Académique Documents
Professionnel Documents
Culture Documents
SECTION 1
INTRODUCTION
Les commentaires et suggestions sont encourags et peuvent tre adresss l'adresse suivante
(voir formulaire de recueil de commentaires en fin de guide) :
conseil.dcssi@sgdn.pm.gouv.fr
Historique des modifications
AVANT-PROPOS.................................................................................................................................... 5
Avant-propos
Le prsent document est un guide destin aux administrations et aux entreprises.
Ce document dit par le Secrtariat gnral de la dfense nationale est un guide, il n'a pas de
caractre obligatoire.
Le guide s'appuie sur des documents lgislatifs ou normatifs ainsi que sur lexprience et le savoir-
faire dadministrations et d'acteurs du secteur priv.
Les rfrences contenues dans ce guide ont pour objet de servir d'illustration et de souligner le sens
qui peut tre donn aux principes et aux rgles de scurit choisis par un organisme.
Tout particulirement pour le domaine juridique, le lecteur est averti qu'il doit, dans tous les cas,
vrifier la validit, la compltude et la porte des textes lgislatifs ou rglementaires auxquels il se
rfre, dans le cadre des activits propres son organisme.
Concepts manipuls
Voici les trois dfinitions essentielles des concepts manipuls dans le document :
Rgle de scurit Les rgles de scurit dfinissent les moyens et les comportements
dfinis dans le cadre de la PSSI. Elles sont construites par
dclinaison des principes de scurit dans un environnement et un
contexte donns.
Conventions d'criture
Dans la suite des guides PSSI, nous utiliserons les conventions suivantes :
Page 5 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004
1 Prsentation du guide
1.1 Objectif
Ce guide a pour objectif majeur de fournir un support aux responsables SSI pour laborer une
politique de scurit du ou des systmes dinformation (PSSI) au sein de leur organisme.
Ainsi, les responsables SSI pourront suivre une dmarche structure et dcliner les principes de
scurit sous la forme de rgles de scurit adaptes leurs mtiers et activits.
Appliqu aux ministres, il est plus particulirement destin aux acteurs de la voie fonctionnelle SSI,
tels que les fonctionnaires de scurit des systmes d'information (FSSI) ou autorits qualifies, afin
de mettre en place une PSSI, conformment aux instructions interministrielles et pour satisfaire les
besoins de leurs mtiers.
Appliqu aux autres types d'organismes, il sadresse plus particulirement aux responsables de la
scurit des systmes dinformation (RSSI) et propose une approche pour l'application des actions de
scurit conformes ltat de lart en matire de principes de protection appliqus aux systmes
dinformation.
De faon plus globale, ce guide sadresse aux personnes qui ont la responsabilit de dfinir ou de
faire voluer une organisation de la scurit au sein dun organisme, public ou priv. Il apporte une
aide la prparation dun projet de dfinition et/ou de dploiement dune PSSI applicable l'ensemble
des systmes d'information de l'organisme ou un systme d'information spcifique.
Il est finalement destin l'ensemble des acteurs de l'organisme dans un but de sensibilisation et
d'adhsion aux principes.
1.3 Description
Le guide PSSI est dcompos en quatre sections :
- la mthodologie prsente, de faon dtaille, la conduite de projet dlaboration dune PSSI, ainsi
que des recommandations pour la construction des rgles de scurit ;
- une liste de documents de rfrences de la SSI (critres dvaluation, textes lgislatifs, normes,
codes dthiques, notes complmentaires...).
L'attention du lecteur est attire sur le fait que les sections composant le guide PSSI seront mises
jour indpendamment par le Secrtariat gnral de la dfense nationale sur la base des retours
d'exprience et des contributions de lecteurs.
Page 6 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004
1.4 Historique
Ces documents sont une mise jour de la version 1.1 du "Guide pour llaboration dune politique de
scurit interne (PSI)", paru en septembre 1994.
