de la scurit ds la conception et le dveloppement de tout nouveau projet intressant le systme d'information. La PSSI indique galement que la scurit du SI ne se limite pas aux aspects et aux volutions techniques mais quelle englobe toute volution ou modification de lorganisation, des missions.

ORG-03 : Couverture des responsabilits


Le principe gnral de sensibilisation de l'OCDE nonce : "Les attributions et responsabilits des propritaires, des fournisseurs, des utilisateurs de systme d'information et des autres parties concernes par la scurit des systmes d'information, doivent tre explicitement exprimes". Il est fondamental que tous les domaines concerns par la scurit (scurit des infrastructures, scurit dans les projets et familles dapplication, scurit des locaux, documentation de scurit) aient un responsable dsign et que lensemble des tches relevant de la scurit, ait t attribu. Lorganisation de la scurit dans chacun de ces domaines doit inclure les niveaux stratgique, de pilotage et oprationnel. En particulier, il doit exister une identification claire et unique de la responsabilit scurit lie aux rseaux ou systmes transversaux tel que le rseau bureautique dentreprise ou le dispositif daccs aux rseaux externes.

ORG-04 : Responsabilits du niveau dcisionnel


Il appartient au niveau dcisionnel de prendre toute disposition pour concevoir et mettre en place une scurit adapte aux besoins et objectifs de l'organisme et de s'assurer du respect de lapplication de la PSSI. (1) Pour un organisme ministriel, ce niveau est celui du haut fonctionnaire de dfense (HFD) qui reoit dlgation du ministre ; il est responsable de l'application des dispositions relatives la scurit de dfense, la protection du secret et la scurit des systmes d'information. Il peut tre aid dans sa mission par un fonctionnaire de scurit des systmes d'information (FSSI) dont les principales missions sont ([IGI 900], article 19 et [REC 901], article 18) : - de prciser les modalits d'application des instructions interministrielles, ; - d'laborer et de contrler l'application des instructions particulires son ministre ; - d'organiser la sensibilisation des autorits ; - d'assurer la liaison avec les commissions interministrielles et ministrielles spcialises. (2) Pour un organisme public ou priv, ce niveau est celui d'un haut responsable de la scurit qui reoit dlgation du comit de direction ; il est aid dans sa mission par un comit de scurit. Le comit de direction fixe, sur proposition du haut responsable de la scurit, les grandes orientations en matire de SSI, en accord avec les objectifs de l'organisme et les diffrentes politiques mises en uvre (politique de gestion du personnel, budgtaire, de production). Ce comit peut tre, par ailleurs, l'instance de validation de la PSSI. Le haut responsable de la scurit veille l'application de la PSSI. Il participe aux dlibrations du comit de direction dont il est le conseiller pour toutes les questions relatives la scurit telles que la dfinition des objectifs, l'allocation des ressources et du personnel. Page 13 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

Le comit de scurit, prsid par le haut responsable de la scurit, runit les responsables de la scurit des diffrentes fonctions de l'organisme. Il veille la coordination de la mise en uvre de la PSSI : il vrifie tout particulirement la cohrence des rgles de scurit et arbitre les conflits ventuels avec les autres rgles et pratiques en usage dans l'organisme. (3) Une quipe de scurit du systme d'information, la disposition du haut fonctionnaire de dfense (ou du haut responsable de la scurit), peut tre constitue si les besoins de l'organisme l'exigent. Elle rassemble des spcialistes en informatique et en rseaux de tlcommunication, mais aussi de responsables des aspects non technologiques des systmes d'information, forms la scurit et dont les principales missions sont : - la prparation et la coordination des activits de scurit ; - l'valuation priodique des vulnrabilits ; - la recherche des solutions techniques et l'laboration des procdures ; - la mise en place de programmes de sensibilisation et de formation ; - les expertises de scurit sur demande du comit de direction. Lquipe de scurit peut tre compose de permanents mais pourra en fonction des besoins (tels de gros projets dvolution majeure du SI) sadjoindre temporairement des spcialistes ou experts des domaines concerns.

ORG-05 : Responsabilits du niveau de pilotage


Ds lors que la taille dun organisme le justifie, il sera identifi des sous-ensembles (sites, parties du SI, divisions) avec une mise en place de responsables locaux , une dlgation de responsabilit clairement dfinie et une organisation efficace de la coordination avec la structure centrale. Pour un organisme ministriel, ce niveau est celui des autorits qualifies qui sont responsables de la scurit du systme d'information dont ils ont la charge ([IGI 900], article 20 et [REC 901], article 19). Pour un organisme priv, ce niveau est celui dun correspondant local de scurit, dont la fonction est ddie la SSI et qui appartient lquipe dirige par le RSSI. Leur mission est de piloter la mise en uvre de la PSSI leur niveau (direction, service, tablissement) et, plus prcisment : - de s'assurer du respect des dispositions contractuelles et rglementaires ; - d'laborer les consignes et les directives internes ; - de s'assurer que les contrles internes de scurit sont correctement effectus ; - d'organiser la sensibilisation du personnel. Ces autorits peuvent s'appuyer sur les comptences de l'quipe de scurit. Pour assurer les missions de pilotage de la SSI, il est parfois ncessaire de constituer des comits de pilotage ddis : - au suivi de lapplication de la PSSI ; - au traitement de crises, lies la scurit du systme dinformation ; - la veille technologique, au suivi des besoins SSI de lorganisme, et lvolution de la PSSI.

ORG-06 : Responsabilits du niveau oprationnel


tous les niveaux, les autorits hirarchiques sont personnellement responsables de l'application des mesures, dfinies par les autorits qualifies, destines assurer la scurit des systmes d'information ([IGI 900], article 20 et [REC 901], article 19). Tout personnel appartenant ou intervenant dans lorganisme est impliqu dans la SSI et dispose de responsabilits qui doivent tre clairement formalises et portes la connaissance de chacun. Les responsabilits et engagements du personnel (voir les principes de scurit relatifs aux obligations contractuelles) couvrent notamment : - le respect des lois et rglements, - le respect de la politique et rgles spcifiques (lies un projet, un tablissement, une fonction particulire), - laccs un rseau ou des locaux dans un autre organisme. Ces responsabilits peuvent tre renforces en fonction de leurs fonctions et habilitations (voir les principes de scurit relatifs aux habilitations). Par exemple, les administrateurs des systmes dinformation, dtenteurs de secrets et exploitant des fonctions sensibles des SI, auront des responsabilits particulires dans le domaine de la SSI. Dautre part, les responsabilits des personnels de lorganisme doivent galement couvrir le cas o ils interviennent dans un autre SI que celui de lorganisme auquel ils appartiennent (clients, partenaires).

Page 14 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

ORG-07 : Autres responsables de lorganisme jouant un rle dans la SSI


Il existe dautres fonctions non ddies la scurit mais jouant nanmoins des rles particuliers indispensables au fonctionnement de la SSI. Ces fonctions sont notamment : - les agents ou correspondants de la scurit Pour permettre chaque site, service ou unit la mise en uvre des consignes et des procdures, les autorits hirarchiques se font assister par un ou plusieurs agents de la scurit chargs principalement de linterface entre les utilisateurs du systme dinformation et les responsables du suivi de la SSI. Lobjectif est double : o faciliter la diffusion de linformation de scurit et lapplication des rgles de bon usage ; o assurer une remonte dinformation des utilisateurs auprs du suivi centralis de la scurit.

Ce rle doit tre assur par des personnes proches des utilisateurs sur les plans gographique et mtier. Ces agents sont les correspondants privilgis de l'quipe de scurit. Ils peuvent galement avoir en charge les ressources communes plusieurs units oprationnelles. Leur rle est alors la mise en uvre des mesures de protection compatibles avec les objectifs des units et la rsolution locale des problmes de scurit. En l'absence de telles mesures, il pourrait s'ensuivre un arbitrage difficile entre une tche fonctionnelle et une action de scurit. les responsables juridiques de lorganisme Ils jouent un rle indispensable dans le domaine de la SSI de lorganisme. Ils interviennent sur linitiative du RSSI dans divers domaines dont notamment : o la rdaction des clauses de confidentialit et les engagements de SSI dans les contrats commerciaux et les contrats dembauche ; o o o le dpt de plaintes et linstruction daffaires ; lintgration dans les divers rglements et chartes de lorganisme des rgles de SSI ; les relations avec les sous-traitants.

les responsabilits des auditeurs Outre les responsabilits de contrle attribues aux rles oprationnels, les auditeurs ont en charge les missions suivantes : o dfinir la stratgie daudit, comprenant notamment les audits SSI ; o o raliser ou faire raliser des audits SSI, selon son plan daudit ou sur demande des Directions, en relation avec le RSSI ; informer le commanditaire et les entits audites, selon leur besoin den connatre et informer le RSSI de la mise en vidence dventuels incidents ou anomalies SSI.

dautres responsabilits peuvent tre ncessaires pour raliser des actions spcifiques de scurit dfinies par exemple dans le cadre de plans damlioration de la scurit, de migration dapplications

ORG-08 : Entits spcifiques ddies la gestion et au pilotage de la scurit


D'autres entits spcifiques peuvent tre cres. Parmi ces entits, on peut notamment citer : - un comit de scurit, responsable de la maintenance de la PSSI et du suivi de lapplication du plan daction prioritaire. Il est galement charg de tenir informer la Direction gnrale de lefficacit de la politique en place ; - une cellule de crise, charge le cas chant de la mise en uvre dune procdure durgence pour faire face; - une quipe de veille technologique, charge du suivi des alertes scurit et de leur traitement selon leur pertinence ; - une cellule daudit, charge de la ralisation effective des audits du systme dinformation.

Page 15 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

ORG-09 : Application de la notion de responsable-dtenteur


La notion de responsable-dtenteur concerne le responsable hirarchique d'une unit organique (tablissement, service, centre de responsabilits ou de profit) ou l'autorit qualifie telle qu'elle est dfinie au principe ORG-05, Responsabilits du niveau de pilotage, et qui dispose de ses propres ressources humaines et matrielles pour mener bien sa mission. Le terme de dtention s'applique au patrimoine d'information, aux logiciels et aux matriels constitutifs du systme d'information et implique l'obligation de respecter les lois, rglements et rgles en vigueur dans l'organisme. Les informations, logiciels, et matriels concerns peuvent appartenir lorganisme ou avoir t confis par un tiers (clients, partenaires, prestataires). Le responsable-dtenteur dtermine les niveaux de risques acceptables et les conditions d'accs aux fichiers, de mises jour des informations (en accord avec les rgles de classification en vigueur dans l'organisme) ou de modifications des logiciels et des matriels dont il dispose.

ORG-10 : Application de la notion de responsable-dpositaire


Le responsable-dpositaire reoit dlgation du responsable-dtenteur pour l'application des lois, rglements et des rgles de protection concernant les informations, logiciels et matriels durant les phases de collecte, de traitement, de diffusion et de stockage. Le responsable-dpositaire peut tre, par exemple, un informaticien de l'quipe d'exploitation, un documentaliste, un secrtaire Il est le gardien d'une partie du patrimoine de l'organisme et il est alors tenu, tout particulirement, de se porter garant de l'application de la loi concernant la protection juridique des logiciels qui lui sont confis (copies illicites).

ORG-11 : Gestion des relations avec des tiers intervenant dans le cadre de la SSI
La PSSI doit formaliser les types de relation, les consignes et identifier les contacts utiles avec les organismes tiers jouant un rle (ou susceptible de jouer un rle) dans le cadre du suivi et du maintien de la SSI. Parmi ces organismes, il peut y avoir : - dans la catgorie des autorits et partenaires : o les organismes contacter en cas de dtection dacte malveillant dans le cadre du SI ; o les organismes de veille et dalerte ; o des organismes daudit ; - dans la catgorie des prestataires : o les prestataires de services de tlcommunication ; o les prestataires intervenants dans lorganisme ; o des prestataires sous-traitant et/ou prenant en charge une partie de lexploitation du SI ; o des prestataires experts dans le domaine de la scurit ; o des organismes daudit externes. Il est essentiel de matriser les accs que ce soit au systme dinformation ou mme des informations sensibles concernant le SI et sa scurit. Ds lors que des tiers doivent pour la ncessit du service, avoir ce type daccs, il convient de sassurer que les mmes rgles de scurit simposant aux personnels internes sont applicables (documentation et aspects contractuels) et appliques par les acteurs concerns.

ORG-12 : Cadre contractuel pour les changes de donnes scuriss


Les propositions d'accs des services ou des applications tlmatiques internes ou externes l'organisme posent le problme de la coopration entre les diffrents systmes d'information. Cette rgle vise prvenir la perte, la modification et la mauvaise utilisation des donnes. Il importe, en consquence, de prvoir les responsabilits et les obligations contractuelles des divers intervenants, tant au niveau des transmissions que des applications qui les intgrent. L'change de donnes scuris se situe dans le cadre de transmissions telles que dfinies plus haut. Le cadre contractuel dsigne les accords entre plusieurs parties pour les changes de donnes faisant appel ou non aux technologies de l'information : cette rgle englobe le cas des changes de donnes informatises (EDI). Les accords ou contrats passs par l'organisme avec tous les utilisateurs du systme d'information comportent des clauses de contrles prcisant, par exemple : - la responsabilit de la gestion des flux d'changes ; Page 16 sur 53

SGDN / DCSSI / SDO / BCS -

PSSI Section 3 Principes de scurit 3 mars 2004

les procdures de scurit utilises pour les changes ; les standards de structuration des donnes ; les responsabilits en cas de pertes des informations ; les mesures spcifiques pour la protection des cls de chiffrement.

ORG-13 : Modalits d'utilisation des rseaux de tlcommunication externes l'organisme


L'utilisation des rseaux de tlcommunication externes l'organisme met en relation des utilisateurs qui n'ont pas, priori, les mmes exigences de scurit, et qui par ailleurs ne sont pas contrlables. Les modalits d'utilisation scurise des rseaux de tlcommunication externes l'organisme concernent tout particulirement le contrle des moyens qui peuvent chapper la gestion centralise du systme d'information comme, par exemple, l'installation de modems ou de Minitels. Le cas particulier du courrier lectronique devrait inciter l'adoption de mesures visant contrler l'envoi de messages considrs comme vulnrables face aux interceptions et modifications non autorises et sur les considrations lgales lies la non rpudiation du message mis ou reu. Le personnel de lorganisme qui travaille depuis son domicile (tltravail) se trouve dans un environnement priv sur lequel lorganisme na aucun contrle, cest pourquoi il doit mettre en place des rgles techniques particulires concernant les droits daccs mais aussi sensibiliser particulirement lutilisateur en linformant sur ses responsabilits vis vis des informations que lui confie lentreprise. Les rubriques tires de l'architecture OSI s'appliquent au cas des rseaux externes l'organisme.

ORG-14 : Clauses spcifiques de protection des informations


Lorsque des changes sont prvus avec des tiers, des clauses spcifiques peuvent tre incluses dans les contrats, rgissant le cadre de ces changes. Elles portent sur les moyens, comme : - le contrle de labsence de codes malveillants ; - les rgles de protection appliques en interne (dfinition dun tableau de classification croise) ; - le support dchange et les moyens de protection contre la divulgation, lintgrit, la nonrpudiation Si lorganisme sest engag respecter de telles clauses nonces par un tiers, elle devra en informer les personnels concerns, voire les inclure dans sa PSSI.

ORG-15 : Slection, coordination et emploi des moyens cryptographiques


En raison des enjeux, le choix des moyens (par exemple logiciels ou matriels cryptographiques utilisables) et plus encore des services externes (par exemple : autorit de certification, prestataire de service de confiance) doit tre valid et approuv par la structure scurit de lorganisme quand ce choix nest pas directement effectu par cette structure. Un des lments essentiels prendre en compte en ce qui concerne la confidentialit est le traitement du besoin (ou non) de recouvrement par lorganisme des documents chiffrs par ses personnels. Les solutions peuvent se jouer au niveau de la gestion des cls (par exemple mise en place de squestre) ou des fonctions et utilitaires (cration systmatique de champs de recouvrement). Pour chacune des fonctions de base (confidentialit, authentification, non-rpudiation) il convient que soient labores des rgles indiquant les exigences minimales (tant de principe quoprationnelles) qui devront tre respectes. Le choix des prestataires externes (AC ou PSC par exemple) est une dcision structurante qui ncessite lapprobation de la structure scurit et une validation par la direction gnrale. Il convient de veiller ce que des clauses de protection, de scurit et de garantie convenables soient explicitement prsentes dans chacun des contrats avec ces prestataires.

ORG-16 : Mise en place d'une organisation de veille et de prvention


Il est indispensable de dfinir une organisation qui surveille et maintienne la liste des risques majeurs qui psent sur le systme dinformation (nouvelles menaces, nouveaux besoins de scurit, volution majeur du systme dinformation). Cette organisation doit disposer de comptences dexperts internes ou externes et de moyens suffisants pour collecter et qualifier linformation (contacts, abonnements des organismes spcialiss, voir ORG-12, Gestion des relations avec des tiers intervenant dans le cadre de la SSI.

