PREMIER MINISTRE

Secrtariat gnral de la dfense nationale

Direction centrale de la scurit des systmes dinformation
Sous-direction des oprations
Bureau conseil

Guide pour l'laboration d'une politique

de scurit de systme d'information
PSSI

SECTION 1
INTRODUCTION

Version du 3 mars 2004

51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 71 75 84 15 - Fax 01 71 75 84 00

 Ce document a t ralis par le bureau conseil de la DCSSI
(SGDN / DCSSI / SDO / BCS)

Les commentaires et suggestions sont encourags et peuvent tre adresss l'adresse suivante
(voir formulaire de recueil de commentaires en fin de guide) :

Secrtariat gnral de la dfense nationale

Direction centrale de la scurit des systmes d'information
Sous-direction des oprations
Bureau Conseil
51 boulevard de La Tour-Maubourg
75700 PARIS 07 SP

conseil.dcssi@sgdn.pm.gouv.fr
 Historique des modifications

Version Objet de la modification Statut

15/09/1994 Publication du guide d'laboration de politique de scurit interne (PSI). Valid

(1.1)
2002 Rvision globale : Draft
- actualisation des rfrences,
- cration d'une mthodologie,
- enrichissement et reclassement des principes de scurit,
- sparation en 3 sections (mthodologie, principes de scurit et
complments).
2003 Restructuration, remise en forme, amlioration de la mthode, mise en Prtest
cohrence avec les outils mthodologiques et meilleures pratiques de la
DCSSI suite une consultation d'experts internes.
23/12/2003 Sparation en 4 sections (introduction, mthodologie, principes de scurit Prtest
et rfrences SSI) et amliorations diverses suite une consultation pour
d'experts externes (notamment le Club EBIOS) et plusieurs mises en validation
pratique (ministre de la Dfense, CNRS, Direction des Journaux
Officiels).
03/03/2004 Publication du guide pour l'laboration d'une politique de scurit de Valid
systme d'information (PSSI)
 Table des matires
SECTION 1 INTRODUCTION

AVANT-PROPOS.................................................................................................................................... 5

CONCEPTS MANIPULS ...................................................................................................................... 5

CONVENTIONS D'CRITURE ............................................................................................................... 5

1 PRSENTATION DU GUIDE ......................................................................................................... 6

1.1 OBJECTIF ................................................................................................................................. 6
1.2 CHAMP D'APPLICATION .............................................................................................................. 6
1.3 DESCRIPTION ........................................................................................................................... 6
1.4 HISTORIQUE ............................................................................................................................. 7
2 PRSENTATION ET RLE DE LA PSSI ...................................................................................... 8
2.1 CONTEXTE DE LA SCURIT DES SYSTMES D'INFORMATION ....................................................... 8
2.1.1 La SSI comme lment de la qualit............................................................................. 8
2.1.2 La gestion des risques par la scurisation est globale.................................................. 8
2.1.3 Des risques tendus et parfois nouveaux ..................................................................... 8
2.2 NCESSIT DUNE PSSI............................................................................................................ 8
2.3 DOMAINES DAPPLICATION DE LA PSSI .................................................................................... 10
2.4 PLACE DE LA PSSI DANS LE RFRENTIEL DOCUMENTAIRE ....................................................... 10
2.4.1 Lien entre la PSSI et les lignes directrices de l'OCDE ................................................ 10
2.4.2 Lien entre la PSSI et les Critres Communs (CC) ...................................................... 11
2.5 LES BASES DE LGITIMIT DUNE PSSI .................................................................................... 11
2.5.1 Le respect de la dontologie ....................................................................................... 12
2.5.2 La gestion des risques : accidents, erreurs, dfaillances et malveillances................. 13
2.5.3 Prservation des intrts vitaux de l'tat .................................................................... 13
2.5.4 La lutte contre la malveillance et le cybercrime .......................................................... 15
2.5.5 Prservation des intrts particuliers de l'organisme.................................................. 15
2.5.6 La conformit technologique et lgale ........................................................................ 17
2.5.7 Le contrle par les consommateurs ............................................................................ 17
BIBLIOGRAPHIE .................................................................................................................................. 19

FORMULAIRE DE RECUEIL DE COMMENTAIRES ........................................................................... 20

SECTION 2 MTHODOLOGIE (document spar)

SECTION 3 PRINCIPES DE SCURIT (document spar)

SECTION 4 RFRENCES SSI (document spar)

SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

Avant-propos
Le prsent document est un guide destin aux administrations et aux entreprises.

Ce document dit par le Secrtariat gnral de la dfense nationale est un guide, il n'a pas de
caractre obligatoire.

Le guide s'appuie sur des documents lgislatifs ou normatifs ainsi que sur lexprience et le savoir-
faire dadministrations et d'acteurs du secteur priv.

Les rfrences contenues dans ce guide ont pour objet de servir d'illustration et de souligner le sens
qui peut tre donn aux principes et aux rgles de scurit choisis par un organisme.

Tout particulirement pour le domaine juridique, le lecteur est averti qu'il doit, dans tous les cas,
vrifier la validit, la compltude et la porte des textes lgislatifs ou rglementaires auxquels il se
rfre, dans le cadre des activits propres son organisme.

Concepts manipuls
Voici les trois dfinitions essentielles des concepts manipuls dans le document :

Politique de Scurit Ensemble formalis des lments stratgiques, des directives,

de Systme procdures, codes de conduite, rgles organisationnelles et
dInformation (PSSI) techniques, ayant pour objectif la protection du (des) systme(s)
dinformation de lorganisme.

Principe de scurit Les principes de scurit sont lexpression des orientations de

scurit ncessaires et des caractristiques importantes de la SSI en
vue de llaboration dune PSSI.

Rgle de scurit Les rgles de scurit dfinissent les moyens et les comportements
dfinis dans le cadre de la PSSI. Elles sont construites par
dclinaison des principes de scurit dans un environnement et un
contexte donns.

Conventions d'criture
Dans la suite des guides PSSI, nous utiliserons les conventions suivantes :

Organisme Entreprise, association, tablissement, ministre, dpartement

ministriel, administration particulire, organisme sous-tutelle,
collectivit territoriale

Responsable SSI Ministre, Haut fonctionnaire de dfense, Fonctionnaire de scurit

des systmes d'information, Responsable de la scurit des
systmes d'information

Validation Reconnaissance officielle par l'autorit responsable de l'organisme

[] Les crochets encadrent une rfrence place en bibliographie

italique Le texte en italique indique un extrait de rfrence

Page 5 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

1 Prsentation du guide

1.1 Objectif
Ce guide a pour objectif majeur de fournir un support aux responsables SSI pour laborer une
politique de scurit du ou des systmes dinformation (PSSI) au sein de leur organisme.

