Arrêté du 23 juillet 2010 portant approbation de l'instruction générale interministérielle sur la protection du secret de la défense nationale

Chemin :




Article
ELI: Non disponible


TITRE IV
LA PROTECTION DES LIEUX



Les règles de sécurité applicables aux lieux sont mises en œuvre pour protéger les informations ou supports classifiés contre toute menace d'origine interne ou externe qui pourrait mettre en cause leur disponibilité, leur intégrité, leur confidentialité et afin d'empêcher qu'une personne non autorisée puisse y accéder.
Les mesures de protection physique appliquées à une information dépendent de son niveau de classification.
Tout système de protection physique doit s'appuyer sur une analyse des risques.
Un dispositif de protection est satisfaisant lorsqu'il retarde suffisamment l'intrusion pour permettre la mise en œuvre des moyens d'intervention avant que les éléments couverts par le secret de la défense nationale ne soient compromis.
Les contrôles élémentaires de personnes physiques ou morales sont prévus pour l'exécution de contrats sensibles dans des lieux abritant des secrets de la défense nationale.
L'accès d'un magistrat aux lieux abritant des éléments classifiés des secrets de la défense nationale ou aux lieux classifiés se fait dans des conditions clairement définies et impliquant l'intervention de la CCSDN.


Chapitre Ier
Principes de protection physique des lieux
Article 70
Principes généraux


La protection physique est l'ensemble des mesures de sécurité destinées à garantir l'intégrité des bâtiments et des locaux spécifiquement dédiés aux informations ou supports classifiés, ainsi que la fiabilité des meubles dans lesquels ils sont conservés, afin d'éviter toute perte, dégradation ou compromission. Elle vise aussi à faciliter l'identification du ou des auteurs d'une éventuelle intrusion.
Le degré de sécurité physique à appliquer aux lieux pour assurer leur protection dépend du niveau de classification des documents qu'ils abritent, de leur volume et des menaces auxquelles ils sont exposés. Il en est de même lorsque les lieux sont eux-mêmes classifiés.
Le dispositif global de protection et la solution technique retenue reposent sur les conclusions de l'évaluation des menaces et des contraintes inhérentes à l'environnement du site, ainsi que des méthodes de travail et de gestion des informations ou supports classifiés concernés (par exemple, en fonction de la circulation de ces informations ou supports dans le site et du nombre de personnes y ayant accès). Les vulnérabilités liées aux systèmes d'information doivent également être prises en compte.
Cet ensemble de mesures de protection se compose de quatre éléments combinés ou dissociés en fonction du niveau de classification :
― un ou plusieurs dispositifs de protection (les obstacles) ;
― un ou plusieurs dispositifs de détection et d'alarme ;
― des moyens d'intervention articulés sur des procédures et des consignes préétablies ;
― un ou plusieurs dispositifs de dissuasion (indications).
Ainsi, un dispositif de sécurité satisfaisant a pour objectif, en retardant l'intrusion (aucun obstacle n'étant infranchissable), de permettre la mise en œuvre des moyens d'intervention, alertés et guidés par les dispositifs de détection avant que les informations ou supports classifiés ne soient compromis.
Pour être efficace, un système de protection physique doit s'appuyer sur une analyse précise des risques et :
― être multiple, c'est-à-dire, dans une logique de défense en profondeur, comporter plusieurs dispositifs successifs, complémentaires, de nature différente, associés ou combinés à un ou plusieurs dispositifs de détection-alarme reposant eux-mêmes sur des principes différents ;
― être homogène, c'est-à-dire garantir la même efficacité en tous points, l'intrusion s'opérant toujours dans la zone de moindre résistance et la valeur d'un système équivalant à celle de son élément le plus faible ;
― être dissuasif, c'est-à-dire contribuer à réduire le risque d'une tentative d'intrusion ;
― être contrôlé, c'est-à-dire être testé fréquemment afin de vérifier qu'il est en état opérationnel ;
― être traçable, c'est-à-dire fournir tout moyen pouvant apporter un historique du fonctionnement des différents composants.
Afin d'éviter l'intrusion, à l'intérieur d'un site ou d'un local protégé, d'une personne non autorisée qui représente toujours une menace pour les informations ou supports classifiés détenus, la protection physique comprend nécessairement un système de contrôle d'accès (116).
Le contrôle d'accès constitue un moyen matériel de s'assurer qu'une personne qui demande à pénétrer dans un lieu ou à accéder à une information a le droit de le faire. Il a donc pour objectif :
― de filtrer les flux de circulation, les individus et les véhicules qui souhaitent entrer ou sortir d'un site, d'un bâtiment ou d'un local ;
― de contrôler les individus et les véhicules dans les zones protégées ;
― d'empêcher ou de limiter les déplacements de personnes non autorisées.
Le contrôle d'accès comprend des mécanismes de différents niveaux :
― l'autorisation d'accès ;
― l'identification et/ou l'authentification de la personne ;
― la traçabilité, afin d'identifier a posteriori celui qui est entré ou sorti.
La sécurisation physique des accès d'énergie, des locaux techniques et des moyens de communication participe également de la protection physique des informations ou supports classifiés.

(116) Annexe 4.