La DCSSI a souhait prsenter des lments pragmatiques et mieux adapts aux environnements
des administrations, entreprises et autres organismes du secteur public et du secteur priv. Il a
galement souhait profiter de cette volution pour raliser une mise niveau des documents
de rfrences utilisables et approfondir des thmes de la scurit non traits dans la
prcdente version.
Cette nouvelle version est organise diffremment pour assurer une maintenance plus efficace des
principes de scurit et des meilleures pratiques.
- enrichir les principes de scurit afin de mieux couvrir l'ensemble des domaines de la SSI en
utilisant des normes internationales ([ISO 15408], [ISO 13335], [ISO 17799]) et les rorganiser
sur la base d'une tude comparative des principaux rfrentiels SSI nationaux et internationaux ;
- dvelopper une approche mthodique pour laborer une PSSI, s'appuyant sur le rfrentiel de
l'organisme et une analyse des risques SSI ;
Page 7 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004
Le dveloppement rapide des technologies de l'information a entran une dpendance croissante des
organismes envers leur systme d'information, devenu une composante stratgique.
Par ailleurs, l'utilisation croissante des systmes d'information pour des applications varies a fait
prendre conscience la communaut des utilisateurs qu'il ne suffisait pas de mettre en uvre les
moyens de communication les plus performants, mais que ces derniers devaient tre fiables et srs
(disponibilit, intgrit, confidentialit et parfois preuve).
Les qualifications requises pour assumer la responsabilit de scurit des systmes dinformation ont
elles aussi volu. L o une formation technique tait suffisante, lvolution des enjeux qui psent
sur le systme dinformation rend obligatoire une comptence multiple des responsables scurit et
l'adoption d'une approche systmique (prenant en compte les diffrents systmes, tels que le systme
entreprise, le systme de gestion de la scurit, ou le systme dinformation, et leurs interactions). En
effet, une parfaite intgration de la composante scurit dans la gestion d'un organisme impose la
prise en compte d'lments aussi divers que les particularits de sa culture, les contraintes lies sa
mission ou son mtier (les orientations stratgiques qui reprsentent le devenir souhait et, d'une
faon gnrale, l'ensemble des rgles de gestion des personnels lis), l'organisation et aux
mthodes et techniques utilises.
Face aux menaces qui psent sur les systmes d'information, lusager exige une protection adapte
des informations et des services de traitement, darchivage et de transport de l'information. La scurit
est donc devenue lune des dimensions essentielles de la stratgie de l'organisme et elle doit tre
Page 8 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004
prise en compte ds la conception dun systme d'information afin dassurer la protection des biens et
des personnes et du patrimoine de lorganisme. Ainsi, la scurit des systmes dinformation vise en
particulier protger les composantes suivantes du patrimoine :
- le patrimoine matriel, compos des biens matriels ncessaires au fonctionnement de ses
activits et dont la dtrioration pourrait interrompre, diminuer ou altrer son activit ; ce
patrimoine est essentiellement compos des technologies de l'information et de communication
(serveurs, rseau, postes de travail, tlphonie...), mais aussi des procdures et applications
logicielles traduisant les processus et les fonctions mtiers de l'organisme ;
- le patrimoine immatriel et intellectuel, compos de toutes les informations concourant au mtier
de lorganisme (donnes scientifiques, techniques, professionnelles, administratives) ;
- les informations relatives aux personnes (physiques et morales) avec qui lorganisme est en
relation, dont la destruction, laltration, lindisponibilit ou la divulgation pourrait entraner des
pertes ou porter atteinte son image de marque voire entraner des poursuites judiciaires.
La PSSI dfinit la politique de scurit dune entit spcifique qui peut tre un systme technologique,
une fonction automatise ou une application mais aussi un organisme entier comme une entreprise ou
un dpartement ministriel. Une entreprise repose sur son personnel, sa culture, ses informations et
ses processus de gestion (traitement, stockage ou/et transfert) des informations. Ce sont ces
processus dentreprise qui font toute la diffrence entre deux "organisations" au but similaire, dans le
mme secteur conomique.