Ce guide prsente une mthode et un ensemble de principes de scurit et de rfrences, pour

laborer une PSSI adapte son environnement. Il ne constitue pas un rsultat final quun
responsable SSI peut recopier.

Ainsi, les responsables SSI pourront suivre une dmarche structure et dcliner les principes de
scurit sous la forme de rgles de scurit adaptes leurs mtiers et activits.

1.2 Champ d'application

La porte de ce guide couvre les besoins du secteur public et du secteur priv.

Appliqu aux ministres, il est plus particulirement destin aux acteurs de la voie fonctionnelle SSI,
tels que les fonctionnaires de scurit des systmes d'information (FSSI) ou autorits qualifies, afin
de mettre en place une PSSI, conformment aux instructions interministrielles et pour satisfaire les
besoins de leurs mtiers.

Appliqu aux autres types d'organismes, il sadresse plus particulirement aux responsables de la
scurit des systmes dinformation (RSSI) et propose une approche pour l'application des actions de
scurit conformes ltat de lart en matire de principes de protection appliqus aux systmes
dinformation.

De faon plus globale, ce guide sadresse aux personnes qui ont la responsabilit de dfinir ou de
faire voluer une organisation de la scurit au sein dun organisme, public ou priv. Il apporte une
aide la prparation dun projet de dfinition et/ou de dploiement dune PSSI applicable l'ensemble
des systmes d'information de l'organisme ou un systme d'information spcifique.

Il est finalement destin l'ensemble des acteurs de l'organisme dans un but de sensibilisation et
d'adhsion aux principes.

1.3 Description
Le guide PSSI est dcompos en quatre sections :

- l'introduction, ce prsent document, permet de situer la place de la PSSI dans le rfrentiel

normatif de la SSI au sein de l'organisme et de prciser les bases de lgitimit sur lesquelles elle
s'appuie ;

- la mthodologie prsente, de faon dtaille, la conduite de projet dlaboration dune PSSI, ainsi
que des recommandations pour la construction des rgles de scurit ;

- le rfrentiel de principes de scurit ;

- une liste de documents de rfrences de la SSI (critres dvaluation, textes lgislatifs, normes,
codes dthiques, notes complmentaires...).

L'attention du lecteur est attire sur le fait que les sections composant le guide PSSI seront mises
jour indpendamment par le Secrtariat gnral de la dfense nationale sur la base des retours
d'exprience et des contributions de lecteurs.

Un formulaire de recueil de commentaires figure en annexe de chaque section du guide afin de

renvoyer des propositions et remarques au Bureau Conseil de la DCSSI.

Page 6 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

1.4 Historique
Ces documents sont une mise jour de la version 1.1 du "Guide pour llaboration dune politique de
scurit interne (PSI)", paru en septembre 1994.

La DCSSI a souhait prsenter des lments pragmatiques et mieux adapts aux environnements
des administrations, entreprises et autres organismes du secteur public et du secteur priv. Il a
galement souhait profiter de cette volution pour raliser une mise niveau des documents
de rfrences utilisables et approfondir des thmes de la scurit non traits dans la
prcdente version.

Cette nouvelle version est organise diffremment pour assurer une maintenance plus efficace des
principes de scurit et des meilleures pratiques.

Les volutions des sections du guide PSSI consistent :

- actualiser l'ensemble des rfrences ;

- enrichir les principes de scurit afin de mieux couvrir l'ensemble des domaines de la SSI en
utilisant des normes internationales ([ISO 15408], [ISO 13335], [ISO 17799]) et les rorganiser
sur la base d'une tude comparative des principaux rfrentiels SSI nationaux et internationaux ;

- dvelopper une approche mthodique pour laborer une PSSI, s'appuyant sur le rfrentiel de
l'organisme et une analyse des risques SSI ;

- permettre l'laboration de PSSI spcifiques ( un mtier, un systme d'information) dans le

cadre de PSSI globales afin de rduire les cots de ralisation et de garantir une cohrence de
tout le rfrentiel d'un organisme ;

- sparer le guide en quatre sections autonomes (introduction, mthodologie, principes de scurit

et rfrences SSI).

Page 7 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

2 Prsentation et rle de la PSSI

2.1 Contexte de la scurit des systmes d'information

2.1.1 La SSI comme lment de la qualit

La scurit du systme d'information est devenue un facteur indispensable au bon
fonctionnement de l'organisme.

Le dveloppement rapide des technologies de l'information a entran une dpendance croissante des
organismes envers leur systme d'information, devenu une composante stratgique.

Par ailleurs, l'utilisation croissante des systmes d'information pour des applications varies a fait
prendre conscience la communaut des utilisateurs qu'il ne suffisait pas de mettre en uvre les
moyens de communication les plus performants, mais que ces derniers devaient tre fiables et srs
(disponibilit, intgrit, confidentialit et parfois preuve).

2.1.2 La gestion des risques par la scurisation est globale

La pluridisciplinarit du domaine de la scurit ouvre la voie un vritable exercice de
prospective au bnfice de l'organisme tout entier : il en rsulte une rflexion qui est l'essence
mme de la PSSI.

Les qualifications requises pour assumer la responsabilit de scurit des systmes dinformation ont
elles aussi volu. L o une formation technique tait suffisante, lvolution des enjeux qui psent
sur le systme dinformation rend obligatoire une comptence multiple des responsables scurit et
l'adoption d'une approche systmique (prenant en compte les diffrents systmes, tels que le systme
entreprise, le systme de gestion de la scurit, ou le systme dinformation, et leurs interactions). En
effet, une parfaite intgration de la composante scurit dans la gestion d'un organisme impose la
prise en compte d'lments aussi divers que les particularits de sa culture, les contraintes lies sa
mission ou son mtier (les orientations stratgiques qui reprsentent le devenir souhait et, d'une
faon gnrale, l'ensemble des rgles de gestion des personnels lis), l'organisation et aux
mthodes et techniques utilises.

2.1.3 Des risques tendus et parfois nouveaux

Les menaces ont pris une nouvelle dimension tant du point de vue de leur origine que du point de vue
de leurs objectifs et de limportance de leurs impacts. Linterconnexion des rseaux est aujourdhui
relle et transfrontire. Cette volution facilite la transmission de linformation mais aussi son
agression (modifications et vols) et les moyens d'attaque ne sont plus l'apanage d'une lite
gouvernementale.

