ANSSI - Decret 2021 550

AECI(!
VG
RÉPUBLIQUE DU BÉNIN
Fraternité-J ustice-Travail
PRÉSIDENCE DE LA REPUBLIQUE
DECRET N" 2021- 550 DU 27 0CTOBRE2021

portant approbation des règles de Politique de Sécurité
des Systèmes d'lnformation de l'État en République du
Bénin.
LE PRÉSIDENT DE LA RÉPUBLIQUE,
CHEF DE L'ÉTAT,
CHEF DU GOUVERNEMENT,
Vu la loi n" 90-32 du 11 décembre 1990 portant Constitution de la République du Bénin,

telle que modifiée par la loi n' 2019-40 du 07 novembre 2019 ;
vu laloi n" 2017-20 du 20 avril 2018 portant code du numérique en République du Bénin,
telle que modifiée par la loi n"2020-35 du 06 janvier 2021 ;
vu la décision portant proclamation, le 21 auril 2021 par la Cour constitutionnelle, des

résultats définitifs de l'élection présidentielle du 11 avril 2021 ;
vu le décret n" 2021-257 du 25 mai 2021 porlanl composition du Gouvernement ;
vu le décret n' 2021-401 du 28 juillet 2021 fixant la structuretype des ministères ;

vu le décret n'202'1-308 du 09 juin 2021 portant attributions, organisation et
fonctionnement du Ministère du Numérique et de la Digitalisation ;
VU le décret n'
2018-529 du 14 novembre 2018 portant approbation des statuts de
I'Agence nationale de la Sécurité des Systèmes d'lnformation ;
sur proposition du Ministre du Numérique et de la Digitalisation,
le Conseil des Ministres entendu en sa séance du 27 octobre 2021 ,
DÉcRÈTE
Article premier
sont approuvés, comme ci-joint en annexe au présent décret, les règles de politique de
sécurité des systèmes d'information de l'État.
Article 2
Les règles de politique de sécurité des systèmes d'information de l'État s'appliquent :
- à tous les systèmes d'information des administrations publiques y compris les

établissements publics et les sociétés d'État;
- au personnel ou organismes tiers ayant une responsabilité dans les systèmes
d'information des institutions et structures ci-dessus indiquées ;
U
2
aux utilisateurs des systèmes d'information de l'État, aux personnes chargées
de leur gestion et aux personnes chargées de leur sécurité.
Article 3
Sont exclus du champ d'application des règles de politique de sécurité des systèmes
d'information de l'Etat :
- les systèmes d'information soumis au régime de la loi relative au secret de la

défense nationale et,
- les organismes privés mettant en æuvre leurs propres systèmes d'information.
Article 4
Les institutions et structures de l'État indiquées à l'article 2 du présent décret disposent
d'un délai d'un (01) an à compter de la date d'entrée en vigueur du présent décret pour
définir un plan d'actions pour la mise en æuvre de la politique.
Elles devront être en conformité totale avec les règles de politique de sécurité des
systèmes d'information de l'État dans les trois (03) années suivant son adoption.
L'Agence nationale de la Sécurité des Systèmes d'lnformation évalue chaque année, la
mise en æuvre de la Politique de Sécurité des Systèmes d'lnformation et en rend compte
au ministre chargé du Numérique.
Article 5
Le Ministre du Numérique et de la Digitalisation et le Ministre de l'Économie et des

Finances sont chargés, chacun en ce qui le concerne, de l'application du présent décret.
Article 6
Le présent décret, qui prend effet pour compter de sa date de signature, abroge toutes
dispositions antérieures contraires. ll sera publié au Journal officiel.
Fait à Cotonou ,le 27 oclobre 2021
Par le Président de la République,

Chef de l'État, Chef du Gouvernement,
Patrice T ON
2
Le Ministre de l'Économie La Ministre du Numérique
et des Finances, et de la Digitalisation,
4-)
(),-..,--r..^ )
Romuald WADAGN/ Aurelie l. ADAM SOULE ZOUMAROU
Ministre d'Etat
AMPLIATIONS : PR 6 iAN 4; CC 2; CS 2; CES 2; HAAC 2; HCJ 2tMÊF 2: MND 2 iAUTRES M|NISTÈRES 21 i SGG , ;
JORB 1,
3
POLI
TIQUEDESECURI
TE
DESSYSTEMESD’I
NFORMATI
ON
DEL’
ETAT(PSSI
E)
Versi
onfinale
Dat
ederévisi
on:
01.
07.
2021
TABLEDESMATI
ERES
1 PRÉAMBULE 06
1
.1 Cont
ext
e 06
1
.2 Enj
eux 06
1
.3 Ri
sques 07
1
.4 Obj
ect
ifsdel
aPSSI
E 07
1
.5 Démar
ched’
élabor
ati
on 08
3 DI
SPOSI
TIONSGÉNÉRALES 1
0
3.
1 Défini
ti
ons 1
0
3.
2 Champd’
appl
icat
ion 1
1
3.
3 Cadr
erégl
ement
air
e 1
1
3.
4 Pr
inci
pesdebase 1
2
I
nteracti
onsentr
elesenti
tés
,l’
ANSSIetl
eMini
stèr
eenchargedel
a
3.
5 Digi
tali
sati
ondanslecadr
edel amiseenœuvredelaPSSI
E 1
4
3.
6 Mi
seenappl
icat
iondel
aPSSI
E 1
5
3.
7 Dat
ed’
ent
réeenvi
gueur 1
5
3.
8 Di
sposi
ti
onst
ransi
toi
res 1
5
3.
9 Evol
uti
ondel
aPSSI
E 1
5
4 OBJECTI
FSETRÈGLESDESÉCURI
TÉ 1
6
4.
1 Or
gani
sat
iondel
asécur
itédus
yst
èmed’
inf
ormat
ion 1
6
4.
2 Sécur
itédesr
essour
ceshumai
nes 1
8
4.
3 Gest
iondesact
ifsdus
yst
èmed’
inf
ormat
ion 20
4.
4 Cont
rôl
ed’
accèsl
ogi
queaus
yst
èmed’
inf
ormat
ion 22
4.
5 Sécur
itéphysi
quedesl
ocauxabr
itantl
esact
ifsSI 24
4.
6 Pr
otect
iondumat
éri
el 25
4.
7 Sécur
itédesr
éseauxi
nfor
mat
iques 26
4.
8 Sécur
itédupost
edet
ravai
lut
il
isat
eur 28
4.
9 Sécur
itédeséqui
pement
sit
inér
ant
s 30
4.
10 Sécur
itél
iéeàl
’
expl
oit
ati
ondesSI 31
4.
11 Sécur
itédansl
’
acqui
sit
ion,l
edével
oppementetl
amai
ntenancedesSI 34
4.
12 Sécur
itédese-
ser
vices 36
4.
13 Sécur
itédesappl
icat
ionsWeb 36
4.
14 Mesur
escr
ypt
ogr
aphi
ques 38
4.
15 Rel
ati
onsavecl
esf
our
nisseur
s 39
4.
16 Sécur
itéduCl
oudcomput
ing 40
4.
17 Gest
iondesi
nci
dent
sdesécur
ité 41
4.
18 Gest
iondel
acont
inui
tédel
asécur
itéduSI 42
4.
19 Conf
ormi
té,audi
tetcont
rôl
esdesécur
ité 43
5 GLOSSAI
RE 46
6 ANNEXE:FI
CHEDEPOSTETYPED’
UN RSSI 48
1
.PRÉAMBULE
1
.1
. Cont
ext
e
L’ambi tion du Gouver nementdu Béni n estdeposi ti

onnerl epayscommel a
référence en Af rique de l’Ouest en mat i
ère de pl at
eformes de services
numér iquesàl ’
hor izon2021,etdefair
edest echnologiesdel ’
inf
ormationetde
la communi cation l ’
un des pr incipaux l evi
ers de son dével oppement
socio-économi que.
Poursout enircet te ambi t
ion,le Bénin a adopt é sa St
ratégie Nati
onale de
Sécur it
é Numér ique ( SNSN) qui confir me sa vol onté de gar anti
r un
cyber espacesécur isépouruneéconomi enumér iqueflor i
ssante.
Cette str
at égie quise veutambi t
ieuse ainscr i
tlaPol i
tique de Sécurité des
Systèmesd’ I
nf or
mat iondel ’
Etat(PSSIE)commeunpi l
ierdel aprotectiondes
i
nf r
astructur esets ystèmesd’ i
nformat i
ondel ’
Etat.LaPSSI Edéfini tlesbases
de la confiance des ut il
isateurs dans les usages qu’il
sf ontdes s ystèmes
d’i
nformat iondel ’Etat.Ell
econst it
uel esocledebasedesmesur estechniques,
organisationnel l
es,physi quesetr èglement air
esà met tre en œuvre parl es
entitésétat i
quespourpr otégerless ystèmesd’ i
nfor
mat i
on qu’il
sdépl oient
dansl eursect eurd’act i
vit
é.
1
.2. Enj
eux
Lesenj euxde l a PSSIErésidentdansl ’engagementde l ’

Etatà protégerles
ressourcesinformat i
onnellesdesent i
tésconcer néesparl esdispositionset
règlesdelapr ésentepolit
ique.Ainsi
,ils’
agitpourl ’Et
atdepositi
onnerl aPSSIE
au rang desaxesst rat
égiquesen mat ière de sécurit
é etde prot
ect i
on des
systèmesd’ i
nformat i
on.Danscesens,l aPSSI Evi sesurleplannationaletde
mani èr
edi r
ect eà:
contri
bueràl
apr
omot
ion desbonnespr
ati
quesdesécur
itéau sei
n desent
itésde
l
’Etat;
har
moni serl
apr
otect
iondesi
nfr
ast
ruct
uresdess
yst
èmesd’
inf
ormat
ion àl
’
échel
le
del’
Etat
;
f
avor
iserl
aconfiancedesut
il
isat
eur
sdansl
ess
yst
èmesd’
inf
ormat
iondel
’Et
at;
défini
rlecadr
erel
ati
onnelent
rel
’
ANSSIetl
esent
itésdel
’Et
at;
contri
buerà l
’économi
e numérique au Béni
n en f
avor
isantl
a consommat
ion des
ser
vicesetpr
odui t
sdeconfiancenumér i
que.
LaPSSI
Econt r
ibueaussiàpromouvoi
rl’
imageduBéni
nàl
’i
nter
nat
ionaletà
l
edémar querdanslasous-r
égionouestaf
ricai
ne.
6 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
1
.3.Ri
sques
Ledéveloppementdel ’
économi enumér i
ques’ appuyantengr andepar ti
esur
lest
echnologi
esdel ’
inf
ormati
onetdel acommuni cat
ion,i
ln’endemeur epas
moinsque ce développementestsour ce de cybermenaces.Au Béni n,les
cybermenaceslesplusimportantesidentifiéesau niveau du cyberespaceet
quitouchentpart
icul
ièr
ementl essyst
èmesd’ informati
ondesent i
tésdel ’
Etat
sontrépert
ori
éescommesui t:
l
es cyber
-at
taques :attaques contreles si
tes web des i
nstit
utions de l
’Et
at,l
es
i
nfecti
ons vi
ral
es,l
apr i
se de contr
ôle àdist
ance dessyst
èmesd’ infor
mat i
on et
l
eurusageil
légit
imes pardesr éseauxcri
minelsnati
onauxouét r
angers;
l
evoldedonnéessensi
blesdét
enuesparl
esent
itésdel
’Et
at;
lesat
taquescontrel
esi
nfr
ast
ruct
urescr
iti
quespouvantent
raî
neruneat
tei
nte àl
a
sécur
iténat
ional
e;
l
ef ai
ble ni
veau de sensi
bili
sat
ion des ut
il
isat
eurs des s
ystèmes d’ i
nformati
on
consti
tuantlesrel
aisà par
tirdesquel
slescybercri
minel
sréussissentsouventleurs
att
aques.
1
.4.Obj
ect
ifsdel
aPSSI
E
Ils’avèrenécessairededéfini retdemettreen œuvrelesacti

