Vous êtes sur la page 1sur 144

Se r vi c e Ce ntr al de l a S c ur i t de s Syst me s d' Infor mati on

GS - 001

Guide pour l'laboration d'une

Politique de Scurit Interne (PSI)


P S I
l'usage du responsable de la scurit du systme d'information

15 septembre 1994

DISI/ SCSSI/DIS

VERSION 1.1

P.S.I.

AVERTISSEMENT AU LECTEUR

Avertissement au lecteur

1) Le prsent guide est un support de rflexion. labor par le SCSSI pour mettre son exprience au profit des diffrents dpartements ministriels, des administrations de l'tat et des grands organismes publics, ce guide constitue une grille de travail. Appliqu aux ministres, il est destin aux fonctionnaires de scurit des systmes d'information (FSSI) afin de leur permettre de mettre en place une politique de scurit, conformment l'IGI 900. Appliqu aux autres organismes, il offre une rponse possible pour l'application des actions prconises par la Recommandation 901, relative aux informations sensibles ne relevant pas du secret de dfense. 2) Le prsent guide n'est pas un rglement : il n'a pas de porte obligatoire. Les rfrences contenues dans ce guide ont uniquement pour objet de servir d'illustration et de souligner le sens qui peut tre donn aux principes et aux rgles de scurit choisies par un organisme.

Tout particulirement pour le domaine juridique, le lecteur est averti qu'il doit, dans tous les cas, vrifier la validit et la porte des textes lgislatifs auxquels il se rfre, dans le cadre des activits propres son organisme.

SCSSI, 1994

P.S.I.

AVERTISSEMENT AU LECTEUR

Page laisse blanche

P.S.I.

SOMMAIRE

Sommaire
Introduction gnrale et prsentation du guide
Introduction gnrale Prsentation du guide

Partie 1 Les fondements de la politique de scurit interne


Prsentation de la premire partie Chapitre 1 1.1. 1.2. 1.3. La politique de scurit interne Reprsentation d'un systme d'information et dfinitions Lien entre la politique de scurit interne et les Critres d'valuation de la scurit des systmes informatiques (ITSEC) Lien entre la politique de scurit interne et les Lignes directrices rgissant la scurit des systmes d'information (document de l'OCDE) Finalits de la politique de scurit interne Champ d'application de la politique de scurit interne Les recommandations pour la mise en uvre de la politique de scurit interne

1.4. 1.5. 1.6.

Chapitre 2

Les bases de lgitimit pour une politique de scurit interne Les bases de lgitimit reposant sur la dontologie Les grands principes d'thique Les codes d'thique des mtiers des technologies de l'information Les bases de lgitimit reposant sur la lutte contre les accidents Les bases de lgitimit reposant sur la prservation des intrts vitaux de l'tat Les informations relevant du secret de dfense La protection du secret et des informations concernant la dfense nationale et la sret de l'tat La scurit des systmes d'information qui font l'objet d'une classification de dfense pour eux-mmes ou pour les informations traites La protection du secret dans les rapports entre la France et les tats trangers La protection du secret et des informations pour les marchs et autres contrats Les instructions techniques particulires pour la lutte contre les signaux parasites compromettants

2.1. 2.1.1. 2.1.2. 2.2. 2.3. 2.3.1. 2.3.1.1. 2.3.1.2.

2.3.1.3. 2.3.1.4. 2.3.1.5.

P.S.I.

SOMMAIRE

2.3.2. 2.4. 2.5. 2.5.1. 2.5.2. 2.5.2.1. 2.5.2.2. 2.6. 2.6.1. 2.6.2. 2.6.3. 2.6.4. 2.6.5.

Les informations ne relevant pas du secret de dfense Les bases de lgitimit reposant sur l'arsenal juridique pour la lutte contre la malveillance Les bases de lgitimit reposant sur les contrles technologiques Le contrle tatique dans le domaine de la cryptologie Le contrle consumriste La normalisation La certification Les bases de lgitimit reposant sur la prservation des intrts particuliers de l'organisme La mission ou le mtier de l'organisme La culture de l'organisme Les orientations stratgiques et la structure de l'organisme Les relations de l'organisme avec son environnement : les contrats passs avec des tiers Les ressources de l'organisme

Partie 2

Les principes et les rgles pour une politique de scurit interne

Prsentation de la deuxime partie

Chapitre 1

Principe gnral pour une politique de scurit interne

Chapitre 2 Principes de scurit lis l'information 2.1. Principe de protection juridique des informations 2.2. Principe de typologie des informations ncessitant une protection 2.3. Principe de continuit dans la protection des informations

Chapitre 3 Principes de scurit lis aux biens physiques 3.1. Principe de protection des biens physiques 3.2. Principe de gestion des biens physiques

Chapitre 4 Principes lis l'organisation de la scurit 4.1. Principe d'une structure de la scurit 4.2. Principe de continuit du contrle de la scurit

Chapitre 5 Principes de scurit lis au personnel 5.1. Principe de slection du personnel 5.2. Principe de contrle de l'affectation du personnel aux postes de travail sensibles

ii

P.S.I.

SOMMAIRE

5.3. 5.4.

Principe de sensibilisation pour la scurit des systmes d'information Principe de responsabilit du personnel

Chapitre 6 6.1. 6.2. 6.3. 6.4. 6.5. 6.6. 6.7. 6.8. 6.9.

Principes de scurit lis au cycle de vie du systme d'information Principe de spcification pour le dveloppement du systme d'information scuris Principe d'autorisation pour l'utilisation du systme d'information Principe d'exploitation scurise du systme d'information Principe de scurit pour les communications Principe de scurit pour la maintenance du systme d'information Principe de mise en place d'une documentation de scurit Principe de limitation des sinistres touchant le systme d'information Principe d'application des ITSEC pour une valuation de la scurit du systme d'information Principe d'anticipation sur l'volution de la scurit du systme d'information

Annexes
Annexe 1 Annexe 2 Annexe 3 Annexe 4 Annexe 5 Annexe 6 Annexe 7 Annexe 8 Annexe 9 Notes complmentaires Les critres d'valuation de la scurit des systmes informatiques (ITSEC) Lignes directrices rgissant la scurit des systmes d'information (OCDE) Codes d'thique des mtiers des technologies de l'information Textes lgislatifs et rglementaires relatifs aux informations relevant du secret de dfense Textes lgislatifs et rglementaires relatifs aux informations ne relevant pas du secret de dfense Textes lgislatifs et recommandations relatifs la lutte contre la malveillance Les guides mthodologiques dvelopps par le Service Central de la Scurit des Systmes d'Information Liste des rgles contenues dans le guide

iii

P.S.I.

SOMMAIRE

Page laisse blanche

iv

P.S.I.

INTRODUCTION GNRALE ET PRSENTATION DU GUIDE

Introduction gnrale et prsentation du guide

GS-001

Juillet 1994

P.S.I.

INTRODUCTION GNRALE ET PRSENTATION DU GUIDE

POLITIQUE DE SCURIT INTERNE


Ensemble des lois, rglements et pratiques qui rgissent la faon de grer, protger et diffuser les biens, en particulier les informations sensibles, au sein de l'organisation.
Dfinition du Catalogue des critres d'valuation de la scurit des systmes d'informatique, ITSEC, Commission europenne, juin 1991, chapitre 2, paragraphe 2.10.

Remarque importante : Traduction du terme anglo-saxon "Corporate security policy", la Politique de scurit interne (PSI) intresse la scurit relative l'information et au systme d'information. Cette politique doit tre applique conjointement et en accord avec la scurit gnrale de l'organisme couvrant la scurit des personnes (scurit du travail, scurit incendie, assurances, etc.) ainsi que, en gnral, les consignes existantes pour les accs physiques aux btiments.

GS-001

Juillet 1994

P.S.I.

INTRODUCTION GNRALE ET PRSENTATION DU GUIDE

Introduction gnrale
Au cours de ces vingt dernires annes, le dveloppement rapide des technologies de l'information a entran une dpendance de plus en plus grande des organismes envers leur systme d'information, devenu une composante stratgique au mme titre que la recherche ou l'innovation. Par ailleurs, l'utilisation croissante des systmes d'information pour des applications de plus en plus diversifies a fait prendre conscience la communaut des utilisateurs qu'il ne suffisait pas de mettre en uvre les moyens de communication les plus performants, mais que ces derniers devaient tre fiables en terme de disponibilit, d'intgrit et de confidentialit.

La scurit du systme d'information est devenue un facteur essentiel du bon fonctionnement de l'organisme.
Mais, le fait nouveau se situe galement dans la mutation des qualifications requises pour assumer la fonction de responsable de la scurit par rapport une formation initiale technique, alors que la pluridisciplinarit de ce nouveau mtier rend indispensable l'adoption d'une approche plus systmique. En effet, une parfaite intgration de la composante scurit dans la gestion d'un organisme impose la prise en compte d'lments aussi divers que les particularits de sa culture, les contraintes lies sa mission ou son mtier, les orientations stratgiques qui reprsentent le devenir souhait et, d'une faon gnrale, l'ensemble des rgles touchant au personnel, l'organisation et aux mthodes et techniques utilises.

La pluridisciplinarit du domaine de la scurit ouvre la voie un vritable exercice de prospective au bnfice de l'organisme tout entier : il en rsulte une rflexion qui est l'essence mme de la politique de scurit interne.

Prsentation du guide
La premire partie, intitule "Les fondements de la politique de scurit interne", situe la place d'une politique de scurit interne dans l'organisme et prcise les bases de lgitimit sur lesquelles elle s'appuie. La deuxime partie, intitule "Principes et rgles pour une politique de scurit interne", expose les grands principes de scurit qui peuvent tre retenus ainsi que les rgles qui en dcoulent. Toutefois, ce guide n'est pas le document final, immdiatement appropriable par un responsable de la scurit : il propose seulement les bases de lgitimit essentielles ainsi qu'un corpus de principes et de rgles dont certains peuvent apparatre indispensables et d'autres moins adapts la mission ou au mtier d'un organisme.

Ce guide se prsente sous l'aspect d'un catalogue permettant de dterminer les bases de lgitimit correspondant aux missions de l'organisme et de choisir les principes et les rgles les plus adapts ses activits.

GS-001

Juillet 1994

P.S.I.

INTRODUCTION GNRALE ET PRSENTATION DU GUIDE

tapes de l'laboration d'une politique de scurit interne


Au pralable, l'nonc des bases de lgitimit est produit partir, d'une part, de l'analyse des objectifs stratgiques de l'organisme et, d'autre part, des lois et rglements existants ainsi que des arguments retenus parmi ceux noncs dans la premire partie du guide PSI. Les tapes suivantes sont : la slection des principes et des rgles, qui dcoulent des bases de lgitimit retenues, et qui peut s'inspirer de la liste structure par thme dans la deuxime partie du guide PSI, la rdaction de la PSI, confie un comit de scurit reprsentatif de toutes les activits de l'organisme, et selon un plan qui peut s'inspirer du guide PSI, La validation de la PSI, finalise par la prise en compte du document par le responsable de la scurit pour diffusion, sensibilisation et application, L'application de la PSI par les correspondants de scurit de chaque site ou unit ce qui implique la rdaction d'un plan de scurit - ou politique de scurit du systme (PSS)- numrant les mesures et les consignes de scurit adaptes l'unit concerne et manant des principes et des rgles retenues dans la PSI. Enfin, l'application de la PSI sur les sites ou units doit permettre de modifier ou de dfinir de nouveaux principes ou rgles ; l'observation, sur le terrain, des contraintes lies leur application doit galement tre mise profit pour effectuer une mise jour du guide PSI.
Analyse des objectifs stratgiques Slection des principes et des rgles

Guide P.S.I.

Rdaction de la P.S.I.

Dfinitions de nouvelles rgles

Validation de la P.S.I.

Application de la P.S.I.

GS-001

Juillet 1994

P.S.I.

PARTIE 1

Partie 1 Les fondements de la politique de scurit interne

P.S.I.

PARTIE 1

Page laisse blanche

P.S.I.

PRSENTATION DE LA PREMIRE PARTIE

Prsentation de la premire partie

La premire partie de ce guide, intitule "Les fondements de la politique de scurit interne", ne s'intresse qu'aux arguments propres l'environnement national, international ou corporatif d'un organisme. Un premier chapitre, intitul "La politique de scurit interne", se base sur des travaux ou des rfrences universelles et plaide en faveur de l'adoption et de l'application d'une politique de scurit interne dans un organisme. Un second chapitre, intitul "Les bases de lgitimit de la politique de scurit interne", expose des arguments dontologiques, lgislatifs et corporatifs ainsi que des recommandations diverses, issues de travaux et de rflexions d'instances nationales ou internationales, susceptibles d'tre intgrs dans une politique de scurit interne. La recherche de toutes les rfrences europennes et nationales qui intresse le scurit du systme d'information d'un organisme, ainsi que l'thique des mtiers des technologies de l'information et leur utilisation, constitue les bases de lgitimit d'une politique de scurit interne1.

Ainsi, tous les arguments retenus qui s'inscrivent dans le cadre des fondements d'une politique de scurit interne, serviront la justification de tous les principes et les rgles dicts par l'organisme.

voir galement la note complmentaire n1, annexe 1.

P.S.I.

PRSENTATION DE LA PREMIRE PARTIE

Page laisse blanche

P.S.I.

LA POLITIQUE DE SCURIT INTERNE

Chapitre 1 La politique de scurit interne


Ce chapitre propose, tout d'abord, une reprsentation d'un systme d'information, puis il situe la place de la politique de scurit interne dans la mthodologie prconise dans le Catalogue des critres d'valuation (ITSEC) ; il donne ensuite le lien avec le document intitul "Lignes directrices rgissant la scurit des systmes d'information"2. Il prcise enfin la finalit, le champ d'application et les recommandations pour une mise en uvre.

1.1. Reprsentation d'un systme d'information et dfinitions

L'environnement

L'organisme

Le systme d'information

Le systme informatis

Le systme informatique

Lignes directrices rgissant la scurit des systmes d'informations, OCDE, Paris 1992

P.S.I.

LA POLITIQUE DE SCURIT INTERNE

Flux d'informations Les dfinitions suivantes concernent les termes les plus employs dans le guide PSI et qui pourraient recevoir, selon les domaines d'application, des sens diffrents. Toutefois, pour tous les termes qui font l'objet d'une dfinition dans un texte juridique ou qui ont obtenu un large consensus au niveau des instances qualifies, le lecteur est invit consulter les divers glossaires qui s'y rapportent. Organisme Les organes qui ont pour tche le fonctionnement d'un service, d'un 3 parti, etc. (Dictionnaire Larousse) .

Par convention de lecture pour ce guide, le terme "organisme" dsigne tout tablissement ministriel, public ou priv et comprend l'ensemble des biens, des personnes et des services attachs la ralisation d'une mission ou d'un mtier.
Systme d'information "Le systme d'information comprend les matriels informatiques et quipements priphriques, les logiciels et les microprogrammes, algorithmes et les spcifications internes aux programmes, documentation, les moyens de transmission, les procdures, donnes et les paramtres de contrle de la scurit, les donnes et informations qui sont collectes, gardes, traites, recherches transmises par ces moyens ainsi que les ressources humaines qui mettent en uvre"4. les les la les les ou les

En effet, le systme d'information est caractris par l'organisation humaine qui donne une signification au recueil, au traitement, la production des donnes contribuant au fonctionnement oprationnel.

Les systmes d'information dont il est question dans ce guide concernent l'informatique de gestion, de services, scientifique ou industrielle.
Systme informatis Le systme informatis, qui est un sous-ensemble d'un systme d'information, fait rfrence la dimension lectrique pour le recueil, le traitement, la transmission et le stockage des donnes. Il fait abstraction de l'organisation humaine ainsi que de tous les traitements et les transferts d'informations manuels.
3 4

Voir galement la note complmentaire n2, annexe 1 Lignes directrices rgissant la scurit des systmes d'informations, OCDE, Paris 1992, p.29.

10

P.S.I.

LA POLITIQUE DE SCURIT INTERNE

Systme informatique (ou systme de traitement et d'analyse de donnes) Le systme informatique, qui regroupe traditionnellement les centres informatiques de l'organisme, comprend les donnes, supports, logiciels, quipements, documentations. Il ne comprend pas l'aspect transmission, c'est--dire les quipements qui le supporte y compris les matriels d'extrmit (poste tlphonique, minitel, tlcopie, etc.) ni les quipements lectriques dconnects ou isols (micro-ordinateurs ddis, portables, photocopieurs, etc.). Les systmes informatiss d'un organisme (systme de production, de distribution, de gestion, etc.) sont "innervs" par le ou les systmes informatiques qui composent le systme d'information.

1.2. Lien entre la politique de scurit interne et les Critres d'valuation de la scurit des systmes informatiques (ITSEC)
L'accomplissement de la mission ou du mtier d'un organisme est soumis un ensemble de rgles et de pratiques qui rgissent tous les aspects lis au fonctionnement (personnel, finances, recherche, production, communication, etc.). En consquence, le systme d'information qui contribue assurer cette mission ou ce mtier, doit tenir compte de toutes les contraintes d'environnement de l'organisme. Par ailleurs, face aux menaces qui psent sur les systmes d'information, l'utilisateur exige une protection convenable des informations et des services de traitement et de transport de l'information. La scurit est donc devenue une des dimensions essentielles de la stratgie de l'organisme et elle doit tre prise en compte ds la conception du systme d'information. En rponse ces proccupations, des travaux ont t entrepris au niveau europen ; ils ont abouti l'laboration des critres d'valuation de la scurit des systmes informatiques (ITSEC) qui permettent de dfinir un cadre pour l'valuation de produits ou de systmes informatiques (voir annexe 2). Ainsi, il a t tabli que la scurisation d'un systme d'information ncessite la mise en place d'une politique de scurit interne qui peut tre vue comme l'ensemble des principes et des rgles de scurit pour la gestion et le fonctionnement du systme d'information. En France, une directive du Premier Ministre prcise que les critres ITSEC sont les seuls critres appliquer pour les valuations de scurit par les organismes officiels. Pour les dpartements ministriels ces critres doivent tre utiliss l'exclusion de tous autres, notamment pour la dfinition des

11

P.S.I.

LA POLITIQUE DE SCURIT INTERNE

objectifs de scurit des systmes ou produits informatiques ainsi que pour l'laboration des spcifications des marchs les concernant5 Pour les organismes publics et privs, ces critres ont valeur de recommandation.

La politique de scurit interne constitue la premire tape de la mthodologie de scurisation d'un systme d'information selon les Critres d'valuation de la scurit des systmes informatiques (ITSEC).

1.3. Lien entre la politique de scurit interne et les Lignes directrices rgissant la scurit des systmes d'information (document de l'OCDE)
Les neuf principes gnraux exposs dans les Lignes directrices rgissant la scurit des systmes d'information constituent une charte de scurit applicable aux systmes d'information d'un tat ou d'un grand organisme. La politique de scurit interne d'un organisme, quant elle, se situe un niveau d'abstraction moins lev : en effet, le systme d'information auquel elle s'applique peut tre dcrit avec prcision quant ses constituants et sa frontire avec l'environnement. Toutefois, la rfrence aux principes gnraux du document de l'OCDE est donne maintes reprises pour justifier les principes et les rgles noncs dans les diffrents chapitres de ce guide. La liste des principes gnraux est donne en annexe 3.

1.4. Finalits de la politique de scurit interne


Les finalits de la politique de scurit interne dcoulent de celles dcrites 6 dans les Lignes directrices de l'OCDE , savoir : sensibiliser aux risques menaant les systmes d'information et aux moyens disponibles pour s'en prmunir, crer un cadre gnral pour aider les personnes charges, dans les secteurs public et priv, d'laborer et de mettre en uvre des mesures, des consignes et des procdures cohrentes en vue d'assurer la scurit des systmes d'information, promouvoir la coopration entre les diffrents dpartements, services ou units de l'organisme pour l'laboration et la mise en uvre de telles mesures, consignes et procdures, susciter la confiance dans le systme d'information,
5 6

Lettre n106 SGDN/DISSI/26007 du 11 mars 1992 Recommandation du Conseil et annexe, 26 novembre 1992, page 4 12

12

P.S.I.

LA POLITIQUE DE SCURIT INTERNE

faciliter la mise au point et l'usage du systme d'information pour tous les utilisateurs autoriss du systme d'information. La politique de scurit interne a pour but la garantie des services rendus ainsi que la protection des biens et des informations sensibles. De plus, elle constitue une rfrence par rapport laquelle toute volution du systme d'information devra tre justifie, que ce soit pour l'intgration d'un lment nouveau du systme ou pour la modification d'un lment existant. L'laboration de la politique de scurit interne requiert une connaissance parfaite de l'organisme et de son environnement, tout autant que de son systme d'information.

1.5. Champ d'application de la politique de scurit interne


Le champ d'application de la politique de scurit interne dcoule de celui dcrit dans les Lignes directrices de l'OCDE, savoir : la politique de scurit interne s'adresse principalement administrations de l'tat et aux organismes public, la politique de scurit interne s'applique tous les systmes d'information, la politique de scurit interne s'applique un systme existant ou dvelopper. La politique de scurit interne mane de la politique gnrale de l'organisme et elle est en accord avec le schma directeur stratgique du systme d'information7. Mais, le document qui en rsulte ne doit pas tre remis en cause par les seules volutions technologiques ou celles rsultant d'une modification de l'architecture du systme d'information aussi longtemps que la mission de l'organisme reste inchange ou, de faon plus ponctuelle, que les objectifs stratgiques ne sont pas modifis (maintien du "cap stratgique"). Toutefois le caractre prenne de la politique de scurit interne n'exclut pas l'adaptation permanente des mesures de scurit qui dcoulent de sa mise en uvre. Ainsi, tant donn les consquences que pourraient entraner une dfaillance de la scurit du systme d'information sur la ralisation des objectifs stratgiques de l'organisme, la politique de scurit interne doit tre prise en compte au niveau de responsabilit le plus lev.
7

aux

Voir galement la note complmentaire n4, annexe 1

13

P.S.I.

LA POLITIQUE DE SCURIT INTERNE

La politique de scurit interne est la reconnaissance officielle de l'importance accorde par la direction gnrale de l'organisme la scurit de son systme d'information.

1.6. Les recommandations pour la mise en uvre de la politique de scurit interne


Les recommandations pour la mise en uvre de la politique de scurit interne dcoulent de celles dcrites dans les Lignes directrices de l'OCDE, savoir : tablir des mesures, consignes et procdures qui traduisent les principes et les rgles noncs dans la politique de scurit interne, faire en sorte que la mise en uvre de la politique de scurit interne s'accompagne de consultations, d'une coordination et coopration entre les diffrents acteurs du systme d'information, convenir le plus rapidement possible d'initiatives spcifiques en vue de l'application de la politique de scurit interne, donner une large diffusion aux principes et aux rgles de la politique de scurit interne, rexaminer la politique de scurit interne en fonction des vnements majeurs affectant la mission ou la vie de l'organisme ou, une fois au moins tous les cinq ans, pour vrifier l'adquation des rgles par rapport l'volution du systme d'information de l'organisme. La politique de scurit interne est mise en uvre au niveau de chaque site, division, service ou unit oprationnelle au moyen d'un plan de scurit qui dcline les principes et les rgles de scurit en mesures de scurit techniques et non techniques adaptes aux moyens, l'environnement et au fonctionnement du systme d'information de l'chelon considr8. Il appartient aux autorits qualifies, responsables de chaque unit oprationnelle, de dfinir ces diffrentes mesures et de veiller leur bonne application.

Le plan de scurit constitue la politique de scurit du systme (PSS) au sens ITSEC : voir schma prsent l'annexe 2

14

P.S.I.

LES BASES DE LGITIMIT POUR UNE POLITIQUE DE SCURIT INTERNE

Chapitre 2 Les bases de lgitimit pour une politique de scurit interne

Les principes et les rgles contenus dans une politique de scurit interne puisent leurs bases de lgitimit dans les lois, les rglementations, les normes et les recommandations manant d'organismes internationaux, nationaux ou professionnels ; ils peuvent aussi trouver leur justification dans les composantes de la culture de l'organisme comme, par exemple, les traditions, les habitudes ou les rgles internes. Ces bases de lgitimit sont dclines selon leur porte et leur objectif en six rubriques : la dontologie, la lutte contre les accidents, la prservation des intrts vitaux de l'tat, l'arsenal juridique pour la lutte contre la malveillance, les contrles technologiques, la prservation des intrts particuliers de l'organisme.

Ces rubriques peuvent reprsenter les bases de lgitimit pour une politique de scurit interne ; elles devraient, de ce fait, tre intgres dans le champ des valeurs partages par le personnel de l'organisme.
Toutefois, ce chapitre ne peut prtendre l'exhaustivit dans l'numration des rubriques pouvant constituer des bases de lgitimits ; les plus couramment cites sont donnes, titre d'illustration, pour chacune des six rubriques nonces prcdemment. Le lecteur trouvera une liste plus complte dans les annexes 4 7 de ce guide.

15

P.S.I.

