You are on page 1of 42

POLITIQUE DE SCURIT

DES SYSTMES DINFORMATION DE LTAT


Version 1.0

HISTORIQUE DES VERSIONS


DATE

VERSION

17/07/2014

1.0

VOLUTION DU DOCUMENT
Publication de la premire version de la Politique de scurit des systmes dinformation
de lEtat.

Les commentaires sur le prsent document sont adresser :


Agence nationale de la scurit
des systmes dinformation
SGDSN/ANSSI
Bureau de la maitrise des risques
et de la rglementation
51 boulevard de La Tour-Maubourg
75700 Paris 07 SP
reglementation [at] ssi.gouv.fr

Le prsent document a t approuv par la circulaire du Premier ministre n 5725/SG


(NOR : PRMX1420095C) du 17 juillet 2014. Il est disponible en ligne sur le site
institutionnel de lANSSI (www.ssi.gouv.fr).

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

2/42

Prambule ........................................................................................................................................................................5
Premire Partie : instruction.........................................................................................................................................7
Article 1. Objet de linstruction ...............................................................................................................................8
Article 2. Champ dapplication ................................................................................................................................8
Article 3. Date dentre en vigueur ........................................................................................................................8
Article 4. Dispositions transitoires ........................................................................................................................8
Article 5. Formation des agents ..............................................................................................................................8
Article 6. Pilotage et volutions de la PSSIE ......................................................................................................9
Article 7. Organisation de ltat pour la mise en application de la PSSIE..............................................9
Article 8. Mise en application ministrielle de la PSSIE ............................................................................. 10
Article 9. Contrle et suivi de lapplication de la PSSIE ............................................................................. 11
Article 10. Traitement des incidents et gestion de crise ........................................................................... 12
Deuxime Partie : objectifs et rgles ....................................................................................................................... 13
Politique, organisation, gouvernance ................................................................................................................ 14
Organisation de la scurit des systmes dinformation ..................................................................... 14
Ressources humaines ............................................................................................................................................... 16
Gestion des biens ....................................................................................................................................................... 17
Intgration de la SSI dans le cycle de vie des systmes dinformation ................................................ 18
Gestion des risques et homologation de scurit ................................................................................... 18
Maintien en condition de scurit des systmes dinformation ....................................................... 18
Produits et services labelliss ......................................................................................................................... 19
Gestion des prestataires .................................................................................................................................... 19
Scurit physique ...................................................................................................................................................... 20
Scurit physique des locaux abritant les SI ............................................................................................. 20
Scurit physique des centres informatiques .......................................................................................... 21
SI de sret.............................................................................................................................................................. 22
Scurit des rseaux ................................................................................................................................................. 23
Scurit des rseaux nationaux ...................................................................................................................... 23
Scurit des rseaux locaux ............................................................................................................................. 23
Accs spcifiques .................................................................................................................................................. 24
Scurit des rseaux sans fil ............................................................................................................................ 24
Scurisation des mcanismes de commutation et de routage ........................................................... 24
Cartographie rseau ............................................................................................................................................ 25
Architecture des SI .................................................................................................................................................... 26
Architecture des centres informatiques ..................................................................................................... 26
Exploitation des SI ..................................................................................................................................................... 27
Protection des informations sensibles ........................................................................................................ 27
Politique de scurit des systmes dinformation de lEtat
Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

3/42

Scurit des ressources informatiques ....................................................................................................... 27


Gestion des autorisations et contrle daccs logique aux ressources........................................... 27
Exploitation scurise des ressources informatiques........................................................................... 29
Dfense des systmes dinformation ............................................................................................................ 32
Exploitation des centres informatiques ...................................................................................................... 33
Scurit du poste de travail ................................................................................................................................... 35
Scurisation des postes de travail ................................................................................................................. 35
Scurisation des imprimantes et copieurs multifonctions.................................................................. 37
Scurisation de la tlphonie........................................................................................................................... 37
Contrles de conformit .................................................................................................................................... 37
Scurit du dveloppement des systmes ...................................................................................................... 38
Dveloppement des systmes ......................................................................................................................... 38
Dveloppements logiciels et scurit........................................................................................................... 38
Applications risques ........................................................................................................................................ 39
Traitement des incidents ........................................................................................................................................ 40
Chanes oprationnelles .................................................................................................................................... 40
Continuit dactivit.................................................................................................................................................. 41
Gestion de la continuit dactivit des SI .................................................................................................... 41
Conformit, audit, inspection, contrle ............................................................................................................ 42
Contrles .................................................................................................................................................................. 42

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

4/42

Prambule
La politique de scurit des systmes dinformation de ltat (PSSIE) contribue :

assurer la continuit des activits rgaliennes ;

prvenir la fuite dinformations sensibles ;

renforcer la confiance des citoyens et des entreprises dans les tlprocdures.

Le prsent document dfinit les mesures de scurit applicables aux systmes dinformation
de ltat. Il sappuie sur 10 principes stratgiques :

P1. Lorsque la matrise de ses systmes dinformation lexige, ladministration fait


appel des oprateurs et des prestataires de confiance.

P2. Tout systme dinformation de ltat doit faire lobjet dune analyse de risques
permettant une prise en compte prventive de sa scurit, adapte aux enjeux du
systme considr. Cette analyse sinscrit dans une dmarche damlioration
continue de la scurit du systme, pendant toute sa dure de vie. Cette
dmarche doit galement permettre de maintenir jour une cartographie prcise
des systmes dinformation en service.

P3. Les moyens humains et financiers consacrs la scurit des systmes


dinformation de ltat doivent tre planifis, quantifis et identifis au sein des
ressources globales des systmes dinformation.

P4. Des moyens dauthentification forte des agents de ltat sur les systmes
dinformation doivent tre mis en place. Lusage dune carte puce doit tre
privilgi.

P5. Les oprations de gestion et dadministration des systmes dinformation de


ltat doivent tre traces et contrles.

P6. La protection des systmes d'information doit tre assure par lapplication
rigoureuse de rgles prcises. Ces rgles font l'objet de la prsente PSSIE.

P7. Chaque agent de ltat, en tant quutilisateur dun systme dinformation, doit
tre inform de ses droits et devoirs mais galement form et sensibilis la
cyberscurit. Les mesures techniques mises en place par ltat dans ce domaine
doivent tre connues de tous.

P8. Les administrateurs des systmes dinformation doivent appliquer, aprs


formation, les rgles lmentaires dhygine informatique.

P9. Les produits et services acquis par les administrations et destins assurer la
scurit des systmes dinformation de ltat doivent faire lobjet dune valuation
et dune attestation pralable de leur niveau de scurit, selon une procdure
reconnue par lANSSI ( labellisation ).

P10. Les informations de ladministration considres comme sensibles, en raison


de leurs besoins en confidentialit, intgrit ou disponibilit, sont hberges sur le
territoire national.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

5/42

La PSSIE sadresse lensemble des agents de ltat, et tout particulirement :

aux autorits hirarchiques, qui sont responsables de la scurit des informations


traites au sein de leurs services ;

aux agents chargs des fonctions de directeurs des systmes dinformation (DSI) ;

aux personnes charges de la scurit et de lexploitation des systmes


dinformation.

La PSSIE nonce des mesures techniques gnrales, qui constituent un socle minimal. Pour
certaines applications, ce socle minimal ne devra pas tre considr comme suffisant.
Chaque ministre sappuiera sur la PSSIE, sur les normes existantes et sur les guides
techniques de lANSSI pour laborer des mesures techniques dtailles.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

6/42

Premire Partie : instruction

Article 1. Objet de linstruction


La prsente instruction fixe les conditions de mise en uvre de la politique de scurit des
systmes dinformation de ltat (PSSIE).

Article 2. Champ dapplication


La PSSIE sapplique tous les systmes dinformation (SI) des administrations de ltat :
ministres, tablissements publics sous tutelle d'un ministre, services dconcentrs de
l'Etat et autorits administratives indpendantes. Ces administrations sont dnommes
entits dans le reste du texte.
La PSSIE concerne lensemble des personnes physiques ou morales intervenant dans ces
SI, qu'il s'agisse des administrations de ltat et de leurs agents ou bien de tiers (prestataires
ou sous-traitants) et de leurs employs.
La PSSIE ne simpose pas aux systmes aptes traiter des informations classifies de
dfense, soumis un corpus rglementaire spcifique. Il appartient aux responsables des
entits concernes dassurer une cohrence entre les dispositions de la prsente PSSIE et
la rglementation relative la protection des informations classifies de dfense.
La plupart des rgles de scurit de la PSSIE constituent des rgles de base qui devraient
pouvoir tre appliques plus largement, au-del des administrations de ltat.

Article 3. Date dentre en vigueur


La PSSIE entre en vigueur le jour de sa publication.

Article 4. Dispositions transitoires


La mise en application de la PSSIE seffectue selon les rgles suivantes :

les SI des administrations de ltat devront tre en conformit totale dans les trois
ans suivant la publication de la PSSIE ;

les entits devront, au 1 janvier 2015, avoir mis en conformit leur politique de
scurit des systmes dinformation (PSSI) et dfini un plan daction. Celui-ci
tiendra compte des impacts sur les activits ainsi que des moyens financiers et
humains mettre en uvre. Il sera tabli un calendrier de mise en conformit
indiquant les mesures prendre dans l'immdiat puis court et long terme.

er

Article 5. Formation des agents


Les ministres forment leurs agents chargs dappliquer la PSSIE. Ces derniers doivent tre
sensibiliss la scurit des SI (SSI) et au respect des rgles de scurit. Les agents
exploitant les SI ou assurant des missions en lien avec la SSI font lobjet de formations
adaptes, dispenses par les ministres eux-mmes.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

8/42

Article 6. Pilotage et volutions de la PSSIE


La PSSIE est amene voluer dans le temps. Elle pourra notamment tre revue afin de
prendre en compte :

les volutions des menaces et les retours dexprience des traitements


dincidents ;

les rsultats danalyses de risques ainsi que les actions dcoulant de contrles ou
dinspections ;

les volutions
technologique.

des

contextes

organisationnel,

juridique,

rglementaire

et

Le suivi de ces volutions est assur par un groupe de pilotage prsid par lANSSI,
compos de reprsentants de la Prsidence de la Rpublique, des services du Premier
ministre, de la direction interministrielle des systmes dinformation et de communication
(DISIC) et des ministres. Ce groupe a pour principales missions :

de suivre la mise en uvre de la PSSIE ;

de proposer des mises jour ;

de proposer des documents complmentaires et des directives permettant den


faciliter ou den prciser la mise en uvre ;

de suivre les volutions des documents techniques.