onspermet t
ant
d’appor teruner éponsecommuneethar moniséeauxr i
squespesantsurles
systèmesd’ i
nfor
mat iondel ’
Etat.
Lespr i
ncipesdi r
ecteursetr èglesde l
a PSSI
E vi
sentdonc à encadreretà
orienterl ’
ensembl e des acti
ons per
met t
antde garanti
rpourles syst
èmes
d’i
nf ormationdel ’
Etat:
l
adisponi
bil
it
é,quisedéfini
tcommeétantl
apropr
iét
épourunsyst
èmed’ i
nfor
mat
ion
àêt
reaccessi
bleetuti
li
sabl
eàlademandeparl
esuti
li
sat
eur
sautori
sés;
l
’i
ntégr
ité,quisedéfini
tcommeét antlapropr
iét
é d’
uns
yst
èmed’
inf
ormat
iondene
permettrequelesmodificat
ionsautor
isées;
l
aconfident i
ali
té,quisedéfini
tcomme l apr opri
étépourun s yst
èmed’inf
ormat
ion
d’
être accessi
ble seul
ement à des ut
il
isat
eur s ou aut
res s
ystèmes d’
inf
ormat
ion
aut
orisés;
latraçabil
it
é quiestla pr
opri
été pourun s
yst
ème d’
infor
mat i
on de permett
rel
a
véri
ficationd’uneact
ionoud’unévénementàdesfinsd’analyseetd’
enretr
ouver
l’
auteur.
LaPSSIEvisedoncàoffri
rdesmesur
esdebasepourgér erl
esrisquesi
nhérents
auxusagesquisontfai
tsdessyst
èmesd’i
nformati
ondel’Et
at.
Sonadopt i
onpar
l
esentit
ésdel ’
Etatpermettr
ad’améli
orerleurni
veaudemat urit
éenmat i
ère
desécuri
tédel’i
nfor
mat i
on.
TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion 7
1
.5. Démar
ched’
élabor
ati
on
Pourétabli
rlesr ègl
esdel aPSSI E,l
’ANSSIs’
estinspir
éedel anor meI SO/CEI
27001:201
3ai nsiquel anor meI SO/CEI27005demanagementdesr i
squeset
s’
estbasée surl es r
ésultats des dif
fér
ents atel
ier
s organisés au profitdes
parti
esprenantesi dentifiées.Cesat eli
ersse sontdér oul
éscour antl e mois
d’oct
obre2020.Lesact ivit
ésquiontét éréal
iséespourpar veniràlapr ésente
versi
oncompr ennent:
analyseducontext
elégi
slati
fetr
égl
ement
air
eenRépubl
iqueduBéni
npor
tantsurl
a
sécurit
édessyst
èmesd’i
nf or
mati
on;
compréhension du f
onctionnement des s
yst
èmes d’
inf
ormation de l
’Etat et des
admini
str
ationsbéni
noisesetdéter
minati
ondudomained’appl
icati
ondel aPSSIE;
anal
yse sommai
re desr
isquesauxquel
ssontexposésl
ess
yst
èmesd’
inf
ormat
ion de
l
’Et
at;
benchmarkinternat
ionalsurlesappr
ochesr
égal
iennesd’
aut
respaysen mat
ièr
ede
sécur
itédess
ystèmesd’ i
nfor
mat i
on;
f
ormal
isat
iondesobj
ect
ifsetdesr
ègl
esdesécur
itéappl
icabl
es;
or
gani
sat
ionsdepl
usi
eur
ssessi
onsduComi
tédePi
lot
agedupr
ojet
.
8 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion 9
3.DI
SPOSI
TIONSGÉNÉRALES
3.
1. Défini
ti
ons
ANSSI AgenceNat
ional
edel
aSécur
itédesSys
tèmesd’
Inf
ormat
ion
ASSI AgencedesSer
vicesetSys
tèmesd'
Inf
ormat
ion
APDP Aut
ori
tédePr
otect
iondesDonnéesàcar
act
èrePer
sonnel
bj
CSI
RT Equi
penat
ional
eder
épons
eauxi
nci
dent
sdes
écur
itéi
nfor
mat
ique
FSSN Four
nis
seurdeSer
vicesdeSécur
ité Numér
ique
FSSNQ Four
nis
seurdeSer
vicesdeSécur
itéNumér
iqueQual
ifié
I
nfor
mat
ion Toussi
gnes,toussi
gnaux,t
ousécri
ts,
tout
esimages,
toussonsoutous
enregi
str
ement sdetout
esnatur
espouvantêtr
evéhicul
éspardes
pr
océdésdecommuni
cationsél
ectr
oniques
I
nfor
mat
ionsensi
ble Tout
eslesdonnéesàcaract
èrepersonnelrel
ati
vesauxopinions
ouacti
vit
ésrel
igi
eus
es,phil
osophi
ques ,
polit
iques
,syndi
cales,à
l
avi
es exuel
leouraci
ale,
àlasanté,àlagénéti
que,auxmesuresd’or
dresocial
,auxpoursui
tes,
aux
s
ancti
onspénalesouadmi ni
str
atives
PKI Publ
icKeyI
nfr
ast
ruct
ure(
Inf
ras
truct
ureàcl
épubl
ique)
Pol
iti
que I
ntent
ionsetor
ient
ati
onsgl
obal
est
ell
esqu'
expr
iméesf
ormel
lementparl
’
Etat
PSSI
E Pol
it
iquedeSécur
itédesSys
tèmesd’
Inf
ormat
iondel
’
Etat
RSSI Res
pons
abl
edel
aSécur
itéduSys
tèmed’
Inf
ormat
ion
Sécur
itédusyst
èmed’
inf
ormat
ion Ens embl edesmesurestechniquesetnon
techniques(organi
sati
onnell
esethumai nes)
deprotect
ionpermett
antàuns ys
tèmed’ i
nfor
mationder ésis
teràdesévènement ss uscept
ibl
esde
compromet tr
eladi
sponi
bil
it
é,l
’
intégr
itéoulaconfidentiali
tédesdonnéesstockées,trai
tées
outr
ans mises
Syst èmed’ Informat ion( SI

) Ensembl eorganis
éder essources(matér
iel
s,l
ogi
ciel
s,
per
sonnel,donnéesetprocédur es
)quipermetde
r
egrouper,
decl
ass
ifier
,det
rai
teretdedi
ff
userdel’
i
nformationsurunenvironnementdonné
TSA Ti
mes
tampAut
hor
ity(
Aut
ori
tédecer
tificat
iondest
emps
)
1
0 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
3.
2.Champd’
appl
icat
ion
LaPSSI
Es’
appl
ique:
àt ous l
es s
ystèmes d’i
nformati
on sans except i
on des admini
strati
ons publi
ques
(Prési
dencedel aRépublique,Mi
nistèr
es,Instit
utionsdelaRépubl i
que,Agencesou
str
ucturessoust ut
ell
es)ycompr i
slesétablissement spubli
csetlessoci
ét ésd'
Etat
.
Cesadmi ni
strat
ionssontdénommées«ent ités»dansl erest
edudocument;
au personnelou aux organi

smestier
s(prest
atai
resou sous-
trai
tant
s)ayantune
responsabi
li
tédanslesyst
èmed’i
nfor
mat i
ondesdit
esenti
tés;
auxuti
li
sat
eursdessyst
èmesd’ i
nfor
mati
ondel ’
Etat,
auxper
sonneschar
géesdel
eur
gest
ionetauxpersonneschar
géesdeleursécuri
té.
LaPSSI
Enes’
appl
iquepas:
auxs yst
èmesd’informationpri
sencompt eparlaLoin°2019-05por
t antor
gani sati
on
du secret de la défense nat
ionale en Républ i
que du Bénin.I
lappar t
ient aux
responsablesdesent i
tésconcernéesd’assurerunecohérenceentr
el esdispositi
ons
del aprésentePSSIE etlaréglementation r
elati
veàlapr ot
ecti
on desinformat i
ons
classi
fiéesdedéf ense.;
aux organi
smes pr
ivés mettanten oeuvr
el eur
s propr
es syst
èmes d’i
nfor
mat i
on
(banques,opér
ateurstélécoms,…).La PSSI E peut t
outefoi
s ser
vir de sour
ce
d’i
nspir
ati
onpourcesorganismesquisontli
bresdel’
adopterounon.
3.
3.Cadr
erégl
ement
air
e
La PSSIE esten conformit
é avec lesdi spositi
onsl égalesetr églement air
es
appli
cablesauBéni n.Enconséquence,l esr èglesquiysonti nscrit
estiennent
compt e de l
aLoin° 201
7-20 du 20 Avri
l201 8 portantcode du numér ique en
Républ i
queduBéni netdelaloin° 2009-09por tantpr otect
iondesdonnéesà
car
actèreper sonnelenRépubl i
queduBéni ndanst outessesdi sposi
ti
onsqui
nesontpascont r
air
esauLivreCi nquièmeducodedunumér i
quequit rait
ede
l
apr otecti
ondesdonnéesàcar actèreper sonnel.
TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion 1
1
3.
4.Pr
inci
pesdebas
e
LaPSSIEs’
appuiesurdespri
nci
pesdirect
eur
sci-dessous,
quisontenphase
avecl
aStrat
égieNational
edeSécur
itéNumér i
que.
Cl
aus
es Exi
gence
P1 Respectdesexigences L’
enti
té ét
abli
tun regi
stre dest
extesj ur
idiquesqui
l
égales,
régl
ement air
eset sontappli
cabl
esàsessystèmesd’infor
mat ionetmet
contr
actuel
les enoeuvredesprocéduresdeconformitéaàcest ext
es.
P2 St
ruct
ureor
gani
sat
ionnel
le L’
entit
émetenpl aceunest ruct
ureorgani
sati
onnell
e
dédiée à l
a sécur
ité du SIi
mpl i
quantà minima l
es
acteurscl
ésdel amiseenoeuvr edelaPSSIE.
P3 Gesti
ondesris
quesde L’
entit
é meten pl ace un di
sposi
ti
fde gestion des
Sécuri
tédesSI ri
squesl i
ésàlasécuri
tédesSIen s’appuyantsurun
processusrégul
ierd’i
denti
ficati
on,d’appréci
ati
on et
detraitementdesri
sques.
P4 Poli
ti
quedesécur
ité L’
ent i
té compl ètel a présent e PSSI E en adoptant
spécifique suivantlesr ésultat
sdeson appr éciati
on desrisques,
despol i
tiquesdesécur itéspéci fiquesadapt éesàson
contexte ( i
nf r
astructure d’ i
mpor tance vi t
ale,
external
isation desSI ,interconnexi onsavecd’ autres
SI, …). L’entit
é pour r
a s’ inspirer des gui des et
publ i
cat
ionsdel ’ANSSI.
P5 Pl
and’
act
ionss
écur
ité Pourlami seenoeuvredel aPSSIE,l
’ent
itédéfinitun
plan d’acti
ons comprenant des mesures à l
af oi
s
organisati
onnel
les et t
echniques et qui ti
ennent
compt e desimpactssurlesacti
vit
ésainsaique des
moyensfinanci ersethumainsàmet treenoeuvre.
P6 Budgét
isat
iondel
asécur
ité L’
enti
téquanti
fieetplani
fielebudgetnécessai
reàl
a
miseenconfor
mitéaveclaPSSI
E.
P7 For
mat
ionets
ens
ibi
li
sat
ion L’entité définit et dépl oie un pr ogramme de
format ionetdesensibi
li
sationenmat ièr
edesécur i
té
dess ystèmesd’i
nformation au profitdu per sonnel,
not ammentl esadmi ni
strateursinformatiquesetles
ut i
li
sateursdessyst
èmesd’ infor
mat ion.
1
2 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion 1
3
3.
5.I nter
acti
onsentr
elesent
ités
,l’
ANSSIetl
eMini
stèr
eenchar
gedel
a
Di
git
alis
ationdansl
ecadredelami seenœuvredel
aPSSIE
Dansl
ecadredel
ami seenœuvr
edel aPSSI
Eetsouslasuper
visi
ont
echni
que
duMini
stèr
eenchar
geduNumér iqueetdelaDi
git
ali
sati
on,l
’
ANSSI:
apporte son concour