LES BASES DE LGITIMIT POUR UNE POLITIQUE DE SCURIT INTERNE

2.1. Les bases de lgitimit reposant sur la dontologie


2.1.1. Les grands principes d'thique
L'utilisation croissante de systmes d'information par un public de plus en plus vaste et vari conduit appliquer aux mtiers des technologies de l'information des grands principes d'thique tels que la garantie des droits de l'homme, la protection et le respect de la vie prive, la garantie des liberts individuelles ou publiques. Ces principes, appliqus au domaine des systmes d'information, sont formuls : Au niveau international, par le principe d'thique et le principe de dmocratie de l'OCDE : - le principe d'thique stipule que la fourniture et l'utilisation des systmes d'information ainsi que la mise en uvre de leur scurit doivent tre telles que les intrts lgitimes des tiers soient respects, - le principe de dmocratie stipule que la scurit des systmes d'information doit tre compatible avec l'utilisation et la circulation lgitimes des donnes et des informations dans une socit dmocratique.
9 et par le principe de la garantie de l'anonymat dans l'usage de services fournis par des systmes d'information (services tlphoniques, tlmatiques, de paiement lectronique, etc.).

Au niveau de l'Union europenne, par le principe de protection des personnes10 l'gard du traitement automatis des donnes caractre personnel. Au niveau national, par la Loi "Informatique et Liberts"11 qui rglemente l'emploi et la constitution des fichiers nominatifs, c'est--dire, autorise les actions suivantes : - la soumission, avant leur mise en uvre, des traitements automatiss d'informations nominatives des formalits administratives qui doivent tre accomplies par les utilisateurs publics et privs,

Confrence internationale des commissaires la protection des donnes, Berlin, 30/08/89 Convention 108 du Conseil de l'Europe du 28/01/81, approuv par la loi 82.890 du 19/10/82 11 Loi n78-17 du 6 janvier 1978 sur l'informatique, les fichiers et les liberts
10

16

P.S.I.

LES BASES DE LGITIMIT POUR UNE POLITIQUE DE SCURIT INTERNE

- la reconnaissance, pour toute personne figurant dans un fichier automatis ou manuel, du droit d'accs aux informations qui la concernent, - l'application de dispositions de protection s'appliquant la collecte, l'enregistrement, le traitement et la conservation des informations nominatives des fichiers informatiques ou non informatiques, - le contrle de l'application de la loi par la Commission Nationale Informatique et Liberts.

Au niveau des organismes et des mtiers qui s'y exercent, par des codes d'thique corporatifs (mtiers juridiques, de la sant, de la recherche, de la banque, etc.) formulant des principes de base, des recommandations de politiques, des codes de conduites ou des rglements. En particulier, et quel que soit le mtier de l'organisme, celui-ci dtient et traite des informations auxquelles il doit attribuer une mention spcifique, caractristique de son domaine, comme la mention "confidentiel personnel" (domaine protg par la Loi informatique et Liberts) ou "confidentiel professionnel, industriel, commercial", etc. (domaine protg par le Code pnal). Ainsi, paralllement au code d'thique propre au mtier, l'organisme doit prendre en compte les spcificits concernant la protection d'informations d'ordre mdical, juridique, etc., ainsi que le respect de l'anonymat des personnes ayant fourni des informations nominatives par le biais de questionnaires ou d'enqutes.

2.1.2.

Les codes d'thique des mtiers des technologies de l'information

Les codes d'thique des mtiers des technologies de l'information (annexe 4) font apparatre des rgles de dontologie gnrale s'nonant sous forme de devoirs et d'obligations assumer : l'obligation de comptence et d'objectivit, les devoirs envers la clientle, savoir l'indpendance, le respect du client et de la mission confie, le devoir de conseil et d'assistance, les devoirs envers les concurrents, savoir le respect des principes de loyaut et de libre concurrence, le respect du secret de fabrique.

17

P.S.I.

LES BASES DE LGITIMIT POUR UNE POLITIQUE DE SCURIT INTERNE

2.2. Les bases de lgitimit reposant sur la lutte contre les accidents
Les accidents pouvant survenir l'intrieur d'un organisme ou provoqus l'extrieur de celui-ci par ses activits peuvent entraner des pertes humaines ou des atteintes l'environnement ou bien encore au patrimoine national ou priv. Aussi, est-il fait obligation lgale tous les responsables d'organismes de lutter, avec les moyens appropris, contre les accidents divers12. Si cette proccupation est gnralement prise en compte au niveau de la scurit gnrale (et, tout particulirement celle touchant au personnel), elle est rappele dans ce chapitre pour souligner que dans de nombreux cas les accidents de toute nature peuvent avoir pour cause des erreurs ou malveillances commises dans l'utilisation du systme d'information (par exemple, dans le domaine du nuclaire, de la gestion du trafic fluvial, ferroviaire, arien, des agences de bassin, etc.). C'est ainsi que, indpendamment de l'obligation faite par la loi dans tous les pays dvelopps, il est un devoir prioritaire pour les responsables d'organismes de renforcer les contrles de scurit et de les inscrire comme base de lgitimit partout o il existe un risque, aussi minime soit-il, d'accident li l'utilisation du systme d'information.

2.3. Les bases de lgitimit reposant sur la prservation des intrts vitaux de l'tat
Les organismes gouvernementaux et ceux qui collaborent avec eux, sont soumis au respect des lois nationales et aux instructions interministrielles. Lorsqu'un organisme, y compris en dehors de sa mission propre, est amen contractuellement ou non utiliser ou traiter des informations classifies relevant du secret de dfense ou des informations sensibles comme, par exemple, celles relevant du patrimoine national, il doit appliquer les lois et les textes rglementaires qui s'y rapportent. La liste des principaux textes est donne dans les annexes 5 et 6.

12

Dcret n92-158 du 20 fvrier 1992. Voir galement la note complmentaire n3, annexe 1

18

P.S.I.

LES BASES DE LGITIMIT POUR UNE POLITIQUE DE SCURIT INTERNE

2.3.1.

Les informations relevant du secret de dfense


pour les informations relevant du secret de dfense, les obligations rglementaires de protection portent sur :

2.3.1.1.La protection du secret et des informations concernant la dfense nationale et la sret de l'tat Une instruction13, qui s'adresse tous les dpartements ministriels et tous les organismes publics ou privs o sont mises, reues, mises en circulation ou conserves des informations intressant la dfense nationale et la sret de l'tat, aborde les thmes suivants : l'organisation et le fonctionnement des services de scurit de dfense, la protection des personnes, la protection des informations classifies, la protection du patrimoine national et des informations qui doivent rester diffusion restreinte, la sensibilisation aux risques de compromission d'informations classifies, les contrles et inspections. 2.3.1.2. La scurit des systmes d'information qui font l'objet d'une classification de dfense pour eux-mmes ou pour les informations traites Une instruction14 qui s'adresse toutes les administrations et services extrieurs de l'tat, notamment aux tablissements publics nationaux ou organismes placs sous l'autorit d'un ministre, prcise les rgles respecter pour protger les secrets de la dfense nationale dans les systmes d'information et aborde les thmes suivants : les informations ncessitant une protection, les moyens de protection, les principes gnraux de scurit des systmes d'information, les rles respectifs, l'organisation et les missions des divers intervenants, les contrles et inspections.
13 14

Instruction gnrale interministrielle n1300/SGDN/SSD Instruction gnrale interministrielle n900/SGDN/SSD/DR et n900/DISSI/SCSSI/DR

19

P.S.I.

LES BASES DE LGITIMIT POUR UNE POLITIQUE DE SCURIT INTERNE

2.3.1.3. La protection du secret dans les rapports entre la France et les tats trangers Une instruction15 prcise les dispositions gnrales et les protocoles de scurit tablir dans le cadre d'tudes et de rapport entre la France et les pays trangers.
16 Une autre instruction porte sur la protection du patrimoine scientifique et technique franais dans les changes internationaux.

2.3.1.4. La protection du secret et des informations pour les marchs et autres contrats Une instruction17 prcise les dispositions prendre pour la protection du secret et des informations concernant la dfense nationale et la sret de l'tat dans les marchs ainsi que dans tous les autres contrats administratifs qui entranent la mise en uvre de systmes d'information faisant l'objet d'une classification de dfense pour eux-mmes ou pour les informations traites. Elle traite en particulier des dispositions prendre vis--vis des personnes, des documents et des matriels. 2.3.1.5. Les instructions techniques particulires pour la lutte contre les signaux parasites compromettants On entend par signal parasite compromettant tout signal lectromagntique mis par un quipement du systme d'information pouvant tre capt l'extrieur du local de l'quipement, ou inversement, tout signal qui, mis depuis l'extrieur du local de l'quipement, pourrait perturber des traitements informatiques ou leurs donnes, ou mme dtriorer des matriels.

2.3.2.

Les informations ne relevant pas du secret de dfense


Une instruction18 sur la scurit des systmes d'information traitant des informations sensibles non classifies de dfense reprend certains grands principes de l'IGI n900 et se prsente suivant la mme articulation. Elle s'applique toutes les administrations et tous les services dconcentrs de l'tat ainsi qu'aux tablissements placs sous l'autorit d'un ministre. Cette instruction est galement une rfrence pour les entreprises prives qui dsirent assurer une protection de leurs propres secrets scientifiques, technologiques, industriels, commerciaux ou financiers ou qui dsirent garantir leurs intrts et leur patrimoine.

15 16

Instruction interministrielle n50/SGDN/SSD Instruction interministrielle n486/SGDN/SSD 17 Instruction interministrielle n2000/SGDN/SSD 18 Instruction gnrale interministrielle n901/DISSI/SCSSI/DR

20

P.S.I.

LES BASES DE LGITIMIT POUR UNE POLITIQUE DE SCURIT INTERNE

Elle recommande une harmonisation entre les mesures prises au titre de la protection du secret de dfense et celles concernant la protection des informations sensibles ; c'est ainsi qu'une organisation fonctionnelle unique est conseille. Une autre instruction19 dicte des recommandations relatives aux informations, aux systmes ou aux applications ne relevant pas du secret de dfense, mais dont la destruction, le dtournement ou l'utilisation frauduleuse pourraient porter atteinte aux intrts nationaux, au patrimoine scientifique et technique ou la vie prive ou professionnelle des individus. Ces recommandations concernent plus particulirement la scurit des postes de travail autonomes ou connects un rseau.

2.4. Les bases de lgitimit reposant sur l'arsenal juridique pour la lutte contre la malveillance
Au niveau de l'Union europenne, une recommandation du Conseil de l'Europe sur la criminalit en relation avec l'ordinateur et une directive21 sur la protection juridique des programmes d'ordinateur rglementent la protection du logiciel. Au niveau national, les logiciels sont considrs comme des uvres de l'esprit protges par le code de la proprit intellectuelle et des lois rglementent les peines associes aux infractions telles que : la copie ou l'utilisation illicite de logiciel, la divulgation non autorise de documents techniques ou commerciaux, mme aprs une rupture de contrat, le dlit ou la tentative de dlit, avec ou sans entente concerte, correspondant aux infractions comme l'accs ou le maintien frauduleux dans tout ou partie d'un systme, l'entrave au fonctionnement, la modification de donnes, l'interception de tlcommunications. Mais il appartient l'organisme de prendre les mesures qu'il juge ncessaire la protection de son systme d'information (mesures de prvention, de dtection et de rparation), afin de se protger contre les menaces redoutes, qu'elles soient accidentelles ou intentionnelles comme, par exemple, l'interception, le dtournement, l'utilisation ou la divulgation non autorise d'lments du systme d'information. On trouvera, l'annexe 7, la liste de ces lois et recommandations.
19 20

20

Recommandation n600/SGDN/DISSI/SCSSI Recommandation R(89) du Conseil de l'Europe du 19 septembre 1989 21 Directive n91/250/CEE du 14 mai 1991

21

P.S.I.

LES BASES DE LGITIMIT POUR UNE POLITIQUE DE SCURIT INTERNE

2.5. Les bases de lgitimit reposant sur les contrles technologiques


2.5.1. Le contrle tatique dans le domaine de la cryptologie
"On entend par prestation de cryptologie toute prestation visant transformer l'aide de conventions secrtes des informations ou signaux clairs en informations ou signaux inintelligibles pour des tiers, ou visant raliser l'opration inverse, grce des moyens matriels ou logiciels conus cet effet"22. La rglementation franaise (annexes 5 et 7) s'appuie sur des lois et instructions interministrielles dont le but est de prserver les intrts de la dfense nationale et de la scurit intrieure ou extrieure de l'tat. La rglementation sur la cryptologie s'applique tous les moyens cryptologiques, utiliss dans le secteur priv ou public : elle concerne la fourniture, l'exportation, l'utilisation de moyens ou de prestations cryptologiques.

2.5.2.

Le contrle consumriste
Les utilisateurs de systmes d'information sont soumis d'une part l'offre des constructeurs, chacun ayant ses systmes spcifiques et, d'autre part, la ncessit d'utiliser et de faire communiquer ces systmes entre eux.

2.5.2.1.La normalisation L'utilisation de produits normaliss l'interoprabilit des systmes. est ncessaire pour assurer

La dfinition en est donne par une directive de l'Union europenne portant sur l'laboration des normes nationales23. Elle est reprise par un dcret national fixant le statut de la normalisation24 : "la normalisation a pour objet de fournir des documents de rfrence comportant des solutions des problmes techniques et commerciaux concernant les produits, biens et services qui se posent de faon rpte dans des relations entre partenaires conomiques, scientifiques, techniques et sociaux".

22 23

Loi 90-1170 du 29 dcembre 1990 modifie, article 28 Directive 83.189/CEE du 28 mars 1983 24 Dcret n84-74 du 28 janvier 1984, modifi par le dcret n90-853 du 18 juillet 1990

22

P.S.I.

LES BASES DE LGITIMIT POUR UNE POLITIQUE DE SCURIT INTERNE

Le choix de produits normaliss ayant valeur de recommandation, il peut prendre un caractre obligatoire en raison de la publication : d'une directive communautaire particulire, d'un arrt du Ministre de l'Industrie, de rglementations spcifiques comme, par exemple, les codes des marchs publics, de contrats particuliers protgs par le code civil. 2.5.2.2. La certification La situation juridique communautaire s'appuie sur une rsolution25 portant sur l'approche globale en matire d'valuation de la conformit. En ce qui concerne la certification de produits ou de systmes informatiques, quatre pays europens (Allemagne, France, Grande-Bretagne et Pays-Bas) ont dvelopp les critres d'valuation de la scurit des systmes informatiques (ITSEC) qui ont vocation de devenir une recommandation. La dfinition de la certification qui y est donne est la suivante : "la certification atteste formellement des rsultats de l'valuation et le fait que les 26 ITSEC ont t correctement appliqus" . Ces critres doivent tre utiliss par les administrations de l'tat pour la dfinition des objectifs de scurit des systmes ou produits informatiques ainsi que pour l'laboration des spcifications des marchs les concernant. En France, une valuation russie suivant les critres harmoniss europens peut donner lieu la dlivrance d'un certificat par le Service central de la scurit des systmes d'information (S.C.S.S.I).

2.6. Les bases de lgitimit reposant sur la prservation des intrts particuliers de l'organisme
L'organisme peut se dfinir par : sa mission (pour un organisme tatique) ou son mtier (pour un organisme priv), sa culture, ses orientations stratgiques et sa structure, ses relations avec l'environnement, ses ressources,

25 26

Rsolution du conseil 90/C/10.01 du 21 dcembre 1989 ITSEC, page 111, paragraphe 6-7

23

P.S.I.

LES BASES DE LGITIMIT POUR UNE POLITIQUE DE SCURIT INTERNE

Lorsque l'organisme considre qu'un de ces thmes a un impact majeur sur sa scurit, il l'lve au rang de base de lgitimit pour justifier les principes dcrits dans sa politique de scurit interne. C'est ainsi que les principes et les rgles qui sont suggrs dans la deuxime partie de ce guide doivent tre en accord, comme le recommande l'OCDE (principes gnraux d'intgration et de pluridisciplinarit), avec les dcisions et les actions touchant aux bases de lgitimit dcrites dans ce chapitre27.

2.6.1.

La mission ou le mtier de l'organisme


Toutes les potentialits et les ressources dont dispose un organisme n'ont pour finalit que l'accomplissement de sa mission ou de son mtier. Il en dcoule des objectifs qui devraient tre clairement exprims et ports la connaissance des acteurs concerns, l'intrieur comme l'extrieur de l'organisme, pour assurer la cohsion des missions dvolues chacune des units fonctionnelles.

2.6.2.

La culture de l'organisme
La culture de l'organisme se dfinit par le partage d'un ensemble de valeurs, de savoir-faire, d'habitudes de vie collective et par le sentiment d'une identit commune. Elle s'exprime au niveau de chaque individu par : le respect de la mission et l'adhsion au projet de l'organisme ; par exemple, pour des entreprises utilisant des informations relevant du secret de dfense, intgration de la scurit dans le cadre quotidien du travail ; pour une organisation dont la mission est la distribution, livraison de la commande dans les dlais les plus brefs ; pour un constructeur de matriels haut de gamme, mobilisation permanente pour la qualit, le respect de la mmoire collective, la conservation du patrimoine de l'organisme, le respect du rglement, etc. Toute action visant modifier un de ces lments a un impact d'autant plus important que l'lment modifi est profondment inscrit dans la culture de l'organisme et accept par l'ensemble du personnel.

27

Voir galement la note complmentaire n5, annexe 1

24

P.S.I.

LES BASES DE LGITIMIT POUR UNE POLITIQUE DE SCURIT INTERNE

2.6.3. Les orientations stratgiques et la structure de l'organisme


Les choix fondamentaux et les objectifs que se fixe l'organisme dcoulent de sa propre stratgie ; le responsable de la scurit doit alors veiller ce que les projets qui s'inscrivent dans ce cadre et qui touchent la structure mme de l'organisme, restent en cohrence avec les objectifs assigns la scurit du systme d'information. En effet, la structure de l'organisme est une adaptation permanente des orientations stratgiques choisies pour mieux grer les diffrentes fonctions de l'organisme et leur volution. Tout changement affectant la structure de l'organisme modifie, en consquence, ses flux d'informations. L'aspect formel de la structure est reprsent par un organigramme28 qui rend compte de l'organisation des diffrentes entits constitutives de l'organisme (directions, dpartements, services, units, etc.). L'aspect informel peut tre reprsent par un sociogramme qui met en lumire les facteurs d'influence pour les personnes ou les postes stratgiques et qui psent sur les orientations et les dcisions de l'organisme. C'est, par exemple, l'influence sur la direction et sur les informaticiens de la nomination d'un responsable non technicien au poste de responsable de la scurit des systmes d'information. Ces difficults relationnelles qui sont souvent difficiles valuer, exigent pour tre mises en lumire l'observation des jeux de pouvoir au sein de l'organisme. En particulier, les flux de communication transverses par rapport la structure hirarchique, bien que rpondant souvent un rel besoin oprationnel, peuvent tre la consquence d'une rtention de l'information ; il se cre alors au sein de l'organisme des flux qui chappent aux contrles de la scurit.

2.6.4.

Les relations de l'organisme avec son environnement : les contrats passs avec des tiers
Les engagements pris avec d'autres organismes font l'objet de contrats o peuvent figurer en particulier des clauses spcifiques concernant la scurit des systmes d'information29. Elles sont d'autant plus importantes que la nature des engagements concerne une composante stratgique ou est susceptible d'influer sur la culture de l'organisme. Toutes relations nouvelles avec l'environnement de l'organisme ncessite un effort pralable de communication l'intrieur de l'organisme.

28 29

Voir galement note complmentaire n6, annexe 1 Article 1134 du code civil : "Les conventions lgalement formes tiennent lieu de loi ceux qui les ont faites".

25

P.S.I.

LES BASES DE LGITIMIT POUR UNE POLITIQUE DE SCURIT INTERNE

A titre d'exemple, dans le cas d'un contrat de gestion de l'exploitation (traduction du terme anglo-saxon "facility management"), il existe des clauses spcifiques pour le transfert du savoir-faire et, en interne, le personnel doit avoir les lments lui permettant de comprendre pourquoi et comment ce nouveau choix s'intgre dans la stratgie de l'organisme et quelles en sont les implications sur les consignes de scurit. Un autre exemple est celui des contrats de sous-traitance, pour lesquels il existe souvent des clauses spcifiques relatives la fourniture de programmes-sources et leur usage30. Dans le cadre de coopration internationale, les engagements contractuels garantissent les parties et doivent tre en accord avec la rglementation des pays concerns. Plus gnralement, dans le cadre des relations avec l'environnement, l'organisme demandeur doit faire valoir les exigences suivantes : vis--vis des fournisseurs : le devoir de conseil, de qualit et de maintenabilit, vis--vis des prestataires de services : le devoir de conseil, l'obligation de moyens et de rsultats, vis--vis de la sous-traitance : les clauses spcifiques garantissant la non concurrence, vis--vis des autres organismes : les clauses spcifiques pour la coopration et l'interoprabilit des systmes d'information. 2.6.5. Les ressources de l'organisme L'organisme est une unit conomique de production de biens ou de services, compose de ressources humaines, juridiques, techniques et financires. Les units de l'organisme ont, assez souvent, des missions et des objectifs diffrents qui peuvent apparatre comme des contraintes que la scurit doit prendre en compte, par exemple : pour les ressources humaines : ncessit de la confidentialit des critres d'embauche, pour les ressources juridiques : ncessit de la confidentialit des contrats, pour le savoir-faire et les ressources techniques : ncessit de la protection des ides nouvelles, pour les ressources financires : ncessit de la confidentialit des comptes avant leur publication.

30

En particulier, la loi 94-361 du 10 mai 1994, qui est devenue conforme au standard europen en matire de protection des logiciels, modifie les droits de l'auteur et de l'utilisateur et a pour consquence la modification de l'ensemble des contrats de concession et de licence.

26

P.S.I.

PARTIE 2

Partie 2 Les principes et les rgles pour une politique de scurit interne

GS-OO1

27

Juillet 1994

P.S.I.

PARTIE 2

La liste rcapitulative des rgles, dans l'ordre des index, est donne l'annexe 9.

GS-OO1

28

Juillet 1994

P.S.I.

PRSENTATION DE LA DEUXIME PARTIE

Prsentation de la deuxime partie

La deuxime partie de ce guide, intitule "Les principes et les rgles pour une politique de scurit interne", propose au responsable de l'laboration d'une politique de scurit interne le choix parmi 21 principes, dclins en 74 rgles. Elle est articule autour de six chapitres qui rpondent aux questions suivantes : qui prend en charge la politique de scurit interne au sein de l'organisme ? le premier chapitre porte sur le principe gnral des responsabilits dfinir pour doter un organisme d'une politique de scurit interne, quels sont les biens de l'organisme qu'il convient de protger ? les deuxime et troisime chapitres traitent respectivement de l'information et des biens physiques de l'organisme, comment mettre en place la scurit ? les quatrime et cinquime chapitres portent respectivement sur l'organisation et sur le personnel mettre en place, quels sont les tats du systme d'information qui ncessitent la mise en place de mesures de scurit ? le sixime chapitre traite des principes de scurit lis au cycle de vie du systme d'information. Il peut paratre surprenant au responsable de l'laboration d'une politique de scurit qu'aucun chapitre n'ait t ddi la question suivante : contre quels risques doit-on se protger ? En fait, la rponse cette question a rang de principe dans le chapitre 6 intitul "Principe de spcifications pour le dveloppement du systme d'information scuris". En effet, et tout au moins sur le plan thorique, l'analyse des risques ncessite une tude complte du systme d'information. Or, une telle tude ne peut raisonnablement avoir lieu qu'une fois atteint un degr de connaissance suffisant des lments composant le systme comme, par exemple, le recensement et l'attribution d'une valeur aux informations et aux biens de l'organisme. De plus, tant que l'organisme ne connat pas de restructuration ou de diversification de ses activits, la prennit des principes noncs dans la politique de scurit interne s'oppose l'instabilit des vnements conjoncturels et humains qui gnre une volution permanente des risques. Aussi, rpondre prmaturment la question pose peut conduire une identification trs incomplte des risques pesant sur le systme d'information. Ainsi, le prsent guide prconise de situer les principes retenus pour une politique de scurit interne en amont de l'analyse de risques du systme d'information.

GS-OO1

29

Juillet 1994

P.S.I.

PRSENTATION DE LA DEUXIME PARTIE

Symboles utiliss Une rgle prcde du symbole " " signifie qu'elle est une rgle de base et, qu' ce titre, les organismes qui sont candidats pour l'adoption d'un profil minimum de scurit devraient l'adopter ; c'est ainsi que la pratique peut rendre, de facto, certaines rgles obligatoires comme, par exemple, la rgle relative au plan de reprise d'activit. Une rgle prcde du symbole "v" souligne le caractre majeur pour les organismes sensibles : prcisons que le caractre obligatoire de certaines rgles, au sens de la rglementation, se situe au niveau de leur mise en uvre et non de leur dclaration dans une politique de scurit. A titre d'exemple, citons les rgles relatives l'valuation pour les administrations de l'tat. En revanche, les rgles non prcdes d'un symbole reclent un caractre spcifique qui est li l'identit de l'organisme et, en dehors de contextes trs particuliers, elles peuvent s'avrer inapplicables ; ainsi, la rgle qui prvoit la rotation des personnes aux postes sensibles ne peut pas tre toujours applique, ds lors que la ressource en personnel qualifi est insuffisante. Trigrammes de chapitre Pour faciliter le reprage d'une rgle, celle-ci est prcde d'un trigramme dsignant le chapitre et d'un numro d'identification l'intrieur du chapitre : PSI INF BPH OGS PER CVE
er pour le 1 chapitre, se rapportant au principe gnral pour une PSI, pour le 2me chapitre, se rapportant l'information, me pour le 3 chapitre, se rapportant aux biens physiques, pour le 4me chapitre, se rapportant l'organisation de la scurit, pour le 5me chapitre, se rapportant au personnel, pour le 6me chapitre, relatif au cycle de vie du systme d'information.

noncs de rgle Le formalisme utilis pour l'criture des rgles, "Une rgle prvoit...", ne signifie pas que l'nonc de la rgle est en lui-mme suffisant pour tre applicable en tant que consigne ou mesure oprationnelle : il ne fait que traduire l'expression de la volont de la hirarchie de voir inscrire dans les habitudes de travail tel ou tel aspect de la scurit et il signifie ce quoi il est ncessaire de veiller. Commentaires de rgle Les commentaires de rgle ne sont que des illustrations permettant de comprendre le sens des mots ou concepts utiliss, ainsi que les incidences, pour le systme d'information, de l'absence de la rgle propose et, dans certains cas, de suggrer quelques procdures ou consignes qu'il conviendrait d'adopter. Polices de caractres utilises Des polices de caractres diffrentes ont t utilises pour les rgles de scurit et leurs commentaires : les rgles sont crites en caractre gras et les commentaires en caractres italiques.

