Principe Liee À Lorganisation de La Securite
Principe Liee À Lorganisation de La Securite
Principe Liee À Lorganisation de La Securite
GS - 001
15 septembre 1994
DISI/ SCSSI/DIS
VERSION 1.1
P.S.I.
AVERTISSEMENT AU LECTEUR
Avertissement au lecteur
1) Le prsent guide est un support de rflexion. labor par le SCSSI pour mettre son exprience au profit des diffrents dpartements ministriels, des administrations de l'tat et des grands organismes publics, ce guide constitue une grille de travail. Appliqu aux ministres, il est destin aux fonctionnaires de scurit des systmes d'information (FSSI) afin de leur permettre de mettre en place une politique de scurit, conformment l'IGI 900. Appliqu aux autres organismes, il offre une rponse possible pour l'application des actions prconises par la Recommandation 901, relative aux informations sensibles ne relevant pas du secret de dfense. 2) Le prsent guide n'est pas un rglement : il n'a pas de porte obligatoire. Les rfrences contenues dans ce guide ont uniquement pour objet de servir d'illustration et de souligner le sens qui peut tre donn aux principes et aux rgles de scurit choisies par un organisme.
Tout particulirement pour le domaine juridique, le lecteur est averti qu'il doit, dans tous les cas, vrifier la validit et la porte des textes lgislatifs auxquels il se rfre, dans le cadre des activits propres son organisme.
SCSSI, 1994
P.S.I.
AVERTISSEMENT AU LECTEUR
P.S.I.
SOMMAIRE
Sommaire
Introduction gnrale et prsentation du guide
Introduction gnrale Prsentation du guide
Chapitre 2
Les bases de lgitimit pour une politique de scurit interne Les bases de lgitimit reposant sur la dontologie Les grands principes d'thique Les codes d'thique des mtiers des technologies de l'information Les bases de lgitimit reposant sur la lutte contre les accidents Les bases de lgitimit reposant sur la prservation des intrts vitaux de l'tat Les informations relevant du secret de dfense La protection du secret et des informations concernant la dfense nationale et la sret de l'tat La scurit des systmes d'information qui font l'objet d'une classification de dfense pour eux-mmes ou pour les informations traites La protection du secret dans les rapports entre la France et les tats trangers La protection du secret et des informations pour les marchs et autres contrats Les instructions techniques particulires pour la lutte contre les signaux parasites compromettants
P.S.I.
SOMMAIRE
2.3.2. 2.4. 2.5. 2.5.1. 2.5.2. 2.5.2.1. 2.5.2.2. 2.6. 2.6.1. 2.6.2. 2.6.3. 2.6.4. 2.6.5.
Les informations ne relevant pas du secret de dfense Les bases de lgitimit reposant sur l'arsenal juridique pour la lutte contre la malveillance Les bases de lgitimit reposant sur les contrles technologiques Le contrle tatique dans le domaine de la cryptologie Le contrle consumriste La normalisation La certification Les bases de lgitimit reposant sur la prservation des intrts particuliers de l'organisme La mission ou le mtier de l'organisme La culture de l'organisme Les orientations stratgiques et la structure de l'organisme Les relations de l'organisme avec son environnement : les contrats passs avec des tiers Les ressources de l'organisme
Partie 2
Chapitre 1
Chapitre 2 Principes de scurit lis l'information 2.1. Principe de protection juridique des informations 2.2. Principe de typologie des informations ncessitant une protection 2.3. Principe de continuit dans la protection des informations
Chapitre 3 Principes de scurit lis aux biens physiques 3.1. Principe de protection des biens physiques 3.2. Principe de gestion des biens physiques
Chapitre 4 Principes lis l'organisation de la scurit 4.1. Principe d'une structure de la scurit 4.2. Principe de continuit du contrle de la scurit
Chapitre 5 Principes de scurit lis au personnel 5.1. Principe de slection du personnel 5.2. Principe de contrle de l'affectation du personnel aux postes de travail sensibles
ii
P.S.I.
SOMMAIRE
5.3. 5.4.
Principe de sensibilisation pour la scurit des systmes d'information Principe de responsabilit du personnel
Chapitre 6 6.1. 6.2. 6.3. 6.4. 6.5. 6.6. 6.7. 6.8. 6.9.
Principes de scurit lis au cycle de vie du systme d'information Principe de spcification pour le dveloppement du systme d'information scuris Principe d'autorisation pour l'utilisation du systme d'information Principe d'exploitation scurise du systme d'information Principe de scurit pour les communications Principe de scurit pour la maintenance du systme d'information Principe de mise en place d'une documentation de scurit Principe de limitation des sinistres touchant le systme d'information Principe d'application des ITSEC pour une valuation de la scurit du systme d'information Principe d'anticipation sur l'volution de la scurit du systme d'information
Annexes
Annexe 1 Annexe 2 Annexe 3 Annexe 4 Annexe 5 Annexe 6 Annexe 7 Annexe 8 Annexe 9 Notes complmentaires Les critres d'valuation de la scurit des systmes informatiques (ITSEC) Lignes directrices rgissant la scurit des systmes d'information (OCDE) Codes d'thique des mtiers des technologies de l'information Textes lgislatifs et rglementaires relatifs aux informations relevant du secret de dfense Textes lgislatifs et rglementaires relatifs aux informations ne relevant pas du secret de dfense Textes lgislatifs et recommandations relatifs la lutte contre la malveillance Les guides mthodologiques dvelopps par le Service Central de la Scurit des Systmes d'Information Liste des rgles contenues dans le guide
iii
P.S.I.
SOMMAIRE
iv
P.S.I.
GS-001
Juillet 1994
P.S.I.
Remarque importante : Traduction du terme anglo-saxon "Corporate security policy", la Politique de scurit interne (PSI) intresse la scurit relative l'information et au systme d'information. Cette politique doit tre applique conjointement et en accord avec la scurit gnrale de l'organisme couvrant la scurit des personnes (scurit du travail, scurit incendie, assurances, etc.) ainsi que, en gnral, les consignes existantes pour les accs physiques aux btiments.
GS-001
Juillet 1994
P.S.I.
Introduction gnrale
Au cours de ces vingt dernires annes, le dveloppement rapide des technologies de l'information a entran une dpendance de plus en plus grande des organismes envers leur systme d'information, devenu une composante stratgique au mme titre que la recherche ou l'innovation. Par ailleurs, l'utilisation croissante des systmes d'information pour des applications de plus en plus diversifies a fait prendre conscience la communaut des utilisateurs qu'il ne suffisait pas de mettre en uvre les moyens de communication les plus performants, mais que ces derniers devaient tre fiables en terme de disponibilit, d'intgrit et de confidentialit.
La scurit du systme d'information est devenue un facteur essentiel du bon fonctionnement de l'organisme.
Mais, le fait nouveau se situe galement dans la mutation des qualifications requises pour assumer la fonction de responsable de la scurit par rapport une formation initiale technique, alors que la pluridisciplinarit de ce nouveau mtier rend indispensable l'adoption d'une approche plus systmique. En effet, une parfaite intgration de la composante scurit dans la gestion d'un organisme impose la prise en compte d'lments aussi divers que les particularits de sa culture, les contraintes lies sa mission ou son mtier, les orientations stratgiques qui reprsentent le devenir souhait et, d'une faon gnrale, l'ensemble des rgles touchant au personnel, l'organisation et aux mthodes et techniques utilises.
La pluridisciplinarit du domaine de la scurit ouvre la voie un vritable exercice de prospective au bnfice de l'organisme tout entier : il en rsulte une rflexion qui est l'essence mme de la politique de scurit interne.
Prsentation du guide
La premire partie, intitule "Les fondements de la politique de scurit interne", situe la place d'une politique de scurit interne dans l'organisme et prcise les bases de lgitimit sur lesquelles elle s'appuie. La deuxime partie, intitule "Principes et rgles pour une politique de scurit interne", expose les grands principes de scurit qui peuvent tre retenus ainsi que les rgles qui en dcoulent. Toutefois, ce guide n'est pas le document final, immdiatement appropriable par un responsable de la scurit : il propose seulement les bases de lgitimit essentielles ainsi qu'un corpus de principes et de rgles dont certains peuvent apparatre indispensables et d'autres moins adapts la mission ou au mtier d'un organisme.
Ce guide se prsente sous l'aspect d'un catalogue permettant de dterminer les bases de lgitimit correspondant aux missions de l'organisme et de choisir les principes et les rgles les plus adapts ses activits.
GS-001
Juillet 1994
P.S.I.
Guide P.S.I.
Rdaction de la P.S.I.
Validation de la P.S.I.
Application de la P.S.I.
GS-001
Juillet 1994
P.S.I.
PARTIE 1
P.S.I.
PARTIE 1
P.S.I.
La premire partie de ce guide, intitule "Les fondements de la politique de scurit interne", ne s'intresse qu'aux arguments propres l'environnement national, international ou corporatif d'un organisme. Un premier chapitre, intitul "La politique de scurit interne", se base sur des travaux ou des rfrences universelles et plaide en faveur de l'adoption et de l'application d'une politique de scurit interne dans un organisme. Un second chapitre, intitul "Les bases de lgitimit de la politique de scurit interne", expose des arguments dontologiques, lgislatifs et corporatifs ainsi que des recommandations diverses, issues de travaux et de rflexions d'instances nationales ou internationales, susceptibles d'tre intgrs dans une politique de scurit interne. La recherche de toutes les rfrences europennes et nationales qui intresse le scurit du systme d'information d'un organisme, ainsi que l'thique des mtiers des technologies de l'information et leur utilisation, constitue les bases de lgitimit d'une politique de scurit interne1.
Ainsi, tous les arguments retenus qui s'inscrivent dans le cadre des fondements d'une politique de scurit interne, serviront la justification de tous les principes et les rgles dicts par l'organisme.
P.S.I.
P.S.I.
L'environnement
L'organisme
Le systme d'information
Le systme informatis
Le systme informatique
Lignes directrices rgissant la scurit des systmes d'informations, OCDE, Paris 1992
P.S.I.
Flux d'informations Les dfinitions suivantes concernent les termes les plus employs dans le guide PSI et qui pourraient recevoir, selon les domaines d'application, des sens diffrents. Toutefois, pour tous les termes qui font l'objet d'une dfinition dans un texte juridique ou qui ont obtenu un large consensus au niveau des instances qualifies, le lecteur est invit consulter les divers glossaires qui s'y rapportent. Organisme Les organes qui ont pour tche le fonctionnement d'un service, d'un 3 parti, etc. (Dictionnaire Larousse) .
Par convention de lecture pour ce guide, le terme "organisme" dsigne tout tablissement ministriel, public ou priv et comprend l'ensemble des biens, des personnes et des services attachs la ralisation d'une mission ou d'un mtier.
Systme d'information "Le systme d'information comprend les matriels informatiques et quipements priphriques, les logiciels et les microprogrammes, algorithmes et les spcifications internes aux programmes, documentation, les moyens de transmission, les procdures, donnes et les paramtres de contrle de la scurit, les donnes et informations qui sont collectes, gardes, traites, recherches transmises par ces moyens ainsi que les ressources humaines qui mettent en uvre"4. les les la les les ou les
En effet, le systme d'information est caractris par l'organisation humaine qui donne une signification au recueil, au traitement, la production des donnes contribuant au fonctionnement oprationnel.
Les systmes d'information dont il est question dans ce guide concernent l'informatique de gestion, de services, scientifique ou industrielle.
Systme informatis Le systme informatis, qui est un sous-ensemble d'un systme d'information, fait rfrence la dimension lectrique pour le recueil, le traitement, la transmission et le stockage des donnes. Il fait abstraction de l'organisation humaine ainsi que de tous les traitements et les transferts d'informations manuels.
3 4
Voir galement la note complmentaire n2, annexe 1 Lignes directrices rgissant la scurit des systmes d'informations, OCDE, Paris 1992, p.29.
10
P.S.I.
Systme informatique (ou systme de traitement et d'analyse de donnes) Le systme informatique, qui regroupe traditionnellement les centres informatiques de l'organisme, comprend les donnes, supports, logiciels, quipements, documentations. Il ne comprend pas l'aspect transmission, c'est--dire les quipements qui le supporte y compris les matriels d'extrmit (poste tlphonique, minitel, tlcopie, etc.) ni les quipements lectriques dconnects ou isols (micro-ordinateurs ddis, portables, photocopieurs, etc.). Les systmes informatiss d'un organisme (systme de production, de distribution, de gestion, etc.) sont "innervs" par le ou les systmes informatiques qui composent le systme d'information.
1.2. Lien entre la politique de scurit interne et les Critres d'valuation de la scurit des systmes informatiques (ITSEC)
L'accomplissement de la mission ou du mtier d'un organisme est soumis un ensemble de rgles et de pratiques qui rgissent tous les aspects lis au fonctionnement (personnel, finances, recherche, production, communication, etc.). En consquence, le systme d'information qui contribue assurer cette mission ou ce mtier, doit tenir compte de toutes les contraintes d'environnement de l'organisme. Par ailleurs, face aux menaces qui psent sur les systmes d'information, l'utilisateur exige une protection convenable des informations et des services de traitement et de transport de l'information. La scurit est donc devenue une des dimensions essentielles de la stratgie de l'organisme et elle doit tre prise en compte ds la conception du systme d'information. En rponse ces proccupations, des travaux ont t entrepris au niveau europen ; ils ont abouti l'laboration des critres d'valuation de la scurit des systmes informatiques (ITSEC) qui permettent de dfinir un cadre pour l'valuation de produits ou de systmes informatiques (voir annexe 2). Ainsi, il a t tabli que la scurisation d'un systme d'information ncessite la mise en place d'une politique de scurit interne qui peut tre vue comme l'ensemble des principes et des rgles de scurit pour la gestion et le fonctionnement du systme d'information. En France, une directive du Premier Ministre prcise que les critres ITSEC sont les seuls critres appliquer pour les valuations de scurit par les organismes officiels. Pour les dpartements ministriels ces critres doivent tre utiliss l'exclusion de tous autres, notamment pour la dfinition des
11
P.S.I.
objectifs de scurit des systmes ou produits informatiques ainsi que pour l'laboration des spcifications des marchs les concernant5 Pour les organismes publics et privs, ces critres ont valeur de recommandation.
La politique de scurit interne constitue la premire tape de la mthodologie de scurisation d'un systme d'information selon les Critres d'valuation de la scurit des systmes informatiques (ITSEC).
1.3. Lien entre la politique de scurit interne et les Lignes directrices rgissant la scurit des systmes d'information (document de l'OCDE)
Les neuf principes gnraux exposs dans les Lignes directrices rgissant la scurit des systmes d'information constituent une charte de scurit applicable aux systmes d'information d'un tat ou d'un grand organisme. La politique de scurit interne d'un organisme, quant elle, se situe un niveau d'abstraction moins lev : en effet, le systme d'information auquel elle s'applique peut tre dcrit avec prcision quant ses constituants et sa frontire avec l'environnement. Toutefois, la rfrence aux principes gnraux du document de l'OCDE est donne maintes reprises pour justifier les principes et les rgles noncs dans les diffrents chapitres de ce guide. La liste des principes gnraux est donne en annexe 3.
Lettre n106 SGDN/DISSI/26007 du 11 mars 1992 Recommandation du Conseil et annexe, 26 novembre 1992, page 4 12
12
P.S.I.
faciliter la mise au point et l'usage du systme d'information pour tous les utilisateurs autoriss du systme d'information. La politique de scurit interne a pour but la garantie des services rendus ainsi que la protection des biens et des informations sensibles. De plus, elle constitue une rfrence par rapport laquelle toute volution du systme d'information devra tre justifie, que ce soit pour l'intgration d'un lment nouveau du systme ou pour la modification d'un lment existant. L'laboration de la politique de scurit interne requiert une connaissance parfaite de l'organisme et de son environnement, tout autant que de son systme d'information.
aux
13
P.S.I.
La politique de scurit interne est la reconnaissance officielle de l'importance accorde par la direction gnrale de l'organisme la scurit de son systme d'information.
Le plan de scurit constitue la politique de scurit du systme (PSS) au sens ITSEC : voir schma prsent l'annexe 2
14
P.S.I.
Les principes et les rgles contenus dans une politique de scurit interne puisent leurs bases de lgitimit dans les lois, les rglementations, les normes et les recommandations manant d'organismes internationaux, nationaux ou professionnels ; ils peuvent aussi trouver leur justification dans les composantes de la culture de l'organisme comme, par exemple, les traditions, les habitudes ou les rgles internes. Ces bases de lgitimit sont dclines selon leur porte et leur objectif en six rubriques : la dontologie, la lutte contre les accidents, la prservation des intrts vitaux de l'tat, l'arsenal juridique pour la lutte contre la malveillance, les contrles technologiques, la prservation des intrts particuliers de l'organisme.
Ces rubriques peuvent reprsenter les bases de lgitimit pour une politique de scurit interne ; elles devraient, de ce fait, tre intgres dans le champ des valeurs partages par le personnel de l'organisme.
Toutefois, ce chapitre ne peut prtendre l'exhaustivit dans l'numration des rubriques pouvant constituer des bases de lgitimits ; les plus couramment cites sont donnes, titre d'illustration, pour chacune des six rubriques nonces prcdemment. Le lecteur trouvera une liste plus complte dans les annexes 4 7 de ce guide.
15
P.S.I.
Au niveau de l'Union europenne, par le principe de protection des personnes10 l'gard du traitement automatis des donnes caractre personnel. Au niveau national, par la Loi "Informatique et Liberts"11 qui rglemente l'emploi et la constitution des fichiers nominatifs, c'est--dire, autorise les actions suivantes : - la soumission, avant leur mise en uvre, des traitements automatiss d'informations nominatives des formalits administratives qui doivent tre accomplies par les utilisateurs publics et privs,
Confrence internationale des commissaires la protection des donnes, Berlin, 30/08/89 Convention 108 du Conseil de l'Europe du 28/01/81, approuv par la loi 82.890 du 19/10/82 11 Loi n78-17 du 6 janvier 1978 sur l'informatique, les fichiers et les liberts
10
16
P.S.I.
- la reconnaissance, pour toute personne figurant dans un fichier automatis ou manuel, du droit d'accs aux informations qui la concernent, - l'application de dispositions de protection s'appliquant la collecte, l'enregistrement, le traitement et la conservation des informations nominatives des fichiers informatiques ou non informatiques, - le contrle de l'application de la loi par la Commission Nationale Informatique et Liberts.
Au niveau des organismes et des mtiers qui s'y exercent, par des codes d'thique corporatifs (mtiers juridiques, de la sant, de la recherche, de la banque, etc.) formulant des principes de base, des recommandations de politiques, des codes de conduites ou des rglements. En particulier, et quel que soit le mtier de l'organisme, celui-ci dtient et traite des informations auxquelles il doit attribuer une mention spcifique, caractristique de son domaine, comme la mention "confidentiel personnel" (domaine protg par la Loi informatique et Liberts) ou "confidentiel professionnel, industriel, commercial", etc. (domaine protg par le Code pnal). Ainsi, paralllement au code d'thique propre au mtier, l'organisme doit prendre en compte les spcificits concernant la protection d'informations d'ordre mdical, juridique, etc., ainsi que le respect de l'anonymat des personnes ayant fourni des informations nominatives par le biais de questionnaires ou d'enqutes.
2.1.2.
Les codes d'thique des mtiers des technologies de l'information (annexe 4) font apparatre des rgles de dontologie gnrale s'nonant sous forme de devoirs et d'obligations assumer : l'obligation de comptence et d'objectivit, les devoirs envers la clientle, savoir l'indpendance, le respect du client et de la mission confie, le devoir de conseil et d'assistance, les devoirs envers les concurrents, savoir le respect des principes de loyaut et de libre concurrence, le respect du secret de fabrique.
17
P.S.I.