s aux ent
ités dans l
’
assi
mil
ati
on des r
ègl
es de l
a pr
ésent
e
pol
iti
que;
dif
fuseauxent
itésdesi
nfor
mat
ionsdevei
ll
esécur
itél
eurper
met
tantd’
éval
uerl
es
ri
sques;
eff
ect
ueuncontrôl
egénér
aldelami
seenoeuvredelapr
ésent
epol
it
iqueetenr
end
compteauMini
streduNuméri
queetdel
aDigit
ali
sat
ion;
él
abore desnormesetguidesafin de f
aci
li
terl
a mi
se en oeuvr
e de l
a pr
ésent
e
pol
it
iqueparlesent
ités;
éval
uel
ami
seenoeuvr
edel
aPSSI
Eetpr
oposel
esévol
uti
onsdecel
le-
ci;
appui
elesent
itésdansl
ecadr
edel
’
élabor
ati
ondel
eurPSSIspéci
fique;
co-
organi
se l
a conf
érence des DSIavec l
'
ASSIen f
aisantpar
tici
perl
es RSSIdes
admini
str
ati
onsetstruct
urespubli
ques.
Lesent
ités:
or
gani
sentetcoor
donnentl
’
appl
icat
iondel
aPSSI
Eausei
ndel
eur
sst
ruct
ures;
él
abor
entl
eurPSSIspéci
fiquebaséesurl
aPSSI
E;
cr
éentetmet
tentenpl
acel
afonct
ionRSSIausei
ndel
euror
gani
sat
ion;
opér
ati
onnal
isentlafonct
ion RSSIetal
louentl
ebudgetappr
opr
iépourl
’
exécut
ion
desonpland’act
ions;
sol
li
cit
entl
’
ANSSIencasdenécessi
téeuégar
dauxt
ermesdel
aPSSI
E;
di
li
gententdescontr
ôlesi
nter
nespours’
assur
erdel
ami
seenœuvr
edesr
ègl
esdel
a
PSSIEetrendentcompteàl'
ANSSI;
r
emont
entl
esi
nci
dent
ssi
gni
ficat
ifsdesécur
itéàl
’
ANSSI;
sepr
êtentauxmi
ssi
onsd’
audi
tor
gani
séesparl
’
ANSSI
.
1
4 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
3.
6.Mi
seenappl
icat
iondel
aPSSI
E
LaPSSI E définitl
esr èglesquisontdesexi gencesmi ni
mal esobligatoi
reset
des recommandat ions (formulées en car
actèreitali
que)vi santà aiderles
enti
tésài mplément erlesrègles.L’
appl
icat
iondesr ecommandat i
onsestl i
bre.
Afin d’aiderlesentitésàpr iori
serlesacti
onsàmet tre en oeuvre,àchaque
règl
e est associé un poi ds mar qué par un code couleur de l a mesure
corr
espondant e:
enbl
eugr
asl
esr
ègl
esdesécur
itédepoi
dscr
iti
quei
dent
ifiabl
esparl
alet
tr C)
e(
ennoi
rgr
asl
esr
ègl
esdesécur
itédepoi
dsnor
mali
dent
ifiabl
esparl
alet
tr N)
e(
Ilpeutêt r
enécessaire,danscertai
nscasspécifiques,dedér ogeràdesr ègl
es
énoncées par l a PSSIE.Ilappar ti
ent al
ors au Management de l '
entit
é
concer néedel essubstit
uerformellementpardesr ègl
espar ticul
ièr
es.Pour
chacunedecesr ègl
es,ladérogati
on,mot i
vée,just
ifiéeetdocument ée,doit
être expressémentaccor dée parle Managementde l '
entité concernée.La
décision de dérogation accompagnée de laj usti
fication est tenue à la
3.
7.Dat
ed’
ent
réeenvi
gueur
LaPSSIEentreenvi gueuràpart
irdeladatedesonadopti
onparleConseil
desMinist
res.
L’ANSSIorgani
seradesateli
ersdédi
ésauxdi
ffér
ent
sacteursen
vuedelavulgarisat
ionetdelasensi
bil
isat
ionàlaPSSI
E.
3.
8.Di
spos
iti
onst
rans
itoi
res
Lesenti
tésdisposentd’
undélaid’
un(01
)anàcompt erdeladat
ed’entréeen
vi
gueurdel aPSSIEpourdéfinirunpl
and’acti
onsdemiseenoeuvredeladite
poli
ti
que.
Lesenti
tésdevrontêtreenconfor
mit
étotaleavecl
aPSSIEdanslestr
ois(03)
annéessuivantsonadopti
onetsapubli
cati
on.
3.
9.Evol
uti
ondel
aPSSI
E
L’
ANSSIélabor
elesévol
uti
onsdel
aPSSI
E,enl
iai
sonavecl
’
ASSIetl
esent
ités,
enprenantencompt e:
des évoluti
ons des cont
ext
es or
gani
sat
ionnel
,jur
idi
que, r
égl
ement
air
e et
technol
ogique;
desr
ésul
tat
sdesmi
ssi
onsdecont
rôl
edesécur
itédesent
ités;
del
’
évol
uti
ondesmenacesetl
esr
etour
sd'
expér
iencedest
rai
tement
sd'
i
nci
dent
s;
desdemandesdedér
ogat
ioncent
ral
iséesparl
’
ANSSIetémanantdesent
ités.
TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion 1
5
4.OBJECTI
FSETRÈGLESDESÉCURI
TÉ
4.
1.Or
gani
sat
iondel
asécur
itédess
yst
èmesd’
i
nfor
mat
ion
Objecti
fn°1
Etabl
iruncadr
edegesti
onpourengager,
puisvéri
fierl
ami seenoeuvr
eetle
fonct
ionnementdel
asécur
itédess
ystèmesd’i
nformat
ionauseindel’
ent
ité.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
ORG-
01 Fonct
ions
écur
ité Règle:
Chaqueentit
éesttenuededési gnerunRSSIdont
l
estâchessontdétail
léesdansunefichedepost e.
LeRSSIfai
tvali
derlesmesur esd’appli
cationdela
PSSI
E par son Management et vei ll
eàl eur
appl
icat
ionauseindel ’ent
ité.
Recommandat ion:
C
Eu égard àlanaturedesami ssi
on,etafin del e
doter des pouvoirs et moyens r equis, i
l est
recommandé de r att
acher l e RSSI à un
responsabledeniveaudi r
ection.L’enti
tépeutau
besoinr ecour
iraux services d’un FSSNQ pour
j
ouerler ôledeRSSI.
ORG-
02 Coordinat
iondel
a Règl e:
sécuri
té L’entité crée un comité sécuri
té des s ystèmes
d’informat ion ou t oute aut r
e st ructure
organi sat
ionnel
le consti
tuée de r esponsabl es
senior s. Ce comi té pil
ote et coor donne l e
dépl oiementdel aPSSIEauni veaudel ’
entité.
Ses
mi ssions, sa composi ti
on et son mode de
fonct ionnementdoi ventêtre détai
ll
ésdansune N
not edeser vi
ce.
Recommandat i
on:
Afin que ce comi té soi
tl e pl
us repr ésent
ati
f
possibl
e,ilestr
ecommandé qu’ ilsoitélargiaux
foncti
onsdedi r
ecti
on en chargedesr essour
ces
humai nes, des ressources financi ères, des
servi
cesgénérauxetdesser vi
cesjur
idiques.
ORG-
03 Sépar
ati
ondest
âches Règl e:
L'admi ni
strati
on des différents composant s du
système d’ i
nformation (systèmes d’expl oi
tati
on,
basesdesdonnées,équi pement sréseau,…)doi t
êtrecl oi
sonnéeetl esaccèsdesadmi nistr
ateur s
i
nf ormatiques doivent respecter ce
cloisonnement ,chacunét antdansl ’
impossi bi
lit
é
d’accéderàundomai nequin' estpasl esien.
Recommandat i
on:
C
Pourgar ant i
rlasépar
ationdest âchesausei ndes
fonctions en char ge de l ’administ
rati
on des
systèmes d’ inf
ormati
on,i lestr ecommandé de
défini retdemai nt
enirunemat r
icedesfonct ions
i
ncompat ibles et une pr océdure de cont rôle
compensat oiredesacti
vitésdesadmi ni
strateurs
l
or squ’i
l est impossibl
e de sépar er certaines
tâches.
1
6 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
ORG-
04 Responsabil
it
ésdes Règle:
adminis
trateurs L'enti
tédoitencadrer,d’unpointdevuesécur ité,
C
i
nformatiques l
’acti
vité des admini
strateursinformatiques en
établi
ssantune charte administ
rateurindiquant
l
esr esponsabili
tésetleslimit
esdel afoncti
on «
admi nist
rateur»enmat ièredesécuritéSI.
ORG-
05 Rel
ati
onsavecles Règl e:
aut
orit
éscompétent
es L’entitédoi tentreteni
rdesrelat
ionsétroi
tesavec
ensécuri
téSI l’
ANSSI , autori
té compét ente en mat ière de
sécur
l’
i
ANSSIl
t
é des SIau pl
es coor
an nati
onal.Ell
ef ourni
tà
données du RSSIen vue des
N
échanges d’ inf
or mati
ons autourde la sécuri
té
(veil
le,i ncidents de sécurit
é,aspect sl i
és au
cont rôle,…).
ORG-
06 Relati
onsavecles Règl e:
groupesdes péci
ali
stes L'
ent i
té doi t définir une procédur e de veil
le
ens écur
itéSI permet t
antauper sonnelenchar gedel asécuri
té
du SId’ entreteni
rdescont actspar ti
cul
iersavec
un cer cle pr ofessi
onnel él argi pouvant C
compr endr e les servi
ces spéciali
sés en veil
le
sécurité,lescabinetsdeconseils,leséditeur
sde
soluti
ons de sécur it
é, l es associ at
ions
professionnels,…
TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion 1
7
4.
2.Sécur
itédesr
ess
our
ceshumai
nes
Objecti
fn°
2
Fai
redesressour
ceshumai
nes,
unmai
ll
onf
ortdel
asécur
itédess
yst
èmes
d’
infor
mation.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
RH-
01 Sél
ect
iondescandi
dat
s Règle:
Le r ecrut ement des r ôl
es de confiance
(admi nistrateurs bases de données,s ystèmes,
réseau, consul t
ants, audi
teurs, …) devra fair
e
l
’objetdevér i
ficationssécuri
tair
esappr ofondies,
dans l e st ri
ct r espect du cadr e j uri
dique
applicabl
despost
e au Béni
ulants.
n,afin de garantirla probit
é C
Recommandat ion:
L’
entit
épeutpr océderàdesvér ificati
onspor tant
surl
ecasi erjudici
air
e,lescontrôlesderéférence,
l’
aut
hent i
cité des di plômes et cer t
ificati
ons
prof
essionnelles,l
esréseauxsociaux,…
RH-
02 Engagements
écur
ité Règle:
Toutper sonnelembauché( i
nterne,part
enair
eou
ti
ers) dest i
né à mani puler un composant du
syst
èmed’ informati
on,reçoi
tetsigneunechar te,
opposabl e j ur
idi
quement , r écapi
tulant l es
mesur espr ati
quesd’uti
li
sati
onduSI .I
ldoitsi
gner
un «accor d denon- di
vulgati
on »dèsson ent r
ée
enfoncti on. C
Recommandat ion:
Lorsque cel a estadmi nistr
at i
vementf aisabl
e,il
estr ecommandédef air
emodi fierlerègl ement
i
nt érieur de l ’
organisme pour i nclure l es
disposi t
ionsappl icablesen mat i
ère de sécurité
du SI ( PSSI spécifique, r espect des t extes
règlement ai
resappl icables,sanct i
onsen casde
violationdesr èglesdesécur i
té, …)
.
RH-
03 I
ntégrati
ondes Règl e:
nouvell
esrecr
ues Leci rcuitd’i
ntégrati
on desnouvell
esrecruesau
sei
pr
n de l
évoi
a str
r une ét
uct
ure d’
ape de f
accuei
ormat
lde l
i
’
entit
é doi
on aux outil
t
s de N
travai
l,auxpr océduresetprati
quesdesécuritéen
vigueur .
RH-
04 Sensi
bil
isat
iondu Règle:
pers
onnel L'enti
tédoitdispenserr égul i
èr ementetaumoi ns
deux f oisl ’
an, au pr ofit du per sonnel , des
format i
ons de sensi bili
sation sur l es r ègles
d’hygi
amél i
ène pour une sécur
oréedontl econt enu ser
it
é numér
aadapt éau pr
i
que
ofil
C
des ut i
li
sateurs ( ut i
li
sateurs sédent air
es,
i
t i
nérants,admi nistr
ateur s,fournisseur s,…).Ces
format i
onsdoi ventf ai
rel ’objetd’évaluat i
on des
acquisparl esutil
isat
eur s.
1
8 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
RH-
05 Mouvementdu Règle:
per
sonnel Unepr océdur
eper met t
antdegér erl
esmobi l
it
és
et les dépar ts des collaborateurs doi
t êt r
e
for
mal isée et appl iquée str i
ctement. Cet t
e
procédur edoitcouvrirau mini
mum l ’
adaptat
ion
oulasuspensi ondesaccèsl ogi
quesetphysiques,
l
er etraitdesacti
fsSI,lapassat
iondesconsi gnes
etaffairesencours,
… N
Recommandat i
on:
Ilestfortementr ecommandéquel espr océdur
es
de gest i
on de l a mobi l
it
é et des dépar ts
prescriventlesdél aisderetraitdesaccèsetdes
actif
s sui vant la nat ure du mouvement
(changement d’ ent i
té,dépar tà l ’
init
iati
ve de
l
’empl oyé,àl ’
ini
ti
ativedel’empl oyeur,…).
RH-
06 Mes
uresdi
sci
pli
nai
res Règl e:
L’enti
tédoitpr évoi
rlessancti
onsapplicablesen
cas de vi
systèmed’
ol
at
i
nf
ion de l
ormati
a pol
onenvi
i
ti
que de sécur
gueur.
Lesut i
li
it
é du
sateurs
N
sont informés de ces sanct i
ons de mani èr
e
formelle.
TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion 1
9
4.
3.Ges
tiondesact
ifsdus
yst
èmed’
i
nfor
mat
ion
Obj
ectifn°
3
I
denti
fierlesacti
fsdusyst
èmed’ i
nformationdel’
enti
téets’assur
erquel
es
r
esponsabil
it
éssontdéfiniespourlaprot
ectiondesacti
fs.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
ACT-
01 I
nvent
air
edesact
ifsSI Règl e:
Chaque ent i
té établi
t et mai nt
ient à jour un
inventair
e des actifs du syst
ème d’ i
nformat i
on
(
i
mat
nfor
ér
iel
mat
s,
i
logici
els,
ques…) sous sa r
r
éseaux,
esponsabil
it
l
ocaux
é, en C
s’appuyantsurunout i
llageadapté.Cetinventair
e
doitêtrecertifiésurunebaseannuel leàmi ni
ma.
ACT-
02 Respons
abi
li
téss
url
es Règle:
act
ifs A chaque act
qu’unr
ifSIi
esponsabl
dent
ifié,l
eestdési
’ent
ité doi
ts’
assur
gnépourenassur
er
erla C
sécuri
té.
