Arrêté du 1er août 2016 portant approbation de la politique générale de sécurité des systèmes d'information pour les ministères économiques et financiers

JORF n°0195 du 23 août 2016
texte n° 6




Arrêté du 1er août 2016 portant approbation de la politique générale de sécurité des systèmes d'information pour les ministères économiques et financiers

NOR: FCPP1622039A
ELI: https://www.legifrance.gouv.fr/eli/arrete/2016/8/1/FCPP1622039A/jo/texte


Le ministre des finances et des comptes publics et le ministre de l'économie, de l'industrie et du numérique,
Vu le code de la défense, notamment ses articles L. 2321-1 et R. 1143-1 à R. 1143-8 ;
Vu la circulaire du Premier ministre du 17 juillet 2014 portant la politique de sécurité des systèmes d'information de l'Etat,
Arrêtent :

Article 1


La politique générale de sécurité des systèmes d'information pour les ministères économiques et financiers, ci-après annexée, est approuvée.

Article 2


Le présent arrêté sera publié au Journal officiel de la République française.

  • Annexe

    Secrétariat général des ministères économiques et financiers
    Service du haut fonctionnaire de défense et de sécurité


    Politique générale de sécurité des systèmes d'information (PGSSI) des ministères économiques et financiers

    Juillet 2016


    TABLE DES MATIERES

    Synthèse managériale
    Contexte et périmètre
    Contexte et terminologie
    Objectifs
    Périmètre
    Exclusions
    Dérogations
    Date d'effet et révision
    Principes généraux
    Classifications
    Conformités
    Subsidiarité de l'analyse de risque
    Homologations
    Surveillance et contrôles
    Gestion des incidents
    Plans de continuité et de reprise d'activité
    Cloisonnements
    Culture sécurité
    Standardisation
    Organisation
    Acteurs habilités
    Coordinations croisées
    Procédure d'homologation de sécurité
    Avis et standards
    Glossaire

    Synthèse managériale


    Depuis l'élaboration de la première version de la politique de sécurité des systèmes d'information des ministères économiques et financiers (MEF) en 2008, les réformes successives de l'État ont modifié en profondeur l'organisation et les missions des MEF. Ces changements ont eu pour conséquence de diversifier sensiblement :
    - les métiers des ministères (missions économiques, budgétaires, fiscales, achat, de police judicaire, de contrôle de la concurrence et de protection du consommateur, statistiques, de lutte contre la fraude, de gestion de la trésorerie et de la dette de l'État...) ;
    - la réglementation applicable (code monétaire et financier, des douanes, de la consommation, des impôts, loi informatique et liberté, code de procédure pénale, LOLF...) ;
    - les technologies déployées en matière informatique dans les directions ;
    - les approches et les priorités en termes de sécurité des systèmes d'information dans chaque direction.

    Dans cet environnement, la sécurité et la disponibilité du patrimoine informationnel des MEF et des systèmes d'information sous-jacents deviennent stratégiques pour la performance de l'institution. Ces ministères doivent pouvoir garantir aux usagers, aux entreprises et à leurs partenaires la sécurité et la fiabilité de ses systèmes tout en gardant une agilité nécessaire à son développement. Ces systèmes d'information sont soumis à des menaces en constante évolution, tout en se complexifiant de plus en plus par leur nécessaire ouverture, les besoins de mobilité et l'apport de nouvelles technologies différenciatrices en support aux activités métiers.

    Ainsi, pour répondre à ces enjeux dans la continuité de l'impulsion de la PSSI Etat (circulaire Premier ministre du 17 juillet 2014), les MEF se dotent d'une politique de sécurité de systèmes d'information applicable à l'ensemble de leurs entités et permettant une vision commune consolidée de leur sécurité.

    Elle repose sur deux éléments fondateurs :
    - une approche de la sécurité par les risques permettant un alignement des mesures de sécurité avec un ensemble de risques à couvrir, liés aux enjeux métiers. L'homologation des systèmes d'information est un dispositif clé de voute pour enclencher cette démarche et permettre la maîtrise de ces risques ;
    - la mise en œuvre d'un système de management de la sécurité de l'information (SMSI) permettant d'assurer un pilotage efficace et en amélioration continue des activités de sécurité, prenant en compte les évolutions de l'organisation et les contraintes auxquelles elle est soumise.

    L'application de cette politique revêt un enjeu majeur pour les MEF. Pilotée par la filière Sécurité des Systèmes d'Information, elle est l'un des vecteurs majeurs du développement d'une culture sécurité à tous les niveaux des ministères et entités rattachées.