2.2. Les bases de lgitimit reposant sur la lutte contre les accidents
Les accidents pouvant survenir l'intrieur d'un organisme ou provoqus l'extrieur de celui-ci par ses activits peuvent entraner des pertes humaines ou des atteintes l'environnement ou bien encore au patrimoine national ou priv. Aussi, est-il fait obligation lgale tous les responsables d'organismes de lutter, avec les moyens appropris, contre les accidents divers12. Si cette proccupation est gnralement prise en compte au niveau de la scurit gnrale (et, tout particulirement celle touchant au personnel), elle est rappele dans ce chapitre pour souligner que dans de nombreux cas les accidents de toute nature peuvent avoir pour cause des erreurs ou malveillances commises dans l'utilisation du systme d'information (par exemple, dans le domaine du nuclaire, de la gestion du trafic fluvial, ferroviaire, arien, des agences de bassin, etc.). C'est ainsi que, indpendamment de l'obligation faite par la loi dans tous les pays dvelopps, il est un devoir prioritaire pour les responsables d'organismes de renforcer les contrles de scurit et de les inscrire comme base de lgitimit partout o il existe un risque, aussi minime soit-il, d'accident li l'utilisation du systme d'information.
2.3. Les bases de lgitimit reposant sur la prservation des intrts vitaux de l'tat
Les organismes gouvernementaux et ceux qui collaborent avec eux, sont soumis au respect des lois nationales et aux instructions interministrielles. Lorsqu'un organisme, y compris en dehors de sa mission propre, est amen contractuellement ou non utiliser ou traiter des informations classifies relevant du secret de dfense ou des informations sensibles comme, par exemple, celles relevant du patrimoine national, il doit appliquer les lois et les textes rglementaires qui s'y rapportent. La liste des principaux textes est donne dans les annexes 5 et 6.
12
Dcret n92-158 du 20 fvrier 1992. Voir galement la note complmentaire n3, annexe 1
18
P.S.I.
2.3.1.
2.3.1.1.La protection du secret et des informations concernant la dfense nationale et la sret de l'tat Une instruction13, qui s'adresse tous les dpartements ministriels et tous les organismes publics ou privs o sont mises, reues, mises en circulation ou conserves des informations intressant la dfense nationale et la sret de l'tat, aborde les thmes suivants : l'organisation et le fonctionnement des services de scurit de dfense, la protection des personnes, la protection des informations classifies, la protection du patrimoine national et des informations qui doivent rester diffusion restreinte, la sensibilisation aux risques de compromission d'informations classifies, les contrles et inspections. 2.3.1.2. La scurit des systmes d'information qui font l'objet d'une classification de dfense pour eux-mmes ou pour les informations traites Une instruction14 qui s'adresse toutes les administrations et services extrieurs de l'tat, notamment aux tablissements publics nationaux ou organismes placs sous l'autorit d'un ministre, prcise les rgles respecter pour protger les secrets de la dfense nationale dans les systmes d'information et aborde les thmes suivants : les informations ncessitant une protection, les moyens de protection, les principes gnraux de scurit des systmes d'information, les rles respectifs, l'organisation et les missions des divers intervenants, les contrles et inspections.
13 14
19
P.S.I.
2.3.1.3. La protection du secret dans les rapports entre la France et les tats trangers Une instruction15 prcise les dispositions gnrales et les protocoles de scurit tablir dans le cadre d'tudes et de rapport entre la France et les pays trangers.
16 Une autre instruction porte sur la protection du patrimoine scientifique et technique franais dans les changes internationaux.
2.3.1.4. La protection du secret et des informations pour les marchs et autres contrats Une instruction17 prcise les dispositions prendre pour la protection du secret et des informations concernant la dfense nationale et la sret de l'tat dans les marchs ainsi que dans tous les autres contrats administratifs qui entranent la mise en uvre de systmes d'information faisant l'objet d'une classification de dfense pour eux-mmes ou pour les informations traites. Elle traite en particulier des dispositions prendre vis--vis des personnes, des documents et des matriels. 2.3.1.5. Les instructions techniques particulires pour la lutte contre les signaux parasites compromettants On entend par signal parasite compromettant tout signal lectromagntique mis par un quipement du systme d'information pouvant tre capt l'extrieur du local de l'quipement, ou inversement, tout signal qui, mis depuis l'extrieur du local de l'quipement, pourrait perturber des traitements informatiques ou leurs donnes, ou mme dtriorer des matriels.
2.3.2.
15 16
Instruction interministrielle n50/SGDN/SSD Instruction interministrielle n486/SGDN/SSD 17 Instruction interministrielle n2000/SGDN/SSD 18 Instruction gnrale interministrielle n901/DISSI/SCSSI/DR
20
P.S.I.
Elle recommande une harmonisation entre les mesures prises au titre de la protection du secret de dfense et celles concernant la protection des informations sensibles ; c'est ainsi qu'une organisation fonctionnelle unique est conseille. Une autre instruction19 dicte des recommandations relatives aux informations, aux systmes ou aux applications ne relevant pas du secret de dfense, mais dont la destruction, le dtournement ou l'utilisation frauduleuse pourraient porter atteinte aux intrts nationaux, au patrimoine scientifique et technique ou la vie prive ou professionnelle des individus. Ces recommandations concernent plus particulirement la scurit des postes de travail autonomes ou connects un rseau.
2.4. Les bases de lgitimit reposant sur l'arsenal juridique pour la lutte contre la malveillance
Au niveau de l'Union europenne, une recommandation du Conseil de l'Europe sur la criminalit en relation avec l'ordinateur et une directive21 sur la protection juridique des programmes d'ordinateur rglementent la protection du logiciel. Au niveau national, les logiciels sont considrs comme des uvres de l'esprit protges par le code de la proprit intellectuelle et des lois rglementent les peines associes aux infractions telles que : la copie ou l'utilisation illicite de logiciel, la divulgation non autorise de documents techniques ou commerciaux, mme aprs une rupture de contrat, le dlit ou la tentative de dlit, avec ou sans entente concerte, correspondant aux infractions comme l'accs ou le maintien frauduleux dans tout ou partie d'un systme, l'entrave au fonctionnement, la modification de donnes, l'interception de tlcommunications. Mais il appartient l'organisme de prendre les mesures qu'il juge ncessaire la protection de son systme d'information (mesures de prvention, de dtection et de rparation), afin de se protger contre les menaces redoutes, qu'elles soient accidentelles ou intentionnelles comme, par exemple, l'interception, le dtournement, l'utilisation ou la divulgation non autorise d'lments du systme d'information. On trouvera, l'annexe 7, la liste de ces lois et recommandations.
19 20
20
Recommandation n600/SGDN/DISSI/SCSSI Recommandation R(89) du Conseil de l'Europe du 19 septembre 1989 21 Directive n91/250/CEE du 14 mai 1991
21
P.S.I.
2.5.2.
Le contrle consumriste
Les utilisateurs de systmes d'information sont soumis d'une part l'offre des constructeurs, chacun ayant ses systmes spcifiques et, d'autre part, la ncessit d'utiliser et de faire communiquer ces systmes entre eux.
2.5.2.1.La normalisation L'utilisation de produits normaliss l'interoprabilit des systmes. est ncessaire pour assurer
La dfinition en est donne par une directive de l'Union europenne portant sur l'laboration des normes nationales23. Elle est reprise par un dcret national fixant le statut de la normalisation24 : "la normalisation a pour objet de fournir des documents de rfrence comportant des solutions des problmes techniques et commerciaux concernant les produits, biens et services qui se posent de faon rpte dans des relations entre partenaires conomiques, scientifiques, techniques et sociaux".
22 23
Loi 90-1170 du 29 dcembre 1990 modifie, article 28 Directive 83.189/CEE du 28 mars 1983 24 Dcret n84-74 du 28 janvier 1984, modifi par le dcret n90-853 du 18 juillet 1990
22
P.S.I.
Le choix de produits normaliss ayant valeur de recommandation, il peut prendre un caractre obligatoire en raison de la publication : d'une directive communautaire particulire, d'un arrt du Ministre de l'Industrie, de rglementations spcifiques comme, par exemple, les codes des marchs publics, de contrats particuliers protgs par le code civil. 2.5.2.2. La certification La situation juridique communautaire s'appuie sur une rsolution25 portant sur l'approche globale en matire d'valuation de la conformit. En ce qui concerne la certification de produits ou de systmes informatiques, quatre pays europens (Allemagne, France, Grande-Bretagne et Pays-Bas) ont dvelopp les critres d'valuation de la scurit des systmes informatiques (ITSEC) qui ont vocation de devenir une recommandation. La dfinition de la certification qui y est donne est la suivante : "la certification atteste formellement des rsultats de l'valuation et le fait que les 26 ITSEC ont t correctement appliqus" . Ces critres doivent tre utiliss par les administrations de l'tat pour la dfinition des objectifs de scurit des systmes ou produits informatiques ainsi que pour l'laboration des spcifications des marchs les concernant. En France, une valuation russie suivant les critres harmoniss europens peut donner lieu la dlivrance d'un certificat par le Service central de la scurit des systmes d'information (S.C.S.S.I).
2.6. Les bases de lgitimit reposant sur la prservation des intrts particuliers de l'organisme
L'organisme peut se dfinir par : sa mission (pour un organisme tatique) ou son mtier (pour un organisme priv), sa culture, ses orientations stratgiques et sa structure, ses relations avec l'environnement, ses ressources,
25 26
Rsolution du conseil 90/C/10.01 du 21 dcembre 1989 ITSEC, page 111, paragraphe 6-7
23
P.S.I.
Lorsque l'organisme considre qu'un de ces thmes a un impact majeur sur sa scurit, il l'lve au rang de base de lgitimit pour justifier les principes dcrits dans sa politique de scurit interne. C'est ainsi que les principes et les rgles qui sont suggrs dans la deuxime partie de ce guide doivent tre en accord, comme le recommande l'OCDE (principes gnraux d'intgration et de pluridisciplinarit), avec les dcisions et les actions touchant aux bases de lgitimit dcrites dans ce chapitre27.
2.6.1.
2.6.2.
La culture de l'organisme
La culture de l'organisme se dfinit par le partage d'un ensemble de valeurs, de savoir-faire, d'habitudes de vie collective et par le sentiment d'une identit commune. Elle s'exprime au niveau de chaque individu par : le respect de la mission et l'adhsion au projet de l'organisme ; par exemple, pour des entreprises utilisant des informations relevant du secret de dfense, intgration de la scurit dans le cadre quotidien du travail ; pour une organisation dont la mission est la distribution, livraison de la commande dans les dlais les plus brefs ; pour un constructeur de matriels haut de gamme, mobilisation permanente pour la qualit, le respect de la mmoire collective, la conservation du patrimoine de l'organisme, le respect du rglement, etc. Toute action visant modifier un de ces lments a un impact d'autant plus important que l'lment modifi est profondment inscrit dans la culture de l'organisme et accept par l'ensemble du personnel.
27
24
P.S.I.
2.6.4.
Les relations de l'organisme avec son environnement : les contrats passs avec des tiers
Les engagements pris avec d'autres organismes font l'objet de contrats o peuvent figurer en particulier des clauses spcifiques concernant la scurit des systmes d'information29. Elles sont d'autant plus importantes que la nature des engagements concerne une composante stratgique ou est susceptible d'influer sur la culture de l'organisme. Toutes relations nouvelles avec l'environnement de l'organisme ncessite un effort pralable de communication l'intrieur de l'organisme.
28 29
Voir galement note complmentaire n6, annexe 1 Article 1134 du code civil : "Les conventions lgalement formes tiennent lieu de loi ceux qui les ont faites".
25
P.S.I.
A titre d'exemple, dans le cas d'un contrat de gestion de l'exploitation (traduction du terme anglo-saxon "facility management"), il existe des clauses spcifiques pour le transfert du savoir-faire et, en interne, le personnel doit avoir les lments lui permettant de comprendre pourquoi et comment ce nouveau choix s'intgre dans la stratgie de l'organisme et quelles en sont les implications sur les consignes de scurit. Un autre exemple est celui des contrats de sous-traitance, pour lesquels il existe souvent des clauses spcifiques relatives la fourniture de programmes-sources et leur usage30. Dans le cadre de coopration internationale, les engagements contractuels garantissent les parties et doivent tre en accord avec la rglementation des pays concerns. Plus gnralement, dans le cadre des relations avec l'environnement, l'organisme demandeur doit faire valoir les exigences suivantes : vis--vis des fournisseurs : le devoir de conseil, de qualit et de maintenabilit, vis--vis des prestataires de services : le devoir de conseil, l'obligation de moyens et de rsultats, vis--vis de la sous-traitance : les clauses spcifiques garantissant la non concurrence, vis--vis des autres organismes : les clauses spcifiques pour la coopration et l'interoprabilit des systmes d'information. 2.6.5. Les ressources de l'organisme L'organisme est une unit conomique de production de biens ou de services, compose de ressources humaines, juridiques, techniques et financires. Les units de l'organisme ont, assez souvent, des missions et des objectifs diffrents qui peuvent apparatre comme des contraintes que la scurit doit prendre en compte, par exemple : pour les ressources humaines : ncessit de la confidentialit des critres d'embauche, pour les ressources juridiques : ncessit de la confidentialit des contrats, pour le savoir-faire et les ressources techniques : ncessit de la protection des ides nouvelles, pour les ressources financires : ncessit de la confidentialit des comptes avant leur publication.
30
En particulier, la loi 94-361 du 10 mai 1994, qui est devenue conforme au standard europen en matire de protection des logiciels, modifie les droits de l'auteur et de l'utilisateur et a pour consquence la modification de l'ensemble des contrats de concession et de licence.
26
P.S.I.
PARTIE 2
Partie 2 Les principes et les rgles pour une politique de scurit interne
GS-OO1
27
Juillet 1994
P.S.I.
PARTIE 2
La liste rcapitulative des rgles, dans l'ordre des index, est donne l'annexe 9.
GS-OO1
28
Juillet 1994
P.S.I.
La deuxime partie de ce guide, intitule "Les principes et les rgles pour une politique de scurit interne", propose au responsable de l'laboration d'une politique de scurit interne le choix parmi 21 principes, dclins en 74 rgles. Elle est articule autour de six chapitres qui rpondent aux questions suivantes : qui prend en charge la politique de scurit interne au sein de l'organisme ? le premier chapitre porte sur le principe gnral des responsabilits dfinir pour doter un organisme d'une politique de scurit interne, quels sont les biens de l'organisme qu'il convient de protger ? les deuxime et troisime chapitres traitent respectivement de l'information et des biens physiques de l'organisme, comment mettre en place la scurit ? les quatrime et cinquime chapitres portent respectivement sur l'organisation et sur le personnel mettre en place, quels sont les tats du systme d'information qui ncessitent la mise en place de mesures de scurit ? le sixime chapitre traite des principes de scurit lis au cycle de vie du systme d'information. Il peut paratre surprenant au responsable de l'laboration d'une politique de scurit qu'aucun chapitre n'ait t ddi la question suivante : contre quels risques doit-on se protger ? En fait, la rponse cette question a rang de principe dans le chapitre 6 intitul "Principe de spcifications pour le dveloppement du systme d'information scuris". En effet, et tout au moins sur le plan thorique, l'analyse des risques ncessite une tude complte du systme d'information. Or, une telle tude ne peut raisonnablement avoir lieu qu'une fois atteint un degr de connaissance suffisant des lments composant le systme comme, par exemple, le recensement et l'attribution d'une valeur aux informations et aux biens de l'organisme. De plus, tant que l'organisme ne connat pas de restructuration ou de diversification de ses activits, la prennit des principes noncs dans la politique de scurit interne s'oppose l'instabilit des vnements conjoncturels et humains qui gnre une volution permanente des risques. Aussi, rpondre prmaturment la question pose peut conduire une identification trs incomplte des risques pesant sur le systme d'information. Ainsi, le prsent guide prconise de situer les principes retenus pour une politique de scurit interne en amont de l'analyse de risques du systme d'information.
GS-OO1
29
Juillet 1994
P.S.I.
Symboles utiliss Une rgle prcde du symbole " " signifie qu'elle est une rgle de base et, qu' ce titre, les organismes qui sont candidats pour l'adoption d'un profil minimum de scurit devraient l'adopter ; c'est ainsi que la pratique peut rendre, de facto, certaines rgles obligatoires comme, par exemple, la rgle relative au plan de reprise d'activit. Une rgle prcde du symbole "v" souligne le caractre majeur pour les organismes sensibles : prcisons que le caractre obligatoire de certaines rgles, au sens de la rglementation, se situe au niveau de leur mise en uvre et non de leur dclaration dans une politique de scurit. A titre d'exemple, citons les rgles relatives l'valuation pour les administrations de l'tat. En revanche, les rgles non prcdes d'un symbole reclent un caractre spcifique qui est li l'identit de l'organisme et, en dehors de contextes trs particuliers, elles peuvent s'avrer inapplicables ; ainsi, la rgle qui prvoit la rotation des personnes aux postes sensibles ne peut pas tre toujours applique, ds lors que la ressource en personnel qualifi est insuffisante. Trigrammes de chapitre Pour faciliter le reprage d'une rgle, celle-ci est prcde d'un trigramme dsignant le chapitre et d'un numro d'identification l'intrieur du chapitre : PSI INF BPH OGS PER CVE
er pour le 1 chapitre, se rapportant au principe gnral pour une PSI, pour le 2me chapitre, se rapportant l'information, me pour le 3 chapitre, se rapportant aux biens physiques, pour le 4me chapitre, se rapportant l'organisation de la scurit, pour le 5me chapitre, se rapportant au personnel, pour le 6me chapitre, relatif au cycle de vie du systme d'information.
noncs de rgle Le formalisme utilis pour l'criture des rgles, "Une rgle prvoit...", ne signifie pas que l'nonc de la rgle est en lui-mme suffisant pour tre applicable en tant que consigne ou mesure oprationnelle : il ne fait que traduire l'expression de la volont de la hirarchie de voir inscrire dans les habitudes de travail tel ou tel aspect de la scurit et il signifie ce quoi il est ncessaire de veiller. Commentaires de rgle Les commentaires de rgle ne sont que des illustrations permettant de comprendre le sens des mots ou concepts utiliss, ainsi que les incidences, pour le systme d'information, de l'absence de la rgle propose et, dans certains cas, de suggrer quelques procdures ou consignes qu'il conviendrait d'adopter. Polices de caractres utilises Des polices de caractres diffrentes ont t utilises pour les rgles de scurit et leurs commentaires : les rgles sont crites en caractre gras et les commentaires en caractres italiques.
GS-OO1
30
Juillet 1994
P.S.I.
v PSI-001
Une rgle prvoit la responsabilit gnrale pour la scurit du systme d'information de l'organisme
La nomination d'un responsable de la scurit permet de veiller au respect d'une politique de scurit interne tous les chelons et domaines de l'organisme. Ce responsable, rattach la direction de l'organisme doit pouvoir faire prvaloir l'aspect scuritaire sur les intrts particuliers et intgrer la scurit dans tous les projets touchant les systmes d'information. La mise en place de cette fonction rvle l'importance donne par l'organisme sa politique de scurit.
v PSI-002 Une rgle prvoit les responsabilits pour l'laboration et la mise en uvre d'une politique de scurit interne
La politique de scurit interne concerne toutes les fonctions vitales d'un organisme ; en effet, celui-ci ne pourrait gnralement pas supporter une dfaillance prolonge de son systme d'information. De ce fait, la politique de scurit interne revt un intrt stratgique : une rgle peut dfinir les responsabilits pour son laboration au sein, par exemple, d'un comit de pilotage. De plus, dans la phase de mise en uvre de la politique de scurit, la rgle tablit les responsabilits des autorits qualifies dans la mise en place et le contrle des consignes de scurit pour l'installation et l'exploitation des moyens composant le systme d'information. Elle met tout particulirement en vidence, la ncessit d'une intgration de la scurit ds la conception et le dveloppement de nouveaux projets intressant le systme d'information.
GS-OO1
31
Juillet 1994
P.S.I.
GS-OO1
32
Juillet 1994
P.S.I.
L'information, sous rserve qu'elle soit pertinente - donc utile -, est devenue au mme titre que tout autre matire premire une ncessit vitale pour l'accomplissement des activits d'un organisme. Aussi, parmi toutes les dfinitions du concept d'information, nous suggrons de prsenter celle, plus dlimite mais plus en rapport avec le titre de ce chapitre, "d'information utile" : "L'information utile est celle dont ont besoin les diffrents niveaux de dcision de l'entreprise ou de la collectivit concerns pour laborer et mettre en uvre de faon cohrente la stratgie et les tactiques ncessaires l'atteinte des objectifs dfinis (innovation technologique, produits, parts de marchs, performances, etc.). Les actions qui en dcoulent s'ordonnent au sein de l'entreprise en un cycle ininterrompu, gnrateur d'une vision partage des objectifs atteindre"31 .