Chaque processus repose sur lorganisation, les procdures et la technologie. Se limiter aux aspects
technologiques est donc insuffisant car il est ncessaire de considrer galement les aspects non
techniques.
La dmarche de gestion des risques, dont les risques SSI, est une activit fonctionnelle,
oprationnelle et managriale comme les autres.
Rappelons que les risques informatiques, tout comme les risques informationnels, sont des risques
oprationnels pour les systmes d'information malgr leur caractre partiellement immatriel.
De plus, llaboration ou la rvision d'une PSSI est loccasion de repenser dans une dmarche
structure et finalit oprationnelle, la scurit du systme dinformation en commenant par
lorganisation mise en place pour rpondre ce besoin en modifiant la culture de l'organisme.
Page 9 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004
- doit, aprs validation par lautorit responsable (par exemple : la direction gnrale), tre
largement diffus, ventuellement sous une forme simplifie et didactique, lensemble du
personnel. Cette diffusion sera accompagne dune sensibilisation de lensemble du personnel,
portant sur le rappel des principes, de lorganisation et des rgles de scurit.
La PSSI :
- s'applique un systme existant ou dvelopper,
- concerne toute personne ayant accs au systme dinformation de lentreprise quil soit interne ou
externe lorganisme (sous-traitant, stagiaire, prestataire),
- concerne lensemble des aspects du systme dinformation (l'organisation, lenvironnement
physique, le dveloppement, lexploitation, la maintenance),
- concerne l'ensemble du cycle de vie du systme d'information et de l'information.
Telle quelle est dcrite dans la suite de ce guide, elle couvre lensemble des systmes dinformation
de l'administration, de lorganisme ou de lentreprise.
Bien quelle puisse concerner lensemble des systmes dinformation de lorganisme, elle peut
galement tre restreinte un systme dinformation particulier, par exemple li un mtier de
lorganisme ou un systme transversal (messagerie, intranet). Dans ce cas, il peut exister
plusieurs PSSI dans un organisme ou une entreprise. Elles devront tre cohrentes entre elles. Cette
cohrence est assure grce la formalisation dune PSSI globale (objet du prsent guide). Les
autres politiques sont alors des dclinaisons de la PSSI dans un environnement mtier ou technique
particulier, pour des instances spcialises ou des cas particuliers.
Pour laborer une PSSI adapte lorganisme, il est recommand de raliser une analyse des
risques spcifiques au contexte afin den ajuster les rgles de scurit.
SScchm
hmaa dir
direc
ecteur
teur
de lor gan is m ee
de lor gan is m
E n jeu x
MMthode
thode P r in cip es O
O bb jj ect
ect ii ff ss
de de
dlaborration
dlabo ation s cu r i t ss cu
cu rr ii tt
Mthode
M thode
de politique
de politique PPSSSSI I gglo
lobbale
ale danaly ssee
danaly
de ssc
de cur
urit
it des rrisisques
des ques
RR gglles
es ddee
((PPSSSSI)I) ss cu
cu rr ii tt
PPSSSSI I sspc
pcifi
ifiques
ques
Page 10 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004
La PSSI d'un organisme, quant elle, se situe un niveau d'abstraction moins lev. Elle peut alors
hriter des principes de l'OCDE. Notons que les principes de scurit proposs dans ce guide sont
compatibles avec ceux des lignes directrices de l'OCDE (voir section 4 Rfrences SSI).
Des travaux ont t entrepris au niveau international fonds sur les rsultats des initiatives existantes
en Europe, aux USA, au Canada ; ils ont abouti l'laboration des critres communs d'valuation
de la scurit des technologies de linformation [ISO 15408] qui permettent de dfinir un cadre pour
l'valuation de produits ou de systmes informatiques.
Ces critres d'valuation ont t labors de faon gnrique afin de permettre lvaluation de
nimporte quel produit ou systme informatique, quil sagisse dun composant lectronique ddi ou
dune application logicielle grand public. Ils sont, de fait, particulirement adapts pour la dfinition
des objectifs de scurit des systmes ou produits informatiques, pour la dfinition de leurs exigences
fonctionnelles de scurit et donc pour l'laboration des spcifications techniques des marchs les
concernant. Pour les organismes publics, ces spcifications techniques ont donc valeur de
recommandations.