Article 7. Organisation de ltat pour la mise en


application de la PSSIE
Une organisation spcifique, destine assurer la scurit et la dfense des SI, est mise en
place tous les niveaux de ltat et au sein de chaque entit.
LANSSI assure la fonction dautorit nationale de scurit et de dfense des systmes
dinformation, conformment au dcret n 2009-834 du 7 juillet 2009. A ce titre, et dans le
cadre des orientations fixes par le Premier ministre, lANSSI dcide des mesures que ltat
met en uvre pour rpondre aux crises affectant ou menaant la scurit des systmes
dinformation des autorits publiques et des oprateurs dimportance vitale. Elle coordonne
laction gouvernementale en la matire.
Dans le cadre de ses missions, lANSSI :

est charge dlaborer les mesures de protection des SI proposes au Premier


ministre et de veiller leur application. Cest dans ce cadre que la prsente PSSIE
a t dfinie ;

est charge de mener des inspections des systmes dinformation au sein des
services de ltat ;

tablit et tient jour en permanence la situation des systmes dinformation de


ltat, en liaison avec les chanes fonctionnelles SSI et les directions des systmes
dinformation (DSI) des ministres ;

met en uvre un centre de dtection charg de la surveillance permanente des


rseaux, afin de ragir au plus tt en cas dattaque informatique ;
Politique de scurit des systmes dinformation de lEtat

Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

9/42

assure des changes dinformations avec les constructeurs de matriels, les


diteurs de logiciels ainsi que les oprateurs de communications lectroniques et
les oprateurs dimportance vitale, afin de mieux comprendre les mcanismes
dattaques, dtudier les parades possibles et de favoriser la diffusion rapide des
correctifs de scurit.

Au niveau ministriel, lorganisation fonctionnelle en matire de scurit des SI sappuie sur


1
le haut fonctionnaire de dfense et de scurit (HFDS) , lui-mme assist par un
fonctionnaire de scurit des systmes dinformation (FSSI), ou sur les personnes assurant
ces fonctions au sein de la Prsidence de la Rpublique. Le HFDS est responsable de
l'application gnrale de la PSSIE.
Chaque entit est place sous la responsabilit dune autorit qualifie en scurit des
systmes dinformations (appele AQSSI). Cette autorit a notamment pour mission de
dsigner, sur son primtre de comptence, les autorits dhomologation de scurit des SI.
Lautorit qualifie est assiste par un ou plusieurs responsables de la scurit d'un systme
2
dinformation (RSSI ).
Chaque entit contribue la protection et la dfense des systmes dinformation de l'Etat
par la mise en place dune chane oprationnelle , qui rend compte rgulirement la
chane fonctionnelle SSI. Cette chane oprationnelle sappuie notamment sur les quipes
directement en charge des SI et a pour mission :

d'organiser et de mettre en uvre la capacit oprationnelle de dtection et de


traitement des incidents ;

d'assurer la circulation des informations du ministre vers lANSSI (incidents,


donnes techniques dlments suspects, traces, cartographie) et de lANSSI vers
le ministre (vulnrabilits, alertes, mesures).

Article 8. Mise en application ministrielle de la


PSSIE
Chaque entit met en place un dispositif de gestion des risques pour ses systmes
dinformation. Ce dispositif doit permettre une meilleure matrise de la scurit des SI par la
mise en uvre de mesures de protection proportionnes aux enjeux et en adquation avec
les risques encourus.
Cette gestion sappuie sur un processus rgulier didentification, dapprciation et de
traitement des risques. Ce dispositif doit aussi permettre de sassurer que les mesures de
scurit sont adaptes. Le choix de ces mesures est effectu en sassurant que les actions
prvues et les cots engendrs sont proportionns la rduction du risque. Les entits
peuvent sappuyer sur les guides et recommandations publis par lANSSI.
Dans ce but, chaque entit :

met en place une organisation en application de la PSSIE ;

tablit un inventaire de ses systmes dinformation et en value la sensibilit ;

Dans l'ensemble du texte, ce terme dsigne galement les hauts-fonctionnaire correspondants de dfense et de
scurit (HFCDS), ainsi que le haut fonctionnaire de dfense du ministre de l'intrieur (HFD).

Dautres titres peuvent dsigner la fonction de RSSI.


Politique de scurit des systmes dinformation de lEtat
Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

10/42

conduit une analyse de risques pour ses systmes dinformation, selon la mthode
prconise dans le rfrentiel gnral de scurit (RGS) et met en place les
mesures de scurit applicables ;

conduit des actions de motivation : sensibilisation et formation la scurit des


systmes dinformation, communication claire sur les sanctions encourues (par
exemple, dans les chartes dusage des SI) ;

conduit des actions rgulires de contrle du niveau de scurit de ses systmes


dinformation et met en uvre les actions correctives ncessaires ;

met en place les processus lui permettant de faire face aux alertes, aux incidents
de scurit et aux situations durgence.

Chaque ministre organise et coordonne lapplication de la PSSIE au sein de ses entits. Il


adapte les rgles lorsque cela est ncessaire et justifi, labore les documents techniques
de rfrence porte ministrielle et tablit un plan daction pluriannuel, en prcisant le cas
chant les tapes successives menant lapplication de la PSSIE.
Il peut tre ncessaire, dans certains cas, de droger des rgles nonces par la PSSIE. Il
appartient alors lautorit de lentit concerne de leur substituer formellement des rgles
spcifiques. Pour chacune de ces rgles, la drogation, motive et justifie, doit tre
expressment accorde par le HFDS dont dpend lentit. La dcision de drogation,
accompagne de la justification, est tenue la disposition de lANSSI.
Chaque ministre labore un bilan annuel comportant :

une synthse de ltat davancement de la cartographie des SI et de ses mises


jour ;

des indicateurs permettant dapprhender la maturit gnrale en termes de SSI ;

ltat davancement de lorganisation en scurit et de lapplication des rgles


dictes par la PSSIE ;

un rcapitulatif des actions ralises pour la mise en conformit la PSSIE ;

un rcapitulatif des incidents significatifs constats (accompagns ventuellement


de descriptifs des dispositions mise en uvre pour les rsoudre) ;

un rcapitulatif des exercices mens (avec les enseignements associs et un


descriptif synthtique des plans dactions qui en sont issus).

Article 9. Contrle et suivi de lapplication de la


PSSIE
La cohrence globale de la PSSI de chaque ministre, et sa conformit avec la PSSIE, sont
de la responsabilit du HFDS.
Le respect de la PSSIE fait lobjet, pour chaque ministre, de contrles rguliers diffrents
niveaux, sous la responsabilit de la chane fonctionnelle SSI avec compte-rendu au FSSI.
Le HFDS dsigne les organismes comptents pour la ralisation de ces contrles.
Au plan interministriel, lANSSI vrifie, en particulier lors des inspections ministrielles, la
conformit des dispositions prises par les entits avec les exigences de la prsente PSSIE.
En complment, des actions de contrle peuvent tre engages la suite d'incidents de
scurit majeurs, ou en cas de forte suspicion de non-conformit. LANSSI tablit le bilan
Politique de scurit des systmes dinformation de lEtat
Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

11/42

annuel de la scurit des systmes dinformation de ltat partir du rsultat des contrles
mens, et du bilan annuel de la SSI tabli par chaque ministre.

Article 10. Traitement des incidents et gestion de


crise
La rapidit des attaques informatiques rend ncessaire une veille renforce et une raction
coordonne des diffrents acteurs. Afin de rtablir le fonctionnement rapide des activits
vitales de ltat, une stratgie de traitement des incidents et de gestion de crise est mise en
place.
Lensemble des acteurs (utilisateurs, responsables dapplications, des rseaux et des
centres serveurs ....) doit remonter tout vnement affectant ou pouvant affecter la
disponibilit, lintgrit, la confidentialit ou la traabilit des systmes dinformation dune
entit. Ces incidents de scurit doivent tre signals rapidement la chane fonctionnelle
SSI du ministre. Les incidents jugs significatifs sont remonts lANSSI sous la
responsabilit du HFDS.
Une alerte est une action dinformation portant la connaissance des acteurs concerns des
situations ou des faits techniques relatifs la scurit des systmes dinformation et
ncessitant un traitement et une vrification des mesures prises. Les alertes sont issues de
la veille permanente effectue par les CERT internationaux et par lANSSI. Les alertes
significatives sont signales par lANSSI aux FSSI. Leur prise en compte au sein de chaque
ministre est organise sous la responsabilit du HFDS.
Une situation durgence SSI rsulte de toute alerte ou incident sur un ou plusieurs SI
gnrant un dysfonctionnement majeur des activits du ministre. Une situation de cette
nature impose une forte ractivit et une coordination planifie des diffrents acteurs
concerns. Il est donc impratif que les ministres prennent en compte la problmatique SSI
dans leur organisation de gestion de crise et leurs plans de continuit et de reprise dactivit.
Ces actions doivent tre menes en cohrence avec la planification interministrielle de
gestion de crise.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

12/42

Deuxime Partie : objectifs et rgles

Les 10 principes stratgiques la base de la PSSIE sont traduits en objectifs


atteindre. Des rgles permettant de contribuer la ralisation de chaque
objectif sont nonces.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

13/42

Politique, organisation, gouvernance


Organisation de la scurit des systmes dinformation
Objectif 1 : organisation de la SSI. Mettre en place une organisation adquate, garantissant
la prise en compte prventive et ractive de la scurit.

Organisation SSI
ORG-SSI : organisation SSI. Une organisation ddie la SSI est dploye tous les
niveaux de ltat, au sein de chaque ministre et au sein de chaque entit suivant les
principes de lIGI 1300. Cette organisation, tablie selon les directives du haut fonctionnaire
de dfense et de scurit (HFDS), dfinit les responsabilits internes et l'gard des tiers,
les modalits de coordination avec les autorits externes, ainsi que les modalits
dapplication des mesures de protection. Des procdures dapplications sont crites et
portes la connaissance de tous.

Acteurs SSI
ORG-ACT-SSI : identification des acteurs SSI. Lorganisation SSI de ltat sappuie sur des
acteurs SSI clairement identifis, tous les niveaux dorganisation de ltat. Les acteurs
responsables en matire de SSI pour la protection du secret de la dfense dsigns dans
lIGI 1300, et les agents chargs de les assister dans cette mission, sont responsables de la
mise en application gnrale de la politique SSI de ltat Ils sont rfrencs dans un
annuaire interministriel. Cette chane fonctionnelle sappuie, pour chaque ministre, sur le
le HFDS, assist par un fonctionnaire de scurit des systmes dinformation (FSSI).

Responsabilits internes
ORG-RSSI : dsignation du responsable SSI. Chaque autorit qualifie en scurit des
systmes dinformation (AQSSI) sappuie sur un ou plusieurs responsables de la scurit
des systmes dinformation (RSSI), charg(s) de lassister dans le pilotage et la gestion de
la SSI. Des correspondants locaux SSI peuvent tre dsigns, le cas chant, afin de
constituer un relais du RSSI. Le RSSI dune entit fait valider les mesures dapplication de la
PSSIE par lautorit qualifie et veille leur application. Des dnominations alternatives des
fonctions cites ci-dessus peuvent tre utilises si ncessaire.
ORG-RESP : formalisation des responsabilits. Une note dorganisation fixe la rpartition au
sein de chaque entit et au niveau local des responsabilits et rles en matire de SSI.
Cette note sera, le plus souvent, propose par le RSSI et valide par lautorit qualifie.