De nombreux organismes sensibiliss la SSI ont pris conscience de la ncessit de disposer de

rgles de scurit des systmes dinformation pour leur permettre de mettre en place des espaces de
confiance. Cette prise de conscience a donn lieu la formalisation de mthodes et de rfrentiels de
scurit.

2.2 Ncessit dune PSSI

Compte tenu du niveau des risques lis la pression continue de la menace, une dfaillance de la
scurit du systme d'information pourrait entraner des consquences irrversibles sur la ralisation
des objectifs stratgiques de l'organisme ou vis vis du respect de ses obligations ou engagements.
Cest pourquoi la PSSI (le rfrentiel final) doit tre prise en compte et valide au niveau de
responsabilit le plus lev comme un instrument de gestion des risques SSI.

La PSSI traduit la reconnaissance formelle de l'importance accorde par la direction gnrale

de l'organisme la scurit de son ou ses systmes d'information.

Face aux menaces qui psent sur les systmes d'information, lusager exige une protection adapte
des informations et des services de traitement, darchivage et de transport de l'information. La scurit
est donc devenue lune des dimensions essentielles de la stratgie de l'organisme et elle doit tre

Page 8 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

prise en compte ds la conception dun systme d'information afin dassurer la protection des biens et
des personnes et du patrimoine de lorganisme. Ainsi, la scurit des systmes dinformation vise en
particulier protger les composantes suivantes du patrimoine :
- le patrimoine matriel, compos des biens matriels ncessaires au fonctionnement de ses
activits et dont la dtrioration pourrait interrompre, diminuer ou altrer son activit ; ce
patrimoine est essentiellement compos des technologies de l'information et de communication
(serveurs, rseau, postes de travail, tlphonie...), mais aussi des procdures et applications
logicielles traduisant les processus et les fonctions mtiers de l'organisme ;
- le patrimoine immatriel et intellectuel, compos de toutes les informations concourant au mtier
de lorganisme (donnes scientifiques, techniques, professionnelles, administratives) ;
- les informations relatives aux personnes (physiques et morales) avec qui lorganisme est en
relation, dont la destruction, laltration, lindisponibilit ou la divulgation pourrait entraner des
pertes ou porter atteinte son image de marque voire entraner des poursuites judiciaires.

La PSSI dfinit la politique de scurit dune entit spcifique qui peut tre un systme technologique,
une fonction automatise ou une application mais aussi un organisme entier comme une entreprise ou
un dpartement ministriel. Une entreprise repose sur son personnel, sa culture, ses informations et
ses processus de gestion (traitement, stockage ou/et transfert) des informations. Ce sont ces
processus dentreprise qui font toute la diffrence entre deux "organisations" au but similaire, dans le
mme secteur conomique.
Chaque processus repose sur lorganisation, les procdures et la technologie. Se limiter aux aspects
technologiques est donc insuffisant car il est ncessaire de considrer galement les aspects non
techniques.
La dmarche de gestion des risques, dont les risques SSI, est une activit fonctionnelle,
oprationnelle et managriale comme les autres.

Rappelons que les risques informatiques, tout comme les risques informationnels, sont des risques
oprationnels pour les systmes d'information malgr leur caractre partiellement immatriel.

La PSSI constitue un cadre de rfrence et de cohrence :

- pour lintgration de la scurit lors de la conception dun systme dinformation ;
- pour lensemble des activits et des acteurs de lorganisme par rapport auxquels toute volution
du systme d'information devra tre justifie ;
- pour aider les personnes charges d'laborer et de mettre en uvre des mesures, des consignes
et des procdures cohrentes en vue d'assurer la scurit des systmes d'information.

La PSSI offre les bnfices suivants :

- une vision stratgique de la gestion des risques globaux, dont la SSI, visant informer les
matrises douvrage des enjeux et susciter la confiance dans le systme d'information,
- la mise en vidence des objectifs, obligations et engagements de lorganisme vis--vis de ses
usagers et partenaires en fonction des lois applicables, ainsi que les principes de scurit
rgissant la protection de son propre patrimoine,
- la promotion de la coopration entre les diffrents dpartements, services ou units de
l'organisme pour l'laboration et la mise en uvre de telles mesures, consignes et procdures,
- lassurance de la cohrence et de la prennit des actions de scurit (analyses de risques, mise
en uvre des mesures) en indiquant les directives ncessaires, notamment pour tout choix
technique mais aussi organisationnel ou contractuel, en matire de scurit,
- une gradation des moyens (avec une proportionnalit assure par l'analyse des risques) par
application des principes et rgles de scurit respecter pour lensemble des activits et des
systmes,
- la sensibilisation aux risques menaant les systmes d'information et aux moyens disponibles
pour s'en prmunir et informer lensemble des acteurs sur leurs responsabilits,
- une aide aux Directeurs de programmes et chefs de projet pour intgrer la scurit au plus tt
dans les dveloppements de nouveaux services du systme dinformation.

De plus, llaboration ou la rvision d'une PSSI est loccasion de repenser dans une dmarche
structure et finalit oprationnelle, la scurit du systme dinformation en commenant par
lorganisation mise en place pour rpondre ce besoin en modifiant la culture de l'organisme.

La PSSI est un document gnral diffusable qui :

- satisfait les objectifs de scurit identifis pour l'organisme ;
- doit tre connu de lensemble des acteurs internes, ainsi que, le cas chant, de lensemble des
personnes accdant au systme dinformation de lorganisme (sous-traitants, prestataires,
stagiaires) ;

Page 9 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

- doit, aprs validation par lautorit responsable (par exemple : la direction gnrale), tre
largement diffus, ventuellement sous une forme simplifie et didactique, lensemble du
personnel. Cette diffusion sera accompagne dune sensibilisation de lensemble du personnel,
portant sur le rappel des principes, de lorganisation et des rgles de scurit.

2.3 Domaines dapplication de la PSSI

La Politique de Scurit des Systmes dInformation (PSSI) peut s'appliquer la totalit ou une
partie du systme dinformation de l'organisme.

La PSSI :
- s'applique un systme existant ou dvelopper,
- concerne toute personne ayant accs au systme dinformation de lentreprise quil soit interne ou
externe lorganisme (sous-traitant, stagiaire, prestataire),
- concerne lensemble des aspects du systme dinformation (l'organisation, lenvironnement
physique, le dveloppement, lexploitation, la maintenance),
- concerne l'ensemble du cycle de vie du systme d'information et de l'information.

Telle quelle est dcrite dans la suite de ce guide, elle couvre lensemble des systmes dinformation
de l'administration, de lorganisme ou de lentreprise.

2.4 Place de la PSSI dans le rfrentiel documentaire

La PSSI est un lment de la politique gnrale de l'organisme et elle est en accord avec le schma
directeur du systme d'information et la stratgie de scurit de l'information.