Cette rgle vise sensibiliser le personnel sur le devoir de protection juridique des informations qu'il utilise ou qui lui sont confies afin de diminuer le risque de dtournement ou d'appropriation par des tierces personnes. Les directives d'application se rfrent, en partie, au principe de responsabilit du personnel et, plus particulirement, la rgle relative la notion de responsable-dtenteur (PER-007).
31
D'aprs l'article de J. PICHOT-DUCLOS paru dans la revue Dfense nationale, intitul "L'intelligence conomique, arme de l'aprs-guerre froide", dcembre 1993, pages 83 104
GS-OO1
33
Juillet 1994
P.S.I.
v INF-002
Cette rgle permet de s'assurer du bon respect de la loi et de la rglementation existante. Les informations dtenues provisoirement par l'organisme et qui comportent, du fait de leur propritaire, une classification ou une mention particulire de protection doivent tre protges rigoureusement selon les mmes mesures qui sont appliques par l'organisme d'origine. Ces mesures peuvent dcouler d'instructions interministrielles comme, par exemple, celle traitant du respect de la classification des informations lies au secret de dfense (IGI n900), de la protection des informations concernant le patrimoine national (II n486) ou de l'tablissement d'un march de dfense (II n2000) ; dans le cadre d'un contrat particulier liant plusieurs organismes, les mesures de protection relvent de l'application du Code civil.
les informations sensibles, qu'elles relvent ou non du secret de dfense, les informations vitales pour l'exercice de la mission ou du mtier de l'organisme,
GS-OO1
34
Juillet 1994
P.S.I.
GS-OO1
35
Juillet 1994
P.S.I.
De plus, certains experts largissent cette typologie aux notions : d'informations stratgiques qui sont des informations non ncessairement sensibles ou vitales mais dont l'acquisition est ncessaire pour atteindre les objectifs correspondant aux orientations stratgiques de l'organisme, d'informations coteuses qui sont des informations dont la collecte, le traitement, le stockage ou la transmission ncessitent un dlai important ou un cot d'acquisition lev. Cette deuxime typologie offre l'avantage d'largir la notion d'information ne relevant pas du secret de dfense celles qui puisent leur lgitimit sur la prservation des intrts particuliers de l'organisme. Elle ne minimise pas pour autant l'importance qui doit tre accorde l'identification et la protection de l'information relevant du secret de dfense selon la rglementation en vigueur. Remarque : Dans le secteur non gouvernemental, il est galement courant d'utiliser cette typologie pour dfinir une chelle de valeurs des informations permettant ainsi d'apprcier le risque qui peut leur tre attach, ( savoir, niveau stratgique, critique, sensible et de faible risque) v INF-003 Une rgle prvoit l'adoption d'une classification des informations sensibles
Les informations sensibles sont celles dont la divulgation ou l'altration peuvent porter atteinte aux intrts de l'tat, tout comme ceux de l'organisme pour lequel un prjudice financier, par exemple, peut le conduire la faillite. Il faut par consquent, assurer principalement leur confidentialit et, assez souvent, rpondre un besoin important d'intgrit. Les informations classes dans cette catgorie sont :
d'une part, les informations relevant du secret de dfense au sens de l'article 5 de l'IGI n900 ; l'organisme est alors tenu de respecter les rgles de classification spcifies dans la rglementation, d'autre part, les informations sensibles non classifies de dfense au sens de l'article 4 de la recommandation n901, c'est--dire, celles lies la mission ou au mtier de l'organisme (par exemple, au savoir-faire technologique), celles relatives aux propositions commerciales ou bien encore aux renseignements sur l'tat de la scurit (par exemple, les rsultats d'audits internes).
La classification retenue vise faciliter le contrle et, par consquent, amliorer la protection des informations sensibles. Pour celles qui ne ressortissent pas de l'IGI 900, la classification choisie doit tre approuve par l'organisme.
GS-OO1
36
Juillet 1994
P.S.I.
v INF-004
Les informations vitales sont celles dont l'existence est ncessaire au bon fonctionnement de l'organisme. Il faut principalement assurer leur disponibilit et, assez souvent, rpondre un besoin important d'intgrit. Les informations que l'on peut identifier comme vitales sont:
d'une part, les informations traitantes relevant du secret de dfense au sens de l'article 6 de l'IGI n900, d'autre part, les informations traitantes ne relevant pas du secret de dfense au sens de l'article 5 de la Recommandation n901 mais ncessaires pour le fonctionnement du systme, ainsi que des informations traites (sortant du champ de l'article 5) comme, par exemple, les nomenclatures d'articles pour une unit de production.
La classification retenue vise faciliter le contrle et, par consquent, amliorer la protection des informations vitales. Pour celles qui ne ressortissent pas de l'IGI 900, la classification choisie doit tre approuve par l'organisme. En particulier, il peut tre prvu la spcification d'un seuil minimum de disponibilit des informations vitales (traites ou traitantes) en dessous duquel le systme d'information est dclar inoprant.
INF-005 Une rgle prvoit l'adoption informations nominatives. d'une classification des
Cette rgle est une application de la loi "Informatique et Liberts" dont l'article 4 dfinit la notion d'information nominative : "les informations nominatives sont celles qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectu par une personne physique ou par une personne morale". La classification retenue vise faciliter le contrle et, par consquent, amliorer la protection des informations nominatives conformment la loi ; elle peut s'appuyer sur des critres propres l'organisme comme, par exemple, un domaine particulier (mdical, recrutement, etc.), le type de sondage ou d'enqute, le lieu de traitement ou de stockage.
GS-OO1
37
Juillet 1994
P.S.I.
v INF-006
d'une
classification
des
Les informations stratgiques sont des informations non ncessairement sensibles ou vitales mais dont la connaissance est ncessaire pour atteindre les objectifs correspondant aux orientations stratgiques de l'organisme. Elles peuvent tre protges par des textes lgislatifs cits en annexe 7.1., mais peuvent aussi faire l'objet de contrats, de conventions ou de protocoles d'accord protgs par le Code civil. La classification retenue vise faciliter le contrle et, par consquent, amliorer la protection des informations stratgiques ; elle peut s'appuyer sur des critres propres l'organisme comme, par exemple, un secteur particulier (tudes, innovations, marchs, etc.), le niveau de valeur accord et la dure de validit.
INF-007 Une rgle prvoit l'adoption informations coteuses d'une classification des
Les informations coteuses sont des informations qui font partie du patrimoine de l'organisme et dont la collecte, le traitement, le stockage ou la transmission ncessitent un dlai important ou un cot d'acquisition lev. Les dispositions lgislatives numres dans la rgle prcdente peuvent tre appliques cette catgorie. La classification retenue vise faciliter le contrle et, par consquent, amliorer la protection des informations coteuses ; elle peut s'appuyer sur des critres propres l'organisme comme, par exemple, un secteur particulier (tudes, innovations, etc.), la provenance et le niveau de cot.
GS-OO1
38
Juillet 1994
P.S.I.
INF-008
Une rgle prvoit les critres d'apprciation de la nature et de la valeur des informations recueillies
En dehors des informations relevant du secret de dfense et des informations nominatives pour lesquelles les textes lgislatifs en vigueur doivent tre appliqus, il est utile de disposer de critres propres l'organisme, et lis ses orientations stratgiques, pour apprcier la nature et la valeur des informations recueillies. Ces critres portent principalement sur le contrle de l'origine des informations, sur l'apprciation de leur intrt et de leur validit par rapport leur cycle de vie dans le processus oprationnel de production :
le contrle de l'origine des informations (provenance trangre, domaine public, client, fournisseur, etc.) revt un caractre majeur pour la scurit ; des critres plus spcifiques peuvent alors tre prvus en fonction de la provenance pour juger d'une ventuelle compromission avant leur collecte, de leur exactitude, de leur validit et de leur correcte prsentation pour le systme, l'apprciation de l'intrt et de la validit de l'information recueillie se fait par application de critres clairement dfinis par la direction de l'organisme et qui peuvent porter sur un domaine particulier (R&D, cercles de qualit, veille technologique, etc.).
A ces contrles, il est souvent associ celui de l'intgrit des supports de l'information, lorsque celle-ci est dj codifie sous forme de donnes exploitables par le systme d'information.
v INF-009 Une rgle prvoit les critres de diffusion interne des informations
Afin d'viter les indiscrtions et les fuites, les informations et gnralement les supports associs, ne doivent pouvoir tre utiliss que dans un environnement rpondant aux exigences de scurit dfinies par l'organisme. Le contrle de la diffusion interne a pour but de s'assurer que les informations sont rendues disponibles exclusivement aux personnes ayant le besoin de les connatre dans le cadre de leur travail. Un contrle permet galement de vrifier que la recopie d'informations est conforme aux prrogatives prvues par la loi (droit d'auteur, copyright) et la rglementation (secret de dfense).
GS-OO1
39
Juillet 1994
P.S.I.
v INF-010
La mise disposition non contrle d'informations ncessitant une protection peut porter prjudice l'organisme (par exemple, perte de crdibilit ou d'image de marque, rcupration de savoir-faire, etc.). La mise en place de critres permet de s'assurer que les informations transmises l'extrieur d'un organisme, si elles sont de nature confidentielle, impose un contrle pralable d'habilitation du rcepteur ou une clause contractuelle liant les organismes concerns ; dans le cas d'informations nominatives, la communication doit tre en accord avec la loi. Par ailleurs, dans le cadre de cette rgle, il peut tre envisag que la diffusion externe des informations soit effectue par du personnel habilit et selon une procdure d'autorisation pralable.
v INF-011 Une rgle prvoit les normes de conservation et de destruction des informations ncessitant une protection
Les catgories d'informations prcdemment dcrites ncessitent des conditions de stockage et de destruction adaptes. En ce qui concerne les informations relevant du secret de dfense, la rglementation prcise les mesures prendre suivant leur niveau de classification. Pour les autres catgories, les mesures sont adaptes l'environnement propre l'organisme et doivent demeurer cohrentes entre elles. En particulier, le contrle pralable des bonnes conditions de stockage revt un aspect fondamental ds lors que l'information est confie contractuellement un organisme. La destruction d'urgence peut, pour certains organismes, revtir un aspect majeur en situations exceptionnelles (meutes, guerre civiles, etc.) mais, plus couramment, des normes prcises peuvent tre adoptes pour l'limination de l'information prime qui conserve un caractre rsiduel de confidentialit.
GS-OO1
40
Juillet 1994
P.S.I.
GS-OO1
41
Juillet 1994
P.S.I.
Les principes de scurit prsents dans ce chapitre s'appliquent aux biens physiques constitus par : l'infrastructure au sein de laquelle fonctionne le systme d'information savoir, les sites d'installation, les btiments et les locaux abritant le systme d'information, les matriels composant le systme d'information savoir, les diverses units utilises pour la collecte, le traitement, la transmission, l'enregistrement et la conservation des informations, les quipements de soutien assurant les services ncessaires au fonctionnement des matriels composant le systme d'information comme, par exemple, la fourniture d'nergie et de climatisation ; on range galement dans cette catgorie la documentation, les matriels consommables lorsqu'ils reprsentent des ressources sensibles pour la mission ou le mtier de l'organisme comme, par exemple, un stock de cartes puce prpersonnalises destin une application sensible, les moyens de protection, au sens du chapitre 2 de l'IGI 900, comprenant les quipements et mcanismes (matriels et logiciels) qui sont incorpors dans le systme d'information pour assurer la disponibilit, l'intgrit et la confidentialit des informations. Ce chapitre dcrit les principes appliqus aux biens physiques du systme d'information, savoir : le principe de protection, qui a pour objet la rduction des risques identifis ou redouts, le principe de gestion, qui a pour objet la prise en compte et le suivi des biens physiques. Les principes et les rgles concernant la dtention des biens physiques sont traits au chapitre 5, relatif au personnel ; ceux concernant l'utilisation sont traits au chapitre 6, relatif au cycle de vie du systme d'information.
GS-001
41
Juillet 1994
P.S.I.
du
principe
gnral
de
"Les mesures, pratiques et procdures de scurit des systmes d'information doivent prendre en compte toutes les considrations pertinentes qu'elles soient d'ordre technique ou administratif et concernant l'organisation, l'exploitation, le commerce, l'ducation ou le droit". La mise en place de moyens et procdures de scurit physique qui ne prend pas en compte les contraintes de l'organisme peut constituer
42
GS-001
Juillet 1994
P.S.I.
une entrave au bon fonctionnement des tches oprationnelles et engendrer un rejet de la part du personnel vis--vis de la scurit.
v BPH-002 Une rgle prvoit la gradation des mesures de protection physique
Cette rgle est une application du principe gnral de proportionnalit de l'OCDE, savoir : "Les niveaux, cots, mesures, pratiques et procdures de scurit doivent tre appropris et proportionns la valeur et au degr de dpendance envers les systmes d'information, ainsi qu' la gravit, la probabilit et l'ampleur des ventuels prjudices". Les mesures de protection des biens physiques ont pour objectif de rduire l'ampleur des atteintes, principalement dans le domaine de la disponibilit et de l'intgrit. L'absence de solutions universelles capables de rpondre toutes les formes de menaces oblige l'organisme mettre en uvre un ensemble de mesures susceptibles de contrecarrer le cheminement d'une attaque et de rparer les dommages causs : ce sont les mesures de prvention, de dtection, de raction et de recouvrement. Les mesures de prvention visent diminuer la probabilit d'apparition d'un sinistre. Elles consistent, par exemple, porter attention la localisation de certains locaux (comme les bandothques, les salles d'archives, les canalisations, les salles de rangement de produits dangereux) face aux risques d'incendie ou d'inondation ou surveiller la conformit de l'utilisation des matriels. Les mesures de dtection visent donner l'alerte lors d'une tentative d'intrusion ou du dclenchement d'un sinistre dans le primtre du systme d'information. Elles doivent galement permettre de localiser cette alerte. Ces mesures se traduisent par la mise en place aux endroits critiques de moyens de dtection et d'alerte comme, par exemple, des capteurs de chaleur ou des camras de surveillance. Les mesures de raction visent lutter contre un sinistre dclar en vue de rduire son impact. Ces mesures se traduisent par le dclenchement de moyens d'interventions prvus par l'organisme comme, par exemple, un service de lutte contre l'incendie. Les mesures de recouvrement visent limiter les consquences d'un sinistre et faciliter le retour au fonctionnement normal du systme d'information. Elles peuvent se traduire par l'activation de moyens de secours ou par la dsactivation de fonctions de scurit comme, par exemple, la suppression temporaire du contrle d'accs
GS-001
43
Juillet 1994
P.S.I.
physique dans le cadre d'un fonctionnement de la scurit en mode dgrad. Pour l'ensemble des sinistres redouts par l'organisme, les mesures choisies devraient tre graduelles, afin d'offrir un niveau de rsistance suffisant pour contrecarrer ou attnuer l'attaque.
v BPH-003 Une rgle prvoit l'adquation des mesures de protection aux catgories de biens physiques
Cette rgle peut tre rattache au principe gnral d'intgration de l'OCDE, savoir : "Les mesures, pratiques et procdures de scurit des systmes d'information doivent tre coordonnes et harmonises entre elles et les autres mesures, pratiques et procdures de l'organisme afin de raliser un dispositif de scurit cohrent". Cette rgle indique que les mesures dont il est fait mention la rgle prcdente peuvent tre dclines selon les trois catgories de biens physiques savoir, l'infrastructure, les matriels et les quipements de soutien.
v BPH-004 Une rgle prvoit le contrle permanent de l'intgrit des moyens de protection
Le contrle de l'intgrit des moyens de protection est un aspect fondamental de la scurit. Cette rgle concerne les dispositifs de scurit auxquels il est fait confiance pour assurer la protection des informations traites : il s'agit des quipements, des mcanismes (matriels et logiciels) et de la documentation qui leur est associe, nomms dans l'article 10 de l'IGI 900, "Articles Contrls de Scurit des Systmes d'Information" (ACSSI). Le maintien de cette confiance justifie un contrle de l'intgrit de ces moyens qui ont un cycle de vie : ils sont conus, raliss, utiliss, rpars puis rforms ou dtruits. Leur intgrit, condition fondamentale de l'efficacit de la scurit, est garantie par la mise en uvre de mesures de gestion spcifiques.
GS-001
44
Juillet 1994
P.S.I.
Les sites, les btiments et les locaux contenant des biens matriels ou immatriels (les informations et leurs supports associs, les matriels constitutifs du systme d'information) ou abritant des activits critiques au regard de la scurit, doivent tre contrls tout particulirement au niveau de leurs accs. Une zone de scurit est une zone dans laquelle des dispositions permanentes sont prises pour contrler les mouvements du personnel et des matriels, ainsi que pour dtecter et empcher toute coute. Un dcoupage de l'infrastructure en zones de scurit facilite la mise en place de dispositifs adapts, tout particulirement pour le contrle de la circulation du personnel par attribution de droits d'accs spcifiques aux zones. Ces droits peuvent tre lis aux postes de travail et aux niveaux de responsabilit.
BPH-006 Une rgle prvoit la continuit dans la gestion des biens physiques
La gestion des biens physiques est assure tout au long de leur cycle de vie : phases d'affectation, d'installation, de fonctionnement, d'entretien, de mise au rebut et de destruction. Ces biens peuvent galement tre amens changer de propritaire ou de responsable, d'environnement ou d'usage (prt de matriels pour une exposition, raffectation d'un matriel dans le cadre d'un projet nouveau). La rgle prvoit que les mesures choisies offrent une protection continue quelles que soient les volutions ou les changements d'utilisation des biens physiques.
GS-001
45
Juillet 1994
P.S.I.
Cette continuit de gestion repose sur l'adoption d'une classification (incluant, le cas chant, la classification de dfense au sens de l'IGI 900), sur le suivi des biens physiques depuis leur mise en service, leur volution jusqu' leur remplacement. Les principales mesures qui dcoulent de cette rgle intressent le recensement, le marquage des biens et les mesures spcifiques de protection physique correspondant leur tat (prt, maintenance, etc.) ou leur classification :
le recensement des biens physiques permet d'identifier ceux ncessitant une protection, l'opration de marquage est la matrialisation concrte de la reconnaissance qu'un lment appartient une classe donne, les mesures spcifiques de protection physique dsignent les actions entreprendre suivant la classification choisie. Par exemple, un calculateur marqu "Confidentiel XX" devra se situer dans un environnement physique adapt ce niveau de protection, comme celui d'une "zone rserve". v BPH-007 Une rgle prvoit la gestion spcifique des biens physiques ncessitant une protection
La gestion des biens physiques ncessitant une protection comprend l'adoption d'une classification ou d'une typologie, les mesures de gestion de ces biens et les mesures de protection tout au long de leur vie. L'article 10 de l'IGI n900 dfinit ainsi les biens physiques faisant l'objet d'une classification de dfense : "Tout document, logiciel ou matriel qui, par son intgrit ou sa confidentialit contribue la scurit d'un systme d'information, reoit la mention ACSSI qui rappelle que sa gestion et sa protection doivent tre assures conformment aux prescriptions de l'instruction ministrielle relative aux Articles Contrls de la Scurit des Systmes d'Information". Pour les biens physiques non classifis de dfense, l'adoption d'une typologie permet de les regrouper suivant leur nature et leur affectation. Des classes de protection sont tablies en fonction du niveau d'exigence de scurit, c'est--dire des critres de confidentialit, d'intgrit et de disponibilit attachs ces biens pour en garantir une surveillance continue. La typologie adopte est spcifique la mission ou au mtier, la culture et aux contraintes propres l'organisme.
GS-001
46
Juillet 1994
P.S.I.
