Accueil Sécurité L'Etat se dote de sa première Politique globale de sécurité des systèmes...

L'Etat se dote de sa première Politique globale de sécurité des systèmes d'information

Avec la volonté de se montrer exemplaire en matière de cybersécurité, l’Etat a mis en place une Politique globale de sécurité des systèmes d’information. Il vient de la rendre publique.

Portée par une circulaire du Premier ministre signée le 17 juillet 2014, la Politique globale de sécurité des systèmes d’information (PSSIE) fixe les règles de protection applicables aux systèmes d’information de l’État. Ce document est l’aboutissement de travaux pilotés par l’ Agence nationale de la sécurité des systèmes d’information (ANSSI) qui s’appuient sur l’expérience des participants ministériels et de l’Agence en matière de prévention et de réaction aux attaques informatiques. Il vient d’être mis en ligne sur le site de l’Agence.

A quoi sert cette politique de sécurité des systèmes d’information de l’État (PSSIE) ? D’abord à assurer la continuité des activités régaliennes, ensuite à prévenir la fuite d’informations sensibles, enfin à renforcer la confiance des citoyens et des entreprises dans les téléprocédures. Le document de 42 pages définit les mesures de sécurité applicables aux systèmes d’information de l’État. Il s’appuie sur 10 principes stratégiques. Parmi ces principes, la circulaire met en exergue la nécessité pour les administrations de l’État de recourir à des produits et à des services qualifiés par l’ANSSI ainsi qu’à un hébergement sur le territoire national de leurs données les plus sensibles.

Voici ces 10 principes fondamentaux en détail.

  • Lorsque la maîtrise de ses systèmes d’information l’exige, l’administration fait appel à des opérateurs et des prestataires de confiance.

  • Tout système d’information de l’État doit faire l’objet d’une analyse de risques permettant une prise en compte préventive de sa sécurité, adaptée aux enjeux du système considéré. Cette analyse s’inscrit dans une démarche d’amélioration continue de la sécurité du système, pendant toute sa durée de vie. Cette démarche doit également permettre de maintenir à jour une cartographie précise des systèmes d’information en service.

  • Les moyens humains et financiers consacrés à la sécurité des systèmes d’information de l’État doivent être planifiés, quantifiés et identifiés au sein des ressources globales des systèmes d’information.

  • Des moyens d’authentification forte des agents de l’État sur les systèmes d’information doivent être mis en place. L’usage d’une carte à puce doit être privilégié.

  • Les opérations de gestion et d’administration des systèmes d’information de l’État doivent être tracées et contrôlées.

  • La protection des systèmes d'information doit être assurée par l’application rigoureuse de règles précises. Ces règles font l'objet de la PSSIE.

  • Chaque agent de l’État, en tant qu’utilisateur d’un système d’information, doit être informé de ses droits et devoirs mais également formé et sensibilisé à la cybersécurité. Les mesures techniques mises en place par l’État dans ce domaine doivent être connues de tous.

  • Les administrateurs des systèmes d’information doivent appliquer, après formation, les règles élémentaires d’hygiène informatique.

  • Les produits et services acquis par les administrations et destinés à assurer la sécurité des systèmes d’information de l’État doivent faire l’objet d’une évaluation et d’une attestation préalable de leur niveau de sécurité, selon une procédure reconnue par l’ANSSI (« labellisation »).

  • Les informations de l’administration considérées comme sensibles, en raison de leurs besoins en confidentialité, intégrité ou disponibilité, sont hébergées sur le territoire national.

     

Pour retrouver le document dans son intégralité