Directive Nationale de La Securite Des Systemes D Information

ROYAUME DU MAROC
ADMINISTRATION
DE LA DEFENSE NATIONALE
DIRECTION GENERALE DE LA SECURITE
DES SYSTEMES DINFORMATION
DIRECTIVE NATIONALE DE LA SECURITE

DES SYSTEMES D'INFORMATION
Rabat, dcembre 2013.
SOMMAIRE
PREAMBULE
PREMIERE PARTIE: DISPOSITIONS GENERALES
1.PRINCIPE DIRECTEURS
2. CHAMP D'APPLICATION
3. DATE D'ENTREE EN VIGUEUR
4. DISPOSITIONS TRANSITOIRES
5. CONFORMITE JURIDIQUE ET REGLEMENTAIRE
6. MISE EN APPLICATIONDE LA DNSSI
7. SUIVI DE LAPPLICATION DE LA DNSSI
8. EVOLUTIONS DE LA DNSSI
DEUXIEME PARTIE: OBJECTIFS ET REGLES DE SECURITE
1. POLITIQUE DE SECURITE
11
2. ORGANISATION DE LA SECURITE
13
2.1.
ORGANISATION INTERNE
13
2.2.
TIERS
14
3. GESTION DES BIENS
16
3.1.
RESPONSABILITES RELATIVES AUX BIENS
16
3.2.
CLASSIFICATION DES INFORMATIONS
17
4. SECURITE LIEE AUX RESSOURCES HUMAINES
19
4.1.
AVANT LE RECRUTEMENT
19
4.2.
APRES LE RECRUTEMENT
19
4.3.
A LISSUE DU CONTRAT OU EN CAS DE CHANGEMENT DE POSITION
20
5. SECURITE PHYSIQUE
21
5.1.
ZONES SECURISEES
21
5.2.
SECURITE DU MATERIEL
24
6. GESTION DE LEXPLOITATION ET DES TELECOMMUNICATIONS
26
6.1.
PROCEDURES ET RESPONSABILITES LIEES A LEXPLOITATION
26
6.2.
ACCEPTATION DU SYSTEME
27
6.3.
PROTECTION CONTRE LES CODES MALVEILLANTS
28
6.4.
SAUVEGARDE DES INFORMATIONS
29
6.5.
GESTION DE LA SECURITE DES RESEAUX
30
6.6.
MANIPULATION DES SUPPORTS
30
6.7.
CHANGE DES INFORMATIONS
32
6.8.
SUPERVISION
33
7. CONTROLE DACCES
35
7.1.
GESTION DE LACCES UTILISATEUR
35
7.2.
CONTROLE DACCES AU RESEAU
36
7.3.
CONTROLE DACCES AUX APPLICATIONS ET A LINFORMATION
38
8. ACQUISITION, DEVELOPPEMENT ET MAINTENANCE
39
8.1.EXIGENCES DE SECURITE APPLICABLES AUX SYSTEMES DINFORMATION

39
8.2.
BON FONCTIONNEMENT DES APPLICATIONS
39
8.3.
MESURES CRYPTOGRAPHIQUES
40
8.4.
SECURITE DES FICHIERS SYSTEME
41
8.5. SECURITE EN MATIERE DE DEVELOPPEMENT ET DASSISTANCE

TECHNIQUE
41
8.6.
41
GESTION DES VULNERABILITES TECHNIQUES
9. GESTION DES INCIDENTS
43
9.1.SIGNALEMENT DES INCIDENTS LIES A LA SECURITE DE LINFORMATION 43

9.2. GESTION DES AMELIORATIONS ET INCIDENTS LIES A LA SECURITE DE
LINFORMATION
43
10. GESTION DU PLAN DE CONTINUITE DE LACTIVITE
45
10.1. ASPECTS DE LA SECURITE DE LINFORMATION EN MATIERE DE GESTION

DE LA CONTINUITE DE LACTIVITE
45
11. CONFORMITE
47
11.1. CONFORMITE AVEC LES EXIGENCES LEGALES
47
11.2. CONFORMITE AVEC LA POLITIQUE ET NORMES DE SECURITE ET