L'adhsion de la hirarchie une politique de scurit interne ne peut suffire garantir la protection d'un systme d'information en l'absence d'une organisation ddie la scurit. En effet, les responsables de tout niveau doivent pouvoir faire appel des spcialistes capables de prendre en charge l'laboration de la rglementation, la formation du personnel, la coordination et le contrle des actions de scurit. Les principes prconiss dans ce chapitre pour atteindre ces objectifs, reposent sur la mise en place d'une structure de scurit et sur la continuit de l'action de contrle.
Il appartient au niveau dcisionnel de prendre toute disposition pour concevoir et mettre en place une scurit adapte aux besoins de l'organisme et de s'assurer du respect de la politique de scurit interne. Pour un organisme ministriel, ce niveau est celui du haut fonctionnaire de dfense (HFD) qui reoit dlgation du ministre ; il est responsable de l'application des dispositions relatives la scurit de dfense, la protection du secret et la scurit des systmes d'information.
GS-001
47
Juillet 1994
P.S.I.
Il peut tre aid dans sa mission par un fonctionnaire de scurit des systmes d'information (FSSI) dont les principales missions sont (IGI 900, article 19) :
de prciser les modalits d'application des instructions interministrielles, d'laborer et de contrler l'application des instructions particulires son ministre, d'organiser la sensibilisation des autorits, d'assurer la liaison avec les commissions interministrielles et ministrielles spcialises.
Pour un organisme public ou priv, ce niveau est celui d'un haut responsable de la scurit qui reoit dlgation du comit de direction ; il est aid dans sa mission par un comit de scurit. Le comit de direction fixe, sur proposition du haut responsable de la scurit, les grandes orientations en matire de scurit du systme d'information, en accord avec les objectifs de l'organisme et les diffrentes politiques mises en uvre (politique de gestion du personnel, budgtaire, de production, etc.). Ce comit peut tre, par ailleurs, l'instance de validation de la politique de scurit interne. Le haut responsable de la scurit veille l'application de la politique de scurit. Il participe aux dlibrations du comit de direction dont il est le conseiller pour toutes les questions relatives la scurit telles que la dfinition des objectifs, l'allocation des ressources et du personnel. Le comit de scurit, prsid par le haut responsable de la scurit, runit les responsables de la scurit des diffrentes fonctions de l'organisme. Il veille la coordination de la mise en uvre de la politique de scurit interne : il vrifie tout particulirement la cohrence des rgles de scurit et arbitre les conflits ventuels avec les autres rgles et pratiques en usage dans l'organisme. Une quipe de scurit du systme d'information, la disposition du haut fonctionnaire de dfense (ou du haut responsable de la scurit), peut tre constitue si les besoins de l'organisme l'exigent. Elle rassemble des spcialistes en informatique et en rseaux de tlcommunication, forms la scurit et dont les principales missions sont :
la prparation et la coordination des activits de scurit, l'valuation priodique des vulnrabilits, la recherche des solutions techniques et l'laboration des procdures,
GS-001
48
Juillet 1994
P.S.I.
la mise en place de programmes de sensibilisation et de formation, les expertises de scurit sur demande du comit de direction. v OGS-002 Une rgle prvoit les responsabilits du niveau de pilotage
Ce niveau est celui des autorits qualifies qui sont responsables de la scurit du systme d'information dont ils ont la charge (IGI 900, article 20 et Recommandation 901, article 19). Leur mission est d'adapter la politique de scurit interne leur niveau (direction, service, tablissement, etc.) et, plus prcisment :
de s'assurer du respect des dispositions contractuelles et rglementaires, d'laborer les consignes et les directives internes, de s'assurer que les contrles internes de scurit sont correctement effectus, d'organiser la sensibilisation du personnel.
A tous les niveaux, les autorits hirarchiques sont personnellement responsables de l'application des mesures, dfinies par les autorits qualifies, destines assurer la scurit des systmes d'information (IGI 900, article 20 et Recommandation 901, article 19). Pour permettre chaque site, service ou unit la mise en uvre des consignes et des procdures, les autorits hirarchiques se font assister par un ou plusieurs agents de la scurit chargs principalement :
de la gestion et du suivi des articles contrls de scurit des systmes d'information se trouvant sur le ou les sites o s'exercent leurs responsabilits, du contrle des personnes, des informations et de la scurit des systmes et des rseaux.
GS-001
49
Juillet 1994
P.S.I.
Ils peuvent galement avoir en charge les ressources communes plusieurs units oprationnelles. Leur rle est alors la mise en uvre des mesures de protection compatibles avec les objectifs des units et la rsolution locale des problmes de scurit. En l'absence de telles mesures, il pourrait s'ensuivre un arbitrage difficile entre une tche fonctionnelle et une action de scurit.
Le responsable de la scurit contrle la cohrence et la validit des programmes d'quipement de son organisme par rapport aux grandes orientations de la scurit. Par ailleurs, et dans la cadre d'enqutes dclenches sa demande, des contrles sont mis en uvre par l'quipe de scurit : ces contrles sont caractriss par leur porte et leur ampleur :
leur porte fait rfrence la dfinition du niveau de dtail (c'est la composante verticale), leur ampleur fait rfrence aux divers lments pris en compte dans le contrle (c'est la composante horizontale).
Il est essentiel, pour le climat de confiance du personnel et le bon droulement de la mission de l'organisme, d'adopter une gradation dans les contrles de scurit, fonction de circonstances clairement nonces par le niveau dcisionnel ; en dehors d'un contexte judiciaire ou disciplinaire, ces contrles devraient tre accompagns d'une action de communication et de prparation du personnel.
GS-001
50
Juillet 1994
P.S.I.
OGS-005 Une rgle prvoit les modalits des contrles par le niveau de pilotage
L'valuation priodique des vulnrabilits est ncessaire pour apprcier le niveau de scurit du systme d'information. Les autorits qualifies, aides par l'quipe de scurit de l'organisme, fixent les modalits techniques, les mthodes et les outils ncessaires la scurit ; elles en contrlent le bon usage et l'efficacit selon des critres noncs par le niveau dcisionnel. Ces contrles qui s'inscrivent dans le cadre d'inspections ou d'audits de scurit planifis, couvrent les diffrents domaines de la scurit des systmes d'information (scurit des informations, scurit physique, organisation de la scurit, scurit du personnel, scurit du fonctionnement du systme d'information). Pour les contrles ncessitant le recours au personnel oprationnel et aux ressources techniques, une planification par le niveau du pilotage s'impose pour qu'ils ne constituent pas une gne au bon droulement de la mission de l'organisme.
v OGS-006 Une rgle prvoit la continuit du contrle de scurit par le niveau oprationnel
Les agents de scurit effectuent les contrles qui leur sont impartis par application de seuils de tolrance fixs par l'autorit qualifie. L'observation d'carts rpts, lis par exemple aux contraintes de l'exploitation, ou bien le changement d'tat du systme d'information peuvent conduire le niveau de pilotage une modification de ces seuils. Leurs actions de contrle sont troitement lies l'excution des tches oprationnelles et elles intressent (IGI 900, art.20):
la protection des personnes comme, par exemple, la tenue jour de la liste du personnel employ titre permanent et, le cas chant, affect au traitement des informations, la protection des informations comme, par exemple, le contrle de la destruction des informations classifies qui doivent tre expurges du systme, la protection des systmes et rseaux comme, par exemple, le contrle de la diffusion aux utilisateurs des lments d'authentification pour les applications classifies.
Ces contrles sont complmentaires de ceux confis aux ingnieurs systme, qui exploitent les journaux d'audits.
GS-001
51
Juillet 1994
P.S.I.
GS-001
52
Juillet 1994
P.S.I.
Le comportement et les agissements du personnel dans le cadre de ses activits peuvent avoir une forte incidence sur la prservation des intrts de l'organisme et, tout particulirement, sur la scurit des systmes d'information. Les principes prsents dans ce chapitre sont : le principe de slection du personnel, qui a pour but la protection de l'organisme contre la malveillance interne, le principe de contrle de l'affectation du personnel un poste de travail sensible, qui prend en compte les rsultats d'enqutes individuelles et les statuts particuliers du personnel (stagiaire, vacataire, etc.), le principe de sensibilisation, qui permet une plus grande comprhension et l'adhsion du personnel aux divers aspects de la scurit des systmes d'information, le principe de responsabilit du personnel, qui vise l'intgration des procdures et des contrles de scurit dans les activits oprationnelles.
31
Mis en place depuis 1983 par l'APSAD, puis le CLUSIF et dont les statistiques tablies, qui ne concernent pas le secteur gouvernemental, sont corrobores par le Comit europen des assurances.
GS-100
53
Juillet 1994
P.S.I.
v PER-001 Une rgle prvoit l'adoption de critres de slection pour le personnel travaillant sur les systmes d'information sensibles
Cette rgle concerne toutes les catgories de personnel qui sont amenes travailler sur les systmes d'information sensibles. Elle prcise, pour les emplois touchant au fonctionnement et l'utilisation du systme, le mode de slection appliquer par l'organisme pour le recrutement du personnel et, tout particulirement, les critres de scurit requis pour chaque poste de travail32. Par exemple, l'exigence de rfrences des postes sensibles peut tre prise en compte lors de procdures d'embauche. Cette rgle implique la possibilit de vrification des rfrences de travail d'un candidat un emploi ainsi que celles des personnes affectes temporairement une activit ncessitant l'utilisation du systme d'information.
v PER-002 Une rgle prvoit l'adoption d'une procdure d'habilitation pour les postes de travail sensibles
La sensibilit d'un poste de travail fait rfrence au besoin de confidentialit et d'intgrit attach aux informations, aux logiciels et aux matriels qu'il rassemble ; elle se dfinit selon les critres noncs aux chapitres 1 et 2, mais peut aussi tre li la localisation : un poste de responsable des relations humaines dans une rgion fort risque social peut tre considr comme un poste sensible. Pour un poste comportant des manipulations d'informations relevant du secret de dfense, les habilitations du personnel sont dfinies par l'article 3 de l'IGI 1300 : "La procdure d'habilitation consiste vrifier qu'une personne peut, sans risque pour la dfense nationale, la sret de l'tat ou sa propre scurit, connatre des informations classifies d'un niveau dtermin dans l'exercice de ses missions. Au terme de la procdure d'habilitation, l'autorit comptente dcide d'admettre ou non la personne concerne prendre connaissance d'informations classifies au niveau exig". Pour les postes de travail sensibles n'utilisant pas des informations relevant du secret de dfense, une procdure d'habilitation peut tre utilise sur le modle de celle qui doit tre applique dans le cadre des marchs de dfense.
32
Un poste de travail est un ensemble dfini de tches, de devoirs et de responsabilits qui constituent le travail habituel d'une personne.
GS-100
54
Juillet 1994
P.S.I.
Le cloisonnement des postes de travail sensibles vise lutter contre la fuite des informations reprsentant un enjeu pour les intrts de l'tat ou de l'organisme. Pour la prservation des intrts de l'tat et, tout particulirement dans le cadre de la protection du secret de dfense, les dcisions d'admission ou d'agrment aux informations classifies d'un niveau donn, telles que dfinies dans les articles 10 12 de l'IGI n1300, n'autorisent pas pour autant le bnficiaire accder toutes les informations relevant de ce niveau ; le besoin de connatre ces informations reste fonction de l'activit de la personne ou des dossiers particuliers qui lui sont confis. D'une manire identique, pour la prservation des intrts propres un organisme dont les informations ne relvent pas du secret de dfense, la connaissance des besoins en informations pour l'accomplissement de la mission ou du mtier permet la mise en place d'un cloisonnement efficace des postes de travail.
PER-004 Une rgle prvoit la rotation du personnel affect aux postes de travail sensibles
La rotation du personnel peut, dans certains cas, viter les risques de collusion et de diminution de la vigilance :
face au risque de collusion, elle permet de limiter les pressions de toute origine sur le personnel pouvant entraner la divulgation des informations classifies, face au risque de diminution de la vigilance, elle permet de limiter les erreurs, d'viter la perte du rflexe du contrle de la confidentialit et de l'intgrit des informations et des ressources du systme alloues.
GS-100
55
Juillet 1994
P.S.I.
La sensibilisation vise faire prendre conscience chaque utilisateur qu'il dtient une part importante de responsabilit dans la lutte contre la malveillance. La dfinition des objectifs de cette sensibilisation est troitement lie la mission ou au mtier de l'organisme, la sensibilit du patrimoine d'informations et de biens physiques ainsi qu'aux menaces connues. Ils peuvent tre, par exemple, la recherche de l'adhsion du personnel vis--vis de la protection du patrimoine de l'organisme, ou bien encore l'mergence et l'efficacit d'un rseau d'alerte impliquant tous les utilisateurs du systme d'information. Une action de sensibilisation qui ne rpond pas des objectifs clairement exprims n'apporte qu'une illusion de confiance en la capacit du personnel ragir efficacement lors d'une atteinte au systme d'information.
PER-006 Une rgle prvoit l'adaptation de la sensibilisation aux diffrentes classes d'utilisateurs
En matire de scurit, les niveaux de proccupations diffrent considrablement suivant qu'il s'agit du personnel de direction ou d'excution. La sensibilisation est, en consquence, adapte aux niveaux de responsabilit dtenus et aux spcificits des postes de travail. Le personnel concern appartient trois grandes catgories :
celle lie aux activits de direction, d'encadrement, de gestion, de relations extrieures, etc.,
GS-100
56
Juillet 1994
P.S.I.
celle lie aux emplois du systme d'information (ingnieurs et techniciens, utilisateurs de la bureautique, etc.), celle lie la scurit des systmes d'information (ingnieurs et techniciens de l'quipe de scurit, agents de la scurit, etc.) qui ncessitent une formation spcialise.
Une sensibilisation qui ne tient pas compte des particularits oprationnelles de chaque classe d'utilisateurs et des exigences plus ou moins fortes lies aux responsabilits ou aux postes de travail n'atteint pas les objectifs assigns et laisse voir la scurit comme une contrainte supplmentaire sans valeur ajoute par rapport l'aspect productivit du poste de travail.
La notion de responsable-dtenteur concerne le responsable hirarchique d'une unit organique (tablissement, service, centre de responsabilits ou de profit) ou l'autorit qualifie telle qu'elle est dfinie la rgle OGS-002 du chapitre 4 du prsent guide, et qui dispose de ses propres ressources humaines et matrielles pour mener bien sa mission. Le terme de dtention s'applique au patrimoine d'informations, aux logiciels et aux matriels constitutifs du systme d'information et implique l'obligation de respecter les lois, rglements et rgles en vigueur dans l'organisme. Le responsable-dtenteur dtermine les niveaux de risques acceptables et les conditions d'accs aux fichiers, de mises jour des informations (en accord avec les rgles de classification en vigueur
GS-100
57
Juillet 1994
P.S.I.
GS-100
58
Juillet 1994
P.S.I.
Le responsable-dpositaire reoit dlgation du responsabledtenteur pour l'application des lois, rglements et des rgles de protection concernant les informations, logiciels et matriels durant les phases de collecte, de traitement, de diffusion et de stockage. Le responsable-dpositaire peut tre, par exemple, un informaticien de l'quipe d'exploitation, un documentaliste, un secrtaire, etc. Il est le gardien d'une partie du patrimoine de l'organisme et il est alors tenu, tout particulirement, de se porter garant de l'application de la loi concernant la protection juridique des logiciels qui lui sont confis (copies illicites).
v PER-009 Une rgle prvoit l'application de la notion de reconnaissance de responsabilit
Pour les postes de travail comprenant des informations relevant du secret de dfense, l'attestation de reconnaissance de responsabilit est l'engagement que prend une personne de respecter les lois, rglements et rgles de scurit du systme d'information. Elle fait l'objet d'une dclaration crite et signe conforme l'IGI 1300. En particulier, l'article 16 stipule : "...cette attestation signifie que le titulaire de l'admission reconnat avoir pris connaissance des obligations particulires et des sanctions imposes par le Code pnal tout gardien ou dtenteur d'informations intressant la dfense nationale et la sret de l'tat... il appartient au directeur de l'organisme ou l'autorit hirarchique comptente d'appeler l'attention de l'intress sur le sens de la porte de cette attestation". Pour les postes ne relevant pas de cette catgorie, des clauses spcifiques de confidentialit, de fin de contrat de travail ou de nonconcurrence peuvent tre insres, si besoin est, dans le contrat de travail33. Au caractre essentiellement dissuasif de cette mesure, il peut tre adjoint l'application de sanctions. Les incidences sur le plan disciplinaire du non respect des rgles internes de scurit doivent dans ce cas tre expliques ds la prise de fonction du personnel nouvellement affect.
33
titre d'exemple les dcrets 93-1229 et 1230 du 10 novembre 1993 relatifs au serment professionnel prt respectivement par les personnels de la Poste et de France Tlcom.
GS-100
59
Juillet 1994
P.S.I.
v PER-010 Une rgle prvoit l'application des modalits d'accueil et de circulation des visiteurs
Les modalits d'accueil et de circulation des visiteurs sont gnralement fixes par le service de scurit gnrale. Mais, loin d'interfrer avec celui-ci, il est un devoir pour chaque utilisateur du systme d'information de prendre sa charge l'application de cette rgle dans sa propre zone de travail ou proximit de son poste de travail. Le responsable-dpositaire est, en effet, le mieux plac pour vrifier la non atteinte au patrimoine informationnel qui lui est confi. Cette rgle est rapprocher de celle prconisant le dcoupage de l'infrastructure en zones de scurit laquelle apporte une grande facilit pour le contrle des visiteurs (BPH-005).
GS-100
60
Juillet 1994
P.S.I.
GS-100
61
Juillet 1994
P.S.I.
Les principes de scurit noncs dans ce chapitre s'attachent dfinir les rgles essentielles lies au cycle de vie du systme d'information dont les principales phases sont : la spcification, la conception et le dveloppement, la validation et la mise en service, le fonctionnement et ses diffrents tats (rgime normal, reconfiguration, mode de secours, etc.), la maintenance logicielle, matrielle et documentaire, l'volution, la mise hors service et la destruction partielle ou totale. Ces principes s'appliquent tous les constituants qui permettent le fonctionnement et le soutien logistique du systme d'information (logiciels, matriels et documentation). Toutefois, ils n'ont pas pour but de reprendre une une les tapes du cycle de vie d'un systme d'information pour dcrire, sous forme de rgles, les procdures qu'il conviendrait de leur appliquer. Ces principes peuvent couvrir une ou plusieurs phases du cycle de vie du systme d'information comme, par exemple, la mise en place de la documentation de scurit. Les principes prsents dans ce chapitre ont t choisis en fonction de leur impact sur la scurit et concernent : les spcifications pour le dveloppement du systme d'information scuris, l'autorisation d'utilisation du systme d'information, l'exploitation scurise du systme d'information, la scurit pour les communications, la scurit pour la maintenance du systme d'information, la mise en place d'une documentation de scurit, la limitation des sinistres touchant le systme d'information, l'application des ITSEC lorsqu'une valuation de la scurit est envisage, l'anticipation sur l'volution de la scurit du systme d'information.
GS-001
93
Juillet 1994
P.S.I.
GS-001
94
Juillet 1994
P.S.I.
La dfinition des besoins de scurit permet de dcrire de faon non ambigu les niveaux de confidentialit, d'intgrit de disponibilit et de preuve et contrle34 qu'il convient d'assurer aux constituants d'un systme d'information. La scurit qu'on attend du systme d'information doit tre prcise dans ses spcifications car elle est une dimension essentielle de ce systme au mme titre que ses performances ou les services qu'il doit rendre ; cette expression des besoins de scurit devrait faire l'objet d'un examen approfondi, conduit selon une dmarche rfrentielle. Compte tenu de la mission ou du mtier de l'organisme, il convient de dfinir ce qui devrait tre protg dans le systme en analysant les aspects suivants :
qu'il s'agisse d'informations, de services ou de supports, il faut prciser si la protection de ces entits concerne leur disponibilit, leur intgrit, leur confidentialit, et leur besoin en preuve et contrle, il faut expliquer pourquoi les entits ainsi dfinies doivent tre protges : ce peut tre en raison de leur valeur, de leur sensibilit, de leur caractre stratgique, etc., il faut prciser les menaces accidentelles ou volontaires auxquelles ces entits sont soumises en envisageant tous les acteurs ou les causes susceptibles de provoquer une agression et en tudier les motivations et les origines, il faut enfin indiquer quelles sont les contraintes auxquelles est soumis le systme d'information ; il peut s'agir de choix fixs a priori ou de toute autre contrainte, d'ordre budgtaire, technique, etc.