Page 17 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

Elle doit galement disposer de moyens contrls, de diffusion des informations scurit pertinentes, des fins prventives. Cette veille peut tre externalise ou conduite en lien avec des organismes comme le CERTA qui publie rgulirement des avis, alertes ou recommandations aux administrations franaises. Cependant, la mise en place dun systme de veille doit saccompagner dun suivi des recommandations : la veille nest pas une fin en soit, il est impratif de contrler la mise en uvre des recommandations issues de la veille.

ORG-17 : Organisation de cellules de crise


Le principe est de dfinir au pralable une organisation (responsabilits, fonctionnement et moyens) capable de rpondre des incidents majeurs survenant dans le systme dinformation. Il convient pour cela de prvoir des procdures descalade, de les tester et de former les personnels leur excution. Le point majeur est didentifier les acteurs au bon niveau hirarchique pour tre capable de prendre les dcisions aussi vite que la situation limposera. Il convient galement de dfinir les moyens et procdures capables de : - diffuser lalerte ; - collecter linformation ; - constituer une cellule de crise ; - dcider des mesures conservatoires ; - laborer un plan daction regroupant des mesures correctives.

GER : Gestion des risques SSI


GER-01 : Dfinition du cadre de gestion des risques SSI
La gestion des risques SSI constitue un processus continu dont il convient de dfinir prcisment le cadre (ressources, moyens, responsabilits) pour chacun de ses aspects : - apprciation du risque : cette tche consiste analyser et valuer le risque SSI en comparant le niveau de risque des critres de risques dfinis au pralable ; - traitement du risque : cette tche consiste rduire, transfrer ou prendre le risque apprci lors de la tche prcdente ; - acceptation du risque : cette tche consiste accepter le risque trait, et le cas chant accepter le risque rsiduel ; - communication relative au risque : cette tche consiste changer ou partager des informations concernant le risque.

GER-02 : Identification des objectifs de scurit


L'identification des objectifs de scurit permet de dfinir les besoins rels de l'organisme en matire de SSI. Ce cahier des charges SSI peut tre formalis en respectant les tapes suivantes, compte tenu de la mission ou du mtier de l'organisme : - recueil des lments stratgiques (contraintes, enjeux, orientations stratgiques, rfrentiel), - expression des besoins de scurit des lments essentiels (informations et fonctions) en termes de disponibilit, d'intgrit, de confidentialit et selon une chelle de besoins objective, - tude des menaces pesant sur l'organisme (caractrisation des lments menaants, tude des vulnrabilits), - identification des risques rels pour l'organisme. Les objectifs de scurit doivent couvrir l'ensemble des risques identifis. La dfinition des besoins de scurit permet de dcrire de faon non ambigu les niveaux de sensibilit (en termes de confidentialit, d'intgrit, de disponibilit) qu'il convient d'assurer aux constituants d'un systme d'information. La scurit qu'on attend du systme d'information doit tre prcise dans ses spcifications car elle est une dimension essentielle de ce systme au mme titre que ses performances ou les services qu'il doit rendre ; cette expression des besoins de scurit devrait faire l'objet d'un examen approfondi conduit selon une dmarche mthodologique et une approche globale. Aborder cette analyse par une mthodologie permet de conserver une vision densemble homogne de la problmatique SSI, de constituer un rfrentiel de scurit complet et de faire prendre conscience au plus grand nombre des risques supports par le systme.

Page 18 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

Une apprciation des risques doit aussi permettre, ce stade, de mettre en vidence les vulnrabilits du systme et les consquences d'ventuelles atteintes sa scurit de faon pouvoir justifier la mise en place de certaines parades dont on aura valu le rapport cot / efficacit. C'est ainsi que, par exemple, les rsultats d'une apprciation des risques peuvent conduire recourir des assurances pour pallier un manque de comptences ou de ressources budgtaires. C'est sur la base de ces analyses que la dcision de prendre en compte ou non les risques pourra tre prise.

GER-03 : Circonstances qui justifient une rvaluation de la scurit du SI


Le principe de rvaluation des lignes directrices de l'OCDE rgissant la scurit des systmes et rseaux d'information stipule : "Les parties prenantes doivent examiner et rvaluer la scurit des systmes et rseaux d'information et introduire les modifications appropries dans leurs politiques, pratiques, mesures et procdures de scurit. Des vulnrabilits et menaces nouvelles ou volutives sont constamment dcouvertes. Toutes les parties prenantes doivent continuellement revoir, rvaluer et modifier tous les aspects de la scurit pour faire face ces risques volutifs". Une fois qu'un systme a t soumis une valuation, il est irraliste de croire qu'il est l'abri d'erreurs ou impossible modifier : en effet, le systme devra rpondre de nouvelles exigences qui se traduiront par des modifications des matriels, des logiciels et de la documentation. De plus, de nouveaux besoins de scurit peuvent apparatre et engendrer de nouveaux risques qu'il conviendra d'apprcier et de traiter. Dans cette optique, il est vident que certaines modifications exigent une rvaluation comme, par exemple, la restructuration du noyau d'un systme d'exploitation, qui peut s'appuyer, en partie, sur les rsultats de l'valuation prcdente. En revanche, d'autres modifications peuvent n'entraner aucune nouvelle valuation ds lors qu'elles touchent des parties du systme d'information spares des composantes de scurit et qui n'influent pas sur celles-ci. Dune faon gnrale, toute volution du systme dinformation (volutions humaines, organisationnelles, financires, gographiques) doit conduire une rflexion sur le plan de la scurit. Cette rflexion peut conduire une rvaluation du systme ou seulement une modification de certaines rgles.

GER-04 : tude prospective sur l'volution de la SSI


Une tude prospective sur l'volution de la SSI permet d'anticiper sur les besoins moyen terme de l'organisme et d'intgrer le plus tt possible les nouveaux objectifs, logiciels, matriels ou mcanismes ncessaires la scurit. Cette tude prospective ne peut tre dissocie des orientations stratgiques (ou d'un schma directeur des systmes d'information) portant sur les nouvelles technologies de l'information susceptibles d'tre choisies par l'organisme. Par ailleurs, cette rgle vise vrifier que toute volution du systme d'information reste conforme aux principes de scurit en vigueur dans l'organisme. Dans le cas contraire, l'tude prospective permet d'en mesurer l'impact sur la scurit et de proposer les amnagements d'ordre technique ou organisationnel pouvant impliquer une modification des principes et des rgles de la PSSI de l'organisme.

GER-05 : Matrise et contrle de certains flux spcifiques


Lorsque les communications permettent des changes entre lintrieur et lextrieur du SI de lorganisme, ainsi qu' l'intrieur mme du SI, voire pour des communications entre primtres cloisonns il peut savrer ncessaire de mettre en place des rgles et des moyens de contrles spcifiques de ces flux. Lintrt de conduire une analyse des risques selon une mthodologie apparat en particulier ici car elle permet didentifier clairement lensemble des flux changs par le SI ainsi que les menaces qui psent qui ces derniers. Ce sera par exemple le cas des changes par mail vers lextrieur avec des rgles et donc des dispositifs permettant leur mise en uvre concernant la taille des messages changs, la nature des pices jointes (acceptation ou non de contenus actifs), le contrle anti-virus et le contrle contre les codes malicieux. Ces diverses mesures devront tre cohrentes avec la charte de scurit et de bon usage des ressources informatiques que devra avoir sign tout utilisateur, puisque au-del de son information, des aspects rglementaires (devoir dinformation des personnels, respect de la vie prive) entrent en jeu. Un autre exemple est celui du flux HTTP sortant (consultation de serveurs web externes depuis des postes dans le SI) avec des dispositifs comme par exemple la mise en place par un proxy sortantdune authentification en sortie, la conservation des traces des connexions Page 19 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

Il ne saurait tre question ici ni didentifier tous les cas de figure, ni encore moins de donner pour chacun les rgles et moyens adapts, la rgle retenir est que chacun de ces flux doit tre identifi et analys sur le plan de la scurit et pourra/devra donner lieu la mise en place de solutions spcifiques pour en assurer la scurit.

GER-06 : Identification des services et moyens justifiant lutilisation de la cryptographie


Compte tenu des implications tant techniques que lgales, il est important didentifier les applications et services ncessitant lutilisation de moyens cryptographiques. Les solutions cryptographiques doivent aussi tre identifies pour chaque application ou service. Ce choix est effectu en fonction du type dinformations traites et du cadre rglementaire. Par exemple, dans le cadre dun SI manipulant des informations classifies de dfense, lemploi de moyens cryptographiques agrs est obligatoire. Ici encore l'apprciation des risques fournit les contraintes rglementaires en la matire ainsi que les besoins des utilisateurs.

CDV : Scurit et cycle de vie


CDV-01 : Intgration de la SSI dans les projets
La PSSI doit prvoir une organisation qui assure une prise en compte des aspects scurit dans l'ensemble du cycle de vie des projets (tude d'opportunit, tude de faisabilit, conception gnrale, conception dtaille jusqu' la mise au rebut). Cette organisation, bien quautonome dans les projets, doit tre en troite relation avec les responsables du pilotage et de la coordination de la SSI globale dans lorganisme. En particulier, lorganisme doit identifier les domaines et projets dans lesquels des experts reconnus doivent intervenir.

CDV-02 : Conditions de mise en exploitation de tout nouveau constituant du SI


Cette rgle vise rduire les risques inhrents au manque de coopration sur le plan de la scurit avec les autres constituants de l'environnement ou l'inadaptation des consignes techniques et humaines en vigueur qui peuvent tre l'origine d'erreurs d'exploitation. Un nouveau constituant du systme d'information (logiciel ou matriel), mme rput efficace et conforme aux spcifications de fabrication, doit tre soumis des tests d'intgration dans son nouvel environnement. Les conditions prconises par cette rgle peuvent prvoir, par exemple, une recette complte du constituant pour l'identification des modifications techniques et procdurales effectuer ainsi que la possibilit, en cas d'chec, de restaurer l'environnement technique dans l'tat qui existait avant sa mise en exploitation.

CDV-03 : Contrle des logiciels avant leur mise en exploitation


Les contrles des logiciels avant leur mise en exploitation visent lutter tout particulirement contre la 1 menace de contamination par virus ou autres codes malicieux et le risque de non-conformit des logiciels. Les virus ou autres codes malicieux posent un problme de plus en plus grave pour la scurit des systmes d'information. Leur existence touche tous les organismes et institutions quel que soit leur niveau de vulnrabilit : les organismes les plus ouverts au public sont les plus exposs aux pirates informatiques dont les motivations sont assez souvent la prouesse technique et l'effet mdiatique. Le risque de non-conformit des logiciels concerne les organismes sensibles qui, dans le cadre du recours des prestataires de service pour le dveloppement de logiciels, doivent vrifier l'exactitude et la conformit de la programmation du code afin de vrifier que le programme ne fait que ce pourquoi il a t conu et qu'il n'existe pas de portes drobes permettant ultrieurement une modification illicite de ces fonctionnalits. Des prcautions peuvent tre prises pour prvenir et dtecter l'introduction de logiciels frauduleux (virus, vers, chevaux de Troie, bombes logiques.). Tous les supports de stockage numriques en Le virus est l'exemple le plus connu de programme crit dans le but de causer un dommage. Le glossaire de l'OTAN (version 1993) en donne la dfinition suivante : "lment de programme qui s'ajoute d'autres programmes, y compris des systmes d'exploitation mais qui ne peuvent s'excuter indpendamment, ne devenant actif qu'avec l'excution du programme hte". Page 20 sur 53
1

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

provenance de l'extrieur de l'organisme et, tout particulirement ceux dont l'origine est incertaine, sont soumis un contrle. La mise en place de matriels ddis un dpistage systmatique constitue une contre-mesure cette menace.

CDV-04 : Circonstances retenues pour la mise en uvre des contrles de scurit


Le responsable de la scurit contrle la cohrence et la validit des programmes d'quipement de son organisme par rapport aux grandes orientations de la scurit et aux orientations stratgiques de l'organisme. Par ailleurs, et dans le cadre d'enqutes dclenches sa demande, des contrles sont mis en uvre par l'quipe de scurit. Ces contrles sont caractriss par leur porte et leur ampleur : - leur porte fait rfrence la dfinition du niveau de dtail (c'est la composante verticale) ; - leur ampleur fait rfrence aux divers lments pris en compte dans le contrle (c'est la composante horizontale). Il est essentiel, pour le climat de confiance du personnel et le bon droulement de la mission de l'organisme, d'adopter une gradation dans les contrles de scurit, fonction de circonstances clairement nonces par le niveau dcisionnel ; en dehors d'un contexte judiciaire ou disciplinaire, ces contrles devraient tre accompagns d'une action de communication et de prparation du personnel.

CDV-05 : Modalits des contrles de scurit par le niveau de pilotage


La rvaluation priodique des vulnrabilits des entits (matriels, logiciels, rseaux, locaux, organisations, personnels) face aux lments menaants (accidentels ou dlibrs, et naturels, humains ou environnementaux) et leurs mthodes d'attaque est ncessaire pour apprcier le niveau de scurit du systme d'information. Les autorits qualifies, aides par l'quipe de scurit de l'organisme, fixent les modalits techniques, les mthodes et les outils ncessaires la scurit ; elles en contrlent le bon usage et l'efficacit selon des critres noncs par le niveau dcisionnel. Ces contrles qui s'inscrivent dans le cadre d'inspections ou d'audits de scurit planifis, couvrent les diffrentes entits de la scurit des systmes d'information (matriels, logiciels, rseaux, locaux, organisations, personnels). Pour les contrles ncessitant le recours au personnel oprationnel et aux ressources techniques, une planification par le niveau du pilotage s'impose pour qu'ils ne constituent pas une gne au bon droulement de la mission de l'organisme.

CDV-06 : Continuit du contrle de scurit par le niveau oprationnel


Les agents de scurit effectuent les contrles qui leur sont impartis par application de seuils de tolrance fixs par l'autorit qualifie. L'observation d'carts rpts, lis par exemple aux contraintes de l'exploitation, ou bien le changement d'tat du systme d'information peuvent conduire le niveau de pilotage une modification de ces seuils. Leurs actions de contrle sont troitement lies l'excution des tches oprationnelles et elles intressent ([IGI 900], article 20, [REC 901], article 19) : - la protection des personnes comme, par exemple, la tenue jour de la liste du personnel employ titre permanent et, le cas chant, affect au traitement des informations, - la protection des informations comme, par exemple, le contrle de la destruction des informations classifies qui doivent tre expurges du systme, - la protection des systmes et rseaux comme, par exemple, le contrle de la diffusion aux utilisateurs des lments d'authentification pour les applications classifies. Ces contrles sont complmentaires ceux confis aux ingnieurs qui exploitent les journaux d'audits.

CDV-07 : Contrle permanent des moyens de protection


Le contrle de l'intgrit et de la disponibilit des moyens de protection est un aspect fondamental de la scurit. Cette rgle concerne les dispositifs de scurit auxquels il est fait confiance pour assurer la protection des informations traites : il s'agit des quipements, des mcanismes (matriels et logiciels) et de la documentation qui leur est associe, nomms dans l'article 10 de l'[IGI 900], "Articles Contrls de Scurit des Systmes d'Information" (ACSSI), ou de larticle 9 de la [REC 901]. Le maintien de cette confiance justifie un contrle de l'intgrit et de la disponibilit de ces moyens qui ont un cycle de vie : ils sont conus, raliss, utiliss, rpars puis rforms ou dtruits. Leur intgrit et leur disponibilit, conditions fondamentales de l'efficacit de la scurit, sont garanties par la mise Page 21 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

en uvre de mesures de gestion spcifiques dont un programme de maintenance le plus proactif possible.

CDV-08 : Application de contrle de code et de procdure de recette


Des procdures de contrle des dveloppements peuvent tre menes pour lutter contre lintroduction de fonctions malveillantes (par exemple : contrle mutuel des codes, scellement de code sous la responsabilit du dveloppeur, contrle par chantillonnage). Tout dveloppement ou modification de code doit donner lieu avant sa mise en exploitation lexcution de procdures de recettes unitaires, dintgration et de qualification. Une attention particulire sera alors porte au contrle des valeurs et aux limites.

CDV-09 : Autres types de contrles ncessaires


Voici des exemples de contrles mettre en uvre : - contrle de lapplication dans les projets des normes nonces dans la PSSI ; - contrle de la couverture de la PSSI par rapport lvolution des enjeux du SI ; - contrle de la bonne application des rgles de gestion des accs et des habilitations ; - contrle du respect des rgles de scurit par les Tiers (externalisation de service, infogrance) ; - contrle de la base dincident et de lexhaustivit des traitements ; - contrle du respect des rgles daccs physique ; - contrle de lexploitation rgulire des traces des activits notamment celles des comptes disposant de privilges tendus sur le systme ou accdant des informations ou fonctions sensibles / vitales ; - contrle de la prsence de clauses contractuelles de scurit dans lensemble des contrats de fournisseurs ; - contrle de lefficacit des mesures de protection du rseau public ; - contrle de lapplication des procdures de recette avant la mise en exploitation dun nouveau systme dinformation ou dune volution majeure ; - contrle du respect des lois, rglements et des diffrents codes de pratiques ; -

CDV-10 : Les processus fonctionnement des SI

de

contrle

ne

doivent

pas

perturber

le

Les procdures de contrle doivent tre clairement dfinies. Les accs et privilges ncessaires aux tests et aux contrles du systme dinformation doivent tre matriss dans le temps et dans leur tendue. Une attention particulire doit tre porte pour vrifier que lexcution de ces procdures na pas dimpact significatif sur le fonctionnement du systme dinformation.