Responsabilits vis--vis des tiers


ORG-TIERS : gestion contractuelle des tiers. Le RSSI coordonne les actions permettant
lintgration des clauses lies la SSI dans tout contrat ou convention impliquant un accs
par des tiers des informations ou des ressources informatiques.

PSSI ministrielle
ORG-PIL-PSSIM : dfinition et pilotage de la PSSI ministrielle. Chaque ministre tablit
une politique SSI ministrielle, sous la responsabilit du HFDS. Cette politique reprend le
socle commun tabli par la prsente PSSIE. Une structure de pilotage de la PSSI
Politique de scurit des systmes dinformation de lEtat
Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

14/42

ministrielle est dfinie. Cette structure est charge de sa mise en place, de son volution,
de son suivi et de son contrle.

Application des mesures de scurit au sein de lentit


ORG-APP-INSTR : application de linstruction dans lentit. Le RSSI planifie les actions de
mise en application de la PSSIE. Il rend compte rgulirement de la mise en application des
mesures de scurit auprs de son autorit qualifie et du FSSI.
ORG-APP-DOCS : formalisation de documents dapplication. Le RSSI formalise et tient
jour les documents dapplication, approuvs par lautorit qualifie, permettant la mise en
uvre des mesures de la PSSIE sur son primtre.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

15/42

Ressources humaines
Objectif 2 : ressources humaines. Faire des personnes les maillons forts des SI de ltat.

Utilisateurs
RH-SSI : charte dapplication SSI. Une charte dapplication de la politique SSI, rcapitulant
les mesures pratiques dutilisation scurise des ressources informatiques et labore sous
le pilotage de la chane fonctionnelle SSI, est communique lensemble des agents de
chaque entit. Cette charte doit tre opposable juridiquement et, si possible, intgre au
rglement intrieur de lentit. Le personnel non permanent (stagiaires, intrimaires,
prestataires) est inform de ses devoirs dans le cadre de son usage des SI de ltat.

Personnel permanent
RH-MOTIV : choix et sensibilisation des personnes tenant les postes cls de la SSI. Une
attention particulire doit tre porte au recrutement des personnes-cls de la SSI : RSSI,
correspondants SSI locaux et administrateurs de scurit. Les RSSI et leurs correspondants
SSI locaux doivent tre spcifiquement forms la SSI. Les administrateurs des SI doivent
tre rgulirement sensibiliss aux devoirs lis leur fonction, et doivent veiller respecter
ces exigences dans le cadre de leurs activits quotidiennes.
RH-CONF : personnels de confiance. Toutes les personnes manipulant des informations
sensibles doivent le faire avec une attention et une probit particulire, dans le respect des
textes en vigueur. Les sanctions ventuelles sappliquant aux cas de ngligence ou de
malveillance leur sont rappeles.
RH-UTIL : sensibilisation des utilisateurs des systmes dinformation. Chaque utilisateur doit
tre rgulirement inform des exigences de scurit le concernant, et motiv leur respect.
Il doit tre form lutilisation des outils de travail conformment aux rgles SSI.

Mouvement de personnel
RH-MOUV : gestion des arrives, des mutations et des dparts. Une procdure permettant
de grer les arrives, les mutations et les dparts des collaborateurs dans les SI doit tre
formalise, et applique strictement. Cette procdure doit couvrir au minimum :

la gestion/rvocation des comptes et des droits daccs aux SI, y compris pour les
partenaires et les prestataires externes ;

la gestion du contrle daccs aux locaux ;

la gestion des quipements mobiles ;

la gestion du contrle des habilitations.

Personnel non permanent


RH-NPERM : gestion du personnel non permanent (stagiaires, intrimaires, prestataires).
Les rgles de la PSSIE sappliquent tout personnel non permanent utilisateur dun SI dune
administration de ltat. Les dispositions contractuelles prexistantes rgissant lemploi de
ce personnel sont amendes si ncessaire. Pour tout personnel non permanent, un tutorat
par un agent permanent est mis en place, afin de linformer de ces rgles et den contrler
lapplication.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

16/42

Gestion des biens


Objectif 3 : cartographie des SI. Tenir jour une cartographie dtaille et complte des SI.
GDB-INVENT : inventaire des ressources informatiques. Chaque entit tablit et maintient
jour un inventaire des ressources informatiques sous sa responsabilit, en sappuyant sur un
outillage adapt. Cet inventaire est tenu disposition du RSSI, ainsi que du FSSI et de
lANSSI en cas de besoin de coordination oprationnelle. Il comprend la liste des briques
matrielles et logicielles utilises, ainsi que leurs versions exactes. Il est constitu dune
base de donnes de configuration, maintenue jour et tenue disposition du RSSI.
Lhistorique des attributions des biens inventoris doit tre conserv, dans le respect de la
lgislation.
GDB-CARTO : cartographie. La cartographie prcise les centres informatiques, les
architectures des rseaux (sur lesquelles sont identifis les points nvralgiques et la
sensibilit des informations manipules) et qualifie le niveau de scurit attendu. Cette
cartographie est maintenue jour et tenue disposition du RSSI, ainsi que du FSSI et de
lANSSI en cas de besoin de coordination oprationnelle.

Objectif 4 : qualification et protection de linformation. Qualifier linformation de faon


adapter les mesures de protection.
GDB-QUALIF-SENSI : qualification des informations. La sensibilit de toute information doit
tre value. Le marquage systmatique des documents, en fonction du niveau de
sensibilit, est fortement recommand.
GDB-PROT-IS : protection des informations. Lutilisateur doit protger les informations quil
est amen manipuler dans le cadre de ses fonctions, selon leur sensibilit et tout au long
de leur cycle de vie, depuis la cration du brouillon jusqu son ventuelle destruction.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

17/42

Intgration de la SSI dans le cycle de vie


des systmes dinformation
Gestion des risques et homologation de scurit
Objectif 5 : risques. Apprcier, traiter, et communiquer sur les risques relatifs la scurit
des systmes dinformation.
INT-HOMOLOG-SSI : Homologation de scurit des systmes dinformation. Tout systme
dinformation doit faire lobjet dune dcision dhomologation de sa scurit avant sa mise en
exploitation dans les conditions demploi dfinies. Lhomologation est lacte selon lequel
lautorit atteste formellement auprs des utilisateurs que le systme dinformation est
protg conformment aux objectifs de scurit fixs. La dcision dhomologation est prise
par lautorit dhomologation (dsigne par lautorit qualifie), le cas chant aprs avis de
la commission dhomologation. Cette dcision sappuie sur une analyse de risques adapte
aux enjeux du systme considr, et prcise les conditions demploi.

Maintien en condition de scurit des systmes dinformation


Objectif 6 : maintien en condition de scurit. Grer dynamiquement les mesures de
protection, tout au long de la vie du SI.
INT-SSI : intgration de la scurit dans les projets. La scurit des systmes dinformation
doit tre prise en compte dans toutes les phases des projets informatiques, sous le contrle
de lautorit dhomologation, de la conception et de la spcification du systme jusqu son
retrait du service.
INT-QUOT-SSI : mise en uvre au quotidien de la SSI. La scurit des systmes
dinformation se traite au quotidien par des pratiques dhygine informatique. Des
procdures crites dfinissent les actes lmentaires du maintien en condition de scurit
lors des phases de conception, volution ou retrait dun systme.
INT-TDB : crer un tableau de bord SSI. Un tableau de bord SSI est mis en place et tenu
jour. Il fournit au RSSI et aux autorits une vision gnrale du niveau de scurit et de son
volution, rendant ainsi plus efficace le pilotage de la SSI. Au niveau stratgique, le tableau
de bord SSI permet de suivre lapplication de la politique de scurit et de disposer
dlments propres qualifier les ressources devant tre alloues la SSI. Au niveau du
pilotage, la mise en place de ce tableau de bord permet de contrler la ralisation dobjectifs
oprationnels, damliorer la qualit de service et de dtecter au plus tt les retards dans la
ralisation de certains objectifs de scurit.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

18/42

Produits et services labelliss


Objectif 7 : produits et services qualifis ou certifis. Utiliser des produits et services dont la
scurit est value et atteste selon des procdures reconnues par lANSSI, afin de
renforcer la protection des SI.
INT-AQ-PSL : acquisition de produits et services de confiance. Lorsquils sont disponibles,
des produits ou des services de scurit labelliss (certifis, qualifis) par lANSSI doivent
tre utiliss.

Gestion des prestataires


Objectif 8 : matrise des prestations. Veiller aux exigences de scurit lorsquil est fait appel
de la prestation par des tiers.
INT-PRES-CS : clauses de scurit. Toute prestation dans le domaine des SI est encadre
par des clauses de scurit. Ces clauses spcifient les mesures SSI que le prestataire doit
respecter dans le cadre de ses activits.
INT-PRES-CNTRL : suivi et contrle des prestations fournies. Le maintien dun niveau de
scurit au cours du temps ncessite un double contrle :

l'un, effectu priodiquement par lquipe encadrant la prestation, qui porte sur les
actions du sous-traitant et la conformit au cahier des charges ;

l'autre, effectu par une quipe externe, qui porte sur la pertinence du cahier des
charges en amont des projets, la conformit des rponses apportes par le soustraitant en phase de recette et le niveau de scurit global obtenu en production.

INT-REX-AR : analyse de risques. Toute opration dexternalisation sappuie sur une


analyse de risques pralable, de faon formaliser des objectifs de scurit et dfinir des
mesures adaptes. Lensemble des objectifs de scurit ainsi formaliss permet de dfinir
une cible de scurit servant de cadre au contrat tabli avec le prestataire.
INT-REX-HB : hbergement. Lhbergement des donnes sensibles de ladministration sur
le territoire national est obligatoire, sauf accord du HFDS, et drogation dment motive et
prcise dans la dcision dhomologation.
INT-REX-HS : hbergement et clauses de scurit. Tout contrat dhbergement dtaille les
dispositions mises en uvre pour prendre en compte la SSI. Ce sont notamment les
mesures prises pour assurer le maintien en condition de scurit des systmes et permettre
une gestion de crise efficace (conditions daccs aux journaux, mise en place dastreintes,
etc.).

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

19/42

Scurit physique
Scurit physique des locaux abritant les SI
Rgles gnrales
Objectif 9 : scurit physique des locaux abritant les SI. Inscrire la scurisation physique des
SI dans la scurisation physique des locaux et dans les processus associs.
PHY-ZONES : dcoupage des sites en zones de scurit. Un dcoupage des sites en zones
physiques de scurit doit tre effectu, en liaison avec le RSSI, les correspondants locaux
SSI et les services en charge : de limmobilier, de la scurit et des moyens gnraux. Pour
chaque zone de scurit, des critres prcis dautorisation daccs sont tablis.

