Les recommandations de l'Anssi pour les SI sensibles

L’Agence nationale pour la sécurité des systèmes d’information vient de publier une circulaire comportant des instructions pour la protection des systèmes dits sensibles – « ceux qui traitent d’informations dont la divulgation à des personnes non autorisées, l’altération ou l’indisponibilité sont de nature à porter atteinte à la réalisation des entités qui les mettent en œuvre » - et ceux classés « diffusion restreinte ».

Dans ses principes, la circulaire s’appuie sur ce que certains ne manqueront pas d’identifier comme des pratiques de référence, à commencer par la mise en place d’une « organisation consacrée à la sécurité des systèmes d’information, incluant des volets préventifs et défensifs et reposant sur des moyens humains, matériels et financiers identifiés », ou encore l’évaluation périodique des risques, « dans une démarche d’amélioration continue », et également « défendre en profondeur » en prenant en compte la sécurité « dès la conception ». Sans surprise, le document renvoie également aux « règles élémentaires d’hygiène informatique » de l’Anssi.

La circulaire de l’agence couvre de nombreux aspects et ne s’arrête pas à la seule sécurité logique : elle porte également sur a sécurité physique et sur l’organisation. Le cas de l’externalisation est en outre abordé, mais uniquement pour les systèmes classés diffusion restreinte.

Guillaume Poupard, directeur général de l'Anssi, lors de l'édition 2015 du Forum International de la Cybersécurité.

Là, l’Anssi renvoie à son guide sur l’infogérance, tout en précisant que le contrat d’externalisation doit respecter les règles prévues par la circulaire. Et l’agence d’ajouter que « la prestation s’effectue, dans la mesure du possible, à partir du territoire national ». Mais il n’est toutefois que « recommandé » de recourir à des « prestataires de services de confiance qualifiés par l’Anssi ». Il faut rappeler que cette dernière vient tout récemment d’engagement le processus de qualification des prestataires de services.

Ces recommandations concernent, sans surprise, les administrations de l’état, mais pas uniquement. Elles s’appliquent aussi aux « entités publiques ou privées » qui mettent en œuvre des systèmes d’information classés diffusion restreinte ou sensible, dans le cas des organisations « soumises à la réglementation relative à la protection du potentiel scientifique et technique de la nation ». Pour les autres, il ne s’agit que de « recommandations ».

Guillaume Poupard, directeur général de l’Anssi, a signé cette circulaire le 28 janvier dernier. Les entités concernées ont dès lors 3 ans pour se mettre en conformité avec ses dispositions.