CONFORMITE TECHNIQUE
48
11.3. PRISES EN COMPTE DE LAUDIT DU SYSTEME DINFORMATION
49
GLOSSAIRE
50
PREAMBULE
Paralllement au dveloppement des technologies du numrique, on assiste aujourdhui
la monte en puissance des vulnrabilits des systmes dinformation cause de la
multiplication et la diversification des activits illicites dans le cyberespace et des attaques
informatiques qui ont perturb maintes reprises le fonctionnement des systmes
dinformation et de communication de plusieurs pays.
Face ces risques et menaces et linstar de ce qui se passe dans les pays avancs
dans le domaine de la scurit des systmes dinformation, le Comit Stratgique de la
Scurit des Systmes dInformation (CSSSI) institu par le dcret n 2-11-508 du 21
septembre 2011 a adopt en date du 05 dcembre 2012 la stratgie nationale de la cyber
scurit.
Cette stratgie a pour objectifs de doter nos systmes dinformation dune capacit de
dfense et de rsilience, mme de crer les conditions dun environnement de confiance
et de scurit propice au dveloppement de la socit de linformation.
Afin de rendre oprationnelles les orientations et directives inscrites dans la stratgie
susmentionne, le Comit Stratgique a approuv lors de la mme runion le plan
dactions 2013 de la Direction Gnrale de la Scurit des Systmes dInformation
(DGSSI).
Dans ce plan dactions figure un ensemble de programmes dclins en actions. Une des
principales actions prise consiste laborer et mettre en uvre une Directive Nationale de
la Scurit des Systmes dInformation (DNSSI) avec pour objectifs d'lever et
dhomogniser le niveau de protection et le niveau de maturit de la scurit de
l'ensemble des systmes d'information des administrations et organismes publics ainsi que
des infrastructures dimportance vitale (dsigns dans la suite du document sous le terme
entit ).
La DNSSI dcrit les mesures de scurit organisationnelles et techniques qui doivent tre
appliques par les administrations et organismes publics ainsi que les infrastructures
dimportance vitale.
Pour arrter les rgles de la DNSSI, la DGSSI sest inspire de la norme marocaine NM
ISO/CEI27002:2009 et sest base sur les rsultats de lenqute mene au mois de juillet
2013 auprs dun chantillon reprsentatif dadministrations et organismes publics et
doprateurs dimportance vitale.
Cette directive, appele voluer et tre complte par des dispositifs dapplications,
constitue aujourdhui la premire rfrence nationale qui fixe les objectifs et les rgles de
SSI.
Ce socle de rgles minimales peut tre enrichi pour certains usages. Les mesures
complmentaires ncessaires sont dfinies par les autorits concernes et partages par
la suite avec la DGSSI.
Pour la mise en uvre de cette directive, chaque entit concerne dfinit un plan
dactions, labore les mesures organisationnelles et techniques ncessaires et assure le
suivi permanent.
En outre, chaque entit fait remonter au Centre de veille, de dtection et de rponse aux
attaques informatiques (ma-CERT) relevant de la DGSSI, les incidents significatifs
constats ainsi que le descriptif des dispositions mises en uvre pour les rsoudre.
Le suivi de la mise en uvre de la DNSSI est sanctionn par llaboration dun bilan
annuel mesurant le degr de maturit atteint par lentit concerne. Ce bilan est transmis
la DGSSI, qui consolidera une synthse servant la prise de dcision du CSSSI,
notamment pour arrter le primtre des audits effectuer par la DGSSI.
Enfin, et dans le cadre des oprations de sensibilisation la DNSSI, la DGSSI organisera
un sminaire au profit des responsables de sa mise en uvre au niveau des diffrentes
entits. Cette sensibilisation prendra galement la forme de contacts permanents avec
lesdits responsables.
PREMIERE PARTIE: DISPOSITIONS GENERALES

La prsente partie fixe les conditions de mise en uvre de la Directive Nationale de la
Scurit des Systmes dInformation (DNSSI).
1. PRINCIPES DIRECTEURS
La DNSSI s'appuie sur les principes directeurs suivants, issus de la Stratgie Nationale de
la cyber scurit, valide par le CSSSI en date du 05 dcembre 2012:
P1. Structure organisationnelle : Mettre en place une structure organisationnelle ddie
la SSI au niveau de chaque entit pour inclure les volets prventifs et ractifs
ncessaires la cyber scurit;
P2. Cartographie des systmes dinformation : Tenir et mettre jour une cartographie
prcise des systmes dinformation des entits ;
P3. Budget de la scurit des systmes dinformation : Quantifier et planifier le budget
consacr la scurit des systmes dinformation de chaque entit, tant dans les volets
investissements que moyens humains, et son rapport au budget global des systmes
dinformation;
P4.Contrle des administrateurs : Contrler et tracer les oprations de gestion et
d'administration des systmes dinformation des entits;
P5. Protection de linformation : Protger les informations en suivant un ensemble de
rgles de scurit prcises dans ce document;
P6. Formation et sensibilisation : Former et sensibiliser le personnel, notamment les
administrateurs systmes et rseaux et les utilisateurs des systmes dinformation, de
leurs droits et devoirs ;
P7. Hbergement national des donnes sensibles : Hberger sur le territoire national
les informations des entits, qui sont sensibles au regard de leur confidentialit, de leur
intgrit ou de leur disponibilit.
2. CHAMP D'APPLICATION
La DNSSI s'applique tous les systmes d'information des administrations, des
organismes publics et des infrastructures dimportance vitale.
La DNSSI sadresse lensemble du personnel de ces entits ainsi que les tiers
(contractants, etc.).
3. DATE D'ENTREE EN VIGUEUR