Dans la philosophie des critres communs, il est tabli que la scurisation d'un systme d'information
ncessite entre autre la mise en place d'une politique de scurit des systmes d'information.
Cette politique de scurit constitue la premire tape dune mthodologie de gestion des risques
pour un systme d'information avec l'laboration d'un schma directeur de scurit des systmes
d'information. Lexprimer laide du formalisme des Critres Communs permet alors dentamer les
tapes suivantes de la scurisation du systme d'information en accord avec les mthodologies
appliques par les organismes officiels. Notamment, les Critres Communs sont utiliss comme
rfrentiel de certification et cette tape permet dobtenir le niveau de confiance que lon peut
accorder au produit ou systme tabli.
1
Nous distinguons en fait plusieurs types et niveaux dutilisateurs :
- le propritaire dcide, dfinit les exigences, paye et prend la responsabilit des oprations ;
- le gestionnaire ou exploitant a la responsabilit des affaires courantes du systme
d'information au jour le jour, il est responsable des oprations et du rapport des rsultats, il ne
peut travailler que si le propritaire lui prcise des objectifs et sil fournit des moyens, il nest
pas toujours ladministrateur, qui peut dpendre de lui pour des sous-objectifs prcis et
spcifiques, mais se trouve ce niveau ;
- lutilisateur qui emploie le systme d'information en suivant des rgles et procdures dfinies
par le propritaire et transmises par le gestionnaire peut assurer lentretien prventif ou
journalier et rendre compte au gestionnaire ; loprateur est un utilisateur spcifique dont la
comptence permet une utilisation "professionnelle" dun outil ; lutilisateur peut tre
uniquement le destinataire de linformation.
Page 11 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004
Au niveau international
(1) Dclaration universelle des droits de lhomme adopte par lassemble gnrale des Nations
Unies le 10 dcembre 1948 Paris et en particulier :
- la libert dexpression et le droit de chercher, recevoir et rpandre les informations par quelque
moyen dexpression que ce soit ;
- la protection de sa vie prive, sa famille, son domicile ou sa correspondance.
(2) Principes directeurs de lONU pour la rglementation des fichiers informatiss contenant des
donnes caractre personnel :
- les principes concernant les garanties minimales qui devraient tre prvues dans les lgislations
nationales ;
- lapplication des principes directeurs aux fichiers contenant des donnes caractre personnel,
dtenus par les organisations internationales gouvernementales.
(3) Lignes directrices de l'OCDE sur la protection de la vie prive et les flux transfrontires de donnes
de caractre personnel :
- lignes directrices rgissant la protection de la vie prive et les flux transfrontires de donnes de
caractre personnel (1980) ;
- dclaration des flux transfrontires de donnes (1985) ;
- dclaration des ministres relative la protection de la vie prive sur les rseaux mondiaux (1998).
(1) Convention de sauvegarde des droits de lHomme et des liberts fondamentales, adopte par le
conseil de lEurope (Rome 4/11/1950).
Au niveau national
(1) Dclaration des droits de lhomme du 26 aot 1789 - article 11 concernant la libert de penser, de
parler, dcrire et dimprimer librement.
(2) Loi Informatique et Liberts qui rglemente l'emploi et la constitution des fichiers nominatifs,
c'est--dire, encadre les actions suivantes :
- la soumission, avant leur mise en uvre, des traitements automatiss d'informations nominatives
des formalits administratives qui doivent tre accomplies par les utilisateurs publics et privs,
- la reconnaissance, pour toute personne figurant dans un fichier automatis ou manuel, des droits
d'accs, de rectification et de refus des informations qui la concernent,
- l'application de dispositions de protection s'appliquant la collecte, l'enregistrement, le traitement
et la conservation des informations nominatives des fichiers informatiques ou non informatiques,
- le contrle de l'application de la loi par la Commission Nationale Informatique et Liberts.
