Beruflich Dokumente
Kultur Dokumente
ADMINISTRATION
DE LA DEFENSE NATIONALE
DIRECTION GENERALE DE LA SECURITE
DES SYSTEMES DINFORMATION
SOMMAIRE
PREAMBULE
1.PRINCIPE DIRECTEURS
2. CHAMP D'APPLICATION
4. DISPOSITIONS TRANSITOIRES
8. EVOLUTIONS DE LA DNSSI
1. POLITIQUE DE SECURITE
11
2. ORGANISATION DE LA SECURITE
13
2.1.
ORGANISATION INTERNE
13
2.2.
TIERS
14
16
3.1.
16
3.2.
17
19
4.1.
AVANT LE RECRUTEMENT
19
4.2.
APRES LE RECRUTEMENT
19
4.3.
20
5. SECURITE PHYSIQUE
21
5.1.
ZONES SECURISEES
21
5.2.
SECURITE DU MATERIEL
24
26
6.1.
26
6.2.
ACCEPTATION DU SYSTEME
27
6.3.
28
6.4.
29
6.5.
30
6.6.
30
6.7.
32
6.8.
SUPERVISION
33
7. CONTROLE DACCES
35
7.1.
35
7.2.
36
7.3.
38
39
39
8.3.
MESURES CRYPTOGRAPHIQUES
40
8.4.
41
41
8.6.
41
43
45
11. CONFORMITE
47
47
48
49
GLOSSAIRE
50
PREAMBULE
Paralllement au dveloppement des technologies du numrique, on assiste aujourdhui
la monte en puissance des vulnrabilits des systmes dinformation cause de la
multiplication et la diversification des activits illicites dans le cyberespace et des attaques
informatiques qui ont perturb maintes reprises le fonctionnement des systmes
dinformation et de communication de plusieurs pays.
Face ces risques et menaces et linstar de ce qui se passe dans les pays avancs
dans le domaine de la scurit des systmes dinformation, le Comit Stratgique de la
Scurit des Systmes dInformation (CSSSI) institu par le dcret n 2-11-508 du 21
septembre 2011 a adopt en date du 05 dcembre 2012 la stratgie nationale de la cyber
scurit.
Cette stratgie a pour objectifs de doter nos systmes dinformation dune capacit de
dfense et de rsilience, mme de crer les conditions dun environnement de confiance
et de scurit propice au dveloppement de la socit de linformation.
Afin de rendre oprationnelles les orientations et directives inscrites dans la stratgie
susmentionne, le Comit Stratgique a approuv lors de la mme runion le plan
dactions 2013 de la Direction Gnrale de la Scurit des Systmes dInformation
(DGSSI).
Dans ce plan dactions figure un ensemble de programmes dclins en actions. Une des
principales actions prise consiste laborer et mettre en uvre une Directive Nationale de
la Scurit des Systmes dInformation (DNSSI) avec pour objectifs d'lever et
dhomogniser le niveau de protection et le niveau de maturit de la scurit de
l'ensemble des systmes d'information des administrations et organismes publics ainsi que
des infrastructures dimportance vitale (dsigns dans la suite du document sous le terme
entit ).
La DNSSI dcrit les mesures de scurit organisationnelles et techniques qui doivent tre
appliques par les administrations et organismes publics ainsi que les infrastructures
dimportance vitale.
Pour arrter les rgles de la DNSSI, la DGSSI sest inspire de la norme marocaine NM
ISO/CEI27002:2009 et sest base sur les rsultats de lenqute mene au mois de juillet
2013 auprs dun chantillon reprsentatif dadministrations et organismes publics et
doprateurs dimportance vitale.
Cette directive, appele voluer et tre complte par des dispositifs dapplications,
constitue aujourdhui la premire rfrence nationale qui fixe les objectifs et les rgles de
SSI.
Ce socle de rgles minimales peut tre enrichi pour certains usages. Les mesures
complmentaires ncessaires sont dfinies par les autorits concernes et partages par
la suite avec la DGSSI.