Bien quelle puisse concerner lensemble des systmes dinformation de lorganisme, elle peut
galement tre restreinte un systme dinformation particulier, par exemple li un mtier de
lorganisme ou un systme transversal (messagerie, intranet). Dans ce cas, il peut exister
plusieurs PSSI dans un organisme ou une entreprise. Elles devront tre cohrentes entre elles. Cette
cohrence est assure grce la formalisation dune PSSI globale (objet du prsent guide). Les
autres politiques sont alors des dclinaisons de la PSSI dans un environnement mtier ou technique
particulier, pour des instances spcialises ou des cas particuliers.

Pour laborer une PSSI adapte lorganisme, il est recommand de raliser une analyse des
risques spcifiques au contexte afin den ajuster les rgles de scurit.

SScchm
hmaa dir
direc
ecteur
teur
de lor gan is m ee
de lor gan is m
E n jeu x
MMthode
thode P r in cip es O
O bb jj ect
ect ii ff ss
de de
dlaborration
dlabo ation s cu r i t ss cu
cu rr ii tt
Mthode
M thode
de politique
de politique PPSSSSI I gglo
lobbale
ale danaly ssee
danaly
de ssc
de cur
urit
it des rrisisques
des ques
RR gglles
es ddee
((PPSSSSI)I) ss cu
cu rr ii tt

PPSSSSI I sspc
pcifi
ifiques
ques

2.4.1 Lien entre la PSSI et les lignes directrices de l'OCDE

Les neuf principes gnraux exposs dans les lignes directrices de l'OCDE rgissant la scurit des
systmes et rseaux d'information constituent un cadre de scurit applicable aux systmes
d'information d'un tat ou d'un organisme priv.

Page 10 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

La PSSI d'un organisme, quant elle, se situe un niveau d'abstraction moins lev. Elle peut alors
hriter des principes de l'OCDE. Notons que les principes de scurit proposs dans ce guide sont
compatibles avec ceux des lignes directrices de l'OCDE (voir section 4 Rfrences SSI).

2.4.2 Lien entre la PSSI et les Critres Communs (CC)

L'accomplissement de la mission ou du mtier d'un organisme est soumis un ensemble de rgles et
de pratiques qui rgissent tous les aspects lis au fonctionnement (personnel, finances, recherche,
production, communication). En consquence, le systme d'information qui contribue assurer
cette mission ou ce mtier, doit tenir compte de toutes les contraintes d'environnement de
l'organisme.
1
Par ailleurs, face aux menaces qui psent sur les systmes d'information, l'utilisateur exige une
protection convenable des informations et des services de traitement et de transport de l'information.
La SSI est donc devenue une des dimensions essentielles de la stratgie de l'organisme et elle doit
tre prise en compte ds la conception du systme d'information. Il y a donc un besoin en mthodes
et rfrentiels de scurit afin dune part, de spcifier les objectifs de scurit dun systme de
manire pertinente, et dautre part, davoir les moyens dvaluer la ralisation de ces objectifs de
scurit en mesures afin de garantir un certain niveau de confiance dans la scurit du systme.

Des travaux ont t entrepris au niveau international fonds sur les rsultats des initiatives existantes
en Europe, aux USA, au Canada ; ils ont abouti l'laboration des critres communs d'valuation
de la scurit des technologies de linformation [ISO 15408] qui permettent de dfinir un cadre pour
l'valuation de produits ou de systmes informatiques.

Ces critres d'valuation ont t labors de faon gnrique afin de permettre lvaluation de
nimporte quel produit ou systme informatique, quil sagisse dun composant lectronique ddi ou
dune application logicielle grand public. Ils sont, de fait, particulirement adapts pour la dfinition
des objectifs de scurit des systmes ou produits informatiques, pour la dfinition de leurs exigences
fonctionnelles de scurit et donc pour l'laboration des spcifications techniques des marchs les
concernant. Pour les organismes publics, ces spcifications techniques ont donc valeur de
recommandations.

Dans la philosophie des critres communs, il est tabli que la scurisation d'un systme d'information
ncessite entre autre la mise en place d'une politique de scurit des systmes d'information.

Cette politique de scurit constitue la premire tape dune mthodologie de gestion des risques
pour un systme d'information avec l'laboration d'un schma directeur de scurit des systmes
d'information. Lexprimer laide du formalisme des Critres Communs permet alors dentamer les
tapes suivantes de la scurisation du systme d'information en accord avec les mthodologies
appliques par les organismes officiels. Notamment, les Critres Communs sont utiliss comme
rfrentiel de certification et cette tape permet dobtenir le niveau de confiance que lon peut
accorder au produit ou systme tabli.

2.5 Les bases de lgitimit dune PSSI

Les rgles contenues dans une PSSI puisent leur lgitimit dans les lois, les rglementations, les
normes et les recommandations manant d'instances internationales, nationales ou professionnelles.
Elles trouvent galement leur justification dans les composantes de la culture de l'organisme comme
les traditions, les habitudes ou les rglements internes.

1
Nous distinguons en fait plusieurs types et niveaux dutilisateurs :
- le propritaire dcide, dfinit les exigences, paye et prend la responsabilit des oprations ;
- le gestionnaire ou exploitant a la responsabilit des affaires courantes du systme
d'information au jour le jour, il est responsable des oprations et du rapport des rsultats, il ne
peut travailler que si le propritaire lui prcise des objectifs et sil fournit des moyens, il nest
pas toujours ladministrateur, qui peut dpendre de lui pour des sous-objectifs prcis et
spcifiques, mais se trouve ce niveau ;
- lutilisateur qui emploie le systme d'information en suivant des rgles et procdures dfinies
par le propritaire et transmises par le gestionnaire peut assurer lentretien prventif ou
journalier et rendre compte au gestionnaire ; loprateur est un utilisateur spcifique dont la
comptence permet une utilisation "professionnelle" dun outil ; lutilisateur peut tre
uniquement le destinataire de linformation.

Page 11 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

2.5.1 Le respect de la dontologie

L'utilisation croissante des systmes d'information par un large public conduit appliquer aux mtiers
utilisant les technologies de l'information de grands principes d'thique tels que la garantie des droits
de l'homme, la protection et le respect de la vie prive, la garantie des liberts individuelles ou
publiques. Ces principes, appliqus au domaine des systmes d'information, sont formuls :

Au niveau international

(1) Dclaration universelle des droits de lhomme adopte par lassemble gnrale des Nations
Unies le 10 dcembre 1948 Paris et en particulier :
- la libert dexpression et le droit de chercher, recevoir et rpandre les informations par quelque
moyen dexpression que ce soit ;
- la protection de sa vie prive, sa famille, son domicile ou sa correspondance.