(3) Rapport de la CNIL sur la cybersurveillance sur les lieux de travail publi le 5 fvrier 2002
Page 12 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004
(1) Codes d'thique par secteurs professionnels (mtiers juridiques, de la sant, de la recherche, de la
banque, de la statistique) formulant des principes de base, des recommandations de politiques, des
codes de conduite ou des rglements.
En particulier, et quel que soit le mtier de l'organisme, celui-ci dtient et traite des informations
auxquelles il doit attribuer une mention spcifique, caractristique de son domaine, comme la mention
"confidentiel personnel" (domaine protg par la Loi informatique et Liberts) ou "confidentiel
professionnel, industriel, commercial"... (domaine protg par le Code pnal).
Ainsi, paralllement au code d'thique propre au mtier, l'organisme doit prendre en compte les
lments spcifiques concernant la protection d'informations d'ordre mdical, juridique, ainsi que le
respect de l'anonymat des personnes ayant fourni des informations nominatives par le biais de
questionnaires ou d'enqutes.
(2) Codes d'thique des mtiers des technologies de l'information : ces codes particuliers font
apparatre des rgles de dontologie gnrale s'nonant sous forme de devoirs et d'obligations
assumer :
- l'obligation de comptence et d'objectivit,
- les devoirs envers la clientle, savoir l'indpendance, le respect du client et de la mission
confie, le devoir de conseil et d'assistance,
- les devoirs envers les partenaires, savoir le respect du partenaire et la protection des
informations confies dans le cadre dune mission mene en partenariat,
- les devoirs envers les concurrents, savoir le respect des principes de loyaut et de libre
concurrence
- le respect du secret de fabrique.
Si cette proccupation est prise en compte au niveau de la scurit gnrale (et, tout particulirement
celle qui touche aux personnels), elle est rappele dans ce chapitre pour souligner que dans de
nombreux cas les accidents de toute nature peuvent avoir pour cause des erreurs ou malveillances
commises dans l'utilisation du systme d'information (par exemple, dans le domaine du nuclaire, de
la gestion du trafic fluvial, ferroviaire, arien, des agences de l'eau).
La liste des altrations spcifiques la scurit comprend habituellement, sans y tre limite, le dni
daccs une information ou une fonction (perte de disponibilit), le dommage provoqu une
information ou une fonction par une modification non autorise (perte dintgrit) ou la divulgation
nuisible d'une information ou une fonction des destinataires non autoriss (perte de confidentialit).
Indpendamment de l'obligation faite par la loi, il est un devoir prioritaire pour les responsables
d'organismes de renforcer les contrles de scurit partout o il existe un risque, aussi minime soit-il,
li l'utilisation du systme d'information.
La scurit a trait la protection des biens contre les menaces, ces dernires tant classes selon
leur potentiel de nuisance envers les biens protger. Toutes les catgories de menaces devraient
tre prises en compte, mais dans le domaine de la scurit, une plus grande attention est accorde
aux menaces lies des activits humaines malveillantes ou non. [ISO 15408]
Une menace doit tre dcrite en citant llment menaant identifi, lattaque et le bien qui en est la
cible. Les lments menaants devraient tre caractriss par des aspects tels que lexpertise, les
ressources disponibles et la motivation. Les attaques devraient tre caractrises par des aspects tels
que les mthodes dattaque, toutes les vulnrabilits exploites et lopportunit. [ISO 15408]
Page 13 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004
Lorsqu'un organisme, y compris en dehors de sa mission propre, est amen contractuellement ou non
utiliser ou traiter des informations classifies relevant du secret de dfense ou des informations
sensibles comme, par exemple, celles relevant du patrimoine national, il doit appliquer les lois et les
textes rglementaires spcifiques qui s'y rapportent.