CDV-11 : Ralisation daudit de scurit


Lefficacit de tout moyen de scurit ne peut sinscrire dans le temps que si elle est rgulirement vrifie laide dlments tangibles. Des audits de scurit du systme dinformation sont raliss par des personnes qualifies et habilites selon des procdures qu'il convient de dfinir et selon des procdures prcises et valides permettant de sassurer de la bonne application des procdures de scurit, du fonctionnement oprationnel de ces procdures, de la cohrence de ces procdures, des moyens en place et de la prise en compte effective par ces moyens de lensemble du processus vis, incluant les volutions. Les rsultats de ces audits sont diffuss au commanditaire et aux personnes ayant besoin den connatre. La mise en vidence dincidents ou de failles de scurit du systme dinformation doit ncessairement tre rapporte au RSSI. Les audits externes de scurit du systme dinformation doivent faire lobjet dun accord pralable du RSSI. Ce type daudit doit se faire dans un cadre strict dans lequel les responsabilits de chacun des acteurs sont dfinies (profondeur de linvestigation, diffusion des rsultats). En complment de ces audits, des tests intrusifs peuvent tre raliss. Ces tests doivent tre dfinis et encadrs (choix dun prestataire, engagement de confidentialit, procdures de sauvegarde et plan de remise en route).

Page 22 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

ACR : Assurance et certification


ACR-01 : Exigences minimales sur les applicatifs utiliss dans le SI
Ces exigences doivent tre clairement nonces et concernent principalement : - la protection des donnes de configuration ou de paramtrage : elles sont trop souvent oublies alors quelles reprsentent un des moyens les plus faciles et souvent les plus furtifs de dtournement dun applicatif ; la validation et le filtrage ventuel des donnes en entre avant tout traitement : cette validation doit tre prvue et applique systmatiquement mais concerne tout particulirement les saisies par des utilisateurs (risques derreur ou de tentative malveillante) et les donnes de provenance externe ; la validation des donnes en sortie : cest la contre-partie du prcdent et cela concerne : # # la protection des entres du traitement suivant dans une chane applicative, et / ou la fiabilit des rsultats en bout de chane ;

les risques de modification ou de corruption des donnes par lapplicatif lui-mme : ces problmes proviennent le plus souvent derreurs de conception et plus encore derreurs dimplantation (bugs) qui seraient exploitables par des utilisateurs malveillants ; la prsence et la pertinence des mcanismes dautocontrle prsents au sein de lapplicatif luimme et de leur capacit gnrer des notifications dalerte lors de comportements anormaux ou simplement imprvus ; la prsence et la pertinence de mcanismes de trace et de journalisation disponibles et configurables selon les besoins.

ACR-02 : laboration d'une cible de scurit


La cible de scurit constitue la spcification du systme en matire de scurit ; c'est une tape trs importante qui fixe la fois l'objectif atteindre et les moyens pour y parvenir. En premier lieu, la rflexion approfondie qu'a permis l'tude des besoins de scurit et l'analyse de risques doit permettre de fixer ce que l'on dcide finalement de protger, en prcisant pourquoi, contre qui et contre quoi ; la synthse de cette rflexion constitue les objectifs de scurit du systme. Ceuxci sont clairement dfinis ds la phase de spcification pour que l'on puisse les atteindre et ensuite apprcier si la scurit du systme est en mesure de les satisfaire. De ces objectifs de scurit on dduit les mesures mettre en place, qu'elles soient techniques ou non techniques. Les mesures non techniques sont les procdures et rgles de mise en uvre, de gestion et d'organisation, l'habilitation des personnes, les mesures concourant protger l'environnement du systme et toutes les dispositions caractre rglementaire. Les mesures techniques sont les fonctions de scurit qu'il faut prvoir dans la conception du systme de faon satisfaire les objectifs ; ces fonctions sont ralises au moyen de mcanismes de scurit intgrs au systme. Objectifs et fonctions constituent l'essentiel de la cible de scurit ; celle-ci reprsente le fondement de la scurit dans la conception du systme d'information. Cependant, pour que l'on puisse tre sr que les objectifs sont satisfaits, il faut d'une part que ces fonctions et mcanismes existent et, d'autre part, que l'on puisse leur accorder une confiance suffisante.

ACR-03 : Respect des exigences scuritaires avant mise en service oprationnelle


La vrification du respect des exigences doit tre : - pour une part, mise en oeuvre lors de la slection (logiciels achets) ou de la spcification (logiciels dvelopps) afin que les caractristiques intrinsques du logiciel soient suffisantes pour permettre une mise en uvre acceptable dun point de vue scuritaire ; pour une autre part, effectue dans les conditions pr-oprationnelles afin que soit garanti le niveau de scurit dans les conditions effectives dexploitation (environnement, paramtrage). Page 23 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

ACR-04 : Vrification priodique du respect des exigences scuritaires sur les applicatifs
Pour se protger contre une drive dans le temps, il est important de mettre en place des procdures conduisant un contrle priodique rgulier du respect des exigences scuritaires sur les caractristiques et le fonctionnement des applicatifs. Une partie de ce contrle peut tre interne.

ACR-05 : valuation du niveau de confiance accord au SI : valuation et certification


La conception du systme est guide par une dmarche cohrente qui conduit ce que les objectifs de scurit soient atteints ; les fonctions de scurit sont choisies pour satisfaire ces objectifs. Une fois le systme dvelopp et mis en service, il importe de savoir quelle confiance continue on peut avoir que la cible de scurit est bien atteinte. D'une part cette confiance dpend du choix des fonctions, de leur efficacit et de la qualit de leur dveloppement et, d'autre part, elle dpend de la faon dont le systme a t install, mis en service et exploit. L'tude de chacun de ces aspects permettra d'avoir une confiance justifie dans la ralisation de la cible de scurit ; c'est l'objet de l'valuation. Un systme dvelopp selon les principes exposs cidessus pourra tre valu et on aura alors la confirmation qu'on peut lui faire confiance quant la scurit qu'il assure aux informations qui lui sont confies et aux processus qui les utilisent. Lvaluation contribue de faon significative rduire les risques dun comportement non dsir dune application. Elle consiste valuer les proprits dun systme ou dun produit par rapport des critres de scurit normaliss, par exemple les Critres Communs. Cette valuation doit tre conduite selon une mthode approuve obissant des rgles dfinies. Les rsultats de l'valuation et le fait que les critres d'valuation utiliss ont t correctement appliqus sont confirms par une dclaration formelle appele certificat. Toutefois, la certification n'a aucun caractre obligatoire : il appartient au commanditaire de l'valuation de juger du besoin de certification.

ACR-06 : Critres d'acquisition et conditions d'usage de progiciels


Si les critres d'achat de progiciels sont essentiellement conomiques et oprationnels (disponibilit immdiate du produit, cot accessible, maintenance et assistance technique), il n'en demeure pas moins un problme de scurit vis--vis de l'intgrit des logiciels livrs et de leur utilisation au sein de l'organisme. Il est donc essentiel qu'une rgle prvoie les critres permettant de justifier l'acquisition de progiciels et leurs conditions d'usage portant, par exemple, sur les aspects suivants : - la vrification du respect des principes de scurit en vigueur dans l'organisme avant la dcision d'acquisition ; les tests de conformit et d'intgrit avant la mise en service des progiciels ; les restrictions d'utilisation en fonction de la sensibilit des postes de travail.

ACR-07 : Adoption de mthodes et d'outils de dveloppement


L'adoption, ds la conception du systme d'information, de mthodes et d'outils de dveloppement marque la volont de l'organisme de matriser la scurit. L'application de cette rgle permet d'acqurir une confiance justifie dans la conception et la ralisation de la cible de scurit ; elle contribue la mise en place de protections homognes et cohrentes constituant ainsi un gage de russite pour une ventuelle valuation du systme d'information. Toutefois, cette rgle ne sous-entend pas l'emploi d'une mthode unique pour le dveloppement du systme d'information mais elle appelle veiller sur la ncessaire cohrence qui doit exister entre les diffrentes mthodes utilises par l'organisme.

ACR-08 : Adoption d'un standard de programmation et de codage des donnes


L'adoption d'un standard de programmation intresse tous les dveloppements d'applications informatiques, y compris les parties logicielles que peuvent contenir les matriels ou dispositifs divers du systme d'information. La premire recommandation lie l'adoption d'un standard de programmation est celle de prciser les configurations matrielles et logicielles utilises pour le dveloppement. Page 24 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

La deuxime obligation concerne le choix d'une reprsentation et d'une structuration des programmes qui permet d'avoir des rfrences uniformes et reconnues de tous, facilitant ainsi les oprations de maintenance logicielles et le suivi de la documentation technique. Le codage des donnes concerne le formatage et la reprsentation des champs de donnes qui, pour des raisons similaires la structuration des programmes, ncessitent l'adoption d'un standard. Les divers tats de sortie des donnes obissent galement des standards de prsentation qui prennent en compte les particularits fonctionnelles des utilisateurs de l'organisme. L'administrateur de donnes est responsable de la bonne dfinition des donnes et de la structure des fichiers et bases de donnes.

ACR-09 : Homologation du systme d'information


L'homologation de scurit est la dclaration par lautorit dhomologation (gouvernementale ou spcifique l'organisme selon le cas), au vu du dossier dhomologation, que le SI considr est apte traiter des informations dun niveau de sensibilit ou de classification donn conformment aux objectifs de scurit viss, et que les risques de scurit rsiduels induits sont accepts et matriss. Pour mener bien une homologation, un comit de pilotage est gnralement en charge du suivi du projet. Il pilotera la constitution de l'ensemble du dossier d'homologation que l'autorit d'homologation devra approuver. Lhomologation de scurit reste valide tant que le SI opre dans les conditions approuves par lautorit dhomologation. Elle traduit lacceptation dun niveau de risque rsiduel qualifi et quantifi en termes de confidentialit, dintgrit, de disponibilit, dauthenticit et de non rpudiation.

ACR-10 : Agrment du systme d'information


L'valuation et la certification qui en confirme les rsultats permettent seulement d'assurer que la cible de scurit est bien atteinte. Elle ne constitue qu'un des lments pour juger si le systme ou le produit plac dans son environnement rel, prsente bien avec les mesures de scurit non techniques (en particulier, les procdures d'exploitation effectivement mises en place) les protections adaptes la sensibilit des ressources qui lui sont confies et l'tendue des menaces qu'il doit repousser. Il y a lieu, de plus, de prononcer un jugement sur la pertinence de la cible de scurit face l'environnement rel d'exploitation du systme : c'est le rle de l'agrment qui constitue la reconnaissance formelle que le produit ou le systme valu peut protger des informations jusqu' un niveau spcifi, dans des conditions d'emploi dfinies.

ACR-11 : Gestion de la documentation de scurit


La gestion de la documentation de scurit comprend la comptabilit, la mise jour, la reproduction et la destruction : - la gestion de la documentation de scurit repose sur une comptabilit prcise et efficace base sur la tenue jour d'un registre inventaire, la mise jour rgulire de la documentation de scurit est impose par la constante volution du systme d'information, la reproduction et la destruction de la documentation sont excutes sur ordre du responsable de la scurit qui vrifie que l'opration porte sur la totalit des documents dsigns et n'affecte qu'eux seuls.

ACR-12 : Adoption d'un standard d'laboration de la documentation de scurit


La diversit des quipements, des logiciels et des procdures impose la dfinition d'un standard d'laboration de la documentation de scurit. Ce standard concerne, en premier lieu, le modle de prsentation et le contenu de la documentation : tous les constituants de scurit sont dcrits selon le mme formalisme facilitant ainsi les interventions du personnel autoris pour leur exploitation et leur maintenance. En second lieu, le standard concerne la manire de raliser la documentation c'est--dire, la rdaction, l'impression et la classification des documents. De plus, tous les lments ayant servis l'laboration de la documentation sont manipuls et protgs au mme titre et dans les mmes conditions que les documents de scurit qui en rsultent. Page 25 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

ACR-13 : Production de documents par lorganisme


Tout document produit par lorganisme doit tre conforme la charte graphique et sa politique dassurance qualit. Il doit notamment porter une rfrence unique, permettant didentifier clairement lauteur, la date de cration, des lments de gestion de version ainsi que la mention de la classification du document, figurant clairement dans le document. La scurit dune information est affecte ds la publication dun document. Le crateur du document en est, par dfaut, le propritaire. Il est ainsi responsable de sa classification. En fonction de la classification des informations, le support fera lobjet dapplication de rgles de protection adaptes. Des rgles spcifiques de scurit seront applicables en fonction de la classification.

ACR-14 : Maintenance de la documentation de scurit


Une organisation et des rgles doivent tre nonces pour que lensemble de la documentation scurit soit mise jour lors de lachvement de toute modification (cf. gestion documentaire) et que lancienne documentation est archive ou mise au rebut.

Page 26 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

2 Principes de mise en uvre


ASH : Aspects humains
ASH-01 : Notion de reconnaissance de responsabilit
Pour les postes de travail comprenant des informations relevant du secret de dfense, l'attestation de reconnaissance de responsabilit est l'engagement que prend une personne de respecter les lois, rglements et rgles de scurit du systme d'information. Elle fait l'objet d'une dclaration crite et signe conforme l'IGI 1300. En particulier, l'article 16 stipule : "...cette attestation signifie que le titulaire de l'admission reconnat avoir pris connaissance des obligations particulires et des sanctions imposes par les articles 70 85 et R. 24 du Code pnal tout gardien ou dtenteur d'informations intressant la dfense nationale et la sret de l'tat [...] Il appartient au directeur de l'organisme ou l'autorit hirarchique comptente d'appeler l'attention de l'intress sur le sens de la porte de cette attestation". Pour les postes ne relevant pas de cette catgorie, des clauses spcifiques de confidentialit, de fin de contrat de travail ou de non-concurrence peuvent tre insres, si besoin est, dans le contrat de travail. La [REC 600] traite de ces problmatiques pour des informations ne relevant de l[IGI 1300], en particulier elle prcise que : Tout personnel de chaque catgorie devant avoir accs aux ressources informatiques de l'entreprise doit au pralable signer un document d'engagement de responsabilit (cf. section 1.). Ce document peut contenir des lments spcifiques chacune des catgories de personnel. Au caractre essentiellement dissuasif de cette mesure, il peut tre adjoint l'application de sanctions. Les incidences sur le plan disciplinaire du non-respect des rgles internes de scurit doivent dans ce cas tre expliques ds la prise de fonction du personnel nouvellement affect.

ASH-02 : Clauses de scurit dans les contrats de travail


Les contrats de travail du personnel doivent : - soit inclure des clauses explicites de scurit du systme dinformation tels que : o interdictions, o devoir de signalement d'une anomalie ou d'une faille de scurit, o devoir de rserve, o clauses de confidentialit, o responsabilit dans le respect des rgles de protection du patrimoine de lorganisme ; - soit faire explicitement rfrence aux divers rglements applicables dans le domaine (cf. chapitre traitant des obligations lgislatives et rglementaires), tels que : o la PSSI, o des codes de dontologie lis au mtier, o des rglements de lorganisme (chartes, rglement intrieur). Ces lments doivent traiter des sanctions ou mesures applicables en cas de non-respect de ces engagements. Ce principe doit galement tre tendu toute convention de stage ou contrat dintrim. Les personnels disposant de responsabilits ou chargs de tches sensibles (administration de scurit, Inspection) doivent signer des engagements de nature particulire lis leur future fonction. Les engagements divers, y compris sils ne sont pas directement intgrs au contrat de travail, doivent tre revus et valids par le service juridique de lorganisme (cf. chapitre prcdent traitant des responsabilits). (Cf. Principes dhabilitation et Cf. Obligations lgales et rglementaires)

ASH-03 : Adoption de critres de slection du personnel travaillant sur les SI sensibles


Cette rgle concerne toutes les catgories de personnel qui sont amenes travailler sur les systmes d'information sensibles. Elle prcise, pour les emplois touchant au fonctionnement et l'utilisation du systme, le mode de slection appliquer par l'organisme pour le recrutement du

Page 27 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

personnel et, tout particulirement, les critres de scurit requis pour chaque poste de travail2. Par exemple, l'exigence de rfrences des postes sensibles peut tre prise en compte lors de procdures d'embauche. Cette rgle implique la possibilit de vrification des rfrences de travail d'un candidat un emploi ainsi que celles des personnes affectes temporairement une activit ncessitant l'utilisation du systme d'information.

ASH-04 : Principes gnraux dhabilitation


Le SI ne doit tre accessible, physiquement et logiquement, qu des personnes nominativement autorises. Ainsi, des restrictions daccs aux systmes et informations sont dfinies conformment leur sensibilit (cf. classification) et la criticit des actions autorises sur ces donnes et ressources. Les habilitations sont attribues une personne physique et sont incessibles. Lattribution dhabilitations un systme ou une information est dcide par leurs propritaires. La dfinition des habilitations doit respecter le principe du besoin den connatre : tout acteur aura exclusivement accs aux informations dont il a besoin dans laccomplissement de sa tche. Il est recommand que le principe du moindre accs (habilitation nulle par dfaut) soit appliqu lors de louverture / mise en service de tout nouveau systme.