Pour la mise en uvre de cette directive, chaque entit concerne dfinit un plan
dactions, labore les mesures organisationnelles et techniques ncessaires et assure le
suivi permanent.
En outre, chaque entit fait remonter au Centre de veille, de dtection et de rponse aux
attaques informatiques (ma-CERT) relevant de la DGSSI, les incidents significatifs
constats ainsi que le descriptif des dispositions mises en uvre pour les rsoudre.
Le suivi de la mise en uvre de la DNSSI est sanctionn par llaboration dun bilan
annuel mesurant le degr de maturit atteint par lentit concerne. Ce bilan est transmis
la DGSSI, qui consolidera une synthse servant la prise de dcision du CSSSI,
notamment pour arrter le primtre des audits effectuer par la DGSSI.
Enfin, et dans le cadre des oprations de sensibilisation la DNSSI, la DGSSI organisera
un sminaire au profit des responsables de sa mise en uvre au niveau des diffrentes
entits. Cette sensibilisation prendra galement la forme de contacts permanents avec
lesdits responsables.
Les SI des entits doivent tre en conformit totale dans les 3 ans suivant la
publication de la DNSSI;
Les entits devront avoir dfini un plan d'actions de mise en conformit avec la DNSSI
au plus tard une anne aprs sa publication. Ce plan d'actions tiendra compte des
impacts sur les activits, et des moyens financiers et humains mettre en uvre. Un
calendrier de mise en conformit sera tabli indiquant les mesures immdiates, les
mesures court terme et les mesures atteignables moyen terme.
Les volutions des menaces et les retours d'exprience des traitements d'incidents ;
Les volutions
technologique.
des
contextes
organisationnel,
juridique,
rglementaire
et
Un poids allant de 1 4 et qui traduit le niveau dimpact croissant de son nonrespect sur le SI en termes de disponibilit, dintgrit, de confidentialit ou de
de traabilit;
Le(s)responsable(s) concern(s)devant veiller limplmenter et/ou la faire
respecter notamment la Direction Gnrale, le Secrtariat gnral, la Direction
SI, RSSI.etc.).
10
1. POLITIQUE DE SECURITE
Objectif O.1:Apporter la scurit de linformation une orientation et un soutien de la
part du management de lentit, conformment aux exigences de la DNSSI.
DS-CONF : Conformit avec la DNSSI
Chaque entit doit se conformer avec les exigences contenues dans le document de la
DNSSI. Pour ce faire, il faut :
Classes cibles
B
A
applicable
=
=
Responsables
Classes cibles
B
A
applicable
=
=
Responsables
Classes cibles
B
A
applicable
=
=
Responsables
RSSI
11
Classes cibles
B
A
applicable
+
=
Responsables
RSSI
12
2. ORGANISATION DE LA SECURITE
2.1.
ORGANISATION INTERNE
Classes cibles
B
A
applicable
+
=
Responsables
Classes cibles
C
applicable
B
=
Responsables
A
=
Classes cibles
B
A
applicable
+
=
Responsables
13
2.2.
TIERS
Classes cibles
B
A
applicable
+
=
Responsables
Classes cibles
B
A
applicable
=
=
Responsables
ORG-TIER-EXTER : Externalisation
En cas dexternalisation, des procdures qui planifient les transitions sont ncessaires et le
respect de la DNSSI par le tiers est primordial.
Toute externalisation de service applicatif dune entit doit faire lobjet dun contrat sous
droit marocain. Le contrat intgrera imprativement des engagements de protection de
linformation, dauditabilit et de rversibilit.
Poids
4
Classes cibles
C
B
A
applicable
+
++
Responsables
ORG-TIER-HEBERG : Hbergement
L'hbergement des donnes sensibles des entits sur le territoire national est obligatoire.
14
Poids
4
Classes cibles
C
B
A
applicable
+
++
Responsables
15
Classes cibles
B
A
applicable
=
=
Responsables
DIRECTION SI
RESP-BIEN-CARTO : Cartographie SI
Chaque entit doit tenir et mettre jour une cartographie de son SI en se basant sur
linventaire des ressources informatiques.