    Contexte et périmètre
    Contexte et terminologie
    Les informations, ainsi que les Systèmes d'Information (SI) qui permettent de les traiter, constituent une part essentielle du patrimoine des ministères économiques et financiers (MEF).
    Ces systèmes d'information sont exposés à des risques et menaces (accidents, erreurs et malveillances) pouvant porter atteinte aux activités des MEF. Ces menaces évoluent en permanence, alors que l'exposition et la complexité des systèmes d'information ainsi que leur interdépendance ne font que croître, avec des besoins d'ouverture, d'évolution et de flexibilité toujours plus importants.
    La Sécurité des Systèmes d'Information (SSI) a pour finalité de prévenir et de gérer ces menaces, en permettant de répondre à des problématiques opérationnelles, stratégiques, juridiques et de gestion de risque, ceci dans une démarche adaptée au contexte et aux enjeux des MEF.
    Ainsi, les MEF se dotent d'une Politique Générale de Sécurité des Systèmes d'Information (PGSSI) avec comme ambition d'assurer la disponibilité, l'intégrité, la confidentialité et la traçabilité de ses SI.
    La présente politique s'inscrit dans le cadre de la circulaire du Premier ministre n°5725-SG du 17 juillet 2014 relative à publication de la Politique de Sécurité des Systèmes d'Information de l'État, nommée dans la suite du document "PSSI-E". La politique ministérielle complète la PSSI-E qui s'applique par ailleurs.
    Objectifs
    La sécurisation vise à encadrer et orienter l'ensemble des actions d'identification puis de traitement des risques de sécurité SI. Un risque de sécurité SI est identifié dès lors qu'il y a potentiellement atteinte directe ou indirecte (suite à un accident, une erreur ou un acte de malveillance) à :
    - la disponibilité, qui est la propriété pour une information ou un traitement d'être accessible et utilisable à la demande par une Entité autorisée ;
    - l'intégrité, qui est la propriété pour une information ou un traitement d'être non altéré ;
    - la confidentialité, qui est la propriété pour une information de ne pas être accessible ou divulguée à des Entités, personnes ou processus non autorisés ;
    - la traçabilité qui est la propriété pour une information ou un traitement de permettre la vérification d'un agissement ou d'un événement à des fins d'analyse postérieure et d'en retrouver l'auteur.
    Périmètre
    Cette politique de sécurité des SI concerne la sécurité de l'intégralité des systèmes d'information des MEF. Elle s'applique et s'impose à toutes les Entités des MEF, quelles que soient leurs activités et leurs implantations géographiques, dans le respect des responsabilités préexistantes, des dispositions légales et réglementaires locales et en accord avec les principes de gouvernance des MEF.
    Une Entité peut donc être une administration centrale, une direction ou ses services déconcentrés, un service à compétence nationale ou un établissement public sous tutelle des MEF (ANFR, INPI, écoles...).
    La politique de sécurité des SI s'applique également sur le périmètre des services externalisés par les MEF auprès de tiers (fournisseur, partenaire...), qui doivent démontrer un niveau de confiance adéquat aux enjeux des MEF.
    Les systèmes d'information et de communication de sûreté (systèmes de contrôle d'accès et détection d'intrusion, sécurité incendie, Gestion Technique de Bâtiment, vidéosurveillance...) entrent également dans le périmètre de la présente PGSSI, du fait de leurs interconnexions avec les réseaux Ethernet / IP.
    Elle constitue le cadre obligatoire dans lequel chacune de ces Entités inscrit ses actions de sécurisation du SI. Chaque Entité décline, selon la spécificité de ses activités, cette politique au sein de son périmètre.
    Exclusions
    La présente politique ne s'impose pas aux systèmes aptes à traiter des informations classifiées de défense, soumis à un corpus réglementaire spécifique (IGI1300, IGI920). Il appartient aux responsables des Entités concernées d'assurer une cohérence entre les dispositions de la présente politique et la réglementation relative à la protection des informations et supports classifiés de défense.
    Dérogations
    En cas d'impossibilité de mise en application de la présente politique sur un périmètre donné, un dossier de demande de dérogation doit être constitué par l'Autorité Qualifié en matière de SSI (AQSSI) de l'Entité concernée. Le service du Haut Fonctionnaire de Défense et de Sécurité (SHFDS) prononce un avis sur la demande justifiée.
    Date d'effet et révision
    La mise en œuvre de la politique de sécurité des systèmes d'information des MEF doit être engagée dès sa publication.
    Elle est suivie annuellement par le comité stratégique des SI, à travers un tableau de bord et un plan SSI ministériel annuel élaboré avec les Entités, permettant entre autre d'apprécier l'avancement de la généralisation des homologations de sécurité.
    Le besoin de réviser la politique est étudié tous les cinq ans. Toute demande d'évolution ou d'adaptation de la politique est à soumettre au même comité stratégique SI pour instruction.