ACT-
03 Usagecorr
ectdes Règl e:
act
ifsSI L’entité doitrédiger et di
ffuser une charte
d’
ut
ut
i
l
i
i
l
isat
sat
i
ondess
eur
yst
sdesacti
èmesd’
f
sduSI
i
nf
.L’
or
ent
mat
it
ionàt
édoi
ousl
ts’
es
assur
er N
quel est ermesdeladit
echartesontcompr i
spar
lesut i
li
sateur
s.
Objectifn°
4
I
dent i
fierlasensi
bil
itédesact
ifsdus
yst
èmed’
inf
ormat
ionpourper
met
treaux
uti
li
sateursd’
enfair
eunbonusage.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
ACT-
04 Sens
ibi
li
tédesact
ifsSI Règl e:
La sensibil
ité de toutactifSIidenti
fié doi têt
re
évaluéesui vantunegr i
ll
edecl assi
ficationquifixe
l
es ni veaux de sensi bil
ité en considérant l
es
cri
tères de di sponi
bili
té, d’int
égrit
é et de
confident ialit
é.Cettesensibil
it
éestr éévaluéeau
moi
del’
nsunef
entit
é.
oissuruncycledet roi
sansàl ’
échell
e
C
Recommandat ion:
Il convi ent de s’appuyer sur l
e cadr e de
classificationdesSIdel’
ANSSIaucasoùl’
entit
ése
trouve êt r
e un opér at
eur d’i
nfr
astructur
e
d’informat i
oncrit
ique.
ACT-
05 Marquagedesact
ifsSI Règle:
sens
ibl
es L’
entit
édoi tprocéderaumar quagephysi
quedes
acti
f
ouvi
sSImat
tal
éri
el
esafind’
sst
att
i
ockantdesdonnéessensi
rerl’
att
ent i
ondesut i
li
sat
bl
es
eurs
C
surlasensibil
it
édesdi tsacti
fs.
20 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
Obj
ectifn°5
Maî
tri
serlasécur
itéducycl
edevi
edesact
ifsS.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
ACT-
06 Cycl
edevi
edesact
ifs Règle:
SI L’
entitédéfini tdesprocéduresencadrantl
ecycle
de vi
acqui
e sécur
sit
ionj
i
sé des act
usqu’àleurmi
if
s SI depui
seaur
s leur
ebutenpassant
C
parleurutil
isati
onetl eurmaintenance.
Objecti
fn°6
Sécuri
serl
esinf
ormat
ionsquisontst
ockéessurl
essuppor
tsnumér
iques.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
ACT-
07 Chif
frementdes Règle:
supportsnumér
iques Lessupportsnumériquesstockantdesdonnées
sensi
blesdoi
ventêt
rechiff
rés.
Recommandation: C
Ilest r
ecommandé de recour
ir aux out
il
s de
chi
ffr
ementsagréésparl
’
ANSSI.
ACT-
08 Support
sphys
iquesen Règle:
tr
ansi
t L’
enti
tédoitélabor
eretappliquerunepr océdur
e
permet
suppor
t
t
ant de gér
sst
er les mouvement
ockantdesdonnées.Cet t
epr
s de
océdur
e
C
doitgaranti
rlat r
açabil
it
é du mouvementdes
support
setleurprotect
iondurantletransi
t.
ACT-
9 Réforme(cess
ionou Règl e:
vente)despassi
fsdu L’enti
té doit s’assur er que l es mat ér i
els et
SI/Miseaurebut équipement s i nfor mat i
ques él igibles aux
réformessontpr oprementdécommi ssi
onnés.La
mi se au r
numér iques(
ebut des suppor
CD,DVD,di squedur
ts physi
,etc.
ques
)nepour r
a N
se faire qu’une f oisl es données qui y sont
stockées sont dét ruites de manière sécur isée.
Une pr océdure d’ effacement sécur isée des
donnéesdoi têt r
emi seenpl ace.
TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion 21
4.
4. Cont
rôl
ed’
accèsl
ogi
queaus
yst
èmed’
i
nfor
mat
ion
Objecti
fn°7
Li
mi t
erl’
accèsauxs
yst
èmesd’
inf
ormat
ionauxseul
esper
sonnesaut
ori
sées.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
CAL-
01 Pol
it
iquedecont
rôl
e Règle:
d’
accès Un documentde pol i
tique de cont r
ôle d’accès
l
ogique doitêtre établiau sei n de l’
ent i
té en
pr
i
enanten compt
dentités, la st
e,à mi
andar
ni
di
ma,l
sati
a défini
on des pr
tion des
ofil
s C
d’
habilit
ati
on,l
anor malisationdesident i
fiant s,l
a
gesti
on desautori
sations,l escondit
ionsd’ accès
auSI,délai
sdevali
ditédescompt es,dessessi ons,
…
CAL-
02 I
dent
ifiantut
il
isat
eur Règle:
Chaque uti
lisateuri nter
ne ou ext er
ne à l’
entit
é,
permanentou t empor aire,accédantau système
d’
inf
uni
ormati
on doi
que et nor
têt r
er
mée. L’
econnu parunei
ut i
li
sati
on par pl
dent
usi
it
eur
é
s
C
personnesd’ un même i dent i
fiantindi
viduelest
st
rictementinter di
te.
CAL-
03 Règl e:
Ident
ifiant
Les i dentifiants « admi nist
rateur s » donnant
administ
rat
eur
accès aux composant st echniques ou l ogiques
des systèmes d’
informat ion (serveurs,
équi
t
pement
echni
s de communi
quesou desécur i
t
cat
é)doi
i
on, par
ventêt r
edi
amèt
sti
res
ncts
C
des i dentifiants « uti
li
sat eurs » at t
ribués au
personnel assur ant l’admi nistrat
ion desdi ts
systèmes.
CAL-
04 Authenti
fiant Règl e:
uti
li
sat
eur Chaque ut il
isateur accédant au s yst ème
d’informat ion doitpr ouverson i dentit
éàl ’aide
d’unaut hent i
fiantbasésurcequ’ ilconnaî t(code
secr et). La pr océdur e de f our ni
ture d’ un
aut
attr
hent
ibuti
ifiant à un ut
on,modi ficat i
on,r
il
isat
empl
eur ( pr emi
acement apr
ère
ès
C
oubl i ou per t
e, …) doi t en gar ant i
r l a
confident iali
té ( vér
ification s ystémat ique de
l’
ident it
é du demandeur et du dest inat aireà
par tird’élément spersonnels,fiabl esetpr écis).
CAL-
05 Aut
hentifiant Règl e:
admini
strat
eur Lesi dentifiantsper met t
antl ’administ
ration des
SI (serveurs,bases de données,équi pement s
réseaux,…)doi
dansunendr oi
ventêt
tsécuri
r
e pl
séàl ’
i
acés sous séquest
nstard’uncoffre-
f
r
or
e
t
.
C
L’enti
té défini r
a une pr océdur e de gesti
on des
accèsdecesi dentifiants.)
.
22 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
CAL-
06 Enregist
rementet Règl e:
désins
cript
iondes Une pr océdur e formelle de cr éati
on et de
uti
li
sateurs suspensi on desi denti
fiant sdoi têtre défini e et
appliquée au sei n de l’
ent i
té.Ladite procédur e
devr
cr
ai
éati
ncl
on d’
ur
e,à mi
identi
ni
fiant
ma,l
s uni
esact i
onssui
ques, dét
vant
ecti
es:
on et C
suppr ession péri
odique des i dent i
fiant s
redondant s,suppression ou blocage i mmédi at
desdr oitsd’accèsdesut il
isateursquiontchangé
der ôleoudef onctionouquiontqui t
tél’
ent i
té.
CAL-
07 Maît
ris
edesaccès Règl e:
ut
il
isat
eur
s Unepr océduref ormel ledecr éation,der evueet
desuspensi ondesdr oitsd’accèsauxSIdoi têtr
e
défini e etappl iquée au sei n de l’entit
é.Ladi t
e
C
procédur e devrai nclure,à mi nima,l es acti
ons
suivantes : demande de dr oit
s d’ accès d’un
util
isateur,chainedeval idati
on del ademande;
octroi, engagement de l ’
util
isateur, mi se en
service desdr oitsd’accès,r evue pér iodique de
l’
util
isati
ondesdr oit
s, suspension, …
CAL-
08 Pol
iti
quedemotde Règle:
pas
se L’
entit
édoitdéfiniretimplément erausei
ndeses
syst
èmesd’
desmot
i
nformat
sdepasseut
i
on unepol
i
lisat
eur(
i
tiquedegest
complexit
i
on
é,dur
ée C
deviemi ni
mal eetmaxi maledesmot sdepasse,
antéri
ori
tédesmot sdepasse,…).
TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion 23
4.
5.Sécur
itéphys
iquedesl
ocauxabr
itantl
esact
ifsSI
Obj
ecti
fn°8
Empêchertoutaccèsphysi
quenonaut
ori
sé,
toutdommageout
out
eint
rusi
ondans
l
esenvi
ronnement sdesSI.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
PHY-
01 Pér
imèt
redes
écur
ité Règle:
Tous les équi pement s qui sont r épert
or i
és
commei mpor tantsouvitauxpourl ’
ent
itédoivent
êtr
ei
doi
nstal
ventêtr
l
és dans des l
eprot
ocaux sûr
égéscontrel
’
s.Ces l
accèsdeper
ocaux
sonnes
C
non autoriséesetdonca f or
tioriauxpersonnes
étr
angèr es.
PHY-
02 Contrôl
ephysi
quedes Règle:
accèsdupers
onnel Seuleslesper sonnesaut ori
séesàpénét rerdans
les l
ocaux abr itant l
es SI de l’
entit
é doivent
disposerdedr oit
sd’accèsphysiquespermanent s. C
L’ent
ité définira à cetef f
etune pr océdure de
gestion des habi l
it
ati
ons physiques encadrant
l’
octroi
,l a revue et l a suspension desdites
habili
tati
ons.
PHY-
03 Locauxs
ens
ibl
es Règle:
L’
enti
tédoitimplément erunsystèmedecont r
ôle
d’
accès i
permett
ndi
vidual
i
ant de gar
sé aux l
antir l
ocaux sensi
a pr éci
si
bles
on de la C
tr
açabil
itédesaccès(date,heur
e, …)
.
PHY-
04 Accèsdesvi
sit
eur
s Règle:
L’
entit
é doit définir une pr océdure formelle
d’
encadr
acti
f
ementdesvi
s SI (i
denti
ficat
si
i
t
esauxl
on du vi
ocauxabr
si
teur
itantl
, contr
es
ôle
C
d’i
dentit
é,tr
açabi
li
tédel ’accès,…).
PHY-
05 Protecti
ondesports Règle:
C
phys i
quesd’
accèsau Toutaccèsréseauinstal
lédansunezoned’accuei
l
réseau du publi
c( ou à usage publi
c)doi
têtr
e filt
ré ou
isol
édur éseauinformatiquepri
védel’
enti
té.
PHY-
06 Gest
iondescl
és Règle:
physi
quesdesl
ocaux Pourdesr aisonsdecont inuit
édeser vice,l’
usage
des cl
abri
t
és est aut
antlesact if
or
i
sSI
sé pour l
.Une pr
’accès aux l
océdur e devr
ocaux
a êtr
e C
for
mal i
sée pour l a pr otecti
on et l ’ut
il
isati
on
sécuri
séedescl ésd’accèsauxl ocauxabr it
antles
PHY-
07 Travai
ldansleslocaux Règle:
abrit
antlesacti
fsSI L’enti
té doi
tr édi
ger et afficher dans t
ous l
es
locaux abri
tant l
es act
ifs SIdes consi
gnes de C
sécurit
édest i
neésau personnelquiexploit
eces
locaux.
24 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
4.
6.Pr
otect
iondumat
éri
el
Obj
ecti
fn°9
Empêcherl
aper
te,
l’
endommagement
,levoloul
acompr
omi
ssi
ondesact
ifs
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
PHY-
08 Emplacementdu Règle:
mat
ér i
el Les matér iel
s sensibl
es sontinst al
lés dans des
locaux dédi és muni s de s ystème de
vidéosur
vei ll
ance,pr otégés contrel ’
accès non
autori
sé,l ’
incendie etlesinfilt
r at
ionsd’ eau (par
desmécani smesdecont rôl
esetdedét ectiontels
que verrous,al ar
mes)etmuni esdesser vit
udes
nécessai
secour
r
ue,
es (
cli
mat
al
i
i
ment
sati
on)
at
.
i
on convenabl ement
C
Recommandat i
on:
Il est vi
vement r ecommandé de st ocker l
es
mat ièr
es danger euses ou combusti
bles à une
distancesuffisantedeslocauxsensibl
esainsique
le mat éri
el de secour s et les supports de
sauvegardepourévi terl
esef f
etsdominos.
PHY-
09 Ser
vicesgénér
aux Règle:
L’
ensembl
prot
e des mat
égé cont
rel
ér
iel
escoupur
s sensi
bles doi
esde cour
t êt
r
antparun
e
C
onduleurouungroupeélectr
ogène.
PHY-
10 Sécur
itéducâbl
age Règle:
rés
eau L’
ensembl e des câbl es r éseaux doi t être
corr
ectement ét iqueté, c'
est-à-
di r
e aux deux
extr
émi
câbl
t
és.L’
agedu r
entit
édoi
éseau i
nf
tdocument
ormati
erl
queets’
eplande
assurerque
C
le câbl age r éseau est à l ’
abri des
endommagement s(tr
avauxdevoi eri
e, …).
Règl e:
PHY-
11 Mai
ntenancedu Pour l es act if
s SI vi t
aux, un cont r
at de
mat
ériel mai ntenance doi t êt
re concl
u avec un dél ai
d’i
ntervention ou de r emplacement gar anti
, C
compat ible avec l
esbesoinsde disponi
bili
té et
d'i
ntégritédecesact if
s.
PHY-
12 Sor
tiedumat
éri
el Règl e:
Aucun mat ér
iel cont enant des données de
l
’ent
aut
i
or
t
i
é ne doi
sati
on pr
tsor
éal
t
abl
i
rhor s de ses l
e dûment si
ocaux sans
gnée par les C
responsabl es habili
tés. L’
entit
é encadr e cette
mesur eparunepr océdur efor
mel l
egar ant
issant
l
at raçabil
itédessor ti
esdemat éri
el.
25 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
4.
7.Sécur
itédesr
éseauxi
nfor
mat
iques
Obj
ect
ifn°1
0
Gar
ant
irl
apr ot
ect
iondel
’i
nfor
mat
ionsurl
esr
éseauxi
nfor
mat
iquesdel
’
ent
ité.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
RESX-
01 Ar
chi
tect
urer
éseau Règle:
L’
architect
urer éseau du syst
ème d’i
nformation
doit être décri
te et for
mal i
sée à tr
avers des
schémas d’ ar
chitect
ure,et des configurati