GS-OO1

30

Juillet 1994

P.S.I.

PRINCIPE GNRAL POUR UNE POLITIQUE DE SCURIT INTERNE

Chapitre 1 Principe gnral pour une politique de scurit interne


Rappel : " " : rgle de base - "v" : rgle caractre majeur pour les organismes sensibles

 v PSI-001

Une rgle prvoit la responsabilit gnrale pour la scurit du systme d'information de l'organisme

La nomination d'un responsable de la scurit permet de veiller au respect d'une politique de scurit interne tous les chelons et domaines de l'organisme. Ce responsable, rattach la direction de l'organisme doit pouvoir faire prvaloir l'aspect scuritaire sur les intrts particuliers et intgrer la scurit dans tous les projets touchant les systmes d'information. La mise en place de cette fonction rvle l'importance donne par l'organisme sa politique de scurit.
v PSI-002 Une rgle prvoit les responsabilits pour l'laboration et la mise en uvre d'une politique de scurit interne

La politique de scurit interne concerne toutes les fonctions vitales d'un organisme ; en effet, celui-ci ne pourrait gnralement pas supporter une dfaillance prolonge de son systme d'information. De ce fait, la politique de scurit interne revt un intrt stratgique : une rgle peut dfinir les responsabilits pour son laboration au sein, par exemple, d'un comit de pilotage. De plus, dans la phase de mise en uvre de la politique de scurit, la rgle tablit les responsabilits des autorits qualifies dans la mise en place et le contrle des consignes de scurit pour l'installation et l'exploitation des moyens composant le systme d'information. Elle met tout particulirement en vidence, la ncessit d'une intgration de la scurit ds la conception et le dveloppement de nouveaux projets intressant le systme d'information.

GS-OO1

31

Juillet 1994

P.S.I.

PRINCIPE GNRAL POUR UNE POLITIQUE DE SCURIT INTERNE

Page laisse blanche

GS-OO1

32

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS L'INFORMATION

Chapitre 2 Principes de scurit lis l'information


Rappel : " " : rgle de base - "v" : rgle caractre majeur pour les organismes sensibles

L'information, sous rserve qu'elle soit pertinente - donc utile -, est devenue au mme titre que tout autre matire premire une ncessit vitale pour l'accomplissement des activits d'un organisme. Aussi, parmi toutes les dfinitions du concept d'information, nous suggrons de prsenter celle, plus dlimite mais plus en rapport avec le titre de ce chapitre, "d'information utile" : "L'information utile est celle dont ont besoin les diffrents niveaux de dcision de l'entreprise ou de la collectivit concerns pour laborer et mettre en uvre de faon cohrente la stratgie et les tactiques ncessaires l'atteinte des objectifs dfinis (innovation technologique, produits, parts de marchs, performances, etc.). Les actions qui en dcoulent s'ordonnent au sein de l'entreprise en un cycle ininterrompu, gnrateur d'une vision partage des objectifs atteindre"31 .

2.1. Principe de protection juridique des informations


Les rgles de scurit nonces dans ce paragraphe sont l'application des textes lgislatifs et des recommandations en vigueur (voir les annexes 5 7) portant sur le principe de la protection juridique des informations comme, par exemple, le Code de la proprit intellectuelle.  v INF-001 Une rgle prvoit les directives d'application pour la protection juridique des informations de l'organisme

Cette rgle vise sensibiliser le personnel sur le devoir de protection juridique des informations qu'il utilise ou qui lui sont confies afin de diminuer le risque de dtournement ou d'appropriation par des tierces personnes. Les directives d'application se rfrent, en partie, au principe de responsabilit du personnel et, plus particulirement, la rgle relative la notion de responsable-dtenteur (PER-007).

31

D'aprs l'article de J. PICHOT-DUCLOS paru dans la revue Dfense nationale, intitul "L'intelligence conomique, arme de l'aprs-guerre froide", dcembre 1993, pages 83 104

GS-OO1

33

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS L'INFORMATION

 v INF-002

Une rgle prvoit la protection des informations confies l'organisme

Cette rgle permet de s'assurer du bon respect de la loi et de la rglementation existante. Les informations dtenues provisoirement par l'organisme et qui comportent, du fait de leur propritaire, une classification ou une mention particulire de protection doivent tre protges rigoureusement selon les mmes mesures qui sont appliques par l'organisme d'origine. Ces mesures peuvent dcouler d'instructions interministrielles comme, par exemple, celle traitant du respect de la classification des informations lies au secret de dfense (IGI n900), de la protection des informations concernant le patrimoine national (II n486) ou de l'tablissement d'un march de dfense (II n2000) ; dans le cadre d'un contrat particulier liant plusieurs organismes, les mesures de protection relvent de l'application du Code civil.

2.2. Principe de typologie des informations ncessitant une protection


L'adoption d'une typologie a pour but l'identification des informations ncessitant une protection en vue de leur regroupement en classes de mme niveau d'exigence de scurit. La rglementation en vigueur distingue deux types d'informations : les informations relevant du secret de dfense dfinies dans l'IGI n900 et pour lesquelles le niveau d'exigence de scurit n'est pas ngociable ; la typologie retenue dans l'article 5 dcrit les informations traites, principalement sous l'angle de la confidentialit et de l'intgrit et les informations traitantes dites vitales pour le fonctionnement du systme, principalement sous l'angle de la disponibilit et de l'intgrit, les informations dites sensibles ne relevant pas du secret de dfense au sens de la Recommandation n901 et pour lesquelles le niveau d'exigence de scurit est ngociable en fonction des considrations environnementales propres l'organisme. Toutefois une autre typologie, gouvernemental, distingue : couramment retenue en milieu non

les informations sensibles, qu'elles relvent ou non du secret de dfense, les informations vitales pour l'exercice de la mission ou du mtier de l'organisme,

GS-OO1

34

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS L'INFORMATION

les informations nominatives au sens de la Loi informatique et liberts.

GS-OO1

35

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS L'INFORMATION

De plus, certains experts largissent cette typologie aux notions : d'informations stratgiques qui sont des informations non ncessairement sensibles ou vitales mais dont l'acquisition est ncessaire pour atteindre les objectifs correspondant aux orientations stratgiques de l'organisme, d'informations coteuses qui sont des informations dont la collecte, le traitement, le stockage ou la transmission ncessitent un dlai important ou un cot d'acquisition lev. Cette deuxime typologie offre l'avantage d'largir la notion d'information ne relevant pas du secret de dfense celles qui puisent leur lgitimit sur la prservation des intrts particuliers de l'organisme. Elle ne minimise pas pour autant l'importance qui doit tre accorde l'identification et la protection de l'information relevant du secret de dfense selon la rglementation en vigueur. Remarque : Dans le secteur non gouvernemental, il est galement courant d'utiliser cette typologie pour dfinir une chelle de valeurs des informations permettant ainsi d'apprcier le risque qui peut leur tre attach, ( savoir, niveau stratgique, critique, sensible et de faible risque)  v INF-003 Une rgle prvoit l'adoption d'une classification des informations sensibles

Les informations sensibles sont celles dont la divulgation ou l'altration peuvent porter atteinte aux intrts de l'tat, tout comme ceux de l'organisme pour lequel un prjudice financier, par exemple, peut le conduire la faillite. Il faut par consquent, assurer principalement leur confidentialit et, assez souvent, rpondre un besoin important d'intgrit. Les informations classes dans cette catgorie sont :
d'une part, les informations relevant du secret de dfense au sens de l'article 5 de l'IGI n900 ; l'organisme est alors tenu de respecter les rgles de classification spcifies dans la rglementation, d'autre part, les informations sensibles non classifies de dfense au sens de l'article 4 de la recommandation n901, c'est--dire, celles lies la mission ou au mtier de l'organisme (par exemple, au savoir-faire technologique), celles relatives aux propositions commerciales ou bien encore aux renseignements sur l'tat de la scurit (par exemple, les rsultats d'audits internes).

La classification retenue vise faciliter le contrle et, par consquent, amliorer la protection des informations sensibles. Pour celles qui ne ressortissent pas de l'IGI 900, la classification choisie doit tre approuve par l'organisme.

GS-OO1

36

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS L'INFORMATION

v INF-004

Une rgle prvoit l'adoption d'une classification des informations vitales

Les informations vitales sont celles dont l'existence est ncessaire au bon fonctionnement de l'organisme. Il faut principalement assurer leur disponibilit et, assez souvent, rpondre un besoin important d'intgrit. Les informations que l'on peut identifier comme vitales sont:
d'une part, les informations traitantes relevant du secret de dfense au sens de l'article 6 de l'IGI n900, d'autre part, les informations traitantes ne relevant pas du secret de dfense au sens de l'article 5 de la Recommandation n901 mais ncessaires pour le fonctionnement du systme, ainsi que des informations traites (sortant du champ de l'article 5) comme, par exemple, les nomenclatures d'articles pour une unit de production.

La classification retenue vise faciliter le contrle et, par consquent, amliorer la protection des informations vitales. Pour celles qui ne ressortissent pas de l'IGI 900, la classification choisie doit tre approuve par l'organisme. En particulier, il peut tre prvu la spcification d'un seuil minimum de disponibilit des informations vitales (traites ou traitantes) en dessous duquel le systme d'information est dclar inoprant.
INF-005 Une rgle prvoit l'adoption informations nominatives. d'une classification des

Cette rgle est une application de la loi "Informatique et Liberts" dont l'article 4 dfinit la notion d'information nominative : "les informations nominatives sont celles qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectu par une personne physique ou par une personne morale". La classification retenue vise faciliter le contrle et, par consquent, amliorer la protection des informations nominatives conformment la loi ; elle peut s'appuyer sur des critres propres l'organisme comme, par exemple, un domaine particulier (mdical, recrutement, etc.), le type de sondage ou d'enqute, le lieu de traitement ou de stockage.

GS-OO1

37

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS L'INFORMATION

v INF-006

Une rgle prvoit l'adoption informations stratgiques

d'une

classification

des

Les informations stratgiques sont des informations non ncessairement sensibles ou vitales mais dont la connaissance est ncessaire pour atteindre les objectifs correspondant aux orientations stratgiques de l'organisme. Elles peuvent tre protges par des textes lgislatifs cits en annexe 7.1., mais peuvent aussi faire l'objet de contrats, de conventions ou de protocoles d'accord protgs par le Code civil. La classification retenue vise faciliter le contrle et, par consquent, amliorer la protection des informations stratgiques ; elle peut s'appuyer sur des critres propres l'organisme comme, par exemple, un secteur particulier (tudes, innovations, marchs, etc.), le niveau de valeur accord et la dure de validit.
INF-007 Une rgle prvoit l'adoption informations coteuses d'une classification des

Les informations coteuses sont des informations qui font partie du patrimoine de l'organisme et dont la collecte, le traitement, le stockage ou la transmission ncessitent un dlai important ou un cot d'acquisition lev. Les dispositions lgislatives numres dans la rgle prcdente peuvent tre appliques cette catgorie. La classification retenue vise faciliter le contrle et, par consquent, amliorer la protection des informations coteuses ; elle peut s'appuyer sur des critres propres l'organisme comme, par exemple, un secteur particulier (tudes, innovations, etc.), la provenance et le niveau de cot.

2.3. Principe de continuit dans la protection des informations


Le principe de continuit dans la protection des informations s'inscrit dans les phases de recueil, de diffusion interne ou externe l'organisme et de stockage ; pour ce faire, il est essentiel de disposer de critres, approuvs par l'organisme, permettant de trier, de diffuser et de stocker les informations autres que celles relevant du secret de dfense et pour lesquelles s'applique la rglementation. La protection requise pour le traitement des donnes en phase d'exploitation du systme d'information est un aspect important qui est trait au chapitre 5, intitul "Principes de scurit lis au cycle de vie du systme d'information".

GS-OO1

38

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS L'INFORMATION

INF-008

Une rgle prvoit les critres d'apprciation de la nature et de la valeur des informations recueillies

En dehors des informations relevant du secret de dfense et des informations nominatives pour lesquelles les textes lgislatifs en vigueur doivent tre appliqus, il est utile de disposer de critres propres l'organisme, et lis ses orientations stratgiques, pour apprcier la nature et la valeur des informations recueillies. Ces critres portent principalement sur le contrle de l'origine des informations, sur l'apprciation de leur intrt et de leur validit par rapport leur cycle de vie dans le processus oprationnel de production :
le contrle de l'origine des informations (provenance trangre, domaine public, client, fournisseur, etc.) revt un caractre majeur pour la scurit ; des critres plus spcifiques peuvent alors tre prvus en fonction de la provenance pour juger d'une ventuelle compromission avant leur collecte, de leur exactitude, de leur validit et de leur correcte prsentation pour le systme, l'apprciation de l'intrt et de la validit de l'information recueillie se fait par application de critres clairement dfinis par la direction de l'organisme et qui peuvent porter sur un domaine particulier (R&D, cercles de qualit, veille technologique, etc.).

A ces contrles, il est souvent associ celui de l'intgrit des supports de l'information, lorsque celle-ci est dj codifie sous forme de donnes exploitables par le systme d'information.
v INF-009 Une rgle prvoit les critres de diffusion interne des informations

Afin d'viter les indiscrtions et les fuites, les informations et gnralement les supports associs, ne doivent pouvoir tre utiliss que dans un environnement rpondant aux exigences de scurit dfinies par l'organisme. Le contrle de la diffusion interne a pour but de s'assurer que les informations sont rendues disponibles exclusivement aux personnes ayant le besoin de les connatre dans le cadre de leur travail. Un contrle permet galement de vrifier que la recopie d'informations est conforme aux prrogatives prvues par la loi (droit d'auteur, copyright) et la rglementation (secret de dfense).

GS-OO1

39

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS L'INFORMATION

 v INF-010

Une rgle prvoit les critres de diffusion externe des informations

La mise disposition non contrle d'informations ncessitant une protection peut porter prjudice l'organisme (par exemple, perte de crdibilit ou d'image de marque, rcupration de savoir-faire, etc.). La mise en place de critres permet de s'assurer que les informations transmises l'extrieur d'un organisme, si elles sont de nature confidentielle, impose un contrle pralable d'habilitation du rcepteur ou une clause contractuelle liant les organismes concerns ; dans le cas d'informations nominatives, la communication doit tre en accord avec la loi. Par ailleurs, dans le cadre de cette rgle, il peut tre envisag que la diffusion externe des informations soit effectue par du personnel habilit et selon une procdure d'autorisation pralable.
 v INF-011 Une rgle prvoit les normes de conservation et de destruction des informations ncessitant une protection

Les catgories d'informations prcdemment dcrites ncessitent des conditions de stockage et de destruction adaptes. En ce qui concerne les informations relevant du secret de dfense, la rglementation prcise les mesures prendre suivant leur niveau de classification. Pour les autres catgories, les mesures sont adaptes l'environnement propre l'organisme et doivent demeurer cohrentes entre elles. En particulier, le contrle pralable des bonnes conditions de stockage revt un aspect fondamental ds lors que l'information est confie contractuellement un organisme. La destruction d'urgence peut, pour certains organismes, revtir un aspect majeur en situations exceptionnelles (meutes, guerre civiles, etc.) mais, plus couramment, des normes prcises peuvent tre adoptes pour l'limination de l'information prime qui conserve un caractre rsiduel de confidentialit.

GS-OO1

40

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS L'INFORMATION

Page laisse blanche

GS-OO1

41

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AUX BIENS PHYSIQUES

Chapitre 3 Principes de scurit lis aux biens physiques


Rappel : " " : rgle de base - "v" : rgle caractre majeur pour les organismes sensibles

Les principes de scurit prsents dans ce chapitre s'appliquent aux biens physiques constitus par : l'infrastructure au sein de laquelle fonctionne le systme d'information savoir, les sites d'installation, les btiments et les locaux abritant le systme d'information, les matriels composant le systme d'information savoir, les diverses units utilises pour la collecte, le traitement, la transmission, l'enregistrement et la conservation des informations, les quipements de soutien assurant les services ncessaires au fonctionnement des matriels composant le systme d'information comme, par exemple, la fourniture d'nergie et de climatisation ; on range galement dans cette catgorie la documentation, les matriels consommables lorsqu'ils reprsentent des ressources sensibles pour la mission ou le mtier de l'organisme comme, par exemple, un stock de cartes puce prpersonnalises destin une application sensible, les moyens de protection, au sens du chapitre 2 de l'IGI 900, comprenant les quipements et mcanismes (matriels et logiciels) qui sont incorpors dans le systme d'information pour assurer la disponibilit, l'intgrit et la confidentialit des informations. Ce chapitre dcrit les principes appliqus aux biens physiques du systme d'information, savoir : le principe de protection, qui a pour objet la rduction des risques identifis ou redouts, le principe de gestion, qui a pour objet la prise en compte et le suivi des biens physiques. Les principes et les rgles concernant la dtention des biens physiques sont traits au chapitre 5, relatif au personnel ; ceux concernant l'utilisation sont traits au chapitre 6, relatif au cycle de vie du systme d'information.

GS-001

41

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AUX BIENS PHYSIQUES

3.1. Principe de protection des biens physiques


Tout organisme, quel que soit son type d'activit et son niveau de vulnrabilit, est soumis des menaces potentielles qui peuvent tre accidentelles ou intentionnelles et entraner la mise hors service, temporaire ou dfinitive, de tout ou partie du systme d'information. Les quatre lments de l'environnement naturel (l'eau, l'air, la terre et le feu) engendrent des phnomnes qui font peser sur le systme d'information les menaces accidentelles suivantes : celles rsultant des phnomnes naturels provoqus par l'lment liquide comme, par exemple, l'inondation ou le gel, celles rsultant de la transformation d'un lment gazeux comme, par exemple, la vapeur acide ou l'explosion, celles rsultant des phnomnes gnrant des ondes de chocs comme, par exemple, les sismes, celles rsultant de la transformation d'un champ d'nergie comme, par exemple, la chaleur ou la foudre. A ces phnomnes naturels s'ajoutent les perturbations des matriels lectroniques dus aux rayonnements lectromagntiques ou nuclaires (radars, antennes, lignes trs haute tension, etc.) ; ces dysfonctionnements sont aussi le fait de dfaillances matrielles ou humaines comme, par exemple, la panne d'un composant, une coupure d'lectricit ou une erreur d'exploitation. Quant aux menaces intentionnelles, elles correspondent des actions qui visent principalement nuire (vol, sabotage, destruction, etc.).  v BPH-001 Une rgle prvoit la prise en compte des contraintes oprationnelles de l'organisme dans la mise en place des moyens et procdures de scurit physique

Cette rgle est une application pluridisciplinarit de l'OCDE, savoir :

du

principe

gnral

de

"Les mesures, pratiques et procdures de scurit des systmes d'information doivent prendre en compte toutes les considrations pertinentes qu'elles soient d'ordre technique ou administratif et concernant l'organisation, l'exploitation, le commerce, l'ducation ou le droit". La mise en place de moyens et procdures de scurit physique qui ne prend pas en compte les contraintes de l'organisme peut constituer
42

GS-001

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AUX BIENS PHYSIQUES

une entrave au bon fonctionnement des tches oprationnelles et engendrer un rejet de la part du personnel vis--vis de la scurit.
v BPH-002 Une rgle prvoit la gradation des mesures de protection physique

Cette rgle est une application du principe gnral de proportionnalit de l'OCDE, savoir : "Les niveaux, cots, mesures, pratiques et procdures de scurit doivent tre appropris et proportionns la valeur et au degr de dpendance envers les systmes d'information, ainsi qu' la gravit, la probabilit et l'ampleur des ventuels prjudices". Les mesures de protection des biens physiques ont pour objectif de rduire l'ampleur des atteintes, principalement dans le domaine de la disponibilit et de l'intgrit. L'absence de solutions universelles capables de rpondre toutes les formes de menaces oblige l'organisme mettre en uvre un ensemble de mesures susceptibles de contrecarrer le cheminement d'une attaque et de rparer les dommages causs : ce sont les mesures de prvention, de dtection, de raction et de recouvrement. Les mesures de prvention visent diminuer la probabilit d'apparition d'un sinistre. Elles consistent, par exemple, porter attention la localisation de certains locaux (comme les bandothques, les salles d'archives, les canalisations, les salles de rangement de produits dangereux) face aux risques d'incendie ou d'inondation ou surveiller la conformit de l'utilisation des matriels. Les mesures de dtection visent donner l'alerte lors d'une tentative d'intrusion ou du dclenchement d'un sinistre dans le primtre du systme d'information. Elles doivent galement permettre de localiser cette alerte. Ces mesures se traduisent par la mise en place aux endroits critiques de moyens de dtection et d'alerte comme, par exemple, des capteurs de chaleur ou des camras de surveillance. Les mesures de raction visent lutter contre un sinistre dclar en vue de rduire son impact. Ces mesures se traduisent par le dclenchement de moyens d'interventions prvus par l'organisme comme, par exemple, un service de lutte contre l'incendie. Les mesures de recouvrement visent limiter les consquences d'un sinistre et faciliter le retour au fonctionnement normal du systme d'information. Elles peuvent se traduire par l'activation de moyens de secours ou par la dsactivation de fonctions de scurit comme, par exemple, la suppression temporaire du contrle d'accs

GS-001

43

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AUX BIENS PHYSIQUES

physique dans le cadre d'un fonctionnement de la scurit en mode dgrad. Pour l'ensemble des sinistres redouts par l'organisme, les mesures choisies devraient tre graduelles, afin d'offrir un niveau de rsistance suffisant pour contrecarrer ou attnuer l'attaque.
v BPH-003 Une rgle prvoit l'adquation des mesures de protection aux catgories de biens physiques

Cette rgle peut tre rattache au principe gnral d'intgration de l'OCDE, savoir : "Les mesures, pratiques et procdures de scurit des systmes d'information doivent tre coordonnes et harmonises entre elles et les autres mesures, pratiques et procdures de l'organisme afin de raliser un dispositif de scurit cohrent". Cette rgle indique que les mesures dont il est fait mention la rgle prcdente peuvent tre dclines selon les trois catgories de biens physiques savoir, l'infrastructure, les matriels et les quipements de soutien.
v BPH-004 Une rgle prvoit le contrle permanent de l'intgrit des moyens de protection

Le contrle de l'intgrit des moyens de protection est un aspect fondamental de la scurit. Cette rgle concerne les dispositifs de scurit auxquels il est fait confiance pour assurer la protection des informations traites : il s'agit des quipements, des mcanismes (matriels et logiciels) et de la documentation qui leur est associe, nomms dans l'article 10 de l'IGI 900, "Articles Contrls de Scurit des Systmes d'Information" (ACSSI). Le maintien de cette confiance justifie un contrle de l'intgrit de ces moyens qui ont un cycle de vie : ils sont conus, raliss, utiliss, rpars puis rforms ou dtruits. Leur intgrit, condition fondamentale de l'efficacit de la scurit, est garantie par la mise en uvre de mesures de gestion spcifiques.

GS-001

44

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AUX BIENS PHYSIQUES

3.2. Principe de gestion des biens physiques


La base essentielle d'une politique de scurit repose sur la connaissance des biens physiques qui composent le systme d'information. La mise en uvre d'une gestion de ces biens en permet un suivi rigoureux. Le principe de cette gestion regroupe les rgles portant sur le dcoupage de l'infrastructure en zone de scurit, la continuit dans la gestion ainsi que la gestion spcifique des biens physiques ncessitant une protection. v BPH-005 Une rgle prvoit le dcoupage de l'infrastructure en zones de scurit

Les sites, les btiments et les locaux contenant des biens matriels ou immatriels (les informations et leurs supports associs, les matriels constitutifs du systme d'information) ou abritant des activits critiques au regard de la scurit, doivent tre contrls tout particulirement au niveau de leurs accs. Une zone de scurit est une zone dans laquelle des dispositions permanentes sont prises pour contrler les mouvements du personnel et des matriels, ainsi que pour dtecter et empcher toute coute. Un dcoupage de l'infrastructure en zones de scurit facilite la mise en place de dispositifs adapts, tout particulirement pour le contrle de la circulation du personnel par attribution de droits d'accs spcifiques aux zones. Ces droits peuvent tre lis aux postes de travail et aux niveaux de responsabilit.
BPH-006 Une rgle prvoit la continuit dans la gestion des biens physiques

La gestion des biens physiques est assure tout au long de leur cycle de vie : phases d'affectation, d'installation, de fonctionnement, d'entretien, de mise au rebut et de destruction. Ces biens peuvent galement tre amens changer de propritaire ou de responsable, d'environnement ou d'usage (prt de matriels pour une exposition, raffectation d'un matriel dans le cadre d'un projet nouveau). La rgle prvoit que les mesures choisies offrent une protection continue quelles que soient les volutions ou les changements d'utilisation des biens physiques.