ASH-05 : Catgories dhabilitations


Les catgories dhabilitation doivent tre prises en compte dans les processus de recrutement du personnel ou de slection de fournisseurs qui font appel une procdure dhabilitation. Aux habilitations doivent correspondre des exigences sur le personnel : vrifications et contrles effectuer (identit, comptence), signature dacte dengagement spcifique

ASH-06 : Rgles dattribution et dengagement (responsabilits)


Lattribution des habilitations est dtermine ds le recrutement du personnel. Il doit tre fix dans le temps et dans lespace. La personne qui est attribue lhabilitation doit donner acte formellement de sa connaissance des responsabilits qui incombent lhabilitation quon lui attribue. Toute habilitation pour un domaine ou un projet du systme dinformation doit tre autorise formellement par son propritaire (responsable de la protection des traitements et informations traits par le SI).

ASH-07 : Volants de personnel


Des mesures organisationnelles peuvent tre prises pour quil ny ait pas de vacance sur un poste vital, mme temporaire (congs). Lorganisme devrait prvoir pour tous les postes de travail vitaux un volant de personnel suffisant et expriment. Toute personne occupant au poste vital devrait disposer dun remplaant ayant des comptences quivalentes et le mme niveau de connaissance du dossier.

ASH-08 : Procdure d'habilitation pour les postes de travail sensibles


La sensibilit d'un poste de travail fait rfrence au besoin de confidentialit, de disponibilit et d'intgrit attach aux informations, aux logiciels et aux matriels qu'il rassemble ; elle se dfinit selon les critres de classification (cf. chapitre traitant de la scurit des informations), mais peut aussi tre lie la localisation : un poste de responsable des relations humaines dans une rgion fort risque social peut tre considr comme un poste sensible. Pour un poste comportant des manipulations d'informations relevant du secret de dfense, les habilitations du personnel sont dfinies par l'article 3 de l'[IGI 1300] : "La procdure d'habilitation consiste vrifier qu'une personne peut, sans risque pour la dfense nationale, la sret de l'tat ou sa propre scurit, connatre des informations classifies d'un niveau dtermin dans l'exercice de ses missions. Au terme de la procdure d'habilitation, l'autorit comptente dcide d'admettre ou non la personne concerne prendre connaissance d'informations classifies au niveau exig". Pour les postes de travail sensibles n'utilisant pas des informations relevant du secret de dfense, une procdure d'habilitation peut tre utilise sur le modle de celle qui doit tre applique dans le cadre des marchs de dfense. Dans ce cas, il est possible de se rfrer [REC 600].
2 Un poste de travail est un ensemble dfini de tches, de devoirs et de responsabilits qui constituent le travail habituel dune personne.

Page 28 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

ASH-09 : Cloisonnement des postes de travail sensibles


Le cloisonnement des postes de travail sensibles vise lutter contre la fuite des informations reprsentant un enjeu pour les intrts de l'tat ou de l'organisme. Pour la prservation des intrts de l'tat et, tout particulirement dans le cadre de la protection du secret de dfense, les dcisions d'admission ou d'agrment aux informations classifies d'un niveau donn, telles que dfinies dans les articles 10 12 de l'[IGI n1300], n'autorisent pas pour autant le bnficiaire accder toutes les informations relevant de ce niveau ; le besoin de connatre ces informations reste fonction de l'activit de la personne ou des dossiers particuliers qui lui sont confis. D'une manire identique, pour la prservation des intrts propres un organisme dont les informations ne relvent pas du secret de dfense, la connaissance des besoins en information pour l'accomplissement de la mission ou du mtier permet la mise en place d'un cloisonnement efficace des postes de travail.

ASH-10 : Dlgation
Les propritaires ou dtenteurs dinformation peuvent dlguer la mise en uvre de moyens de protection des personnels de lorganisme. Cependant, ils conservent la responsabilit de la scurit. Cest pourquoi, ils doivent disposer de moyens pour contrler le respect des rgles de scurit. Les habilitations sont attribues une personne physique et sont incessibles.

PSS : Planification de la continuit des activits


Le plan de continuit d'activits (BCP Business Continuity Plan) est un document qui dfinit les procdures permettant de maintenir les activits critiques de l'organisme pendant et aprs un dsastre (vnement majeur ayant des effets sur le long terme). Ce plan traite essentiellement des activits "mtier". Les systmes d'information ne sont voqus qu'en tant que support des activits "mtier". Diffrents plans correspondants des situations particulires peuvent tre annexs au plan de continuit : - le plan de reprise des activits traitant de la rcupration des activits "mtier" en cas de dsastre. Ce plan traite essentiellement des activits "mtier" et non des systmes d'information. Les systmes d'information ne sont voqus qu'en tant que support des activits "mtier". - le plan de reprise aprs dsastre traitant de la rcupration des systmes d'information en cas de dsastre, - le plan de contingence traitant de la reprise d'un systme d'information en cas d'interruption, - Dans un premier temps, ces plans complmentaires doivent permettre de rcuprer partiellement les fonctionnalits des systmes d'information et des activits critiques reposant sur ceux-ci. Dans un second temps, ils doivent permettre de restaurer l'intgralit des fonctionnalits des systmes d'information et des activits reposant sur ceux-ci. Enfin ils doivent permettre de compenser compltement l'impact des interruptions ou dsastres sur l'organisme. L'apprciation et le traitement des risques SSI contribuent l'laboration de ces plans, notamment en dfinissant la criticit des activits et des systmes d'information, ainsi que les risques rsiduels et les mesures de scurit intgrer.

PSS-01 : Dfinition du primtre dun plan de continuit


Il convient de dfinir prcisment l'ensemble du cadre du plan de continuit (ressources, responsabilits, priodicit des tests) pour chacun des aspects suivants : - les installations, matriels et rseaux informatiques ; - les programmes et donnes informatiques ; - les utilisateurs du systme d'information. Une analyse des risques SSI apportera les lments permettant de dcider des plans ncessaires pour l'organisme. Ces plans ont en effet un cot important qu'il convient de justifier.

PSS-02 : Prise en compte des services externaliss


La gestion de plan de continuit impliquant des partenaires externes doit tre approfondie, notamment lors de la contractualisation. Elle doit comporter des lments relatifs des exercices rguliers visant vrifier le bon fonctionnement des plans.

Page 29 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

PSS-03 : laboration d'un plan de reprise


Un plan de reprise informatique (ou plan de reprise d'activit) est ncessaire pour protger les tches oprationnelles critiques du systme d'information face aux dfaillances majeures, aux erreurs humaines, aux catastrophes naturelles ou aux attaques dlibres. Il a pour but de limiter les atteintes la scurit suite un incident majeur et de remettre le systme d'information dans les conditions de fonctionnement initiales. Le plan de reprise d'activit impose la prise en compte de toutes les exigences oprationnelles du systme d'information pour assurer un retour un fonctionnement normal. Les procdures qui dcoulent de ce plan fournissent une alternative et des moyens temporaires de continuit du service, dans le cas d'endommagement ou de dfaillance d'un quipement. Toutefois, un lment fondamental pour l'tablissement d'un plan de reprise d'activit est l'tude de disponibilit du systme information car l'importance des prjudices subis est gnralement fonction de la dure d'indisponibilit. Ainsi, l'tude de disponibilit a pour but de dfinir des tranches temporelles o le prjudice est considr un niveau donn en correspondance avec le niveau de procdure d'urgence du plan de reprise d'activit.

PSS-04 : Positionnement des applications dans le plan de continuit


En fonction de lanalyse de risques de lorganisme, chaque application doit faire lobjet dune notation en terme de priorit de reprise. Cette notation correspond une mesure de limpact quaurait lindisponibilit de lapplication sur lactivit de lorganisme.

PSS-05 : Mise en place des procdures de sauvegarde


Un plan de sauvegarde tenant compte des exigences de dlai de reconstruction des informations par type dactivit et/ou de processus doit tre mis en place. On distinguera les sauvegardes systme des applicatifs et des donnes. Pour mriter un niveau de confiance lev, le plan de sauvegarde doit tre test rgulirement. La procdure de sauvegardes rgulires des donnes vitales et des logiciels est une mesure fondamentale, classiquement, un nombre minimum de sauvegardes des informations est stock dans un lieu loign une distance suffisante pour rsister un sinistre sur le site principal ; les protections physiques des sauvegardes sont du mme niveau que les standards appliqus sur le site principal. Des moyens de contrle de la cohrence et de lintgrit des informations sauvegardes doivent tre mis en place et grs.

PSS-06 : Tests rguliers des plans


Pour mriter un niveau de confiance lev, le plan de continuit et les plans lis doivent tre tests rgulirement. la fin de chacun de ces exercices, il sera mis en place un groupe retour dexprience qui mettra jour les plans aprs analyse des disfonctionnements ou lenteurs

INC : Gestion des incidents


INC-01 : Dfinition des situations anormales envisageables
Les types de situation anormale potentielle couvrent entre autres : - les pannes ou anomalies de fonctionnement des quipements matriels ; - les pannes ou anomalies de fonctionnement des logiciels et applicatifs ; - les problmes dus des donnes en entres absentes, incompltes ou anormales ; - la production de rsultats manquants, incomplets ou anormaux ; - Lanalyse de risques fournira des lments prendre en compte dans le choix des alertes faire remonter. Ces choix sont en particulier lis aux objectifs de scurit retenus.

INC-02 : Mise en place d'un rseau de dtection et d'alerte des incidents de scurit
La finalit d'un rseau d'alerte est de provoquer une intervention aussi rapide que possible, ds qu'un incident est dtect, limitant ainsi les consquences d'un arrt du systme d'information ou l'activation de procdures suite la survenance de l'incident.

Page 30 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

Tous les utilisateurs, et particulirement ceux oprant sur des postes de travail sensibles, constituent les maillons de ce rseau d'alerte. Il s'agit d'apprendre aux utilisateurs protger leurs matriels et dceler les indices de manipulations frauduleuses ou d'activits inhabituelles. L'efficacit d'un rseau d'alerte repose sur la structure de l'organisation mise en place et, tout particulirement, sur les agents de scurit. Elle dpend du niveau technique des moyens de dtection et de la mobilisation des utilisateurs du systme d'information : l'intervention qui en dcoule est d'autant plus efficace qu'elle fait intervenir les moyens adquats au moment opportun. Pour le cas de compromission d'informations relevant du secret de dfense, l'organisme doit rechercher la rapidit de raction : "Si la scurit d'une information a t ou semble avoir t compromise de quelque faon que ce soit, la rapidit et la discrtion de l'intervention revtent une particulire importance pour en limiter les consquences ; un compte rendu non fond et dmenti par les faits est toujours prfrable un retard dans l'intervention.

INC-03 : Matrise des incidents de scurit


La matrise des incidents de scurit consiste s'assurer de la continuit de la scurit durant toute la dure de l'intervention faisant suite une alerte : le recours des spcialistes extrieurs et l'obligation de leur faciliter l'accs au site et au systme d'information ne doit pas dispenser le personnel de l'organisme d'appliquer les rgles de scurit. Cette matrise est obtenue par le respect de procdures prtablies. Deux cas d'urgence peuvent ncessiter des actions diffrentes : - ceux provenant d'accidents physiques touchant l'infrastructure d'une zone sensible ou au systme d'information qu'elle contient et qui n'entranent pas d'actions hostiles visant capturer des constituants du systme d'information ; l'action consiste alors surveiller les matriels, les logiciels et les documents durant l'intervention comme par exemple, le transfert d'quipements vers une salle blanche ou la mise en mode dgrad de mcanismes de scurit jusqu'au retour la normale du systme d'information, - ceux provenant d'actions hostiles visant capturer des constituants du systme d'information : un plan de destruction d'urgence simple et pratique de mise en uvre peut tre, dans certains cas, le seul moyen d'viter une compromission grave.

INC-04 : Contrle des incidents de scurit


L'absence de suivi des incidents de scurit expose l'organisme mconnatre les vulnrabilits de son systme d'information et le condamne ne pas tre en mesure de ragir efficacement face des sinistres rpts de mme nature. De ce fait, les responsabilits du suivi des incidents et des procdures doivent tre tablies ; les procdures couvrent alors tous les types d'incidents potentiels y compris les dfaillances du systme ou pertes de service, les erreurs rsultant de donnes fausses ou inadquates, les failles de la confidentialit. Pour ce faire, le suivi des incidents de scurit s'appuie sur les comptes rendus pour les interventions immdiates, sur les relevs des dysfonctionnements pour les actions diffres et, dans les deux cas, sur l'analyse et l'identification des causes du sinistre et des statistiques que l'on peut tablir sur leur survenance. L'adoption d'un standard de compte rendu et de directives pour leur exploitation sont des mesures qui visent rendre uniforme et obligatoire la procdure d'alerte voque. Les incidents de toute nature, dcels par exemple en phase d'exploitation, font l'objet d'un compte rendu au niveau du responsable de scurit aussi rapidement que possible. Les dysfonctionnements et les faiblesses du systme d'information doivent tre nots et corrigs. En particulier, il apparat ncessaire de passer en revue les dysfonctionnements pour s'assurer que les mesures correctives ont t effectivement mises en uvre et qu'elles correspondent des actions autorises. L'analyse et l'identification des causes de l'incident impliquent une planification de la collecte des comptes rendus d'audit, de la mise en place de mesures de protection et de la communication avec les utilisateurs affects par l'incident.

INC-05 : Moyens de dtection dintrusion ou dutilisation frauduleuse


Il est recommand que des dispositifs et/ou procdures puissent dtecter des tentatives dintrusion ou d'utilisation frauduleuse et permettre ainsi, en raction, de prendre les mesures ncessaires pour faire chouer ces tentatives. Il conviendra donc pour chaque composant ou applicatif sensible du SI de dterminer et mettre en place les moyens ad-hoc, qui peuvent aller dun mcanisme de supervision bien configur des outils spcifiques comme les systmes de dtection dintrusion. Page 31 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

INC-06 : Mise en uvre dun service dalerte efficace


Le principe est de dterminer le plus rapidement loccurrence dun vnement constituant (ou susceptible de constituer) les prmices dune attaque, dun incident majeur ou lorigine dune malveillance. Le service dalerte doit organiser la remonte et la centralisation des dtections dincident par lintermdiaire de processus simples dinformation (cf. fonctionnement des rles) et doit sensibiliser les utilisateurs et les exploitants au devoir de signalement de toute anomalie. Il convient de prvoir plusieurs niveaux dalerte. Ces diffrents niveaux doivent tre dtectables par les utilisateurs cest dire que chacun doit connatre dans quel niveau le SI se trouve un instant donn.

INC-07 : Prvision des ractions rflexes face des situations durgence


Le principe est de slectionner des scnarios types de sinistre et de formaliser les meilleures ractions en terme de mesures conservatoires pour limiter, voire viter, la propagation des impacts de lincident ou de lattaque, en terme de pouvoir de dcision et dinformation interne et externe, le cas chant. Ceci permet d'viter que les incident ne dgnrent en sinistres aux consquences fcheuses ou insupportables pour l'organisme. chaque niveau dalerte correspond une procdure claire des actions conduire. Ce type de procdure sappuie sur le principe de dfense en profondeur qui permet dtablir des barrires de protection indpendantes et en fonction de lalerte.

FOR : Sensibilisation et formation


FOR-01 : Documentation des responsabilits
Il est fondamental que lensemble des responsabilits de SSI soit rdig sans ambigut et port la connaissance des personnes qui en ont la charge. La description de ces responsabilits doit comporter les limites associes chacun dans le temps et lespace. Il est galement indispensable que tous les acteurs concerns sengagent formellement prendre connaissance et accepter ces responsabilits.

FOR-02 : Sensibilisation gnrale la scurit


La sensibilisation vise faire prendre conscience chaque utilisateur qu'il dtient une part importante de responsabilit dans la lutte contre la malveillance. La dfinition des objectifs de cette sensibilisation est troitement lie la mission ou au mtier de l'organisme, la sensibilit du patrimoine d'informations et de biens physiques ainsi qu'aux menaces connues. Ils peuvent tre, par exemple, la recherche de l'adhsion du personnel vis--vis de la protection du patrimoine de l'organisme ou bien encore l'mergence et l'efficacit d'un rseau d'alerte impliquant tous les utilisateurs du systme d'information. Une action de sensibilisation qui ne rpond pas des objectifs clairement exprims n'apporte qu'une illusion de confiance en la capacit du personnel ragir efficacement lors d'une atteinte au systme d'information. Un programme de sensibilisation rgulier doit tre prvu et pilot par le RSSI. Ce programme a pour but de rappeler les messages majeurs de la PSSI de lorganisme et notamment dinformer chaque personne sur : - les enjeux de scurit ; - les principales menaces ; - les lois, rglements, chartes ; - lorganisation de la scurit ; - les principes et les rgles de la scurit de lorganisme ; - les comportements adopter ; - les rgles spcifiques (postes nomades, tl-actions).