ons,
misàj ouraufildesévol uti
onsapportéesauSI.
Recommandat ion: C
lest r
I ecommandé de conser ver l
es schémas
d’
archi
tectur
e et les fichi
ers de configur ati
on
dansdesrépert
oiressécuri
sés.
RESX-
02 Cl
ois
onnementr
éseau Règl e:
Afin de r éduir
el es risques d’int
ercept i
on de
données, de compr omissi
on vi
rale et
d’augment er les performances, les di ff
érents
réseaux i
cloi
nfor
sonnésenf
matiques de l
oncti
’
ent
ondesbesoi
i
té devr
nsmét i
ont êt
er
r
e
seten
C
diff
érentes zones réseaux ( zone de confiance
dont la sécur i
té est réput ée adéquat e,zone
d’administrat
ion,zoneut i
lisat
eur,…).
RESX-
03 Cont
rôl
esurl
esr
éseaux Règle:
L’
ensembl e des flux entrants etsortants d’une
zone r
anal
éseau à une aut
yséafindepr ot
r
égerl
e,doi
esr
têtr
essour
e cont
rôl
ceshéber
é et
gées
C
contr
e l es tentati
ves d’att
aque et l es codes
malveil
lants.
RESX-
04 Maî
tri
sedesflux Règle:
L’
ent i
té doit établi
r et maintenirà j our les
mat ri
ces de flux au ni veau de chaque
C
équipement de fil t
rage (
pare-feu,r out
eur,…).
Aucun fluxne peutêt reimplément é en dehors
desmat r
icesde flux dûmentval idées.Lesflux
doiventêt r
erégul i
èrementrevusdansl e cadre
d’
unepr océdur eformell
eétabli
eparl ’
entit
é.
Règl e:
RESX-
05 Configur
ati
ondes Les configur ati
ons opérat
ionnell
es des
équi
pementsr
éseaux équipement s de communi cat
ion et fil t
rage
doi
ver
ventêt
si
r
ons nat
edur
i
ciesnotammentparr
ves des f ourni
sseur
apportaux
s par l e C
changementdesmot sdepasseetcer ti
ficats,et
la fermet ure des services et des ports non
nécessaires.
26 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
RESX-
06 Accèsdi
stant
s Règl e:
L’accès d’ ut
il
isateurs dist
ant s ne doi t êt re
réali
sable que pardes per sonnes autorisées et
bi
d’
en défini
authenti
es par l
ficationfort
’
ent
esparl
i
t
’
é. Des mesur
usagedepr ot
es
ocol
es
C
sécurisés pour ce t ype de connexi ons sont
nécessaireslorsd’échangessensibles.
Ser
vicesgénér
aux Règle:
RESX-
07
Ledéploi
ementduréseausansfildoi
têtr
el i
mité
et doitfai
rel
’obj
et d'une ét
ude de sécuri
té
spéci
fique.
Recommandat
Ilestfort
i
on:
ementconseill
édecl oi
sonnerl
er éseau
C
sans fildu r est
e du r éseau :une passerell
e
maî tr
iséedoitêtremiseen placepermettantde
tracerlesaccèsetderestrei
ndrel
eséchangesaux
seulsfluxnécessaires.
RESX-
08 I
nter
connexionavecl
es Règl e:
r
éseauxext
er nes Un i nventaire exact de l ’
ensembl e des
i
nter connexi ons avec les réseaux externes doit
êtret enuàj our .Unezoned’ échangeper met t
ant C
der elayerlesfluxetévi terdescommuni cati
ons
dir
ect esent rel esr éseauxext ernesetl eréseau
i
nter ne de l ’entit
é doi t êt r
e défini e (proxy,
antivirus, …) . Les i nterconnexions ent r
e
admi ni r
stati
ons,s ystèmesetaut resstr
ucturesde
l
'Etatdoi ventsef ai
revial ebusd' i
nter
opérabil
it
é
X-ROAD. bj.
RESX-
09 Connexi
ondes Règle:
équi
pementsaur
éseau Seul
sl eséquipementsmaî t
risés( configur
éspar
l
’ent
ité ou r
espectantsa politi
que de sécur
ité) C
peuventêtreconnectésauSIdel ’entit
é.
27 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
4.
8. Sécur
itédupos
tedet
ravai
lut
il
isat
eur
Objecti
fn°
11
Fourni
rauxutil
isat
eur
s,despost
esdet
ravai
lsécur
iséspourl
eur
sact
ivi
tés
prof
essi
onnel
les.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
PDT-
01 Attr
ibuti
on,us
ageet Règle:
res
titut
ion Le processusd’att
ribution despostesde travai
l
doitêtr
ef or
maliséetcont rôl
é.Ceprocessusdevra
prendre en comptel a demande,l’aff
ectati
on et C
unedéchar gedel ’
util
isateur.
PDT-
02 Pr
ivi
lègess
url
espos
tes Lesut il
isateursnedoi ventpasavoi r,pardéf aut,
l
esdr oitsadmi nistrateurssurleurpost edet ravai
l.
Chaque ut il
isateur ne doi t di sposer que des
privil
ègesnécessai resà la condui t
e desact i
ons
rel
doi
evantde sa mi
têt rerégul i
èr
ssion.Un cont
ementr éali
r
sésurl
ôle automat
espost
i
sé
esde
C
travailen ut ili
santl esout i
lsde gest ion de parc
afin de vér ifier qu’ un util
isateur n’ ai
t pas de
per mi ssionsauxquel l
esiln’
aur aitpasdr oit.
PDT-
03 Règle:
Configur
ati
ondes
Les post es de t r
avai l sont dépl oyés
post
esdetr
avai
l
conformémentàdespar amét ragesst andar disés
etsécurisés,défini sparl ’ent i
té( changementde
mot de passe par déf aut , désact ivat
ion des
servi
cesinut i
les,configur ation BI OSpr otégépar
mot de passe, pr otection antiviral
e,
programmat i
ondesmi sesàj our,verrouil
lagedes
ons,…)
sessi
mesur
.L’
edemodi
util
isat
fierl
eur ne doi
espar amèt r
t pas êt
esdesécur
r
i
e en
tédu
C
postedet ravail
.
Recommandation:
L’
enti
té peut cent ral
iser l
a gest ion des
paramèt
resdesécuri
téetfai
rer
ecoursauxgui
des
dedurci
ssementpréconi
sésparl’
ANSSI.
PDT-
04 Ins
tall
ati
ondes Règl e:
compos ant
slogi
ciel
set Seul s les composant s logici
els ou mat ériel
s
mat ér
iel
s validéspeuventêt r
ei nst
all
éssurl espostesde
travaildel
composantl
’
entit
ogi
é.L’
ci
entitédoi
elou mat
tvei
éri
l
leràcequet
elà inst
all
erf
out
asse C
l’
obj etd’une acquisiti
on de li
cencesd’ ut
il
isation
s’
ilyestsoumi s.
Règle:
PDT-
05 Par
tagedesfichi
ers Le partage de r éper
toi
res ou de données
hébergées l
ocal
ementsurl es post
es de t
ravai
l
n’
estpasautori
sé.
Recommandat ion: C
Ilest recommandé de r éal
iser l
e par tage de
fichiersentrelesutil
isat
eur sparl ’
inter
médi ai
re
desespacespar t
agésmi sà di sposit
ion parles
admi ni
strat
eur
s.
28 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
PDT-
06 Sauvegar
dedes Règle:
données Dansl ecasoùdesdonnéesdoi ventêtrestockées
en localsurle post e de tr
avai
l,desmoyensde
s
f
ynchr
ourni
onisat
sauxut
i
on ou de sauvegar
il
isat
eurs.Lesdi
de doi
squesdest
ventêtre
ockage
N
en l
ocaldoi ventêt re chi
ffr
ésavecdesout il
sde
confiance.
PDT-
07 Réaff
ect
ati
ond’un Règle:
pos
uti
l
t
i
s
edet
é
r
avai
ldéj
à L’
t
ent
r
ait
it
é défini
t une pr
ementàappli
océdur
querauxinfor
e concer
mat i
nant l
onsayantét
e
é N
st
ockéesoumanipul
éessurlespostesréaff
ectés.
PDT-
08 Uti
li
sati
ondes Règle:
équipement
s L’
entité définit une pol i
ti
que d’uti
lisati
on des
pers
onnels(
BYOD) appar
d’acti
ei
vi
l
t
s mobi
ésprof
les per
essi
onnel
sonnel
l
s dans l
es.Cesappareil
e cadr
sdoi
e
vent N
être soumisaux règlesde sécurité édictéesau
seindel ’
enti
té.
PDT-
09 Chi
ffr
ementdespos
tes Règle:
detr
avai
l Les unités de stockages des postes de travai
l
doiventêt
quel
resystémat
esdonnéessoi
i
quementchi
entil
li
sibl
f
f
esou i
réesdesor
naccessi
bl
te
es
N
tant que le s ystème d’expl
oitati
on n’ est pas
démar ré.
29 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
4.
9.Sécur
itédeséqui
pement
sit
inér
ant
s
Object
ifn°12
Pr
otégerl’
infor
mat
ionst
ockéesurdeséqui
pement
snomades.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
I
TIN-
01 Stockagedesdonnées Règle:
sensibl
es Lestockagelocald’
inf
ormat i
onsurlespostesde
tr
avail nomades doi t être li
mit
é au st ri
ct
nécessai
re.Les inf
ormati
ons sensi
bles doivent C
êtreobli
gatoi
rementchiffr
éesparun moyen de
chif
frementagrééparl’
ANSSI .
I
TIN-
02 Fi
lt
redeconfident
ial
it
é Pourlespostesde travailnomadesmani pulant
desdonnéessensi
bles,unfil t
redeconfidentiali
té
doi
têtrefour
nietêtreposi ti
onnésurl
’écran dès N
l
orsqueleposteestut i
li
séendehorsdel’enti
té.
I
TIN-
03 Par
e-f
eul
ocal Règle:
Un
r
pare-
f
ecommandat
eu
i
l
ocal
onsdel’
conf
ANSSIdoi
or
têtr
me
ei
nst
all
aux
ésur
N
l
espostesnomades.
I
TIN-
04 Pr
otect
ionphys
ique Règle:
Un câble physi
que de sécur
avecchaquepost epor
table.
ité doi
têt
ref
our
ni
N
I
TIN-
05 I
nci
dentdeper
te/
vol Règle:
L’
ent
d’
ur
i
té doi
tdéfini
rune pr
genceencasd’
inci
océdur
dentdevol
e de r
éact
oudeper t
i
on
edes N
équi
pement si
ti
nér
ants.
30 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
4.
10. Sécur
itél
iéeàl
’
expl
oit
ati
ondesSI
Objecti
fn° 1
3
Assurerl
’exploit
ati
oncorr
ect
eetsécur
iséedesSIetgér
erl
esact
ions
d’
admi nist
rationduSI.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
EXP-
01 Pr
océdures Règl e:
d’
expl
oit
ati
on Chaque ent i
té doitdocument erl espr océdures
d’expl oitation desSI ,lesr endr e disponibl
es,les
expliquer à t oute per sonne ayant besoi n d’en
connaî treetl esmai nteniràj our .Cespr océdures
incluent à mi nima : l ’admi nistrat
ion et l a C
sécur isation des act if
s SI,les sauvegar des des
fichi ers de configur ation,l es mi ses à jour et
appl i
cat ion des cor rectif
s de sécur ité,
l’
expl oitationdesl ocauxt echni ques.
EXP-
02 Accèsauxoutil
set Règle:
i
nterf
aces L’
accèsaux out il
setinter
facesd’admi
nistrat
ion
d’
admi ni
str
ati
on doit êt
habil
it
re str
i
ées, sel
ctement li
mi
on une pr
t
é aux per
océdure f
sonnes
ormel l
e
C
d’
autorisat
iond'accès.
EXP-
03 Adminis
trat
ionà Règle:
di
stance Les act
ions d’admini
str
ation à di
stance surl
es
composant
desprot
sl
ocol
ocauxdu SIdoi
esd’admi
nistr
ati
vents’
appuyersur
onsécuri
sés.
C
EXP-
04 Configur
ati
ons
yst
ème Règle:
Lessystèmesd' exploi
tati
onetleslogicielsdoivent
êt
f
r
econfigur
or
mal i
sées
ésetmi
(
test
sàj
s
oursel
de
ondespr
non- r
océdur
égressi
es
on,
N
compat ibi
li
téavecl eslogi
ciel
smét i
er s,etc.
).
EXP-
05 Di
mens
ionnement Règle:
Des analyses réguli
ères du bon
dimensionnementdess ystèmesetdesr éseaux
(
r
capacit
é mémoi
éponse,…)doi
re,bande passant
ventêtreréali
e,t
séesdansl
emps de
ebutde
N
mener l es act i
ons de r edimensionnement
amél i
orantladisponibi
lit
éduSI .
31 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
EXP-
06 Prot
ect
ioncontreles Règl e:
codesmalvei
ll
ants L’entité doitfor
mal i
seretmet tre en œuvr e une
politique de l utte ant i
vir
ale qui st ipule l es
mesur es de pr évention, de dét ecti
on et de
réact i
on en cas d’ infecti
ons vi r
ales.En r ègle
génér al
e,une sol ution ant i
vir
us ou Endpoi nt
Det ect i
on and Response doi
chaque composant du SI (
têt r
post
einstal
l
es de t
ée sur
ravail
,
C
por tables,ser
veurs,passerell
es,…).
Recommandat ion:
Il est recommandé l ’
uti
li
sat
ion de sol
uti
ons
central
iséespourlagest
ionanti
vir
ale.
EXP-
07 Util
isat
iondela Les ystèmedemessager i
epr ofessi
onnell
emi sen
mes sageri
e placeparl ’
entit
éestleseulaut ori
sédanslecadre
personnell
eet des act i
vit
és pr of
essi
onnelles.L’uti
li
sat
ion des C
professi
onnel
le cour r
ielsper sonnels(
Gmai l
,Yahoo,Hot mail
…)est
i
nt erdite.
EXP-
08 Sauvegar
dedes Règle:
données Chaque ent i
té doi t met tr
e en pl ace des
procédures de sauvegar de quipr éci
sent pour
chaque s
sauvegar
yst
ème d'
des,lafr
i
nfor mat
équence,l
i
on l
et
a nat ur
e des
ypedesuppor t
,le
C
calendri
erdest estsder estaurat
ion.Lessupports
de sauvegar de doi vent êt re pr otégés
physiquement( coffr
e-for t
).
EXP-
09 Journal
isat
iondes Règl e:
évènement ssécur
ité Des mécani smes per mettant de sur veil
ler
l’
util
isat i
on des SI et de r éexami ner
périodi quement l es résult
ats des activit
és de
survei
Le ni
llancedoiventêt
veau de sur veil
l
reimpl
ance r
ément
equi
és.