Une analyse de risques35 doit permettre, ce stade, de mettre en vidence les vulnrabilits du systme et les consquences d'ventuelles atteintes sa scurit de faon pouvoir justifier la mise en place de certaines parades dont on aura valu le rapport cot / efficacit. C'est ainsi que, par exemple, les rsultats d'une analyse de risques peuvent conduire recourir des assurances pour pallier un manque de comptences ou de ressources budgtaires.
34
Par preuve et contrle, il faut entendre la prvention de non rpudiation en mission et rception ainsi que la prvention permettant d'assurer l'auditabilit. 35 Pour une tude de diagnostics rapide, le SCSSI met disposition des dpartements ministriels la mthode EBIOS (Expression des Besoins et Identification des Objectifs de Scurit). Dans le domaine public, les mthodes MARION, MELISA et les mthodes qui leur sont drives sont les plus utilises pour les tudes dtailles d'un systme d'information.
GS-001
95
Juillet 1994
P.S.I.
GS-001
96
Juillet 1994
P.S.I.
La cible de scurit36 constitue la spcification du systme en matire de scurit ; c'est une tape trs importante qui fixe la fois l'objectif atteindre et les moyens pour y parvenir. En premier lieu, la rflexion approfondie qu'ont permis l'tude des besoins de scurit et l'analyse de risques doit permettre de fixer ce que l'on dcide finalement de protger, en prcisant pourquoi, contre qui et contre quoi ; la synthse de cette rflexion constitue les objectifs de scurit du systme. Ceux-ci sont clairement dfinis ds la phase de spcification pour que l'on puisse ensuite apprcier si la scurit du systme est en mesure de les satisfaire. De ces objectifs de scurit on dduit les mesures mettre en place, qu'elles soient techniques ou non techniques. L'ensemble de ces objectifs de scurit et des mesures associes constitue la politique de scurit du systme. Les mesures non techniques sont les procdures et rgles de mise en uvre, l'habilitation des personnes, les mesures concourant protger l'environnement du systme et toutes les dispositions caractre rglementaire. Les mesures techniques sont les fonctions de scurit qu'il faut prvoir dans la conception du systme de faon satisfaire les objectifs ; ces fonctions sont ralises au moyen de mcanismes de scurit intgrs au systme. Objectifs et fonctions constituent l'essentiel de la cible de scurit ; celle-ci reprsente le fondement de la scurit dans la conception du systme d'information. Cependant, pour que l'on puisse tre sr que les objectifs sont satisfaits, il faut d'une part que ces fonctions et mcanismes existent et, d'autre part, que l'on puisse leur accorder une confiance suffisante. La cible de scurit indique aussi le niveau de confiance qui est estim ncessaire par l'intermdiaire d'un niveau d'assurance ITSEC.
36
La cible de scurit est un concept dvelopp dans les ITSEC, chapitre 2, page 19 , 2.3.
GS-001
97
Juillet 1994
P.S.I.
EXPRESSION DES BESOINS DE SCURIT QUOI PROTGER ? POURQUOI ? CONTRE QUELLES MALVEILLANCE SOUS QUELLES CONTRAINTES ET CHOIX FIXES PRIORI ? ANALYSE DE RISQUES RAPPORT COUT / EFFICACIT, EFFICACIT
OBJECTIFS DE SCURIT CE QUE, TOUT BIEN PES, IL EST DCID DE PROTGER, POURQUOI ET CONTRE QUI FONCTIONNALIT
Schma de principe pour la conception d'une cible de scurit v CVE-003 Une rgle prvoit l'adoption de mthodes et d'outils de dveloppement approuvs pour garantir la scurit du systme d'information
L'adoption, ds la conception du systme d'information, de mthodes et d'outils de dveloppement approuvs marque la volont de l'organisme de matriser la scurit37. L'application de cette rgle permet d'acqurir une confiance justifie dans la conception et la ralisation de la cible de scurit ; elle contribue la mise en place de protections homognes et cohrentes constituant ainsi un gage de russite pour une ventuelle valuation du systme d'information. Toutefois, cette rgle ne sous-entend pas l'emploi d'une mthode unique pour le dveloppement du systme d'information mais elle
37
Le SCSSI met la disposition des dpartements ministriels les guides ROSCOF (Ralisation des Objectifs de Scurit par le ChOix des Fonctions) et DSIS (Dveloppement de Systmes d'Information Scuriss). Dans le domaine public, le CLUSIF propose la mthode INCS (Intgration dans la Conception des Applications de Scurit)
GS-001
98
Juillet 1994
P.S.I.
appelle veiller sur la ncessaire cohrence qui doit exister entre les diffrentes mthodes utilises par l'organisme.
GS-001
99
Juillet 1994
P.S.I.
CVE-004 Une rgle prvoit l'adoption d'un standard de programmation et de codage des donnes
L'adoption d'un standard de programmation intresse tous les dveloppements d'applications informatiques, y compris les parties logicielles que peuvent contenir les matriels ou dispositifs divers du systme d'information. La premire recommandation lie l'adoption d'un standard de programmation est celle de prciser les configurations matrielles et logicielles utilises pour le dveloppement. La deuxime obligation concerne le choix d'une reprsentation et d'une structuration des programmes qui permet d'avoir des rfrences uniformes et reconnues de tous, facilitant ainsi les oprations de maintenance logicielles et le suivi de la documentation technique. Le codage des donnes concerne le formatage et la reprsentation des champs de donnes qui, pour des raisons similaires la structuration des programmes, ncessitent l'adoption d'un standard. Les divers tats de sortie des donnes obissent galement des standards de prsentation qui prennent en compte les particularits fonctionnelles des utilisateurs de l'organisme. L'administrateur de donnes est responsable de la bonne dfinition des donnes et de la structure des fichiers et bases de donnes.
v CVE-005 Une rgle prvoit la sparation des tches de dveloppement et des tches techniques ou oprationnelles
La sparation des tches de dveloppement et des autres activits lies au fonctionnement du systme d'information (exploitation, gestion du systme et du rseau, saisie des donnes, maintenance, audit de scurit, etc.) rduit le risque de mauvaise utilisation dlibre ou accidentelle des ressources du systme. Cette rgle influe sur le niveau de scurit et sur l'efficacit dans la rpartition des tches et des responsabilits ; en effet, elle permet :
d'accrotre la scurit, en rduisant le risque de modifications malveillantes des programmes grce la sparation des tches caractrisant le fonctionnement oprationnel du systme d'information qui ncessitent des ressources diffrentes et des privilges d'accs des instructions machines critiques eu gard la scurit,
GS-001
100
Juillet 1994
P.S.I.
d'amliorer l'efficacit par le fait que le cumul de plusieurs fonctions techniques peut inciter un informaticien d'une quipe d'exploitation dpanner " chaud" un logiciel au mpris des rgles de programmation dont il est fait mention la rgle prcdente (par exemple, l'absence de commentaires dans les lignes de code modifies).
Cette sparation des fonctions concourt dlimitation des responsabilits en cas d'incident.
une
meilleure
CVE-006 Une rgle prvoit les critres d'acquisition et les conditions d'usage de progiciels
Si les critres d'achat de progiciels sont essentiellement conomiques et oprationnels (disponibilit immdiate du produit, cot accessible, maintenance et assistance technique), il n'en demeure pas moins un problme de scurit vis--vis de l'intgrit des logiciels livrs et de leur utilisation au sein de l'organisme. Il est donc essentiel qu'une rgle prvoie les critres permettant de justifier l'acquisition de progiciels et leurs conditions d'usage portant, par exemple, sur les aspects suivants :
la vrification du respect des principes de scurit en vigueur dans l'organisme avant la dcision d'acquisition, les tests de conformit et d'intgrit avant la mise en service des progiciels, les restrictions d'utilisation en fonction de la sensibilit des postes de travail. v CVE-007 Une rgle prvoit la gestion des prestations de services externes
Pour le dveloppement du systme d'information, le recours des prestataires de services externes (dment habilits dans le cadre de marchs de dfense) impose l'application stricte des rgles prcdemment nonces et un contrle renforc des ressources mises disposition (applications et fichiers sensibles, compilateurs, diteurs, documentation technique, etc.). La dcision de mise disposition de ressources sensibles doit tre prise par rapport aux exigences oprationnelles de disponibilit du systme d'information. Les responsabilits et les procdures doivent tre clairement tablies entre l'organisme et les prestataires pour l'imputabilit d'ventuels incidents.
GS-001
101
Juillet 1994
P.S.I.
GS-001
102
Juillet 1994
P.S.I.
Le recours aux prestations de service, ds lors que la scurit d'un systme d'information reprsente un enjeu majeur pour les intrts de l'tat ou de l'organisme, ne doit jamais driver vers une soustraitance de la gestion de l'exploitation (traduction du terme anglosaxon "facility management").
v CVE-008 Une rgle prvoit les conditions de mise en exploitation de tout nouveau constituant du systme d'information
Un nouveau constituant du systme d'information (logiciel ou matriel) mme rput efficace et conforme aux spcifications de fabrication doit tre soumis des tests d'intgration dans son nouvel environnement. Cette rgle vise rduire les risques inhrents au manque de coopration sur le plan de la scurit avec les autres constituants de l'environnement ou l'inadaptation des consignes techniques et humaines en vigueur qui peuvent tre l'origine d'erreurs d'exploitation. Les conditions prconises par cette rgle peuvent prvoir, par exemple, une recette complte du constituant pour l'identification des modifications techniques et procdurales effectuer ainsi que la possibilit, en cas d'chec, de restaurer l'environnement technique dans l'tat qui existait avant sa mise en exploitation.
GS-001
103
Juillet 1994
P.S.I.
l'audit des informations li aux vnements survenus dans la phase de fonctionnement, la rutilisation d'objets garantissant que les ressources telles que la mmoire centrale ou les zones de stockage peuvent tre rutilises tout en prservant la scurit. Toutefois, ce principe ne vise pas reprendre une une les fonctionnalits prcdentes pour dcrire les rgles qui s'y rapportent : en revanche, ce principe contient les concepts majeurs qui peuvent s'appliquer une ou plusieurs de ces fonctionnalits. L'autorisation d'utilisation du systme d'information repose sur la correspondance entre les classes d'utilisateurs (ou sujets) pouvant accder des classes de ressources (ou objets). En pratique, la gestion de l'utilisation du systme d'information se fait grce une matrice croisant les entits sujets et objets qui ncessite une protection adapte (usage d'un codage voire, pour les applications plus vulnrables, un chiffrement des tables rsidant en mmoire centrale) repose sur le triplet constitu par l'objet manipul, le rle du sujet dans le systme et les privilges associs. L'objet manipul et le rle du sujet dans le systme permettent l'nonc d'une rgle portant sur : la notion de profil d'utilisateur du systme d'information. De plus, le rle du sujet dans le systme induit deux autres rgles permettant d'assurer le contrle : la notion d'unicit des utilisateurs, la notion de compltude des moyens d'authentification. Enfin, les privilges associs induisent deux rgles lies la gestion : l'administration des privilges d'utilisation du systme d'information, le contrle des privilges des utilisateurs du systme d'information. v CVE-009 Une rgle prvoit l'application de la notion de profil d'utilisateur du systme d'information
L'application de la notion de profil d'utilisateur du systme d'information sous-entend, au pralable, la structuration des donnes (ou objets) par fonction ou activits de l'organisme qui est une prrogative du responsable-dtenteur (rgle PER-007). Les donnes manipules par les utilisateurs sont structures, en fonction des applications qui les utilisent au sein d'une unit fonctionnelle (par exemple, la gestion des stocks pour un service d'approvisionnement), dans le cadre d'utilisation de ressources partages (par exemple, les rseaux locaux), ou lors d'une mission
GS-001
104
Juillet 1994
P.S.I.
ou d'une activit particulire ncessitant le cloisonnement des postes de travail (rgle PER-003). Il faut, de la mme manire, structurer les diverses catgories de personnel (ou sujets) par la dfinition de profils d'utilisateur du systme d'information qui permettent de spcifier les privilges d'accs aux informations lis la lecture (visualisation, impression) et les privilges de traitements lis l'criture (cration, modification, destruction) dans le cadre de leurs responsabilits ou activits.
v CVE-010 Une rgle prvoit l'unicit de l'identit des utilisateurs
L'identit des utilisateurs doit tre gre sous le contrle conjoint de la direction du systme et du responsable de la scurit d'un site ou d'une unit oprationnelle (niveau de l'agent de scurit). Il faut considrer qu'il y a infraction la scurit lorsque deux personnes ou plus connaissent, par exemple, le mot de passe correspondant une identit d'utilisateur moins que cela ne soit prvu pour assurer la continuit des fonctions d'administration de systme. S'il est invitable, dans certains cas, de permettre le partage d'une identit et d'un lment d'authentification, des mesures spciales telles que l'emploi d'enveloppes scelles peuvent tre mises au point pour prvenir toute utilisation abusive ou incorrecte.
v CVE-011 Une rgle prvoit la notion de compltude des moyens d'authentification
L'accs au systme d'information implique que les utilisateurs justifient leur identit en dbut de session (et, dans certains cas, en cours de cession) en prsentant un lment d'authentification. Les techniques actuelles d'authentification reposent sur trois concepts :
ce que l'on sait comme, par exemple, les mots de passe, ce que l'on dtient comme, par exemple, les cartes puce, ce que l'on est, c'est--dire une caractristique personnelle (empreintes digitales, examen du fond de l'il, signature dynamique, etc.).
La runion de ces trois concepts constitue une authentification complte et efficace mais reprsente un cot relativement lev. En consquence, le responsable-dtenteur doit dterminer avec l'aide de l'agent de scurit, partir de ces trois concepts, quelles sont les combinaisons les plus adaptes pour son sous-systme d'information ou ses applications sensibles.
GS-001
105
Juillet 1994
P.S.I.
GS-001
106
Juillet 1994
P.S.I.
Le choix d'une authentification base sur le seul concept de "ce que l'on sait" reprsente le profil minimum de scurit pour un systme d'information ; il convient alors d'opter pour des mcanismes dynamiques comme les mots de passe utilisables une fois ou bien ceux assujettis une limite du nombre d'utilisations ; dans ce cas, le mcanisme utilis est un compteur d'accs sur lequel doit porter l'effort de protection. Ainsi, les mcanismes utiliss reposent sur des lments d'authentification dont il convient expressment de prvoir une gestion rigoureuse.
v CVE-012 Une rgle prvoit l'administration des privilges d'utilisation du systme d'information
Un utilisateur possde des privilges d'utilisation pour les ressources du systme d'information correspondant au profil qui lui est attribu. Toutefois, lorsque ces privilges sont dynamiques, il est indispensable de les administrer pour vrifier que les rgles de scurit en vigueur sont entirement respectes. Les critres d'application de cette rgle sont clairement noncs ; ils peuvent, par exemple, s'inspirer des lments suivants :
les profils d'utilisateurs soumis l'administration des privilges, les privilges existant entre les divers profils d'utilisateurs, les personnes qualifies pour accorder ou modifier ces privilges, les conditions remplir pralablement toute modification ou tout octroi de privilges, les privilges d'utilisateur incompatibles entre eux.
La protection particulire de l'intgrit des tables contenant les privilges doit tre la proccupation majeure du responsable du systme et de l'agent de scurit pour l'aspect du contrle.
v CVE-013 Une rgle prvoit le contrle des privilges des utilisateurs du systme d'information
Il apparat important de spcifier une rgle pour la vrification du droit de possession des privilges indpendamment des contrles suggrs plus loin dans le principe portant sur l'exploitation scurise et qui s'attachent la faon dont ces privilges sont utiliss.
GS-001
107
Juillet 1994
P.S.I.
Le contrle a pour mission, ds qu'un utilisateur tente d'exercer ses privilges sur une ressource du systme d'information, de ne permettre cette action que dans la mesure o elle n'outrepasse pas les rgles de scurit en vigueur dans l'organisme. Les mesures qui dcoulent de cette rgle peuvent reposer sur les aspects suivants :
les actions pour lesquelles un contrle des privilges doit tre men, les mesures prendre si une action est tente sans que le droit appropri soit possd, les passe-droits au contrle des privilges et leurs conditions de validit.
Les donnes sont la reprsentation des informations sous une forme conventionnelle destine faciliter leur traitement.
GS-001
108
Juillet 1994
P.S.I.
Les rgles manant de ce principe intressent les procdures d'exploitation et les contrles de scurit durant la phase de fonctionnement du systme d'information, savoir : l'exploitation scurise des informations et des donnes, le contrle des logiciels avant leur mise en exploitation, le contrle des supports amovibles avant leur mise en exploitation, les contrles de scurit en phase d'exploitation du systme d'information, l'analyse des enregistrements des donnes de contrle de scurit, l'exploitation scurise des moyens dcentraliss, ddis ou dports hors de leur zone de scurit. v CVE-014 Une rgle prvoit les procdures d'exploitation scurise des informations et des donnes
Les donnes et les supports associs devraient hriter du mme niveau de protection que les informations qui leur ont donn naissance. En fonction de leur classification, les informations et les donnes font l'objet d'une exploitation spcifique. Ainsi l'exploitation de donnes vitales ou sensibles peut ncessiter la mise en uvre de mesures techniques particulires (par exemple, l'usage de systmes tolrance de pannes ou de disques miroir) ou organisationnelles (par exemple, la rgle PER-003 sur le cloisonnement des postes de travail sensibles) afin d'viter les incidents durant la phase de traitement. De mme, les informations nominatives doivent recevoir les protections imposes par la loi. La prsente rgle portant sur les procdures d'exploitation scurise se justifie par la vulnrabilit des donnes qui existe du fait de leur passage par des tats diffrents (traitements, sauvegardes et transferts sur des supports, stockage, destruction, etc.) : aussi les procdures et contrles de scurit s'attachent assurer la continuit de la protection ces divers stades de l'exploitation. Parmi les procdures mettre en place, celles concernant la sauvegarde des donnes et la destruction des supports classifis ont un impact majeur sur la scurit.
GS-001
109
Juillet 1994
P.S.I.
La sauvegarde des donnes vise le maintien de leur intgrit et disponibilit : elle doit tre faite rgulirement et les supports rsultants sont stocks en des lieux loigns de la zone de traitement et offrant le mme niveau de protection ; des tests d'intgrit des sauvegardes apportent la garantie de la continuit de service. La destruction des supports classifis implique que les donnes enregistres sont effaces ou surcharges avant que leur support magntique ne soit dtruit (bandes magntiques, disquettes, disques amovibles et fixes, mmoires disques, etc.).
Pour les donnes relevant du secret de dfense, il peut tre prvu, en conformit avec la rglementation en vigueur, un chiffrement des donnes permettant ainsi le stockage intermdiaires des supports associs lors de traitements discontinus. v CVE-015 Une rgle prvoit le contrle des logiciels avant leur mise en exploitation
Les contrles des logiciels avant leur mise en exploitation visent lutter tout particulirement contre la menace de contamination par virus40 et le risque de non conformit des logiciels. Les virus posent un problme de plus en plus grave pour la scurit des systmes d'information. Leur existence touche tous les organismes et institutions quel que soit leur niveau de vulnrabilit : les organismes les plus ouverts au public sont les plus exposs aux pirates informatiques dont les motivations sont assez souvent la prouesse technique et l'effet mdiatique. Le risque de non conformit des logiciels concerne les organismes sensibles qui, dans le cadre du recours des prestataires de service pour le dveloppement de logiciels, doivent vrifier l'exactitude et la conformit de la programmation du code afin de vrifier que le programme ne fait que ce pourquoi il a t conu et qu'il n'existe pas de portes drobes permettant ultrieurement une modification illicite de ces fonctionnalits. Des prcautions peuvent tre prises pour prvenir et dtecter l'introduction de logiciels frauduleux (virus, vers, chevaux de Troie, bombes logiques, etc.). Toutes les disquettes en provenance de l'extrieur de l'organisme et, tout particulirement celles dont l'origine est incertaine, sont soumises un contrle. La mise en
40
Le virus est l'exemple le plus connu de programme crit dans le but de causer un dommage. Le glossaire de l'OTAN (version 1993) en donne la dfinition suivante : "lment de programme qui s'ajoute d'autres programmes, y compris des systmes d'exploitation mais qui ne peuvent s'excuter indpendamment , ne devenant actif qu'avec l'excution du programme hte"
GS-001
110
Juillet 1994
P.S.I.
place de matriels ddis un dpistage systmatique constitue une contre-mesure cette menace.