GS-001

45

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AUX BIENS PHYSIQUES

Cette continuit de gestion repose sur l'adoption d'une classification (incluant, le cas chant, la classification de dfense au sens de l'IGI 900), sur le suivi des biens physiques depuis leur mise en service, leur volution jusqu' leur remplacement. Les principales mesures qui dcoulent de cette rgle intressent le recensement, le marquage des biens et les mesures spcifiques de protection physique correspondant leur tat (prt, maintenance, etc.) ou leur classification :
le recensement des biens physiques permet d'identifier ceux ncessitant une protection, l'opration de marquage est la matrialisation concrte de la reconnaissance qu'un lment appartient une classe donne, les mesures spcifiques de protection physique dsignent les actions entreprendre suivant la classification choisie. Par exemple, un calculateur marqu "Confidentiel XX" devra se situer dans un environnement physique adapt ce niveau de protection, comme celui d'une "zone rserve". v BPH-007 Une rgle prvoit la gestion spcifique des biens physiques ncessitant une protection

La gestion des biens physiques ncessitant une protection comprend l'adoption d'une classification ou d'une typologie, les mesures de gestion de ces biens et les mesures de protection tout au long de leur vie. L'article 10 de l'IGI n900 dfinit ainsi les biens physiques faisant l'objet d'une classification de dfense : "Tout document, logiciel ou matriel qui, par son intgrit ou sa confidentialit contribue la scurit d'un systme d'information, reoit la mention ACSSI qui rappelle que sa gestion et sa protection doivent tre assures conformment aux prescriptions de l'instruction ministrielle relative aux Articles Contrls de la Scurit des Systmes d'Information". Pour les biens physiques non classifis de dfense, l'adoption d'une typologie permet de les regrouper suivant leur nature et leur affectation. Des classes de protection sont tablies en fonction du niveau d'exigence de scurit, c'est--dire des critres de confidentialit, d'intgrit et de disponibilit attachs ces biens pour en garantir une surveillance continue. La typologie adopte est spcifique la mission ou au mtier, la culture et aux contraintes propres l'organisme.

GS-001

46

Juillet 1994

P.S.I.

PRINCIPES LIS L'ORGANISATION DE LA SCURIT

Chapitre 4 Principes lis l'organisation de la scurit


Rappel : " " : rgle de base - "v" : rgle caractre majeur pour les organismes sensibles

L'adhsion de la hirarchie une politique de scurit interne ne peut suffire garantir la protection d'un systme d'information en l'absence d'une organisation ddie la scurit. En effet, les responsables de tout niveau doivent pouvoir faire appel des spcialistes capables de prendre en charge l'laboration de la rglementation, la formation du personnel, la coordination et le contrle des actions de scurit. Les principes prconiss dans ce chapitre pour atteindre ces objectifs, reposent sur la mise en place d'une structure de scurit et sur la continuit de l'action de contrle.

4.1. Principe d'une structure de la scurit


La structure de scurit est l'organisation mise en place pour la gestion des diffrentes composantes de la scurit et de leurs volutions ; elle implique un partage des responsabilits entre les diffrents niveaux hirarchiques, savoir : le niveau dcisionnel, le niveau de pilotage, le niveau oprationnel. Le principe de responsabilit du personnel est formul au chapitre 5.  v OGS-001 Une rgle prvoit les responsabilits du niveau dcisionnel

Il appartient au niveau dcisionnel de prendre toute disposition pour concevoir et mettre en place une scurit adapte aux besoins de l'organisme et de s'assurer du respect de la politique de scurit interne. Pour un organisme ministriel, ce niveau est celui du haut fonctionnaire de dfense (HFD) qui reoit dlgation du ministre ; il est responsable de l'application des dispositions relatives la scurit de dfense, la protection du secret et la scurit des systmes d'information.

GS-001

47

Juillet 1994

P.S.I.

PRINCIPES LIS L'ORGANISATION DE LA SCURIT

Il peut tre aid dans sa mission par un fonctionnaire de scurit des systmes d'information (FSSI) dont les principales missions sont (IGI 900, article 19) :
de prciser les modalits d'application des instructions interministrielles, d'laborer et de contrler l'application des instructions particulires son ministre, d'organiser la sensibilisation des autorits, d'assurer la liaison avec les commissions interministrielles et ministrielles spcialises.

Pour un organisme public ou priv, ce niveau est celui d'un haut responsable de la scurit qui reoit dlgation du comit de direction ; il est aid dans sa mission par un comit de scurit. Le comit de direction fixe, sur proposition du haut responsable de la scurit, les grandes orientations en matire de scurit du systme d'information, en accord avec les objectifs de l'organisme et les diffrentes politiques mises en uvre (politique de gestion du personnel, budgtaire, de production, etc.). Ce comit peut tre, par ailleurs, l'instance de validation de la politique de scurit interne. Le haut responsable de la scurit veille l'application de la politique de scurit. Il participe aux dlibrations du comit de direction dont il est le conseiller pour toutes les questions relatives la scurit telles que la dfinition des objectifs, l'allocation des ressources et du personnel. Le comit de scurit, prsid par le haut responsable de la scurit, runit les responsables de la scurit des diffrentes fonctions de l'organisme. Il veille la coordination de la mise en uvre de la politique de scurit interne : il vrifie tout particulirement la cohrence des rgles de scurit et arbitre les conflits ventuels avec les autres rgles et pratiques en usage dans l'organisme. Une quipe de scurit du systme d'information, la disposition du haut fonctionnaire de dfense (ou du haut responsable de la scurit), peut tre constitue si les besoins de l'organisme l'exigent. Elle rassemble des spcialistes en informatique et en rseaux de tlcommunication, forms la scurit et dont les principales missions sont :
la prparation et la coordination des activits de scurit, l'valuation priodique des vulnrabilits, la recherche des solutions techniques et l'laboration des procdures,

GS-001

48

Juillet 1994

P.S.I.

PRINCIPES LIS L'ORGANISATION DE LA SCURIT

la mise en place de programmes de sensibilisation et de formation, les expertises de scurit sur demande du comit de direction. v OGS-002 Une rgle prvoit les responsabilits du niveau de pilotage

Ce niveau est celui des autorits qualifies qui sont responsables de la scurit du systme d'information dont ils ont la charge (IGI 900, article 20 et Recommandation 901, article 19). Leur mission est d'adapter la politique de scurit interne leur niveau (direction, service, tablissement, etc.) et, plus prcisment :
de s'assurer du respect des dispositions contractuelles et rglementaires, d'laborer les consignes et les directives internes, de s'assurer que les contrles internes de scurit sont correctement effectus, d'organiser la sensibilisation du personnel.

Ces autorits peuvent s'appuyer sur les comptences de l'quipe de scurit.


v OGS-003 Une rgle prvoit les responsabilits du niveau oprationnel

A tous les niveaux, les autorits hirarchiques sont personnellement responsables de l'application des mesures, dfinies par les autorits qualifies, destines assurer la scurit des systmes d'information (IGI 900, article 20 et Recommandation 901, article 19). Pour permettre chaque site, service ou unit la mise en uvre des consignes et des procdures, les autorits hirarchiques se font assister par un ou plusieurs agents de la scurit chargs principalement :
de la gestion et du suivi des articles contrls de scurit des systmes d'information se trouvant sur le ou les sites o s'exercent leurs responsabilits, du contrle des personnes, des informations et de la scurit des systmes et des rseaux.

Ces agents sont les correspondants privilgis de l'quipe de scurit.

GS-001

49

Juillet 1994

P.S.I.

PRINCIPES LIS L'ORGANISATION DE LA SCURIT

Ils peuvent galement avoir en charge les ressources communes plusieurs units oprationnelles. Leur rle est alors la mise en uvre des mesures de protection compatibles avec les objectifs des units et la rsolution locale des problmes de scurit. En l'absence de telles mesures, il pourrait s'ensuivre un arbitrage difficile entre une tche fonctionnelle et une action de scurit.

4.2. Principe de continuit du contrle de la scurit


La notion de continuit utilise dans ce principe fait rfrence la ncessit de l'action de contrle et la rgularit de sa mise en uvre : la ncessit de contrle signifie qu'il est exerc par tous les niveaux de responsabilits prcdemment dfinis et selon leurs prrogatives respectives, la rgularit de mise en uvre signifie que les actions de contrle sont prvues dans le plan de charge de tous les niveaux de responsabilits. v OGS-004 Une rgle prvoit les circonstances retenues par le niveau dcisionnel pour mettre en uvre les contrles de scurit

Le responsable de la scurit contrle la cohrence et la validit des programmes d'quipement de son organisme par rapport aux grandes orientations de la scurit. Par ailleurs, et dans la cadre d'enqutes dclenches sa demande, des contrles sont mis en uvre par l'quipe de scurit : ces contrles sont caractriss par leur porte et leur ampleur :
leur porte fait rfrence la dfinition du niveau de dtail (c'est la composante verticale), leur ampleur fait rfrence aux divers lments pris en compte dans le contrle (c'est la composante horizontale).

Il est essentiel, pour le climat de confiance du personnel et le bon droulement de la mission de l'organisme, d'adopter une gradation dans les contrles de scurit, fonction de circonstances clairement nonces par le niveau dcisionnel ; en dehors d'un contexte judiciaire ou disciplinaire, ces contrles devraient tre accompagns d'une action de communication et de prparation du personnel.

GS-001

50

Juillet 1994

P.S.I.

PRINCIPES LIS L'ORGANISATION DE LA SCURIT

OGS-005 Une rgle prvoit les modalits des contrles par le niveau de pilotage

L'valuation priodique des vulnrabilits est ncessaire pour apprcier le niveau de scurit du systme d'information. Les autorits qualifies, aides par l'quipe de scurit de l'organisme, fixent les modalits techniques, les mthodes et les outils ncessaires la scurit ; elles en contrlent le bon usage et l'efficacit selon des critres noncs par le niveau dcisionnel. Ces contrles qui s'inscrivent dans le cadre d'inspections ou d'audits de scurit planifis, couvrent les diffrents domaines de la scurit des systmes d'information (scurit des informations, scurit physique, organisation de la scurit, scurit du personnel, scurit du fonctionnement du systme d'information). Pour les contrles ncessitant le recours au personnel oprationnel et aux ressources techniques, une planification par le niveau du pilotage s'impose pour qu'ils ne constituent pas une gne au bon droulement de la mission de l'organisme.
v OGS-006 Une rgle prvoit la continuit du contrle de scurit par le niveau oprationnel

Les agents de scurit effectuent les contrles qui leur sont impartis par application de seuils de tolrance fixs par l'autorit qualifie. L'observation d'carts rpts, lis par exemple aux contraintes de l'exploitation, ou bien le changement d'tat du systme d'information peuvent conduire le niveau de pilotage une modification de ces seuils. Leurs actions de contrle sont troitement lies l'excution des tches oprationnelles et elles intressent (IGI 900, art.20):
la protection des personnes comme, par exemple, la tenue jour de la liste du personnel employ titre permanent et, le cas chant, affect au traitement des informations, la protection des informations comme, par exemple, le contrle de la destruction des informations classifies qui doivent tre expurges du systme, la protection des systmes et rseaux comme, par exemple, le contrle de la diffusion aux utilisateurs des lments d'authentification pour les applications classifies.

Ces contrles sont complmentaires de ceux confis aux ingnieurs systme, qui exploitent les journaux d'audits.

GS-001

51

Juillet 1994

P.S.I.

PRINCIPES LIS L'ORGANISATION DE LA SCURIT

Page laisse blanche

GS-001

52

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AU PERSONNEL

Chapitre 5 Principes de scurit lis au personnel


Rappel : " " : rgle de base - " v " : rgle caractre majeur pour les organismes sensibles

Le comportement et les agissements du personnel dans le cadre de ses activits peuvent avoir une forte incidence sur la prservation des intrts de l'organisme et, tout particulirement, sur la scurit des systmes d'information. Les principes prsents dans ce chapitre sont : le principe de slection du personnel, qui a pour but la protection de l'organisme contre la malveillance interne, le principe de contrle de l'affectation du personnel un poste de travail sensible, qui prend en compte les rsultats d'enqutes individuelles et les statuts particuliers du personnel (stagiaire, vacataire, etc.), le principe de sensibilisation, qui permet une plus grande comprhension et l'adhsion du personnel aux divers aspects de la scurit des systmes d'information, le principe de responsabilit du personnel, qui vise l'intgration des procdures et des contrles de scurit dans les activits oprationnelles.

5.1. Principe de slection du personnel


D'aprs l'observatoire de la sinistralit des risques informatiques31, la principale menace pesant sur les systmes d'information est la malveillance interne, qui reprsente plus de la moiti des sinistres dclars (vol d'informations, dtournement de logiciels, sabotage de matriels ou de locaux, etc.). Le principe de slection du personnel vise rduire la vulnrabilit de l'organisme face cette menace ; il nonce les rgles portant sur l'adoption de critres de slection spcifiques pour le personnel travaillant sur le systme d'information et d'une procdure d'habilitation pour les postes de travail sensibles.

31

Mis en place depuis 1983 par l'APSAD, puis le CLUSIF et dont les statistiques tablies, qui ne concernent pas le secteur gouvernemental, sont corrobores par le Comit europen des assurances.

GS-100

53

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AU PERSONNEL

 v PER-001 Une rgle prvoit l'adoption de critres de slection pour le personnel travaillant sur les systmes d'information sensibles

Cette rgle concerne toutes les catgories de personnel qui sont amenes travailler sur les systmes d'information sensibles. Elle prcise, pour les emplois touchant au fonctionnement et l'utilisation du systme, le mode de slection appliquer par l'organisme pour le recrutement du personnel et, tout particulirement, les critres de scurit requis pour chaque poste de travail32. Par exemple, l'exigence de rfrences des postes sensibles peut tre prise en compte lors de procdures d'embauche. Cette rgle implique la possibilit de vrification des rfrences de travail d'un candidat un emploi ainsi que celles des personnes affectes temporairement une activit ncessitant l'utilisation du systme d'information.
v PER-002 Une rgle prvoit l'adoption d'une procdure d'habilitation pour les postes de travail sensibles

La sensibilit d'un poste de travail fait rfrence au besoin de confidentialit et d'intgrit attach aux informations, aux logiciels et aux matriels qu'il rassemble ; elle se dfinit selon les critres noncs aux chapitres 1 et 2, mais peut aussi tre li la localisation : un poste de responsable des relations humaines dans une rgion fort risque social peut tre considr comme un poste sensible. Pour un poste comportant des manipulations d'informations relevant du secret de dfense, les habilitations du personnel sont dfinies par l'article 3 de l'IGI 1300 : "La procdure d'habilitation consiste vrifier qu'une personne peut, sans risque pour la dfense nationale, la sret de l'tat ou sa propre scurit, connatre des informations classifies d'un niveau dtermin dans l'exercice de ses missions. Au terme de la procdure d'habilitation, l'autorit comptente dcide d'admettre ou non la personne concerne prendre connaissance d'informations classifies au niveau exig". Pour les postes de travail sensibles n'utilisant pas des informations relevant du secret de dfense, une procdure d'habilitation peut tre utilise sur le modle de celle qui doit tre applique dans le cadre des marchs de dfense.

32

Un poste de travail est un ensemble dfini de tches, de devoirs et de responsabilits qui constituent le travail habituel d'une personne.

GS-100

54

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AU PERSONNEL

5.2. Principe de contrle de l'affectation du personnel aux postes de travail sensibles


Le principe de contrle de l'affectation du personnel aux postes de travail sensibles a pour objet la prise en compte des rsultats d'enqutes individuelles et des statuts particuliers (stagiaire, vacataire, etc.). Les rgles attaches ce principe visent principalement rduire le risque de fuites d'informations sensibles vers l'extrieur de l'organisme ; elles traitent du cloisonnement des postes de travail sensibles et de la rotation du personnel ces postes. v PER-003 Une rgle prvoit le cloisonnement des postes de travail sensibles

Le cloisonnement des postes de travail sensibles vise lutter contre la fuite des informations reprsentant un enjeu pour les intrts de l'tat ou de l'organisme. Pour la prservation des intrts de l'tat et, tout particulirement dans le cadre de la protection du secret de dfense, les dcisions d'admission ou d'agrment aux informations classifies d'un niveau donn, telles que dfinies dans les articles 10 12 de l'IGI n1300, n'autorisent pas pour autant le bnficiaire accder toutes les informations relevant de ce niveau ; le besoin de connatre ces informations reste fonction de l'activit de la personne ou des dossiers particuliers qui lui sont confis. D'une manire identique, pour la prservation des intrts propres un organisme dont les informations ne relvent pas du secret de dfense, la connaissance des besoins en informations pour l'accomplissement de la mission ou du mtier permet la mise en place d'un cloisonnement efficace des postes de travail.
PER-004 Une rgle prvoit la rotation du personnel affect aux postes de travail sensibles

La rotation du personnel peut, dans certains cas, viter les risques de collusion et de diminution de la vigilance :
face au risque de collusion, elle permet de limiter les pressions de toute origine sur le personnel pouvant entraner la divulgation des informations classifies, face au risque de diminution de la vigilance, elle permet de limiter les erreurs, d'viter la perte du rflexe du contrle de la confidentialit et de l'intgrit des informations et des ressources du systme alloues.

GS-100

55

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AU PERSONNEL

5.3. Principe de sensibilisation pour la scurit des systmes d'information


Le principe gnral de sensibilisation de l'OCDE nonce : "Pour favoriser la confiance envers les systmes d'information, les propritaires, les fournisseurs, les utilisateurs et toute autre entit concerne doivent pouvoir connatre, de faon compatible avec le maintien de la scurit, tout moment, l'existence et l'ampleur des mesures, pratiques et procdures visant la scurit des systmes d'information". Le principe prsent dans ce paragraphe comprend les rgles portant sur la dfinition des objectifs de la sensibilisation la scurit et son adaptation aux diffrentes classes d'utilisateurs. v PER-005 Une rgle prvoit la dfinition des objectifs de la sensibilisation la scurit

La sensibilisation vise faire prendre conscience chaque utilisateur qu'il dtient une part importante de responsabilit dans la lutte contre la malveillance. La dfinition des objectifs de cette sensibilisation est troitement lie la mission ou au mtier de l'organisme, la sensibilit du patrimoine d'informations et de biens physiques ainsi qu'aux menaces connues. Ils peuvent tre, par exemple, la recherche de l'adhsion du personnel vis--vis de la protection du patrimoine de l'organisme, ou bien encore l'mergence et l'efficacit d'un rseau d'alerte impliquant tous les utilisateurs du systme d'information. Une action de sensibilisation qui ne rpond pas des objectifs clairement exprims n'apporte qu'une illusion de confiance en la capacit du personnel ragir efficacement lors d'une atteinte au systme d'information.
PER-006 Une rgle prvoit l'adaptation de la sensibilisation aux diffrentes classes d'utilisateurs

En matire de scurit, les niveaux de proccupations diffrent considrablement suivant qu'il s'agit du personnel de direction ou d'excution. La sensibilisation est, en consquence, adapte aux niveaux de responsabilit dtenus et aux spcificits des postes de travail. Le personnel concern appartient trois grandes catgories :
celle lie aux activits de direction, d'encadrement, de gestion, de relations extrieures, etc.,

GS-100

56

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AU PERSONNEL

celle lie aux emplois du systme d'information (ingnieurs et techniciens, utilisateurs de la bureautique, etc.), celle lie la scurit des systmes d'information (ingnieurs et techniciens de l'quipe de scurit, agents de la scurit, etc.) qui ncessitent une formation spcialise.

Une sensibilisation qui ne tient pas compte des particularits oprationnelles de chaque classe d'utilisateurs et des exigences plus ou moins fortes lies aux responsabilits ou aux postes de travail n'atteint pas les objectifs assigns et laisse voir la scurit comme une contrainte supplmentaire sans valeur ajoute par rapport l'aspect productivit du poste de travail.

5.4. Principe de responsabilit du personnel


Le principe gnral de sensibilisation de l'OCDE nonce : "Les attributions et responsabilits des propritaires, des fournisseurs, des utilisateurs de systme d'information et des autres parties concernes par la scurit des systmes d'information, doivent tre explicitement exprimes". La responsabilit du personnel peut tre engage ds qu'il dtient ou manipule des informations, des logiciels ou des matriels pour l'accomplissement de sa tche. Les rgles nonces dans ce paragraphe concernent l'application de la notion de responsable-dtenteur, de responsable-dpositaire, de profil d'utilisateur du systme d'information et l'application de la notion de reconnaissance de responsabilits.  v PER-007 Une rgle prvoit l'application de la notion de responsabledtenteur

La notion de responsable-dtenteur concerne le responsable hirarchique d'une unit organique (tablissement, service, centre de responsabilits ou de profit) ou l'autorit qualifie telle qu'elle est dfinie la rgle OGS-002 du chapitre 4 du prsent guide, et qui dispose de ses propres ressources humaines et matrielles pour mener bien sa mission. Le terme de dtention s'applique au patrimoine d'informations, aux logiciels et aux matriels constitutifs du systme d'information et implique l'obligation de respecter les lois, rglements et rgles en vigueur dans l'organisme. Le responsable-dtenteur dtermine les niveaux de risques acceptables et les conditions d'accs aux fichiers, de mises jour des informations (en accord avec les rgles de classification en vigueur

GS-100

57

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AU PERSONNEL

dans l'organisme), ou de modifications des logiciels et des matriels dont il dispose.

GS-100

58

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AU PERSONNEL

PER-008 Une rgle prvoit l'application de la notion de responsabledpositaire

Le responsable-dpositaire reoit dlgation du responsabledtenteur pour l'application des lois, rglements et des rgles de protection concernant les informations, logiciels et matriels durant les phases de collecte, de traitement, de diffusion et de stockage. Le responsable-dpositaire peut tre, par exemple, un informaticien de l'quipe d'exploitation, un documentaliste, un secrtaire, etc. Il est le gardien d'une partie du patrimoine de l'organisme et il est alors tenu, tout particulirement, de se porter garant de l'application de la loi concernant la protection juridique des logiciels qui lui sont confis (copies illicites).
v PER-009 Une rgle prvoit l'application de la notion de reconnaissance de responsabilit

Pour les postes de travail comprenant des informations relevant du secret de dfense, l'attestation de reconnaissance de responsabilit est l'engagement que prend une personne de respecter les lois, rglements et rgles de scurit du systme d'information. Elle fait l'objet d'une dclaration crite et signe conforme l'IGI 1300. En particulier, l'article 16 stipule : "...cette attestation signifie que le titulaire de l'admission reconnat avoir pris connaissance des obligations particulires et des sanctions imposes par le Code pnal tout gardien ou dtenteur d'informations intressant la dfense nationale et la sret de l'tat... il appartient au directeur de l'organisme ou l'autorit hirarchique comptente d'appeler l'attention de l'intress sur le sens de la porte de cette attestation". Pour les postes ne relevant pas de cette catgorie, des clauses spcifiques de confidentialit, de fin de contrat de travail ou de nonconcurrence peuvent tre insres, si besoin est, dans le contrat de travail33. Au caractre essentiellement dissuasif de cette mesure, il peut tre adjoint l'application de sanctions. Les incidences sur le plan disciplinaire du non respect des rgles internes de scurit doivent dans ce cas tre expliques ds la prise de fonction du personnel nouvellement affect.

33

titre d'exemple les dcrets 93-1229 et 1230 du 10 novembre 1993 relatifs au serment professionnel prt respectivement par les personnels de la Poste et de France Tlcom.

GS-100

59

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AU PERSONNEL

 v PER-010 Une rgle prvoit l'application des modalits d'accueil et de circulation des visiteurs

Les modalits d'accueil et de circulation des visiteurs sont gnralement fixes par le service de scurit gnrale. Mais, loin d'interfrer avec celui-ci, il est un devoir pour chaque utilisateur du systme d'information de prendre sa charge l'application de cette rgle dans sa propre zone de travail ou proximit de son poste de travail. Le responsable-dpositaire est, en effet, le mieux plac pour vrifier la non atteinte au patrimoine informationnel qui lui est confi. Cette rgle est rapprocher de celle prconisant le dcoupage de l'infrastructure en zones de scurit laquelle apporte une grande facilit pour le contrle des visiteurs (BPH-005).

GS-100

60

Juillet 1994

P.S.I.