s pour chaque C
système est dét ermi né par l e biais d’ une
appr éciation du risque.Parai ll
eurs,toutes les
acti
vi tés de surveill
ance devront êtrer éali
sées
dansl er espectdesexi genceslégalesappl i
cables.
EXP-
10 Synchr
onis
ati
ondes Règle:
horl
oges Lesser
veursetéquipement
sréseauxdoi
ventêt
re
synchr
oniséssurl
amêmebasedet emps.
Recommandation:
C
I
lestrecommandéd’ut
il
iserl
eser
viceTSA del
a
PKInati
onal
e.
32 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
EXP-
11 Mes ur
esrel
ati
vesaux Règle:
vulnér
abi
lit
és Des ét udes de vul nér abi
li
tés s yst
ème et
techni
ques applicat
ive (
scansdess ystèmesetdesr éseaux,
test
s d'intr
usion)doi
vent êt re péri
odiquement
menées. Cel a nécessi te une at tenti
on
permanent esurlesbul
letinspubl i
ésparl’ANSSI. C
Recommandat i
on:
L’
entit
é peut r ecouri
r aux ser vi
ces des
FournisseursdeServicesdeSécurit
éNumér i
que
Quali
fiés ( FSSNQ)dontl ali
ste estpubli
ée par
l’
ANSSI .
EXP-
12 Survei
ll
ancedes Règl e:
évènementsde Les act ifs cr
iti
ques (serveurs,r outeurs de têt
e,
sécuri
té par es-f
eux et c.
.) doivent êt re const amment
super
l’
ANSSI
visés.PourcertainsSIetsousl
,dessondesde super visi
econt
on doi
rôl
ede
ventêtre C
posées à des endr oit
s cl és du s yst
ème
d’i
nf ormat ion de l’
ent i
té et les événement sy
relatif
sr emont ésàuncent red’exper ti
se.
33 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
4.
11
.Sécuri
tédansl’
acqui
sit
ion,
ledével
oppementetl
a
mai
ntenancedesSI
Objecti
fn°14
I
ntégrerlasécur
itédanslecycl
edevi
edess
yst
èmesd’
inf
ormat
ionqu’
il
ssoi
entacqui
s
oudéveloppésparl’
enti
té.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
ADM-
01 Sécuri
tédansl
es Règle:
proj
ets Lasécuritédoitêtr
eint égréeàt outeslesét apes
ducycledevi edupr ojet,depuisl’
expressiondes
besoins j
usqu’
àl a mai ntenance appli
cat i
ve,en
passantparlarédacti
onducahi erdeschar geset
l
esphasesder ecet
te.L’enti
tédoitformaliserune
procéduredanscesens.
Recommandat i
on:
C
Ilestrecommandéd’ i
ntégrersyst
émat i
quement
l
eRSSIdanst outprojetportantsurlessystèmes
d’i
nformation de l’enti
té et de modi fier l
es
Framewor kdegest i
ondepr oj
etpourintégrerl
es
exigences de sécur
itéàt outes l
es ét
apes d’un
projet
.
ADM-
02 Spéci
ficat
ionss
écur
ité Règle:
Lescahiersdechargesenvuedel ’acqui
sit
ion,du
dével
devr
oppement ou de l
ont i ndiquer s
a mai
yst
émat
nt
i
enance des SI
quement l es C
exi
gencesenmat i
èredesécur
itépourl eSI.
ADM-
03 Choi
xdespr
odui
ts Règle:
Les progici
els et produits achetés sont soit
certi
fiés soit éval
ués en int er
ne pour véri
fier
l
'adéquat
contrai
r
ion avec l
e,une anal
es mesur
yse desri
es et dans l
e cas
squesestcondui t
e
N
pour défini r l es mesur es associées avant
d'achet
erouder ej
eterleproduitconcerné.
ADM-
04 Développementdes Règle:
appl
icati
ons Les applicat
ions dével
oppées par l
’enti
té ne
doivent pas compor t
er des fai
blesses qui
pourrai
ent compr omet t
re la sécur i
té de
l
’appli
cati
on ell
e-mêmeou d’autr
essystèmesen
producti
on.
N
Recommandat i
on:
Ilestvivementrecommandédef ai
rer ecoursaux
standar ds i
nternat
ionaux de développement s
sécuriséscommeOWASP, gui
dedel ’
ANSSI ,
…
34 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
ADM-
05 Exter
nal
isat
iondu Règl e:
dével
oppement Les f ournisseurs externes de l ogiciels doivent
appli
cat
if garant irl'
intégri
té de leurcode etl '
absence de
"port esdérobées"oudevul nérabili
tés.Lorsquel e
logi
pr
cielestut
oduct i
i
li
sé pourune act
on,etque l a pérennit
i
vité mét
é du f our
i
ni
eren
sseur
N
n'estpasgar anti
e,celui-cidoitsoitfournirlecode
sour cesousl icence,soitleplacersousséquest re
chezunt i
ers.
ADM-
06 Recet
tes écuri
té Règl e:
(
homol ogation) Pardéf aut,avantlami seen product i
on detout
système dével oppé ou acqui s, des recett
es
sécurit
é doi vent êt re ef f
ectuées et l es
vulnérabil
it
és identi
fiées doiventêt r
e corri
gées
après acceptation des ri
sques rési
duels parle
sponsor ou l
d’i
nformat i
on.
e propr i
étai
re du s yst
ème
C
Recommandat ion:
L’enti
tépeutf aireappelàdesj euxd’exer
cicede
tests d’ i
ntr
usion, d’ audit de configur at
ion,
d’archit
ecture,der evuedecodesource,…oufair
e
effectuerlar
ecet tesécuri
téparunFSSNQ.
ADM-
07 Donnéesdet
est Règle:
En règle génér al
e,lesdonnéesut i
li
séescomme
j
eud’ essaispourl esappli
cationsnepeuventêt re
des données r éell
es.En cas de sélect ion de
donnéesr éell
escommedonnéesd’ essai,l’enti
té
doit défini r des di sposit
ions empêchant l a
divul
destr
gat
uct
i
on de cesdonnéesetgar
i
ondansl esenvir
onnement
antissantl
sdet
eur
estune
N
foisl
estest sachevés.
Recommandat i
on:
I
lestrecommandédepr océdersit
echni
quement
fai
sabl
eàl ’
anonymi
sat
ion des données r
éel
les
danslesenvir
onnementsdetest.
ADM-
08 Col
lecteettr
aitement Règle:
desdonnéesà Lesenti
tésdoiventse réf
érerà l’APDP dansle
car
actèrepersonnel cadredetout
eactivi
ténécessit
antlacol
lect
eetle
tr
ait
ementdesdonnéesàcar actèr
epersonnel
.
35 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
4.
12.Sécur
itédese-
ser
vices
Objecti
fn°1
5
Sécuri
serl
esinf
ormat
ionsi
mpl
iquéesdansl
esappl
icat
ionsdee-
ser
vices.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
Règle:
ESV-
01 Sécur
itédess
ervi
ces
Touteplatef
ormedee- servicesdoitempl oyerdes
d’
appli
cati
onenli
gne
mét hodes d’ authentificat i
on sécur isée pour
réduirelesr
isquesgr âceàl acryptographieàclef
publique etauxsi gnat ur
esnumér i
quesof fer
tes C
par la PKInat i
onale.Des ser vi
ces de t i
ers de
confiancedoi ventêtreut il
isés.
Recommandat ion:
Les systèmes d'aut
hentification de la PKI
nati
onale ou du Por
tai
lNat ionaldes Ser
vices
Publi
cs(PNSP)peuventêtr
eut il
isés.
ESV-
02 Fi
lt
rageappl
icat
if Règle:
L’
ent
e-
ser
i
té quimeten oeuvr
vi
cesdoitf
air
e une pl
eusaged’
unesol
at
uti
ef
or
onti
me de
er
cede C
fil
trageappli
cati
f.
4.
13.Sécur
itédesappl
icat
ionsWeb
Objecti
fn°1
6
Sécuri
serl
esappl
icat
ionsexposéessurI
nter
net
.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
SAW-
01 Eval
uati
ondesr
isques Règle:
spéci
fiques L’
entitédoitidentifieretdocument erlesrisques
auxquels l ’
applicati
on Web pour r ai
t êt re
conf
(i
nfr
ront
ast r
ée, que ce soi
ucturesinformati
t sur l es bi
ques,données,et c.
ens
)ou
C
surlesf onct
ionsi mportantesfourniesparcet te
appli
cation.
SAW-
02 Exi
gencesdes
écur
ité Règle:
spéci
fiques Lesexigencesdesécur i
tédoiventêtr
eél aborées
en foncti
on des spécificati
ons de l
’applicat
ion
Webàdével opper
.Enrèglegénéral
e,doiventêtre
considér
éesdanst outpr oj
etdedével oppement
d’uneapplicati
onWeb, l
esaspectssui
vant s:
Gest
iondesent
réesetsor
ties
Gest
Aut
iondessessi
hent
ificat
ion
ons
C
Cont
rôl
ed’
accès
Gest
iondeser
reur
s
Connexi
onsauxs
yst
èmesext
ernes
Jour
nal
isat
ion
Chi
ffr
ement
36 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
SAW-
03 Uti
li
sati
ondesoutil
sde Règle:
dével
oppementdes L’
enti
té doi
t vei
ll
er à l
a pri
se en compt e des
appli
cati
onsets
ites exi
gences mi nimales ci-dessous dans l e
web dével
oppementdesesappl i
cationsetsi
tesweb.
Uti
li
serl
esgesti
onnai
resdecont
enu(CMS)de
f
açonsécuri
séeensuivantl
egui
depubli
épar
l
’ANSSI;
Pr
(
fr
i
vil
égi
erl
amewor
'uti
l
ks)r
isat
ionder
éfér
ent
i
ecommandésparl
el
'
s
ANSSIou
N
l'
ASSI;
Evi
teraumaxi
mum l
'
uti
li
sat
iondepl
ugi
ns
ext
ernes;
Touj
oursutil
iserl
aderni
èrever
siondesout
il
s
dedéveloppement .
SAW-
04 Donnéesent
rans
it Règle:
Lepr otocoleSSLdoi têtreuti
li
séàtousl esni veaux
de l’appli
cat i
on.En cas de cont r
aintes ou de
l
imi t
ationd’ uti
li
sati
ondecepr otocole,ildoitêtre C
appliqué à t outes les pages d’
authent ification
ainsiquet outeslespagesunef oisquel ’
utili
sateur
estaut hentifié.
SAW-
05 Cer
tificat
sSSL Règl e:
L’entit
é doitavoirr ecour s à des certi
ficat s SSL
validésparuneaut oritédecer ti
ficat i
onr econnue
par l ’
ANSSI . Le nom sur l e cer ti
ficat doi t
cor
sit
respondr
eetl adat
e au nom compl
ed’expi rati
etdu domai
on du cer t
ificatdoi
ne du
têtre
C
encor e val
ide.En f onction du type d’usage,un
certificatdeval i
dat i
ondedomai nedeval idation
d’organisati
onoudeval i
dationét enduepeutêt re
requis.
SAW-
06 Pagesd’
err
eur Règle:
Tout
per
es les pages d’
sonnali
séesde f
erreurs doi
açon à ne di
vul
vent êt
re
gueraucune C
inf
ormationquipuisseaiderunhacker.
SAW-
07 I
nfras
truct
ure Règle:
d’
hébergement L’
infrastr
uctur e pr évue pour héberger
l’
applicati
on Web doi têtre durcie(serveurWeb
dédi
déf
é,ser vi
autbanni
cesi nut
s,cont
i
l
r
esdésact
ôl e d’
ivés,compt
accèsaux r éper
espar
t
oires,
C
durcissementdess yst èmesd’ exploi
tat
ion,mi ses
àjourr éguli
èr esdessystèmesd’ expl
oit
at i
on…).
37 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
4.
14.Mes
urescr
ypt
ogr
aphi
ques
Object
ifn°1
7
Garant
irl
’uti
li
sat
ioncorr
ecteetefficacedelacr
ypt ogr
aphi
eenvuedepr
otégerl
a
confidenti
ali
té,l
’
authenti
cit
éet/
oul ’
int
égr
itédel’
infor
mati
on.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
CRY-
01 Poli
ti
que Règle:
cr
yptogr
aphi
que Lorsqu’el
le met en oeuvr e des f onct ions de
sécurit
é( authenti
fication,si
gnat ureél ectronique,
chiff
rement , hor odat age) uti
lisant des
mécani smescr yptographiquessurdess ystèmes
d’i
nformat ion,l
’enti
té doitrédigerune pol i
ti
que
decer ti
ficat i
onpourchaquef onct i
ondesécur i
té
mise en oeuvr e.Elle doit se conf ormer aux
exigences défini es par l a Commi ssion de N
Cryptologiedel ’
ANSSI.
Recommandat i
on:
Ilestrecommandédes’ i
nspi
rerdespoli
tiquesde
certi
ficat i
ons types pour l’él
abor
ation des
polit
iques de certi
ficati
on des fonctions de
sécurité.
Règl e:
CRY-
02 Usagedescerti
ficat
s
Lor sque l ’entité r ecour t à des cer ti
ficats
él
ectr
oniques
élect roni
ques, l e ni veau de sécuri
té de ces
der niersdoitêtrepr opor ti
onnéàlasensi
bil
it
édes
syst èmes d’ informat ion mis en oeuvre. Tout
syst ème d’ i
nformat ion met tant en jeu des
donnéessensi blesdoi trecouri
ràdescer ti
ficats
él
c’
ect
est
r
-
oni
à-
ques d’
dir
un ni
e empêchant t
veau de sécur
out
i
t
e usur
é él
pat
evé
ion
C
d’ident i
té.
Recommandat ion:
Ilestr
ecommandédes’ i
nspi
rerdespol
iti
quesde
sécuri
tédescer
t i
ficat
sél
ectr
oniquesdi
sponibl
es.
CRY-
03 Exi
gencesdes
écur
ité Règle:
spéci
fiques L’
entit
é doit documenter l
es procédur
es pour
prot
éger l
a confidenti
ali
té des cl
és
cr
yptographiques.Cecii
ncl
ut:
Génér
ati
ondescl
és
St
ockagesécur
isédescl
és
Di
str
ibut
ionsécur
iséedescl
és
Act
ivat
iondescl
és C
Changementdescl
és
Recouvrementd'
unecl
é(encas
deperte,…)
Dest
ruct
iondescl
és
38 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
4.
15.Rel
ati
onsavecl
esf
our
nis
seur
s
Obj
ect
ifn°1
8
Gar
ant
irl
aprot
ect
iondesact
ifsdel
’
organi
sat
ionaccessi
blesauxf
our
nisseur
s.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
FRN-
01 Accordde Règle:
non-divul
gat
ion Toutcont ratcommer ci
alent r
el ’
ent
itéetunt iers
doitf ai