Rgles de scurit sappliquant aux zones daccueil du public


PHY-PUBL : accs rseau en zone daccueil du public. Tout accs rseau install dans une
zone daccueil du public doit tre filtr ou isol du reste du rseau informatique de lentit.
PHY-SENS : protection des informations sensibles au sein des zones daccueil. Le
traitement dinformations sensibles au sein des zones daccueil est viter. Si un tel
traitement est strictement ncessaire, il doit rester ponctuel et exceptionnel. Des mesures
particulires sont alors adoptes, notamment en matire de protection audiovisuelle, ainsi
quen matire de protection des informations stockes sur les supports.

Rgles de scurit complmentaires sappliquant aux locaux techniques


PHY-TECH : scurit physique des locaux techniques. Laccs aux locaux techniques
abritant des quipements dalimentation et de distribution dnergie, ou des quipements de
rseau et de tlphonie, doit tre physiquement protg.
PHY-TELECOM : protection des cbles lectriques et de tlcommunications. Il convient de
protger le cblage rseau contre les dommages et les interceptions des communications
quils transmettent. En complment, les panneaux de raccordements et les salles des cbles
doivent tre placs en dehors des zones daccueil du public et leur accs doit tre contrl.
PHY-CTRL : contrles anti-pigeages. Sur les SI particulirement sensibles, il convient de
mener des contrles anti-pigeages rguliers, effectus par du personnel form. Il peut tre
fait appel des services spcialiss (oprations dites de dpoussirage ).

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

20/42

Scurit physique des centres informatiques


Objectif 10 : scurit physique des centres informatiques. Dimensionner les protections
physiques des centres informatiques en fonction des enjeux lis la concentration des
moyens et donnes abrits.

Rgles gnrales
PHY-CI-LOC : dcoupage des locaux en zones de scurit. Un dcoupage du centre
informatique en zones physiques de scurit doit tre effectu, en liaison avec le RSSI et les
services en charge de limmobilier, de la scurit et des moyens gnraux. Des rgles
doivent fixer les conditions daccs ces diffrentes zones.
PHY-CI-HEBERG : convention de service en cas dhbergement tiers. Dans le cas o un
tiers gre tout ou partie des locaux du centre informatique, une convention de service,
dfinissant les responsabilits mutuelles en matire de scurit, doit tre tablie entre ce
tiers et lentit ou le ministre.

Rgles de scurit complmentaires sappliquant aux zones internes et


restreintes
PHY-CI-CTRLACC : contrle daccs physique. Laccs aux zones internes (autorises
uniquement au personnel du centre informatique ou aux visiteurs accompagns) et
restreintes (autorises aux seules personnes habilites ou aux visiteurs accompagns) doit
reposer sur un dispositif de contrle daccs physique. Ce dispositif doit sappuyer sur des
produits qualifis, lorsquils sont disponibles, et bnficier dun maintien en condition de
scurit rigoureux.
PHY-CI-MOYENS : dlivrance des moyens daccs physique. La dlivrance des moyens
daccs physique doit respecter un processus formel permettant de sassurer de lidentit de
la personne, sappuyant sur le processus darrive et de dpart du personnel. Le personnel
autre que celui explicitement autoris et habilit, mais nanmoins appel intervenir dans
les zones sensibles (entretien ou rparation des btiments, des quipements non
informatiques, nettoyage, visiteurs, ), intervient systmatiquement et imprativement sous
surveillance permanente.
PHY-CI-TRACE : traabilit des accs. Une traabilit des accs, par les visiteurs externes,
aux zones restreintes doit tre mise en place. Ces traces sont alors conserves un an, dans
le respect des textes protgeant les donnes personnelles.

Rgles de scurit complmentaires sappliquant aux salles informatiques


et aux locaux techniques
PHY-CI-ENERGIE : local nergie. Lalimentation secteur des quipements devra tre
conforme aux rgles de lart, de faon se prmunir des atteintes la scurit des
personnes et quipements lies un dfaut lectrique.
PHY-CI-CLIM : climatisation. Un dispositif de climatisation dimensionn en fonction des
besoins nergtiques du systme informatique doit tre install. Des procdures de raction
en cas de panne, connues du personnel, doivent tre labores et vrifies annuellement.
Ces dispositions visent prvenir toute surchauffe des quipements, pouvant engendrer
une perte du service voire une dtrioration du matriel.
PHY-CI-INC : lutte contre lincendie. Linstallation de matriel de protection contre le feu est
Politique de scurit des systmes dinformation de lEtat
Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

21/42

obligatoire. Des procdures de raction un incendie sont dfinies et rgulirement testes.


Les salles techniques doivent tre propres. Aucun carton, papier, ou autre source potentielle
de dpart de feu ne doit tre entrepos dans ces locaux.
PHY_CI-EAU : lutte contre les voies deau. Une tude sur les risques dus aux voies deau
doit tre ralise. Cette tude doit notamment prendre en compte le risque de fuite sur un
collecteur deau douce.

SI de sret
Objectif 11 : scurit du SI de sret. Traiter de manire globale la scurit des systmes
dinformation et de communication qui assurent la sret dun site.
Les sites importants (reconnus le cas chant comme points dimportance vitale) sappuient
sur des services support des activits de sret physique. Dans ce cadre, lappellation
services de systmes dinformation et de communication de sret regroupe :

les services support des activits de contrle daccs et dtection dintrusion


(CTA), permettant au personnel de sret :

dauthentifier, dautoriser et de tracer laccs une ressource physique


(contrle daccs),

de dtecter, dalerter et de tracer en cas de tentative daccs non


autoris (dtection dintrusion).

les services support des activits de vido-surveillance (VS), fournissant au


personnel de sret un systme de camras disposes sur lensemble du site, de
transport des flux vido, denregistrement, darchivage et de visionnage de ces
vidos ;

les services support de la gestion technique des btiments (GTB), permettant de


superviser et de grer lensemble des quipements des btiments du site, et
davoir une vue globale de ltat de ces btiments ;

les services support de la scurit incendie (INC), regroupant lensemble des


moyens informatiques mis en uvre pour dtecter, informer, intervenir et/ou
vacuer tout ou partie du site en cas dincendie.

PHY-SI-SUR : scurisation du SI de sret. Pour les sites physiques considrs comme


importants, des mesures de protection doivent tre dfinies et appliques en se basant sur
les conclusions dune analyse de risques. Lanalyse de risques conduit la dsignation des
briques essentielles dont il faut assurer la protection contre des actes malveillants. Un
systme de gestion de la scurit du SI de sret (sinspirant de la norme ISO 27001)
assure le maintien en condition de scurit. Lemploi de produits labelliss, quand ils
existent, est fortement recommand.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

22/42

Scurit des rseaux


Scurit des rseaux nationaux
Objectif 12 : usage scuris des rseaux nationaux. Utiliser les infrastructures nationales, en
respectant les rgles de scurit qui leur sont attaches.
RES-MAITRISE : systmes autoriss sur le rseau. Seuls les quipements grs et
configurs par les quipes informatiques habilites peuvent tre connects au rseau local
dune entit.
RES-INTERCO : interconnexion avec des rseaux externes. Toute interconnexion entre les
rseaux locaux dune entit et un rseau externe (rseau dun tiers, Internet, etc.) doit tre
ralise via les infrastructures nationales.
RES-ENTSOR : mettre en place un filtrage rseau pour les flux sortants et entrants. Dans
loptique de rduire les possibilits offertes un attaquant, les connexions des machines du
rseau interne vers lextrieur doivent tre filtres.
RES-PROT : protection des informations. Les accs Internet passent obligatoirement
travers les passerelles nationales. Ds lors que des informations sensibles doivent transiter
sur des rseaux non matriss, il convient de les protger spcifiquement par chiffrement
adapt.

Scurit des rseaux locaux


Objectif 13 : usage scuris des rseaux locaux. Matriser les interconnexions de rseaux
locaux. Configurer de manire adquate les quipements de rseau actifs.
RES-CLOIS : cloisonner le SI en sous-rseaux de niveaux de scurit homognes. Par
analogie avec le cloisonnement physique dun btiment, le systme dinformation doit tre
segment selon des zones prsentant chacune un niveau de scurit homogne.
RES-INTERCOGEO : interconnexion des sites gographiques locaux dune entit.
Linterconnexion au niveau local de rseaux locaux dune entit nest possible que si la
proximit gographique le justifie et sous rserve de la mise en place de connexions
ddies cet effet, et de passerelles scurises et valides par le HFDS.
RES-RESS : cloisonnement des ressources en cas de partage de locaux. Dans le cas o
une entit partage des locaux (bureaux ou locaux techniques) avec des entits externes,
des mesures de cloisonnement des ressources informatiques doivent tre mises en place. Si
le cloisonnement nest pas physique, les mesures prises doivent tre valides par le ou les
HFDS concerns.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

23/42

Accs spcifiques
Objectif 14 : accs spcifiques. Ne pas porter atteinte la scurit du SI par le dploiement
daccs non superviss.
RES-INTERNET-SPECIFIQUE : cas particulier des accs spcifiques dans une entit. Les
accs spcifiques Internet ncessitant des droits particuliers pour un usage mtier ne
peuvent tre mis en place que sur drogation dment justifie, et sur des machines isoles
physiquement et spares du rseau de lentit, aprs validation pralable de lautorit
dhomologation.

Scurit des rseaux sans fil


Objectif 15 : usage scuris des rseaux sans fil. Matriser le dploiement, la configuration
et lusage des rseaux sans fil.
RES-SSFIL : mise en place de rseaux sans fil. Le dploiement de rseaux sans fil doit faire
lobjet dune analyse de risques spcifique. Les protections intrinsques tant insuffisantes,
des mesures complmentaires, valides par le HFDS concern, doivent tre prises dans le
cadre de la dfense en profondeur. En particulier, une segmentation du rseau doit tre
mise en place de faon limiter un primtre dtermin les consquences dune intrusion
depuis la voie radio. dfaut de mise en uvre de mesures spcifiques, le dploiement de
rseaux sans fil sur des SI manipulant des donnes sensibles est proscrit.

Scurisation des mcanismes de commutation et de routage


Objectif 16 : scurit des mcanismes de commutation et de routage. Configurer les
mcanismes de commutation et de routage pour se protger des attaques.
RES-COUCHBAS : implanter des mcanismes de protection contre les attaques sur les
couches basses. Une attention particulire doit tre apporte limplantation des protocoles
de couches basses, de faon se prmunir des attaques usuelles par saturation ou
empoisonnement de cache. Cela concerne, par exemple, le protocole ARP.
RES-ROUTDYN : surveiller les annonces de routage. Lorsque lutilisation de protocoles de
routage dynamiques est ncessaire, celle-ci doit saccompagner de la mise en place dune
surveillance des annonces de routage, et de procdures permettant de ragir rapidement en
cas dincidents.
RES-ROUTDYN-IGP : configurer le protocole IGP de manire scurise. Le protocole de
routage dynamique de type IGP doit tre activ exclusivement sur les interfaces ncessaires
la construction de la topologie du rseau et dsactiv sur le reste des interfaces. La
configuration du protocole de routage dynamique doit systmatiquement saccompagner
dun mot de passe de type MESSAGE-DIGEST-KEY.
RES-ROUTDYN-EGP : scuriser les sessions EGP. Lors de la mise en place dune session
EGP avec un pair extrieur sur un mdia partag, cette session doit saccompagner dun
mot de passe de type message-digest-key.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

24/42

RES-SECRET : modifier systmatiquement les lments dauthentification par dfaut des


quipements et services. Les mots de passe par dfaut doivent tre imprativement
modifis, de mme en ce qui concerne les certificats. Les dispositions ncessaires doivent
tre prises auprs des fournisseurs de faon pouvoir modifier les certificats installs par
dfaut.
RES-DURCI : durcir les configurations des quipements de rseaux. Les quipements de
rseaux (comme les routeurs) doivent faire lobjet dun durcissement spcifique comprenant
notamment, outre le changement des mots de passe et certificats, la dsactivation des
interfaces et services inutiles, ainsi que la mise en place de mcanismes de protection du
plan de contrle.