FOR-03 : Communication sur la SSI Linformation concernant lorganisation et les exigences gnrales de la SSI doit tre diffuse le plus largement dans lorganisme.
Un moyen de diffusion doit donc tre dfini et connu de tous, qui permette de retrouver toute information lie la SSI dans lorganisme (procdure, contact, ..). Lun des moyens utiliss peut tre par exemple la mise en place dun domaine ddi la scurit dans lintranet de lorganisme.

Page 32 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

La PSSI globale devra tre connue de tous les personnels de l'organisme, les PSSI spcifiques devront tre portes la connaissance des personnels amens exploiter ces systmes particuliers. La diffusion d'une partie ou de la totalit des PSSI des personnes extrieures, amenes intervenir sur le systme dinformation, devra tre fonction de leur besoin d'en connatre et dans tous les cas valide par l'organisation en charge de la SSI (Cf. ORG). Un dossier dentre doit tre constitu pour sassurer que toute nouvelle personne intervenant dans le SI est informe de lorganisation, des rgles de scurit et de ses devoirs. De manire analogue, un dossier de sortie est constitu pour informer les personnels quittant lorganisme des procdures et rgles respecter.

FOR-04 : Application pour la protection juridique des informations de l'organisme


Cette rgle vise sensibiliser le personnel sur le devoir de protection juridique des informations qu'il utilise ou qui lui sont confies afin de diminuer le risque de dtournement ou d'appropriation par des tierces personnes. Les directives d'application se rfrent, en partie, au principe de responsabilit du personnel et, plus particulirement, la rgle relative la notion de responsable-dtenteur (cf. chapitre responsabilits ORG).

FOR-05 : Adaptation de la sensibilisation aux diffrentes classes d'utilisateurs


En matire de scurit, les niveaux de proccupations diffrent considrablement suivant qu'il s'agit du personnel de direction ou d'excution. La sensibilisation est, en consquence, adapte aux niveaux de responsabilit dtenus et aux spcificits des postes de travail. Le personnel concern appartient trois grandes catgories : - celle lie aux activits de direction, d'encadrement, de gestion, de relations extrieures, - celle lie aux emplois du systme d'information (ingnieurs et techniciens, utilisateurs de la bureautique), - celle lie la scurit des systmes d'information (ingnieurs et techniciens de l'quipe de scurit, agents de la scurit) qui ncessitent une formation spcialise. Une sensibilisation qui ne tient pas compte des particularits oprationnelles de chaque classe d'utilisateurs et des exigences plus ou moins fortes lies aux responsabilits ou aux postes de travail n'atteint pas les objectifs assigns et laisse voir la scurit comme une contrainte supplmentaire sans valeur ajoute par rapport l'aspect productivit du poste de travail.

FOR-06 : Sensibilisation rgulire des personnels la SSI


Linformation permanente des personnes vise obtenir un niveau de vigilance constant. Cette information concerne en particulier les volutions de la PSSI et des menaces. Elle permet dactualiser linformation, de communiquer de nouvelles informations, et galement de faire un rappel concernant les rgles ou consignes qui ne sont pas correctement appliques. Toute volution concernant lorganisation et les exigences gnrales de la SSI doit tre galement diffuse.

FOR-07 : Sensibilisation au traitement des incidents


Au-del du simple fonctionnement, les personnels concerns doivent tre sensibiliss et forms au niveau quil convient aux aspects scurit des oprations dont ils sont en charge. Un des points essentiels des obligations scurit dans les taches dexploitation concerne le respect des exigences : - de consignation dans une main-courante des incidents, - de notification/alerte de qui de droit (cf. suite).

FOR-08 : Prparation et entranement la gestion des situations de crise


Outre prvoir les possibilits et le traitement (procdures) des situations anormales et des incidents (FOR-07), il est essentiel de prparer et dentraner les personnels concerns, ce qui implique notamment : - la prsentation des plans ad-hoc (plan de secours, plan de continuit, plan de reprise), - lentranement des personnels au moyen de simulations (exercices comparables aux exercices incendie). (Cf. Gestion de crise) Il doit exister un programme de formation spcifique pour chaque profil dagents pour assurer des ractions rflexes adaptes en cas dincident ou dalerte scurit. Page 33 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

FOR-09 : Sensibilisation du personnel l'usage des TIC


Une action de sensibilisation du personnel doit tre ralise pour prvenir des risques de divulgation externe (volontaire ou non), lie lutilisation des mdias des technologies de l'information et de communication (TIC), tels que vido, tlphone, fax, voix En particulier, concernant le contrle de leur destinataire, les coutes clandestines, les personnes se trouvant proximit.

FOR-10 : Formation du personnel l'usage des TIC


Cette formation sattachera prsenter la responsabilit de chacun dans le domaine de l'informatique et des communications (technologies de l'information et de communication TIC) et former chaque utilisateur lutilisation des moyens informatiques et de communication, ainsi qu'aux moyens de protection mis sa disposition.

FOR-11 : Sensibilisation des utilisateurs aux moyens de supervision


Lemploi de moyens techniques pour dtecter des malveillances informatiques ou pour maintenir les systmes, oblige lorganisme : - contrler les flux dinformation, - accder aux ressources personnelles , - rglementer les changes et transferts (Rseau, Messagerie, Internet) - conserver les lments de preuve. Cest pour trouver un quilibre entre contrle et respect de la vie prive de lindividu et viter les litiges, voire porter atteinte limage de marque de lorganisme, que doivent sinscrire des actions dinformation auprs des acteurs du systme dinformation. Ainsi, il est recommand de rdiger une charte rglementant et expliquant lobjectif, des moyens de surveillance et de rcolte des preuves informatiques.

EXP : Exploitation
EXP-01 : Documentation des procdures et rgles dexploitation
Toutes les activits dexploitation, ventuellement regroupes en familles, doivent tre identifies. Chacune de ces activits doit faire lobjet dune documentation prcise des procdures et rgles dexploitation. Cette documentation pourra, selon les besoins donner lieu plusieurs documents, chacun tant destin une catgorie dacteurs concerns en fonction de son rle, de ses responsabilits et de son besoin d'en connatre. Elle devra tre tenue jour.

EXP-02 : Intgration de la SSI dans les procdures et rgles dexploitation


Les documents dexploitation doivent tous comprendre un volet scurit qui aura t valid par la structure scurit mise en place dans lorganisme.

EXP-03 : Sparation du dveloppement et des oprations ou de la production


La sparation des tches et environnements de dveloppement, de recette et des autres activits lies au fonctionnement du systme d'information (exploitation, gestion du systme et du rseau, saisie des donnes, maintenance, audit de scurit) rduit le risque de mauvaise utilisation dlibre ou accidentelle des ressources du systme. Cette rgle influe sur le niveau de scurit et sur l'efficacit dans la rpartition des tches et des responsabilits ; en effet, elle permet : - d'accrotre la scurit, en rduisant le risque de modifications malveillantes ou accidentelles des programmes grce la sparation des tches caractrisant le fonctionnement oprationnel du systme d'information qui ncessitent des ressources diffrentes et des privilges d'accs des instructions machines critiques eu gard la scurit, - d'amliorer l'efficacit par le fait que le cumul de plusieurs fonctions techniques peut inciter un informaticien d'une quipe d'exploitation dpanner " chaud" un logiciel au mpris des rgles de programmation dont il est fait mention la rgle prcdente (par exemple, l'absence de commentaires dans les lignes de code modifies). Cette sparation des fonctions concourt une meilleure dlimitation des responsabilits en cas d'incident.

Page 34 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

EXP-04 : Conditions d'usage de l'infogrance


On distingue divers types d'infogrance : l'externalisation, les tlservices (dont la tlmaintenance), l'infogrance sur site Les conditions d'usage de l'infogrance doivent tre rigoureusement dfinies, et dans la mesure du possible, sur la base d'une analyse des risques spcifique. Par exemple, la gnralisation des services de tlmaintenance permet l'optimisation des cots par la rduction des dplacements de personnel. En contrepartie, l'installation d'une ligne de communication entre le systme d'information et l'organisme de maintenance et la ncessit de donner des droits d'accs de haut niveau augmentent les risques d'attaques du systme d'information. (Cf. oprations de tel-action)

EXP-05 : Conditions de scurit pour la maintenance des constituants du SI


Le non-respect des consignes pour la prparation d'un constituant avant sa mise en maintenance peut exposer l'organisme des compromissions ou des atteintes au bon fonctionnement de son systme d'information. Le conditionnement consiste prparer le constituant en vue de sa rparation c'est--dire, vrifier les points suivants : - le retrait du support de la mmoire rmanente ayant contenu des informations classifies ou confidentielles, - la superposition d'criture sur la mmoire restante afin d'viter toute possibilit d'interprtation des enregistrements prcdents, - la vrification des installations de maintenance externes qui doivent rpondre aux mmes normes de scurit matrielle et personnelle que celles appliques dans les zones d'utilisation pour les constituants mis en rparation. Si pour des raisons techniques, il n'est pas possible d'enlever le support de la mmoire rmanente, il peut tre ncessaire d'imposer que la maintenance d'un constituant soit effectue sur place par du personnel possdant l'habilitation adquate. Il est galement essentiel de prendre en compte la maintenance des composants de scurit.

EXP-06 : Conditions de scurit pour la reprise aprs maintenance


Les conditions de scurit pour la remise en fonctionnement des constituants aprs leur maintenance visent dmasquer tout pigeage ventuel ou dysfonctionnement. En consquence, des conditions de remise en fonctionnement peuvent tre dictes, par exemple : - en fonction des conditions locales, de l'valuation de la menace et, dans le cas d'ordinateurs, de la sensibilit des informations mises en mmoire, le constituant fait l'objet de mesures de dtection lorsqu'il est rintgr dans sa zone de scurit, - pour le cas particulier de matriels rpondant la norme TEMPEST, toute modification entrane une nouvelle vrification de l'aptitude anti-rayonnante.

EXP-07 : Suivi des oprations de maintenance des constituants du SI


Cette rgle qui s'applique tous les constituants du systme d'information (matriels et logiciels) prend un caractre majeur pour le cas de constituants ayant des fonctions de scurit. L'absence de suivi des oprations de maintenance a pour consquence la mconnaissance du degr d'aptitude des constituants assurer de nouveau leurs fonctions : elle peut conduire leur attribuer une confiance injustifie sur le plan de la scurit. Le suivi des oprations de maintenance ncessite l'ouverture d'un registre complet et dtaill sur les interventions subies par les composants afin que le personnel connaisse les nouvelles configurations et applique les procdures correctes. Par ailleurs, lorsque l'organisme dispose d'un infocentre dont la mission principale est le support aux utilisateurs, il est ncessaire de veiller ce qu'il applique ces mmes rgles pour les interventions dont il a la charge et tout particulirement lorsque ses attributions consistent faire installer sur les machines de l'organisme les progiciels ou les cartes lectroniques demandes par les utilisateurs.

EXP-08 : Gestion des prestations de services externes


Pour le dveloppement du systme d'information, le recours des prestataires de services externes (dment habilits dans le cadre de marchs de dfense) impose l'application stricte des rgles

Page 35 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

prcdemment nonces et un contrle renforc des ressources mises disposition (applications et fichiers sensibles, compilateurs, diteurs, documentation technique). La dcision de mise disposition de ressources sensibles doit tre prise par rapport aux exigences oprationnelles de disponibilit du systme d'information. Les responsabilits et les procdures doivent tre clairement tablies entre l'organisme et les prestataires pour l'imputabilit d'ventuels incidents. Le recours aux prestations de service, ds lors que la scurit d'un systme d'information reprsente un enjeu majeur pour les intrts de l'tat ou de l'organisme, ne doit jamais driver vers une soustraitance de la gestion de l'exploitation (traduction du terme anglo-saxon "facility management"). (Cf. externalisation de services)

EXP-09 : Intgration de la SSI dans les contrats dinfogrance


Les contrats d'infogrance et leurs annexes devront comprendre un volet SSI qui spcifie clairement les engagements du prestataire et de chacun de ses personnels concerns. Ils devront notamment spcifier trs prcisment : - les exigences de scurit auxquelles le prestataire sengage (et qui ne pourront tre infrieures celles qui seraient en vigueur en interne) ; - les procdures de contrle du respect de ces exigences ; - lattribution de responsabilits spcifiques pour une coordination efficace en cas dincident ou danomalies ; - la possibilit dvolution des exigences et des procdures en conformit avec une volution de la PSSI ou de ses dclinaisons oprationnelles et lobligation pour le prestataire de se conformer ces volutions.

EXP-10 : Scurit dans les services externaliss


La dcision et la contractualisation de services externaliss doivent tre prcds dune analyse de risques et denjeux pour lorganisme. Les problmatiques suivantes doivent aussi tre prises en compte : - la responsabilit de lorganisme et des prestataires des services d'exploitation externaliss doivent tre clairement dfinies et contractualises ; - la mutualisation des ressources fournies par les prestataires pour rpondre aux besoins de plusieurs clients peut ne pas correspondrent aux objectifs de scurit ; - les moyens mis en oeuvre sur les systmes dinformation du prestataire utiliss pour sinterfacer avec le systme dinformation de lorganisme ne sont pas ncessairement adapts, cohrents, voire compatibles, avec les moyens de scurit mis en uvre ; - les possibilits et modalits de contrle et daudit de la part du donneur dordre se trouvent souvent limites, compte tenu notamment de dispositions contractuelles figes ou des modalits pratiques dintervention du donneur dordre sur le site dexploitation ; - les personnes utilisant et manipulant le systme dinformation ne sont pas toujours connues de lorganisme, or ces personnes se trouvent par ailleurs simultanment en contact avec des donnes dentreprises pouvant tre concurrentes, ou avec des responsables de socits concurrentes ; - sur le plan technique, les privilges accords au prestataire pour raliser sa tche sont, en gnral, particulirement tendus en terme de scurit (cf. protection des accs de maintenance) et peuvent tre utiliss pour sintroduire dans le systme dinformation. Ainsi, une analyse des risques relatifs ces problmatiques devrait tre conduite afin de dterminer des objectifs et mesures de scurit couvrant les risques identifis, notamment sur le plan des clauses contractuelles, de la traabilit et du suivi des oprations ralises.

EXP-11 : Contrle antiviral des logiciels et donnes avant leur mise en exploitation
Les contrles des logiciels et des fichiers de donnes avant leur mise en exploitation visent lutter tout particulirement contre la menace de contamination par virus. Des prcautions peuvent tre prises pour prvenir et dtecter l'introduction de logiciels frauduleux (virus, vers, chevaux de Troie, bombes logiques). Tous les supports en provenance de l'extrieur de l'organisme et, tout particulirement ceux dont l'origine est incertaine, sont soumis un contrle. La mise en place de moyens ddis un dpistage systmatique constitue une contre-mesure cette menace. Ces moyens doivent tre mis en place de faon sassurer que tous les points dentre du systme informatique sont contrls (Internet, rseau, serveurs, postes de travail).

Page 36 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

Les lments du systme possdant de forts besoins de scurit et les chemins de contamination doivent galement tre identifis et protgs. Il faut tenir compte des nombreux moyens de rcuprer des fichiers (disquettes, cdroms, pices chiffres jointes aux courriers lectroniques). Dautre part des consignes claires doivent tre communiques aux utilisateurs afin quils ninstallent aucun logiciel sur leur poste de travail.

EXP-12 : Contrles de scurit en phase d'exploitation du systme d'information


Le contrle de scurit en phase d'exploitation permet de rduire les risques d'atteinte la disponibilit et l'intgrit des informations et des donnes. Ces contrles se traduisent, par exemple, par des vrifications de l'usage des ressources autorises pour le traitement. Le premier aspect de ces contrles vise les utilisateurs du systme d'information. Ils choient aux ingnieurs systme et rseau qui assurent une surveillance en direct partir de moyens de visualisation : examen des transactions en cours, fichiers en ligne, tentatives de connexions Le second aspect de ces contrles vise les informaticiens pour la vrification de la bonne application des procdures de scurit, par exemple : - le respect du squencement des oprations planifies, - les manipulations correctes de fichiers, - l'utilisation des macro-instructions autorises, - le respect des instructions pour les rcuprations d'erreurs ou pour les vnements exceptionnels.

EXP-13 : Rduction des vulnrabilits


De plus en plus de services sont offerts au travers des rseaux bureautiques, qui vhiculent toutes sortes dinformations possdant des besoins de scurit trs htrognes. Une politique de veille de scurit doit tre tablie de manire suivre ltat de lart dans ce domaine et ragir de manire adquate lors de la dcouverte de vulnrabilits significatives sur les systmes et applications standard du systme d'information. La veille concernera les mthodes d'attaque, les vulnrabilits et les solutions de scurit.