(2) Principes directeurs de lONU pour la rglementation des fichiers informatiss contenant des
donnes caractre personnel :
- les principes concernant les garanties minimales qui devraient tre prvues dans les lgislations
nationales ;
- lapplication des principes directeurs aux fichiers contenant des donnes caractre personnel,
dtenus par les organisations internationales gouvernementales.

(3) Lignes directrices de l'OCDE sur la protection de la vie prive et les flux transfrontires de donnes
de caractre personnel :
- lignes directrices rgissant la protection de la vie prive et les flux transfrontires de donnes de
caractre personnel (1980) ;
- dclaration des flux transfrontires de donnes (1985) ;
- dclaration des ministres relative la protection de la vie prive sur les rseaux mondiaux (1998).

Au niveau de l'Union europenne

(1) Convention de sauvegarde des droits de lHomme et des liberts fondamentales, adopte par le
conseil de lEurope (Rome 4/11/1950).

(2) Directives du Conseil de lUnion Europenne :

- La directive du Parlement europen et du Conseil du 24 octobre 1995 relative la protection des
personnes physiques lgard du traitement des donnes caractre personnel et la libre
circulation de ces donnes. Cette directive vise favoriser llaboration de codes de conduite
nationaux et communautaires destins contribuer la bonne application des dispositions
nationales et communautaires.
- La directive 2002/58/CE du Parlement europen et du Conseil du 12 juillet 2002 relative au
traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des
communications lectroniques.

Au niveau national

(1) Dclaration des droits de lhomme du 26 aot 1789 - article 11 concernant la libert de penser, de
parler, dcrire et dimprimer librement.

(2) Loi Informatique et Liberts qui rglemente l'emploi et la constitution des fichiers nominatifs,
c'est--dire, encadre les actions suivantes :
- la soumission, avant leur mise en uvre, des traitements automatiss d'informations nominatives
des formalits administratives qui doivent tre accomplies par les utilisateurs publics et privs,
- la reconnaissance, pour toute personne figurant dans un fichier automatis ou manuel, des droits
d'accs, de rectification et de refus des informations qui la concernent,
- l'application de dispositions de protection s'appliquant la collecte, l'enregistrement, le traitement
et la conservation des informations nominatives des fichiers informatiques ou non informatiques,
- le contrle de l'application de la loi par la Commission Nationale Informatique et Liberts.

(3) Rapport de la CNIL sur la cybersurveillance sur les lieux de travail publi le 5 fvrier 2002

Au niveau des organismes et des mtiers qui s'y exercent

Page 12 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

(1) Codes d'thique par secteurs professionnels (mtiers juridiques, de la sant, de la recherche, de la
banque, de la statistique) formulant des principes de base, des recommandations de politiques, des
codes de conduite ou des rglements.

En particulier, et quel que soit le mtier de l'organisme, celui-ci dtient et traite des informations
auxquelles il doit attribuer une mention spcifique, caractristique de son domaine, comme la mention
"confidentiel personnel" (domaine protg par la Loi informatique et Liberts) ou "confidentiel
professionnel, industriel, commercial"... (domaine protg par le Code pnal).

Ainsi, paralllement au code d'thique propre au mtier, l'organisme doit prendre en compte les
lments spcifiques concernant la protection d'informations d'ordre mdical, juridique, ainsi que le
respect de l'anonymat des personnes ayant fourni des informations nominatives par le biais de
questionnaires ou d'enqutes.

(2) Codes d'thique des mtiers des technologies de l'information : ces codes particuliers font
apparatre des rgles de dontologie gnrale s'nonant sous forme de devoirs et d'obligations
assumer :
- l'obligation de comptence et d'objectivit,
- les devoirs envers la clientle, savoir l'indpendance, le respect du client et de la mission
confie, le devoir de conseil et d'assistance,
- les devoirs envers les partenaires, savoir le respect du partenaire et la protection des
informations confies dans le cadre dune mission mene en partenariat,
- les devoirs envers les concurrents, savoir le respect des principes de loyaut et de libre
concurrence
- le respect du secret de fabrique.

2.5.2 La gestion des risques : accidents, erreurs, dfaillances et

malveillances
Les accidents pouvant survenir l'intrieur d'un organisme ou tre provoqus l'extrieur de celui-ci
par ses activits peuvent entraner des atteintes aux personnes, aux biens, l'environnement (au
patrimoine national ou priv). Aussi, est-il fait obligation lgale tous les responsables d'organismes
de lutter, avec les moyens appropris, contre les accidents divers.

Si cette proccupation est prise en compte au niveau de la scurit gnrale (et, tout particulirement
celle qui touche aux personnels), elle est rappele dans ce chapitre pour souligner que dans de
nombreux cas les accidents de toute nature peuvent avoir pour cause des erreurs ou malveillances
commises dans l'utilisation du systme d'information (par exemple, dans le domaine du nuclaire, de
la gestion du trafic fluvial, ferroviaire, arien, des agences de l'eau).

La liste des altrations spcifiques la scurit comprend habituellement, sans y tre limite, le dni
daccs une information ou une fonction (perte de disponibilit), le dommage provoqu une
information ou une fonction par une modification non autorise (perte dintgrit) ou la divulgation
nuisible d'une information ou une fonction des destinataires non autoriss (perte de confidentialit).

Indpendamment de l'obligation faite par la loi, il est un devoir prioritaire pour les responsables
d'organismes de renforcer les contrles de scurit partout o il existe un risque, aussi minime soit-il,
li l'utilisation du systme d'information.

La scurit a trait la protection des biens contre les menaces, ces dernires tant classes selon
leur potentiel de nuisance envers les biens protger. Toutes les catgories de menaces devraient
tre prises en compte, mais dans le domaine de la scurit, une plus grande attention est accorde
aux menaces lies des activits humaines malveillantes ou non. [ISO 15408]

Une menace doit tre dcrite en citant llment menaant identifi, lattaque et le bien qui en est la
cible. Les lments menaants devraient tre caractriss par des aspects tels que lexpertise, les
ressources disponibles et la motivation. Les attaques devraient tre caractrises par des aspects tels
que les mthodes dattaque, toutes les vulnrabilits exploites et lopportunit. [ISO 15408]

2.5.3 Prservation des intrts vitaux de l'tat

Les organismes gouvernementaux et ceux qui collaborent avec eux sont soumis au respect des lois
nationales et aux instructions interministrielles.

