Académique Documents
Professionnel Documents
Culture Documents
d’information sensibles ou Diffusion Restreinte - Liste de vérifications ». Il est téléchargeable sur le site
www.ssi.gouv.fr.
Il constitue une production originale de l’ANSSI placée sous le régime de la « Licence ouverte v2.0 »
publiée par la mission Etalab*.
Conformément à la Licence Ouverte v2.0, le guide peut être réutilisé librement, sous réserve de mention
sa paternité (source et date de la dernière mise à jour). La réutilisation s’entend du droit de communique
diffuser, redistribuer, publier, transmettre, reproduire, copier, adapter, modifier, extraire, transformer et
exploiter, y compris à des fins commerciales.
Sauf disposition réglementaire contraire, ces recommandations n’ont pas de caractère normatif ; elles so
livrées en l’état et adaptées aux menaces au jour de leur publication. Au regard de la diversité des
systèmes d’information, l’ANSSI ne peut garantir que ces informations puissent être reprises sans
adaptation sur les systèmes d’information cibles. Dans tous les cas, la pertinence de l’implémentation de
éléments proposés par l’ANSSI doit être soumise, au préalable, à la validation de l’administrateur du
système et/ou des personnes en charge de la sécurité des systèmes d’information.
VERSION DATE
1.0 28/08/20
digé par l’ANSSI présente les « Recommandations pour les architectures des systèmes
nsibles ou Diffusion Restreinte - Liste de vérifications ». Il est téléchargeable sur le site
* Sauf lorsqu'ils traitent d'informations classifiées et sont en conséquence régis par les textes relatifs à la protection d
informations couvertes par le secret de la défense nationale, les systèmes d'information qui sont mis en œuvre par u
entité soumise à la réglementation relative à la PPST et qui traitent d'informations relatives aux spécialités dont les s
faire sont susceptibles d'être détournés à des fins de terrorisme ou de prolifération d'armes de destruction massive e
leurs vecteurs constituent des systèmes d'information Diffusion Restreinte.
** Sont notamment concernés les systèmes traitant d' informations couvertes par le secret professionnel, constituant
correspondances privées ou mentionnées à l'article 6 de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures
d'amélioration des relations entre l'administration et le public et diverses dispositions d' ordre administratif, social et f
Sont également concernés les systèmes d'information mentionnés dans l'ordonnance n° 2005-1516 du 8 décembre
relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administr
ATTENTION
Certains champs de l’II 901 ne sont pas traités dans le guide Recommandations pour les architect
Diffusion Restreinte (sécurité physique et environnementale, sécurité liée aux développements in
(gouvernance de la sécurité des systèmes d’informatio
La feuille ANNEXE - Mesures II 901 rappelle la liste exhaustive des mesures de sécurité de l'II 901
une représentation visuelle du niveau de conformité du SI sensible au regar
Mise en œuvre d'un SI sensible ou DR - Liste de vérifications
Objectif de ce document : outiller le pilotage de la mise en conformité d'un SI sensible ou DR au regard de
la réglementation
** Sont notamment concernés les systèmes traitant d' informations couvertes par le secret professionnel, constituant des
correspondances privées ou mentionnées à l'article 6 de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures
d'amélioration des relations entre l'administration et le public et diverses dispositions d' ordre administratif, social et fiscal.
Sont également concernés les systèmes d'information mentionnés dans l'ordonnance n° 2005-1516 du 8 décembre 2005
relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
En fonction du choix fait à l'étape 1, les exigences réglementaires et les recommandations applicables sont automatiquement calculées.
►La feuille Recommandations guide ANSSI liste toutes les recommendations du guide de l'ANSSI intitulé Recommandations pour les ar
systèmes d'information sensibles ou Diffusion Restreinte.
►Pour chaque recommandation de ce guide, les valeurs de la colonne Recommandation ou exigence ? précise si la recommandation re
réglementaire ou des bonnes pratiques SSI.
Information :
Valeurs possibles dans la colonne Recommandation ou exigence ? :
►Exigence II 901 : exigence de l'II 901 (lorsque l'II 901 s'applique pleinement à l'entité considérée)
Variantes :
►Exigence II 901 (DR) : exigence de l'II 901 propre aux SI DR
►Exigence II 901 (PSSIE) : exigence de l'II 901 également applicable au titre de la PSSIE
►Recommandation II 901 : recommandation de l'II 901 (lorsque l'II 901 n'a valeur que de recommandation pour l'entité considérée)
►Recommandation forte ANSSI : recommandation forte de l'ANSSI qui complète l'II 901
►Recommandation ANSSI : recommandation de l'ANSSI qui complète l'II 901
tape 3 : Sélectionner les mesures qui vont devoir être mises en œuvre pour sécuriser le SI sensible et, éventuellemen
Voir la colonne Mesure retenue, exclue ou non applicable ? de la feuille Recommandations guide ANSSI.
►Si une mesure de sécurité est exclue, il est nécessaire de justifier cette exclusion et de verser cette information au dossier d'homologa
►Une mesure de sécurité peut être non applicable (n.a.) pour plusieurs raisons.
Exemples :
1 - plusieurs recommandations alternatives, exclusives entre elles, sont proposées par l'ANSSI et un choix doit être fait ;
2 - contexte particulier où le risque objet de la mesure est compensée par d'autres mesures de sécurité.
►Si une mesure est exclue ou non applicable, la justification peut être tracée dans la colonne Justification en cas d'exclusion ou de non
mesure.
Remarque : Ces valeurs prédéfinies sont personnalisables en agissant sur le contenu de la feuille Référence.
Information :
►La modification des valeurs dans les colonnes Niveau de mise en œuvre a pour effet de modifier dynamiquement la feuilleTaux de couverture guide
une représentation graphique des recommandations ANSSI en fonction de leur état de mise en œuvre.
ATTENTION
Certains champs de l’II 901 ne sont pas traités dans le guide Recommandations pour les architectures des systèmes
Diffusion Restreinte (sécurité physique et environnementale, sécurité liée aux développements informatiques...) ou s
(gouvernance de la sécurité des systèmes d’information).
a feuille ANNEXE - Mesures II 901 rappelle la liste exhaustive des mesures de sécurité de l'II 901 et la feuille ANNEXE
une représentation visuelle du niveau de conformité du SI sensible au regard de la réglementat
►Un tableau de la feuille Référence dénombre les mesures SSI II 901 et les recommandations ANSSI en fonction de leur état de mise en œuvre.
5
es qui peuvent être exclues
mation sensibles ou
artiellement traités
9%
91%
SSI
d'in-
99%
ent mis en œuvre
ement mis en œuvre
mmencé
me !
Valeurs préconfigurées pour les colonnes Mesure retenue, exclue ou non applicable ? et Niveau de mise en œuvre.
Ces valeurs, tout comme l'ensemble du présent document, sont personnalisables autant que de besoin.