EXP-14 : Procdures d'exploitation scurise des informations et des donnes


Les donnes et les supports associs devraient hriter du mme niveau de protection que les informations qui leur ont donn naissance. En fonction de leur classification, les informations et les donnes font l'objet d'une exploitation spcifique. Ainsi l'exploitation de donnes vitales ou sensibles peut ncessiter la mise en uvre de mesures techniques particulires (par exemple, l'usage de systmes tolrance de pannes ou de disques miroir) ou organisationnelles (par exemple, la rgle sur le cloisonnement des postes de travail sensibles) afin d'viter les incidents durant la phase de traitement. De mme, les informations nominatives doivent recevoir les protections imposes par la loi. La prsente rgle portant sur les procdures d'exploitation scurise se justifie par la vulnrabilit des donnes qui existe du fait de leur passage par des tats diffrents (traitements, sauvegardes et transferts sur des supports, stockage, destruction) : aussi les procdures et contrles de scurit s'attachent assurer la continuit de la protection ces divers stades de l'exploitation. Parmi les procdures mettre en place, celles concernant la sauvegarde des donnes et la destruction des supports classifis ont un impact majeur sur la scurit. - La sauvegarde des donnes vise le maintien de leur intgrit et disponibilit : elle doit tre faite rgulirement et les supports rsultants sont stocks en des lieux loigns de la zone de traitement et offrant le mme niveau de protection ; des tests d'intgrit des sauvegardes apportent la garantie de la continuit de service. - La destruction des supports classifis implique que les donnes enregistres sont effaces ou surcharges avant que leur support magntique ne soit dtruit (bandes magntiques, disquettes, disques amovibles et fixes, mmoires disques). - Pour les donnes relevant du secret de dfense, il peut tre prvu, en conformit avec la rglementation en vigueur, un chiffrement des donnes permettant ainsi le stockage intermdiaire des supports associs lors de traitements discontinus.

Page 37 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

EXP-15 : Mise en place dune organisation pour la lutte contre le code malveillant
La mise en place dune organisation et dune PSSI contre la menace virale permet de diminuer les risques de perte dintgrit, de disponibilit et de confidentialit de linformation. Cette organisation doit disposer des entits suivantes : - cellule anti-virus ( Administration, exploitation, mise jour ) ; - cellule de support ; - gestion de crise ; - organisation de la veille. Dans la lutte contre les codes malveillants il est primordial de bien dfinir les relations entre les diffrents intervenants en particulier pour ce qui concerne la veille, les intervenants en cas de crise, et la mise jour des outils et des procdures La dfinition dune organisation de scurit contre le code malveillant devra dfinir notamment lorganisation mettre en place et les rles et les responsabilits de chaque acteur. Il faudra galement mettre en place une architecture technique de protection contre les virus pour lensemble des composants du systme informatique (Postes de travail, serveurs de messagerie, serveurs Internet, serveurs de sauvegardes, de donnes)

EXP-16 : Consignes de scurit concernant la tl-action


La tl-action regroupe toutes les oprations dexploitation du rseau et des postes de travail ralises distance : sauvegarde, prise en main distance, installations dapplication distance, traitement danomalie distance, opration de maintenance distance Les accs de tl-actions sont particuliers lorsquils doivent sappliquer des postes de travail qui ont t attribus des utilisateurs. En effet, il faut notamment garantir lutilisateur quil conserve la matrise de son environnement et quaucune intervention sur ses fichiers ou sa session de travail ne peut avoir lieu sans son aval pralable ceci doit concourir garantir une relation de confiance mutuelle entre les exploitants du rseau et les utilisateurs.

EXP-17 : Protection et utilisation de la messagerie


Des rgles claires et simples doivent tre mises pour assurer la confiance dans lutilisation de la messagerie lectronique. Ainsi, il conviendra dtablir une liste de mesures techniques et non techniques pour lutter contre : - la propagation et lexcution de codes malveillants ; - linterception dinformations sensibles vhicules en clair par le courrier lectronique ; - la dsinformation ou le spamming ; - la publication dinformations illgales, diffamatoires ou de harclement ; Il conviendra de surcrot de dfinir les rgles relatives : - la conservation de preuves des changes lectroniques ; - lutilisation de moyens de scurit (authentification, chiffrement signature) ; - lutilisation de la messagerie depuis lextrieur de lorganisme (cf. accs distant) ; - la surcharge du systme de messagerie.

EXP-18 : Rgles spcifiques de filtrage aux accs


Des rgles techniques de filtrage pourront tre mises en place sur les routeurs, les pare-feu et les serveurs de messagerie afin de n'autoriser que laccs certains serveurs identifis. En effet, tout ce qui n'est pas explicitement autoris devrait tre interdit pour le filtrage des accs. Ce principe est valable en interne galement.

EXP-19 : Normes de conservation et de destruction des informations protger


Certaines catgories d'informations ncessitent des conditions de conservation et de destruction adaptes. En ce qui concerne les informations relevant du secret de dfense, la rglementation prcise les mesures prendre suivant leur niveau de classification. Pour les autres catgories, les mesures sont adaptes l'environnement propre l'organisme et doivent demeurer cohrentes entre elles. En particulier, le contrle pralable des bonnes conditions de stockage revt un aspect fondamental ds lors que l'information est confie contractuellement un organisme. La destruction d'urgence peut, pour certains organismes, revtir un aspect majeur en situations exceptionnelles (meutes,

Page 38 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

guerre civiles) mais, plus couramment, des normes prcises peuvent tre adoptes pour l'limination de l'information prime qui conserve un caractre rsiduel de confidentialit. De plus, larchivage de documents magntiques fait lobjet dobligations juridiques en termes de dure de conservation et de protection des supports, selon la nature des informations concernes (informations comptables ou fiscales, relatives au personnel).

EXP-20 : Contrle des supports amovibles avant leur mise en exploitation


Cette rgle, portant sur le contrle des supports amovibles, vise principalement la confidentialit des informations et intresse les organismes traitant d'informations sensibles relevant du secret de dfense ou des informations juges stratgiques pour leurs activits. Une mesure fondamentale prcdant le contrle des supports amovibles, avant leur rutilisation dans une autre installation protge, consiste effacer les informations qui y sont enregistres en oprant un recouvrement complet au moyen de caractres numriques ou alphanumriques. Pour les informations relevant du secret de dfense, les supports de mmoire conservent la plus haute catgorie de classification des donnes pour lesquelles ils ont t utiliss depuis l'origine (sauf en cas de dclassification). Ce principe peut tre appliqu aux informations non classifies particulirement sensibles.

EXP-21 : Les supports, sources dinfection et de risque de divulgation


Les organismes sont sensibiliss la scurit des systmes. Nanmoins, la protection des supports amovibles (disquette, bande sauvegarde, listing, rapport) est souvent dlaisse, bien qu'ils contiennent des informations de lorganisme. On entend par supports tout moyen incluant des informations : principalement les supports informatiques, les supports papier (listing, documentation, impression de rapports). Les supports doivent tre protgs conformment aux rgles associes la classification des informations quils hbergent. Ainsi, il doit exister, en fonction de la classification, des rgles de scurit concernant la gestion, le contrle, le stockage (contre le vol et la destruction), le transport et la mise au rebut des supports. Bien quaujourdhui la menace virale (codes malveillants) provienne principalement des rseaux publics, lintroduction de virus par des supports reste une problmatique importante (cf. lutte antivirale). Des rgles spcifiques existent concernant lentre/sortie de supports informatiques en zone classifie (gestion dun registre des supports, de leur contenu) (cf. continuit dans la protection des informations).

EXP-22 : Mise au rebut des supports ou sortie de matriel informatique


Les matriels informatiques contiennent des supports de donnes de lorganisme. Lentre et surtout la sortie de ces supports de lorganisme doivent tre matrises. Ces donnes, au mme titre que les donnes contenues dans tout autre support de lorganisme, doivent tre dtruites lors des dons ou lors de la mise au rebut, soit par destruction physique des supports, soit par effacement logique scuris (sur-critures multiples). Ainsi, lorganisme doit dfinir les rgles de destruction par type de support et, le cas chant, selon le niveau de classification. Dans le cas de support papier, lorganisme peut soit installer des broyeuses, soit centraliser ces supports dtruire et confier des organismes spcialiss cette tche (avec engagement de destruction). Dans les deux cas, une attention particulire devra tre porte la protection du stockage des supports avant leur destruction.

EXP-23 : Photocopie de documents


Des directives de scurit doivent tre nonces pour rglementer le photocopillage en fonction de la classification du document. Ces directives devront prendre en compte les obligations relatives au photocopillage qui font lobjet dune lgislation spcifique.

EXP-24 : Stockage des informations par lorganisme


Des rgles de scurit pour le stockage des informations doivent tre dfinies et appliques par tout le personnel en fonction de la classification. Ces rgles visent principalement assurer la protection des informations contre toute divulgation ou vol par des personnes non autorises ou encore altration.

Page 39 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

EXP-25 : Connexion des postes nomades et PDA


Des rgles de scurit doivent tre rdiges pour rglementer les types dinformation pouvant tre stockes dans ces units. Des moyens de protection et/ou de contrles doivent tre mis en place pour assurer le respect de ces rgles. Leur connexion au systme dinformation de lorganisme doit avoir t autorise et respecter sa PSSI. Une attention particulire doit galement tre porte pour viter que ces quipements ne puissent servir de passerelle entre le systme dinformation et un rseau public.

ENV : Aspects physiques et environnement


ENV-01 : Continuit dans la gestion des biens physiques
La gestion des biens physiques est assure tout au long de leur cycle de vie : phases d'affectation, d'installation, de fonctionnement, d'entretien, de mise au rebut et de destruction. Ces biens peuvent galement tre amens changer de propritaire ou de responsable, d'environnement ou d'usage (prt de matriels pour une exposition, r-affectation d'un matriel dans le cadre d'un nouveau projet). La rgle prvoit que les mesures choisies offrent une protection continue quelles que soient les volutions ou les changements d'utilisation des biens physiques. Cette continuit de gestion repose sur l'adoption d'une classification (incluant, le cas chant, la classification de dfense au sens de l'[IGI 900]), sur le suivi des biens physiques depuis leur mise en service, leur volution jusqu' leur remplacement. Les principales mesures qui dcoulent de cette rgle intressent le recensement, le marquage des biens et les mesures spcifiques de protection physique correspondant leur tat (prt, maintenance) ou leur classification : Le recensement des biens physiques permet d'identifier ceux ncessitant une protection, L'opration de marquage est la matrialisation concrte de la reconnaissance qu'un lment appartient une classe donne, Les mesures spcifiques de protection physique dsignent les actions entreprendre suivant la classification choisie. Par exemple, un calculateur marqu "Confidentiel" devra se situer dans un environnement physique adapt ce niveau de protection, comme celui d'une "zone rserve".

ENV-02 : Prise en compte des contraintes oprationnelles de l'organisme


La mise en place de moyens et procdures de scurit physique qui ne prend pas en compte les contraintes de l'organisme peut constituer une entrave au bon fonctionnement des tches oprationnelles et engendrer un rejet de la part du personnel vis--vis de la scurit. Il est donc ncessaire de prendre en compte les contraintes oprationnelles de l'organisme dans la mise en place des moyens et procdures de scurit physique.

ENV-03 : Compltude des mesures de scurit physique


Les diffrents types de mesures suivants devraient tre pris en compte. Les mesures de protection des biens physiques ont pour objectif de rduire l'ampleur des atteintes, principalement dans les domaines de la disponibilit, de l'intgrit et de la confidentialit. L'absence de solutions universelles capables de rpondre toutes les formes de menaces oblige l'organisme mettre en uvre un ensemble de mesures susceptibles de contrecarrer le cheminement d'une attaque et de rparer les dommages causs : ce sont les mesures de prvention, de dtection, de raction et de recouvrement. Les mesures de prvention visent diminuer la probabilit d'apparition d'un sinistre. Elles consistent, par exemple, porter attention la localisation de certains locaux (comme les bandothques, les salles d'archives, les canalisations, les salles de rangement de produits dangereux) face aux risques d'incendie ou d'inondation ou surveiller la conformit de l'utilisation des matriels. Les mesures de dtection visent donner l'alerte lors d'une tentative d'intrusion ou du dclenchement d'un sinistre dans le primtre du systme d'information. Elles doivent galement permettre de localiser cette alerte. Ces mesures se traduisent par la mise en place aux endroits critiques de moyens de dtection et d'alerte comme, par exemple, des capteurs de chaleur ou des camras de surveillance. Les mesures de raction visent lutter contre un sinistre dclar en vue de rduire son impact. Ces mesures se traduisent par le dclenchement de moyens d'interventions prvus par l'organisme comme, par exemple, un service de lutte contre l'incendie. Les mesures de recouvrement visent limiter les consquences d'un sinistre et faciliter le retour au fonctionnement normal du systme d'information. Elles peuvent se traduire par l'activation de moyens de secours ou par la dsactivation de fonctions de scurit comme, par exemple, la Page 40 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

suppression temporaire du contrle d'accs physique dans le cadre d'un fonctionnement de la scurit en mode dgrad. Pour l'ensemble des sinistres redouts par l'organisme, les mesures choisies devraient tre graduelles, afin d'offrir un niveau de rsistance suffisant pour contrecarrer ou attnuer l'attaque.

ENV-04 : Isolement des systmes sensibles ou vitaux


Isoler les systmes sensibles ou vitaux permet de minimiser l'exposition des biens par rapport aux menaces. Les risques sont ainsi rduits. De plus, ceci offre la possibilit de proportionner au mieux les mesures de scurit en rduisant les cots d'une protection globale.

ENV-05 : Adquation des mesures de scurit physique aux types de biens


Les mesures de scurit physique doivent tre appliques lensemble des locaux. Elles visent tout dabord protger le personnel puis rduire les risques de destruction ou de divulgation qui pourraient porter atteinte directement ou indirectement aux intrts vitaux de lentreprise ou de lorganisme. Cette rgle indique que les mesures dont il est fait mention la rgle prcdente peuvent tre dclines selon les trois catgories de biens physiques savoir, l'infrastructure, les matriels et les quipements de soutien.

ENV-06 : Protection contre les accidents et pannes


Dans les locaux hbergeant des quipements vitaux pour le systme dinformation (sans oublier les composants de linfrastructure rseau) en tenant compte des menaces de lenvironnement proche, prvoir les mesures : - contre les dgts des eaux dtection et raction - (le mieux est dviter dhberger des quipements dans des locaux risques comme des salles dans lesquelles existent des conduites deau ou situ dans des sites inondables) ; - la dtection et lextinction incendie ; - contrle et secours de lalimentation lectrique (au minimum les lments de protection doivent garantir un dlai minimum dalimentation pour raliser toutes les oprations de sauvegarde ncessaire) ; - secours des rseaux de tlcommunication (porter une attention particulire aux procdures de basculement vers des lignes de secours en cas dinterruption de ligne) ; - de climatisation et de conditionnement d'air (tenir compte de la fourniture des consommables tels que eau, gaz et filtre, ainsi que les mesures pour lutter contre les poussires) ; - procdures formalises de raction en cas de sinistre ou de pannes (y compris pendant les heures non ouvres) ; - procdures durgence. Le contrle de lenvironnement doit tenir compte de la temprature, de lhumidit, des poussires et des vibrations. Il faut galement prvoir un plan de situation durgence si des sinistres non matrisables se produisent. (Cf. gestion de crise) Tous les quipements de protection installs doivent tre rgulirement contrls. Des contrles (notamment concernant les mesures incendie) sont exigs dans les rglementations. Il est fortement recommand dappliquer ces contrles aux quipements pour lesquels ils ne sont pas obligatoires (par exemple, la dtection de prsence deau).

ENV-07 : Protection physique du cblage et des rseaux tlcoms


Le cblage tlcom et informatique doit, dans la mesure du possible, tre protg contre tout accs malveillant pouvant conduire des coutes (lignes enterres, cbles cachs). Il est indispensable de garantir la protection des accs aux quipements de terminaison et de routage. La protection des accs aux cblages et autres composants rseaux (quils soient autoriss ou non) consiste non seulement empcher lcoute passive (et parfois active) mais aussi viter que, par accident, ces moyens ne soient endommags.

ENV-08 : Dcoupage de l'infrastructure en zones de scurit


Les sites, les btiments et les locaux contenant des biens matriels ou immatriels (les informations et leurs supports associs, les matriels constitutifs du systme d'information) ou abritant des activits

Page 41 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

critiques au regard de la scurit, doivent tre contrls tout particulirement au niveau de leurs accs. Une zone de scurit est une zone dans laquelle des dispositions permanentes sont prises pour contrler les mouvements du personnel et des matriels, ainsi que pour dtecter et empcher toute coute. Un dcoupage de l'infrastructure en zones de scurit facilite la mise en place de dispositifs adapts, tout particulirement pour le contrle de la circulation du personnel par attribution de droits d'accs spcifiques aux zones. Ces droits peuvent tre lis aux postes de travail et aux niveaux de responsabilit.

ENV-09 : Application des modalits d'accueil et de circulation des visiteurs


Les modalits d'accueil et de circulation des visiteurs sont gnralement fixes par le service de scurit gnrale. Mais, loin d'interfrer avec celui-ci, il est un devoir pour chaque utilisateur du systme d'information de prendre sa charge l'application de cette rgle dans sa propre zone de travail ou proximit de son poste de travail. Le responsable-dpositaire est, en effet, le mieux plac pour vrifier la non-atteinte au patrimoine informationnel qui lui est confi. Cette rgle est rapprocher de celle prconisant le dcoupage de l'infrastructure en zones de scurit, laquelle apporte une grande facilit pour le contrle des visiteurs.