PRINCIPES DE SCURIT LIS AU PERSONNEL

Page laisse blanche

GS-100

61

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

Chapitre 6 Principes de scurit lis au cycle de vie du systme d'information


Rappel : " " : rgle de base - " v " : rgle caractre majeur pour les organismes sensibles

Les principes de scurit noncs dans ce chapitre s'attachent dfinir les rgles essentielles lies au cycle de vie du systme d'information dont les principales phases sont : la spcification, la conception et le dveloppement, la validation et la mise en service, le fonctionnement et ses diffrents tats (rgime normal, reconfiguration, mode de secours, etc.), la maintenance logicielle, matrielle et documentaire, l'volution, la mise hors service et la destruction partielle ou totale. Ces principes s'appliquent tous les constituants qui permettent le fonctionnement et le soutien logistique du systme d'information (logiciels, matriels et documentation). Toutefois, ils n'ont pas pour but de reprendre une une les tapes du cycle de vie d'un systme d'information pour dcrire, sous forme de rgles, les procdures qu'il conviendrait de leur appliquer. Ces principes peuvent couvrir une ou plusieurs phases du cycle de vie du systme d'information comme, par exemple, la mise en place de la documentation de scurit. Les principes prsents dans ce chapitre ont t choisis en fonction de leur impact sur la scurit et concernent : les spcifications pour le dveloppement du systme d'information scuris, l'autorisation d'utilisation du systme d'information, l'exploitation scurise du systme d'information, la scurit pour les communications, la scurit pour la maintenance du systme d'information, la mise en place d'une documentation de scurit, la limitation des sinistres touchant le systme d'information, l'application des ITSEC lorsqu'une valuation de la scurit est envisage, l'anticipation sur l'volution de la scurit du systme d'information.

GS-001

93

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

6.1. Principe de spcification pour le dveloppement du systme d'information scuris


Le principe de spcification pour le dveloppement s'applique tout systme candidat ou non une valuation. Il appartient au responsable de la scurit d'identifier les ressources sensibles en fonction, d'une part, du prix qu'il attache leur niveau de disponibilit, de confidentialit et d'intgrit et, d'autre part, des menaces contre lesquelles il estime ncessaire de se protger ; il lui revient aussi de dterminer les protections non techniques mettre en place, mesures d'organisation et protections physiques par exemple. Des mesures techniques - systme d'exploitation scuris, par exemple - sont gnralement indispensables pour complter ces mesures non techniques ; l'utilisateur pourra s'appuyer sur une offre commerciale de produits dans lesquels il aura une confiance justifie et dont il pourra comparer les mrites. De faon symtrique, pour dvelopper leur offre de produits de scurit, les vendeurs ont galement besoin de la situer par rapport une chelle de mesure largement admise. L'exprience de plusieurs pays a montr que l'adoption des critres d'valuation de la scurit des systmes informatiques (ITSEC) favorise l'mergence d'une offre commerciale de bonne qualit et constitue donc un point de dpart pour promouvoir et dvelopper la scurit. Les rgles affrentes au principe de spcification pour le dveloppement du systme d'information scuris sont : la dfinition des besoins de scurit, l'laboration d'une cible de scurit, l'adoption de mthodes et d'outils approuvs pour garantir la scurit du systme d'information, l'adoption d'un standard de programmation et de codage des donnes, les conditions de mise en exploitation de tout nouveau constituant du systme d'information, la sparation des tches de dveloppement et des tches techniques ou oprationnelles, la gestion des prestations de services externes l'organisme, les critres d'acquisition et les conditions d'usage de progiciels. Ce chapitre ne traite pas de la mthodologie pour le dveloppement de systmes d'information scuriss : les guides mthodologiques dvelopps par le SCSSI, et correspondant aux diffrentes phases du dveloppement scuris d'un systme d'information pour les dpartements ministriels et les administrations de l'tat, sont donns en annexe 8. Pour le domaine public, d'autres mthodes sont galement proposes par le CLUSIF.

GS-001

94

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

 v CVE-001 Une rgle prvoit la dfinition des besoins de scurit

La dfinition des besoins de scurit permet de dcrire de faon non ambigu les niveaux de confidentialit, d'intgrit de disponibilit et de preuve et contrle34 qu'il convient d'assurer aux constituants d'un systme d'information. La scurit qu'on attend du systme d'information doit tre prcise dans ses spcifications car elle est une dimension essentielle de ce systme au mme titre que ses performances ou les services qu'il doit rendre ; cette expression des besoins de scurit devrait faire l'objet d'un examen approfondi, conduit selon une dmarche rfrentielle. Compte tenu de la mission ou du mtier de l'organisme, il convient de dfinir ce qui devrait tre protg dans le systme en analysant les aspects suivants :
qu'il s'agisse d'informations, de services ou de supports, il faut prciser si la protection de ces entits concerne leur disponibilit, leur intgrit, leur confidentialit, et leur besoin en preuve et contrle, il faut expliquer pourquoi les entits ainsi dfinies doivent tre protges : ce peut tre en raison de leur valeur, de leur sensibilit, de leur caractre stratgique, etc., il faut prciser les menaces accidentelles ou volontaires auxquelles ces entits sont soumises en envisageant tous les acteurs ou les causes susceptibles de provoquer une agression et en tudier les motivations et les origines, il faut enfin indiquer quelles sont les contraintes auxquelles est soumis le systme d'information ; il peut s'agir de choix fixs a priori ou de toute autre contrainte, d'ordre budgtaire, technique, etc.

Une analyse de risques35 doit permettre, ce stade, de mettre en vidence les vulnrabilits du systme et les consquences d'ventuelles atteintes sa scurit de faon pouvoir justifier la mise en place de certaines parades dont on aura valu le rapport cot / efficacit. C'est ainsi que, par exemple, les rsultats d'une analyse de risques peuvent conduire recourir des assurances pour pallier un manque de comptences ou de ressources budgtaires.
34

Par preuve et contrle, il faut entendre la prvention de non rpudiation en mission et rception ainsi que la prvention permettant d'assurer l'auditabilit. 35 Pour une tude de diagnostics rapide, le SCSSI met disposition des dpartements ministriels la mthode EBIOS (Expression des Besoins et Identification des Objectifs de Scurit). Dans le domaine public, les mthodes MARION, MELISA et les mthodes qui leur sont drives sont les plus utilises pour les tudes dtailles d'un systme d'information.

GS-001

95

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

GS-001

96

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

v CVE-002 Une rgle prvoit l'laboration d'une cible de scurit

La cible de scurit36 constitue la spcification du systme en matire de scurit ; c'est une tape trs importante qui fixe la fois l'objectif atteindre et les moyens pour y parvenir. En premier lieu, la rflexion approfondie qu'ont permis l'tude des besoins de scurit et l'analyse de risques doit permettre de fixer ce que l'on dcide finalement de protger, en prcisant pourquoi, contre qui et contre quoi ; la synthse de cette rflexion constitue les objectifs de scurit du systme. Ceux-ci sont clairement dfinis ds la phase de spcification pour que l'on puisse ensuite apprcier si la scurit du systme est en mesure de les satisfaire. De ces objectifs de scurit on dduit les mesures mettre en place, qu'elles soient techniques ou non techniques. L'ensemble de ces objectifs de scurit et des mesures associes constitue la politique de scurit du systme. Les mesures non techniques sont les procdures et rgles de mise en uvre, l'habilitation des personnes, les mesures concourant protger l'environnement du systme et toutes les dispositions caractre rglementaire. Les mesures techniques sont les fonctions de scurit qu'il faut prvoir dans la conception du systme de faon satisfaire les objectifs ; ces fonctions sont ralises au moyen de mcanismes de scurit intgrs au systme. Objectifs et fonctions constituent l'essentiel de la cible de scurit ; celle-ci reprsente le fondement de la scurit dans la conception du systme d'information. Cependant, pour que l'on puisse tre sr que les objectifs sont satisfaits, il faut d'une part que ces fonctions et mcanismes existent et, d'autre part, que l'on puisse leur accorder une confiance suffisante. La cible de scurit indique aussi le niveau de confiance qui est estim ncessaire par l'intermdiaire d'un niveau d'assurance ITSEC.

36

La cible de scurit est un concept dvelopp dans les ITSEC, chapitre 2, page 19 , 2.3.

GS-001

97

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

EXPRESSION DES BESOINS DE SCURIT QUOI PROTGER ? POURQUOI ? CONTRE QUELLES MALVEILLANCE SOUS QUELLES CONTRAINTES ET CHOIX FIXES PRIORI ? ANALYSE DE RISQUES RAPPORT COUT / EFFICACIT, EFFICACIT

OBJECTIFS DE SCURIT CE QUE, TOUT BIEN PES, IL EST DCID DE PROTGER, POURQUOI ET CONTRE QUI FONCTIONNALIT

POLITIQUE DE SCURIT TECHNIQUE

ASSURANCE FORCE DES MCANISMES

MESURES NON TECHNIQUES

POLITIQUE DE SCURIT DU SYSTME CIBLE DE SCURIT

Schma de principe pour la conception d'une cible de scurit v CVE-003 Une rgle prvoit l'adoption de mthodes et d'outils de dveloppement approuvs pour garantir la scurit du systme d'information

L'adoption, ds la conception du systme d'information, de mthodes et d'outils de dveloppement approuvs marque la volont de l'organisme de matriser la scurit37. L'application de cette rgle permet d'acqurir une confiance justifie dans la conception et la ralisation de la cible de scurit ; elle contribue la mise en place de protections homognes et cohrentes constituant ainsi un gage de russite pour une ventuelle valuation du systme d'information. Toutefois, cette rgle ne sous-entend pas l'emploi d'une mthode unique pour le dveloppement du systme d'information mais elle

37

Le SCSSI met la disposition des dpartements ministriels les guides ROSCOF (Ralisation des Objectifs de Scurit par le ChOix des Fonctions) et DSIS (Dveloppement de Systmes d'Information Scuriss). Dans le domaine public, le CLUSIF propose la mthode INCS (Intgration dans la Conception des Applications de Scurit)

GS-001

98

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

appelle veiller sur la ncessaire cohrence qui doit exister entre les diffrentes mthodes utilises par l'organisme.

GS-001

99

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

CVE-004 Une rgle prvoit l'adoption d'un standard de programmation et de codage des donnes

L'adoption d'un standard de programmation intresse tous les dveloppements d'applications informatiques, y compris les parties logicielles que peuvent contenir les matriels ou dispositifs divers du systme d'information. La premire recommandation lie l'adoption d'un standard de programmation est celle de prciser les configurations matrielles et logicielles utilises pour le dveloppement. La deuxime obligation concerne le choix d'une reprsentation et d'une structuration des programmes qui permet d'avoir des rfrences uniformes et reconnues de tous, facilitant ainsi les oprations de maintenance logicielles et le suivi de la documentation technique. Le codage des donnes concerne le formatage et la reprsentation des champs de donnes qui, pour des raisons similaires la structuration des programmes, ncessitent l'adoption d'un standard. Les divers tats de sortie des donnes obissent galement des standards de prsentation qui prennent en compte les particularits fonctionnelles des utilisateurs de l'organisme. L'administrateur de donnes est responsable de la bonne dfinition des donnes et de la structure des fichiers et bases de donnes.
v CVE-005 Une rgle prvoit la sparation des tches de dveloppement et des tches techniques ou oprationnelles

La sparation des tches de dveloppement et des autres activits lies au fonctionnement du systme d'information (exploitation, gestion du systme et du rseau, saisie des donnes, maintenance, audit de scurit, etc.) rduit le risque de mauvaise utilisation dlibre ou accidentelle des ressources du systme. Cette rgle influe sur le niveau de scurit et sur l'efficacit dans la rpartition des tches et des responsabilits ; en effet, elle permet :
d'accrotre la scurit, en rduisant le risque de modifications malveillantes des programmes grce la sparation des tches caractrisant le fonctionnement oprationnel du systme d'information qui ncessitent des ressources diffrentes et des privilges d'accs des instructions machines critiques eu gard la scurit,

GS-001

100

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

d'amliorer l'efficacit par le fait que le cumul de plusieurs fonctions techniques peut inciter un informaticien d'une quipe d'exploitation dpanner " chaud" un logiciel au mpris des rgles de programmation dont il est fait mention la rgle prcdente (par exemple, l'absence de commentaires dans les lignes de code modifies).

Cette sparation des fonctions concourt dlimitation des responsabilits en cas d'incident.

une

meilleure

CVE-006 Une rgle prvoit les critres d'acquisition et les conditions d'usage de progiciels

Si les critres d'achat de progiciels sont essentiellement conomiques et oprationnels (disponibilit immdiate du produit, cot accessible, maintenance et assistance technique), il n'en demeure pas moins un problme de scurit vis--vis de l'intgrit des logiciels livrs et de leur utilisation au sein de l'organisme. Il est donc essentiel qu'une rgle prvoie les critres permettant de justifier l'acquisition de progiciels et leurs conditions d'usage portant, par exemple, sur les aspects suivants :
la vrification du respect des principes de scurit en vigueur dans l'organisme avant la dcision d'acquisition, les tests de conformit et d'intgrit avant la mise en service des progiciels, les restrictions d'utilisation en fonction de la sensibilit des postes de travail. v CVE-007 Une rgle prvoit la gestion des prestations de services externes

Pour le dveloppement du systme d'information, le recours des prestataires de services externes (dment habilits dans le cadre de marchs de dfense) impose l'application stricte des rgles prcdemment nonces et un contrle renforc des ressources mises disposition (applications et fichiers sensibles, compilateurs, diteurs, documentation technique, etc.). La dcision de mise disposition de ressources sensibles doit tre prise par rapport aux exigences oprationnelles de disponibilit du systme d'information. Les responsabilits et les procdures doivent tre clairement tablies entre l'organisme et les prestataires pour l'imputabilit d'ventuels incidents.

GS-001

101

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

GS-001

102

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

Le recours aux prestations de service, ds lors que la scurit d'un systme d'information reprsente un enjeu majeur pour les intrts de l'tat ou de l'organisme, ne doit jamais driver vers une soustraitance de la gestion de l'exploitation (traduction du terme anglosaxon "facility management").
v CVE-008 Une rgle prvoit les conditions de mise en exploitation de tout nouveau constituant du systme d'information

Un nouveau constituant du systme d'information (logiciel ou matriel) mme rput efficace et conforme aux spcifications de fabrication doit tre soumis des tests d'intgration dans son nouvel environnement. Cette rgle vise rduire les risques inhrents au manque de coopration sur le plan de la scurit avec les autres constituants de l'environnement ou l'inadaptation des consignes techniques et humaines en vigueur qui peuvent tre l'origine d'erreurs d'exploitation. Les conditions prconises par cette rgle peuvent prvoir, par exemple, une recette complte du constituant pour l'identification des modifications techniques et procdurales effectuer ainsi que la possibilit, en cas d'chec, de restaurer l'environnement technique dans l'tat qui existait avant sa mise en exploitation.

6.2. Principe d'autorisation pour l'utilisation du systme d'information


Le principe d'autorisation pour l'utilisation du systme d'information est la consquence pour la scurit de la prsence, au sein du systme, d'applications et de services sensibles ou critiques pour la mission ou les activits de l'organisme. Ce principe, en permettant de rduire les risques de perte de confidentialit, d'intgrit et de disponibilit (par exemple, la lecture ou la modification illicite d'un fichier, la saturation d'un rseau), constitue la base du fonctionnement scuris. Le terme "autorisation pour l'utilisation" se rapporte aux fonctionnalits dcrites dans les critres harmoniss europens38 savoir : l'identification et l'authentification des utilisateurs dsirant accder au systme, le contrle des accs aux ressources du systme d'information, l'imputabilit des actions dans le cadre de la recherche de responsabilit,
38

ITSEC, 2.31 2.58

GS-001

103

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

l'audit des informations li aux vnements survenus dans la phase de fonctionnement, la rutilisation d'objets garantissant que les ressources telles que la mmoire centrale ou les zones de stockage peuvent tre rutilises tout en prservant la scurit. Toutefois, ce principe ne vise pas reprendre une une les fonctionnalits prcdentes pour dcrire les rgles qui s'y rapportent : en revanche, ce principe contient les concepts majeurs qui peuvent s'appliquer une ou plusieurs de ces fonctionnalits. L'autorisation d'utilisation du systme d'information repose sur la correspondance entre les classes d'utilisateurs (ou sujets) pouvant accder des classes de ressources (ou objets). En pratique, la gestion de l'utilisation du systme d'information se fait grce une matrice croisant les entits sujets et objets qui ncessite une protection adapte (usage d'un codage voire, pour les applications plus vulnrables, un chiffrement des tables rsidant en mmoire centrale) repose sur le triplet constitu par l'objet manipul, le rle du sujet dans le systme et les privilges associs. L'objet manipul et le rle du sujet dans le systme permettent l'nonc d'une rgle portant sur : la notion de profil d'utilisateur du systme d'information. De plus, le rle du sujet dans le systme induit deux autres rgles permettant d'assurer le contrle : la notion d'unicit des utilisateurs, la notion de compltude des moyens d'authentification. Enfin, les privilges associs induisent deux rgles lies la gestion : l'administration des privilges d'utilisation du systme d'information, le contrle des privilges des utilisateurs du systme d'information. v CVE-009 Une rgle prvoit l'application de la notion de profil d'utilisateur du systme d'information

L'application de la notion de profil d'utilisateur du systme d'information sous-entend, au pralable, la structuration des donnes (ou objets) par fonction ou activits de l'organisme qui est une prrogative du responsable-dtenteur (rgle PER-007). Les donnes manipules par les utilisateurs sont structures, en fonction des applications qui les utilisent au sein d'une unit fonctionnelle (par exemple, la gestion des stocks pour un service d'approvisionnement), dans le cadre d'utilisation de ressources partages (par exemple, les rseaux locaux), ou lors d'une mission

GS-001

104

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

ou d'une activit particulire ncessitant le cloisonnement des postes de travail (rgle PER-003). Il faut, de la mme manire, structurer les diverses catgories de personnel (ou sujets) par la dfinition de profils d'utilisateur du systme d'information qui permettent de spcifier les privilges d'accs aux informations lis la lecture (visualisation, impression) et les privilges de traitements lis l'criture (cration, modification, destruction) dans le cadre de leurs responsabilits ou activits.
v CVE-010 Une rgle prvoit l'unicit de l'identit des utilisateurs

L'identit des utilisateurs doit tre gre sous le contrle conjoint de la direction du systme et du responsable de la scurit d'un site ou d'une unit oprationnelle (niveau de l'agent de scurit). Il faut considrer qu'il y a infraction la scurit lorsque deux personnes ou plus connaissent, par exemple, le mot de passe correspondant une identit d'utilisateur moins que cela ne soit prvu pour assurer la continuit des fonctions d'administration de systme. S'il est invitable, dans certains cas, de permettre le partage d'une identit et d'un lment d'authentification, des mesures spciales telles que l'emploi d'enveloppes scelles peuvent tre mises au point pour prvenir toute utilisation abusive ou incorrecte.
v CVE-011 Une rgle prvoit la notion de compltude des moyens d'authentification

L'accs au systme d'information implique que les utilisateurs justifient leur identit en dbut de session (et, dans certains cas, en cours de cession) en prsentant un lment d'authentification. Les techniques actuelles d'authentification reposent sur trois concepts :
ce que l'on sait comme, par exemple, les mots de passe, ce que l'on dtient comme, par exemple, les cartes puce, ce que l'on est, c'est--dire une caractristique personnelle (empreintes digitales, examen du fond de l'il, signature dynamique, etc.).

La runion de ces trois concepts constitue une authentification complte et efficace mais reprsente un cot relativement lev. En consquence, le responsable-dtenteur doit dterminer avec l'aide de l'agent de scurit, partir de ces trois concepts, quelles sont les combinaisons les plus adaptes pour son sous-systme d'information ou ses applications sensibles.

GS-001

105

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

GS-001

106

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

Le choix d'une authentification base sur le seul concept de "ce que l'on sait" reprsente le profil minimum de scurit pour un systme d'information ; il convient alors d'opter pour des mcanismes dynamiques comme les mots de passe utilisables une fois ou bien ceux assujettis une limite du nombre d'utilisations ; dans ce cas, le mcanisme utilis est un compteur d'accs sur lequel doit porter l'effort de protection. Ainsi, les mcanismes utiliss reposent sur des lments d'authentification dont il convient expressment de prvoir une gestion rigoureuse.
 v CVE-012 Une rgle prvoit l'administration des privilges d'utilisation du systme d'information

Un utilisateur possde des privilges d'utilisation pour les ressources du systme d'information correspondant au profil qui lui est attribu. Toutefois, lorsque ces privilges sont dynamiques, il est indispensable de les administrer pour vrifier que les rgles de scurit en vigueur sont entirement respectes. Les critres d'application de cette rgle sont clairement noncs ; ils peuvent, par exemple, s'inspirer des lments suivants :
les profils d'utilisateurs soumis l'administration des privilges, les privilges existant entre les divers profils d'utilisateurs, les personnes qualifies pour accorder ou modifier ces privilges, les conditions remplir pralablement toute modification ou tout octroi de privilges, les privilges d'utilisateur incompatibles entre eux.

La protection particulire de l'intgrit des tables contenant les privilges doit tre la proccupation majeure du responsable du systme et de l'agent de scurit pour l'aspect du contrle.
v CVE-013 Une rgle prvoit le contrle des privilges des utilisateurs du systme d'information

Il apparat important de spcifier une rgle pour la vrification du droit de possession des privilges indpendamment des contrles suggrs plus loin dans le principe portant sur l'exploitation scurise et qui s'attachent la faon dont ces privilges sont utiliss.

GS-001

107

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

Le contrle a pour mission, ds qu'un utilisateur tente d'exercer ses privilges sur une ressource du systme d'information, de ne permettre cette action que dans la mesure o elle n'outrepasse pas les rgles de scurit en vigueur dans l'organisme. Les mesures qui dcoulent de cette rgle peuvent reposer sur les aspects suivants :
les actions pour lesquelles un contrle des privilges doit tre men, les mesures prendre si une action est tente sans que le droit appropri soit possd, les passe-droits au contrle des privilges et leurs conditions de validit.

6.3. Principe d'exploitation scurise du systme d'information


L'exploitation scurise du systme d'information dpend essentiellement des acteurs qui interviennent pour l'application des procdures et des contrles approuvs par l'organisme. Les prrogatives qui leur sont attribues couvrent l'ensemble du contrle de scurit sans qu'un seul acteur ne monopolise tous les privilges. Or, la matrise de l'exploitation du systme d'information, de par l'tendue des comptences qu'elle requiert, gnre, de fait, un clivage entre les principaux rles et responsabilits, savoir : le responsable de l'exploitation du systme d'information pour le traitement des donnes, l'ingnieur rseau pour la supervision des canaux de tlcommunication, l'ingnieur systme pour la supervision du systme d'exploitation, le responsable de l'exploitation tlphonique et matriels priphriques associs (Minitel, fax, etc.). Le principe d'exploitation scurise du systme d'information concerne la scurit des informations et des donnes39 et la protection des constituants permettant le fonctionnement et le soutien logistique du systme d'information.
39

Les donnes sont la reprsentation des informations sous une forme conventionnelle destine faciliter leur traitement.

GS-001

108

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

Les rgles manant de ce principe intressent les procdures d'exploitation et les contrles de scurit durant la phase de fonctionnement du systme d'information, savoir : l'exploitation scurise des informations et des donnes, le contrle des logiciels avant leur mise en exploitation, le contrle des supports amovibles avant leur mise en exploitation, les contrles de scurit en phase d'exploitation du systme d'information, l'analyse des enregistrements des donnes de contrle de scurit, l'exploitation scurise des moyens dcentraliss, ddis ou dports hors de leur zone de scurit. v CVE-014 Une rgle prvoit les procdures d'exploitation scurise des informations et des donnes

Les donnes et les supports associs devraient hriter du mme niveau de protection que les informations qui leur ont donn naissance. En fonction de leur classification, les informations et les donnes font l'objet d'une exploitation spcifique. Ainsi l'exploitation de donnes vitales ou sensibles peut ncessiter la mise en uvre de mesures techniques particulires (par exemple, l'usage de systmes tolrance de pannes ou de disques miroir) ou organisationnelles (par exemple, la rgle PER-003 sur le cloisonnement des postes de travail sensibles) afin d'viter les incidents durant la phase de traitement. De mme, les informations nominatives doivent recevoir les protections imposes par la loi. La prsente rgle portant sur les procdures d'exploitation scurise se justifie par la vulnrabilit des donnes qui existe du fait de leur passage par des tats diffrents (traitements, sauvegardes et transferts sur des supports, stockage, destruction, etc.) : aussi les procdures et contrles de scurit s'attachent assurer la continuit de la protection ces divers stades de l'exploitation. Parmi les procdures mettre en place, celles concernant la sauvegarde des donnes et la destruction des supports classifis ont un impact majeur sur la scurit.