La [REC 901] sur la scurit des systmes d'information traitant des informations sensibles non
classifies de dfense reprend certains grands principes de l'[IGI 900] et se prsente
suivant la mme articulation. Elle peut s'appliquer toutes les administrations et tous les
services dconcentrs de l'tat ainsi qu'aux tablissements placs sous l'autorit d'un
ministre. Cette recommandation est galement une rfrence pour les entreprises prives
qui dsirent assurer une protection de leurs propres secrets scientifiques, technologiques,
industriels, commerciaux ou financiers ou qui dsirent garantir leurs intrts et leur
patrimoine.
Elle recommande une harmonisation entre les mesures prises au titre de la protection du secret de
dfense et celles concernant la protection des informations sensibles ; c'est ainsi qu'une
organisation fonctionnelle unique est conseille.
La [REC 600] prsente des recommandations relatives aux informations, aux systmes ou aux
applications ne relevant pas du secret de dfense, mais dont la destruction, le
dtournement ou l'utilisation frauduleuse pourraient porter atteinte aux intrts nationaux,
au patrimoine scientifique et technique ou la vie prive ou professionnelle des individus.
Ces recommandations concernent la scurit des postes de travail autonomes ou
connects un rseau.
Pour les informations relevant du secret de dfense, les obligations rglementaires de protection
portent sur :
(1) La protection du secret et des informations concernant la dfense nationale et la sret de l'tat.
L'[IGI 1300], qui s'adresse tous les dpartements ministriels et tous les organismes publics ou
privs o sont mises, reues, mises en circulation ou conserves des informations intressant la
dfense nationale et la sret de l'tat, aborde les thmes suivants :
- l'organisation et le fonctionnement des services de scurit de dfense,
- la protection des personnes,
- la protection des informations classifies,
- la protection du patrimoine national et des informations qui doivent rester en diffusion restreinte
(mention et non classification),
- la sensibilisation aux risques de compromission d'informations classifies,
- les contrles et inspections.
(2) La scurit des systmes d'information qui font l'objet d'une classification de dfense pour eux-
mmes ou pour les informations traites. L'[IGI 900], qui s'adresse toutes les administrations et
services extrieurs de l'tat, notamment aux tablissements publics nationaux ou organismes placs
sous l'autorit d'un ministre, prcise les rgles respecter pour protger les secrets de la dfense
nationale dans les systmes d'information et aborde les thmes suivants :
- les informations ncessitant une protection,
- les moyens de protection,
- les principes gnraux de scurit des systmes d'information,
- les rles respectifs, l'organisation et les missions des divers intervenants,
- les contrles et inspections.
(3) Protection du secret dans les rapports entre la France et les tats trangers. L'[II 50] prcise les
dispositions gnrales et les protocoles de scurit tablir dans le cadre d'tudes et de rapport entre
la France et les pays trangers.
Une autre instruction porte sur la protection du patrimoine scientifique et technique franais dans les
changes internationaux.
Page 14 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004
(4) Protection du secret et des informations pour les marchs et autres contrats. L'[II 2000] prcise les
dispositions prendre pour la protection du secret et des informations concernant la dfense
nationale et la sret de l'tat dans les marchs ainsi que dans tous les autres contrats administratifs
qui entranent la mise en uvre de systmes d'information faisant l'objet d'une classification de
dfense pour eux-mmes ou pour les informations traites. Elle traite en particulier des dispositions
prendre vis--vis des personnes, des documents et des matriels.
La [REC CRIM] sur la criminalit en relation avec l'ordinateur et la [D 250] sur la protection juridique
des programmes d'ordinateur rglementent la protection du logiciel.
Au niveau national
Les logiciels sont considrs comme des uvres de l'esprit protges par le [CPI] et des lois
rglementent les peines associes aux infractions telles que :
- la copie ou l'utilisation illicite de logiciel,
- la divulgation non autorise de documents techniques ou commerciaux, mme aprs une rupture
de contrat,
- le dlit ou la tentative de dlit, avec ou sans entente concerte, correspondant aux infractions
comme l'accs ou le maintien frauduleux dans tout ou partie d'un systme, l'entrave au
fonctionnement, la modification de donnes,
- l'interception de tlcommunications.