Cartographie rseau
Objectif 17 : cartographie rseau. Tenir jour une cartographie dtaille et complte des
rseaux et des interconnexions.
RES-CARTO : laborer les documents darchitecture technique et fonctionnelle.
Larchitecture rseau du systme dinformation doit tre dcrite et formalise travers des
schmas darchitecture, et des configurations, maintenus au fil des volutions apportes au
SI. Les documents darchitecture sont sensibles et font lobjet dune protection adapte. La
cartographie rseau sinsre dans la cartographie globale des SI.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

25/42

Architecture des SI
Architecture des centres informatiques
Objectif 18 : architecture scurise des centres informatiques. Appliquer les principes de
dfense en profondeur larchitecture matrielle et logicielle des centres informatiques.
ARCHI-HEBERG : principes darchitecture de la zone dhbergement. Dune manire
gnrale, larchitecture des infrastructures des centres informatiques est conue de faon
satisfaire lensemble des besoins en disponibilit, confidentialit, traabilit et intgrit. Le
principe de dfense en profondeur doit tre respect, en particulier par la mise en uvre
successive de zones dmilitarises (DMZ), denvironnements de scurit en zone
dhbergement, de machines virtuelles ou physiques ddies, de rseaux locaux virtuels
(VLAN) appropris, dun filtrage strict des flux applicatifs et dadministration.
ARCHI-STOCKCI : architecture de stockage et de sauvegarde. Le rseau de
stockage/sauvegarde pour les besoins des centres informatiques repose sur une
architecture ddie cet effet.
ARCHI-PASS : passerelle Internet. Les interconnexions Internet passent obligatoirement par
les passerelles nationales homologues.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

26/42

Exploitation des SI
Protection des informations sensibles
Objectif 19 : protection des informations sensibles. Dfinir et mettre en uvre des mesures
de protection renforces pour les informations sensibles.
EXP-PROT-INF : protection des informations sensibles en confidentialit et en intgrit. Des
mesures doivent tre mises en uvre afin de garantir la protection des informations
sensibles en confidentialit et en intgrit. A dfaut dutilisation dun rseau homologu, ces
informations doivent tre chiffres laide dun moyen de chiffrement labellis.

Scurit des ressources informatiques


Objectif 20 : surveillance et configuration des ressources informatiques. Durcir les
configurations des ressources informatiques, et surveiller les interventions opres sur
celles-ci.
EXP-TRAC : traabilit des interventions sur le systme. Les interventions de maintenance
sur les ressources informatiques de lentit doivent tre traces par le service informatique,
et ces traces doivent tre accessibles au correspondant SSI local durant au moins un an.
EXP-CONFIG : configuration des ressources informatiques. Les systmes dexploitation et
les logiciels doivent faire lobjet dun durcissement. Les configurations et mises jour sont
appliques dans le strict respect des guides ou procdures en vigueur dans lentit ou, par
dfaut, en vigueur au niveau central.
EXP-DOC-CONFIG : documentation des configurations. La configuration standard des
ressources informatiques doit tre documente et mise jour chaque changement
notable.

Gestion des autorisations et contrle daccs logique aux


ressources
Objectif 21 : autorisations et contrles daccs. Authentifier les usagers et contrler leurs
accs aux ressources des SI de ltat, en fonction dune politique explicite dautorisations.

Contrle des accs logiques


EXP-ID-AUTH : identification, authentification et contrle daccs logique. Laccs toute
ressource non publique doit ncessiter une identification et une authentification individuelle
de lutilisateur. Dans le cas de laccs des donnes sensibles, des moyens
dauthentification forte doivent tre utiliss. A cette fin, lusage dune carte puce doit tre
privilgi. Le contrle daccs doit tre gr et sappuyer sur un processus formalis en
cohrence avec la gestion des ressources humaines.
EXP-DROITS : droits daccs aux ressources. Aprs avoir dtermin le niveau de sensibilit,
le besoin de diffusion et de partage des ressources, les droits daccs aux ressources
doivent tre grs suivant les principes suivants : besoin den connatre (chaque utilisateur
nest autoris accder quaux ressources pour lesquelles on lui accorde explicitement le
bnfice de laccs), moindre privilge (chaque utilisateur accde aux ressources avec le
Politique de scurit des systmes dinformation de lEtat
Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

27/42

minimum de privilges lui permettant de conduire les actions explicitement autorises pour
lui).
EXP-PROFILS : gestion des profils daccs aux applications. Les applications manipulant
des donnes sensibles doivent permettre une gestion fine par profils daccs. Les principes
du besoin den connatre et du moindre privilge sappliquent.

Processus dautorisation
EXP-PROC-AUTH : autorisations daccs des utilisateurs. Toute action dautorisation
daccs dun utilisateur une ressource des SI, quelle soit locale ou nationale, doit sinscrire
dans le cadre dun processus dautorisation formalis, qui sappuie sur le processus
darrive et de dpart du personnel.
EXP-REVUE-AUTH : revue des autorisations daccs. Une revue des autorisations daccs
doit tre ralise annuellement sous le contrle du RSSI, le cas chant avec lappui du
correspondant local SSI.

Gestion des authentifiants


EXP-CONF-AUTH : confidentialit des informations dauthentification. Les informations
dauthentification (mots de passe daccs aux SI, cls prives lies aux certificats
lectroniques, etc.) doivent tre considres comme des donnes sensibles.
EXP-GEST-PASS : gestion des mots de passe. Les utilisateurs ne doivent pas stocker leurs
mots de passe en clair (par exemple dans un fichier) sur leur poste de travail. Les mots de
passe ne doivent pas transiter en clair sur les rseaux.
EXP-INIT-PASS : initialisation des mots de passe. Chaque compte utilisateur doit tre cr
avec un mot de passe initial alatoire unique. Si les circonstances limposent, un mot de
passe plus simple mais usage unique peut tre envisag.
EXP-POL-PASS : politiques de mots de passe. Les rgles de gestion et de protection des
mots de passe donnant accs aux applications et infrastructures nationales, telles
qudictes par les matrises douvrage nationales, doivent tre respectes dans chaque
entit. Pour les ressources dont la politique de mots de passe est gre localement, les
recommandations de lANSSI doivent tre appliques pour tous les comptes.
EXP-CERTIFS : utilisation de certificats lectroniques.
lectroniques doit respecter les rgles dictes par le RGS.

Lutilisation

de

certificats

EXP-QUAL-PASS : contrle systmatique de la qualit des mots de passe. Des moyens


techniques permettant dimposer la politique de mots de passe (par exemple pour sassurer
du respect de lventuelle obligation relative lusage de caractres spciaux) doivent tre
mis en place. A dfaut, un contrle priodique des paramtres techniques relatifs aux mots
de passe doit tre ralis.

Gestion des authentifiants dadministration


EXP-SEQ-ADMIN : squestre des authentifiants administrateur . Les authentifiants
permettant ladministration des ressources des SI doivent tre placs sous squestre et
tenus jour, dans un coffre ou une armoire ferme cl. Lauthentifi doit tre inform de
lexistence de ces oprations de gestion, de leurs finalits et limites. Tout accs
dadministration une ressource informatique doit pouvoir tre trac et permettre de
remonter la personne exerant ce droit. Les informations dauthentification bnficiant dun
moyen de protection physique (notamment carte puce) nont, par dfaut, pas besoin dtre
Politique de scurit des systmes dinformation de lEtat
Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

28/42

lobjet doprations de squestre de la part dautres personnels que lauthentifi lui-mme.


EXP-POL-ADMIN : politique de mots de passe administrateurs . Chaque administrateur
doit disposer dun mot de passe propre et destin ladministration.
EXP-DEP-ADMIN : gestion du dpart dun administrateur des SI. En cas de dpart dun
administrateur disposant de privilges sur des composants des SI, les comptes individuels
dont il disposait doivent tre immdiatement dsactivs. Les ventuels mots de passe
dadministration dont il avait connaissance doivent tre changs (exemples : mots de passe
des comptes fonctionnels, comptes gnriques ou comptes de service utiliss dans le cadre
des fonctions de ladministrateur).

Exploitation scurise des ressources informatiques


Objectif 22 : scurisation de lexploitation. Fournir aux administrateurs les outils ncessaires
lexercice des tches SSI et configurer ces outils de manire scurise.

Administration des systmes


EXP-RESTR-DROITS : restriction des droits. Sauf exception dment motive et valide par
le RSSI, les utilisateurs nont pas de droits dadministration.
EXP-PROT-ADMIN : protection des accs aux outils dadministration. Laccs aux outils et
interfaces dadministration doit tre strictement limit aux personnes habilites, selon une
procdure formelle dautorisation daccs.
EXP-HABILIT-ADMIN : habilitation des administrateurs. Lhabilitation des administrateurs
seffectue selon une procdure valide par lautorit dhomologation. Le nombre de
personnes habilites pour des oprations dadministration doit tre connu et valid par
lautorit dhomologation.
EXP-GEST-ADMIN : gestion des actions dadministration. Les oprations dadministration
doivent tre traces de manire pouvoir grer au niveau individuel limputabilit des
actions dadministration.
EXP-SEC-FLUXADMIN : scurisation des flux dadministration. Les oprations
dadministration sur les ressources locales dune entit doivent sappuyer sur des protocoles
scuriss. Un rseau ddi ladministration des quipements, ou au moins un rseau
logiquement spar de celui des utilisateurs, doit tre utilis. Les postes dadministrateurs
doivent tre ddis et ne doivent pas pouvoir accder Internet.
EXP-CENTRAL : centraliser la gestion du systme dinformation. Afin de grer efficacement
un grand nombre de postes dutilisateurs, de serveurs ou dquipements rseau, les
administrateurs doivent utiliser des outils centraliss, permettant lautomatisation de
traitements quotidiens et offrant une vue globale et pertinente sur le systme dinformation.
EXP-SECX-DIST : scurisation des outils de prise de main distance. La prise de main
distance dune ressource informatique locale ne doit tre ralisable que par les agents
autoriss par lquipe locale charge des SI, sur les ressources informatiques de leur
primtre. Des mesures de scurit spcifiques doivent tre dfinies et respectes.