La DNSSI entre en vigueur ds sa publication.
4. DISPOSITIONS TRANSITOIRES
La mise en application de la DNSSI s'effectue selon les rgles suivantes :
Les SI des entits doivent tre en conformit totale dans les 3 ans suivant la
publication de la DNSSI;
Les entits devront avoir dfini un plan d'actions de mise en conformit avec la DNSSI
au plus tard une anne aprs sa publication. Ce plan d'actions tiendra compte des
impacts sur les activits, et des moyens financiers et humains mettre en uvre. Un
calendrier de mise en conformit sera tabli indiquant les mesures immdiates, les
mesures court terme et les mesures atteignables moyen terme.
5. CONFORMITE JURIDIQUE ET REGLEMENTAIRE

Les exigences lgales et rglementaires doivent tre identifies et documentes pour
chaque systme dinformation des entits. Ces exigences peuvent concerner les lments
suivants:
Protection des donnes caractre personnel;
Les dispositions en matire de certification lectronique et de cryptographie;
Respect de la proprit intellectuelle (par exemple : conservation des preuves dachat
des logiciels, nombre maximum autoris dutilisateurs sur un systme, information du
personnel sur les problmatiques juridiques);
Archivage lgal, etc.
6. MISE EN APPLICATIONDE LA DNSSI
Pour la mise en application de la DNSSI, chaque entit tablit son plan d'actions de
mise en conformit avec la DNSSI prcit larticle 4.
Ainsi chaque entit doit:
Dsigner un responsable de la scurit des systmes dinformation (RSSI) ;
Etablir un inventaire de ses systmes d'information, et en valuer la sensibilit;
Conduire une analyse de risques pour ses systmes d'information, et veiller la
dfinition des mesures de scurit applicables;
Conduire des actions de sensibilisation et de formation la scurit des systmes

d'information et participer aux actions entreprises dans ce sens par la DGSSI ;
Conduire des actions rgulires de contrle du niveau de scurit des systmes
d'information et de son primtre et mettre en uvre les actions correctives ncessaires;
Mesurer la rsilience de leurs SI par des audits internes et le cas chant de simulation
dexercices, etc.
Lors de llaboration du plan de mise en uvre pluriannuelle de la DNSSI, les entits
doivent prendre en considration plusieurs critres pour prioriser les rgles de scurit
adopter : impact de la mesure sur la scurit du SI (poids donn pour chaque rgle dans
le document), cot estimatif de mise en uvre, capacits techniques et humaines
disponibles, complexit.
Il peut tre ncessaire, dans certains cas spcifiques, de droger des rgles nonces
par la DNSSI. Il appartient alors l'autorit de l'entit concerne de leur substituer
formellement des rgles particulires.
Pour chacune de ces rgles, la drogation, motive et justifie, doit tre expressment
accorde par le RSSI de l'entit concerne. La dcision de drogation accompagne de la
justification est tenue la disposition de la DGSSI.
7. SUIVI DE LAPPLICATION DE LA DNSSI
La DGSSI met la disposition de chaque entit un tableau de bord pour le suivi de
lapplication de la DNSSI ainsi que les guides techniques dimplmentation des diffrentes
rgles de scurit.
Chaque entit labore son bilan annuel de mise en application de la DNSSI en se basant
sur ledit tableau de bord, et le soumet annuellement la DGSSI.
Le bilan annuel constitue une synthse de l'tat d'avancement de l'organisation en
scurit et de l'application des rgles dictes par la DNSSI. Ce bilan comprend
galement un rcapitulatif des actions ralises pour la mise en conformit la DNSSI, et
une synthse des incidents traits, des ventuels audits diligents et des exercices
mens.
8. EVOLUTIONS DE LA DNSSI
La DGSSI labore les volutions de la DNSSI, en liaison avec les administrations,
organismes publics et infrastructures dimportance vitale, en prenant en compte:
Les rsultats danalyses de risques ;
Les volutions des menaces et les retours d'exprience des traitements d'incidents ;
Les volutions
technologique.
des
contextes
organisationnel,
juridique,
rglementaire
et
DEUXIEME PARTIE: OBJECTIFS ET REGLES DE SECURITE