ENV-10 : Gestion spcifique des biens physiques ncessitant une protection


La gestion des biens physiques ncessitant une protection comprend l'adoption d'une classification ou d'une typologie, les mesures de gestion de ces biens et les mesures de protection tout au long de leur vie. Le principe respecter est dadapter ces moyens de protection physique, comme toute mesure de scurit, la valeur des biens protger, mais aussi en cohrence avec les autres mesures de scurit appliques. L'article 10 de l'[IGI 900] dfinit ainsi : "Tout document, logiciel ou matriel qui, par son intgrit ou sa confidentialit contribue la scurit d'un systme d'information, reoit la mention ACSSI qui rappelle que sa gestion et sa protection doivent tre assures conformment aux prescriptions de l'instruction ministrielle relative aux Articles Contrls de la Scurit des Systmes d'Information". Pour les biens physiques non classifis de dfense, l'adoption d'une typologie permet de les regrouper suivant leur nature et leur affectation. Des classes de protection sont tablies en fonction du niveau d'exigence de scurit, c'est--dire des critres de confidentialit, d'intgrit et de disponibilit attachs ces biens pour en garantir une surveillance continue. La typologie adopte est spcifique la mission ou au mtier, la culture et aux contraintes propres l'organisme.

ENV-11 : Procdures d'exploitation scurise des moyens dcentraliss


Les moyens dcentraliss, ddis ou dports hors de leur zone de scurit (micro-ordinateurs, matriels portables, imprimantes dportes, photocopieuses, tlcopie) se caractrisent souvent par des quipes d'exploitation rduites voire des utilisateurs isols. Sans assistance immdiate et sans le recours aux protections physiques d'une zone de scurit, la probabilit d'incident ou d'atteinte la scurit des biens reste trs leve : l'indiscrtion et la malveillance reprsentent une menace majeure dans la mesure o les consignes de vrification sont plus difficiles mettre en uvre. C'est la raison pour laquelle l'exploitation de ces moyens ncessite des mesures spcifiques adaptes leur environnement ; en particulier et, dans la mesure du possible, les quipements priphriques sont situs dans une zone surveille. Le cas des matriels portables mrite un examen particulier. En effet, avec l'accroissement de capacit de mmoire et de puissance de traitement, les machines portables sont de plus en plus utilises. Cependant, elles sont exposes des menaces plus varies que les matriels fixes et leurs utilisations rendent beaucoup plus difficile le contrle ncessaire la sauvegarde des informations. Leur portabilit et leur petite taille accroissent fortement la probabilit de perte ou de vol. Dans la mesure du possible, les informations protger ne peuvent tre traites sur des microordinateurs portables qu'en des endroits dsigns en fonction de leur niveau de classification. Lorsque ces matriels sont emports l'extrieur de l'organisme, il faut appliquer la mme procdure que pour la sortie des documents classifis.

ENV-12 : Protection de la documentation de scurit


La documentation de scurit doit tre protge contre les accs non autoriss. Sa protection est du mme niveau que les constituants auxquels elle se rapporte. Les mesures suivantes peuvent tre suggres: Page 42 sur 53

SGDN / DCSSI / SDO / BCS -

PSSI Section 3 Principes de scurit 3 mars 2004

tout responsable-dtenteur de documents de scurit doit connatre la position des documents qui lui sont confis et contrler leur utilisation ; la manipulation de ces documents ne peut tre faite que par du personnel autoris ; les documents sont rangs dans des lieux srs ; la diffusion, manant du responsable de la scurit, peut tre restreinte au minimum de personnes.

ENV-13 : Protection de lquipement contre le vol


Lagent a qui sera attribu lquipement, mme de manire temporaire, sera responsable ds son attribution de sa protection en utilisant des moyens cohrents et adapts. Dans la mesure du possible, lorsque son dtenteur doit sortir lquipement du site, il est recommand quil ne stocke sur l'quipement que les informations strictement ncessaires pour raliser sa mission lextrieur, le cas chant, il transportera les informations sur un support externe amovible. Les risques de vol de micro-ordinateurs portables tant important mme sur le site de lorganisme, un inventaire et un contrle frquent des machines doivent tre raliss. Une procdure spcifique doit tre formalise pour dfinir les actions mener par le dtenteur et par lorganisme en cas de vol de lquipement.

ENV-14 : Protection des supports de sauvegarde


Les supports de sauvegarde doivent tre protgs contre les risques de destruction, de divulgation et de vol. Une attention particulire doit tre porte ces types de supports car, par nature, en contenant une partie des informations hberges par un systme, ils constituent une cible de choix pour raliser un vol dinformation et dtruire la capacit de l'organisme rcuprer d'un sinistre.

ENV-15 : Protection de la documentation systme


La documentation des systmes (architecture rseaux, plan de nommage) contiennent des informations qui associes dautres (informations de vulnrabilits) constituent des lments vitaux pour conduire avec succs des attaques. Leur divulgation lextrieur peut tre lopportunit pour certains de mener des tentatives dintrusion. Il est donc essentiel de veiller classifier ces documentations et en contrler leur diffusion lextrieur, y compris auprs de fournisseurs.

ENV-16 : Utilisation lextrieur du site


La sortie et lutilisation lextrieur de lorganisme de tout quipement informatique doivent avoir t autorises. Des rgles doivent tre formules pour restreindre leurs utilisations dans les lieux publics ou sur dautres systmes dinformation. Leur connexion au systme dinformation dun client ou partenaire doit avoir t autorise par cet autre organisme, et son propritaire devra respecter la PSSI. L'quipement informatique doit tre protg afin dviter tout accs non autoris aux informations qu'il stocke et traite.

Page 43 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

3 Principes techniques
AUT : Identification / authentification
AUT-01 : Utilisation dun mme secret pour accder plusieurs services
Selon les applications et les systmes, les moyens utiliss pour protger les secrets dauthentification sont de niveaux dassurances diffrents. Il est fondamental que les utilisateurs sinforment sur la robustesse des systmes dauthentification pour utiliser un mme secret dans des systmes dont la protection est cohrente (exemple : utilisation d'un mme mot de passe pour s'authentifier sur le systme d'exploitation et diffrentes applications). Ainsi, il convient de n'utiliser un mme secret que pour des services de niveaux d'assurance quivalents.

AUT-02 : Combinaison des moyens d'authentification


L'accs au systme d'information implique que les utilisateurs justifient leur identit en dbut de session (et, dans certains cas, en cours de session) en prsentant un lment d'authentification. Les techniques actuelles d'authentification reposent sur trois moyens : - ce que l'on sait comme, par exemple, les mots de passe ; - ce que l'on dtient comme, par exemple, les cartes puce ; - ce que l'on est, c'est--dire une caractristique personnelle (empreintes digitales, examen du fond de l'il, signature dynamique). La runion de ces trois moyens constitue une authentification complte et efficace mais reprsente un cot relativement lev. En consquence, le responsable-dtenteur doit dterminer avec l'aide de l'agent de scurit, partir de ces trois concepts, quelles sont les combinaisons les plus adaptes pour son sous-systme d'information ou ses applications sensibles. La runion d'au moins deux de ces concepts est communment appele authentification forte. Le choix d'une authentification base sur le seul concept de "ce que l'on sait" reprsente le profil minimal de scurit pour un systme d'information ; il convient alors d'opter pour des mcanismes dynamiques comme les mots de passe utilisables une fois ou bien ceux assujettis une limite du nombre d'utilisations ; dans ce cas, le mcanisme utilis est un compteur d'accs sur lequel doit porter l'effort de protection. Ainsi, les mcanismes utiliss reposent sur des lments d'authentification dont il convient expressment de prvoir une gestion rigoureuse.

AUT-03 : Unicit de l'identit des utilisateurs


L'identit des utilisateurs doit tre gre sous le contrle conjoint de la direction du systme et du responsable de la scurit d'un site ou d'une unit oprationnelle (niveau de l'agent de scurit). Lidentification unique (et sans quivoque) du propritaire dun accs est fondamentale pour assurer la traabilit des oprations et le diagnostic dune anomalie de scurit (cf. contrle et audit).

AUT-04 : Dlivrance et recouvrement des moyens dauthentification


Les technologies utilises pour matriser les accs un systme dinformation peuvent tre aussi sophistiques que possible, la dlivrance, lutilisation et la gestion de ces moyens restent des lments vitaux du systme. Ainsi, les rgles suivantes doivent tre clairement formalises et scrupuleusement respectes : - la dlivrance dun accs un utilisateur doit tre prcde dun engagement formel de ce dernier au respect des rgles lmentaires de protection des moyens daccs fournis et du devoir davertissement en cas de vol (ou seulement de suspicion de divulgation du secret) (cf. responsabilits, cf. attribution de postes sensibles) ; - la dlivrance des moyens daccs (mots de passe, carte puce) doit tre ralise en sassurant que seul son propritaire aura connaissance des secrets ; - le traitement dune dclaration de vol ou de perte dun secret doit garantir la protection contre lusurpation de lidentit de lutilisateur ; - le dpart dun personnel (voir sa mutation) doit conduire systmatiquement la suppression de tous ses accs au systme dinformation.

Page 44 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

Il faut considrer qu'il y a infraction la scurit lorsque deux personnes ou plus connaissent, par exemple, le mot de passe correspondant une identit d'utilisateur moins que cela ne soit prvu pour assurer la continuit des fonctions d'administration du systme. S'il est invitable, dans certains cas, de permettre le partage d'une identit et d'un lment d'authentification, des mesures spciales telles que l'emploi d'enveloppes scelles avec prise en compte peuvent tre mises au point pour prvenir toute utilisation abusive ou incorrecte.

CAL : Contrle d'accs logique aux biens


CAL-01 : Dispositifs et procdures de protection contre les intrusions
Larchitecture des infrastructures de communication doit comprendre les dispositifs et procdures assurant le niveau adquat de protection contre les intrusions Laccs au SI et ses principales ressources (applicatifs) doit tre contrl afin de se protger contre des accs frauduleux intrusions-. Les moyens mettre en place varient en fonction des objectifs de scurit et peuvent comprendre des mesures telles que des dispositifs garde-barrire (firewall) et des systmes dauthentification et de contrle daccs. Aprs une analyse des risques SSI comprenant un recensement de chacune des cibles potentielles et des moyens daccs possibles pour des attaquants, il conviendra de mettre en place les dispositifs dfensifs adapts pour couvrir les objectifs de scurit identifis.

CAL-02 : Cloisonnement des rseaux et matrise des flux


Le cloisonnement des rseaux a pour objectif : - de faciliter le contrle daccs ; - de mieux se protger contre les intrusions ; - dempcher la fuite dinformation : o vers des rseaux ou des postes de travail internes lentreprise destination de personnes qui nont pas connatre ces informations ; o vers des rseaux ou des postes externes lentreprise ; o par la connexion depuis lextrieur de lentreprise en utilisant la technique du rebond par exemple, via un poste connect en mme temps au rseau interne de lentreprise et un modem. Il permet de crer des zones rserves primtres de scurit bien identifis- en prenant en compte le besoin den connatre. De tels primtres internes doivent tre mis en place chaque fois quune analyse identifie des sous-ensembles ou applications sensibles qui justifient dune politique de scurit et de contrle des accs et des communications particuliers. Les communications entre lintrieur et lextrieur dun primtre de scurit doivent systmatiquement passer par un dispositif (garde-barrire) prvu cet effet qui a en charge de contrler le respect des exigences particulires ce primtre. A cette fin, il est indispensable quexiste et que soit document une matrice des flux la frontire : quelle communication, depuis qui, vers qui, avec quel contenu, dans quelles conditions ? Le cloisonnement de rseaux qui permet de contrler les flux dinformation se base sur les droits daccs des personnes, des fonctions et des processus. Une des solutions de cloisonnement rside dans la protection des informations sensibles durant leur transmission. Le principe s'attache contrler que le niveau de protection requis par les informations communiques est correctement atteint. La protection des informations sensibles durant leur transmission est organise de faon rendre aussi peu efficace que possible les diffrents types d'attaques sur le rseau de transmission. L'organisation de cette protection vise : - l'acheminement du trafic mme en ambiance de brouillage ou de saturation (qui consistent empcher ou gner le fonctionnement des liaisons) ; - la garantie contre l'intrusion (qui consiste introduire ou modifier des messages dans l'intention de tromper) ; - la dfense contre l'interception (qui est la rception d'missions non autorises) ; - la dfense contre l'analyse de trafic (qui permet d'obtenir des renseignements partir de l'tude du trafic). Le recours aux moyens de chiffrement et l'emploi de matriels protgs contre l'mission de signaux compromettants constitue les moyens de protection classiques en matire de scurit des communications. Page 45 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

Le chiffrement est dfini comme l'ensemble des moyens cryptologiques permettant de protger les informations transmises, de faon les rendre inintelligibles pour toute personne qui n'est pas autorise les connatre. On utilise soit le chiffrement des messages soit le chiffrement des voies de transmission. Le principe intgre le fait que, si les mesures de scurit correspondant au niveau de protection requis ncessitent des moyens de chiffrement, l'usage de ces moyens est soumis au respect de la loi et de la rglementation et doit s'accompagner de mesures organisationnelles permettant leur gestion spcifique.

CAL-03 : Modalits dutilisation scurise des rseaux de tlcommunication de lorganisme


L'utilisation scurise des rseaux de tlcommunication de l'organisme ne doit pas remettre en cause les mesures de scurit qui sont prises au plan de l'infrastructure (par exemple, la cration de zones rserves), du personnel (par exemple, la gestion du besoin d'en connatre), de l'organisation de la scurit ou des ressources matrielles et logicielles. Les modalits d'utilisation des rseaux de tlcommunication de l'organisme sont d'autant plus importantes dfinir que les possibilits d'accs des utilisateurs sont augmentes par les ventuelles interconnexions des rseaux internes. L'utilisation scurise des rseaux de tlcommunication fait appel la mise en place de fonctions et de mcanismes destins garantir la scurit des donnes au cours de leur transmission. Il est possible d'adopter le dcoupage suivant : - l'authentification ; - le contrle d'accs ; - la confidentialit des donnes ; - l'intgrit des donnes ; - la non-rpudiation ; - la disponibilit. Parmi ces fonctions, le contrle d'accs repose sur des mesures de gestion et de contrle continues dans le temps et portant, par exemple, sur les aspects suivants : - l'accs des utilisateurs aux services pour lesquels ils sont autoriss ; - la connexion au systme d'information des ordinateurs isols ou extrieurs l'organisme ; - la sparation des rseaux ddis des domaines particuliers ; - le routage des communications sur les canaux autoriss.

CAL-04 : Organisation des accs au systme dinformation


Lorganisme doit noncer des rgles et identifier des normes techniques pour assurer le contrle et la gestion des accs au systme dinformation. Ainsi, elles doivent dfinir les niveaux dassurance des moyens de contrles daccs pour : - laccs au rseau dentreprise ( lintranet) et aux services transversaux - principalement messagerie et services Internet - depuis les sites de lorganisme ; - le cas chant, laccs un sous-rseau scuris ; - laccs aux applications de lorganisme ; - laccs depuis lextrieur aux services transversaux de lentreprise, en particulier la messagerie ; - laccs aux quipements connects au rseau de lorganisme ; - laccs des postes de travail de lorganisme dautres rseaux depuis le site de lorganisme ou hors du site ; - laccs par des fournisseurs au systme dinformation ; - les accs public ou invit . Les caractristiques suivantes doivent tre dfinies selon les besoins de scurit des informations et/ou des fonctions du systme dinformation : - technologie utiliser (algorithme dauthentification, mot de passe jou qu'une fois) ; - protection des secrets (fichiers de mots de passe grs par les systmes ou les applications) - conditions dattribution dun accs (engagement de lutilisateur au respect des rgles lmentaires de protection de laccs) ; - exigences de robustesse des moyens daccs et des mots de passe - rgles de construction frquence de changement des mots de passe - historique de mots de passe non r-utilisables. - dure de vie de lattribution de l'accs ; - toute procdure dauthentification des accs sensibles ou utilisant des mdias qui ne sont pas considrs comme de confiance (rseaux publics) doit assurer la non divulgation des lments dauthentification ; Page 46 sur 53

SGDN / DCSSI / SDO / BCS -

PSSI Section 3 Principes de scurit 3 mars 2004

procdure en cas de tentatives de connexion infructueuses rptes ; limitation des temps de connexion ; procdure en cas de dclaration de perte dun secret lutter contre des usurpations didentit ; procdure de suppression des accs en cas de dpart de personnel ou de vol de matriel.

Une attention particulire doit tre porte sur la protection (notamment contre le vol de session, la divulgation de secrets, lusurpation didentit, la saturation volontaire de laccs) des accs au systme dinformation, utilisables distance, hors des locaux de lorganisme (accs Internet, accs rseau commut). Pour chacun de ces accs, des procdures doivent tre rdiges pour la dfinition des profils (y compris les profils des exploitants du rseau et des applications), dattribution et de gestion des accs (cf. habilitations). Il est fortement recommand de respecter le principe de nattribuer un accs et des privilges que lorsquils sont ncessaires pour la ralisation dune tche. Il est fondamental que les utilisateurs soient sensibiliss la protection des informations et aux moyens qui leur ont t attribus pour accder au systme dinformation de lorganisme (les postes de travail sont les points daccs principaux au systme dinformation).

CAL-05 : Fichiers contenant des mots de passe


Dans la mesure du possible, tout fichier contenant des mots de passe (ou secrets) doit tre banni ou chiffr (par exemple, script de connexion).