GS-001
111
Juillet 1994
P.S.I.
v CVE-016 Une rgle prvoit le contrle des supports amovibles avant leur mise en exploitation
Cette rgle, portant sur le contrle des supports amovibles, vise principalement la confidentialit des informations et intresse les organismes traitant d'informations sensibles relevant du secret de dfense ou des informations juges stratgiques pour leurs activits. Une mesure fondamentale prcdant le contrle des supports amovibles, avant leur rutilisation dans une autre installation protge, consiste effacer les informations qui y sont enregistres en oprant un recouvrement complet au moyen de caractres numriques ou alphanumriques. Un contrle de la non rmanence des donnes originelles peut tre effectu avant leur raffectation. Pour les informations relevant du secret de dfense, les supports de mmoire conservent la plus haute catgorie de classification des donnes pour lesquelles ils ont t utiliss depuis l'origine (sauf en cas de dclassification).
v CVE-017 Une rgle prvoit les contrles de scurit en phase d'exploitation du systme d'information
Le contrle de scurit en phase d'exploitation permet de rduire les risques d'atteinte la disponibilit et l'intgrit des informations et des donnes. Ces contrles se traduisent, par exemple, par des vrifications de l'usage des ressources autorises pour le traitement. Le premier aspect de ces contrles vise les utilisateurs du systme d'information. Ils choient aux ingnieurs systme et rseau qui assurent une surveillance en direct partir de moyens de visualisation : examen des transactions en cours, fichiers en ligne, tentatives de connexions, etc. Le second aspect de ces contrles vise les informaticiens pour la vrification de la bonne application des procdures de scurit, par exemple :
le respect du squencement des oprations planifies, les manipulations correctes de fichiers, l'utilisation des macro-instructions autorises, le respect des instructions pour les rcuprations d'erreurs ou pour les vnements exceptionnels, la tenue jour des registres d'exploitation,
GS-001
112
Juillet 1994
P.S.I.
le respect des instructions concernant les tats de sortie, principalement pour les imprimantes dportes. v CVE-018 Une rgle prvoit l'analyse des enregistrements des donnes de contrle de scurit
L'exploitation scurise du systme d'information implique l'enregistrement des donnes de contrle de scurit dans un journal d'audit afin de vrifier que la scurit est bien respecte, en particulier, pour ce qui concerne les accs au systme d'information, qu'ils soient le fait d'utilisateurs, de techniciens ou d'informaticiens. L'analyse des donnes de contrle constitue une vrification ex post mais elle peut rvler des tentatives infructueuses de pntration du systme ou, de faon plus insidieuse, la prparation d'une attaque par rcupration de fichiers ou de comptes prims. Cet examen apporte plus de renseignements que la supervision en direct, condition qu'il soit excut avec rgularit et minutie. Une protection efficace des mcanismes permettant l'enregistrement des donnes de contrle est une condition essentielle pour justifier la confiance accorde l'analyse des enregistrements ; en effet, tout intrus cherche d'abord inhiber les mcanismes d'enregistrement et faire disparatre les preuves de son mfait. La mise en uvre de journaux d'audits peut tre une contrainte en priode de forte charge d'exploitation : il faut nanmoins tre conscient du risque pour la scurit que reprsente leur dsactivation.
v CVE-019 Une rgle prvoit les procdures d'exploitation scurise des moyens dcentraliss, ddis ou dports hors de leur zone de scurit
Les moyens dcentraliss, ddis ou dports hors de leur zone de scurit (micro-ordinateurs, matriels portables, imprimantes dportes, photocopieuses, tlcopie, etc.) se caractrisent souvent par des quipes d'exploitation rduites voire des utilisateurs isols. Sans assistance immdiate et sans le recours aux protections physiques d'une zone de scurit, la probabilit d'incident ou d'atteinte la confidentialit et l'intgrit des donnes et des matriels reste trs leve : l'indiscrtion et la malveillance reprsentent une menace majeure dans la mesure o les consignes de vrification sont plus difficiles mettre en uvre. C'est la raison pour laquelle l'exploitation de ces moyens ncessite des mesures spcifiques adaptes leur environnement ; en
GS-001
113
Juillet 1994
P.S.I.
particulier et, dans la mesure du possible, les quipements priphriques sont situs dans une zone surveille. Le cas des matriels portables mrite un examen particulier. En effet, avec l'accroissement de capacit de mmoire et de puissance de traitement, les machines portables sont de plus en plus utilises. Cependant, elles sont exposes des menaces plus varies que les matriels fixes et leur utilisation rend beaucoup plus difficile le contrle ncessaire la sauvegarde des informations. Leur portabilit et leur petite taille accroissent fortement la probabilit de perte ou de vol. Dans la mesure du possible, les informations protger ne peuvent tre traites sur des machines portables qu'en des endroits dsigns en fonction de leur niveau de classification. Lorsque ces matriels sont emports l'extrieur de l'organisme, il faut appliquer la mme procdure que pour la sortie des documents classifis.
Instruction interministrielle
GS-001
114
Juillet 1994
P.S.I.
la discrtion qui est le facteur assurant le degr de protection contre les risques d'interception, d'analyse, de localisation et d'intrusion, la rapidit qui dfinit l'aptitude acheminer les informations dans les dlais minimaux et assurer un dbit maximal. v CVE-020 Une rgle prvoit le cadre contractuel pour les changes de donnes scuriss
Les propositions d'accs des services ou des applications tlmatiques internes ou externes l'organisme posent le problme de la coopration entre les diffrents systmes d'information. Cette rgle vise prvenir la perte, la modification et la mauvaise utilisation des donnes. Il importe, en consquence, de prvoir les responsabilits et les obligations contractuelles des divers intervenants, tant au niveau des transmissions que des applications qui les intgrent. L'change de donnes scuris se situe dans le cadre de transmissions telles que dfinies plus haut. Le cadre contractuel dsigne les accords entre plusieurs parties pour les changes de donnes faisant appel ou non aux technologies de l'information : cette rgle englobe le cas des changes de donnes informatises (EDI). Les accords ou contrats passs par l'organisme avec tous les utilisateurs du systme d'information comportent des clauses de contrles prcisant, par exemple :
la responsabilit de la gestion des flux d'changes, les procdures de scurit utilises pour les changes, les standards de structuration des donnes, les responsabilits en cas de pertes des informations, les mesures spcifiques pour la protection des cls de chiffrement. v CVE-021 Une rgle prvoit les modalits d'utilisation scurise des rseaux de tlcommunication de l'organisme
L'utilisation scurise des rseaux de tlcommunication de l'organisme ne doit pas remettre en cause les mesures de scurit qui sont prises au plan de l'infrastructure (par exemple, la cration de zones rserves), du personnel (par exemple, le besoin de connatre les informations) ou des ressources matrielles et logicielles.
GS-001
115
Juillet 1994
P.S.I.
Les modalits d'utilisation des rseaux de tlcommunication de l'organisme sont d'autant plus importantes dfinir que les possibilits d'accs des utilisateurs sont augmentes par les ventuelles interconnexions des rseaux internes.
GS-001
116
Juillet 1994
P.S.I.
L'utilisation scurise des rseaux de tlcommunication fait appel la mise en place de fonctions et de mcanismes (au sens des ITSEC) destins garantir la scurit des donnes au cours de leur transmission. Il est recommand de dcouper ces fonctions suivant les rubriques tires de l'architecture de scurit OSI, savoir :
l'authentification, le contrle d'accs, la confidentialit des donnes, l'intgrit des donnes, la non rpudiation.
Parmi ces fonctions, le contrle d'accs repose sur des mesures de gestion et de contrle continues dans le temps et portant, par exemple, sur les aspects suivants :
l'accs des utilisateurs aux services pour lesquels ils sont autoriss, la connexion au systme d'information des ordinateurs isols ou extrieurs l'organisme, la sparation des rseaux ddis des domaines particuliers, le routage des communications sur les canaux autoriss. v CVE-022 Une rgle prvoit les modalits d'utilisation scurise des rseaux de tlcommunication externes l'organisme
L'utilisation des rseaux de tlcommunication externes l'organisme met en relation des utilisateurs qui n'ont pas, a priori, les mmes exigences de scurit. Les modalits d'utilisation scurise des rseaux de tlcommunication externes l'organisme concernent tout particulirement le contrle des moyens qui peuvent chapper la gestion centralise du systme d'information comme, par exemple, l'installation de modems ou de Minitels. Le cas particulier du courrier lectronique devrait inciter l'adoption de mesures visant contrler l'envoi de messages considrs comme vulnrables face aux interceptions et modifications non autorises et sur les considrations lgales lies la non rpudiation du message mis ou reu.
GS-001
117
Juillet 1994
P.S.I.
Les rubriques, tires de l'architecture OSI et numres la rgle prcdente, s'appliquent au cas des rseaux externes l'organisme.
v CVE-023 Une rgle prvoit la protection des informations durant leur transmission
L'organisme doit prendre en compte le niveau de protection offert par les canaux de transmission utiliss. La rgle s'attache contrler que le niveau de protection requis par les informations communiques est correctement atteint. La protection des informations sensibles durant leur transmission est organise de faon rendre aussi peu efficace que possible les diffrents types d'attaques sur le rseau de transmission. L'organisation de cette protection vise :
l'acheminement du trafic mme en ambiance de brouillage ou de saturation (qui consistent empcher ou gner le fonctionnement des liaisons), la garantie contre l'intrusion (qui consiste introduire ou modifier des messages dans l'intention de tromper), la dfense contre l'interception (qui est la rception d'missions non autorises), la dfense contre l'analyse de trafic (qui permet d'obtenir des renseignements partir de l'tude du trafic).
Le recours au chiffre et l'emploi de matriels protgs contre l'mission de signaux parasites compromettants constitue les moyens de protection classiques en matire de scurit des communications.
42 Le chiffre .
Il est dfini comme l'ensemble des moyens cryptologiques permettant de protger les informations transmises, de faon les rendre inintelligibles pour toute personne qui n'est pas autorise les connatre. On utilise soit le chiffrement des messages soit le chiffrement des voies de transmission. La rgle intgre le fait que, si les mesures de scurit correspondant au niveau de protection requis ncessitent des
42
GS-001
118
Juillet 1994
P.S.I.
moyens de chiffrement, l'usage de ces moyens est soumis au respect de la loi et de la rglementation et doit s'accompagner de mesures organisationnelles permettant leur gestion spcifique.
Les matriels qualifis de matriels la norme TEMPEST (Transient ElectroMagnetic Pulse Emanations STandard)43.
Tout matriel ou systme qui traite des informations sous forme lectrique est le sige de perturbations lectromagntiques. Ces perturbations, provoques par le changement d'tat des circuits qui composent le matriel considr, sont qualifies de signaux parasites. Certains de ces signaux sont reprsentatifs des informations traites. Leur interception et leur traitement permettent de reconstituer ces informations. Ces signaux sont, de ce fait, dnomms signaux parasites compromettants.
Le non respect des consignes pour la prparation d'un constituant avant sa mise en maintenance peut exposer l'organisme des compromissions ou des atteintes au bon fonctionnement de son systme d'information. Le conditionnement consiste prparer le constituant en vue de sa rparation c'est--dire, vrifier les points suivants :
43
GS-001
119
Juillet 1994
P.S.I.
le retrait du support de la mmoire rmanente ayant contenu des informations classifies ou confidentielles, la superposition d'criture sur la mmoire restante afin d'viter toute possibilit d'interprtation des enregistrements prcdents, la vrification des installations de maintenance externes qui doivent rpondre aux mmes normes de scurit matrielle et personnelle que celles appliques dans les zones d'utilisation pour les constituants mis en rparation.
Si pour des raisons techniques, il n'est pas possible d'enlever le support de la mmoire rmanente, il peut tre ncessaire d'imposer que la maintenance d'un constituant soit effectue sur place par du personnel possdant l'habilitation adquate.
v CVE-025 Une rgle prvoit les conditions de scurit pour la remise en fonctionnement des constituants aprs leur maintenance
Les conditions de scurit pour la remise en fonctionnement des constituants aprs leur maintenance visent dmasquer tout pigeage ventuel : ajout d'un composant ou d'un microprogramme, non conforme la configuration initiale, dans le but de capturer des signaux ou des informations ou bien encore retrait ou modification d'un composant altrant les caractristiques du constituant. En consquence, des conditions de remise en fonctionnement peuvent tre dictes, par exemple :
en fonction des conditions locales, de l'valuation de la menace et, dans le cas d'ordinateurs, de la sensibilit des informations mises en mmoire, le constituant fait l'objet de mesures de dtection lorsqu'il est rintgr dans sa zone de scurit, pour le cas particulier de matriels rpondant la norme TEMPEST, toute modification entrane une nouvelle vrification de l'aptitude antirayonnante. v CVE-026 Une rgle prvoit le suivi des oprations de maintenance des constituants du systme d'information
Cette rgle qui s'applique tous les constituants du systme d'information (matriels et logiciels) prend un caractre majeur pour le cas de constituants ayant des fonctions de scurit. L'absence de suivi des oprations de maintenance a pour consquence la mconnaissance du degr d'aptitude des constituants assurer de nouveau leurs fonctions : elle peut
GS-001
120
Juillet 1994
P.S.I.
conduire leur attribuer une confiance injustifie sur le plan de la scurit. Le suivi des oprations de maintenance ncessite l'ouverture d'un registre complet et dtaill sur les interventions subies par les composants afin que le personnel connaisse les nouvelles configurations et applique les procdures correctes.
Par ailleurs, lorsque l'organisme dispose d'un infocentre dont la mission principale est le support aux utilisateurs, il est ncessaire de veiller ce qu'il applique ces mmes rgles pour les interventions dont il a la charge et tout particulirement lorsque ses attributions consistent faire installer sur les machines de l'organisme les progiciels ou les cartes lectroniques demandes par les utilisateurs.
v CVE-027 Une rgle prvoit les conditions d'usage de la tlmaintenance
La gnralisation des services de tlmaintenance permet l'optimisation des cots par la rduction des dplacements de personnel. En contrepartie, l'installation d'une ligne de communication entre le systme d'information et l'organisme de maintenance et la ncessit de donner des droits d'accs de haut niveau augmentent les risques d'attaques du systme d'information. Pour ces raisons, les conditions d'usage de la tlmaintenance sont rigoureusement dfinies, voire interdites pour certaines applications sensibles.
GS-001
121
Juillet 1994
P.S.I.
v CVE-028 Une rgle prvoit l'adoption d'un standard d'laboration de la documentation de scurit
La diversit des quipements, des logiciels et des procdures impose la dfinition d'un standard d'laboration de la documentation de scurit. Ce standard concerne, en premier lieu, le modle de prsentation et le contenu de la documentation : tous les constituants de scurit sont dcrits selon le mme formalisme facilitant ainsi les interventions du personnel autoris pour leur exploitation et leur maintenance. En second lieu, le standard concerne la manire de raliser la documentation c'est--dire, la rdaction, l'impression et la classification des documents. De plus, tous les lments ayant servis l'laboration de la documentation sont manipuls et protgs au mme titre et dans les mmes conditions que les documents de scurit qui en rsultent.
v CVE-029 Une rgle prvoit la gestion de la documentation de scurit
La documentation de scurit doit tre protge contre les accs non autoriss. Sa protection est du mme niveau que les constituants auxquels elle se rapporte. Les mesures suivantes peuvent tre suggres:
tout responsable-dtenteur de documents de scurit doit connatre la position des documents qui lui sont confis et contrler leur utilisation,
GS-001
122
Juillet 1994
P.S.I.
la manipulation de ces documents ne peut tre faite que par du personnel autoris, les documents sont rangs dans des lieux srs, la diffusion, manant du responsable de la scurit, peut tre restreinte au minimum de personnes.
La finalit d'un rseau d'alerte est de provoquer une intervention aussi rapide que possible, limitant ainsi les consquences d'un arrt du systme d'information ou l'activation de procdures suite, par exemple, une compromission des mots de passe impliquant leur changement immdiat. Tous les utilisateurs, et particulirement ceux oprant sur des postes de travail sensibles, constituent les maillons de ce rseau d'alerte. Il s'agit d'apprendre aux utilisateurs protger leurs matriels et dceler les indices de manipulations frauduleuses ou d'activits inhabituelles.
GS-001
123
Juillet 1994
P.S.I.
L'efficacit d'un rseau d'alerte repose sur la structure de l'organisation mise en place et, tout particulirement, sur les agents de scurit. Elle dpend du niveau technique des moyens de dtection et de la mobilisation des utilisateurs du systme d'information : l'intervention qui en dcoule est d'autant plus efficace qu'elle fait intervenir les moyens adquats au moment opportun. Pour le cas de compromission d'informations relevant du secret de dfense, l'organisme doit rechercher la rapidit de raction : "Si la scurit d'une information a t ou semble avoir t compromise de quelque faon que ce soit, la rapidit et la discrtion de l'intervention revtent une particulire importance pour en limiter les consquences ; un compte rendu non fond et dmenti par les faits est toujours prfrable un retard dans l'intervention44".
v CVE-032 Une rgle prvoit la matrise des incidents de scurit
La matrise des incidents de scurit consiste s'assurer de la continuit de la scurit durant toute la dure de l'intervention faisant suite une alerte : le recours des spcialistes extrieurs et l'obligation de leur faciliter l'accs au site et au systme d'information ne doit pas dispenser le personnel de l'organisme d'appliquer les rgles de scurit. Deux cas d'urgence peuvent ncessiter des actions diffrentes:
ceux provenant d'accidents physiques touchant l'infrastructure d'une zone sensible ou au systme d'information qu'elle contient et qui n'entranent pas d'actions hostiles visant capturer des constituants du systme d'information ; l'action consiste alors surveiller les matriels, les logiciels et les documents durant l'intervention comme par exemple, le transfert d'quipements vers une salle blanche ou la mise en mode dgrad de mcanismes de scurit jusqu'au retour la normale du systme d'information, ceux provenant d'actions hostiles visant capturer des constituants du systme d'information : un plan de destruction d'urgence simple et pratique de mise en uvre peut tre, dans certains cas, le seul moyen d'viter une compromission grave. v CVE-033 Une rgle prvoit l'laboration et le test d'un plan de reprise d'activit du systme d'information
Un plan de reprise d'activit est ncessaire pour protger les tches oprationnelles critiques du systme d'information face aux dfaillances majeures, aux erreurs humaines, aux catastrophes naturelles ou aux attaques dlibres. Il a pour but de limiter les
44
GS-001
124
Juillet 1994
P.S.I.
atteintes la scurit suite un incident majeur et de remettre le systme d'information dans les conditions de fonctionnement initiales.
GS-001
125
Juillet 1994
P.S.I.