    Principes généraux
    Classifications
    Les Entités procèdent à l'identification de leurs informations sensibles et documentent les comportements et pratiques (architecture, contrôle interne...) de manipulation de ces informations.
    Conformités
    Les Entités des MEF sont particulièrement attentives à respecter les cadres légaux, réglementaires et contractuels qui leur sont applicables, par exemple de protection de la vie privée. Elles se tiennent informées de son évolution et des spécificités applicables liées à leur implantation géographique ou à leur activité.
    Subsidiarité de l'analyse de risque
    Chaque Entité met en place un processus d'analyse et de réévaluation périodique des risques de sécurité des SI. Les Entités sont ainsi responsables de la maîtrise de leurs risques de sécurité des SI, y compris sur le périmètre des services externalisés à des tiers, internes ou externes aux MEF. Elles prennent par ailleurs en compte dans leurs activités les risques liés aux SI transverses.
    Les Entités expriment donc leurs besoins de sécurité en évaluant l'impact potentiel d'une atteinte à la disponibilité, intégrité, confidentialité ou traçabilité des SI sur leurs actifs et processus essentiels.
    Les vulnérabilités des SI, qu'elles soient techniques ou organisationnelles, sont régulièrement identifiées et traitées au travers de contrôles et actions périodiques.
    La sécurité est de plus prise en compte à chaque étape du cycle de vie des projets.
    Les mesures de traitement des risques de sécurité des SI ainsi identifiées sont priorisées et mises en œuvre en fonction du niveau de risque accepté par les métiers.
    Homologations
    Comme le prévoit la PSSI-E, tout système d'information doit faire l'objet d'une décision d'homologation de sa sécurité avant sa mise en exploitation dans les conditions d'emploi définies. Pour autant, la démarche d'homologation doit être adaptée aux enjeux de sécurité du système, notamment au contexte d'emploi, à la nature et sensibilité des données contenues, ainsi qu'aux utilisateurs.
    Un dossier de sécurité doit obligatoirement être constitué par la maitrise d'ouvrage du projet et présenté à l'autorité d'homologation. Ce processus qui est une clé de voute de la PGSSI-MEF est précisé dans un chapitre spécifique de ce document.
    Surveillance et contrôles
    Chaque Entité met en place un processus de surveillance adapté afin de détecter au plus tôt les atteintes volontaires, accidentelles ou potentielles à la sécurité de ses SI. Cette surveillance s'exerce également sur le périmètre des services externalisés à des tiers, notamment les infogérants, et est adaptée selon la sensibilité des SI concernés.
    La mise en œuvre et l'efficacité des mesures de sécurité du SI font également l'objet d'audits et contrôles réguliers pilotés par le RSSI de l'Entité. Ceux-ci ont pour objectif de permettre la correction ou l'ajustement des mesures prises.
    Par ailleurs, les services transverses fournis par les infogérants à un ensemble d'Entités font l'objet de conventions de service contrôlées à intervalle régulier, pour la partie relative à la sécurité SI, par les RSSI des Entités clientes.
    Sur la base de ces contrôles, les Entités effectuent des états des lieux et compte rendus périodique auprès du HFDS.
    Gestion des incidents
    Les Entités formalisent des processus permettant de gérer les incidents de sécurité (dans toutes les composantes, confidentialité, intégrité, disponibilité) et les situations de crise des SI à chaque niveau de l'organisation des MEF, en maintenant des canaux de communication avec les acteurs internes et externes majeurs.
    Le HFDS est systématiquement informé des événements de sécurité significatifs ou graves qui se produisent au niveau des Entités ou qui ont produit ou failli produire des impacts sur d'autres Entités ou sur les MEF dans leur ensemble (incluant les partenaires, les fournisseurs et les clients).
    Au-delà de leur traitement immédiat, ces incidents de sécurité font l'objet d'une analyse et de mesures de correction de leurs causes profondes dans le but d'éviter qu'ils se reproduisent. Ces retours d'expérience sont partagés entre Entités via le HFDS.
    Plans de continuité et de reprise d'activité
    Chaque Entité se dote de plans de continuité d'activité (PCA) des SI formalisés de façon à ce que la continuité des activités SI critiques, en cas de sinistre majeur, soit assurée, parfois en mode dégradé, tant au niveau Entité qu'au niveau des MEF. Les Entités testent régulièrement ces PCA des SI.
    Par ailleurs, les services informatiques supports des métiers se dotent de plan de reprise d'activité (PRA) permettant de limiter les impacts d'un sinistre sur l'ensemble des Entités.
    Cloisonnements
    L'accès aux ressources non publiques des MEF est fourni à chaque utilisateur selon le principe du "besoin d'en connaître" et du moindre privilège : chaque utilisateur n'est autorisé à accéder qu'aux ressources nécessaires à l'accomplissement de ses missions.
    Les habilitations et autorisations liées aux missions de chacun sont personnelles, incessibles et limitées dans le temps.
    Culture sécurité
    Le personnel d'encadrement est responsable du respect du niveau de sécurité (conformité aux politiques et standards SSI des MEF) dans son Entité. Il s'engage de plus à la diffusion au sein de sa structure des bonnes pratiques en matière de sécurité informatique.
    Plus généralement, tout utilisateur des systèmes d'information des MEF prend connaissance des réflexes de sécurité des SI à travers la mise en œuvre d'actions formalisées de sensibilisation. Il est de plus responsabilisé à la sécurité des SI, notamment à travers la Charte NTIC qui sera mise à jour ou le règlement d'utilisation des SI applicable sur son périmètre s'il existe, qui lui est communiqué à la prise de fonction.
    Les tiers s'engagent également sur un niveau de sécurité adapté aux enjeux à travers les clauses de sécurité que chaque Entité veille à inclure dans l'ensemble de ses contrats. Les contrats antérieurs à la présente politique devront être révisés à leurs échéances.
    Standardisation
    L'emploi de produits ou des services de sécurité labellisés (certifiés, qualifiés, homologués par l'ANSSI ou les MEF) participe également à la rationalisation en favorisant le réemploi et la mutualisation des solutions de systèmes déjà analysés.
    Dans un objectif de maîtrise des coûts, chaque technologie référencée dans les MEF dispose d'un niveau standard et de niveau(x) renforcé(s) de sécurité afin de satisfaire aux exigences de sécurité des Entités.