rel ’
objet d’
une si gnaturesystématique
d’un accor d de non- divul
gation lorsque des C
infor
mat ionsde l’enti
té sontsuscept i
blesd’
êt r
e
communi quéesaut i
ers.
FRN-
02 Contr
actual
isati
ondes Règl e:
exi
gencesdes écur
ité Tout ef ourni
ture de bienset /ou ser vicesdansl e
domai nedesSIdoi têtreencadr éepardescl auses
cont r
act uell
esent r
el’enti
t éetlest iers.
Le cont r
atsigné ent rel’entité etces t iers doi
t
r
r
eflét
i
erl
squesi
esexi
nduit
gencesdesécur
sparlar el
ati
it
onent
éàl
r
el
ahaut
’ent i
t
eurdes
éetces C
tiers.
Lescl ausesdesécur i
témi nimal esàabor der
incluent:l aresponsabili
t é du tiers,l a pr i
se en
compt e de la PSSIspéci fique,l es pr océdur es
d’échanges des données, l ’
audi tabili
té, la
réversibili
té,l
aconfident i
alit
é, …
Règle:
FRN-
03 Cont
rôl
edesaccèsdes Uni nventai
redesaccèsphysi queset /oulogiques
i
nter
venant
sti
ers à attri
bueraux intervenant s du t
iers doitêtre
C
établietmi sà l
a di sposi
tion du RSSIpourl es
besoinsde contr
ôle de conf ormité avec l
a PSSI
spécifique.Ces der niers doivent disposer des
accèsspécifiquessurl abasedespr océduresen
placeauseindel’entité.
FRN-
04 Engagementsécuri
té Règle:
desi
nter
venantsti
ers Touti nt
ervenantd’un tiers amené à i nter
férer
avecles yst
èmed’
descomposant
i
nformat
sdeceder
ion del
niersi
’ent
itéou l
gneunechar
’
un
te C
desécuritédit
e«Char t
ePr estatai
re»quil ’
engage
indi
viduell
ementvis-à-
visdel ’ent
ité.
FRN-
05 Surveil
lancedela Règl e:
sécurit
éliéeaux Dur antlapr estat
ion,lesdifférentesmesur esde
prestati
ons sécurit
é act ivées doivent f aire l’
objet d’
une
journali
sati
on à des fins d’ audi tde conformi t
é
avec l
survei
a pol
l
leri
i
ncl
ti
que de sécur
uentà mi ni
ité. Les point
sà
ma :usage desaccès
C
physiques et l ogiques oct royés, respect des
consignes de sécur ité, niveaux de ser vice,
coopérationdut i
ersenmat i
èr edesécur i
té,…
FRN-
06 Ces
sat
iondel
arel
ati
on Règle:
Touslesacti
fsSIconfiésaut i
ersdansl ecadredes
prestat
cessat
i
i
ons r
éal
on de l
i
ar
sées doi
elati
ventêt
on.Les dr
rer
oi
t
est
s d'
itués à l
a
accès des C
int
ervenantst i
ersauxSIde l ’enti
té doiventêtre
reti
résdanslespl usbrefsdélaisaprèslacessation
desactivi
tésli
éesàl aprestat
ion.
39 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
4.
16.Sécur
itéducl
oudcomput
ing
Objecti
fn°19
Assurerl
asécur
itédesi
nfor
mat
ionshéber
géesdansunei
nfr
ast
ruct
urecl
oud.
SCC-
01 Exter
nal
isat
iondansun Règle:
cl
oud Les pr ocessus mét i
ers et l es ser vices à
external
iser dans une i nf
rastructur
e cl oud
doiventêt r
ei denti
fiés.Pourchaquepr ocessusou
servi
cei
conduit
dent ifié,uneanal
e pouréval uerl’i
yseder
mpactl
i
i
squesdoi
éàl a per
têt
t
r
e
e de
C
confident iali
té,d’i
ntégri
téetdedi sponi
bilit
édes
inf
ormat ions i mpl i
quées. Cette anal yse est
conduiteenl i
aisonavecl'
ASSIetl'ANSSI.
SCC-
02 Sélecti
ond’un Règl
e:
fournis
seurcl
oud L’
entit
é doitdonnerpr i
ori
té auxDatacent
ersse
national tr
ouvantsurl
d’
external
i
et
sat
i
er
on.
ri
toi
renati
onalpoursesbesoi
ns C
SCC-
03 Sélecti
ond’un Règle:
fournis
seurcl
oudnon L’
ent i
tédoi
tveill
eràsouscr ir
eàdesser vicescloud
national auprèsdef our
nisseursdémont rantdesgar anti
es
de sécur i
té ( tr
ansparence des t rait
ement s,
protecti
on desdonnéesper sonnell
es,isolement
des données,audi tabil
ité,conf or
mi t
é avec les
normes de sécur it
é r econnues, ni veaux de
servi
ces,hautedisponibili
té,coopérati
onl orsdes
auditsetdesi nvesti
gations,loisurlapr otecti
on C
desdonnéesàcar actèr
eper sonnel…) .
Recommandat i
on:
Ilestrecommandédepr océderàuneéval uation
du fournisseurau moyen d’un quest
ionnair
e de
sécuri
té per mettant d’examiner la post ure
sécuri
téduf our
nisseur
.
SCC-
04 As
pect
scont
ract
uel
s Règle:
Un accord de non- di
vul
gat i
on doit être si
gné
entrel’
enti
té etl
ef ourni
sseurde servicescloud
avanttout
efournit
uredeser vi
ce.Lecont r
atpassé
entrel’
enti
té etl
ef ourni
sseurde servicescloud
doitst
ipul
eràmi nimadescl ausesgarantissant:
Uncont
rôl
etot
aldel
’
ent
itésurses
données,
Lapr
otect
iondesdonnéesàcar
act
ère C
per
sonnelsui
vantl
alégi
slat
ionduBéni
n,
Ladest
ruct
iondesdonnéesdel
’
ent
ité,
Lacoopér
ati
onnot
ammentenmat
ièr
e
d’
audi
tdesécur
itéetd’
invest
igat
ion
Laconf
ormi
téavecl
aPSSIspéci
fiquede
l
’
ent
ité
40 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
SCC-
05 Pr
otect
iondes Règl e:
L’entit
é doi t vei ller à i mpl émenter des
mécani smesdechi ffrementdeboutenboutdes
données en t ransit et au r epos dans une
infrastr
uct urecl oud.
L'
di
entit
é doi
sposedescl
ts'assur
ésdechi
ercont
f
fr
r
act
ement
uel
.
lementqu'ell
e C
Le cont r
at d’ héber gement devr a prendre en
compt e l a r éversibili
té et l 'obl
igat
ion de
dest r
uct i
on sous cont r
ôle des données,
appl i
cables lors de l 'exti
nction du cont r
at de
servicesCl oud.
4.
17.Ges
tiondesi
nci
dent
sdes
écur
ité
Objectifn°20
Garanti
runemét hodecohér
ent
eetef
ficacedegesti
ondesi
nci
dentsli
ésàla
sécuri
téduSI ,i
ncluantl
acommuni
cat
iondesévénement
setdesf
ail
lesli
ésàla
sécuri
té.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
I
NC-
01 Si
gnalementdes Règle:
i
ncident
ssécur
itéSI Unepr océdur edesignalementd’ i
ncidentsli
ésà
l
a sécurit
é du SIdoitêt r
ef ormal i
sée etconnue
desutil
isateursetadmi ni
strateursinf
ormat i
ques. C
La pr océdur e devr a pr évoir la r emont ée
d’
inci
dent ssignificat
ifsàl’
ANSSI .
I
NC-
02 Réponseauxi
nci
dent
s Règle:
sécur
itéSI Lesprocédur esder éponseauxi ncidentsl
iésàl a
C
sécuri
téduSIdoi ventêtreformaliséesetcouvrir
les diff
érents t ypes d’ i
ncidents de sécur ité
(malveil
lances,déni sdeservice,
infecti
onsviral
es,
int
rusion, vol/
per te d’équipement s, perte de
données, etc.
).
I
NC-
03 Répertoi
redes Règl e:
i
ncidentssécur
itéSI Lat ypol
ogieetladescripti
ondesi ncidentsliésà
l
a sécur i
té SI doi vent êt re l ocal
ement
enregist
rées dans une base de données N
permet t
ant un enrichi
ssement pr ogressifainsi
qu'un accès sélect
iff aci
le pour ef fect
uer le
tr
aitementetlesuividesdiversi
ncident sfuturs.
I
NC-
04 Col
lect
edest
races Règle:
L’
entit
é doit met tr
e en place une pr océdure
garanti
ssantlasécuritédespreuvesnumér iques
depuisl eur col
lect
ej usqu’
àl eur pr
ésent at
ion
éventuell
e à un t r
ibunal en cas d’i
ncidents
conduisantàunepr océdurepénale.
N
Recommandat i
on:
L’enti
té peut r ecouri
r au bj CSI
RT (Equipe
gouver nementale de réponse aux i
nci
dents de
sécurité inf
ormat ique) afin de por ter une
assist
ance t echnique dans l e cadr
e d’une
investi
gati
onnumér i
que.
41 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
4.
18.Ges
tiondel
acont
inui
tédel
asécur
itéduSI
Object
ifn°21
Fai
reensor t
equelasécuri
tédessyst
èmesd’i
nformat
ionf
assepar
tiei
ntégr
ant
e
duprocessusdeconti
nuit
éd’act
ivi
tédel
’ent
ité.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
CONT-
01 Règle:
Plandeconti
nui
tédel
a
Chaque ent ité doit développer un pl an de
sécur
itéSI
continui
tédesmesur esdesécuri
téafin def aire
f
(
ace auxévènement
panne,si
nistr
e,
spouvantcauserl
pandémie,dénideservi
eurar
ce,…)
.
rêt C
Ceplandoi têtretestéaumoi nsunefoisparan.
CONT-
02 I
nt égrati
ondel a Règl e:
sécuritédanslespl
ans Les di sposit
ifs de sécur it
é des s yst
èmes
decont inuit
é/r
epri
se d’i
nformat i
on doi vent êt re i nt
égrés aux
d’acti
vitéinf
ormati
que composant sd’inf
rastructureéligi
blesau pl
an de C
continuit
é ou de reprise d’
activi
téinfor
matique
del’enti
té.
CONT-
03 Redondance Règl
e:
Lesarchi
tect
uresSIdoi
ventêtr
edépourvuesde
SPOF ( Si
ngle Point Of Failur
e) par des N
mécanismesderedondance.
CONT-
04 Testsdupl ande Règl e:
continuit
édel a Le pl an de cont
inui
té de l
a sécuri
té du SIdoit
sécurit
éSI incl
s’
urel
assur
aplanificati
on annuel
erque chacun desdi
l
edet
sposit
if
est
safin de
sde sécuri
té
N
ident i
fiéscriti
quesestcorrect
ementcouver tpar
cepl an.
42 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
4.
19.Conf
ormi
té,
audi
tetcont
rôl
esdes
écur
ité
Objecti
fn°22
Évi
tertouteviol
ationdesobl
igat
ionsl
égales,st
atutai
res,
régl
ementai
resou
contr
actuell
esrelati
vesàl
asécurit
édel’
infor
mat i
on,évit
ertout
evi
olati
ondes
exi
gencesdesécur i
té.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
CONF-
01 Droi
tsdepropr
iét
é Règl e:
i
ntel
lect
uel
le L’enti
té doitse soumet t
re au texte du code du
C
numér i
que se r appor tantà la protection de la
pr opr
iétéintel
lect uelleetdesdr oit
sd’ auteurs.En
règle génér al
et outl ogici
el(payant ,gr atuitet
open sour ce) ut i
li
sé par l ’entité doi t êt r
e
accompagnéd’ unel icence.
CONF-
02 Donnéesàcar
act
ère Règle:
per
sonnel Lesenti
tésdoiventse réf
érerà l’APDP dansle
cadr
tr
ait
edetout
eactivi
ténécessi
ementdesdonnéesàcar
t
antl
actèr
acol
eper
lect
eetl
sonnel
.
e N
CONF-
03 Mesures Règle:
L’
enti
té doitse conf
ormer aux di
sposit
ionsdu
N
cr
yptographi
ques
codedunumér iqueserappor
tantàlacryptologi
e
et aux recommandat i
ons de la Commi ssi
on
Crypt
ologie.
43 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
Objecti
fn°23
Eff
ectuerdescontrôl
esetdesexer
cicesr
égul
ier
sdef
açonàmesur
erl
espr
ogr
ès
accomplisetcor
rigerl
esmanquement s.
Code Exi
gences Cr
iti
cit
é
spéci
fiques Règl
es/Recommandat
ions C=Cri
ti
que
N=Normal
Règl e:
CONF-
04 Cont
rôl
esl
ocaux
Laconf ormit
éàl aPSSIEetàl aPSSIspéci
fiqueest
vérifiée pardescont r
ôlesréguli
ers.Le RSSIde
chaque ent i
té condui t des act i
ons locales
d’évaluati
on de la conf or
mi t
é à l a PSSIE et C
cont r
ibue à la consol i
dati
on, dans un bi lan
annuel ,de l
’étatd’avancementde sa mi se en
oeuvr e.
CONF-
05 Audi
tsdes
écur
ité Règle:
Desaudit sdesécur
itéapprof
ondi sduSIdoivent
êtreréal
isésdansle cadr
e d’un programme de
test
sdesécur
desFSSNQ.
i
té.
Cesauditsdoiventêtr
econfiésà C
CONF-
06 Encadrementdes Règle:
auditsef
fectuésparl
es Lesaudi tsde sécur it
éréal i
séssurl ess ystèmes
ti
ercesparti
es d’i
nformat i
ondel ’enti
tépardest i
ersdoiventf ai
re
l
’objet d’ une char te d’audi t si
gnée ent re le
prestataire ext erne d’audi t et l
’
entit
é,l aquel l
e
char
l
’
t
audi
e pr
t,l
éciser
es pl
al e pér
ages hor
i
mèt
air
re etles l
es pour l
imi
es act
tes de
i
vit
és C
d’audit
,l esmét hodesut il
isées,lesoutil
sdet ests,
l
es engagement s de bonne condui t
e des
auditeur s, l es accès à accorder, l a
resti
tution/dest ruction des données col lectées
parlesaudi t
eur s,…
44 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
45 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
5.GLOSSAI
RE
Analys
edesr i
sques:
Uti
li
sations
ystémati
qued’
inf
ormat
ionspouri
dent
ifierl
essour
cesetpourest
imer
l
erisque.
Audit:
Act
ivit
épéri
odique(ou ponct
uel
le)permett
antd’éval
uerl
asécur
itéd’
un s
yst
ème
oudedétecterl
estr
acesd’uneacti
vit
émalveil
lant
e.
Cloi
sonnementdur éseau:
Technique ayantpourobj ecti
fde di vi
serun r éseau infor
matique en pl
usieurs
sous-r
éseaux.Le cl