Mais il appartient l'organisme de prendre les mesures qu'il juge ncessaire la protection de son
systme d'information (mesures de prvention, de dtection et de rparation), afin de se protger
contre les menaces redoutes, qu'elles soient accidentelles ou intentionnelles comme, par exemple,
l'interception, le dtournement, l'utilisation ou la divulgation non autorise d'lments du systme
d'information.
Lorsque l'organisme considre qu'un de ces thmes a un impact majeur sur sa scurit, il l'lve au
rang de base de lgitimit pour justifier les principes dcrits dans sa Politique de Scurit des
Systmes dInformation.
Toutes les potentialits et les ressources dont dispose un organisme n'ont pour finalit que
l'accomplissement de sa mission ou de son mtier.
Il en dcoule des objectifs qui devraient tre clairement exprims et ports la connaissance des
acteurs concerns, l'intrieur comme l'extrieur de l'organisme, pour assurer la cohsion des
missions dvolues chacune des units fonctionnelles.
La culture de l'organisme
Page 15 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004
commande dans les dlais les plus brefs ; pour un constructeur de matriels (haut de gamme),
mobilisation permanente pour la qualit,
- le respect de la mmoire collective,
- la conservation du patrimoine de l'organisme,
- le respect du rglement interne,
- la communication interne ou externe.
Toute action visant modifier un de ces lments a un impact d'autant plus important que l'lment
modifi est profondment inscrit dans la culture de l'organisme et accept par l'ensemble du
personnel.
Les choix fondamentaux et les objectifs que se fixe l'organisme dcoulent de sa mission et de sa
propre stratgie organique ; le responsable de la scurit doit alors veiller ce que les projets qui
s'inscrivent dans ce cadre et qui touchent la structure mme de l'organisme, restent en cohrence
avec les objectifs assigns la scurit du systme d'information.
En effet, la structure de l'organisme est une adaptation permanente des orientations stratgiques
choisies pour mieux grer les diffrentes fonctions de l'organisme et leur volution. Tout changement
affectant la structure de l'organisme modifie, en consquence, ses flux d'informations.
L'aspect formel de la structure est reprsent par un organigramme qui rend compte de l'organisation
des diffrentes entits constitutives de l'organisme (directions, dpartements, services, units).
L'aspect informel peut tre reprsent par un sociogramme qui met en lumire les facteurs d'influence
pour les personnes ou les postes stratgiques et qui psent sur les orientations et les dcisions de
l'organisme. C'est, par exemple, l'influence sur la direction et sur les informaticiens de la nomination
d'un responsable non-technicien au poste de responsable de la scurit des systmes d'information.
Les difficults relationnelles qui sont souvent difficiles valuer, exigent pour tre mises en lumire et
gres, l'observation des jeux de pouvoir au sein de l'organisme. En particulier, les flux de
communication transverses par rapport la structure hirarchique, bien que rpondant souvent un
rel besoin oprationnel, peuvent tre la consquence de rtention d'informations ; il peut alors se
crer au sein de l'organisme des flux qui chappent aux contrles de la scurit.
Les relations de l'organisme avec son environnement : les contrats passs avec des tiers
Les engagements pris envers d'autres organismes font l'objet de contrats ou de conventions o
peuvent figurer en particulier des clauses spcifiques concernant la scurit des systmes
d'information. Elles sont d'autant plus importantes que la nature des engagements concerne une
composante stratgique ou est susceptible d'influer sur la culture de l'organisme. Toute relation
nouvelle avec l'environnement de l'organisme ncessite un effort pralable de communication
l'intrieur de l'organisme.
titre d'exemple, dans le cas d'un contrat de sous-traitance de l'exploitation du systme d'information,
il existe des clauses spcifiques pour le transfert du savoir-faire et, en interne, le personnel doit avoir
les lments lui permettant de comprendre pourquoi et comment ce nouveau choix s'intgre dans la
stratgie de l'organisme et quelles en sont les implications sur les consignes de scurit.