Cette seconde partie traite les objectifs et les rgles permettant de contribuer la
ralisation des principes directeurs et sorganise sous la forme des chapitres cits cidessous:
Politique de scurit de linformation;
Organisation de la scurit;
Gestion des biens;
Scurit lie aux ressources humaines;
Scurit physique et environnementale;
Gestion de lexploitation et des tlcommunications;
Contrle daccs;
Acquisition, dveloppement et maintenance;
Gestion des incidents;
Gestion de la continuit dactivits;
Conformit.
A chaque rgle est associ :
Un poids allant de 1 4 et qui traduit le niveau dimpact croissant de son nonrespect sur le SI en termes de disponibilit, dintgrit, de confidentialit ou de
de traabilit;
Le(s)responsable(s) concern(s)devant veiller limplmenter et/ou la faire
respecter notamment la Direction Gnrale, le Secrtariat gnral, la Direction
SI, RSSI.etc.).
Les entits doivent implmenter les rgles selon un classement de sensibilit A, B ou C

arrt en commun entre lentit et la DGSSI. Ces classes sont dfinies comme suit :
Classe A:Systmes d'information sur lesquels une atteinte la confidentialit, l'intgrit
ou la disponibilit peut entraner un impact catastrophique sur la capacit de lentit
remplir les missions vitales pour la nation dont elle est charge, sur ses biens essentiels,
ou sur les individus.
Classe B : Systmes d'information sur lesquels une atteinte la confidentialit, l'intgrit

ou la disponibilit peut entraner un impact Important sur la capacit de lentit remplir
ses missions assignes vis vis des services de lEtat fournis par cette entit, sur ses
biens sensibles, ou sur les individus.
Classe C : Systmes d'information sur lesquels une atteinte la confidentialit, l'intgrit

ou la disponibilit peut entraner un impact limit sur les services offerts par lentit, sur
ses biens sensibles, ou sur les individus.
Lapplicabilit dune rgle dpend de la classe du SI selon lchelle suivante :
Non applicable N/A : signifie que lentit disposant dun SI relevant de la

classe peut ne pas appliquer la rgle ;
"applicable" : signifie que lentit disposant dun SI relevant de la classe doit
appliquer la rgle de scurit;
"=" : pour indiquer que les exigences d'une classe sont gales celles d'une
autre classe infrieure ;
+ et ++ : pour indiquer que les exigences d'une classe sont suprieures
celles d'une autre classe infrieure.
10
1. POLITIQUE DE SECURITE
Objectif O.1:Apporter la scurit de linformation une orientation et un soutien de la
part du management de lentit, conformment aux exigences de la DNSSI.
DS-CONF : Conformit avec la DNSSI
Chaque entit doit se conformer avec les exigences contenues dans le document de la
DNSSI. Pour ce faire, il faut :
Organiser et coordonner lapplication de la DNSSI au sein des entits ;

Formaliser et tenir jour les documents dapplication (Plan dactions, rgles
spcifiques, procdures et charte);
Budgtiser les projets de scurit ;
Et tablir un calendrier prcisant les tapes dapplication de la DNSSI.
Poids
4
Classes cibles
B
A
applicable
=
=
Responsables
Secrtariat Gnral ou Direction Gnrale,

DIRECTION SI, RSSI
DS-BESOIN : Besoins de scurit

Chaque entit doit dfinir les besoins en matire de confidentialit, disponibilit, intgrit et
traabilit pour chaque processus dans le systme dinformation.
Poids
4
Classes cibles
B
A
applicable
=
=
Responsables

DIRECTION SI, RSSI
DS-EXAM : Examen de la DNSSI

Le RSSI doit rexaminer rgulirement lapplication des mesures de la DNSSI.
Poids
2
Classes cibles
B
A
applicable
=
=
Responsables
RSSI
11
DS-TDB : Tableaux de bord

Le RSSI doit se servir dun tableau de bord de la scurit des systmes dinformation pour
assurer le suivi de la bonne application des rgles de la DNSSI.
Le tableau de bord est fourni par la DGSSI et devra permettre aux entits de sautovaluer et calculer annuellement les carts par rapport aux rgles de la DNSSI.
Poids
3
Classes cibles
B
A
applicable
+
=
Responsables
RSSI
12
2. ORGANISATION DE LA SECURITE
2.1.
ORGANISATION INTERNE
Objectif O.2: Mettre en place au sein de lentit une organisation adquate

garantissant une gestion prventive et ractive de la scurit de linformation.
ORG-INTER-DIR : Implication de la direction
La hirarchie de chaque entit doit valider les documents dapplication de la DNSSI et
dfinir les rles et responsabilits en matire de SSI.
Poids
4
Classes cibles
B
A
applicable
+
=
Responsables
Secrtariat Gnral, Direction Gnrale
ORG-INTER-RSSI : Dsignation dun RSSI

Chaque entit est tenue de dsigner un RSSI dont les tches sont dfinies dans une fiche
de poste. Eu gard la nature de sa mission et afin de lui garantir lindpendance requise,
il est recommand de rattacher le RSSI au Secrtariat Gnral ou la Direction Gnrale.
Poids
4
Classes cibles
C
applicable
B
=
Responsables
A
=
ORG-INTER-AUT : Relations avec les autorits comptentes en SSI