Le plan de reprise d'activit impose la prise en compte de toutes les exigences oprationnelles du systme d'information pour assurer un retour un fonctionnement normal. Les procdures qui dcoulent de ce plan fournissent une alternative et des moyens temporaires de continuit du service, dans le cas d'endommagement ou de dfaillance d'un quipement. Toutefois, un lment fondamental pour l'tablissement d'un plan de reprise d'activit est l'tude de disponibilit du systme information car l'importance des prjudices subis est gnralement fonction de la dure d'indisponibilit. Ainsi, l'tude de disponibilit a pour but de dfinir des tranches temporelles o le prjudice est considr un niveau donn en correspondance avec le niveau de procdure d'urgence du plan de reprise d'activit. Mais, pour mriter un niveau de confiance lev, le plan de reprise d'activit doit tre test rgulirement. Tout particulirement, la procdure de sauvegardes rgulires des donnes vitales et des logiciels est une mesure fondamentale : un nombre minimum de sauvegardes des informations est stock dans un lieu loign une distance suffisante pour rsister un dsastre sur le site principal ; les protections physiques des sauvegardes sont du mme niveau que les standards appliqus sur le site principal. Le plan de reprise d'activit dfinit, en outre, l'ordre de priorit dans la reprise des diffrentes fonctions du systme d'information et accepter, si la disponibilit du systme d'information est l'objectif prioritaire pour l'organisme, que certains mcanismes de scurit soient temporairement inhibs.
v CVE-034 Une rgle prvoit le suivi des incidents de scurit
L'absence de suivi des incidents de scurit expose l'organisme mconnatre les vulnrabilits de son systme d'information et le condamne ne pas tre en mesure de ragir efficacement face des sinistres rpts de mme nature. De ce fait, les responsabilits du suivi des incidents et des procdures doivent tre tablies ; les procdures couvrent alors tous les types d'incidents potentiels y compris les dfaillances du systme ou pertes de service, les erreurs rsultant de donnes fausses ou inadquates, les failles de la confidentialit.
GS-001
126
Juillet 1994
P.S.I.
Pour ce faire, le suivi des incidents de scurit s'appuie sur les comptes rendus pour les interventions immdiates, sur les relevs des dysfonctionnements pour les actions diffres et, dans les deux cas, sur l'analyse et l'identification des causes du sinistre. L'adoption d'un standard de compte rendu et de directives pour leur exploitation sont des mesures qui visent rendre uniforme et obligatoire la procdure d'alerte voque. Les incidents de toute nature, dcels par exemple en phase d'exploitation, font l'objet d'un compte rendu au niveau du responsable de scurit aussi rapidement que possible. Les dysfonctionnements et les faiblesses du systme d'information doivent tre nots et corrigs. En particulier, il apparat ncessaire de passer en revue les dysfonctionnements pour s'assurer que les mesures correctives ont t effectivement mises en uvre et qu'elles correspondent des actions autorises. L'analyse et l'identification des causes de l'incident impliquent une planification de la collecte des comptes rendus d'audit, de la mise en place de mesures de protection et de la communication avec les utilisateurs affects par l'incident.
6.8. Principe d'application des ITSEC pour une valuation de la scurit du systme d'information
En France, conformment aux directives du Premier Ministre , l'valuation des systmes d'information des dpartements ministriels et des administrations de l'tat doit tre conduite selon la mthodologie de scurit prconise par les critres d'valuation de la scurit des systmes informatiques (ITSEC). Pour les organismes publics et privs, ces critres ont valeur de recommandation. Les rgles qui dcoulent du principe d'application des ITSEC pour une valuation de la scurit reprsentent les tapes qu'il convient de suivre pour scuriser un systme d'information, savoir : l'valuation et la certification, l'agrment et l'homologation,
45
45
GS-001
127
Juillet 1994
P.S.I.
les circonstances qui justifient une rvaluation du systme d'information selon les ITSEC. Tous les organismes tenus l'application des critres d'valuation de leur systme d'information doivent adopter l'approche dfinie dans les trois rgles prcdentes. En particulier, l'laboration d'une cible de scurit (rgle CVE-002) permet de prendre en compte la scurit ds la phase de conception d'un systme d'information. De plus, il faut aussi maintenir des proccupations de scurit tout au long du dveloppement du systme et durant son exploitation46. Une prsentation succincte des ITSEC est donne en annexe 2. CVE-035 Une rgle prvoit l'valuation du niveau de confiance accord au systme d'information : l'valuation et la certification
La conception du systme est guide par une dmarche cohrente qui conduit ce que les objectifs de scurit soient atteints ; les fonctions de scurit sont choisies pour satisfaire ces objectifs. Une fois le systme dvelopp et mis en service, il importe de savoir quelle confiance on peut avoir que la cible de scurit est bien atteinte. D'une part cette confiance dpend du choix des fonctions, de leur efficacit et de la qualit de leur dveloppement et, d'autre part, elle dpend de la faon dont le systme a t install, mis en service et exploit. L'tude de chacun de ces aspects permettra d'avoir une confiance justifie dans la ralisation de la cible de scurit ; c'est l'objet de l'valuation. Un systme dvelopp selon les principes exposs cidessus pourra tre valu et on aura alors la confirmation qu'on peut lui faire confiance quant la scurit qu'il assure aux informations qui lui sont confies. Cette valuation doit tre conduite selon une mthode approuve obissant des rgles dfinies. Les rsultats de l'valuation et le fait que les critres d'valuation utiliss ont t correctement appliqus sont confirms par une dclaration formelle appele certificat. Toutefois, la certification n'a aucun caractre obligatoire : il appartient au commanditaire de l'valuation de juger du besoin de certification.
46
Le SCSSI met disposition des dpartements ministriels le guide DSIS (Dveloppement de Systmes d'Information Scuriss).
GS-001
128
Juillet 1994
P.S.I.
CVE-036
L'valuation et la certification qui en confirme les rsultats permettent seulement d'assurer que la cible de scurit est bien atteinte. Elle ne constitue qu'un des lments pour juger si le systme ou le produit plac dans son environnement rel, prsente bien avec les mesures de scurit non techniques (en particulier, les procdures d'exploitation effectivement mises en place) les protections adaptes la sensibilit des ressources qui lui sont confies et l'tendue des menaces qu'il doit repousser. Il y a lieu, de plus, de prononcer un jugement sur la pertinence de la cible de scurit face l'environnement rel d'exploitation du systme : c'est le rle de l'agrment qui constitue la reconnaissance formelle que le produit ou le systme valu peut protger des informations jusqu' un niveau spcifi, dans des conditions d'emploi dfinies. Enfin, l'homologation est la dcision d'utiliser, dans un but prcis ou dans des conditions prvues, un produit ou un systme. Cette dcision finale est prise par l'autorit responsable de la mise en uvre du produit ou du systme, conformment la rglementation en vigueur. Toutefois, et comme cela a t prcis dans la rgle prcdente, la dcision de l'opportunit de demander un agrment et l'homologation revient, en gnral, au seul commanditaire.
CVE-037 Une rgle prvoit les circonstances qui justifient une rvaluation du systme d'information selon les ITSEC
Le principe gnral de rvaluation des Lignes directrices de l'OCDE stipule : "La scurit des systmes d'information devrait tre rvalue priodiquement tant donn que les systmes d'information et les exigences en matire de scurit varient dans le temps". Selon les ITSEC, une valuation et le certificat qui lui est associ expriment un avis sur la mise en uvre d'une cible de scurit en laquelle l'utilisateur place sa confiance. Mais, une fois qu'un systme a t soumis une valuation, il est irraliste de croire qu'il est l'abri d'erreurs ou impossible modifier : en effet, le systme devra rpondre de nouvelles exigences qui se traduiront par des modifications des matriels, des logiciels et de la documentation.
GS-001
129
Juillet 1994
P.S.I.
Dans cette optique, il est vident que certaines modifications exigent une rvaluation comme, par exemple, la restructuration du noyau d'un systme d'exploitation, qui peut s'appuyer, en partie, sur les rsultats de l'valuation prcdente. En revanche, d'autres modifications peuvent n'entraner aucune nouvelle valuation ds lors qu'elles touchent des parties du systme d'information spares des composantes de scurit et qui n'influent pas sur celles-ci.
Une tude prospective sur l'volution de la scurit du systme d'information permet d'anticiper sur les besoins moyen terme de l'organisme et d'intgrer le plus tt possible les nouveaux logiciels, matriels ou mcanismes ncessaires la scurit. Cette tude prospective ne peut tre dissocie des orientations stratgiques (ou d'un schma directeur des systmes d'information) portant sur les nouvelles technologies de l'information susceptibles d'tre choisies par l'organisme. Par ailleurs, cette rgle vise vrifier que toute volution du systme d'information reste conforme aux principes de scurit en vigueur dans l'organisme. Dans le cas contraire, l'tude prospective permet d'en mesurer l'impact sur la scurit et de proposer les amnagements d'ordre technique ou organisationnel pouvant impliquer une modification des principes et des rgles de la politique de scurit interne de l'organisme.
GS-001
130
Juillet 1994
P.S.I.
ANNEXES
GS-001
'"
Juillet 1994
P.S.I.
ANNEXES
Annexes
Le contenu des prsentes annexes est donn titre indicatif : sa mise jour ne sera faite qu' l'occasion de la rdaction de la version suivante du guide. Par consquent, le lecteur est invit - tout particulirement pour les textes juridiques cits - vrifier leur validit ainsi que la parution ventuelle de nouveaux textes.
GS-001
93
Juillet 1994
P.S.I.
ANNEXES
GS-001
94
Juillet 1994
P.S.I.
NOTES COMPLMENTAIRES
NIVEAU INTERNATIONAL
Accords Recommandation
NIVEAU NATIONAL
Principes Rgles
Politique de scurit interne
Consignes Procdures
Plan de scurit
GS-001
93
Juillet 1994
P.S.I.
NOTES COMPLMENTAIRES
Note complmentaire n2 : I. ORGOGOZO, Les paradoxes du management, Les ditions d'organisation, Paris, 1991, p. 22. On peut aussi dfinir un organisme partir des cinq composantes suivantes : le milieu, c'est--dire le degr de complexit et d'ouverture sur l'environnement, les matires comme, par exemple, l'information et toutes les matires premires, la main d'uvre, c'est--dire le personnel, ses qualifications et sa mobilit, les mthodes concernant, par exemple, le pilotage, le dveloppement des comptences, l'obtention de l'adhsion du personnel, les matriels permettant le traitement, le transport et le soutien logistique.
Note complmentaire n3 : FIASI, extrait de la note technique n1 sur les conditions d'utilisation des entreprises extrieures, 4 mars 1993, page 1. Les rgles de scurit doivent tre dfinies et appliques en fonction du Dcret n92-158 du 20 fvrier 1992 qui prcise : "Lorsqu'une ou des entreprises, dites entreprises extrieures, font intervenir leur personnel aux fins d'excuter (ou de participer l'excution d') une opration (une ou plusieurs prestations de service ou de travaux afin de recourir un mme objectif), l'entreprise qui accueille devra organiser et assurer la coordination gnrale des mesures de prvention". Cette coordination a pour objet de prvenir les risques lis l'interface entre les activits, les installations et les matriels des diffrentes entreprises prsentes sur le lieu de travail. Ce dcret concerne tous les travaux ou prestations effectus sur le site (amnagement de locaux, travaux lectriques, dveloppements de logiciels, reportages vidos,...) sauf la construction de nouveaux btiments clos ou indpendants, mme s'ils sont situs l'intrieur de l'enceinte du site.
GS-001
94
Juillet 1994
P.S.I.
NOTES COMPLMENTAIRES
Note complmentaire n4 : G. BALANTZIAN, Les schmas directeurs stratgiques, Masson, 4me dition, Paris, 1992 : une adaptation, au cas de la scurit, d'aprs le schma sur les facteurs d'influence sur la politique des SIC, page 4.
Ce schma prcise les caractristiques qui composent une politique gnrale de l'organisme ; puis il dcrit les diffrents axes prendre en compte dans un schma directeur stratgique d'un systme d'information ainsi que l'influence de la politique des ressources sur celui-ci. La politique de scurit interne apparat donc comme une spcification de l'axe scurit du schma directeur d'un systme d'information.
GS-001
95
Juillet 1994
P.S.I.
NOTES COMPLMENTAIRES
Note complmentaire n5 : Les spcificits lies la localisation gographique de l'organisme. La dispersion gographique des sites d'un organisme peut justifier d'importants amnagements aux principes de scurit en vigueur. Par exemple, pour la scurit physique, il peut s'agir de la prise en compte des risques locaux de calamits naturelles ; pour la scurit lie l'organisation, de l'intgration de l'environnement culturel et humain local ainsi que du niveau d'interoprabilit, lequel dtermine la scurit offerte dans le cadre des communications inter-sites.
Note complmentaire n6 : On se rfre gnralement trois grandes familles d'organisation : L'organisation fonctionnelle. Chaque fonction de l'organisme forme une unit spcialise (production, logistique, finances, etc.). La prise de dcision appartient au niveau central et elle est transmise par la structure hirarchique ce qui peut gnrer la rtention d'informations et favoriser ainsi l'mergence de flux informels. L'organisation oprationnelle ou divisionnelle. L'activit est organise en divisions par produits, marchs, types de clientle, domaine d'activits stratgiques. La prise de dcisions se fait de manire dcentralise au niveau de la division. Il existe un risque de manque de communication entre les divisions qui peut ventuellement induire des communications informelles plus rapides et plus souples que par la voie de transmission normale. L'organisation matricielle. Chaque mission est le croisement de moyens communs (fonctions) auxquels elle recourt. L'organisation vise quilibrer la logique des fonctions avec la logique des domaines d'activits. L'aspect communication et dcision peut se rvler dlicat du fait des dpendances hirarchiques et fonctionnelles diffrentes pour un mme
GS-001
96
Juillet 1994
P.S.I.
NOTES COMPLMENTAIRES
individu ou une mme unit. Cela ncessite donc un effort particulier de clart dans les procdures de communication et de coordination.
GS-001
97
Juillet 1994
P.S.I.
2.1.
Les acteurs La dmarche des ITSEC identifie trois acteurs principaux qui sont concerns par l'valuation et dfinit leurs responsabilits respectives : le commanditaire de l'valuation est l'autorit propritaire du systme ou du produit qui dfinit les besoins satisfaire et qui est l'origine de la demande d'valuation. Il doit dfinir la cible de scurit pour l'valuation ; le commanditaire et le dveloppeur peuvent tre confondus, le dveloppeur est la personne qui ralise la cible d'valuation compte tenu de l'expression de besoins du commanditaire, l'valuateur est la personne qui effectue l'valuation de la scurit.
GS-001
93
Juillet 1994
P.S.I.
Une valuation ncessite la collaboration de ces trois acteurs, si possible ds le dbut du dveloppement de la cible d'valuation. Autant pour prserver le maximum d'objectivit dans les rsultats d'une valuation que pour rduire la charge et les frais de l'valuation, il est prvu que le commanditaire fournisse les lments de preuve exigs. Ceux-ci sont vrifis par l'valuateur qui doit aussi effectuer des tests complmentaires. 2.2. La cible de scurit Cette cible qui a t dfinie par le commanditaire et qui peut tre utilise pour le dveloppement du systme, contient tous les renseignements relatifs aux spcifications de la scurit. C'est l'tape fondamentale de la conception d'un systme selon les principes exposs dans la premire partie ; c'est la rfrence de base pour l'valuation selon les ITSEC. Cette cible caractrise la politique de scurit du systme (ou l'argumentaire du produit) et elle contient : les objectifs de scurit, la politique technique de scurit, donnant la spcification des fonctions de scurit, la dfinition des mcanismes de scurit (optionnelle) et l'annonce de la rsistance minimum des mcanismes de scurit, les mesures non techniques, le niveau d'valuation vis pour cette cible d'valuation correspondant au degr de confiance ncessaire. 2.3. La fonctionnalit Compte tenu de ses objectifs de scurit, la cible d'valuation doit contenir des fonctions de scurit appropries. Celles-ci peuvent tre dclares de faon explicite, ou bien en rfrence des classes prdfinies ou des normes. La spcification des fonctions de scurit est la partie la plus importante de la cible de scurit. Pour les niveaux levs, la spcification en langage naturel doit tre prcise par une spcification de type semi-formel ou formel, de faon liminer les ambiguts du langage. Ces fonctions sont regroupes logiquement suivant les huit rubriques gnriques suivantes : identification et authentification, contrle d'accs,
GS-001
94
Juillet 1994
P.S.I.
imputabilit, audit, rutilisation d'objet, fidlit, fiabilit de service, changes de donnes. 2.4. Les critres d'assurance L'valuation est conduite selon des critres permettant d'avoir l'assurance d'une part que les fonctions et mcanismes de scurit satisfont les objectifs de scurit et, d'autre part, qu'ils ont t implments et qu'ils seront exploits correctement. assurance-efficacit : les fonctions et mcanismes doivent tre efficaces pour contrer les menaces identifies. L'estimation de l'efficacit est indpendante du niveau d'valuation ; elle consiste vrifier que les fonctions sont efficaces pour satisfaire les objectifs dclars : elle porte sur la pertinence du choix des fonctions, leur cohsion, les consquences d'ventuelles vulnrabilits dcouvertes et la facilit d'emploi. Elle est faite sous deux angles diffrents en examinant les aspects suivants : sous l'angle de la construction : - pertinence du choix des fonctions, - cohsion des fonctions et mcanismes au sein de la cible d'valuation, - rsistance des mcanismes une attaque directe, - vulnrabilits dans la construction de la cible d'valuation, sous l'angle de l'exploitation : -facilit d'emploi pour une exploitation sre, -vulnrabilits en exploitation. assurance-conformit : les fonctions et mcanismes doivent tre correctement dvelopps et exploits. L'estimation de la conformit est directement lie au niveau d'valuation choisi (E1 E6), c'est--dire que les exigences de conformit sont d'autant plus grandes que le niveau est lev ; elle consiste tudier la manire dont la cible d'valuation a t construite et dont elle sera exploite. L'estimation de la conformit est ralise partir des critres correspondant au niveau d'valuation vis. Ces critres ont tous la mme
GS-001
95
Juillet 1994
P.S.I.
structure mais ils se diffrencient par leur niveau de dtail, en particulier dans l'examen du processus de dveloppement.
GS-001
96
Juillet 1994
P.S.I.
L encore, la cible d'valuation est examine sous les angles de la construction et de l'exploitation puis, dans chaque cas, sous diffrents aspects ou phases ; sous l'angle de la construction : - le processus de dveloppement, - l'environnement de dveloppement, sous l'angle de l'exploitation : - la documentation d'exploitation, - l'environnement d'exploitation. C'est au commanditaire de l'valuation que revient la charge de fournir toute la documentation ncessaire, en respectant les exigences de contenu et de prsentation ainsi que, partir du niveau E2, les lments de preuve issus des rsultats des tests effectus pendant le dveloppement. Le rsultat de l'valuation, en cas de succs, est une confirmation que la cible d'valuation satisfait ses objectifs de scurit avec un niveau d'assurance correspondant au niveau d'valuation vis. Si une vulnrabilit exploitable, au niveau considr, a t dcouverte au cours de l'valuation et n'a pas t limine, la cible d'valuation recevra le niveau E0. 2.5. Conclusion Au del d'un simple catalogue de critres, les ITSEC proposent une approche mthodique et cohrente pour examiner la faon dont est prise en compte la scurit dans la conception, le dveloppement et l'exploitation d'un systme d'information. Cette approche exige en particulier que les objectifs de scurit aient t dfinis au pralable pour que l'on puisse apprcier, grce l'valuation, la manire dont les fonctions de scurit parviennent les satisfaire. L'laboration de ces critres a t guide par le souci de prserver le maximum d'objectivit dans les rsultats d'une valuation. Ils sont utilisables pour l'valuation d'une gamme trs large de produits de scurit et de systmes d'information scuriss. De plus, leur adoption par une communaut internationale est favorable au dveloppement du march de la scurit. La Commission de l'Union Europenne a prvu une recommandation du Conseil pour promouvoir l'utilisation des ITSEC au sein de la Communaut. L'ISO entame des travaux en matire de normalisation de critres d'valuation sur la base des ITSEC. De mme, l'OTAN travaille la reformulation de ses propres critres. La prise en compte des ITSEC a t officialise pour l'administration franaise. Ils constituent la pice importante de l'uvre de scurisation dont
GS-001
97
Juillet 1994
P.S.I.
l'objectif est d'amliorer la scurit et, pour cela, de faire natre un march de produits dvelopps conformment aux nouveaux besoins des utilisateurs. Il est important que ces utilisateurs, au sens large, soient bien persuads que seule une approche globale comme celle qui a t prsente ci-dessus peut permettre de bien traiter le problme de la scurit du traitement de l'information, problme qui ne peut tre rsolu que s'il a t clairement dfini.