    Organisation
    Acteurs habilités
    La réglementation (notamment PSSI-E) organise la chaîne fonctionnelle SSI autour des acteurs suivants :
    - le Haut fonctionnaire de défense et de sécurité (HFDS) ;
    - le fonctionnaire de la sécurité des systèmes d'information (FSSI), parfois aussi désigné "responsable ministériel" (RMSSI) ;
    - les autorités qualifiées pour la sécurité des systèmes d'information (AQSSI), au minimum une par Entité ;
    - les responsables de la sécurité des systèmes d'information (RSSI).
    Par fonction, tous ces acteurs sont nécessairement habilités Confidentiel Défense. Par conséquence, les DSI d'Entités le sont également.
    En complément des obligations déontologiques liées à leur statut, tous les agents internes ayant des droits privilégiés sur des éléments des SI font l'objet d'une sensibilisation spécifique. Tous les intervenants externes ayant des droits privilégiés sur des éléments des SI, y compris pendant les phases d'installation, doivent au minimum signer des engagements de confidentialité assurant la traçabilité de leur implication. Si possible et approprié, ils pourront faire l'objet de contrôles élémentaires (CE au sens de l'IGI 1300).
    Coordinations croisées
    Afin de faire vivre la politique SSI des MEF, les acteurs s'appuient sur les rendez-vous déjà institutionnalisés :
    - COSTRAT SI et comité des DSI, réunions organisées par la délégation aux SI, démultipliant les conseils SIC de la DINSIC ;
    - COPIL SSI, réunions organisées par le FSSI, qui déclinent les réunions démultipliant l'action de l'ANSSI.
    Pour assurer l'évidente coordination entre ses instances, le HFDS/FSSI et ses équipes sont invités aux comités SI et inversement le délégué aux SI et ses équipes sont invitées aux COPIL SSI.
    Procédure d'homologation de sécurité
    L'homologation est prononcée après une instruction écrite par l'AQSSI ou une autorité d'homologation qu'elle désigne. Lorsque le système est sous la responsabilité de plusieurs autorités administratives, l'autorité d'homologation est désignée par la gouvernance de ces systèmes.
    La documentation est préparée par l'Entité concernée avec l'appui méthodologique du FSSI. Dans le cas où plusieurs Entités sont impliquées, une Entité assume le pilotage et la coordination.
    L'homologation est instruite par une commission. En fonction des plannings des commissions dont il est informé, le FSSI indique celles auxquelles il souhaite participer.
    La commission est élargie en fonction des enjeux du système homologué (périmètre, sensibilité, risques et menaces). Elle peut être élargie également pour des raisons pédagogiques (service innovant, ayant vocation à faire référence pour le futur).
    A l'issue de la commission, l'autorité d'homologation décide de la mise en exploitation ou non.
    Avis et standards
    Selon le principe de standardisation / rationalisation, un dossier d'homologation peut s'appuyer, faire référence à des homologations ou à des composants homologués dont il suffit de montrer que l'emploi est conforme.
    Parce que les mesures de sécurisation sont plus faciles et moins couteuses à insérer en amont qu'en aval, l'AQSSI ou le RSSI instructeur peut anticiper la procédure d'homologation en demandant des avis partiels sur des chapitres déjà produits d'un futur dossier d'homologation.
    Hors processus d'homologation, le service du HFDS qui assume un rôle de conseil vis-à-vis des acteurs participants aux processus d'homologation peut favoriser l'émergence puis formaliser des standards.