La cartographie prcise les composants matriels et logiciels, les centres informatiques et
les architectures des rseaux sur lesquels sont identifis les points nvralgiques.
Larchitecture rseau doit tre dcrite et formalise travers des schmas darchitecture et
des configurations (protocoles, moyens de protection actifs et passifs, matrice des flux,
etc.), maintenus au fil des volutions apportes aux SI.
Les documents de cartographie sont sensibles. Ils feront lobjet dune protection adapte.
Poids
4
Classes cibles
C
B
A
applicable
=
=
Responsables
DIRECTION SI
16
3.2.
Classes cibles
C
B
A
applicable
+
=
Responsables
RSSI
Poids
4
Classes cibles
B
A
Applicable
+
=
Responsables
Classes cibles
B
A
applicable
+
=
C
Responsables
Classes cibles
B
A
applicable
+
=
Responsables
RSSI
18
Classes cibles
B
A
applicable
=
=
Responsables
4.2.
Classes cibles
B
A
applicable
+
=
C
Responsables
RSSI, Utilisateur
APRES LE RECRUTEMENT
Classes cibles
B
A
applicable
=
=
Responsables
19
4.3.
Classes cibles
B
A
applicable
=
=
Responsables
Classes cibles
B
A
Applicable
+
=
Responsables
20
5. SECURITE PHYSIQUE
5.1.
ZONES SECURISEES
Classes cibles
B
A
applicable
=
=
Responsables
PHYS-SIGNAL : Signaltiques
Les zones physiques de scurit doivent tre identifies par une signaltique claire, visible
et comprhensible.
Poids
1
Classes cibles
B
applicable
=
C
Responsables
A
=
C
applicable
Classes cibles
B
A
=
=
Responsables
21
Classes cibles
C
B
applicable
+
Responsables
A
=
N/A
applicable
A
+
RSSI, Utilisateur
applicable
Classes cibles
B
A
+
=
Responsables
C
applicable
Classes cibles
B
A
+
++
Responsables
22
C
N/A
Classes cibles
B
A
applicable
+
Responsables
C
applicable
Classes cibles
B
A
+
=
Responsables
C
N/A
Classes cibles
B
A
applicable
+
Responsables
Classes cibles
C
B
A
applicable
+
++
Responsables
23
5.2.
SECURITE DU MATERIEL
Classes cibles
B
A
applicable
=
=
Responsables
PHYS-MAT-OND : Onduleurs
Les quipements informatiques et de tlphonie doivent tre protgs des variations et
des microcoupures dlectricit par des onduleurs.
Poids
4
Classes cibles
B
A
Applicable
=
=
Responsables
C
N/A
Classes cibles
B
A
applicable
=
Responsables
PHYS-MAT-CLIM : Climatisation
Les zones abritant des systmes dinformation doivent tre quipes de systmes de
climatisation.
24
Poids
4
C
applicable
Classes cibles
B
A
=
=
Responsables
Classes cibles
C
B
A
applicable
=
+
Responsables
C
N/A
Classes cibles
B
A
applicable
+
Responsables
Classes cibles
B
A
applicable
+
++
Responsables
RSSI
25
Classes cibles
B
A
applicable
+
++
Responsables
Classes cibles
C
B
A
applicable
+
++
Responsables
Classes cibles
B
A
applicable
+
++
Responsables
C
N/A
Classes cibles
B
A
applicable
+
Responsables
C
N/A
6.2.
Classes cibles
B
A
applicable
+
Responsables
ACCEPTATION DU SYSTEME
Poids
4
Classes cibles
C
B
A
applicable
=
=
Responsables
EXP-SYS-ANAL: Dimensionnement
Des analyses rgulires du bon dimensionnement des systmes et des rseaux (capacit
mmoire, bande passante, temps de rponse, ) doivent tre ralises dans le but de
mener les actions de redimensionnement amliorant la disponibilit du SI.
Poids
3
6.3.