Chaque entit doit entretenir des relations troites avec la DGSSI autorit comptente en
matire de SSI.
Le RSSI doit remonter la DGSSI tout incident ayant un impact majeur sur la scurit des
systmes dinformation.
Dans ce cadre, il est tenu de partager avec la DGSSI les mcanismes mis en place pour
traiter cet incident et dfaut de saisir la DGSSI afin de lassister dans sa rsolution.
Poids
2
Classes cibles
B
A
applicable
+
=
Responsables
Secrtariat Gnral, Direction Gnrale,

Direction SI, RSSI
13
2.2.
TIERS
Objectif O.3:Assurer la scurit de linformation et des moyens de traitement de

linformation de lentit, consults, oprs, communiqus ou grs par des tiers.
ORG-TIER-EXIG : Exigences vis--vis des tiers
Les exigences de scurit (performances, disponibilit, ...) et les niveaux de service
voulus doivent tre inclus de faon prcise dans les contrats conclus.
Poids
4
Classes cibles
B
A
applicable
+
=
Responsables

DIRECTION SI
ORG-TIER-RISQ : Risques manant des tiers

Chaque entit doit grer les risques particuliers qui peuvent provenir des tiers en contrlant
et limitant strictement leurs droits. Elle doit s'assurer que les dispositions rglementaires et
contractuelles, relatives la scurit des systmes d'information, sont formalises et
appliques.
Poids
3
Classes cibles
B
A
applicable
=
=
Responsables
DIRECTION SI, RSSI
ORG-TIER-EXTER : Externalisation
En cas dexternalisation, des procdures qui planifient les transitions sont ncessaires et le
respect de la DNSSI par le tiers est primordial.
Toute externalisation de service applicatif dune entit doit faire lobjet dun contrat sous
droit marocain. Le contrat intgrera imprativement des engagements de protection de
linformation, dauditabilit et de rversibilit.
Poids
4
Classes cibles
C
B
A
applicable
+
++
Responsables
MOA, DIRECTION SI, RSSI
ORG-TIER-HEBERG : Hbergement
L'hbergement des donnes sensibles des entits sur le territoire national est obligatoire.
14
Poids
4
Classes cibles
C
B
A
applicable
+
++
Responsables
Secrtariat gnral ou Direction gnrale,

MOA/MOE, DIRECTION SI
15
3. GESTION DES BIENS

3.1.
RESPONSABILITES RELATIVES AUX BIENS
Objectif O.4:Inventorier tous les biens et leur attribuer un propritaire.
RESP-BIEN-INV : Inventaire des biens

Un inventaire des ressources informatiques (matriels et logiciels) doit tre ralis et mis
jour rgulirement, intgrant notamment:
La liste des composants matriels (avec n de srie) et logiciels (avec n de licence)
de la configuration ;
La version du systme dexploitation et les correctifs appliqus ;
Lidentification de lutilisateur dans le cas dun poste de travail.
Poids
2
Classes cibles
B
A
applicable
=
=
Responsables
DIRECTION SI
RESP-BIEN-CARTO : Cartographie SI
Chaque entit doit tenir et mettre jour une cartographie de son SI en se basant sur
linventaire des ressources informatiques.
La cartographie prcise les composants matriels et logiciels, les centres informatiques et
les architectures des rseaux sur lesquels sont identifis les points nvralgiques.
Larchitecture rseau doit tre dcrite et formalise travers des schmas darchitecture et
des configurations (protocoles, moyens de protection actifs et passifs, matrice des flux,
etc.), maintenus au fil des volutions apportes aux SI.
Les documents de cartographie sont sensibles. Ils feront lobjet dune protection adapte.
Poids
4
Classes cibles
C
B
A
applicable
=
=
Responsables
DIRECTION SI
16
RESP-BIEN-PROP : Propritaires des biens

Il est recommand dattribuer formellement chaque information et moyens de traitement de
linformation un propritaire. Ce dernier est la personne ou lentit ayant accept la
responsabilit du contrle de la production, de la mise au point, de la maintenance, de
lutilisation et de la protection des biens.
A ce propritaire peut tre affect, un processus mtier, un ensemble dfini dactivits, une
application ou un ensemble dfini de donnes.
Poids
2
3.2.
Classes cibles
C
B
A
applicable
+
=
Responsables
RSSI
CLASSIFICATION DES INFORMATIONS
Objectif O.5:Classer les informations en termes dexigences lgales, de sensibilit et

de criticit, afin de garantir un niveau de protection appropri.
CLASSIF-INFO-ECH : Echelle de classification
Tout document doit tre classifi selon son niveau de sensibilit en termes de
confidentialit.
Lattribution du niveau de sensibilit doit sappuyer sur une chelle constitue des niveaux
de sensibilit allant du document public au document trs confidentiel.
Poids
4
Classes cibles
B
A
Applicable
+
=
Responsables
DIRECTION SI, RSSI, Utilisateur
CLASSIF-INFO- MES : Protection des informations