GS-001

109

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

La sauvegarde des donnes vise le maintien de leur intgrit et disponibilit : elle doit tre faite rgulirement et les supports rsultants sont stocks en des lieux loigns de la zone de traitement et offrant le mme niveau de protection ; des tests d'intgrit des sauvegardes apportent la garantie de la continuit de service. La destruction des supports classifis implique que les donnes enregistres sont effaces ou surcharges avant que leur support magntique ne soit dtruit (bandes magntiques, disquettes, disques amovibles et fixes, mmoires disques, etc.).
Pour les donnes relevant du secret de dfense, il peut tre prvu, en conformit avec la rglementation en vigueur, un chiffrement des donnes permettant ainsi le stockage intermdiaires des supports associs lors de traitements discontinus. v CVE-015 Une rgle prvoit le contrle des logiciels avant leur mise en exploitation

Les contrles des logiciels avant leur mise en exploitation visent lutter tout particulirement contre la menace de contamination par virus40 et le risque de non conformit des logiciels. Les virus posent un problme de plus en plus grave pour la scurit des systmes d'information. Leur existence touche tous les organismes et institutions quel que soit leur niveau de vulnrabilit : les organismes les plus ouverts au public sont les plus exposs aux pirates informatiques dont les motivations sont assez souvent la prouesse technique et l'effet mdiatique. Le risque de non conformit des logiciels concerne les organismes sensibles qui, dans le cadre du recours des prestataires de service pour le dveloppement de logiciels, doivent vrifier l'exactitude et la conformit de la programmation du code afin de vrifier que le programme ne fait que ce pourquoi il a t conu et qu'il n'existe pas de portes drobes permettant ultrieurement une modification illicite de ces fonctionnalits. Des prcautions peuvent tre prises pour prvenir et dtecter l'introduction de logiciels frauduleux (virus, vers, chevaux de Troie, bombes logiques, etc.). Toutes les disquettes en provenance de l'extrieur de l'organisme et, tout particulirement celles dont l'origine est incertaine, sont soumises un contrle. La mise en

40

Le virus est l'exemple le plus connu de programme crit dans le but de causer un dommage. Le glossaire de l'OTAN (version 1993) en donne la dfinition suivante : "lment de programme qui s'ajoute d'autres programmes, y compris des systmes d'exploitation mais qui ne peuvent s'excuter indpendamment , ne devenant actif qu'avec l'excution du programme hte"

GS-001

110

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

place de matriels ddis un dpistage systmatique constitue une contre-mesure cette menace.

GS-001

111

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

v CVE-016 Une rgle prvoit le contrle des supports amovibles avant leur mise en exploitation

Cette rgle, portant sur le contrle des supports amovibles, vise principalement la confidentialit des informations et intresse les organismes traitant d'informations sensibles relevant du secret de dfense ou des informations juges stratgiques pour leurs activits. Une mesure fondamentale prcdant le contrle des supports amovibles, avant leur rutilisation dans une autre installation protge, consiste effacer les informations qui y sont enregistres en oprant un recouvrement complet au moyen de caractres numriques ou alphanumriques. Un contrle de la non rmanence des donnes originelles peut tre effectu avant leur raffectation. Pour les informations relevant du secret de dfense, les supports de mmoire conservent la plus haute catgorie de classification des donnes pour lesquelles ils ont t utiliss depuis l'origine (sauf en cas de dclassification).
 v CVE-017 Une rgle prvoit les contrles de scurit en phase d'exploitation du systme d'information

Le contrle de scurit en phase d'exploitation permet de rduire les risques d'atteinte la disponibilit et l'intgrit des informations et des donnes. Ces contrles se traduisent, par exemple, par des vrifications de l'usage des ressources autorises pour le traitement. Le premier aspect de ces contrles vise les utilisateurs du systme d'information. Ils choient aux ingnieurs systme et rseau qui assurent une surveillance en direct partir de moyens de visualisation : examen des transactions en cours, fichiers en ligne, tentatives de connexions, etc. Le second aspect de ces contrles vise les informaticiens pour la vrification de la bonne application des procdures de scurit, par exemple :
le respect du squencement des oprations planifies, les manipulations correctes de fichiers, l'utilisation des macro-instructions autorises, le respect des instructions pour les rcuprations d'erreurs ou pour les vnements exceptionnels, la tenue jour des registres d'exploitation,

GS-001

112

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

le respect des instructions concernant les tats de sortie, principalement pour les imprimantes dportes.  v CVE-018 Une rgle prvoit l'analyse des enregistrements des donnes de contrle de scurit

L'exploitation scurise du systme d'information implique l'enregistrement des donnes de contrle de scurit dans un journal d'audit afin de vrifier que la scurit est bien respecte, en particulier, pour ce qui concerne les accs au systme d'information, qu'ils soient le fait d'utilisateurs, de techniciens ou d'informaticiens. L'analyse des donnes de contrle constitue une vrification ex post mais elle peut rvler des tentatives infructueuses de pntration du systme ou, de faon plus insidieuse, la prparation d'une attaque par rcupration de fichiers ou de comptes prims. Cet examen apporte plus de renseignements que la supervision en direct, condition qu'il soit excut avec rgularit et minutie. Une protection efficace des mcanismes permettant l'enregistrement des donnes de contrle est une condition essentielle pour justifier la confiance accorde l'analyse des enregistrements ; en effet, tout intrus cherche d'abord inhiber les mcanismes d'enregistrement et faire disparatre les preuves de son mfait. La mise en uvre de journaux d'audits peut tre une contrainte en priode de forte charge d'exploitation : il faut nanmoins tre conscient du risque pour la scurit que reprsente leur dsactivation.
v CVE-019 Une rgle prvoit les procdures d'exploitation scurise des moyens dcentraliss, ddis ou dports hors de leur zone de scurit

Les moyens dcentraliss, ddis ou dports hors de leur zone de scurit (micro-ordinateurs, matriels portables, imprimantes dportes, photocopieuses, tlcopie, etc.) se caractrisent souvent par des quipes d'exploitation rduites voire des utilisateurs isols. Sans assistance immdiate et sans le recours aux protections physiques d'une zone de scurit, la probabilit d'incident ou d'atteinte la confidentialit et l'intgrit des donnes et des matriels reste trs leve : l'indiscrtion et la malveillance reprsentent une menace majeure dans la mesure o les consignes de vrification sont plus difficiles mettre en uvre. C'est la raison pour laquelle l'exploitation de ces moyens ncessite des mesures spcifiques adaptes leur environnement ; en

GS-001

113

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

particulier et, dans la mesure du possible, les quipements priphriques sont situs dans une zone surveille. Le cas des matriels portables mrite un examen particulier. En effet, avec l'accroissement de capacit de mmoire et de puissance de traitement, les machines portables sont de plus en plus utilises. Cependant, elles sont exposes des menaces plus varies que les matriels fixes et leur utilisation rend beaucoup plus difficile le contrle ncessaire la sauvegarde des informations. Leur portabilit et leur petite taille accroissent fortement la probabilit de perte ou de vol. Dans la mesure du possible, les informations protger ne peuvent tre traites sur des machines portables qu'en des endroits dsigns en fonction de leur niveau de classification. Lorsque ces matriels sont emports l'extrieur de l'organisme, il faut appliquer la mme procdure que pour la sortie des documents classifis.

6.4. Principe de scurit pour les communications


On entend par communication le transfert des informations. La scurit des communications41 est la protection rsultant de toutes les mesures gnrales et particulires destines interdire aux personnes non autorises de tirer des renseignements du fonctionnement des communications. Les transmissions sont l'ensemble des moyens permettant d'assurer l'acheminement des informations distance entre plusieurs entits : ce terme dsigne le moyen physique utilis pour vhiculer l'information. On emploie le terme de tlcommunications pour dsigner les transmissions qui font appel des systmes lectroniques (radiolectriques, optiques, filaires, hertziens, acoustiques) permettant l'mission ou la rception de signes, de signaux, d'crits, d'images ou du son. La scurit des transmissions repose sur trois critres fondamentaux et gnralement antinomiques : la sret qui est la garantie de la rgularit du fonctionnement d'un moyen de transmission c'est--dire, la certitude pour l'autorit origine que tous les messages parviennent sans dformation ni omission tous les destinataires prvus,
41

Instruction interministrielle

GS-001

114

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

la discrtion qui est le facteur assurant le degr de protection contre les risques d'interception, d'analyse, de localisation et d'intrusion, la rapidit qui dfinit l'aptitude acheminer les informations dans les dlais minimaux et assurer un dbit maximal. v CVE-020 Une rgle prvoit le cadre contractuel pour les changes de donnes scuriss

Les propositions d'accs des services ou des applications tlmatiques internes ou externes l'organisme posent le problme de la coopration entre les diffrents systmes d'information. Cette rgle vise prvenir la perte, la modification et la mauvaise utilisation des donnes. Il importe, en consquence, de prvoir les responsabilits et les obligations contractuelles des divers intervenants, tant au niveau des transmissions que des applications qui les intgrent. L'change de donnes scuris se situe dans le cadre de transmissions telles que dfinies plus haut. Le cadre contractuel dsigne les accords entre plusieurs parties pour les changes de donnes faisant appel ou non aux technologies de l'information : cette rgle englobe le cas des changes de donnes informatises (EDI). Les accords ou contrats passs par l'organisme avec tous les utilisateurs du systme d'information comportent des clauses de contrles prcisant, par exemple :
la responsabilit de la gestion des flux d'changes, les procdures de scurit utilises pour les changes, les standards de structuration des donnes, les responsabilits en cas de pertes des informations, les mesures spcifiques pour la protection des cls de chiffrement. v CVE-021 Une rgle prvoit les modalits d'utilisation scurise des rseaux de tlcommunication de l'organisme

L'utilisation scurise des rseaux de tlcommunication de l'organisme ne doit pas remettre en cause les mesures de scurit qui sont prises au plan de l'infrastructure (par exemple, la cration de zones rserves), du personnel (par exemple, le besoin de connatre les informations) ou des ressources matrielles et logicielles.

GS-001

115

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

Les modalits d'utilisation des rseaux de tlcommunication de l'organisme sont d'autant plus importantes dfinir que les possibilits d'accs des utilisateurs sont augmentes par les ventuelles interconnexions des rseaux internes.

GS-001

116

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

L'utilisation scurise des rseaux de tlcommunication fait appel la mise en place de fonctions et de mcanismes (au sens des ITSEC) destins garantir la scurit des donnes au cours de leur transmission. Il est recommand de dcouper ces fonctions suivant les rubriques tires de l'architecture de scurit OSI, savoir :
l'authentification, le contrle d'accs, la confidentialit des donnes, l'intgrit des donnes, la non rpudiation.

Parmi ces fonctions, le contrle d'accs repose sur des mesures de gestion et de contrle continues dans le temps et portant, par exemple, sur les aspects suivants :
l'accs des utilisateurs aux services pour lesquels ils sont autoriss, la connexion au systme d'information des ordinateurs isols ou extrieurs l'organisme, la sparation des rseaux ddis des domaines particuliers, le routage des communications sur les canaux autoriss. v CVE-022 Une rgle prvoit les modalits d'utilisation scurise des rseaux de tlcommunication externes l'organisme

L'utilisation des rseaux de tlcommunication externes l'organisme met en relation des utilisateurs qui n'ont pas, a priori, les mmes exigences de scurit. Les modalits d'utilisation scurise des rseaux de tlcommunication externes l'organisme concernent tout particulirement le contrle des moyens qui peuvent chapper la gestion centralise du systme d'information comme, par exemple, l'installation de modems ou de Minitels. Le cas particulier du courrier lectronique devrait inciter l'adoption de mesures visant contrler l'envoi de messages considrs comme vulnrables face aux interceptions et modifications non autorises et sur les considrations lgales lies la non rpudiation du message mis ou reu.

GS-001

117

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

Les rubriques, tires de l'architecture OSI et numres la rgle prcdente, s'appliquent au cas des rseaux externes l'organisme.
v CVE-023 Une rgle prvoit la protection des informations durant leur transmission

L'organisme doit prendre en compte le niveau de protection offert par les canaux de transmission utiliss. La rgle s'attache contrler que le niveau de protection requis par les informations communiques est correctement atteint. La protection des informations sensibles durant leur transmission est organise de faon rendre aussi peu efficace que possible les diffrents types d'attaques sur le rseau de transmission. L'organisation de cette protection vise :
l'acheminement du trafic mme en ambiance de brouillage ou de saturation (qui consistent empcher ou gner le fonctionnement des liaisons), la garantie contre l'intrusion (qui consiste introduire ou modifier des messages dans l'intention de tromper), la dfense contre l'interception (qui est la rception d'missions non autorises), la dfense contre l'analyse de trafic (qui permet d'obtenir des renseignements partir de l'tude du trafic).

Le recours au chiffre et l'emploi de matriels protgs contre l'mission de signaux parasites compromettants constitue les moyens de protection classiques en matire de scurit des communications.
42 Le chiffre .

Il est dfini comme l'ensemble des moyens cryptologiques permettant de protger les informations transmises, de faon les rendre inintelligibles pour toute personne qui n'est pas autorise les connatre. On utilise soit le chiffrement des messages soit le chiffrement des voies de transmission. La rgle intgre le fait que, si les mesures de scurit correspondant au niveau de protection requis ncessitent des
42

Instruction interministrielle 500 bis

GS-001

118

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

moyens de chiffrement, l'usage de ces moyens est soumis au respect de la loi et de la rglementation et doit s'accompagner de mesures organisationnelles permettant leur gestion spcifique.
Les matriels qualifis de matriels la norme TEMPEST (Transient ElectroMagnetic Pulse Emanations STandard)43.

Tout matriel ou systme qui traite des informations sous forme lectrique est le sige de perturbations lectromagntiques. Ces perturbations, provoques par le changement d'tat des circuits qui composent le matriel considr, sont qualifies de signaux parasites. Certains de ces signaux sont reprsentatifs des informations traites. Leur interception et leur traitement permettent de reconstituer ces informations. Ces signaux sont, de ce fait, dnomms signaux parasites compromettants.

6.5. Principe de scurit pour la maintenance du systme d'information


La maintenance a pour objet la prvention contre les pannes (maintenance prventive) et la rparation des matriels et des logiciels suite des incidents de fonctionnement du systme d'information (maintenance corrective). L'absence ou la mauvaise application des procdures de maintenance peut entraner des erreurs de manipulation ou faciliter des oprations frauduleuses et provoquer, de ce fait, des pannes du systme d'information. Les rgles nonces dans ce paragraphe portent sur les conditions de scurit pour la mise en maintenance et la remise en fonctionnement d'un constituant, sur les oprations de suivi et sur les conditions d'usage de la tlmaintenance.  v CVE-024 Une rgle prvoit les conditions de scurit pour la mise en maintenance des constituants du systme d'information

Le non respect des consignes pour la prparation d'un constituant avant sa mise en maintenance peut exposer l'organisme des compromissions ou des atteintes au bon fonctionnement de son systme d'information. Le conditionnement consiste prparer le constituant en vue de sa rparation c'est--dire, vrifier les points suivants :

43

Instruction interministrielle 900, article 8

GS-001

119

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

le retrait du support de la mmoire rmanente ayant contenu des informations classifies ou confidentielles, la superposition d'criture sur la mmoire restante afin d'viter toute possibilit d'interprtation des enregistrements prcdents, la vrification des installations de maintenance externes qui doivent rpondre aux mmes normes de scurit matrielle et personnelle que celles appliques dans les zones d'utilisation pour les constituants mis en rparation.

Si pour des raisons techniques, il n'est pas possible d'enlever le support de la mmoire rmanente, il peut tre ncessaire d'imposer que la maintenance d'un constituant soit effectue sur place par du personnel possdant l'habilitation adquate.
v CVE-025 Une rgle prvoit les conditions de scurit pour la remise en fonctionnement des constituants aprs leur maintenance

Les conditions de scurit pour la remise en fonctionnement des constituants aprs leur maintenance visent dmasquer tout pigeage ventuel : ajout d'un composant ou d'un microprogramme, non conforme la configuration initiale, dans le but de capturer des signaux ou des informations ou bien encore retrait ou modification d'un composant altrant les caractristiques du constituant. En consquence, des conditions de remise en fonctionnement peuvent tre dictes, par exemple :
en fonction des conditions locales, de l'valuation de la menace et, dans le cas d'ordinateurs, de la sensibilit des informations mises en mmoire, le constituant fait l'objet de mesures de dtection lorsqu'il est rintgr dans sa zone de scurit, pour le cas particulier de matriels rpondant la norme TEMPEST, toute modification entrane une nouvelle vrification de l'aptitude antirayonnante. v CVE-026 Une rgle prvoit le suivi des oprations de maintenance des constituants du systme d'information

Cette rgle qui s'applique tous les constituants du systme d'information (matriels et logiciels) prend un caractre majeur pour le cas de constituants ayant des fonctions de scurit. L'absence de suivi des oprations de maintenance a pour consquence la mconnaissance du degr d'aptitude des constituants assurer de nouveau leurs fonctions : elle peut

GS-001

120

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

conduire leur attribuer une confiance injustifie sur le plan de la scurit. Le suivi des oprations de maintenance ncessite l'ouverture d'un registre complet et dtaill sur les interventions subies par les composants afin que le personnel connaisse les nouvelles configurations et applique les procdures correctes.

Par ailleurs, lorsque l'organisme dispose d'un infocentre dont la mission principale est le support aux utilisateurs, il est ncessaire de veiller ce qu'il applique ces mmes rgles pour les interventions dont il a la charge et tout particulirement lorsque ses attributions consistent faire installer sur les machines de l'organisme les progiciels ou les cartes lectroniques demandes par les utilisateurs.
v CVE-027 Une rgle prvoit les conditions d'usage de la tlmaintenance

La gnralisation des services de tlmaintenance permet l'optimisation des cots par la rduction des dplacements de personnel. En contrepartie, l'installation d'une ligne de communication entre le systme d'information et l'organisme de maintenance et la ncessit de donner des droits d'accs de haut niveau augmentent les risques d'attaques du systme d'information. Pour ces raisons, les conditions d'usage de la tlmaintenance sont rigoureusement dfinies, voire interdites pour certaines applications sensibles.

6.6. Principe de mise en place d'une documentation de scurit


L'absence ou la mise jour incomplte d'une documentation dcrivant les fonctionnalits ou les mcanismes de scurit peut entraner des erreurs ou des incidents d'exploitation ou de maintenance portant atteinte la confidentialit, l'intgrit et la disponibilit du systme d'information. Le principe de mise en place d'une documentation de scurit s'inscrit dans toutes les phases du cycle de vie du systme d'information : il permet de s'assurer que les dossiers de scurit sont faciles d'emploi, prcis, complets et utiliss seulement par le personnel ayant qualit pour les dtenir.

GS-001

121

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

v CVE-028 Une rgle prvoit l'adoption d'un standard d'laboration de la documentation de scurit

La diversit des quipements, des logiciels et des procdures impose la dfinition d'un standard d'laboration de la documentation de scurit. Ce standard concerne, en premier lieu, le modle de prsentation et le contenu de la documentation : tous les constituants de scurit sont dcrits selon le mme formalisme facilitant ainsi les interventions du personnel autoris pour leur exploitation et leur maintenance. En second lieu, le standard concerne la manire de raliser la documentation c'est--dire, la rdaction, l'impression et la classification des documents. De plus, tous les lments ayant servis l'laboration de la documentation sont manipuls et protgs au mme titre et dans les mmes conditions que les documents de scurit qui en rsultent.
v CVE-029 Une rgle prvoit la gestion de la documentation de scurit

La gestion de la documentation de scurit comprend la comptabilit, la mise jour, la reproduction et la destruction :


la gestion de la documentation de scurit repose sur une comptabilit prcise et efficace base sur la tenue jour d'un registre inventaire, la mise jour rgulire de la documentation de scurit est impose par la constante volution du systme d'information, la reproduction et la destruction de la documentation sont excutes sur ordre du responsable de la scurit qui vrifie que l'opration porte sur la totalit des documents dsigns et n'affecte qu'eux seuls.  v CVE-030 Une rgle prvoit la protection de la documentation de scurit

La documentation de scurit doit tre protge contre les accs non autoriss. Sa protection est du mme niveau que les constituants auxquels elle se rapporte. Les mesures suivantes peuvent tre suggres:
tout responsable-dtenteur de documents de scurit doit connatre la position des documents qui lui sont confis et contrler leur utilisation,

GS-001

122

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

la manipulation de ces documents ne peut tre faite que par du personnel autoris, les documents sont rangs dans des lieux srs, la diffusion, manant du responsable de la scurit, peut tre restreinte au minimum de personnes.

6.7. Principe de limitation des sinistres touchant le systme d'information


L'objectif du principe de limitation des sinistres est de rduire les dommages dus aux incidents et aux dysfonctionnements du systme d'information, que leur origine soit de nature accidentelle ou malveillante. Ce principe suppose que soit tabli le rpertoire des types d'incidents qui justifient un dclenchement d'alerte ainsi que les priorits portant sur les moyens d'intervention adapts chaque cas ; par exemple, pour les sinistres accidentels, un dbut d'incendie ou une panne informatique grave ; pour le cas de malveillance, une tentative de compromission ou d'intrusion dans le systme d'information. Les rgles qui dcoulent de ce principe comprennent : la mise en place d'un rseau d'alerte pour la dtection des incidents de scurit, la matrise des incidents de scurit durant la phase de l'intervention, la reprise d'activit du systme d'information, le suivi des incidents de scurit. v CVE-031 Une rgle prvoit la mise en place d'un rseau d'alerte pour la dtection des incidents de scurit

La finalit d'un rseau d'alerte est de provoquer une intervention aussi rapide que possible, limitant ainsi les consquences d'un arrt du systme d'information ou l'activation de procdures suite, par exemple, une compromission des mots de passe impliquant leur changement immdiat. Tous les utilisateurs, et particulirement ceux oprant sur des postes de travail sensibles, constituent les maillons de ce rseau d'alerte. Il s'agit d'apprendre aux utilisateurs protger leurs matriels et dceler les indices de manipulations frauduleuses ou d'activits inhabituelles.

GS-001

123

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

L'efficacit d'un rseau d'alerte repose sur la structure de l'organisation mise en place et, tout particulirement, sur les agents de scurit. Elle dpend du niveau technique des moyens de dtection et de la mobilisation des utilisateurs du systme d'information : l'intervention qui en dcoule est d'autant plus efficace qu'elle fait intervenir les moyens adquats au moment opportun. Pour le cas de compromission d'informations relevant du secret de dfense, l'organisme doit rechercher la rapidit de raction : "Si la scurit d'une information a t ou semble avoir t compromise de quelque faon que ce soit, la rapidit et la discrtion de l'intervention revtent une particulire importance pour en limiter les consquences ; un compte rendu non fond et dmenti par les faits est toujours prfrable un retard dans l'intervention44".
v CVE-032 Une rgle prvoit la matrise des incidents de scurit

La matrise des incidents de scurit consiste s'assurer de la continuit de la scurit durant toute la dure de l'intervention faisant suite une alerte : le recours des spcialistes extrieurs et l'obligation de leur faciliter l'accs au site et au systme d'information ne doit pas dispenser le personnel de l'organisme d'appliquer les rgles de scurit. Deux cas d'urgence peuvent ncessiter des actions diffrentes:
ceux provenant d'accidents physiques touchant l'infrastructure d'une zone sensible ou au systme d'information qu'elle contient et qui n'entranent pas d'actions hostiles visant capturer des constituants du systme d'information ; l'action consiste alors surveiller les matriels, les logiciels et les documents durant l'intervention comme par exemple, le transfert d'quipements vers une salle blanche ou la mise en mode dgrad de mcanismes de scurit jusqu'au retour la normale du systme d'information, ceux provenant d'actions hostiles visant capturer des constituants du systme d'information : un plan de destruction d'urgence simple et pratique de mise en uvre peut tre, dans certains cas, le seul moyen d'viter une compromission grave.  v CVE-033 Une rgle prvoit l'laboration et le test d'un plan de reprise d'activit du systme d'information

Un plan de reprise d'activit est ncessaire pour protger les tches oprationnelles critiques du systme d'information face aux dfaillances majeures, aux erreurs humaines, aux catastrophes naturelles ou aux attaques dlibres. Il a pour but de limiter les
44

Instruction gnrale interministrielle 1300, article 51

GS-001

124

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

atteintes la scurit suite un incident majeur et de remettre le systme d'information dans les conditions de fonctionnement initiales.

GS-001

125

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

Le plan de reprise d'activit impose la prise en compte de toutes les exigences oprationnelles du systme d'information pour assurer un retour un fonctionnement normal. Les procdures qui dcoulent de ce plan fournissent une alternative et des moyens temporaires de continuit du service, dans le cas d'endommagement ou de dfaillance d'un quipement. Toutefois, un lment fondamental pour l'tablissement d'un plan de reprise d'activit est l'tude de disponibilit du systme information car l'importance des prjudices subis est gnralement fonction de la dure d'indisponibilit. Ainsi, l'tude de disponibilit a pour but de dfinir des tranches temporelles o le prjudice est considr un niveau donn en correspondance avec le niveau de procdure d'urgence du plan de reprise d'activit. Mais, pour mriter un niveau de confiance lev, le plan de reprise d'activit doit tre test rgulirement. Tout particulirement, la procdure de sauvegardes rgulires des donnes vitales et des logiciels est une mesure fondamentale : un nombre minimum de sauvegardes des informations est stock dans un lieu loign une distance suffisante pour rsister un dsastre sur le site principal ; les protections physiques des sauvegardes sont du mme niveau que les standards appliqus sur le site principal. Le plan de reprise d'activit dfinit, en outre, l'ordre de priorit dans la reprise des diffrentes fonctions du systme d'information et accepter, si la disponibilit du systme d'information est l'objectif prioritaire pour l'organisme, que certains mcanismes de scurit soient temporairement inhibs.
 v CVE-034 Une rgle prvoit le suivi des incidents de scurit

L'absence de suivi des incidents de scurit expose l'organisme mconnatre les vulnrabilits de son systme d'information et le condamne ne pas tre en mesure de ragir efficacement face des sinistres rpts de mme nature. De ce fait, les responsabilits du suivi des incidents et des procdures doivent tre tablies ; les procdures couvrent alors tous les types d'incidents potentiels y compris les dfaillances du systme ou pertes de service, les erreurs rsultant de donnes fausses ou inadquates, les failles de la confidentialit.