Classes cibles
C
B
A
applicable
+
++
Responsables
Classes cibles
B
A
applicable
+
++
Responsables
Poids
3
Classes cibles
C
B
A
applicable
+
++
Responsables
28
6.4.
Poids
4
Classes cibles
B
A
applicable
+
=
Responsables
EXP-SAUV-RESTAUR : Restauration
Chaque entit doit sassurer priodiquement que les donnes sauvegardes peuvent tre
restaures en temps voulu.
Poids
4
Classes cibles
B
A
applicable
+
=
Responsables
C
N/A
Classes cibles
B
A
Applicable
=
Responsables
29
6.5.
Classes cibles
B
A
Applicable
+
++
Responsables
Classes cibles
B
A
applicable
+
=
Responsables
Poids
3
C
Applicable
6.6.
Classes cibles
B
A
=
Responsables
30
Classes cibles
B
A
Applicable
=
+
Responsables
Poids
3
Classes cibles
B
A
applicable
+
++
Responsables
Classes cibles
B
A
applicable
+
++
Responsables
31
6.7.
Classes cibles
B
A
applicable
+
++
Responsables
Classes cibles
B
A
applicable
+
++
Responsables
Poids
2
Classes cibles
B
A
applicable
+
=
Responsables
32
Lusage dune messagerie personnelle peut tre autoris dans la mesure o elle est
strictement confine et ne met pas en danger le SI de lentit.
Poids
4
Classes cibles
B
A
applicable
+
=
Responsables
RSSI, Utilisateur
6.8.
Classes cibles
B
A
applicable
+
=
Responsables
SUPERVISION
33
moins trois mois et ce tout en dployant les mesures ncessaires pour assurer leur
intgrit.
Poids
4
Classes cibles
B
A
applicable
+
++
Responsables
Classes cibles
B
A
applicable
+
++
Responsables
EXP-SUPERV-SYNCHRON : Synchronisation
Les serveurs doivent tre synchroniss sur la mme base de temps. Pour ce faire, il est
ncessaire dutiliser le service NTP de confiance (Network Time Protocol).
Le bon paramtrage des horloges est important, car il influe sur la prcision des journaux
dvnements qui peuvent tre utiliss lors dinvestigations. Des journaux imprcis peuvent
porter atteinte la crdibilit des traces.
Poids
4
Classes cibles
C
B
A
applicable
+
=
Responsables
34
7. CONTROLE DACCES
7.1.
Classes cibles
C
B
A
applicable
=
=
Responsables
C
N/A
Classes cibles
B
A
applicable
+
Responsables
Poids
4
Classes cibles
C
B
A
applicable
=
=
Responsables
7.2.
Classes cibles
C
B
A
applicable
+
=
Responsables
Objectif O.18:Empcher les accs non autoriss aux services disponibles sur le
rseau.
ACC-DISTANT-AUT: Utilisateurs distants autoriss
Laccs dutilisateurs distants ne doit tre ralisable que par des personnes autoriss et
bien dfinies.
Des mesures dauthentification fortes par lusage de protocoles scuriss pour ce type de
connexions sont ncessaires lors dchanges sensibles.
Poids
4
Classes cibles
B
A
applicable
+
=
Responsables
ACC-DISTANT-CHIFFR: Tunnelisation
Il faut chiffrer les connexions distance par des protocoles scuriss (IPSEC, SSL,
SSH,..).
Poids
4
Classes cibles
C
B
A
applicable
+
=
Responsables
36
Classes cibles
B
A
applicable
+
=
Responsables
Classes cibles
B
A
applicable
+
++
Responsables
Classes cibles
B
A
applicable
=
=
Responsables
Classes cibles
C
B
A
applicable
+
++
Responsables
37
7.3.
Objectif O.19 : Empcher les accs non autoriss aux informations stockes dans les
applications.
ACC-APP-SENSI : Accs aux applications sensibles
Les applications sensibles doivent tre protges par des mcanismes de restriction des
accs (login/mot de passe spcifiques, rgles de filtrage et daccs, plages horaires de
connexions).