Page 13 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

Lorsqu'un organisme, y compris en dehors de sa mission propre, est amen contractuellement ou non
utiliser ou traiter des informations classifies relevant du secret de dfense ou des informations
sensibles comme, par exemple, celles relevant du patrimoine national, il doit appliquer les lois et les
textes rglementaires spcifiques qui s'y rapportent.

La liste des principaux textes est donne en section 4 (Rfrences SSI).

Protection des lments non classifis de dfense

La [REC 901] sur la scurit des systmes d'information traitant des informations sensibles non
classifies de dfense reprend certains grands principes de l'[IGI 900] et se prsente
suivant la mme articulation. Elle peut s'appliquer toutes les administrations et tous les
services dconcentrs de l'tat ainsi qu'aux tablissements placs sous l'autorit d'un
ministre. Cette recommandation est galement une rfrence pour les entreprises prives
qui dsirent assurer une protection de leurs propres secrets scientifiques, technologiques,
industriels, commerciaux ou financiers ou qui dsirent garantir leurs intrts et leur
patrimoine.

Elle recommande une harmonisation entre les mesures prises au titre de la protection du secret de
dfense et celles concernant la protection des informations sensibles ; c'est ainsi qu'une
organisation fonctionnelle unique est conseille.

La [REC 600] prsente des recommandations relatives aux informations, aux systmes ou aux
applications ne relevant pas du secret de dfense, mais dont la destruction, le
dtournement ou l'utilisation frauduleuse pourraient porter atteinte aux intrts nationaux,
au patrimoine scientifique et technique ou la vie prive ou professionnelle des individus.
Ces recommandations concernent la scurit des postes de travail autonomes ou
connects un rseau.

Les informations relevant du secret de dfense

Pour les informations relevant du secret de dfense, les obligations rglementaires de protection
portent sur :

(1) La protection du secret et des informations concernant la dfense nationale et la sret de l'tat.
L'[IGI 1300], qui s'adresse tous les dpartements ministriels et tous les organismes publics ou
privs o sont mises, reues, mises en circulation ou conserves des informations intressant la
dfense nationale et la sret de l'tat, aborde les thmes suivants :
- l'organisation et le fonctionnement des services de scurit de dfense,
- la protection des personnes,
- la protection des informations classifies,
- la protection du patrimoine national et des informations qui doivent rester en diffusion restreinte
(mention et non classification),
- la sensibilisation aux risques de compromission d'informations classifies,
- les contrles et inspections.

(2) La scurit des systmes d'information qui font l'objet d'une classification de dfense pour eux-
mmes ou pour les informations traites. L'[IGI 900], qui s'adresse toutes les administrations et
services extrieurs de l'tat, notamment aux tablissements publics nationaux ou organismes placs
sous l'autorit d'un ministre, prcise les rgles respecter pour protger les secrets de la dfense
nationale dans les systmes d'information et aborde les thmes suivants :
- les informations ncessitant une protection,
- les moyens de protection,
- les principes gnraux de scurit des systmes d'information,
- les rles respectifs, l'organisation et les missions des divers intervenants,
- les contrles et inspections.

(3) Protection du secret dans les rapports entre la France et les tats trangers. L'[II 50] prcise les
dispositions gnrales et les protocoles de scurit tablir dans le cadre d'tudes et de rapport entre
la France et les pays trangers.
Une autre instruction porte sur la protection du patrimoine scientifique et technique franais dans les
changes internationaux.

Page 14 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

(4) Protection du secret et des informations pour les marchs et autres contrats. L'[II 2000] prcise les
dispositions prendre pour la protection du secret et des informations concernant la dfense
nationale et la sret de l'tat dans les marchs ainsi que dans tous les autres contrats administratifs
qui entranent la mise en uvre de systmes d'information faisant l'objet d'une classification de
dfense pour eux-mmes ou pour les informations traites. Elle traite en particulier des dispositions
prendre vis--vis des personnes, des documents et des matriels.

2.5.4 La lutte contre la malveillance et le cybercrime

Au niveau de l'Union europenne

La [REC CRIM] sur la criminalit en relation avec l'ordinateur et la [D 250] sur la protection juridique
des programmes d'ordinateur rglementent la protection du logiciel.

Au niveau national

Les logiciels sont considrs comme des uvres de l'esprit protges par le [CPI] et des lois
rglementent les peines associes aux infractions telles que :
- la copie ou l'utilisation illicite de logiciel,
- la divulgation non autorise de documents techniques ou commerciaux, mme aprs une rupture
de contrat,
- le dlit ou la tentative de dlit, avec ou sans entente concerte, correspondant aux infractions
comme l'accs ou le maintien frauduleux dans tout ou partie d'un systme, l'entrave au
fonctionnement, la modification de donnes,
- l'interception de tlcommunications.

Mais il appartient l'organisme de prendre les mesures qu'il juge ncessaire la protection de son
systme d'information (mesures de prvention, de dtection et de rparation), afin de se protger
contre les menaces redoutes, qu'elles soient accidentelles ou intentionnelles comme, par exemple,
l'interception, le dtournement, l'utilisation ou la divulgation non autorise d'lments du systme
d'information.

2.5.5 Prservation des intrts particuliers de l'organisme

L'organisme peut se dfinir par :
- sa mission (pour un organisme tatique) ou son mtier (pour un organisme priv),
- sa culture,
- ses orientations stratgiques et sa structure,
- ses relations avec l'environnement,
- ses ressources.

Lorsque l'organisme considre qu'un de ces thmes a un impact majeur sur sa scurit, il l'lve au
rang de base de lgitimit pour justifier les principes dcrits dans sa Politique de Scurit des
Systmes dInformation.

La mission ou le mtier de l'organisme

Toutes les potentialits et les ressources dont dispose un organisme n'ont pour finalit que
l'accomplissement de sa mission ou de son mtier.

Il en dcoule des objectifs qui devraient tre clairement exprims et ports la connaissance des
acteurs concerns, l'intrieur comme l'extrieur de l'organisme, pour assurer la cohsion des
missions dvolues chacune des units fonctionnelles.

La culture de l'organisme

La culture de l'organisme se dfinit par le partage d'un ensemble de valeurs, de savoir-faire,

d'habitudes de vie collective et par le sentiment d'une identit commune.

Elle s'exprime au niveau de chaque individu par :

- le respect de la mission et l'adhsion au projet de l'organisme ; par exemple, pour des entreprises
utilisant des informations relevant du secret de dfense, intgration de la scurit dans le cadre
quotidien du travail ; pour une organisation dont la mission est la distribution, livraison de la

Page 15 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

commande dans les dlais les plus brefs ; pour un constructeur de matriels (haut de gamme),
mobilisation permanente pour la qualit,
- le respect de la mmoire collective,
- la conservation du patrimoine de l'organisme,
- le respect du rglement interne,
- la communication interne ou externe.