Chaque entit doit mettre en place les mesures adquates au niveau de sensibilit des
informations manipules, en termes de : marquage, diffusion, stockage ou destruction,
transmission et les formaliser dans une procdure de classification des informations.
Un ensemble de mesures doivent entre autres sappliquer:
-
Les informations doivent porter de manire visible lindication de leur niveau de

sensibilit;
La diffusion dune information peut tre :
17
Possible dans le cas dinformations publiques aprs autorisation de

publication auprs du responsable ;
Ou libre en interne de ladministration ou lorganisme public;
Ou bien seules les personnes mentionnes sur la liste de diffusion ont le droit
de dtenir le document.
Des rgles de stockage sur poste de travail, poste nomade, sur le rseau local ou
bien des documents papiers doivent tre bien identifies.
Les impressions de documents sensibles doivent faire lobjet dun usage de moyens
scuriss dimpression et dune rcupration immdiate des documents imprims.
Poids
4
Classes cibles
B
A
applicable
+
=
C
Responsables
DIRECTION SI, RSSI, Utilisateur
CLASSIF-INFO-EXAM: Examen de la classification

Il faut revoir priodiquement les classifications d'informations et lapplication des rgles
contenues dans la procdure de classification des informations.
Poids
2
Classes cibles
B
A
applicable
+
=
Responsables
RSSI
18
4. SECURITE LIEE AUX RESSOURCES HUMAINES

Objectif O.6:Garantir que le personnel, les contractants et les utilisateurs tiers
connaissent leurs obligations en matire de SSI.
4.1. AVANT LE RECRUTEMENT

RH-AVT-ENQ: Personnel de confiance
Le personnel appel travailler au sein de lentit sur des tches sensibles doit faire lobjet
dune attention particulire.
Poids
3
Classes cibles
B
A
applicable
=
=
Responsables
Secrtariat Gnral ou Direction Gnrale
RH-AVT- CONFID : Engagement de confidentialit

Une clause de confidentialit dans la charte dutilisation des SI doit tre signe par les
nouveaux employs, prcisant l'obligation de respecter l'ensemble des rgles de scurit
en vigueur.
Poids
4
4.2.
Classes cibles
B
A
applicable
+
=
C
Responsables
RSSI, Utilisateur
APRES LE RECRUTEMENT
RH-PDT- FORM : Formation du personnel

Chaque entit doit organiser rgulirement des sessions de formation et de sensibilisation
au profit de ses employs en matire de SSI. La DGSSI organisera annuellement des
sessions de formation et de sensibilisation.
Poids
3
Classes cibles
B
A
applicable
=
=
Responsables

DIRECTION SI, RSSI
19
4.3.
A LISSUE DU CONTRAT OU EN CAS DE CHANGEMENT DE POSITION
RH-FIN-REST: Restitution des biens

Un processus formalis de restitution des biens doit tre mis en place ds lors quil sagit
dun cas de dpart, de cessation, de changement de fonction, de mutation d'un employ
ou dun personnel non permanent (stagiaires par exemple).
Afin de prserver lintgrit et la confidentialit des informations, lentit doit veiller la
formalisation dune procdure de passation de consignes (transmission de donnes sous
format papier et lectronique) et de transfert ventuel des biens, en coordination avec le
Service des Ressources Humaines (SRH).
Poids
3
Classes cibles
B
A
applicable
=
=
Responsables

DIRECTION SI, SRH, RSSI
RH-FIN-ACC : Retrait des accs

Il faut tablir un retrait des droits daccs au systme dinformation en cas de dpart, de
cessation, de changement de fonction, ou de mutation d'un employ ou du personnel non
permanent (stagiaires par exemple). Avant ce retrait, le SRH a obligation dinformer le
service informatique et plus particulirement ladministrateur du systme et rseau du
mouvement de personnel.
Poids
4
Classes cibles
B
A
Applicable
+
=
Responsables
DIRECTION SI, SRH, Administrateur systmes

et rseaux
20
5. SECURITE PHYSIQUE
5.1.
ZONES SECURISEES
Objectif O.7:Empcher tout accs physique non autoris.

PHYS-DECOUP : Dcoupage des zones
Des zones physiques de scurit doivent tre dlimites pour protger les systmes
dinformation et les moyens de traitement associs, conformment la classification des
biens.
Ce dcoupage peut se faire selon la typologie suivante :
Zones internes : autorises uniquement au personnel de lentit, aux tiers autoriss

ou aux visiteurs accompagns.
Zones restreintes : autorises aux personnes habilites consulter, traiter et
manipuler des informations ou des quipements sensibles.
Poids
4
Classes cibles
B
A
applicable
=
=
Responsables
PHYS-SIGNAL : Signaltiques
Les zones physiques de scurit doivent tre identifies par une signaltique claire, visible
et comprhensible.
Poids
1
Classes cibles
B
applicable
=
C
Responsables
A
=
Service des moyens gnraux, RSSI
PHYS-PROC : Procdure de contrle daccs