Un autre exemple est celui des autres contrats de sous-traitance, pour lesquels il existe souvent des
clauses spcifiques relatives par exemple la fourniture de programmes-sources et leur usage.
Dans le cadre de coopration internationale, les engagements contractuels garantissent les parties et
doivent tre en accord avec la rglementation des pays concerns.
Plus gnralement, dans le cadre des relations avec l'environnement, l'organisme demandeur doit
faire valoir les exigences suivantes :
- vis--vis des fournisseurs : le devoir de conseil, de qualit et de prennit de la maintenance et de
lassistance,
- vis--vis des prestataires de services : le devoir de conseil, l'obligation de moyens et de rsultats,
- vis--vis de la sous-traitance : les clauses spcifiques garantissant la non concurrence,
- vis--vis des autres organismes : les clauses spcifiques pour la coopration et l'interoprabilit
des systmes d'information.
Page 16 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004
La rglementation franaise (section 4 Rfrences SSI) s'appuie sur des lois et instructions
interministrielles dont le but est de prserver les intrts de la dfense nationale et de la scurit
intrieure ou extrieure de l'tat.
La rglementation sur la cryptologie s'applique tous les moyens cryptologiques, utiliss dans le
secteur priv ou public : elle concerne la fourniture, l'exportation, l'utilisation de moyens ou de
prestations cryptologiques.
La loi relative la libert de communication concerne le traitement des donnes caractre personnel
et la protection de la vie prive dans le secteur des tlcommunications
La signature lectronique
Suite la loi du n 2000-230 du 13 mars 2000, le code civil prcise : La preuve littrale, ou preuve
par crit, rsulte d'une suite de lettres, de caractres, de chiffres ou de tous autres signes ou
symboles dots d'une signification intelligible, quels que soient leur support et leurs modalits de
transmission .
Il prcise galement que : l'crit sur support lectronique a la mme force probante que l'crit sur
support papier.
La loi prcise que : lorsque la loi n'a pas fix d'autres principes, et dfaut de convention valable
entre les parties, le juge rgle les conflits de preuve littrale en dterminant par tous moyens le titre le
plus vraisemblable, quel qu'en soit le support .
Les instructions techniques particulires pour la lutte contre les signaux compromettants
On entend par signal compromettant tout signal lectromagntique mis par un quipement du
systme d'information pouvant tre capt l'extrieur du local de l'quipement, ou inversement, tout
signal qui, mis depuis l'extrieur du local de l'quipement, pourrait perturber des traitements
informatiques ou leurs donnes, ou mme dtriorer des matriels.
Normalisation
Page 17 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004
L'utilisation de produits normaliss est recommande pour assurer l'interoprabilit des systmes.
La dfinition en est donne par une directive de l'Union europenne portant sur l'laboration des
normes nationales. Elle est reprise par un dcret national fixant le statut de la normalisation"la
normalisation a pour objet de fournir des documents de rfrence comportant des solutions des
problmes techniques et commerciaux concernant les produits, biens et services qui se posent de
faon rpte dans des relations entre partenaires conomiques, scientifiques, techniques et
sociaux".
La situation juridique communautaire s'appuie sur une rsolution portant sur l'approche globale en
matire d'valuation de la conformit.
En France, une valuation russie suivant les critres harmoniss europens peut donner lieu la
dlivrance d'un certificat par la DCSSI selon le schma franais d'valuation et de certification. Ce
dernier prcise le contexte rglementaire et l'organisation ncessaires la conduite d'une valuation
par une tierce partie et son contrle, conduisant la dlivrance de certificats.
Page 18 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004
Bibliographie
Les rfrences suivantes apparaissent dans le guide entre crochets :
Page 19 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 23 dcembre 2003
Identification de la contribution
Nom et organisme (facultatif) :
Adresse lectronique :
Date :
Si oui :
Pensez-vous qu'il puisse tre amlior dans son fond ? Oui ! Non !
Si oui :
Si oui :
Si non :
Prcisez le domaine pour lequel il ne vous convient pas et dfinissez ce qui vous
aurait convenu :