GS-001

126

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

Pour ce faire, le suivi des incidents de scurit s'appuie sur les comptes rendus pour les interventions immdiates, sur les relevs des dysfonctionnements pour les actions diffres et, dans les deux cas, sur l'analyse et l'identification des causes du sinistre. L'adoption d'un standard de compte rendu et de directives pour leur exploitation sont des mesures qui visent rendre uniforme et obligatoire la procdure d'alerte voque. Les incidents de toute nature, dcels par exemple en phase d'exploitation, font l'objet d'un compte rendu au niveau du responsable de scurit aussi rapidement que possible. Les dysfonctionnements et les faiblesses du systme d'information doivent tre nots et corrigs. En particulier, il apparat ncessaire de passer en revue les dysfonctionnements pour s'assurer que les mesures correctives ont t effectivement mises en uvre et qu'elles correspondent des actions autorises. L'analyse et l'identification des causes de l'incident impliquent une planification de la collecte des comptes rendus d'audit, de la mise en place de mesures de protection et de la communication avec les utilisateurs affects par l'incident.

6.8. Principe d'application des ITSEC pour une valuation de la scurit du systme d'information
En France, conformment aux directives du Premier Ministre , l'valuation des systmes d'information des dpartements ministriels et des administrations de l'tat doit tre conduite selon la mthodologie de scurit prconise par les critres d'valuation de la scurit des systmes informatiques (ITSEC). Pour les organismes publics et privs, ces critres ont valeur de recommandation. Les rgles qui dcoulent du principe d'application des ITSEC pour une valuation de la scurit reprsentent les tapes qu'il convient de suivre pour scuriser un systme d'information, savoir : l'valuation et la certification, l'agrment et l'homologation,
45

45

Lettres n106/SGDN/DISSI/26007 du 11 mars 1992 et n110/SGDN/DISSI/25100 du 16 mars 1992.

GS-001

127

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

les circonstances qui justifient une rvaluation du systme d'information selon les ITSEC. Tous les organismes tenus l'application des critres d'valuation de leur systme d'information doivent adopter l'approche dfinie dans les trois rgles prcdentes. En particulier, l'laboration d'une cible de scurit (rgle CVE-002) permet de prendre en compte la scurit ds la phase de conception d'un systme d'information. De plus, il faut aussi maintenir des proccupations de scurit tout au long du dveloppement du systme et durant son exploitation46. Une prsentation succincte des ITSEC est donne en annexe 2. CVE-035 Une rgle prvoit l'valuation du niveau de confiance accord au systme d'information : l'valuation et la certification

La conception du systme est guide par une dmarche cohrente qui conduit ce que les objectifs de scurit soient atteints ; les fonctions de scurit sont choisies pour satisfaire ces objectifs. Une fois le systme dvelopp et mis en service, il importe de savoir quelle confiance on peut avoir que la cible de scurit est bien atteinte. D'une part cette confiance dpend du choix des fonctions, de leur efficacit et de la qualit de leur dveloppement et, d'autre part, elle dpend de la faon dont le systme a t install, mis en service et exploit. L'tude de chacun de ces aspects permettra d'avoir une confiance justifie dans la ralisation de la cible de scurit ; c'est l'objet de l'valuation. Un systme dvelopp selon les principes exposs cidessus pourra tre valu et on aura alors la confirmation qu'on peut lui faire confiance quant la scurit qu'il assure aux informations qui lui sont confies. Cette valuation doit tre conduite selon une mthode approuve obissant des rgles dfinies. Les rsultats de l'valuation et le fait que les critres d'valuation utiliss ont t correctement appliqus sont confirms par une dclaration formelle appele certificat. Toutefois, la certification n'a aucun caractre obligatoire : il appartient au commanditaire de l'valuation de juger du besoin de certification.

46

Le SCSSI met disposition des dpartements ministriels le guide DSIS (Dveloppement de Systmes d'Information Scuriss).

GS-001

128

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

CVE-036

Une rgle prvoit l'agrment et l'homologation du systme d'information

L'valuation et la certification qui en confirme les rsultats permettent seulement d'assurer que la cible de scurit est bien atteinte. Elle ne constitue qu'un des lments pour juger si le systme ou le produit plac dans son environnement rel, prsente bien avec les mesures de scurit non techniques (en particulier, les procdures d'exploitation effectivement mises en place) les protections adaptes la sensibilit des ressources qui lui sont confies et l'tendue des menaces qu'il doit repousser. Il y a lieu, de plus, de prononcer un jugement sur la pertinence de la cible de scurit face l'environnement rel d'exploitation du systme : c'est le rle de l'agrment qui constitue la reconnaissance formelle que le produit ou le systme valu peut protger des informations jusqu' un niveau spcifi, dans des conditions d'emploi dfinies. Enfin, l'homologation est la dcision d'utiliser, dans un but prcis ou dans des conditions prvues, un produit ou un systme. Cette dcision finale est prise par l'autorit responsable de la mise en uvre du produit ou du systme, conformment la rglementation en vigueur. Toutefois, et comme cela a t prcis dans la rgle prcdente, la dcision de l'opportunit de demander un agrment et l'homologation revient, en gnral, au seul commanditaire.
CVE-037 Une rgle prvoit les circonstances qui justifient une rvaluation du systme d'information selon les ITSEC

Le principe gnral de rvaluation des Lignes directrices de l'OCDE stipule : "La scurit des systmes d'information devrait tre rvalue priodiquement tant donn que les systmes d'information et les exigences en matire de scurit varient dans le temps". Selon les ITSEC, une valuation et le certificat qui lui est associ expriment un avis sur la mise en uvre d'une cible de scurit en laquelle l'utilisateur place sa confiance. Mais, une fois qu'un systme a t soumis une valuation, il est irraliste de croire qu'il est l'abri d'erreurs ou impossible modifier : en effet, le systme devra rpondre de nouvelles exigences qui se traduiront par des modifications des matriels, des logiciels et de la documentation.

GS-001

129

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

Dans cette optique, il est vident que certaines modifications exigent une rvaluation comme, par exemple, la restructuration du noyau d'un systme d'exploitation, qui peut s'appuyer, en partie, sur les rsultats de l'valuation prcdente. En revanche, d'autres modifications peuvent n'entraner aucune nouvelle valuation ds lors qu'elles touchent des parties du systme d'information spares des composantes de scurit et qui n'influent pas sur celles-ci.

6.9. Principe d'anticipation sur l'volution de la scurit du systme d'information


CVE-038 Une rgle prvoit le recours une tude prospective sur l'volution de la scurit du systme d'information

Une tude prospective sur l'volution de la scurit du systme d'information permet d'anticiper sur les besoins moyen terme de l'organisme et d'intgrer le plus tt possible les nouveaux logiciels, matriels ou mcanismes ncessaires la scurit. Cette tude prospective ne peut tre dissocie des orientations stratgiques (ou d'un schma directeur des systmes d'information) portant sur les nouvelles technologies de l'information susceptibles d'tre choisies par l'organisme. Par ailleurs, cette rgle vise vrifier que toute volution du systme d'information reste conforme aux principes de scurit en vigueur dans l'organisme. Dans le cas contraire, l'tude prospective permet d'en mesurer l'impact sur la scurit et de proposer les amnagements d'ordre technique ou organisationnel pouvant impliquer une modification des principes et des rgles de la politique de scurit interne de l'organisme.

GS-001

130

Juillet 1994

P.S.I.

ANNEXES

Page laisse blanche

GS-001

'"

Juillet 1994

P.S.I.

ANNEXES

Annexes

Le contenu des prsentes annexes est donn titre indicatif : sa mise jour ne sera faite qu' l'occasion de la rdaction de la version suivante du guide. Par consquent, le lecteur est invit - tout particulirement pour les textes juridiques cits - vrifier leur validit ainsi que la parution ventuelle de nouveaux textes.

GS-001

93

Juillet 1994

P.S.I.

ANNEXES

Page laisse blanche

GS-001

94

Juillet 1994

P.S.I.

NOTES COMPLMENTAIRES

Annexe 1 Notes complmentaires


Note complmentaire n1 : Hirarchie des concepts utiliss dans une politique de scurit interne.

NIVEAU INTERNATIONAL

Accords Recommandation

NIVEAU NATIONAL

Lois Dcrets Rglementation

NIVEAU ORGANISME Bases de lgitimit


NIVEAU DCISIONNEL (sige ou direction)

Principes Rgles
Politique de scurit interne

NIVEAU OPRATIONNEL (sites ou units)

Consignes Procdures
Plan de scurit

Termes utiliss dans la P.S.I.

GS-001

93

Juillet 1994

P.S.I.

NOTES COMPLMENTAIRES

Note complmentaire n2 : I. ORGOGOZO, Les paradoxes du management, Les ditions d'organisation, Paris, 1991, p. 22. On peut aussi dfinir un organisme partir des cinq composantes suivantes : le milieu, c'est--dire le degr de complexit et d'ouverture sur l'environnement, les matires comme, par exemple, l'information et toutes les matires premires, la main d'uvre, c'est--dire le personnel, ses qualifications et sa mobilit, les mthodes concernant, par exemple, le pilotage, le dveloppement des comptences, l'obtention de l'adhsion du personnel, les matriels permettant le traitement, le transport et le soutien logistique.

Note complmentaire n3 : FIASI, extrait de la note technique n1 sur les conditions d'utilisation des entreprises extrieures, 4 mars 1993, page 1. Les rgles de scurit doivent tre dfinies et appliques en fonction du Dcret n92-158 du 20 fvrier 1992 qui prcise : "Lorsqu'une ou des entreprises, dites entreprises extrieures, font intervenir leur personnel aux fins d'excuter (ou de participer l'excution d') une opration (une ou plusieurs prestations de service ou de travaux afin de recourir un mme objectif), l'entreprise qui accueille devra organiser et assurer la coordination gnrale des mesures de prvention". Cette coordination a pour objet de prvenir les risques lis l'interface entre les activits, les installations et les matriels des diffrentes entreprises prsentes sur le lieu de travail. Ce dcret concerne tous les travaux ou prestations effectus sur le site (amnagement de locaux, travaux lectriques, dveloppements de logiciels, reportages vidos,...) sauf la construction de nouveaux btiments clos ou indpendants, mme s'ils sont situs l'intrieur de l'enceinte du site.

GS-001

94

Juillet 1994

P.S.I.

NOTES COMPLMENTAIRES

Note complmentaire n4 : G. BALANTZIAN, Les schmas directeurs stratgiques, Masson, 4me dition, Paris, 1992 : une adaptation, au cas de la scurit, d'aprs le schma sur les facteurs d'influence sur la politique des SIC, page 4.

POLITIQUE GNRALE DE L'ORGANISME


Identit et culture de l'organisme Mtier ou mission de l'organisme Organismes sous tutelle ou fournisseurs Usagers ou clients Acteurs extrieurs ou nouveaux entrants Services ou produits de substitution

Stratgies et objectifs de l'organisme


Politique de scurit interne

POLITIQUE DU SYSTMES D'INFORMATION OU SCHMA DIRECTEUR STRATGIQUE DU SYSTME D'INFORMATION


Axe Management Axe Organisation Axe Technologies Axe Social Axe Finance Axe Qualit Axe Scurit

POLITIQUE DES RESSOURCES


Ressources organisationnelle s Ressources technologiques Ressources humaines Ressources financires

Place de la politique de scurit interne dans la politique gnrale de l'organisme

Ce schma prcise les caractristiques qui composent une politique gnrale de l'organisme ; puis il dcrit les diffrents axes prendre en compte dans un schma directeur stratgique d'un systme d'information ainsi que l'influence de la politique des ressources sur celui-ci. La politique de scurit interne apparat donc comme une spcification de l'axe scurit du schma directeur d'un systme d'information.

GS-001

95

Juillet 1994

P.S.I.

NOTES COMPLMENTAIRES

Note complmentaire n5 : Les spcificits lies la localisation gographique de l'organisme. La dispersion gographique des sites d'un organisme peut justifier d'importants amnagements aux principes de scurit en vigueur. Par exemple, pour la scurit physique, il peut s'agir de la prise en compte des risques locaux de calamits naturelles ; pour la scurit lie l'organisation, de l'intgration de l'environnement culturel et humain local ainsi que du niveau d'interoprabilit, lequel dtermine la scurit offerte dans le cadre des communications inter-sites.

Note complmentaire n6 : On se rfre gnralement trois grandes familles d'organisation : L'organisation fonctionnelle. Chaque fonction de l'organisme forme une unit spcialise (production, logistique, finances, etc.). La prise de dcision appartient au niveau central et elle est transmise par la structure hirarchique ce qui peut gnrer la rtention d'informations et favoriser ainsi l'mergence de flux informels. L'organisation oprationnelle ou divisionnelle. L'activit est organise en divisions par produits, marchs, types de clientle, domaine d'activits stratgiques. La prise de dcisions se fait de manire dcentralise au niveau de la division. Il existe un risque de manque de communication entre les divisions qui peut ventuellement induire des communications informelles plus rapides et plus souples que par la voie de transmission normale. L'organisation matricielle. Chaque mission est le croisement de moyens communs (fonctions) auxquels elle recourt. L'organisation vise quilibrer la logique des fonctions avec la logique des domaines d'activits. L'aspect communication et dcision peut se rvler dlicat du fait des dpendances hirarchiques et fonctionnelles diffrentes pour un mme

GS-001

96

Juillet 1994

P.S.I.

NOTES COMPLMENTAIRES

individu ou une mme unit. Cela ncessite donc un effort particulier de clart dans les procdures de communication et de coordination.

GS-001

97

Juillet 1994

P.S.I.

LES CRITRES D'VALUATION DE LA SCURIT DES SYSTMES INFORMATIQUES (ITSEC)

Annexe 2 Les critres d'valuation de la scurit des systmes informatiques (ITSEC)


L'valuation selon les ITSEC peut concerner un systme dont l'environnement d'exploitation est connu ds la conception ou un produit propos sur catalogue et pour lequel ne peuvent tre faites que des hypothses sur son environnement d'utilisation. L'valuation d'un systme ou d'un produit permet d'obtenir l'assurance qu'il fournit une scurit adquate pour satisfaire ses objectifs de scurit. Il est prvisible qu' moyen terme de nombreux produits valus seront disponibles pour rpondre aux besoins des utilisateurs. Ceux-ci pourront, par exemple, utiliser des produits valus qui leur conviennent pour la conception d'un systme ; ou bien ils pourront adapter les objectifs de scurit qu'ils dfinissent ceux de produits dj valus ; ils pourront aussi inclure des produits valus dans un systme existant. Les ITSEC constituent le rfrentiel pour ces valuations que les utilisateurs adapteront leurs besoins d'autant plus facilement qu'elles seront nombreuses. Ces valuations ncessitent un examen approfondi du systme ou du produit, depuis sa conception jusqu' son exploitation courante. L'expression anglaise "target of evaluation" est traduite par cible d'valuation ; elle est utilise dans les ITSEC pour dsigner le systme ou le produit valuer et qui est une manation de la cible de scurit.

2.1.

Les acteurs La dmarche des ITSEC identifie trois acteurs principaux qui sont concerns par l'valuation et dfinit leurs responsabilits respectives : le commanditaire de l'valuation est l'autorit propritaire du systme ou du produit qui dfinit les besoins satisfaire et qui est l'origine de la demande d'valuation. Il doit dfinir la cible de scurit pour l'valuation ; le commanditaire et le dveloppeur peuvent tre confondus, le dveloppeur est la personne qui ralise la cible d'valuation compte tenu de l'expression de besoins du commanditaire, l'valuateur est la personne qui effectue l'valuation de la scurit.

GS-001

93

Juillet 1994

P.S.I.

LES CRITRES D'VALUATION DE LA SCURIT DES SYSTMES INFORMATIQUES (ITSEC)

Une valuation ncessite la collaboration de ces trois acteurs, si possible ds le dbut du dveloppement de la cible d'valuation. Autant pour prserver le maximum d'objectivit dans les rsultats d'une valuation que pour rduire la charge et les frais de l'valuation, il est prvu que le commanditaire fournisse les lments de preuve exigs. Ceux-ci sont vrifis par l'valuateur qui doit aussi effectuer des tests complmentaires. 2.2. La cible de scurit Cette cible qui a t dfinie par le commanditaire et qui peut tre utilise pour le dveloppement du systme, contient tous les renseignements relatifs aux spcifications de la scurit. C'est l'tape fondamentale de la conception d'un systme selon les principes exposs dans la premire partie ; c'est la rfrence de base pour l'valuation selon les ITSEC. Cette cible caractrise la politique de scurit du systme (ou l'argumentaire du produit) et elle contient : les objectifs de scurit, la politique technique de scurit, donnant la spcification des fonctions de scurit, la dfinition des mcanismes de scurit (optionnelle) et l'annonce de la rsistance minimum des mcanismes de scurit, les mesures non techniques, le niveau d'valuation vis pour cette cible d'valuation correspondant au degr de confiance ncessaire. 2.3. La fonctionnalit Compte tenu de ses objectifs de scurit, la cible d'valuation doit contenir des fonctions de scurit appropries. Celles-ci peuvent tre dclares de faon explicite, ou bien en rfrence des classes prdfinies ou des normes. La spcification des fonctions de scurit est la partie la plus importante de la cible de scurit. Pour les niveaux levs, la spcification en langage naturel doit tre prcise par une spcification de type semi-formel ou formel, de faon liminer les ambiguts du langage. Ces fonctions sont regroupes logiquement suivant les huit rubriques gnriques suivantes : identification et authentification, contrle d'accs,

GS-001

94

Juillet 1994

P.S.I.

LES CRITRES D'VALUATION DE LA SCURIT DES SYSTMES INFORMATIQUES (ITSEC)

imputabilit, audit, rutilisation d'objet, fidlit, fiabilit de service, changes de donnes. 2.4. Les critres d'assurance L'valuation est conduite selon des critres permettant d'avoir l'assurance d'une part que les fonctions et mcanismes de scurit satisfont les objectifs de scurit et, d'autre part, qu'ils ont t implments et qu'ils seront exploits correctement. assurance-efficacit : les fonctions et mcanismes doivent tre efficaces pour contrer les menaces identifies. L'estimation de l'efficacit est indpendante du niveau d'valuation ; elle consiste vrifier que les fonctions sont efficaces pour satisfaire les objectifs dclars : elle porte sur la pertinence du choix des fonctions, leur cohsion, les consquences d'ventuelles vulnrabilits dcouvertes et la facilit d'emploi. Elle est faite sous deux angles diffrents en examinant les aspects suivants : sous l'angle de la construction : - pertinence du choix des fonctions, - cohsion des fonctions et mcanismes au sein de la cible d'valuation, - rsistance des mcanismes une attaque directe, - vulnrabilits dans la construction de la cible d'valuation, sous l'angle de l'exploitation : -facilit d'emploi pour une exploitation sre, -vulnrabilits en exploitation. assurance-conformit : les fonctions et mcanismes doivent tre correctement dvelopps et exploits. L'estimation de la conformit est directement lie au niveau d'valuation choisi (E1 E6), c'est--dire que les exigences de conformit sont d'autant plus grandes que le niveau est lev ; elle consiste tudier la manire dont la cible d'valuation a t construite et dont elle sera exploite. L'estimation de la conformit est ralise partir des critres correspondant au niveau d'valuation vis. Ces critres ont tous la mme

GS-001

95

Juillet 1994

P.S.I.

LES CRITRES D'VALUATION DE LA SCURIT DES SYSTMES INFORMATIQUES (ITSEC)

structure mais ils se diffrencient par leur niveau de dtail, en particulier dans l'examen du processus de dveloppement.

GS-001

96

Juillet 1994

P.S.I.

LES CRITRES D'VALUATION DE LA SCURIT DES SYSTMES INFORMATIQUES (ITSEC)

L encore, la cible d'valuation est examine sous les angles de la construction et de l'exploitation puis, dans chaque cas, sous diffrents aspects ou phases ; sous l'angle de la construction : - le processus de dveloppement, - l'environnement de dveloppement, sous l'angle de l'exploitation : - la documentation d'exploitation, - l'environnement d'exploitation. C'est au commanditaire de l'valuation que revient la charge de fournir toute la documentation ncessaire, en respectant les exigences de contenu et de prsentation ainsi que, partir du niveau E2, les lments de preuve issus des rsultats des tests effectus pendant le dveloppement. Le rsultat de l'valuation, en cas de succs, est une confirmation que la cible d'valuation satisfait ses objectifs de scurit avec un niveau d'assurance correspondant au niveau d'valuation vis. Si une vulnrabilit exploitable, au niveau considr, a t dcouverte au cours de l'valuation et n'a pas t limine, la cible d'valuation recevra le niveau E0. 2.5. Conclusion Au del d'un simple catalogue de critres, les ITSEC proposent une approche mthodique et cohrente pour examiner la faon dont est prise en compte la scurit dans la conception, le dveloppement et l'exploitation d'un systme d'information. Cette approche exige en particulier que les objectifs de scurit aient t dfinis au pralable pour que l'on puisse apprcier, grce l'valuation, la manire dont les fonctions de scurit parviennent les satisfaire. L'laboration de ces critres a t guide par le souci de prserver le maximum d'objectivit dans les rsultats d'une valuation. Ils sont utilisables pour l'valuation d'une gamme trs large de produits de scurit et de systmes d'information scuriss. De plus, leur adoption par une communaut internationale est favorable au dveloppement du march de la scurit. La Commission de l'Union Europenne a prvu une recommandation du Conseil pour promouvoir l'utilisation des ITSEC au sein de la Communaut. L'ISO entame des travaux en matire de normalisation de critres d'valuation sur la base des ITSEC. De mme, l'OTAN travaille la reformulation de ses propres critres. La prise en compte des ITSEC a t officialise pour l'administration franaise. Ils constituent la pice importante de l'uvre de scurisation dont

GS-001

97

Juillet 1994

P.S.I.

LES CRITRES D'VALUATION DE LA SCURIT DES SYSTMES INFORMATIQUES (ITSEC)

l'objectif est d'amliorer la scurit et, pour cela, de faire natre un march de produits dvelopps conformment aux nouveaux besoins des utilisateurs. Il est important que ces utilisateurs, au sens large, soient bien persuads que seule une approche globale comme celle qui a t prsente ci-dessus peut permettre de bien traiter le problme de la scurit du traitement de l'information, problme qui ne peut tre rsolu que s'il a t clairement dfini.

SCHMA DE DVELOPPEMENT D'UN SYSTME SCURIS SELON LES ITSEC


GUIDE PSI

POLITIQUE DE SCURIT INTERNE EXPRESSION DES BESOINS DE SCURIT QUOI PROTEGER ? POURQUOI ?, CONTRE QUELLES MALVEILANCES ?, SOUS QUELLES CONTRAINTES ? , ET CHOIX FIXES A PRIORI ? ANALYSE DE RISQUES
RAPPORT COUT / EFFICACITE, FAISABILITE

EBIOS

(FEROS)

OBJECTIF DE SCURIT
CE QUE, TOUT BIEN PESE, IL EST DECIDE DE PROTEGER, POURQUOI ET CONTRE QUI

POLITIQUE DE SCURIT INTERNE


ROSCOF

FONCTIONNALITE

ASSURANCES FORCE DES MECANISMES

MESURES NON TECHNIQUES

POLITIQUE DE SCURIT DU SYSTME CIBLE DE SCURIT

DSIS

EVALUATION

FOURNITURES

DEVELOPPEMENT

CERTIFICATION AGREMENT HOMOLOGATION

GS-001

98

Juillet 1994

P.S.I.

LES CRITRES D'VALUATION DE LA SCURIT DES SYSTMES INFORMATIQUES (ITSEC)

Page laisse blanche

GS-001

99

Juillet 1994

P.S.I.

CODES D'THIQUES DES MTIERS DES TECHNOLOGIES DE L'INFORMATION

Annexe 3 Lignes directrices rgissant la scurit des systmes d'information (OCDE)

3.1.

Introduction

Adopte par les 24 pays membres de l'OCDE, la version actuelle (novembre 1992) de ces lignes directrices constitue un document de rfrence de porte internationale. Elles ont pour but de sensibiliser aux risques menaant les systmes d'information, d'aider les personnes responsables de la scurit des systmes d'information et de promouvoir la coopration internationale dans ce domaine. Elles se prsentent sous la forme des principes rsums ci-aprs.

3.2.

Principe de responsabilit

Les attributions et responsabilits des propritaires, des fournisseurs, des utilisateurs de systmes d'information et des autres parties concernes par la scurit des systmes d'information, doivent tre explicitement exprimes.

3.3.

Principe de sensibilisation

Pour favoriser la confiance envers les systmes d'information, les propritaires, les fournisseurs, les utilisateurs et toute autre entit concerne doivent pouvoir connatre, de faon compatible avec le maintien de la scurit, tout moment l'existence et l'ampleur des mesures, pratiques et procdures visant la scurit des systmes d'information.

3.4.

Principe d'thique

La fourniture et l'utilisation des systmes d'information, ainsi que la mise en uvre de leur scurit doivent tre telles que les intrts lgitimes des tiers soient respects.

GS-001

93

Juillet 1994

P.S.I.

CODES D'THIQUES DES MTIERS DES TECHNOLOGIES DE L'INFORMATION

3.5.