POLITIQUE DE SCURIT INTERNE EXPRESSION DES BESOINS DE SCURIT QUOI PROTEGER ? POURQUOI ?, CONTRE QUELLES MALVEILANCES ?, SOUS QUELLES CONTRAINTES ? , ET CHOIX FIXES A PRIORI ? ANALYSE DE RISQUES
RAPPORT COUT / EFFICACITE, FAISABILITE
EBIOS
(FEROS)
OBJECTIF DE SCURIT
CE QUE, TOUT BIEN PESE, IL EST DECIDE DE PROTEGER, POURQUOI ET CONTRE QUI
FONCTIONNALITE
DSIS
EVALUATION
FOURNITURES
DEVELOPPEMENT
GS-001
98
Juillet 1994
P.S.I.
GS-001
99
Juillet 1994
P.S.I.
3.1.
Introduction
Adopte par les 24 pays membres de l'OCDE, la version actuelle (novembre 1992) de ces lignes directrices constitue un document de rfrence de porte internationale. Elles ont pour but de sensibiliser aux risques menaant les systmes d'information, d'aider les personnes responsables de la scurit des systmes d'information et de promouvoir la coopration internationale dans ce domaine. Elles se prsentent sous la forme des principes rsums ci-aprs.
3.2.
Principe de responsabilit
Les attributions et responsabilits des propritaires, des fournisseurs, des utilisateurs de systmes d'information et des autres parties concernes par la scurit des systmes d'information, doivent tre explicitement exprimes.
3.3.
Principe de sensibilisation
Pour favoriser la confiance envers les systmes d'information, les propritaires, les fournisseurs, les utilisateurs et toute autre entit concerne doivent pouvoir connatre, de faon compatible avec le maintien de la scurit, tout moment l'existence et l'ampleur des mesures, pratiques et procdures visant la scurit des systmes d'information.
3.4.
Principe d'thique
La fourniture et l'utilisation des systmes d'information, ainsi que la mise en uvre de leur scurit doivent tre telles que les intrts lgitimes des tiers soient respects.
GS-001
93
Juillet 1994
P.S.I.
3.5.
Principe de pluridisciplinarit
Les mesures, pratiques et procdures de scurit des systmes d'information doivent prendre en compte toutes les considrations pertinentes qu'elles soient d'ordre technique ou administratif, et concernant l'organisation, l'exploitation, le commerce, l'ducation ou le droit.
3.6.
Principe de proportionnalit
Les niveaux, cots, mesures, pratiques et procdures de scurit doivent tre appropris et proportionns la valeur et au degr de dpendance envers les systmes d'information, ainsi qu' la gravit, la probabilit et l'ampleur des ventuels prjudices.
3.7.
Principe d'intgration
Les mesures, pratiques et procdures de scurit des systmes d'information doivent tre coordonnes et harmonises entre elles et les autres mesures, pratiques et procdures de l'organisme, afin de raliser un dispositif de scurit cohrent.
3.8.
Principe d'opportunit
Les organismes publics ou privs, au plan national et international, doivent agir en temps opportun de manire coordonne afin d'empcher les atteintes la scurit des systmes d'information, ou d'y faire face.
3.9.
Principe de rvaluation
La scurit des systmes d'information doit tre rvalue priodiquement car les systmes d'information et les exigences de scurit varient dans le temps.
3.10. Principe de dmocratie La scurit des systmes d'information doit tre compatible avec l'utilisation et la circulation lgitimes des donnes et des informations dans une socit dmocratique.
GS-001
94
Juillet 1994
P.S.I.
4.1.
Codes d'thique de l'IFIP (International Federation for Information Processing) Un code d'thique a t labor par l'IFIP (International Federation for Information Processing) dont l'AFCET est membre, pour la France. Ce code s'adresse non seulement aux professionnels de l'informatique mais encore aux organisations multinationales de l'informatique et tous ceux qui se sentent concerns par les problmes juridiques internationaux de l'informatique et par les rgles publiques en ce domaine. Le code est constitu des rubriques suivantes: thique professionnelle des personnes, thique des organisations internationales, thique pour la lgislation internationale, thique pour la politique internationale.
4.2.
4.2.1. Association Franaise des Informaticiens (AFIN) Un code d'thique, labor par l'Association franaise des informaticiens, est destin guider l'informaticien sur ses devoirs et droits. Le texte du code peut tre adjoint aux contrats de travail et fait rfrence devant le Conseil des prud'hommes. Le texte s'articule autour de quatre grands chapitres : informaticiens et entreprise, entreprise et informaticiens, informaticien prestataire, informaticien vis--vis de ses confrres.
GS-001
93
Juillet 1994
P.S.I.
4.2.2. CLUb de la Scurit Informatique Franais (CLUSIF) Code d'thique, 13 janvier 1991. Ce code s'adresse en priorit aux membres du CLUSIF qui doivent s'y conformer sous peine d'exclusion. Il est recommand tous les professionnels ou utilisateurs de l'informatique. Le code du CLUSIF aborde les principes d'thique selon les aspects suivants : rgles gnrales, partie applicable aux consultants, niveau schma directeur de la scurit des systmes d'information, partie applicable aux intervenants, niveau conception dtaille, partie applicable aux intervenants, niveau ralisation, partie applicable aux intervenants, niveau contrle, partie applicable aux intervenants, niveau maintenance. 4.3. Autres codes d'thique dans le monde
4.3.1. Association for Computing Machinery (ACM) 4.3.1.1. Code of Professionnal Conduct, 1972
Ce code prsente des principes gnraux, chacun tant dclin sous l'aspect de l'thique professionnelle et sous formes de rgles appliquer. Les principes gnraux s'adressent tout membre de l'ACM et sont les suivants : l'intgrit, la comptence professionnelle, la responsabilit professionnelle, l'utilisation de ses comptences pour l'amlioration du bien-tre de l'humanit. 4.3.1.2. Code of Ethics and Professionnal Conduct
Ce code identifie les situations que les professionnels peuvent rencontrer et fournit des conseils pour y faire face. Il est dcoup en 4 sections : impratifs moraux gnraux,
GS-001
94
Juillet 1994
P.S.I.
responsabilits professionnelles plus spcifiques, impratifs relatifs aux dirigeants, respect du code. 4.3.2. British Computer Society (BCS) Code of Conduct, 1990. Ce code s'adresse aux membres de la BCS. Les principes de base du code concernent : la conduite professionnelle, l'intgrit professionnelle, la prservation de l'intrt public et du droits des tiers, la fidlit l'employeur ou au client et le respect de la confidentialit des informations de l'employeur ou du client, la comptence technique, l'impartialit. 4.3.3. American Society for Information Science (ASIS) Code of Ethics for Information Professionals. Ce code s'applique aux membres de l'ASIS, il aborde les domaines suivants : responsabilit envers les employeurs, les clients et les utilisateurs, responsabilit envers la profession, responsabilit envers la socit. 4.3.4. Computer Professionals for Social Responsibility (CPSR) and Privacy International (PI) Code of Fair Information Practices to promote information privacy. Les thmes abords concernent les donnes sur les personnes : ne pas utiliser de donnes personnelles dans un autre but que celui initialement prvu sans consentement spcifique, ne collecter que l'information ncessaire, assurer l'intgrit des donnes, informer les sujets de la mmorisation et de l'usage des informations qui les concernent, leur donner le droit de vrification et de correction, tablir et diffuser la politique relative la protection de la vie prive.
GS-001
95
Juillet 1994
P.S.I.
GS-001
96
Juillet 1994
P.S.I.
GS-001
97
Juillet 1994
P.S.I.
Annexe 5 Textes lgislatifs et rglementaires relatifs aux informations relevant du secret de dfense
GS-001
98
Juillet 1994
P.S.I.
5.2.
Ce paragraphe doit tre complt - tout particulirement pour la rglementation sur la cryptologie et les signaux parasites compromettants - par le Rpertoire des documents relatifs la scurit des systmes d'information n980/SCSSI (Diffusion restreinte), mise jour et dit par le SCSSI, 18 rue du Dr Zamenhof, 91131 Issy-les-Moulineaux. 5.2.1. Instruction interministrielle n500bis/SGDN/TTS/SSI/DR du 18 octobre 1996 relative au chiffre dans la scurit des systmes d'information 5.2.2. Instruction interministrielle n910/SGDN/SSD/DR et n910/SGDN/DISSI/SCSSI/DR du 19 dcembre 1994 sur les articles controls de la scurit des systmes d'information (ACSSI). 5.2.3. Instruction Interministrielle n300/SGDN/TTS/SSI/DR du 21 juin 1997 relative la protection contre les signaux parasites compromettants. 5.2.4. Instruction gnrale interministrielle n1300/SGDN/SSD/DR du 12 mars 1982 relative la protection du secret et des informations concernant la Dfense nationale et la sret de l'tat. 5.2.5. Instruction Interministrielle n2000/SGDN/SSD/DR du 1er octobre 1986 relative la protection du secret et des informations concernant la dfense nationale et la sret de l'tat dans les marchs et autres contrats. 5.2.6 Instructions gnrales interministrielles n900/SGDN/SSD/DR et n900/DISSI/SCSSI/DR du 20 juillet 1993 relative la scurit des systmes d'information qui font l'objet d'une classification de dfense pour eux-mmes ou pour les informations traites. 5.2.7. Directive n485/SGDN/DISSI/SCSSI/DR du 15 dcembre 1988 relatif l'installation des sites et systmes d'information : protection contre les signaux compromettants.
GS-001
99
Juillet 1994
P.S.I.
Annexe 6 Textes lgislatifs et rglementaires relatifs aux informations ne relevant pas du secret de dfense
6.1. Textes fondamentaux
6.1.1. Code pnal Art. 226-1 et 226-2 : relatifs aux secrets de la vie prive. Art 226-13 et 226-14 : relatifs au secret professionnel Art. 411-6 411-8, Art. 411-10, Art. 414-1 414-9 relatifs aux informations ne relevant pas du secret de dfense. 6.1.2. Loi n68-678 du 26 juillet 1968 Loi n80-538 du 16 juillet 1980 relatives aux secrets conomiques et industriels. Code de la proprit intellectuelle : Art. L621 relatif au secret de fabrique. 6.1.3. Contrle de la destination finale Dcret du 30 novembre 1944. Arrt du 30 janvier 1967. Avis n9 du 24 janvier 1992, modifications du 8 mai et du 27 aot 1992, complment du 30 dcembre 1992. Avis du Ministre de l'conomie, des Finances et du Budget du 2 janvier 1992, relatif aux produits et technologies soumis au contrle de la destination finale, modifi par l'avis du 8 mai 1992 et par l'avis du 30 dcembre 1992. Remarque : un rglement europen est en projet.
GS-001
93
Juillet 1994
P.S.I.
GS-001
94
Juillet 1994
P.S.I.
GS-001
93
Juillet 1994
P.S.I.
7.1.7. Loi n91-646 du 10 juillet 1991 relative au secret des correspondances mises par la voie des tlcommunications. L'art. 25 prcise les peines encourues par quiconque aura illgalement intercept, dtourn, utilis ou divulgu des correspondances transmises par la voie des tlcommunications. Art. 226-3 et 226-15 alina 2 du Code pnal. Art. Art. 432-9 du Code pnal. 7.1.8. Loi n92-546 du 20 juin 1992 relative au dpt lgal 7.1.9. Loi n92-597 du 1er juillet 1992 relative au code de la proprit intellectuelle (partie lgislative) 7.1.10. Loi n94-361 du 10 mai 1994 relatif la protection des logiciels. 7.1.11. Dcret n62-53 du 10 janvier 1962 portant publication de la cnvention rvise pour la protection de la proprit intellectuelle. 7.1.12. Dcret n74-743 du 21 aot 1974 portant publication de la Convention de Berne pour la protection des uvres littraires et artistiques. 7.1.13. Circulaire du 17 octobre 1990 du Premier ministre relative la protection juridique des logiciels. 7.1.14. Code de la proprit intellectuelle, issu de la loi n92-597 du 1 juillet 1992, modifie par la loi n94-102 du 5 fvrier 1994 relative aux droits d'auteurs. 7.1.15. Code des Postes et Tlcommunications, art. L.41 relatif au secret de la correspondance confie aux services de tlcommunications.
GS-001
94
Juillet 1994
P.S.I.
95
Juillet 1994
P.S.I.
fixant les modalits d'tablissement de la demande de licence d'exportation des moyens de cryptologie et d'utilisation de cette licence.
GS-001
96
Juillet 1994
P.S.I.
GS-001
97
Juillet 1994
P.S.I.
Annexe 8 Les guides mthodologiques dvelopps par le Service Central de la Scurit des Systmes d'Information
Les ITSEC dfinissent le cadre de l'valuation d'un systme ou d'un produit conu selon les principes exposs dans l'annexe prcdente ; cette dmarche d'ensemble comprend les tapes suivantes : l'expression des besoins et l'identification des objectifs de scurit cette tape ncessite une analyse complte et rigoureuse selon les principes exposs dans le chapitre 6 du prsent guide. Le SCSSI a mis au point un guide mthodologique pour faciliter cette analyse : Le guide EBIOS et sa fiche de synthse FEROS (Fiche d'Expression Rationnelle des Objectifs de Scurit). le choix des fonctions de scurit et du niveau d'valuation pour des objectifs donns la dmarche qui doit guider la conception d'un systme conduit dfinir ses objectifs de scurit ; une fois ces objectifs fixs, les fonctions de scurit et le niveau d'valuation sont choisis de faon les satisfaire. Mais ce choix est une tape dlicate de la conception qui ncessite de la part du concepteur beaucoup d'exprience et de savoir-faire. Le SCSSI a mis au point un guide pour faciliter ce choix : ROSCOF (Ralisation des objectifs de scurit par le choix de fonctions). et, un document plus spcifique traitant de Classes de fonctions de scurit pour Ateliers de Gnie Logiciel : F-SEE-1 enfin, la prise en compte de la scurit au cours du dveloppement une fois la cible de scurit dfinie, la phase de dveloppement du systme doit galement tre conduite de faon sre. Le SCSSI a mis au point un guide pour faciliter cette dmarche : DSIS (Dveloppement de systmes d'information scuriss).
GS-001
93
Juillet 1994
P.S.I.
GS-001
94
Juillet 1994
P.S.I.
GS-001
93
Juillet 1994
P.S.I.
GS-001
94
Juillet 1994
P.S.I.
Rappel : "3" : rgle de base - " s " : rgle caractre majeur pour organismes sensibles La rgle prvoit........................................................................................................................................................................ page v v v v v v v PSI-001 PSI-002 INF-001 INF-002 INF-003 INF-004 INF-005 INF-006 INF-007 INF-008 INF-009 INF-010 INF-011 BPH-001 La responsabilit gnrale pour la scurit du systme d'information de l'organisme Les responsabilits pour l'laboration et la mise en uvre d'une politique de scurit interne Les directives d'application pour la protection juridique des informations de l'organisme La protection des informations confies l'organisme L'adoption d'une classification des informations sensibles L'adoption d'une classification des informations vitales L'adoption d'une classification des informations nominatives L'adoption d'une classification des informations stratgiques L'adoption d'une classification des informations coteuses Les critres d'apprciation de la nature et de la valeur des informations recueillies Les critres de diffusion interne des informations Les critres de diffusion externe des informations Les normes de conservation et de destruction des informations ncessitant une protection La prise en compte des contraintes oprationnelles de l'organisme dans la mise en place des moyens et 31 31 33 34 35 36 36 37 37 38 38 39 39
v v v v
procdures de scurit physique 42 v BPH-002 La gradation des mesures de protection physique 43 v BPH-003 L'adquation des mesures de protection aux catgories de biens physiques 44 v BPH-004 Le contrle permanent de l'intgrit des moyens de protection 44 v BPH-005 Le dcoupage de l'infrastructure en zones de scurit 45 BPH-006 La continuit dans la gestion des biens physiques 45 v BPH-007 La gestion spcifique des biens physiques ncessitant une protection 46 v OGS-001 Les responsabilits du niveau dcisionnel 47 v OGS-002 Les responsabilits du niveau de pilotage 49 v OGS-003 Les responsabilits du niveau oprationnel 49 v OGS-004 Les circonstances retenues par le niveau dcisionnel pour mettre en uvre les contrles de scurit 50 OGS-005 Les modalits des contrles par le niveau de pilotage 51 v OGS-006 La continuit du contrle de scurit par le niveau oprationnel 51 v PER-001 L'adoption de critres de slection pour le personnel travaillant sur les systmes d'information sensibles 54 v PER-002 L'adoption d'une procdure d'habilitation pour les postes de travail sensibles 54 v PER-003 Le cloisonnement des postes de travail sensibles 55 PER-004 La rotation du personnel affect aux postes de travail sensibles 55 v PER-005 La dfinition des objectifs de la sensibilisation la scurit 56 PER-006 L'adaptation de la sensibilisation aux diffrentes classes d'utilisateurs 56 v PER-007 L'application de la notion de responsable-dtenteur 57 PER-008 L'application de la notion de responsable-dpositaire 58 v PER-009 L'application de la notion de reconnaissance de responsabilit 58 v PER-010 L'application des modalits d'accueil et de circulation des visiteurs 59 v CVE-001 La dfinition des besoins de scurit 63 v CVE-002 L'laboration d'une cible de scurit 64 v CVE-003 L'adoption de mthodes et d'outils de dveloppement approuvs pour garantir la scurit du systme d'information 65 CVE-004 L'adoption d'un standard de programmation et de codage des donnes 66 v CVE-005 La sparation des tches de dveloppement et des tches techniques ou oprationnelles 66 CVE-006 Les critres d'acquisition et les conditions d'usage de progiciels 67 v CVE-007 La gestion des prestations de services externes 67 v CVE-008 Les conditions de mise en exploitation de tout nouveau constituant du systme d'information 68 v CVE-009 L'application de la notion de profil d'utilisateur du systme d'information 69 v CVE-010 L'unicit de l'identit des utilisateurs 70 v CVE-011 La notion de compltude des moyens d'authentification 70 v CVE-012 L'administration des privilges d'utilisation du systme d'information 71 v CVE-013 Le contrle des privilges des utilisateurs du systme d'information 71 v CVE-014 Les procdures d'exploitation scurise des informations et des donnes 73 v CVE-015 Le contrle des logiciels avant leur mise en exploitation 74 v CVE-016 Le contrle des supports amovibles avant leur mise en exploitation 75 v CVE-017 Les contrles de scurit en phase d'exploitation du systme d'information 75 v CVE-018 L'analyse des enregistrements des donnes de contrle de scurit 76 v CVE-019 Les procdures d'exploitation scurise des moyens dcentraliss, ddis ou dports hors de leur zone de scurit 76 v CVE-020 Le cadre contractuel pour les changes de donnes scuriss 78 v CVE-021 Les modalits d'utilisation scurise des rseaux de tlcommunication de l'organisme 78 v CVE-022 Les modalits d'utilisation scurise des rseaux de tlcommunication externes l'organisme 79 v CVE-023 La protection des informations durant leur transmission 80 v CVE-024 Les conditions de scurit pour la mise en maintenance des constituants du systme d'information 81 v CVE-025 Les conditions de scurit pour la remise en fonctionnement des constituants aprs leur maintenance 82 v CVE-026 Le suivi des oprations de maintenance des constituants du systme d'information 82 v CVE-027 Les conditions d'usage de la tlmaintenance 83 GS-001
95
Juillet 1994
P.S.I. CVE-028 CVE-029 CVE-030 CVE-031 CVE-032 v CVE-033 v CVE-034 CVE-035 CVE-036 CVE-037 CVE-038 v v v v
LISTE DES RGLES CONTENUES DANS LE GUIDE L'adoption d'un standard d'laboration de la documentation de scurit La gestion de la documentation de scurit La protection de la documentation de scurit La mise en place d'un rseau d'alerte pour la dtection des incidents de scurit La matrise des incidents de scurit L'laboration et le test d'un plan de reprise d'activit du systme d'information Le suivi des incidents de scurit L'valuation du niveau de confiance accord au systme d'information : l'valuation et la certification L'agrment et l'homologation du systme d'information Les circonstances qui justifient une rvaluation du systme d'information selon les ITSEC Le recours une tude prospective sur l'volution de la scurit du systme d'information 83 84 84 85 86 86 87 89 90 90 91
GS-001
96
Juillet 1994