Les applications critiques doivent fonctionner sur des environnements informatiques
ddis (serveur spcifique) et des architectures durcies (redondance, bascules,
rsilience, rsistance aux attaques en dni de service, etc.).
Poids
4
Classes cibles
B
A
applicable
=
+
Responsables
38
8. ACQUISITION, DEVELOPPEMENT ET
MAINTENANCE
EXIGENCES DE SECURITE APPLICABLES AUX SYSTEMES DINFORMATION
8.1.
Objectif O.20:Veiller ce que la scurit fasse partie intgrante dans les projets
de dveloppement des systmes dinformation.
DEV-EXIG-PROJ : Exigences de scurit dans les projets de dveloppement
La scurit doit tre intgre toutes les tapes du cycle de vie du projet, depuis
l'expression des besoins jusqu' la maintenance applicative, en passant par la rdaction du
cahier des charges et les phases de recette.
Poids
4
8.2.
Classes cibles
B
A
applicable
+
=
Responsables
Objectif O. 21: Empcher toute erreur, perte, modification non autorise ou tout
mauvais usage des informations dans les applications.
C
applicable
Classes cibles
B
A
=
Responsables
MOE/MOA, Utilisateur
39
Classes cibles
C
B
A
applicable
=
=
Responsables
8.3.
Classes cibles
C
B
A
applicable
+
=
Responsables
MOE/MOA
MESURES CRYPTOGRAPHIQUES
Objectif O.22: protger la confidentialit, lauthenticit ou lintgrit de linformation
par des moyens cryptographiques.
Classes cibles
C
B
A
applicable
+
=
Responsables
MOE/MOA, Utilisateur
Classes cibles
B
A
applicable
+
=
Responsables
8.4.
8.5.
C
N/A
Classes cibles
B
A
applicable
=
Responsables
MOE/MOA
8.6.
C
N/A
Classes cibles
B
A
applicable
+
Responsables
MOE/MOA
41
C
applicable
Classes cibles
B
A
=
=
Responsables
42
C
applicable
9.2.
Classes cibles
B
A
+
++
Responsables
C
applicable
Classes cibles
B
A
+
++
Responsables
C
applicable
Classes cibles
B
A
+
=
Responsables
Utilisateur
C
applicable
Classes cibles
B
A
=
+
Responsables
C
applicable
Classes cibles
B
A
=
=
Responsables
RSSI
44
Dans ce cadre, un questionnaire doit tre mis la disposition des responsables dactivits
pour drouler semestriellement cette opration.
Poids
4
C
N/A
Classes cibles
B
A
applicable
Responsables
45
C
N/A
Classes cibles
B
A
applicable
=
Responsables
C
N/A
Classes cibles
B
A
applicable
+
Responsables
C
N/A
Classes cibles
B
A
applicable
+
Responsables
46
11. CONFORMITE
Objectif O.28:Eviter toute violation des obligations lgales, rglementaires, statutaires,
ou contractuelles et des exigences de scurit.
11.1. CONFORMITE AVEC LES EXIGENCES LEGALES
C
applicable
Classes cibles
B
A
=
=
Responsables
C
applicable
Classes cibles
B
A
=
=
Responsables
C
applicable
Classes cibles
B
A
=
=
Responsables
47
Poids
4
C
applicable
Classes cibles
B
A
=
=
Responsables
C
applicable
Classes cibles
B
A
=
=
Responsables
RSSI
C
applicable
Classes cibles
B
A
=
=
Responsables
RSSI
Poids
2
Classes cibles
C
B
A
applicable
=
=
Responsables
RSSI, Utilisateur
C
applicable
Classes cibles
B
A
=
=
Responsables
RSSI
C
applicable
Classes cibles
B
A
=
=
Responsables
49
GLOSSAIRE
Analyse des risques
Utilisation systmatique dinformations pour identifier les sources et pour estimer le risque.
Audit
Activit priodique (ou ponctuelle) permettant dvaluer la scurit dun systme ou de dtecter les
traces dune activit malveillante.