Il faut formaliser la procdure de contrle daccs physique, la valider par le management
et tenir le personnel au courant de son contenu.
Poids
3
C
applicable
Classes cibles
B
A
=
=
Responsables
Secrtariat Gnral, Direction Gnrale, RSSI
21
PHYS-PUBLIC- RES : Accs rseau

Tout accs rseau install dans une zone daccueil du public doit tre filtr ou isol duret
du rseau informatique des entits.
Poids
4
Classes cibles
C
B
applicable
+
Responsables
A
=
Administrateur systmes et rseaux, RSSI
PHYS-PUBLIC-INFO.SENS : Informations sensibles

Dans lventualit o une entit traite exceptionnellement des informations sensibles dans
des zones publiques, des mesures spcifiques doivent tre mises en place, notamment en
matire de protection audiovisuelle, ainsi qu'en matire de protection des informations
stockes sur les supports.
Classes cibles
Responsables
.Poids
3
N/A
applicable
A
+
RSSI, Utilisateur
PHYS-INTER/RESTR-DISPO : Dispositif de contrle daccs

Les entits sont tenues mettre en place un dispositif de contrle daccs physique
individualis dans les zones restreintes. Pour accder ces zones, les tiers doivent tre
obligatoirement accompagns.
Poids
C
4
applicable
Classes cibles
B
A
+
=
Responsables
DIRECTION SI, RSSI
PHYS-INTER/RESTR-TRACE : Traabilit des accs

Chaque entit doit assurer la traabilit des accs du personnel et des visiteurs externes
aux zones restreintes, et conserver les enregistrements pour une dure dau moins trois
mois.
Poids
4
C
applicable
Classes cibles
B
A
+
++
Responsables

DIRECTION SI, RSSI
22
PHYS-INTER/RESTR- VIDEOPROT : Vido protection

Les zones restreintes doivent tre quipes de vido protection. Les enregistrements ne
doivent tre manipuls que par un nombre limit de personnes habilites cet effet.
Poids
3
C
N/A
Classes cibles
B
A
applicable
+
Responsables

DIRECTION SI, RSSI
PHYS-ENVIR-INCEN.FUM : Dtecteurs dincendie

Les zones restreintes doivent tre quips de systmes de dtection dincendie.
Poids
4
C
applicable
Classes cibles
B
A
+
=
Responsables
Service des moyens gnraux, DIRECTION SI,

RSSI
PHYS-ENVIR-INCEN.EXTINCT: Extincteurs de feu

Les zones restreintes doivent tre protges par une installation d'extinction automatique
d'incendie.
Poids
4
C
N/A
Classes cibles
B
A
applicable
+
Responsables

RSSI
PHYS-ENVIR-EAU: Dgts des eaux

Afin de se protger des dgts des eaux, tout quipement sensible ne doit pas tre plac
en rez-de-chausse ou sous-sol. Si cest le cas, il est ncessaire de prendre les mesures
techniques adquates.
Poids
2
Classes cibles
C
B
A
applicable
+
++
Responsables

RSSI
23
5.2.
SECURITE DU MATERIEL
Objectif O8 : Empcher la perte, lendommagement ou la compromission des biens et

linterruption des activits de lentit.
PHYS-MAT- CABL : Scurit du cblage
Les cbles lectriques et de transmission de donnes (courant fort et courant faible),
connects aux infrastructures de traitement de l'information doivent tre identifis
(tiquets), documents et spars (cbles drouls en faisceaux clairs et non emmls)
afin d'empcher toute interfrence lectromagntique et tout pigeage.
Poids
4
Classes cibles
B
A
applicable
=
=
Responsables
DIRECTION SI, RSSI
PHYS-MAT-OND : Onduleurs
Les quipements informatiques et de tlphonie doivent tre protgs des variations et
des microcoupures dlectricit par des onduleurs.
Poids
4
Classes cibles
B
A
Applicable
=
=
Responsables

RSSI
PHYS-MAT-ELECTROG : Groupe lectrogne

Les quipements informatiques et de tlphonie doivent tre secourus par un groupe
lectrogne.
Poids
2
C
N/A
Classes cibles
B
A
applicable
=
Responsables

RSSI
PHYS-MAT-CLIM : Climatisation
Les zones abritant des systmes dinformation doivent tre quipes de systmes de
climatisation.
24
Poids
4
C
applicable
Classes cibles
B
A
=
=
Responsables

RSSI
PHYS-MAT-MAINT : Maintenance des quipements de scurit

Le bon fonctionnement des quipements de scurit (extincteurs, climatisation, dtecteur
dincendie, onduleur, groupe lectrogne, etc.) doit tre contrl priodiquement.
Poids
3
Classes cibles
C
B
A
applicable
=
+
Responsables