Administration des domaines


EXP-DOM-POL : dfinir une politique de gestion des comptes du domaine. Une politique
explicite de gestion des comptes du domaine doit tre documente.
Politique de scurit des systmes dinformation de lEtat
Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

29/42

EXP-DOM-PASS : configurer la stratgie des mots de passe des domaines . La politique de


gestion des mots de passe doit tre conue de faon protger contre les attaques par
essais successifs de mots de passe. Une complexit minimale dans le choix des mots de
passe doit tre impose aux utilisateurs.
EXP-DOM-NOMENCLAT : dfinir et appliquer une nomenclature des comptes du domaine.
La gestion des comptes doit sappuyer sur une nomenclature adapte, afin de pouvoir
distinguer selon leur usage : comptes dutilisateur standard, comptes dadministration
(domaine, serveurs, postes de travail) et comptes de service.
EXP-DOM-RESTADMIN : restreindre au maximum lappartenance aux groupes
dadministration
du
domaine.
Lappartenance
aux
groupes
du
domaine
ADMINISTRATEURS DE LENTREPRISE et ADMINISTRATEURS DU DOMAINE nest
ncessaire que dans de trs rares cas. Les oprations les plus courantes doivent tre
effectues avec des comptes du domaine membres des groupes locaux dadministration des
ordinateurs ou ayant une dlgation dadministration.
EXP-DOM-SERV : matriser lutilisation des comptes de service. Les comptes de service ont
la particularit davoir gnralement leurs mots de passe inscrits en dur dans des
applications ou dans des systmes. Afin de pouvoir tre en mesure de changer ces mots de
passe en urgence, il est ncessaire de matriser leur utilisation.
EXP-DOM-LIMITSERV : limiter les droits des comptes de service. Les comptes de service
doivent faire lobjet dune restriction des droits, en suivant le principe du moindre privilge.
EXP-DOM-OBSOLET : dsactiver les comptes du domaine obsoltes. Il est ncessaire de
dsactiver immdiatement, voire de supprimer, les comptes obsoltes, que ce soient des
comptes dutilisateur (administrateur, de service ou utilisateur standard) ou des comptes de
machine.
EXP-DOM-ADMINLOC : amliorer la gestion des comptes dadministrateur locaux. Afin
dempcher la r-utilisation des empreintes dun compte utilisateur local dune machine
une autre, il faut soit utiliser des mots de passe diffrents pour les comptes locaux
dadministration, soit interdire la connexion distance via ces comptes.

Envoi en maintenance et mise au rebut


EXP-MAINT-EXT : maintenance externe. Les donnes non chiffres doivent tre effaces
avant lenvoi en maintenance externe de toute ressource informatique. Les oprations de
chiffrement doivent faire appel des produits qualifis. Leffacement des donnes sensibles
doit sappuyer sur des produits qualifis, ou respecter des procdures tablies en
concertation avec lANSSI.
EXP-MIS-REB : mise au rebut. Lorsquune ressource informatique est amene quitter
dfinitivement lentit, les donnes prsentes sur les disques durs ou la mmoire intgre
doivent tre effaces de manire scurise. Leffacement des donnes sensibles doit
sappuyer sur des produits qualifis, ou respecter des procdures tablies en concertation
avec lANSSI.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

30/42

Lutte contre les codes malveillants


EXP-PROT-MALV : protection contre les codes malveillants. Des logiciels de protection
contre les codes malveillants, appels communment antivirus, doivent tre installs sur
lensemble des serveurs dinterconnexion, serveurs applicatifs et postes de travail de lentit.
Ces logiciels de protection doivent tre distincts pour ces trois catgories au moins, et le
dpouillement de leurs journaux doit tre corrl.
EXP-GES-ANTIVIR : gestion des vnements de scurit de lantivirus. Les vnements de
scurit de lantivirus doivent tre remonts sur un serveur national pour analyse statistique
et gestion des problmes a posteriori (exemples : serveur constamment infect, virus
dtect et non radiqu par lantivirus, etc.).
EXP-MAJ-ANTIVIR : mise jour de la base de signatures. Les mises jour des bases
antivirales et des moteurs dantivirus doivent tre dployes automatiquement sur les
serveurs et les postes de travail par un dispositif prescrit par les services centraux.
EXP-NAVIG : configuration du navigateur Internet. Le navigateur dploy par lquipe locale
charge des SI sur lensemble des serveurs et des postes de travail ncessitant un accs
Internet ou Intranet doit tre configur de manire scurise (dsactivation des services
inutiles, nettoyage du magasin de certificats, etc.).

Mise jour des systmes et des logiciels


EXP-POL-COR : dfinir et mettre en uvre une politique de suivi et dapplication des
correctifs de scurit. Le maintien dans le temps du niveau de scurit dun systme
dinformation impose une gestion organise et adapte des mises jour de scurit. Un
processus de gestion des correctifs propre chaque systme ou applicatif doit tre dfini, et
adapt suivant les contraintes et le niveau dexposition du systme.
EXP-COR-SEC : dploiement des correctifs de scurit. Les correctifs de scurit des
ressources informatiques locales doivent tre dploys par lquipe locale charge des SI en
sappuyant sur les prconisations et outils proposs par les services centraux.
EXP-OBSOLET : assurer la migration des systmes obsoltes. Lensemble des logiciels
utiliss sur le systme dinformation doit tre dans une version pour laquelle lditeur assure
le support, et tenu jour. En cas de dfaillance du support, il convient den tudier limpact
et de prendre les mesures adaptes.
EXP-ISOL : isoler les systmes obsoltes restants. Il est ncessaire disoler les systmes
obsoltes, gards volontairement pour assurer un maintien en condition oprationnelle des
projets, et pour lesquels une migration nest pas envisageable. Chaque fois que cela est
possible, cette isolation doit tre effectue au niveau du rseau (filtrage strict), des lments
dauthentification (qui ne doivent pas tre communs avec le reste du SI) et des applications
(pas de ressources partages avec le reste du SI).

Journalisation
EXP-JOUR-SUR : journalisation des alertes. Chaque systme doit disposer de dispositifs de
journalisation permettant de conserver une trace des vnements de scurit. Ces traces
doivent tre conserves de manire sre.
EXP-POL-JOUR : dfinir et mettre en uvre une politique de gestion et danalyse des
journaux de traces. Une politique de gestion et danalyse des journaux de traces des
vnements de scurit est dfinie par le RSSI, valide par lautorit qualifie, et mise en
uvre. Le niveau de scurit dun systme dinformation dpend en grande partie de la
Politique de scurit des systmes dinformation de lEtat
Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

31/42

capacit de ses exploitants et administrateurs dtecter les erreurs, dysfonctionnements et


tentatives daccs illicites survenant sur les lments qui le composent.
EXP-CONS-JOUR : conservation des journaux. Les journaux des vnements de scurit
doivent tre conservs sur douze mois glissants, hors contraintes lgales et rglementaires
particulires imposant des dures de conservation spcifiques.

Dfense des systmes dinformation


Objectif 23 : dfense des systmes dinformation. Dfendre les SI ncessite une vigilance de
tous, et des actions permanentes.
EXP-GES-DYN : gestion dynamique de la scurit. Lquipe en charge de la SSI doit
procder, notamment via lanalyse des journaux, la surveillance des comportements
anormaux au sein du systme dinformation, et la surveillance des flux dentre et de sortie
du systme dinformation.

Gestion des matriels informatiques fournis lutilisateur


EXP-MAIT-MAT : matrise des matriels. Les postes de travail - y compris dans le cas dune
location - sont fournis lutilisateur par lentit, grs et configurs sous la responsabilit de
lentit. La connexion dquipements non matriss, non administrs ou non mis jour par
lentit (quil sagisse dordiphones, dquipements informatiques nomades et fixes ou de
supports de stockage amovibles) sur des quipements et des rseaux professionnels est
interdite.
EXP-PROT-VOL : rappel des mesures de protection contre le vol. Les postes fixes
bnficient des mesures de protection physique offertes au titre de la directive de scurit
physique de la prsente PSSIE. Chaque utilisateur doit veiller la scurit des supports
amovibles (cls USB et disques amovibles), notamment en les conservant dans un endroit
sr. Il est recommand de chiffrer les donnes contenues sur ces supports. Les supports
contenant des donnes sensibles doivent tre stocks dans des meubles fermant clef.
EXP-DECLAR-VOL : dclarer les pertes et vols. Toute perte ou vol dune ressource dun
systme dinformation doit tre dclare au RSSI.
EXP-REAFFECT : raffectation de matriels informatiques. Une procdure de gestion des
postes et supports dans le cadre de dparts de personnel ou de raffectations de
nouveaux utilisateurs doit tre mise en place et valide par le RSSI. Elle doit dfinir les
conditions de recours un effacement des donnes.

Nomadisme
EXP-NOMAD-SENS : dclaration des quipements nomades aptes traiter des
informations sensibles. Lautorit dhomologation du SI valide les usages possibles des
quipements nomades vis--vis du traitement des informations sensibles ; les usages non
explicitement autoriss sont interdits.
EXP-ACC-DIST : accs distance au systme dinformation de lorganisme. Les utilisateurs
distants doivent sauthentifier sur le rseau de lentit en utilisant une mthode conforme
lannexe B3 du RGS.

Scurisation des imprimantes et copieurs multifonctions manipulant des


informations sensibles
Politique de scurit des systmes dinformation de lEtat
Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

32/42

EXP-IMP-SENS : impression des informations sensibles. Les impressions dinformations


sensibles doivent tre effectues selon une procdure prdfinie, garantissant le contrle de
lutilisateur, du dclenchement de limpression jusqu la rcupration du support imprim.
EXP-IMP-2 : scurit des imprimantes et copieurs multifonctions. Les imprimantes et
copieurs multifonctions sont des ressources informatiques part entire qui doivent tre
gres en tant que telles. Elles ne doivent pas pouvoir communiquer avec lextrieur.

Exploitation des centres informatiques


Objectif 24 : exploitation scurise des centres informatiques. Exploiter de manire
scurise les centres informatiques en sappuyant sur des procdures adaptes et sur la
matrise des outils de supervision.