Toute action visant modifier un de ces lments a un impact d'autant plus important que l'lment
modifi est profondment inscrit dans la culture de l'organisme et accept par l'ensemble du
personnel.

Les orientations stratgiques et la structure de l'organisme

Les choix fondamentaux et les objectifs que se fixe l'organisme dcoulent de sa mission et de sa
propre stratgie organique ; le responsable de la scurit doit alors veiller ce que les projets qui
s'inscrivent dans ce cadre et qui touchent la structure mme de l'organisme, restent en cohrence
avec les objectifs assigns la scurit du systme d'information.
En effet, la structure de l'organisme est une adaptation permanente des orientations stratgiques
choisies pour mieux grer les diffrentes fonctions de l'organisme et leur volution. Tout changement
affectant la structure de l'organisme modifie, en consquence, ses flux d'informations.

L'aspect formel de la structure est reprsent par un organigramme qui rend compte de l'organisation
des diffrentes entits constitutives de l'organisme (directions, dpartements, services, units).

L'aspect informel peut tre reprsent par un sociogramme qui met en lumire les facteurs d'influence
pour les personnes ou les postes stratgiques et qui psent sur les orientations et les dcisions de
l'organisme. C'est, par exemple, l'influence sur la direction et sur les informaticiens de la nomination
d'un responsable non-technicien au poste de responsable de la scurit des systmes d'information.
Les difficults relationnelles qui sont souvent difficiles valuer, exigent pour tre mises en lumire et
gres, l'observation des jeux de pouvoir au sein de l'organisme. En particulier, les flux de
communication transverses par rapport la structure hirarchique, bien que rpondant souvent un
rel besoin oprationnel, peuvent tre la consquence de rtention d'informations ; il peut alors se
crer au sein de l'organisme des flux qui chappent aux contrles de la scurit.

Les relations de l'organisme avec son environnement : les contrats passs avec des tiers

Les engagements pris envers d'autres organismes font l'objet de contrats ou de conventions o
peuvent figurer en particulier des clauses spcifiques concernant la scurit des systmes
d'information. Elles sont d'autant plus importantes que la nature des engagements concerne une
composante stratgique ou est susceptible d'influer sur la culture de l'organisme. Toute relation
nouvelle avec l'environnement de l'organisme ncessite un effort pralable de communication
l'intrieur de l'organisme.

titre d'exemple, dans le cas d'un contrat de sous-traitance de l'exploitation du systme d'information,
il existe des clauses spcifiques pour le transfert du savoir-faire et, en interne, le personnel doit avoir
les lments lui permettant de comprendre pourquoi et comment ce nouveau choix s'intgre dans la
stratgie de l'organisme et quelles en sont les implications sur les consignes de scurit.
Un autre exemple est celui des autres contrats de sous-traitance, pour lesquels il existe souvent des
clauses spcifiques relatives par exemple la fourniture de programmes-sources et leur usage.

Dans le cadre de coopration internationale, les engagements contractuels garantissent les parties et
doivent tre en accord avec la rglementation des pays concerns.
Plus gnralement, dans le cadre des relations avec l'environnement, l'organisme demandeur doit
faire valoir les exigences suivantes :
- vis--vis des fournisseurs : le devoir de conseil, de qualit et de prennit de la maintenance et de
lassistance,
- vis--vis des prestataires de services : le devoir de conseil, l'obligation de moyens et de rsultats,
- vis--vis de la sous-traitance : les clauses spcifiques garantissant la non concurrence,
- vis--vis des autres organismes : les clauses spcifiques pour la coopration et l'interoprabilit
des systmes d'information.

Page 16 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

Les ressources de l'organisme

L'organisme est une unit conomique de production de biens ou de services, compose de

ressources humaines, juridiques, techniques et financires.
Les units de l'organisme ont, assez souvent, des missions et des objectifs diffrents qui peuvent
apparatre comme des contraintes que la scurit doit prendre en compte. Par exemple :
- pour les ressources humaines : ncessit de la confidentialit des critres d'embauche,
- pour les ressources juridiques : ncessit de la confidentialit des contrats,
- pour le savoir-faire et les ressources techniques : ncessit de la protection des ides nouvelles,
- pour les ressources financires : ncessit de la confidentialit des comptes avant leur
publication.

2.5.6 La conformit technologique et lgale

Le contrle tatique dans le domaine de la cryptologie

L'article 28 de la loi n 90-1170 du 29 dcembre 1990 sur la rglementation des tlcommunications

dfinit les prestations de cryptologie par : On entend par prestation de cryptologie toute prestation
visant transformer l'aide de conventions secrtes des informations ou signaux clairs en
informations ou signaux inintelligibles pour des tiers, ou visant raliser l'opration inverse, grce
des moyens matriels ou logiciels conus cet effet.

La rglementation franaise (section 4 Rfrences SSI) s'appuie sur des lois et instructions
interministrielles dont le but est de prserver les intrts de la dfense nationale et de la scurit
intrieure ou extrieure de l'tat.

La rglementation sur la cryptologie s'applique tous les moyens cryptologiques, utiliss dans le
secteur priv ou public : elle concerne la fourniture, l'exportation, l'utilisation de moyens ou de
prestations cryptologiques.

Le contrle des communications

La loi relative la libert de communication concerne le traitement des donnes caractre personnel
et la protection de la vie prive dans le secteur des tlcommunications

La signature lectronique

Suite la loi du n 2000-230 du 13 mars 2000, le code civil prcise : La preuve littrale, ou preuve
par crit, rsulte d'une suite de lettres, de caractres, de chiffres ou de tous autres signes ou
symboles dots d'une signification intelligible, quels que soient leur support et leurs modalits de
transmission .

Il prcise galement que : l'crit sur support lectronique a la mme force probante que l'crit sur
support papier.

La loi prcise que : lorsque la loi n'a pas fix d'autres principes, et dfaut de convention valable
entre les parties, le juge rgle les conflits de preuve littrale en dterminant par tous moyens le titre le
plus vraisemblable, quel qu'en soit le support .

La [D 93] prcise le cadre communautaire pour les signatures lectroniques.

Les instructions techniques particulires pour la lutte contre les signaux compromettants

On entend par signal compromettant tout signal lectromagntique mis par un quipement du
systme d'information pouvant tre capt l'extrieur du local de l'quipement, ou inversement, tout
signal qui, mis depuis l'extrieur du local de l'quipement, pourrait perturber des traitements
informatiques ou leurs donnes, ou mme dtriorer des matriels.

