Ce site est une archive officieuse de l'ancien site de l'ANSSI, remplacé fin novembre 2023.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.
Consécutive au décret n° 2019-1271 du 2 décembre 2019 relatif aux modalités de classification et de protection du secret de la défense nationale, l’instruction générale interministérielle n° 1300/SGDSN/PSE/PSD du 9 août 2021 sur la protection du secret de la défense nationale (IGI 1300) détermine les rôles et responsabilités ainsi que les exigences liées à la gestion du cycle de vie d’une information ou d’un support classifié.
À travers ses différentes versions, dont la précédente est entrée en vigueur le 30 novembre 2011, cette instruction renforce la prise en compte de l’information classifiée dématérialisée. Ainsi, la nouvelle IGI 1300 précise les exigences applicables aux informations classifiées dématérialisées ainsi qu’aux systèmes d’information amenés à les traiter.
L’instruction est applicable à toute personne physique ou morale qui, dans le cadre de ses missions, est amenée à traiter d’informations classifiées. Ainsi l’ensemble des administrations de l’État sont concernées mais également les organismes privés qui, de par leur statut (par exemple les opérateurs d’importance vitale) ou via la passation ou l’exécution d’un contrat avec une administration de l’État, sont susceptibles de prendre connaissance ou d’accéder à des informations ou supports classifiés.
Tout organisme amené à traiter d’informations classifiées doit mettre en place une organisation dédiée, centrée autour de la chaîne fonctionnelle de la protection du secret. Cette organisation, lorsque ces informations classifiées sont dématérialisées, doit être complétée par la mise en œuvre d’une chaîne fonctionnelle de la sécurité des systèmes d’information.
L’IGI 1300 définit les exigences de sécurité des systèmes d’information amenés à traiter des informations ou supports classifiés. Ces systèmes doivent faire l’objet d’une attention particulière, notamment lorsqu’ils font l’objet d’interconnexions avec d’autres systèmes (classifiés ou non) ou qu’ils disposent de moyens permettant de traiter l’information classifiée dans un contexte de mobilité (supports amovibles, postes nomades, etc.).
Tout système d’information, préalablement à son emploi, doit faire l’objet d’une démarche d’homologation à l’issue de laquelle l’autorité d’homologation, après étude du dossier d’homologation et sur avis de la commission d’homologation, prend la décision d’homologuer ou non le système d’information au regard des risques qui pèsent sur ce système et comment ces risques sont gérés.
Par défaut et sauf contraintes opérationnelles ou techniques, le système d’information s’appuie sur des dispositifs de sécurité qui ont été agréés, garantie permettant d’apporter un niveau de confiance suffisant sur la capacité du dispositif à protéger les informations classifiées d’éventuelles compromissions.
L’IGI 1300 définit les exigences applicables à la gestion des informations et supports classifiés (y compris l’information classifiée dématérialisée) tout au long de leur cycle de vie comprenant des règles sur le marquage, l’enregistrement et l’inventaire, la diffusion et la fin de vie.
Avec le décret n° 2019-1271, la France modifie son système de protection du secret de la défense nationale passant de trois à deux niveaux de classification. Ce même décret prévoit dans son article 11 les mécanismes de transition pour le marquage des informations et supports classifiés et les décisions d’habilitation des personnes physiques ou morales et d’homologation des systèmes d’informations classifiés.
En résumé, la transition s’opère comme suit :
| Niveau de classification avant le 1er juillet 2021 | Niveau de classification après le 1er juillet 2021 |
|---|---|
| Confidentiel-Défense | Secret |
| Secret-Défense | Très Secret, à l’exception du Très Secret faisant l’objet d’une classification spéciale |
| Très Secret-Défense faisant l’objet d’une classification spéciale | Très Secret faisant l’objet de la même classification spéciale |
Dans le cadre de l’IGI 1300, l’ANSSI, en tant qu’autorité nationale de sécurité et de défense des systèmes d’information est membre de droit de chaque commission d’homologation de système d’information classifié et ce quel que soit le niveau de classification.
De plus, l’ANSSI accompagne le SGDSN dans l’exercice de son rôle d’autorité d’homologation pour les systèmes d’information classifiés au niveau Très Secret faisant l’objet d’une classification spéciale et pour les systèmes d’information amenés à traiter des informations classifiées de l’Union européenne ou de l’OTAN et, sous certaines conditions, les interconnexions impliquant un système d’information classifié.
L’ANSSI est également autorité nationale TEMPEST lui donnant pour mission de vérifier les performances relatives à la protection contre les signaux compromettant au profit des organismes ne disposant pas des moyens ou des infrastructures nécessaires pour assurer cette mission.
L’ANSSI est également responsable du processus d’agrément des dispositifs de sécurité concourant à la protection des informations ou supports classifiés.
L’ANSSI est notifiée des incidents de sécurité affectant la sécurité des systèmes d’information classifiés.
| Référence | Lien |
|---|---|
| Code pénal | Articles 413-9 à 413-12 |
| Code de la défense | Articles L. 2311-1 à L. 2313-1 Articles R. 2311-1 à R. 2312-2 |
| Décret n° 2019-1271 du 2 décembre 2019 relatif aux modalités de classification et de protection du secret de la défense nationale | https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000039440051/ |
| Arrêté du 9 août 2021 portant approbation de l’instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale | https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000043927068/ |
Afin d’accompagner les bénéficiaires dans la mise en conformité de leurs systèmes d’information amenés à traiter des informations classifiées, l’ANSSI a réalisé un outil reprenant l’ensemble des exigences en matière de sécurité des systèmes d’information qui sont définies dans l’IGI 1300 et permet un suivi de la conformité à ces exigences.
Cet outil s’adresse principalement aux personnes désignées comme :
– autorités qualifiées en sécurité des systèmes d’information (AQSSI) et, plus particulièrement, les AQSSI s’appuyant sur un système d’information amené à traiter des informations classifiées pour réaliser leurs missions ;
– autorités d’homologation de systèmes d’information amenés à traiter des informations classifiées ;
– officiers de sécurité des systèmes d’information (OSSI) ;
– responsables de la sécurité des systèmes d’information (RSSI) amenés à traiter des informations classifiées.
Cet outil peut également s’adresser aux auditeurs d’un système d’information amené à traiter des informations classifiées afin de s’assurer de la conformité dudit système d’information aux exigences de l’IGI 1300. Attention cependant, un audit de la conformité seul ne permet pas de disposer d’une vision précise du niveau de sécurité d’un système d’information classifié. Il doit être complété par des audits techniques et organisationnels qui prendront en compte l’écosystème et les menaces dans lequel s’inscrit le système d’information étudié.
| Ressources | Lien |
|---|---|
| Arrêté du 30 novembre 2011 portant approbation de l’instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale | https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000024892134 |
| Arrêté du 13 novembre 2020 portant approbation de l’instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale | https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042520705/ |