Scurit des ressources informatiques


Les rgles suivantes sont prsentes selon le modle qui structure larchitecture des
applications selon trois Tiers (Prsentation Application Donnes).
Les socles techniques dploys dans chaque Tiers en particulier les rgles de scurit
appliquer sont prciss dans un cadre de cohrence technique ministriel (CCT).
EXP-CI-OS : systmes dexploitation. Les systmes dexploitation dploys doivent faire
lobjet dun support valide de la part dun diteur ou dun prestataire de service. Seuls les
services et applications ncessaires sont installs, de faon rduire la surface dattaque.
Une attention particulire doit tre apporte aux comptes administrateurs.
EXP-CI-LTP : logiciels en Tiers Prsentation. La mise en uvre dune configuration
renforce est obligatoire sur les logiciels dploys pour le tiers prsentation (ex : serveur
Web, Reverse Proxy).
EXP-CI-LTA : logiciels en Tiers Application. Des rgles de dveloppement scuris, et les
configurations des logiciels en Tiers Application doivent tre fixes et appliques. Elles sont
dtailles dans le cadre de cohrence technique (CCT).
EXP-CI-LTD : logiciels en Tiers Donnes. Des rgles trs strictes (restrictions daccs,
interdictions de connexions, gestion des privilges) sappliquent aux logiciels en tiers
donnes. Ces rgles doivent tre dtailles dans le cadre de cohrence technique (CCT).
EXP-CI-PROTFIC : passerelle dchange de fichiers. Les changes de fichiers entre
applications doivent privilgier les protocoles scuriss (SSL/TLS, FTPS...).
EXP-CI-MESSTECH : messagerie technique. Pour satisfaire les besoins dexploitation et de
supervision des infrastructures et des applications, une messagerie dite technique peut tre
dploye en zone de Back-office du centre informatique. Cette messagerie technique ne doit
tre en aucun cas utilise directement par un utilisateur.
EXP-CI-FILT : filtrage des flux applicatifs. De faon garantir un niveau de scurit
satisfaisant face aux attaques informatiques, des mcanismes de filtrage et de
cloisonnement doivent tre mis en uvre.
EXP-CI-ADMIN : flux dadministration. Dune manire gnrale, il convient de diffrencier
deux type de flux dadministration : les flux dadministration de linfrastructure (rservs aux
agents du centre informatique) dune part, les flux dadministration des applications mtier
(rservs la direction mtier) dautre part. Lattribution des droits dadministration doit
Politique de scurit des systmes dinformation de lEtat
Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

33/42

respecter cette diffrenciation, et les 2 types de flux dadministration doivent tre dans la
mesure du possible cloisonns.
EXP-CI-DNS : service de noms de domaine DNS technique. Dans le cas du dploiement
dun serveur de noms de domaines pour les besoins techniques internes au centre
informatique, on utilisera les extensions scurises DNSSEC.
EXP-CI-EFFAC : effacement de support. Le reconditionnement et la rutilisation des disques
durs pour un autre usage (ex : r-attribution dune machine/serveur) ne sont autoriss
quaprs une opration deffacement scuris des donnes.
EXP-CI-DESTR : destruction de support. La fin de vie dun support ou dun matriel
embarquant un support de stockage (imprimante, routeur, commutateur) doit
saccompagner dune opration de destruction avant remise au constructeur.
EXP-CI-TRAC : traabilit / imputabilit. Afin dassurer une cohrence dans les changes
entre applications ainsi quune traabilit pertinente des vnements techniques et de
scurit, les centres dexploitation emploient une rfrence de temps commune (service
NTP, Network Time Protocol).
EXP-CI-SUPERVIS : supervision. Un cloisonnement entre les flux de supervision (remonte
dinformations) et les flux dadministration (commandes, mises jour) doit tre mis en place.
EXP-CI-AMOV : accs aux priphriques amovibles. Laccs aux supports informatiques
amovibles fait lobjet dun traitement adapt, plus particulirement lorsquils ont t utiliss
pour mmoriser de linformation sensible ou lorsquils sont utiliss pour des oprations
dexploitation.
EXP-CI-ACCRES : accs aux rseaux. Dans un centre informatique, le contrle physique
des accs rseaux, lattribution des adresses IP, le filtrage des informations et lusage de
dispositifs spcifiques (machines virtuelles, cartes dadministration distance, etc.) font
lobjet de procdures scurises.
EXP-CI-AUDIT : audit/contrle. Le RSSI pilote des audits rguliers du systme dinformation
relevant de sa responsabilit.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

34/42

Scurit du poste de travail


Scurisation des postes de travail
Objectif 25 : scurisation des postes de travail. Durcir les configurations des postes de
travail en protgeant les utilisateurs.

Mise disposition du poste


PDT-GEST : fourniture et gestion des postes des travail. Les postes de travail utiliss dans
le cadre professionnel sont fournis et grs par lquipe locale charge des SI.
PDT-CONFIG : formalisation de la configuration des postes des travail. Une procdure
formalise de configuration des postes de travail est tablie par chaque entit,
conformment aux directives nationales existantes.

Scurit physique des postes de travail


PDT-VEROUIL-FIXE : verrouillage de lunit centrale des postes fixes. Lorsque lunit
centrale dun poste fixe est peu volumineuse, donc susceptible dtre facilement emporte,
elle doit tre protge contre le vol par un systme dattache (par exemple un cble antivol).
PDT-VEROUIL-PORT : verrouillage des postes portables. Un cble physique de scurit
doit tre fourni avec chaque poste portable. Les utilisateurs doivent tre sensibiliss son
utilisation.

Raffectation du poste et rcupration dinformations


PDT-REAFFECT : raffectation du poste de travail. Une procdure SSI dfinit les rgles
concernant le traitement appliquer aux informations ayant t stockes ou manipules sur
les postes raffects.

Gestion des privilges sur les postes de travail


PDT-PRIVIL : privilges des utilisateurs sur les postes de travail. La gestion des privilges
des utilisateurs sur leurs postes de travail doit suivre le principe du moindre privilge :
chaque utilisateur ne doit disposer que des privilges ncessaires la conduite des actions
relevant de sa mission.
PDT-PRIV : utilisation des privilges daccs administrateur . Les privilges daccs
administrateur doivent tre utiliss uniquement pour les actions dadministration le
ncessitant.
PDT-ADM-LOCAL : gestion du compte administrateur local . Laccs au compte
administrateur local sur les postes de travail doit tre strictement limit aux quipes en
charge de lexploitation et du support sur ces postes de travail.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

35/42

Protection des informations


PDT-STOCK : stockage des informations. Dans la mesure du possible, les donnes traites
par les utilisateurs doivent tre stockes sur des espaces rseau, eux-mmes sauvegards
selon les exigences des entits et en accord avec les rgles de scurit en vigueur.
PDT-SAUV-LOC : sauvegarde / synchronisation des donnes locales. Dans le cas o des
donnes doivent tre stockes en local sur le poste de travail, des moyens de
synchronisation ou de sauvegarde doivent tre fournis aux utilisateurs.
PDT-PART-FIC : partage de fichiers. Le partage de rpertoires ou de donnes hberges
localement sur les postes de travail nest pas autoris.
PDT-SUPPR-PART : suppression des donnes sur les postes partags. Les donnes
prsentes sur les postes partags (portable de prt, par exemple) doivent tre supprimes
entre deux utilisations, ds lors que les utilisateurs ne disposent pas du mme besoin den
connatre.
PDT-CHIFF-SENS : chiffrement des donnes sensibles. Une solution de chiffrement
labellise doit tre mise disposition des utilisateurs et des administrateurs afin de chiffrer
les donnes sensibles stockes sur les postes de travail, les serveurs, les espaces de
travail, ou les supports amovibles.
PDT-AMOV : fourniture de supports de stockage amovibles. Les supports de stockage
amovibles (cls USB et disque durs externes, notamment) doivent tre fournis aux
utilisateurs par lquipe locale charge des SI.

Nomadisme
PDT-NOMAD-ACCESS : accs distance aux Systmes dInformation de lentit. Les accs
distance aux SI de lentit (accs dits nomades ) doivent tre raliss via les
infrastructures nationales. Lorsque laccs distance utilise dautres infrastructures, lusage
de rseaux privs virtuels (VPN) de confiance est ncessaire.
PDT-NOMAD-PAREFEU : pare-feu local. Un pare-feu local conforme aux directives
nationales doit tre install sur les postes nomades.
PDT-NOMAD-STOCK : stockage local dinformation sur les postes nomades. Le stockage
local dinformation sur les postes de travail nomades doit tre limit au strict ncessaire. Les
informations sensibles doivent tre obligatoirement chiffres par un moyen de chiffrement
labellis.
PDT-NOMAD-FILT : filtre de confidentialit. Pour les postes de travail nomades manipulant
des donnes sensibles, un filtre de confidentialit doit tre fourni et tre positionn sur
lcran ds lors que le poste est utilis en dehors de lentit.
PDT-NOMAD-CONNEX : configuration des interfaces de connexion sans fil. La configuration
des interfaces de connexion sans fil doit interdire les usages dangereux de ces interfaces.
PDT-NOMAD-DESACTIV : dsactivation des interfaces de connexion sans fil. Des rgles de
configuration des interfaces de connexion sans fil (Wifi, Bluetooth, 3G), permettant
dinterdire les usages non matriss et dviter les intrusions via ces interfaces, doivent tre
dfinies et appliques. Les interfaces sans fil ne doivent tre actives quen cas de besoin.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

36/42

Scurisation des imprimantes et copieurs multifonctions


Objectif 26 : scurisation des copieurs multifonctions. Paramtrer les imprimantes et
copieurs multifonctions afin de diminuer leur surface dattaque.
PDT-MUL-DURCISS : durcissement des imprimantes et copieurs multifonctions. Les
imprimantes et copieurs multifonctions hbergs localement dans une entit doivent faire
lobjet dun durcissement en termes de scurit : changement des mots de passe
initialement fixs par le constructeur , dsactivation des interfaces rseau inutiles,
suppression des services inutiles, chiffrement des donnes sur le disque dur lorsque cette
fonctionnalit est disponible, configuration rseau statique.
PDT-MUL-SECNUM : scurisation de la fonction de numrisation. Lorsquelle est active, la
fonction de numrisation sur les copieurs multifonctions hbergs dans une entit doit tre
scurise. Les mesures de scurit suivantes doivent notamment tre appliques : envoi de
documents uniquement destination dune adresse de messagerie interne lentit, envoi
uniquement une seule adresse de messagerie.

Scurisation de la tlphonie
Objectif 27 : scurisation de la tlphonie. Scuriser la tlphonie pour protger les
utilisateurs contre des attaques malveillantes.
PDT-TEL-MINIM : scuriser la configuration des autocommutateurs. Les autocommutateurs
doivent tre maintenus jour au niveau des correctifs de scurit. Leur configuration doit
tre durcie. La dfinition et laffectation des droits daccs et des privilges aux utilisateurs
(transfert dpart-dpart, entre en tiers, interphonie, autorisation de dblocage, renvoi sur
numro extrieur, substitution, substitution de privilge, interception dappel dirig, etc.)
doivent faire lobjet dune attention particulire. Une revue de la programmation tlphonique
doit tre organise priodiquement.
PDT-TEL-CODES : codes daccs tlphoniques. Il est ncessaire de sensibiliser les
utilisateurs au besoin de modifier le code daccs de leur tlphone et de leur messagerie
vocale.
PDT-TEL-DECT : limiter lutilisation du DECT. Les communications ralises au travers du
protocole DECT sont susceptibles dtre interceptes, mme si les mcanismes
dauthentification et de chiffrement que propose ce protocole sont activs. Il est
recommand dattribuer des postes tlphoniques filaires aux utilisateurs dont les changes
sont les plus sensibles.