Principe de pluridisciplinarit

Les mesures, pratiques et procdures de scurit des systmes d'information doivent prendre en compte toutes les considrations pertinentes qu'elles soient d'ordre technique ou administratif, et concernant l'organisation, l'exploitation, le commerce, l'ducation ou le droit.

3.6.

Principe de proportionnalit

Les niveaux, cots, mesures, pratiques et procdures de scurit doivent tre appropris et proportionns la valeur et au degr de dpendance envers les systmes d'information, ainsi qu' la gravit, la probabilit et l'ampleur des ventuels prjudices.

3.7.

Principe d'intgration

Les mesures, pratiques et procdures de scurit des systmes d'information doivent tre coordonnes et harmonises entre elles et les autres mesures, pratiques et procdures de l'organisme, afin de raliser un dispositif de scurit cohrent.

3.8.

Principe d'opportunit

Les organismes publics ou privs, au plan national et international, doivent agir en temps opportun de manire coordonne afin d'empcher les atteintes la scurit des systmes d'information, ou d'y faire face.

3.9.

Principe de rvaluation

La scurit des systmes d'information doit tre rvalue priodiquement car les systmes d'information et les exigences de scurit varient dans le temps.

3.10. Principe de dmocratie La scurit des systmes d'information doit tre compatible avec l'utilisation et la circulation lgitimes des donnes et des informations dans une socit dmocratique.

GS-001

94

Juillet 1994

P.S.I.

TEXTES LGISLATIFS ET RGLEMENTAIRES RELATIFS AUX INFORMATIONS NON SD

Annexe 4 Codes d'thique des mtiers des technologies de l'information

4.1.

Codes d'thique de l'IFIP (International Federation for Information Processing) Un code d'thique a t labor par l'IFIP (International Federation for Information Processing) dont l'AFCET est membre, pour la France. Ce code s'adresse non seulement aux professionnels de l'informatique mais encore aux organisations multinationales de l'informatique et tous ceux qui se sentent concerns par les problmes juridiques internationaux de l'informatique et par les rgles publiques en ce domaine. Le code est constitu des rubriques suivantes: thique professionnelle des personnes, thique des organisations internationales, thique pour la lgislation internationale, thique pour la politique internationale.

4.2.

Codes d'thique nationaux

4.2.1. Association Franaise des Informaticiens (AFIN) Un code d'thique, labor par l'Association franaise des informaticiens, est destin guider l'informaticien sur ses devoirs et droits. Le texte du code peut tre adjoint aux contrats de travail et fait rfrence devant le Conseil des prud'hommes. Le texte s'articule autour de quatre grands chapitres : informaticiens et entreprise, entreprise et informaticiens, informaticien prestataire, informaticien vis--vis de ses confrres.

GS-001

93

Juillet 1994

P.S.I.

TEXTES LGISLATIFS ET RGLEMENTAIRES RELATIFS AUX INFORMATIONS NON SD

4.2.2. CLUb de la Scurit Informatique Franais (CLUSIF) Code d'thique, 13 janvier 1991. Ce code s'adresse en priorit aux membres du CLUSIF qui doivent s'y conformer sous peine d'exclusion. Il est recommand tous les professionnels ou utilisateurs de l'informatique. Le code du CLUSIF aborde les principes d'thique selon les aspects suivants : rgles gnrales, partie applicable aux consultants, niveau schma directeur de la scurit des systmes d'information, partie applicable aux intervenants, niveau conception dtaille, partie applicable aux intervenants, niveau ralisation, partie applicable aux intervenants, niveau contrle, partie applicable aux intervenants, niveau maintenance. 4.3. Autres codes d'thique dans le monde

4.3.1. Association for Computing Machinery (ACM) 4.3.1.1. Code of Professionnal Conduct, 1972

Ce code prsente des principes gnraux, chacun tant dclin sous l'aspect de l'thique professionnelle et sous formes de rgles appliquer. Les principes gnraux s'adressent tout membre de l'ACM et sont les suivants : l'intgrit, la comptence professionnelle, la responsabilit professionnelle, l'utilisation de ses comptences pour l'amlioration du bien-tre de l'humanit. 4.3.1.2. Code of Ethics and Professionnal Conduct

Ce code identifie les situations que les professionnels peuvent rencontrer et fournit des conseils pour y faire face. Il est dcoup en 4 sections : impratifs moraux gnraux,

GS-001

94

Juillet 1994

P.S.I.

TEXTES LGISLATIFS ET RGLEMENTAIRES RELATIFS AUX INFORMATIONS NON SD

responsabilits professionnelles plus spcifiques, impratifs relatifs aux dirigeants, respect du code. 4.3.2. British Computer Society (BCS) Code of Conduct, 1990. Ce code s'adresse aux membres de la BCS. Les principes de base du code concernent : la conduite professionnelle, l'intgrit professionnelle, la prservation de l'intrt public et du droits des tiers, la fidlit l'employeur ou au client et le respect de la confidentialit des informations de l'employeur ou du client, la comptence technique, l'impartialit. 4.3.3. American Society for Information Science (ASIS) Code of Ethics for Information Professionals. Ce code s'applique aux membres de l'ASIS, il aborde les domaines suivants : responsabilit envers les employeurs, les clients et les utilisateurs, responsabilit envers la profession, responsabilit envers la socit. 4.3.4. Computer Professionals for Social Responsibility (CPSR) and Privacy International (PI) Code of Fair Information Practices to promote information privacy. Les thmes abords concernent les donnes sur les personnes : ne pas utiliser de donnes personnelles dans un autre but que celui initialement prvu sans consentement spcifique, ne collecter que l'information ncessaire, assurer l'intgrit des donnes, informer les sujets de la mmorisation et de l'usage des informations qui les concernent, leur donner le droit de vrification et de correction, tablir et diffuser la politique relative la protection de la vie prive.

GS-001

95

Juillet 1994

P.S.I.

TEXTES LGISLATIFS ET RGLEMENTAIRES RELATIFS AUX INFORMATIONS NON SD

GS-001

96

Juillet 1994

P.S.I.

TEXTES LGISLATIFS ET RGLEMENTAIRES RELATIFS AUX INFORMATIONS NON SD

Page laisse blanche

GS-001

97

Juillet 1994

P.S.I.

TEXTES LGISLATIFS ET RGLEMENTAIRES RELATIFS AUX INFORMATIONS NON SD

Annexe 5 Textes lgislatifs et rglementaires relatifs aux informations relevant du secret de dfense

5.1. Textes fondamentaux


5.1.1. Nouveau Code pnal (1994) Art. 410-1 414-9 : Des atteintes aux intrts fondamentaux de la nation. Art. 226-13 et 226-14 relatifs au secret professionnel 5.1.2. Dcret-loi du 18 avril 1939 modifi par l'ordonnance n58-917 du 7 octobre 1958 modifi par le dcret n72-743 du 12 juin 1972 fixant le rgime des matriels de guerre, armes et munitions, dont les articles 12 et 13, fixant les conditions d'exportation des matriels de cryptologie. Remarque : Dcret d'application n95-589 du 6 mai 1995 et voir code pnal . 5.1.3. Dcret n79-1160 du 28 dcembre 1979 relatif aux conditions d'application aux traitements d'informations nominatives intressant la sret de l'tat, la dfense et la scurit publique de la loi n78-17 du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts. 5.1.4. Dcret n81-514 du 12 mai 1981 relatif l'organisation de la protection des secrets et des informations concernant la dfense nationale et la sret de l'tat.

GS-001

98

Juillet 1994

P.S.I.

TEXTES LGISLATIFS ET RGLEMENTAIRES RELATIFS AUX INFORMATIONS NON SD

5.2.

Principales instructions et directives

Ce paragraphe doit tre complt - tout particulirement pour la rglementation sur la cryptologie et les signaux parasites compromettants - par le Rpertoire des documents relatifs la scurit des systmes d'information n980/SCSSI (Diffusion restreinte), mise jour et dit par le SCSSI, 18 rue du Dr Zamenhof, 91131 Issy-les-Moulineaux. 5.2.1. Instruction interministrielle n500bis/SGDN/TTS/SSI/DR du 18 octobre 1996 relative au chiffre dans la scurit des systmes d'information 5.2.2. Instruction interministrielle n910/SGDN/SSD/DR et n910/SGDN/DISSI/SCSSI/DR du 19 dcembre 1994 sur les articles controls de la scurit des systmes d'information (ACSSI). 5.2.3. Instruction Interministrielle n300/SGDN/TTS/SSI/DR du 21 juin 1997 relative la protection contre les signaux parasites compromettants. 5.2.4. Instruction gnrale interministrielle n1300/SGDN/SSD/DR du 12 mars 1982 relative la protection du secret et des informations concernant la Dfense nationale et la sret de l'tat. 5.2.5. Instruction Interministrielle n2000/SGDN/SSD/DR du 1er octobre 1986 relative la protection du secret et des informations concernant la dfense nationale et la sret de l'tat dans les marchs et autres contrats. 5.2.6 Instructions gnrales interministrielles n900/SGDN/SSD/DR et n900/DISSI/SCSSI/DR du 20 juillet 1993 relative la scurit des systmes d'information qui font l'objet d'une classification de dfense pour eux-mmes ou pour les informations traites. 5.2.7. Directive n485/SGDN/DISSI/SCSSI/DR du 15 dcembre 1988 relatif l'installation des sites et systmes d'information : protection contre les signaux compromettants.

GS-001

99

Juillet 1994

P.S.I.

TEXTES LGISLATIFS ET RGLEMENTAIRES RELATIFS AUX INFORMATIONS NON SD

Annexe 6 Textes lgislatifs et rglementaires relatifs aux informations ne relevant pas du secret de dfense
6.1. Textes fondamentaux
6.1.1. Code pnal Art. 226-1 et 226-2 : relatifs aux secrets de la vie prive. Art 226-13 et 226-14 : relatifs au secret professionnel Art. 411-6 411-8, Art. 411-10, Art. 414-1 414-9 relatifs aux informations ne relevant pas du secret de dfense. 6.1.2. Loi n68-678 du 26 juillet 1968 Loi n80-538 du 16 juillet 1980 relatives aux secrets conomiques et industriels. Code de la proprit intellectuelle : Art. L621 relatif au secret de fabrique. 6.1.3. Contrle de la destination finale Dcret du 30 novembre 1944. Arrt du 30 janvier 1967. Avis n9 du 24 janvier 1992, modifications du 8 mai et du 27 aot 1992, complment du 30 dcembre 1992. Avis du Ministre de l'conomie, des Finances et du Budget du 2 janvier 1992, relatif aux produits et technologies soumis au contrle de la destination finale, modifi par l'avis du 8 mai 1992 et par l'avis du 30 dcembre 1992. Remarque : un rglement europen est en projet.

GS-001

93

Juillet 1994

P.S.I.

TEXTES LGISLATIFS ET RGLEMENTAIRES RELATIFS AUX INFORMATIONS NON SD

6.2. Principaux guides


6.2.1. Guide n400 SGDN/DISSI/SCSSI du 18 octobre 1991 relatives l'installation des sites et systmes traitant des informations sensibles ne relevant pas du secret de dfense : protection contre les signaux parasites compromettants. 6.2.2. Guide n600 DISSI/SCSSI de mars 1993 relatives la protection des informations sensibles ne relevant pas du Secret de Dfense : recommandations pour les postes de travail informatiques. 6.2.3. Guide n650/DISSI/SCSSI du 28 mars 1994 relatives la menace et aux attaques informatiques. 6.2.4. Recommandation n901/DISSI/SCSSI du 2 mars 1994 relative la scurit des systmes d'information traitant des informations sensibles non classifies de dfense.

6.3. Textes particuliers


6.3.1. Loi n72-662 du 13 juillet 1972, art. 18 portant statut gnral des militaires relatif l'obligation de discrtion professionnelle. 6.3.2. Loi n78-753 du 17 juillet 1978, art. 6 relatif au droit d'accs aux documents administratifs et portant sur diverses mesures d'amliorations des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal. 6.3.3. Loi n83-634 du 13 juillet 1983, art. 26 et art. 27 portant droits et obligations des fonctionnaires relatif l'obligation de discrtion professionnelle.

GS-001

94

Juillet 1994

P.S.I.

TEXTES LGISLATIFS ET RECOMMANDATIONS / LUTTE CONTRE LA MALVEILLANCE

Annexe 7 Textes lgislatifs et recommandations relatifs la lutte contre la malveillance


7.1. Textes sur la protection juridique des informations
7.1.1. Code pnal Art. 226-15 sur le secret des correspondances, Art. 226-16 226-24 sur les traitements automatiss d'informations nominatives, Art. 323-1 323-7 relatifs aux atteintes aux systmes de traitements automatiss de donnes. 7.1.2. Directive n91/250/CEE du 14 mai 1991, modifie par la Directive n93/98/CEE du 29 octobre 1993 concernant la protection juridique des programmes d'ordinateur. 7.1.3. Loi n57-298 du 11 mars 1957 relative la proprit littraire et artistiques 7.1.4. Loi n85-660 du 3 juillet 1985 relative aux droits d'auteur et aux droits des artistes interprtes, des producteurs de phonogrammes et de vidogrammes et des entreprises de communications audiovisuelle. 7.1.5. Loi n86-1067 du 30 septembre 1986 modifie par la loi n89-25 du 17 janvier 1989 relative la libert de communication. 7.1.6. Loi n89-816 du 2 novembre 1989 relative la protection des topographies de produits semi-conducteurs. Art L.622 du code de la proprit intellectuelle

GS-001

93

Juillet 1994

P.S.I.

TEXTES LGISLATIFS ET RECOMMANDATIONS / LUTTE CONTRE LA MALVEILLANCE

7.1.7. Loi n91-646 du 10 juillet 1991 relative au secret des correspondances mises par la voie des tlcommunications. L'art. 25 prcise les peines encourues par quiconque aura illgalement intercept, dtourn, utilis ou divulgu des correspondances transmises par la voie des tlcommunications. Art. 226-3 et 226-15 alina 2 du Code pnal. Art. Art. 432-9 du Code pnal. 7.1.8. Loi n92-546 du 20 juin 1992 relative au dpt lgal 7.1.9. Loi n92-597 du 1er juillet 1992 relative au code de la proprit intellectuelle (partie lgislative) 7.1.10. Loi n94-361 du 10 mai 1994 relatif la protection des logiciels. 7.1.11. Dcret n62-53 du 10 janvier 1962 portant publication de la cnvention rvise pour la protection de la proprit intellectuelle. 7.1.12. Dcret n74-743 du 21 aot 1974 portant publication de la Convention de Berne pour la protection des uvres littraires et artistiques. 7.1.13. Circulaire du 17 octobre 1990 du Premier ministre relative la protection juridique des logiciels. 7.1.14. Code de la proprit intellectuelle, issu de la loi n92-597 du 1 juillet 1992, modifie par la loi n94-102 du 5 fvrier 1994 relative aux droits d'auteurs. 7.1.15. Code des Postes et Tlcommunications, art. L.41 relatif au secret de la correspondance confie aux services de tlcommunications.

GS-001

94

Juillet 1994

P.S.I.

TEXTES LGISLATIFS ET RECOMMANDATIONS / LUTTE CONTRE LA MALVEILLANCE

7.2. Textes sur la lutte contre la malveillance


7.2.1. Recommandation n81-94 du 21 juillet 1981 (Commission nationale informatique et liberts) relative aux mesures gnrales de scurit des systmes informatiques ; cette recommandation s'adresse aux dtenteurs et aux utilisateurs de fichiers nominatifs, en complment de la loi n78-17 du 6 janvier 1978. 7.2.2. Recommandation du Conseil de l'Europe adopte par le Conseil des ministres le 19 septembre 1989 relative la criminalit en relation avec l'ordinateur. 7.2.3. Dcision n92/242/CEE du 31 mars 1992 relative la scurit des systmes d'information.

7.3. Textes sur la cryptologie


7.3.1. Loi n90-1170 du 29 dcembre 1990 modifie par la loi n91-648 du 11 juillet 1991, la loi n93-1 du 1 avril 1993 et la loi n96-659 du 26 juillet 1996 relative la rglementation des tlcommunications. L'article 28 de cette loi prcise ce qui doit tre entendu par moyens cryptologiques. 7.3.2. Loi n92-1477 du 31 dcembre 1992 relative aux produits soumis certaines restrictions de circulation, notamment l'article 2. 7.3.3. Dcret n92-1358 du 28 dcembre 1992 dfinissant les conditions dans lesquelles sont souscrites les dclarations et accordes les autorisations concernant les moyens et prestations de cryptologie. 7.3.4. Arrts du 28 dcembre 1992 le premier, concernant les dclarations et demandes d'autorisation relatives aux moyens et prestations de cryptologie, le second, dfinissant les dispositions particulires auxquelles sont soumises les prestations de cryptologie. 7.3.5. Arrt du 15 fvrier 1993
GS-001

95

Juillet 1994

P.S.I.

TEXTES LGISLATIFS ET RECOMMANDATIONS / LUTTE CONTRE LA MALVEILLANCE

fixant les modalits d'tablissement de la demande de licence d'exportation des moyens de cryptologie et d'utilisation de cette licence.

GS-001

96

Juillet 1994

P.S.I.

TEXTES LGISLATIFS ET RECOMMANDATIONS / LUTTE CONTRE LA MALVEILLANCE

Page laisse blanche

GS-001

97

Juillet 1994

P.S.I.

LES GUIDES MTHODOLOGIQUES DVELOPPS PAR LE S.C.S.S.I.

Annexe 8 Les guides mthodologiques dvelopps par le Service Central de la Scurit des Systmes d'Information
Les ITSEC dfinissent le cadre de l'valuation d'un systme ou d'un produit conu selon les principes exposs dans l'annexe prcdente ; cette dmarche d'ensemble comprend les tapes suivantes : l'expression des besoins et l'identification des objectifs de scurit cette tape ncessite une analyse complte et rigoureuse selon les principes exposs dans le chapitre 6 du prsent guide. Le SCSSI a mis au point un guide mthodologique pour faciliter cette analyse : Le guide EBIOS et sa fiche de synthse FEROS (Fiche d'Expression Rationnelle des Objectifs de Scurit). le choix des fonctions de scurit et du niveau d'valuation pour des objectifs donns la dmarche qui doit guider la conception d'un systme conduit dfinir ses objectifs de scurit ; une fois ces objectifs fixs, les fonctions de scurit et le niveau d'valuation sont choisis de faon les satisfaire. Mais ce choix est une tape dlicate de la conception qui ncessite de la part du concepteur beaucoup d'exprience et de savoir-faire. Le SCSSI a mis au point un guide pour faciliter ce choix : ROSCOF (Ralisation des objectifs de scurit par le choix de fonctions). et, un document plus spcifique traitant de Classes de fonctions de scurit pour Ateliers de Gnie Logiciel : F-SEE-1 enfin, la prise en compte de la scurit au cours du dveloppement une fois la cible de scurit dfinie, la phase de dveloppement du systme doit galement tre conduite de faon sre. Le SCSSI a mis au point un guide pour faciliter cette dmarche : DSIS (Dveloppement de systmes d'information scuriss).

GS-001

93

Juillet 1994

P.S.I.

LES GUIDES MTHODOLOGIQUES DVELOPPS PAR LE S.C.S.S.I.

Page laisse blanche

GS-001

94

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

Annexe 9 Liste des rgles contenues dans le guide

GS-001

93

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

Page laisse blanche

GS-001

94

Juillet 1994

P.S.I.

LISTE DES RGLES CONTENUES DANS LE GUIDE

Rappel : "3" : rgle de base - " s " : rgle caractre majeur pour organismes sensibles La rgle prvoit........................................................................................................................................................................ page  v v  v  v  v v v PSI-001 PSI-002 INF-001 INF-002 INF-003 INF-004 INF-005 INF-006 INF-007 INF-008 INF-009 INF-010 INF-011 BPH-001 La responsabilit gnrale pour la scurit du systme d'information de l'organisme Les responsabilits pour l'laboration et la mise en uvre d'une politique de scurit interne Les directives d'application pour la protection juridique des informations de l'organisme La protection des informations confies l'organisme L'adoption d'une classification des informations sensibles L'adoption d'une classification des informations vitales L'adoption d'une classification des informations nominatives L'adoption d'une classification des informations stratgiques L'adoption d'une classification des informations coteuses Les critres d'apprciation de la nature et de la valeur des informations recueillies Les critres de diffusion interne des informations Les critres de diffusion externe des informations Les normes de conservation et de destruction des informations ncessitant une protection La prise en compte des contraintes oprationnelles de l'organisme dans la mise en place des moyens et 31 31 33 34 35 36 36 37 37 38 38 39 39

  

v v v v

procdures de scurit physique 42 v BPH-002 La gradation des mesures de protection physique 43 v BPH-003 L'adquation des mesures de protection aux catgories de biens physiques 44 v BPH-004 Le contrle permanent de l'intgrit des moyens de protection 44 v BPH-005 Le dcoupage de l'infrastructure en zones de scurit 45 BPH-006 La continuit dans la gestion des biens physiques 45 v BPH-007 La gestion spcifique des biens physiques ncessitant une protection 46  v OGS-001 Les responsabilits du niveau dcisionnel 47 v OGS-002 Les responsabilits du niveau de pilotage 49 v OGS-003 Les responsabilits du niveau oprationnel 49 v OGS-004 Les circonstances retenues par le niveau dcisionnel pour mettre en uvre les contrles de scurit 50 OGS-005 Les modalits des contrles par le niveau de pilotage 51 v OGS-006 La continuit du contrle de scurit par le niveau oprationnel 51  v PER-001 L'adoption de critres de slection pour le personnel travaillant sur les systmes d'information sensibles 54 v PER-002 L'adoption d'une procdure d'habilitation pour les postes de travail sensibles 54 v PER-003 Le cloisonnement des postes de travail sensibles 55 PER-004 La rotation du personnel affect aux postes de travail sensibles 55 v PER-005 La dfinition des objectifs de la sensibilisation la scurit 56 PER-006 L'adaptation de la sensibilisation aux diffrentes classes d'utilisateurs 56  v PER-007 L'application de la notion de responsable-dtenteur 57 PER-008 L'application de la notion de responsable-dpositaire 58 v PER-009 L'application de la notion de reconnaissance de responsabilit 58  v PER-010 L'application des modalits d'accueil et de circulation des visiteurs 59  v CVE-001 La dfinition des besoins de scurit 63 v CVE-002 L'laboration d'une cible de scurit 64 v CVE-003 L'adoption de mthodes et d'outils de dveloppement approuvs pour garantir la scurit du systme d'information 65 CVE-004 L'adoption d'un standard de programmation et de codage des donnes 66 v CVE-005 La sparation des tches de dveloppement et des tches techniques ou oprationnelles 66 CVE-006 Les critres d'acquisition et les conditions d'usage de progiciels 67 v CVE-007 La gestion des prestations de services externes 67 v CVE-008 Les conditions de mise en exploitation de tout nouveau constituant du systme d'information 68 v CVE-009 L'application de la notion de profil d'utilisateur du systme d'information 69 v CVE-010 L'unicit de l'identit des utilisateurs 70 v CVE-011 La notion de compltude des moyens d'authentification 70  v CVE-012 L'administration des privilges d'utilisation du systme d'information 71 v CVE-013 Le contrle des privilges des utilisateurs du systme d'information 71 v CVE-014 Les procdures d'exploitation scurise des informations et des donnes 73 v CVE-015 Le contrle des logiciels avant leur mise en exploitation 74 v CVE-016 Le contrle des supports amovibles avant leur mise en exploitation 75  v CVE-017 Les contrles de scurit en phase d'exploitation du systme d'information 75  v CVE-018 L'analyse des enregistrements des donnes de contrle de scurit 76 v CVE-019 Les procdures d'exploitation scurise des moyens dcentraliss, ddis ou dports hors de leur zone de scurit 76 v CVE-020 Le cadre contractuel pour les changes de donnes scuriss 78 v CVE-021 Les modalits d'utilisation scurise des rseaux de tlcommunication de l'organisme 78 v CVE-022 Les modalits d'utilisation scurise des rseaux de tlcommunication externes l'organisme 79 v CVE-023 La protection des informations durant leur transmission 80  v CVE-024 Les conditions de scurit pour la mise en maintenance des constituants du systme d'information 81 v CVE-025 Les conditions de scurit pour la remise en fonctionnement des constituants aprs leur maintenance 82 v CVE-026 Le suivi des oprations de maintenance des constituants du systme d'information 82 v CVE-027 Les conditions d'usage de la tlmaintenance 83 GS-001

95

Juillet 1994

P.S.I. CVE-028 CVE-029 CVE-030 CVE-031 CVE-032 v CVE-033 v CVE-034 CVE-035 CVE-036 CVE-037 CVE-038 v v v v

LISTE DES RGLES CONTENUES DANS LE GUIDE L'adoption d'un standard d'laboration de la documentation de scurit La gestion de la documentation de scurit La protection de la documentation de scurit La mise en place d'un rseau d'alerte pour la dtection des incidents de scurit La matrise des incidents de scurit L'laboration et le test d'un plan de reprise d'activit du systme d'information Le suivi des incidents de scurit L'valuation du niveau de confiance accord au systme d'information : l'valuation et la certification L'agrment et l'homologation du systme d'information Les circonstances qui justifient une rvaluation du systme d'information selon les ITSEC Le recours une tude prospective sur l'volution de la scurit du systme d'information 83 84 84 85 86 86 87 89 90 90 91

 

GS-001

96

Juillet 1994