    Glossaire
    Sources
    [R] RGS
    [IGI] IGI.1300
    [P-E] PSSI-Etat

    Autorité d'homologation : personne qui, au sein de l'Entité responsable du système d'information, est désignée pour prononcer la décision d'homologation de sécurité du système d'information. [R]

    AQSSI (Autorité qualifiée en matière de sécurité des systèmes d'information) : responsable de la sécurité des systèmes d'information dans les administrations centrales et les services déconcentrés de l'État, dans les établissements publics placés sous l'autorité d'un ministre ainsi que dans les organismes et établissements relevant de ses attributions. [IGI]

    Entités : la PSSI-E s'applique à tous les systèmes d'information (SI) des administrations de l'État : ministères, établissements publics sous tutelle d'un ministère, services déconcentrés de l'Etat et autorités administratives indépendantes. Ces administrations sont dénommées "entités". [P-E]

    FSSI (Fonctionnaire de sécurité des systèmes d'information) : personne chargée [auprès du HFDS] de porter la réglementation interministérielle à la connaissance des organismes et entreprises concernés, d'élaborer la réglementation propre à son ministère en définissant pour chaque type de système d'information les mesures de protection nécessaires et de contrôler dans son département l'application de cette réglementation et l'efficacité des mesures prescrites. [IGI]

    HFDS (Haut fonctionnaire de défense et de sécurité) : personne [nommée par décret] chargée d'assister le ministre dans l'exercice de ses attributions de sécurité de défense et de protection du secret. [IGI]

    Homologation de sécurité : déclaration par l'autorité d'homologation, au vu du dossier d'homologation, que le système d'information considéré est apte à traiter des informations d'un niveau de classification donné conformément aux objectifs de sécurité visés, et que les risques de sécurité résiduels sont acceptés et maîtrisés. L'homologation de sécurité reste valide tant que le système d'information (SI) opère dans les conditions approuvées par l'autorité d'homologation. [IGI]

    RSSI (Responsable de la sécurité des systèmes d'information) : chaque AQSSI s'appuie sur un ou plusieurs RSSI, chargé(s) de l'assister dans le pilotage et la gestion de la SSI. Des "correspondants locaux SSI" peuvent être désignés, le cas échéant, afin de constituer un relais du RSSI. Le RSSI d'une entité fait valider les mesures d'application de la PSSIE par l'autorité qualifiée et veille à leur application. Des dénominations alternatives des fonctions citées ci-dessus peuvent être utilisées si nécessaire. [P-E]

    SSI (Sécurité des systèmes d'information) : discipline dont l'objectif est d'assurer la satisfaction des besoins de sécurité relatifs à un système d'information. Ces besoins sont exprimés a minima pour les caractéristiques de disponibilité, d'intégrité et de confidentialité de l'information et du système d'information. Ils peuvent être complétés par des besoins relatifs à l'imputabilité et la traçabilité. [RGS]

    SI (Système d'information) : ensemble des moyens informatiques ayant pour finalité d'élaborer, de traiter, de stocker, d'acheminer, de présenter ou de détruire des informations. [IGI]

    Téléservice : tout système d'information permettant aux usagers de procéder par voie électronique à des démarches ou formalités administratives. [RGS]


Fait le 1er août 2016.


Le ministre des finances et des comptes publics,

Pour le ministre et par délégation :

Le secrétaire général,

L. de Jekhowsky


Le ministre de l'économie, de l'industrie et du numérique,

Pour le ministre et par délégation :

Le secrétaire général,

L. de Jekhowsky