Contrles de conformit
Objectif 28 : contrles de la conformit des postes de travail. Contrler rgulirement la
conformit des paramtrages de scurit appliqus aux postes de travail.
PDT-CONF-VERIF : utiliser des outils de vrification automatique de la conformit. Un outil
de vrification rgulire de la conformit des lments de configuration des postes de travail
doit tre mis en place, afin dviter une drive dans le temps de ces lments de
configuration.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

37/42

Scurit du dveloppement des systmes


Dveloppement des systmes
Objectif 29 : prise en compte de la scurit dans le dveloppement des SI. Reconnatre la
scurit comme une fonction essentielle, et la prendre en compte ds la conception des
projets.
DEV-INTEGR-SECLOC : intgrer la scurit dans les dveloppements locaux. Toute
initiative locale de dveloppement informatique doit respecter les exigences nationales en
matire de SSI, concernant la prise en compte de la scurit dans les projets et les
dveloppements informatiques. Le service lorigine du projet se porte garant de
lapplication du rfrentiel gnral de scurit, et de lapplication dune dmarche
dhomologation du systme.
DEV-SOUS-TRAIT : intgrer des clauses SSI dans les contrats de sous-traitance de
dveloppement informatique. Lors de lcriture dun contrat de sous-traitance de
dveloppement, plusieurs clauses relatives la SSI doivent tre intgres :

formation obligatoire des dveloppeurs sur le dveloppement scuris et sur les


vulnrabilits classiques ;

utilisation obligatoire doutils permettant de minimiser les erreurs introduites


durant le dveloppement (outils gratuits danalyse statique de code, utilisation de
bibliothques rputes pour leur scurit, etc.) ;

production de documentation technique dcrivant limplantation des protections


dveloppes (gestion de lauthentification, stockage des mots de passe, gestion
des droits, chiffrement, etc.) ;

respect de normes de dveloppement scuris, quelles soient propres au


dveloppeur, publiques ou propres au commanditaire ;

obligation pour le prestataire de corriger, dans un temps raisonnable et pour un


prix dfini, les vulnrabilits introduites durant le dveloppement et qui lui sont
remontes, en incluant automatiquement les corrections des autres occurrences
des mmes erreurs de programmation.

Dveloppements logiciels et scurit


Objectif 30 : prise en compte de la scurit dans le dveloppement des logiciels. Mener les
dveloppements logiciels selon une mthodologie de scurisation du code produit.
DEV-FUITES : limiter les fuites dinformation. Les fuites dinformations techniques sur les
logiciels utiliss permettent aux attaquants de dceler plus facilement dventuelles
vulnrabilits. Il est impratif de limiter fortement la diffusion dinformations au sujet des
produits utiliss, mme si cette prcaution ne constitue pas une protection en tant que telle.
DEV-LOG-ADHER : rduire ladhrence des applications des produits ou technologies
spcifiques. Le fonctionnement dune application sappuie sur un environnement logiciel et
matriel. En phases de conception et de spcification technique, il est ncessaire de
sassurer que les applications nont pas une trop forte adhrence vis--vis des
environnements sur lesquels elles reposent. En effet, lapparition de failles sur un
environnement a de fait un impact sur la scurit des applications qui en dpendent. En plus
du maintien en condition de scurit propre lapplication, il est donc ncessaire de pouvoir
Politique de scurit des systmes dinformation de lEtat
Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

38/42

faire voluer son environnement pour garantir sa scurit dans la dure.


DEV-LOG-CRIT : instaurer des critres de dveloppement scuris. Une fois passes les
phases de dfinition des besoins et de conception de larchitecture applicative, le niveau de
scurit dune application dpend fortement des modalits pratiques suivies lors de sa
phase de dveloppement.
DEV-LOG-CYCLE : intgrer la scurit dans le cycle de vie logiciel. La scurit doit tre
intgre toutes les tapes du cycle de vie du projet, depuis lexpression des besoins
jusqu la maintenance applicative, en passant par la rdaction du cahier des charges et les
phases de recette.
DEV-LOG-WEB : amliorer la prise en compte de la scurit dans les dveloppements Web.
Les dveloppements Web (et les dveloppements en PHP en particulier) font lobjet de
problmes de scurit rcurrents qui ont conduit la constitution de rfrentiels de scurit.
Ces rfrentiels ont pour objectif de fixer des REGLES DE BONNES PRATIQUES
lusage des dveloppeurs. Ce sont des rgles dordre gnrique ou pouvant tre spcifiques
un langage (PHP, ASP, NET, etc.).
DEV-LOG-PASS : calculer les empreintes de mots de passe de manire scurise.
Lorsquune application doit stocker les mots de passe de ses utilisateurs, il est important de
mettre en uvre des mesures permettant de se prmunir contre les attaques documentes :
attaques par dictionnaire, attaques par tables arc-en-ciel, attaques par force brute, etc.

Applications risques
Objectif 31 : scurisation des applications risques. Accompagner le dveloppement
scuris dapplications risques par des contre-mesures minimisant limpact dattaques
nouvelles.
DEV-FILT-APPL : mettre en uvre des fonctionnalits de filtrage applicatif pour les
applications risque. Devant les applications risques, il est recommand de faire usage
dune solution tierce de filtrage applicatif.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

39/42

Traitement des incidents


Chanes oprationnelles
Objectif 32 : chanes oprationnelles. Partager linformation (alertes, incidents) dans le
respect des rgles de prudence et mutualiser les oprations de remise en tat, de faon
lutter efficacement contre les attaques.
TI-OPS-SSI : chanes oprationnelles SSI. Les chanes oprationnelles des ministres
concourent leffort national de cyberscurit. Les alertes et les incidents sont grs selon
des procdures testes lors dexercices. La coordination des comptences est organise
lchelon ministriel. Les situations durgences peuvent faire appel des mesures dfinies
pralablement dans le cadre des plans gouvernementaux.

Traitement des alertes de scurit mises par les instances nationales


(ANSSI)
TI-MOB : mobilisation en cas dalerte En cas dalerte de scurit identifie au niveau
national, les RSSI de chaque entit sassurent de la bonne application des exigences
formules par les instances nationales, dans les meilleurs dlais.

Remonte des incidents de scurit rencontrs


TI-QUAL-TRAIT : qualification et traitement des incidents. La chane fonctionnelle SSI est
informe par la chane oprationnelle de tout incident de scurit, et contribue si ncessaire
la qualification de lincident et au pilotage de son traitement.
TI-INC-REM : remonte des incidents. Tout incident de scurit, mme apparemment
mineur, dont limpact dpasse ou est susceptible de dpasser le SI dune entit ou dun
ministre, fait lobjet dun compte-rendu, via la chane SSI, au Centre oprationnel de la
scurit des systmes dinformation (COSSI) de lANSSI.
La remonte dincidents par les chanes oprationnelles ministrielles participe la posture
permanente de vigilance. Cette remonte est immdiate pour les incidents dont la porte est
susceptible de dpasser court terme le primtre de lentit ou du ministre, et pour les
incidents correspondant des signalements spcifiques, notamment de la part de lANSSI.
La remonte prend la forme dune synthse mensuelle pour les autres incidents.
Les critres et procdures prcis de remonte dincidents sont labors sous le pilotage de
la chane fonctionnelle SSI, en lien avec la chane oprationnelle.
Chaque entit doit maintenir jour un historique clair des suites lies lescalade de chaque
incident, afin de capitaliser les enseignements associs la rsolution (ou non) de ces
incidents.
Laspect difficile de la caractrisation des attaques (ambigut de la source, du dommage, du
moyen, de la finalit) rend ncessaire les changes dinformations interministriels - mme
sur des signaux faibles - ainsi que la coordination continue des actions.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

40/42

Continuit dactivit
Gestion de la continuit dactivit des SI
Objectif 33 : gestion de la continuit dactivit. Se doter de plans de continuit dactivit, et
les tester.
PCA-MINIS : dfinition du plan ministriel de continuit dactivit des Systmes dInformation.
Chaque ministre dfinit un plan de continuit dactivit ministriel des systmes dinformation
permettant dassurer, en cas de sinistre, la continuit dactivit des systmes dinformation.

Dfinition du plan de continuit dactivit des systmes dinformation dune


entit
PCA-LOCAL : dfinition du plan local de continuit dactivit des systmes dinformation. Le
directeur des systmes dinformation ou le RSSI dune entit dfinit la structure et les
attendus du plan de continuit dactivit des systmes dinformation permettant dassurer
effectivement, en cas de sinistre, la continuit dactivit.

Mise en uvre du plan local de continuit dactivit des systmes


dinformation
PCA-SUIVILOCAL : suivi de la mise en uvre du plan de continuit dactivit local des
Systmes dInformation (PCA des SI). Le RSSI dune entit sassure de la bonne mise en
uvre des dispositions prvues dans le plan de continuit dactivit des systmes
dinformation.
PCA-PROC : mise en uvre des dispositifs techniques et des procdures oprationnelles.
Les quipes informatiques mettent en uvre les dispositifs techniques et les procdures
oprationnelles contribuant la continuit des SI, en assurent la supervision au quotidien et
la maintenance dans le temps.
PCA-SAUVE : protection de la disponibilit des sauvegardes. Les sauvegardes de donnes
ne doivent pas tre soumises aux mmes risques de sinistres que les donnes
sauvegardes.
PCA-PROT : protection de la confidentialit des sauvegardes. Les sauvegardes doivent tre
traites de manire garantir leur confidentialit et leur intgrit.

Maintien en conditions oprationnelles du plan local de continuit dactivit


des Systmes dInformation
PCA-EXERC : exercice rgulier du plan local de continuit dactivit des systmes
dinformation. Le RSSI dune entit organise des exercices rguliers, afin de tester le plan
local de continuit dactivit des systmes dinformation.
PCA-MISAJOUR : mise jour du plan local de continuit dactivit des systmes
dinformation. Le RSSI dune entit assure le maintien jour du plan local de continuit
dactivit des Systmes dInformation.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

41/42

Conformit, audit, inspection, contrle


Contrles
Objectif 34 : contrles rguliers. Effectuer des contrles (audits, inspections) et des
exercices rguliers de faon mesurer les progrs accomplis et corriger les manquements.
CONTR-SSI : contrles locaux. La conformit la PSSIE et la PSSI ministrielle est
vrifie par des contrles rguliers. Les RSSI de chaque entit conduisent des actions
locales dvaluation de la conformit la PSSIE et contribuent la consolidation, dans un
bilan annuel, de ltat davancement de sa mise en uvre.
CONTR-BILAN-SSI : bilan annuel. Chaque ministre tablit un bilan annuel mesurant sa
maturit SSI globale. LANSSI consolide lensemble de ces bilans. Le document de synthse
est soumis au Premier ministre.

Politique de scurit des systmes dinformation de lEtat


Version

Date

Critre de diffusion

Page

1.0

17 juillet 2014

PUBLIC

42/42