Cloisonnement du rseau (segmentation du rseau): Technique ayant pour objectif de diviser un
rseau informatique en plusieurs sous-rseaux. Le cloisonnement est principalement utilis afin
d'augmenter les performances globales du rseau et amliorer sa scurit ; dcoupage en
domaines ou primtres de scurit, facilite le contrle daccs, mieux se protger contre les
intrusions, et empcher la fuite dinformation.
Confidentialit
Objectif de scurit permettant de sassurer que les informations transmises ou stocks ne sont
accessibles quaux personnes autorises en prendre connaissance.
Cyber scurit
Situation recherche pour un systme dinformation lui permettant de rsister des vnements
issus du cyberespace susceptibles de compromettre la disponibilit, lintgrit ou la confidentialit
des donnes stockes, traites ou transmises.
Cyberespace
Ensemble de donnes numrises constituant un univers dinformation et un milieu de communication,
li linterconnexion mondiale des ordinateurs.
Certificat lectronique
Est un document sous forme lectronique attestant du lien entre les donnes de vrification de
signature lectronique et un signataire.
Disponibilit
Objectif de scurit qui consiste assurer un accs permanent linformation et aux services
offerts par le systme dinformation. Cest une garantie de la continuit de service et de
performances des applications, du matriel et de lenvironnement organisationnel.
Zone dmilitarise (DMZ)
Zone qui se situe entre un rseau interne et un rseau public qui permet d'isoler certains serveurs
de l'organisme usage public (serveurs Web, FTP, ), gnralement contrle par un Firewall ou
pare-feu.
Dysfonctionnement
Ecart par rapport la situation normale ou au processus normal. Il peut tre provoqu par des
facteurs internes ou externes.
Filtrage
Technique de contrle de flux sur un rseau qui empche le passage des informations juges
suspectes.
50
Information sensible
Une information sensible, est une information dont la compromission, l'altration, le dtournement
ou la destruction, est de nature nuire la continuit du fonctionnement ou mettant en danger le
patrimoine informationnel de lorganisme et des services de l'Etat.
Incident de scurit
Un ou plusieurs vnements lis la scurit de l'information indsirables ou inattendus dorigine
accidentelle ou malveillante, impactant lun ou plusieurs objectifs de scurit (Confidentialit,
Intgrit, Disponibilit), et prsentant une probabilit forte de compromettre les activits de
l'organisme et de menacer la scurit de linformation (Fuites de donnes, Dni de service,
Intrusion informatique ou physique, inondation).
Intgrit
Objectif de scurit qui consiste empcher, ou tout du moins dtecter, toute altration non
autorise de donnes. Par altration on entend toute modification, suppression partielle ou
insertion dinformation. Cet objectif peut tre assur par la signature lectronique.
Intrusion
Accs non autoris un systme informatique afin de lire ses donnes internes ou d'utiliser ses
ressources.
Ma-CERT
Centre de Veille, de Dtection et de Raction aux Attaques Informatiques au Maroc.
Menace
Cause potentielle dun incident indsirable, pouvant entraner des dommages au sein dun systme
ou dune entit.
Mesure
Moyen de grer un risque, et pouvant tre de nature administrative, technique, gestionnaire ou
juridique.
Non rpudiation
Objectif de scurit qui permet de garantir qu'une transaction ne peut tre nie.
Normes
Document de rfrence contenant des spcifications techniques prcises destin tre utilis
comme rgles ou lignes directrices.
Network Time Protocol (NTP)
Protocole qui permet de synchroniser, via un rseau informatique, l'horloge locale d'ordinateurs sur une
rfrence d'heure.
Plan de Continuit dActivit (PCA)
Vise assurer et maintenir la continuit de l'activit plein rgime ou en mode dgrad, en cas de
dsastre ou panne informatique majeure touchant le SI. Il permet de garantir la survie de
lorganisme en prparant lavance la continuit des activits dsignes comme stratgiques Au
contraire du PRA, le PCA n'autorise pas de coupure intgrale du service : la continuit, au moins
partielle doit tre assure. Ce plan traite essentiellement des activits "mtier", le secours de
moyens informatique ne constitue que lun de ces aspects.
51
52