2.5.7 Le contrle par les consommateurs

Les utilisateurs de systmes d'information sont soumis d'une part l'offre des constructeurs, chacun
ayant ses systmes spcifiques et, d'autre part, la ncessit d'utiliser et de faire communiquer ces
systmes entre eux.

Normalisation

Page 17 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

L'utilisation de produits normaliss est recommande pour assurer l'interoprabilit des systmes.

La dfinition en est donne par une directive de l'Union europenne portant sur l'laboration des
normes nationales. Elle est reprise par un dcret national fixant le statut de la normalisation"la
normalisation a pour objet de fournir des documents de rfrence comportant des solutions des
problmes techniques et commerciaux concernant les produits, biens et services qui se posent de
faon rpte dans des relations entre partenaires conomiques, scientifiques, techniques et
sociaux".

Le choix de produits normaliss ayant valeur de recommandation, il peut prendre un caractre

obligatoire en raison de la publication :
- d'une directive communautaire particulire,
- d'un arrt du Ministre de l'Industrie,
- de rglementations spcifiques comme, par exemple, les codes des marchs publics,
- de contrats particuliers protgs par le code civil,
- d'exigences de scurit des personnes et des biens.

Certification des technologies de l'information

La situation juridique communautaire s'appuie sur une rsolution portant sur l'approche globale en
matire d'valuation de la conformit.

En France, une valuation russie suivant les critres harmoniss europens peut donner lieu la
dlivrance d'un certificat par la DCSSI selon le schma franais d'valuation et de certification. Ce
dernier prcise le contexte rglementaire et l'organisation ncessaires la conduite d'une valuation
par une tierce partie et son contrle, conduisant la dlivrance de certificats.

Le dcret n2002-535 du 18 avril 2002 dfinit le cadre rglementaire du schma

Page 18 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 3 mars 2004

Bibliographie
Les rfrences suivantes apparaissent dans le guide entre crochets :

[CPI] Code de la proprit intellectuelle, article L621 relatif au secret de fabrique.

[D 250] Directive n91/250/CEE du Conseil des communauts europenne du 14 mai

1991 concernant la protection des programmes d'ordinateur.

[D 93] Directive 1999/93/CE du Parlement europen et du Conseil, du 13 dcembre

1999, relative au cadre communautaire pour les signatures lectroniques.

[IGI 1300] Instruction gnrale interministrielle n1300/SGDN/PSE/SSD/DR du 12 mars

198225 aot 2003 sur la protection du secret et des informations concernant
de la dfense nationale et la sret de l'tat.

[IGI 900] Instruction gnrale interministrielle n900/SGDN/SSD/DR ou

n900/DISSI/SCSSI/DR du 20 juillet 1993 sur la scurit des systmes
d'information qui font l'objet d'une classification de dfense pour eux-mmes
ou pour les informations traites.

[II 2000] Instruction interministrielle n2000/SGDN/SSD/DR du 01 octobre 1986 sur la

protection du secret et des informations concernant la dfense nationale et la
sret de l'tat dans les march et autres contrats.

[II 486] Instruction interministrielle n486/SGDN/STS/TSE/CVS/DR du 01 mars 1993

sur la protection du patrimoine scientifique et technique dans les changes
internationaux.

[II 50] Instruction interministrielle n50/SGDN/SSD du 09 janvier 1971 sur la

protection du secret dans les rapports entre la France et les pays trangers.

[ISO 13335] Technologies de l'information Lignes directrices pour le management de

scurit IT ISO/IEC, 2001.

[ISO 15408] Technologies de l'information Techniques de scurit Critres d'valuation

pour la scurit TI ISO/IEC, 1999

[ISO 17799] Technologies de l'information Code de pratique pour la gestion de scurit

d'information ISO/IEC, 2000.

[REC 600] Recommandations n600/SGDN/DISSI/SCSSI de mars 1993 pour les postes

de travail informatiques. Protection des informations sensibles ne relevant pas
du secret de dfense

[REC 901] Recommandation n901/SGDN/DISSI/SCSSI du 02 mars 1994 pour la

protection des systmes d'information traitant des informations sensibles non
classifies de dfense.

[REC CRIM] Recommandation du Conseil de l'Europe du 19 septembre 1989 adopte par

le conseil des ministres, relative la criminalit en relation avec l'ordinateur.

Page 19 sur 21
SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 23 dcembre 2003

Formulaire de recueil de commentaires

Ce formulaire peut tre envoy l'adresse suivante :

Secrtariat gnral de la dfense nationale

Direction centrale de la scurit des systmes d'information
Sous-direction des oprations
Bureau conseil
51 boulevard de La Tour-Maubourg
75700 PARIS 07 SP
conseil.dcssi@sgdn.pm.gouv.fr

Identification de la contribution
Nom et organisme (facultatif) :
Adresse lectronique :
Date :

Remarques gnrales sur le document

Le document rpond-il vos besoins ? Oui ! Non !

Si oui :

Pensez-vous qu'il puisse tre amlior dans son fond ? Oui ! Non !

Si oui :

Qu'auriez-vous souhait y trouver d'autre ?

Quelles parties du document vous paraissent-elles inutiles ou mal

adaptes ?

Pensez-vous qu'il puisse tre amlior dans sa forme ? Oui ! Non !

Si oui :

Dans quel domaine peut-on l'amliorer ?

- lisibilit, comprhension !
- prsentation !
- autre !

Prcisez vos souhaits quant la forme :

Si non :

Prcisez le domaine pour lequel il ne vous convient pas et dfinissez ce qui vous
aurait convenu :

Quels autres sujets souhaiteriez-vous voir traiter ?

SGDN / DCSSI / SDO / BCS PSSI Section 1 Introduction 23 dcembre 2003

Remarques particulires sur le document

Des commentaires dtaills peuvent tre formuls l'aide du tableau suivant.
"N" indique un numro d'ordre.
"Type" est compos de deux lettres :
La premire lettre prcise la catgorie de remarque :
- O Faute d'orthographe ou de grammaire
- E Manque d'explications ou de clarification d'un point existant
- I Texte incomplet ou manquant
- R Erreur
La seconde lettre prcise son caractre :
- m mineur
- M Majeur
"Rfrence" indique la localisation prcise dans le texte (numro de paragraphe, ligne).
"nonc de la remarque" permet de formaliser le commentaire.
"Solution propose" permet de soumettre le moyen de rsoudre le problme nonc.

N Type Rfrence nonc de la remarque Solution propose

1

Merci de votre contribution