oi sonnementestpr i
nci pal
ementut i
li
sé afin d'
augment erles
perfor
mancesgl obalesdur éseauetamél iorersasécuri
té;découpageendomai nes
oupér imètresdesécur i
té,f
acili
telecontrôled’accès,mieuxsepr ot
égercontreles
intr
usions,
etempêcherl afuit
ed’ i
nfor
mat ion.
Confident i
alit
é:
Objectifde sécur
ité per
met
tantde s’assur
erque lesi
nformationst
ransmi
sesou
stockeés ne sont accessi
bles qu’aux personnes autori
sées à en prendr
e
connaissance.
Cert
ificatSSL:
Lecerti
ficatsemat éri
ali
separunfichierdedonnéesli
antunecl écrypt
ographique
aux i
nformati
onsd’ une per
sonne physi
que ou mor
ale.Le cer
tificatsécuri
se l
es
échangesdedonnéesparchi f
fremententr
eunserveurwebetl enavigateurd’un
vi
sit
eurdusiteInt
ernet.
Disponibil
it
é:
Objectifdesécuri
téquiconsi
steàassur
erunaccèspermanentàl’
inf
ormationetaux
servi
cesof f
ert
sparl es
ystèmed’inf
ormati
on.C’estunegarant
iedelacontinui
téde
servi
ce etde per f
ormancesdesappl i
cat
ions,du matér
ieletde l
’
envir
onnement
organisati
onnel.
Fil
trage:
Technique de cont
rôl
e de flux sur un r
éseau quiempêche l
e passage des
inf
or mati
onsj
ugéessuspect
es.
Inci
dentdes écur i
té:
Un ou pl usi
eur s évènementsl i
és à la sécurité de l
'i
nformat ion indésir
ables ou
inatt
endus d’ ori
gine accidentel
le ou mal veill
ante,impact ant l
’un ou pl usi
eurs
objecti
fs de sécur i
té(Confident i
ali
té,Intégr i
té,Disponibil
ité),etpr ésentantune
probabili
téfor t
e de compr omettrelesact ivit
ésde l '
organisme etde menacerl a
sécurit
édel ’
informat i
on(Fuit
esdedonnées, Dénideser vi
ce,Intrusioninformatique
ouphysi que,inondat i
on…).
I
ntrusion:
Accèsnonaut ori
séàuns yst
èmei
nfor
mat
iqueafindel
ir
esesdonnéesi
nter
nesou
d'
util
isersesr
essour
ces.
Menace:
Causepot
entiel
led’
un i
nci
dentindési
rabl
e,pouvantent
raî
nerdesdommagesau
sei
nd’unsyst
èmeoud’uneenti
té.
46 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
Mesure:
Moyen de gér
erun r
isque,etpouvantêt
re de nat
ure admi
nist
rat
ive,t
echni
que,
gest
ionnai
reoujur
idi
que.
Normes:
Documentderéf
érencecont
enantdesspéci ficat
ionst
echni
quespr
éci
sesdest
inéà
êt
reuti
li
sécommer ègl
esoulignesdi
rect
rices.
NetworkTimeProtocol(NTP):
Prot
ocolequipermetdes ynchr
oniser
,vi
aunr
éseaui
nfor
mat
ique,l
'
hor
logel
ocal
e
d'
ordinat
eurssuruner éfér
enced'heur
e.
I
nfrast
ruct
ureàclépubli
que( PKI):
Ensembledecomposant sphysi ques,logici
els,pr
océduresetdocument
svi
santà
gérerl
ecycledeviedescléscryptographiquesetleurscert
ificat
s.
Réseaupr
ivévi
rtuel(VPN):
Techni
que d’i
nterconnexi
on de réseaux l
ocaux per
met
tant de chi
ffr
er l
es
communicati
onspourenconserverl
aconfidential
it
é.
e-s
ervice:
Servi
cesutil
isantl
est
echnol
ogi
esdel
'
inf
ormat
ionetdel
acommuni
cat
ion.
Ti
ers:
Personneouor
gani
smer
econnu(
e)commei
ndépendant
(e)despar
tiesconcer
nées.
Vul
nérabi
li
té:
Fai
ll
edesécuri
tédansunpr
ogr
ammeousuruns
yst
èmei
nfor
mat
ique.
Cyberes
pace:
Espacedecommuni
cat
ioncr
ééparl
'
int
erconnexi
onmondi
aledesor
dinat
eur
s.
Cybermenace:
Acti
vit
équiviseàcompromettr
elasécur
itéd'unsystèmed'
inf
ormati
onenalt
érant
l
adisponibi
li
té,l
'
int
égr
itéoul
aconfidenti
alit
éd'uns yst
èmeoudel'
inf
ormat
ionqu'i
l
conti
ent.
Cybers
écuri
té:
Ensembledesmoyensuti
li
séspourassurerl
asécur
itédess
yst
èmesetdesdonnées
i
nformati
quesd'unÉt
at,
d'uneentrepri
se.
47 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
6.ANNEXE:FI
CHEDEPOSTETYPED’
UN RSSI
I
dent
ificat
iondel
afonct
ion
I
nti
tul
édel
afonct
ion Res
pons
abl
eSécur
itéSys
tèmed’
Inf
ormat
ion
I
nti
tul
édelafoncti
ondu
Sel
onchaqueent
ité
s
upéri
eurhi
érarchi
que
Mi
ssi
onspr
inci
pal
esdel
afonct
ion
Défini
rlapol
it
iquedesécur
itéduSIetvei
ll
eràsami
seenappl
icat
ion
Assur
erl
erôl
edeconsei
l,d’
assi
stance,
d’i
nfor
mat
ion,
def
ormat
ionetd’
aler
teensécur
itéduSI
.
I
dent
ifier
,appr
éci
erl
esr
isquesetdéfini
rlesexi
gencesdesécur
itédesSI
Assur
erl
avei
ll
etechnol
ogi
queetpr
ospect
ivedansl
edomai
nedesécur
itédesSI
.
Défini
rlepl
andesecour
sinf
ormat
ique,
s’assur
erdesonf
onct
ionnementetdesami
seàj
our
Réal
iserdescont
rôl
esdepr
emi
erni
veaur
elat
ifsauxmesur
esdesécur
itémi
sesenoeuvr
e
Rendr
ecompt
eàsahi
érar
chi
esurl
agest
iondel
asécur
itédesSI
.
Act
ivi
téspr
inci
pal
esdel
afonct
ion
Gouver
nance&Réf
érent
ieldes
écur
ité
-Part
ici
peàladéfiniti
ondesobjecti
fsetduniveaudesécur
itécibleduSI.
-Rédige,metenplaceetfai
tvi
vrel
apolit
iquedesécurit
édus yst
èmed’infor
mat
ion
-Rédigeetsui
tl’
appli
cat
iondesprocéduresdesécur
itéduSI
-Définitlacharted’
uti
li
sat
iondesr
essourcesi
nformatiquesetl
achar
tedesadmi
nist
rat
eur
sIT
-Par
tici
peauxComi tésDSIouenrapportaveclatechnologi
e
-Ani
mel es yst
èmedemanagementdel asécuri
tédesSI .
Ges
tiondesvul
nér
abi
li
tésetappr
éci
ati
ondesr
isquesl
iésàl
asécur
itédesSI
-Défini
tetfai
tvivrelecadr
edegest
iondesr
isquesl
iésàl
asécuri
tédesSI
.
-Metenplaceetfaitvi
vrel
epr
ogrammedegest i
ondesvulnér
abi
li
tést
echni
quesetdescor
rect
ifsdesécur
itéSI
-Mainti
entunecart
ogr
aphiedesri
squesl
iésàl
asécuri
tédesSI
-Sui
tleschant
ier
sdemi seenpl
acedesacti
onsderéduct
iondesr
isquesl
iésàl
asécur
itéSI
.
Sens
ibi
li
sat
ionetf
ormat
iondesut
il
isat
eur
senmat
ièr
edes
écur
itéSI
-Al
ertesurl
esévènementsenrapportaveclasécuri
téetlacyber-sécuri
té
-Définitetf
aitvi
vrel
eprogr
ammedesensi bi
li
sati
ondesut i
li
sateursetdesadmini
str
ateursI
T
-Consei
ll
eetassi
stel
esadmini
strat
eursdelaDSIsurl esquest
ionsr el
ati
vesàl
asécuri
tédesSI.
48 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
Ges
tiondespr
ojet
s&expl
oit
ati
ons
écur
itéSI
-S’
assur
edel
apr
iseencompt
edesexi
gencesdesécur
itédansl
ecycl
edevi
edespr
ojet
sSI(
anal
ysedes
r
isques,défini
ti
ondesexigencessécuri
tédansl
escahier
sdecharges,…)
-Procèdeàlarecet
tesécur
itédessyst
èmes,appl
icat
ionsetar
chi
tectur
esàmet
treenpr
oduct
ion
-Pi
lot
elesproj
etsdemi
seenpl
acedessol
uti
onsetout
il
sdesécur
itér
etenusdansl
ecadr
edut
rai
tement
desri
sques
-Assur
el’
expl
oit
abi
li
tédessol
uti
onsetout
il
sdesécur
itémi
senoeuvr
e(i
ntégr
ati
ondesSIàl
’
archi
tect
ure
sécuri
té,
fonct
ionnementdessolut
ionsdesécur
ité,
monitor
ing,
…)
-Part
ici
peàlagestiondeschangementssurl
esSI(anal
ysed’
impact
,val
idat
ionsécur
ité,
…).
Ges
tiondesvul
nér
abi
li
tésetappr
éci
ati
ondesr
isquesl
iésàl
asécur
itédesSI
-S’
assuredelapri
seencomptedesexigencesdesécuri
tédansl
ecycl
edeviedespr
ojet
sSI(
anal
ysedes
ri
sques,défini
ti
ondesexi
gencessécuri
tédanslescahi
ersdechar
ges,…)
-Pr
ocèdeàl
arecet
tesécur
itédess
yst
èmes,
appl
icat
ionsetar
chi
tect
uresàmet
treenpr
oduct
ion
-Pi
lot
el esproj
etsdemi
seenpl
acedessol
uti
onsetout
il
sdesécur
itér
etenusdansl
ecadr
edut
rai
tement
desrisques
-Assurel’
exploi
tabi
lit
édessol
uti
onsetoutil
sdesécur i
témisenoeuvre(
intégrat
iondesSIàl’
archi
tect
ure
sécurit
é,fonct
ionnementdessolut
ionsdesécurit
é,monitor
ing,
…)
-Parti
cipeàlagestiondeschangementssurlesSI(anal
ysed’
impact
,val
idati
onsécuri
té,…)
.
Ges
tiondus
ecour
sinf
ormat
iques
-Par
tici
peauchoi
xdessol
uti
onst
echni
quesdesecour
sinf
ormat
ique
-For
mal
isel
espr
océdur
esder
epr
isei
nfor
mat
iqueetenassur
elemai
nti
enencondi
ti
onopér
ati
onnel
le.
Sur
vei
ll
ance&r
epor
ting
-Assurelecont
rôl
epr emierni
veaudel asécur
itédesSI(
suividurespectduréf
érent
ielsécur
ité,
del
a
confor
mi t
éaveclesnormesdéfinies,…)
-Dil
igentedesmissi
onsd’audi
tsexter
nesdesécur i
téSIetsuitl
eurexécuti
on
-Assurelasurvei
ll
ancequot
idi
ennedesévènementsdesécur
itéSI
-Produitl
estableauxdeborddesécur
itéSIetl
esr
emonteàsadi r
ect
ion.
Vei
ll
etechnol
ogi
queetpr
ospect
ive
-Sui
vrel
esévol
uti
onsr
égl
ement
air
esett
echni
quesr
elevantdel
asécur
itédesSI
.
-Pr
oposerl
esévol
uti
onsnécessai
respourgar
ant
irl
asécur
itéduSIdanssonensembl
e.
49 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
Rel
ati
onsi
nter
nesetext
ernesdel
afonct
ion
Li
ais
onsf
onct
ionnel
lesi
nter
nes
Fonct i
onsinter
faces Objetdelarel
ation
-Maî tr
ise d’ouvr
age (Chef
s de pr
ojet -Etudedesbesoinsdesécur it
é
DSI) -Fi
xati
ondescahi ersdechargesécurit
é
-Autresdi r
ecti
ons. -Contrôl
edesprocédur essécuri
téSI
-Sensi
bil
isat
ionetf or
mat i
on.
Par
tenai
resext
ernes
Fonctionsi
nter
faces Objetdelarel
ation
-Fourni
sseurs -Etudedesbesoinsdesécur it
é
-Groupedespécialist
es -Fi
xati
ondescahi ersdechargesécurit
é
-Autori
téscompét entes. -Contrôl
edesprocédur essécuri
téSI
-Sensi
bil
isat
ionetf or
mat i
on.
Rés
ult
atsat
tendusdel
afonct
ion
Résul
t at
satt
endusdelaf onct
ion
-Perti
nenceetadéquat i
ondel adocument at
iondegesti
ondel
asécur
itéSI
-Efficacitédutrai
tementdesr i
squesl
iésàlasécuri
tédesSI
-Eff
ectivit
édesmesuresdesécur i
tédanslesopérati
ons
-Eff
ectivit
édel’or
gani
sationsécuri
téi
nter
ne.
For
mat
ion
Bac+4ou5eni nf
ormati
que, t
élécomsouSI/I
ngéni
eurgr
andes
Ecol
esenI
nfor
mat i
que,
télécomsouSI
Cert
ificat
ions: I
SO 27001LI,I
SO 27001LA,CEH,CISA,
CISSP,I
TIL,et
c…
ett
outesaut r
escer t
ificat
ionsspécifiquesrel
ati
vesàlasécur
itédesSI
etàlacybersésuri
té.
50 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
Expér
ience/Connai
ssances
/Savoi
rfai
re
5ansd’
expér
iencemi
nimum dansl
edomai
ne
Nor
mes,
procédur
esetl
égi
slat
ionsurl
asécur
itéduSI
Pr
otocol
eréseauxetI
nter
net
Connai
ssancedumar
chédel
’
off
resurl
asécur
ité
Eval
uat
ionetmaî
tri
sedesr
isquesSI
Syst
èmesdemanagement
Capaci
téàant
ici
perl
esévol
uti
onsdest
echni
quesi
nfor
mat
iquesetl
eur
i
mpactsurl
’
ent
repr
ise.
Qual
it
éshumai
nesetapt
itudes
Confident
ial
it
é,r
espectdusecr
et
Ri
gueur
,sensdel
amét
hodeetpr
obi
té
Char
ismeetsensdur
elat
ionnel
Faci
li
téetr
api
dit
éd’
adapt
ati
on
Capaci
téd’
anal
yseetdes
ynt
hèse
Qual
it
ésdecommuni
cant
Capaci
tésmanagér
ial
es.
51 TLP:W HI
TE:Di
str
ibut
ionl
ibr
e,i
ll
imi
téeetsansr
est
rict
ion
numer
ique.
gouv.
bj ftl@numeriquebenin

ANSSI - Decret 2021 550

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ANSSI - Decret 2021 550

Transféré par

Droits d'auteur :

Formats disponibles

AECI(!

DECRET N" 2021- 550 DU 27 0CTOBRE2021

Vu la loi n" 90-32 du 11 décembre 1990 portant Constitution de la République du Bénin,

vu la décision portant proclamation, le 21 auril 2021 par la Cour constitutionnelle, des

vu le décret n' 2021-401 du 28 juillet 2021 fixant la structuretype des ministères ;

- à tous les systèmes d'information des administrations publiques y compris les

- les systèmes d'information soumis au régime de la loi relative au secret de la

Le Ministre du Numérique et de la Digitalisation et le Ministre de l'Économie et des

Fait à Cotonou ,le 27 oclobre 2021

Par le Président de la République,

L’ambi tion du Gouver nementdu Béni n estdeposi ti

Lesenj euxde l a PSSIErésidentdansl ’engagementde l ’

Ils’avèrenécessairededéﬁni retdemettreen œuvrelesacti

Syst èmed’ Informat ion( SI

au personnelou aux organi

apporte son concour

Vous aimerez peut-être aussi