CAL-06 : Suppression des accs non matriss au systme dinformation


Il est important de pouvoir matriser lensemble des accs au systme dinformation. Cest pourquoi une attention particulire doit notamment tre porte aux accs suivants : - quipement connect au systme dinformation disposant galement dun accs public direct (par exemple micro-ordinateur portable connect la fois un modem et au rseau dentreprise) ; - connexion non autorise dun poste de travail sur un accs physique du rseau.

CAL-07 : Attribution de privilges daccs aux services


Lattribution dun accs et des privilges associs doit tre valide par le ou les propritaires des systmes accds afin quil(s) vrifie(nt) quil est conforme aux habilitations de lutilisateur et quil respecte les principes de responsabilits (sparation des pouvoirs, moindre privilge). Il est souhaitable pour les services sensibles de maintenir un inventaire des accs et privilges qui ont t autoriss.

CAL-08 : Protection des accs particuliers (accs de maintenance) au SI


Les accs de maintenance sont des accs octroyant des privilges levs sur les systmes. Quand ils sont utiliss depuis lextrieur de lorganisme (par exemple par des fournisseurs de service), il est fondamental de dfinir des moyens de protection renforcs contre toute utilisation malveillante et des moyens de traabilit. Des engagements de responsabilits spcifiques devront tre inclus dans les contrats de prestations de service (cf. contrat de prestation).

CAL-09 : Vrification des listes d'accs au systme dinformation


Pour maintenir la matrise des accs au systme dinformation, il est fondamental de procder priodiquement (voir de manire impromptue) un contrle de la liste des accs et des privilges associs. Ce contrle peut tre ralis sur la base dun croisement entre linventaire des accs, larchivage des engagements signs par les utilisateurs et la liste du personnel. Ces contrles peuvent tre renforcs dans le cas daccs des informations et/ou fonctions sensibles. Une procdure doit prvoir les actions mener en cas de dtection dincident (par exemple, accs apparaissant comme non justifi, privilges apparaissant comme trop levs). Ces procdures devront tenir compte des impacts sur le systme dinformation dune rduction des privilges.

CAL-10 : Contrle des privilges des utilisateurs du systme d'information


Il apparat important de spcifier une rgle de vrification du droit de possession des privilges. Et ceci indpendamment des contrles portant sur l'exploitation scurise, qui s'attachent la faon dont ces privilges sont utiliss. Page 47 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

Le contrle a pour mission, ds qu'un utilisateur tente d'exercer ses privilges sur une ressource du systme d'information, de ne permettre cette action que dans la mesure o elle n'outrepasse pas les rgles de scurit en vigueur dans l'organisme. Les mesures qui dcoulent de cette rgle peuvent reposer sur les aspects suivants : - les actions pour lesquelles un contrle des privilges doit tre men ; - les mesures prendre si une action est tente sans que le droit appropri soit possd ; - les passe-droits au contrle des privilges et leurs conditions de validit.

CAL-11 : Application de la notion de profil d'utilisateur du systme d'information


L'application de la notion de profil d'utilisateur du systme d'information sous-entend, au pralable, la structuration des donnes (ou objets) par fonctions ou activits de l'organisme qui sont des prrogatives du responsable-dtenteur. Les donnes manipules par les utilisateurs sont structures, en fonction des applications qui les utilisent au sein d'une unit fonctionnelle (par exemple, la gestion des stocks pour un service d'approvisionnement), dans le cadre d'utilisation de ressources partages (par exemple, les rseaux locaux), ou lors d'une mission ou d'une activit particulire ncessitant le cloisonnement des postes de travail. Il faut, de la mme manire, structurer les diverses catgories de personnel (ou sujets) par la dfinition de profils d'utilisateur du systme d'information qui permettent de spcifier les privilges d'accs aux informations lis la lecture (visualisation, impression) et les privilges de traitements lis l'criture (cration, modification, destruction) dans le cadre de leurs responsabilits ou activits. Il faut galement dfinir et formaliser les rgles de dlgations.

CAL-12 : Administration des privilges d'utilisation du systme d'information


Un utilisateur possde des privilges d'utilisation pour les ressources du systme d'information correspondant au profil qui lui est attribu. Il est indispensable d'administrer ces privilges pour vrifier que les rgles de scurit en vigueur sont entirement respectes. Les critres d'application de ce principe devront tre clairement noncs ; ils peuvent, par exemple, s'inspirer des lments suivants : - les profils d'utilisateurs soumis l'administration des privilges ; - les privilges existants entre les divers profils d'utilisateurs ; - les personnes qualifies pour accorder ou modifier ces privilges ; - les conditions remplir pralablement toute modification ou tout octroi de privilges ; - les privilges d'utilisateur incompatibles entre eux. La protection de l'intgrit des tables contenant les privilges doit faire l'objet d'un contrle particulier du responsable du systme et de l'agent de scurit.

CAL-13 : Verrouillage des sessions de travail


Les postes de travail sont les points dentre principaux du systme dinformation. Les utilisateurs doivent tre sensibiliss rendre leur environnement de travail inaccessible en leur absence (verrouillage de la session, arrt du poste de travail). Pour renforcer cette mesure et viter des ngligences, des mesures de protection automatique dune session de travail aprs un dlai dinactivit sont fortement recommandes (dconnexion automatique, verrouillage).

CAL-14 : Protection de lenvironnement de travail


La liste des actions de chaque profil utilisateur (administration, intervenants de maintenance, utilisateur principal du poste de travail, utilisateur temporaire) doit tre tablie et protge par des droits daccs.

JRN : Journalisation
JRN-01 : Moyens de journalisation des intrusions ou des utilisations frauduleuses
Le SI devra comprendre des moyens (dispositifs et/ou procdure) de journalisation des intrusions ou des utilisations frauduleuses. Comme il ne sera pas toujours possible de bloquer temps des tentatives dintrusion, il convient, dans une logique de gestion des risques, de mettre en place les mcanismes de journalisation et de traces permettant en cas dintrusion russie, ou de tentative d'intrusion, de disposer : Page 48 sur 53

SGDN / DCSSI / SDO / BCS -

PSSI Section 3 Principes de scurit 3 mars 2004

des lments de traces permettant la meilleure identification possible des causes et origines de lintrusion (remonter vers les lments menaants) ; - des lments de traces suffisamment fiables permettant un juge, si ncessaire, en cas de dpt de plainte, de les accepter en tant que preuves de lintrusion (ou tentative d'intrusion) ou de lutilisation frauduleuse. Il convient donc de mettre en place les procdures avec les moyens techniques et humains ncessaires - dexploitation des traces et journaux, pour dtecter mme aprs coup- les intrusions et rassembler les lments de preuve ncessaires. Ces lments seront galement indispensables pour remettre le systme dans son tat initial.

JRN-02 : Enregistrement des oprations


En respect du Principe de proportionnalit et de la volumtrie, engendre par lenregistrement des traces de scurit, il est fondamental de dfinir les rgles de gnration de traces en fonction des lments recherchs. Les ressources susceptibles d'exploiter utilement ces traces peuvent influer sur ces rgles. La dfinition et la mise en uvre de ces systmes de journalisation devront tenir compte des contraintes lgislatives et rglementaires concernant notamment le traitement des informations nominatives.

JRN-03 : Constitution de preuves


La constitution d'lments de preuves informatiques doit respecter la lgislation et les codes de pratiques en vigueur pour tre prsentable le cas chant devant un tribunal. Il sagit en particulier : - du respect du principe de proportionnalit et transparence ; - de ladmissibilit de la preuve ; - de la qualit et de lexhaustivit de la preuve ; - du respect de la vie prive ; - de la qualit de fabrication des lments de preuve et de leur stockage jusqu leur prsentation.

JRN-04 : Gestion des traces


La gestion des traces de scurit comporte plusieurs tches quil faut dfinir et organiser : - tlcollecte scurise des traces de scurit ; - archivage des traces ; - effacement des fichiers des traces obsoltes (obsolescence et dure d'archivage doivent tre fixes) ; - filtrage et analyse des traces ; - protection des traces contre toute altration ou accs non autoris ; - alerte en cas de dtection dvnements majeurs ; - contrle de lintgrit des mcanismes de traces ; - procdure dexploitation des traces : sachant quil est ncessaire de diffrencier celui qui analyse les traces et ladministrateur du rseau ; - destruction des traces au-del du dlai lgal.

JRN-05 : Alerte de scurit


Les rgles qui suivent la dtection dun incident de scurit dpendent de la gravit de lincident. De la classification peut dpendre, la mthode de transmission de lalerte, les destinataires, la vitesse et la nature de la raction (Cf. Gestion dincidents et gestion de crise). De manire gnrale, tout incident de scurit pertinent doit tre trac et doit pouvoir tre exploitable (identification de lauteur, de la date, du type dopration, de la cible). Les rgles de journalisation et danalyse dun incident de scurit dpendent de la classification de lincident.

JRN-06 : Analyse des enregistrements des donnes de contrle de scurit


L'exploitation scurise du systme d'information implique l'enregistrement des donnes de contrle de scurit dans un journal d'audit afin de vrifier que la scurit est bien respecte, en particulier, pour ce qui concerne les accs au systme d'information, qu'ils soient le fait d'utilisateurs, de techniciens ou d'informaticiens. L'analyse des donnes de contrle constitue une vrification a posteriori mais elle peut rvler des tentatives infructueuses de pntration du systme ou, de faon plus insidieuse, la prparation d'une

Page 49 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

attaque par rcupration de fichiers ou de comptes prims. Cet examen apporte plus de renseignements que la supervision en direct, condition qu'il soit excut avec rgularit et minutie. Une protection efficace des mcanismes permettant l'enregistrement des donnes de contrle est une condition essentielle pour justifier la confiance accorde l'analyse des enregistrements ; en effet, tout intrus cherche d'abord inhiber les mcanismes d'enregistrement et faire disparatre les preuves de son mfait. La mise en uvre de journaux d'audits peut tre une contrainte en priode de forte charge d'exploitation : il faut nanmoins tre conscient du risque pour la scurit que reprsente leur dsactivation, en particulier du risque juridique que prend l'organisme si il sert de plate-forme de rebond dans une attaque.

IGC : Infrastructures de gestion des cls cryptographiques


IGC-01 : Politique de gestion des cls
L'utilisation de cls cryptographiques dans le cadre d'une infrastructure de gestion des cls (IGC) requiert d'tablir, de mettre en uvre, de contrler et de maintenir une politique de gestion des cls. Celle-ci prend gnralement la forme d'une politique de certification (PC) et d'une dclaration des procdures de certification (DPC) qui formalisent les exigences relatives la gestion des cls. Elles traitent notamment de la vie et de l'change des cls. Il est prfrable que la structure et le contenu de ces documents respectent les normes internationales (telles que le RFC 2527). On note aussi que l'tablissement d'une PC est grandement facilit par la ralisation pralable d'une analyse de risques SSI et l'tude d'autres PC portant sur le mme type de besoin (authentification de serveur, authentification de personne, signature, chiffrement).

IGC-02 : Protection des cls secrtes ou cls prives


Que ce soit pour du chiffrement en confidentialit ou pour de lauthentification ou de la signature, les utilisateurs vont devoir utiliser des cls secrtes ou cls prives. Lassurance dintgrit et de nondivulgation de ces cls est par construction absolument fondamentale pour la solidit du systme mis en place. Une attention spcifique devra tre consacre ce problme afin de sassurer que dans chaque cas, les choix et moyens adopts sont en cohrence avec les enjeux de lutilisation de ces cls. On pourra ainsi exiger pour les documents classs sensibles que tout chiffrement soit ralis laide dun dispositif garantissant que la cl prive est stocke et utilise dans un dispositif matriel (tel une crypto carte puce), alors quune solution logicielle pourrait tre acceptable pour dautres utilisations.

IGC-03 : Certification des cls publiques


Dans un systme de cryptographie asymtrique, il existe un risque dusurpation de la cl publique. La scurit du systme repose sur la fiabilit de l'infrastructure de gestion des cls et notamment sur le processus de certification qui relie un lment (personne, serveur) une cl publique. Il est essentiel de matriser cet aspect en rdigeant une politique de certification.

SCP : Signaux compromettants


Tout matriel ou systme qui traite des informations sous forme lectrique est le sige de perturbations lectromagntiques. Ces perturbations, provoques par le changement d'tat des circuits qui composent le matriel considr, sont qualifies de signaux parasites. Certains de ces signaux sont reprsentatifs des informations traites. Leur interception et leur traitement permettent de reconstituer ces informations. Ces signaux sont, de ce fait, dnomms "signaux parasites compromettants". Dautre part, le dveloppement des systmes sans fil montre lapparition de signaux compromettants non parasites, dits "signaux compromettants intentionnels". Ces signaux intentionnels peuvent devenir compromettants si la porte du systme dpasse la limite de la zone de scurit. La protection contre les signaux compromettants est : - obligatoire pour le traitement dinformations classifies de dfense (instruction gnrale interministrielle 900 du 20 juillet 1993) - recommande pour le traitement dinformations sensibles (recommandation 901 du 2 mars 1994) Page 50 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

SCP-01 : Zonage
Un des moyens de se protger contre les signaux compromettants est le zonage. Il comporte deux volets : - le zonage des locaux conformment la directive 495 du 19 septembre 1997, - le zonage des quipements conformment au guide 430 du 1 juin 1999. Au vu des rsultats du zonage les quipements devront tre installs conformment la directive 485 du 1 septembre 2000.

SCP-02 : Matriel TEMPEST


Un des moyens de se protger contre les signaux parasites compromettants est l'utilisation de matriel TEMPEST (Transient ElectroMagnetic Pulse Emanations Standard). Ces matriels qui ont fait l'objet de mesures particulires lors de leur dveloppement pour rduire en mission et en conduction leurs missions de signaux parasites compromettants sont de 4 catgories : - A (conforme la norme AMSG 720), - B (conforme la norme AMSG 788), - C (conforme la norme AMSG 784), - D ne rpondant aucune des normes ci-avant. Les matriels devront tre installs conformment la directive 485 du 1 septembre 2000. Cette solution est envisager quand le zonage ne permet pas rpondre au besoin.

SCP-03 : Cages de Faraday


Un des moyens, plus onreux, de se protger contre les signaux parasites compromettants est l'utilisation de cage de Faraday ou la faradisation des locaux.

SCP-04 : Signaux compromettants intentionnels


Les systmes de transmission sans-fil, lorsqu'ils sont utiliss pour transmettre de l'information deviennent potentiellement des metteurs de signaux compromettants, lesquels sont dnomms "signaux compromettants intentionnels" et concernent tous les systmes de transmission sans-fil : infrarouge, radiofrquence, optique Pour se protger contre l'mission de signaux compromettants intentionnels il convient d'appliquer les recommandations de la DCSSI et dans la majorit des cas, d'avoir recourt un moyen de chiffrement et/ou d'effectuer un zonage des quipements et des locaux. D'autre part, il convient de prendre conscience du risque associ l'utilisation de tels moyens dans la transmission d'information.

Page 51 sur 53

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

Formulaire de recueil de commentaires


Ce formulaire peut tre envoy l'adresse suivante : Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes d'information Sous-direction des oprations Bureau conseil 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP conseil.dcssi@sgdn.pm.gouv.fr

Identification de la contribution Nom et organisme (facultatif) : .................................................................................................................. Adresse lectronique : ............................................................................................................................... Date : ......................................................................................................................................................... Remarques gnrales sur le document Le document rpond-il vos besoins ? Si oui : Pensez-vous qu'il puisse tre amlior dans son fond ? Oui Si oui : Qu'auriez-vous souhait y trouver d'autre ? ................................................................................................................. ................................................................................................................. Quelles parties du document vous paraissent-elles inutiles ou mal adaptes ? ................................................................................................................. ................................................................................................................. Pensez-vous qu'il puisse tre amlior dans sa forme ? Oui Si oui : Dans quel domaine peut-on l'amliorer ? - lisibilit, comprhension - prsentation - autre ! ! ! ! Non ! ! Non ! ! !

Oui

Non

Prcisez vos souhaits quant la forme : ................................................................................................................. ................................................................................................................. Si non : Prcisez le domaine pour lequel il ne vous convient pas et dfinissez ce qui vous aurait convenu : .......................................................................................................................................... .......................................................................................................................................... Quels autres sujets souhaiteriez-vous voir traiter ? .......................................................................................................................................... ..........................................................................................................................................

SGDN / DCSSI / SDO / BCS

PSSI Section 3 Principes de scurit 3 mars 2004

Remarques particulires sur le document Des commentaires dtaills peuvent tre formuls l'aide du tableau suivant. "N" indique un numro d'ordre. "Type" est compos de deux lettres : La premire lettre prcise la catgorie de remarque : - O Faute d'orthographe ou de grammaire - E Manque d'explications ou de clarification d'un point existant - I Texte incomplet ou manquant - R Erreur La seconde lettre prcise son caractre : - m mineur - M Majeur "Rfrence" indique la localisation prcise dans le texte (numro de paragraphe, ligne). "nonc de la remarque" permet de formaliser le commentaire. "Solution propose" permet de soumettre le moyen de rsoudre le problme nonc.

N Type 1

Rfrence

nonc de la remarque

Solution propose

Merci de votre contribution