RSSI
PHYS-MAT-MAINT. DELAI : Dlai dintervention

Un dlai dintervention adapt en cas de dfaillance doit tre prcis dans les contrats de
maintenance des quipements de scurit (extincteurs, climatisation, dtecteur dincendie
et deau, onduleur, groupe lectrogne, etc.).
Poids
2
C
N/A
Classes cibles
B
A
applicable
+
Responsables

RSSI
PHYS-MAT-REB: Mise au rebut

Une procdure de mise au rebut des ressources informatiques doit tre mise en place afin
deffacer les donnes prsentes sur les disques durs ou la mmoire intgre de manire
scurise.
Dans le cas de donnes sensibles, la destruction de la ressource peut savrer ncessaire
de manire empcher toute tentative de rcupration.
Poids
3
Classes cibles
B
A
applicable
+
++
Responsables
RSSI
25
6. GESTION DE LEXPLOITATION ET DES

TELECOMMUNICATIONS
6.1.
PROCEDURES ET RESPONSABILITES LIEES A LEXPLOITATION
Objectif O.9:Assurer lexploitation correcte et scurise des moyens de traitement de

linformation et grer les actions dadministration du SI.
EXP-PROC-FORMEL : Procdures dexploitation
Chaque entit doit documenter les procdures dexploitation des moyens de traitement de
linformation, les rendre disponibles, les expliquer toute personne ayant besoin den
connatre et les maintenir jour.
Les procdures dexploitation essentielles sont :
Les procdures dadministration et de scurisation des actifs critiques du systme
dinformation ;
Les procdures de sauvegarde (pour dfinir les mesures en place pour assurer et
contrler les sauvegardes) ;
Les procdures de gestion des accs et des habilitations (pour dcrire les mcanismes
de gestion et de protection des accs) ;
Les procdures de gestion des incidents (pour dfinir les processus de gestion des
diffrents incidents) ;
Les procdures de gestion des correctifs (pour dfinir les actions ncessaires au maintien
jour et en condition de scurit des systmes).
Toute modification dans les procdures dexploitation doit faire lobjet du cycle: demande,
validation, application, contrles a posteriori.
Poids
4
Classes cibles
B
A
applicable
+
++
Responsables
Administrateur systmes et rseaux,

MOE/MOA, RSSI
EXP-PROC-OIA- ACC : Accs aux outils et interfaces dadministration

Laccs aux outils et interfaces dadministration doit tre strictement limit aux personnes
habilites, selon une procdure formelle dautorisation d'accs.
Poids
4
Classes cibles
C
B
A
applicable
+
++
Responsables
RSSI, Administrateur systmes et rseaux

26
EXP-PROC-ADMIN-TRACE : Traabilit des actions dadministration

Les actions d'administration doivent tre traces. Pour cela les comptes d'administration
doivent tre nominatifs pour assurer une imputabilit des actions.
Poids
4
Classes cibles
B
A
applicable
+
++
Responsables
DIRECTION SI, RSSI
EXP-PROC-ADMIN- DIST : Administration distance

Les actions dadministration distance sur les ressources locales doivent sappuyer sur
des protocoles dadministration scuriss.
Des mesures de scurit spcifiques doivent tre dfinies et respectes (accord explicite
de lutilisateur au moment dun accs distant, traabilit, etc.).
Poids
4
C
N/A
Classes cibles
B
A
applicable
+
Responsables
DIRECTION SI, Administrateur systmes et

rseaux, RSSI
EXP-PROC-ADMIN- CENTR : Centralisation

Il convient que les administrateurs systmes et rseaux utilisent des outils centraliss,
permettant l'automatisation et la supervision des traitements quotidiens, offrant une vue
globale et pertinente sur le SI.
Poids
3
C
N/A
6.2.
Classes cibles
B
A
applicable
+
Responsables
Administrateur systmes et rseaux
ACCEPTATION DU SYSTEME
Objectif O.10:Rduire le plus possible le risque de pannes du systme.
EXP-SYS-CONFIG : Configuration systme

Les systmes d'exploitation et les logiciels doivent tre configurs et mis jour selon des
procdures formalises (tests de non rgression, compatibilit avec les logiciels mtiers,
etc.).
27
Poids
4
Classes cibles
C
B
A
applicable
=
=
Responsables
EXP-SYS-ANAL: Dimensionnement
Des analyses rgulires du bon dimensionnement des systmes et des rseaux (capacit
mmoire, bande passante, temps de rponse, ) doivent tre ralises dans le but de
mener les actions de redimensionnement amliorant la disponibilit du SI.
Poids
3
6.3.
Classes cibles
C
B
A
applicable
+
++
Responsables
PROTECTION CONTRE LES CODES MALVEILLANTS
Objectif O.11:Protger lintgrit des logiciels et de linformation.

EXP-PROTEC-CODE.MALVEIL : Protection contre codes malveillants
Des logiciels de protection contre les codes malveillants ou solution antivirale doivent tre
installs et mis jour sur l'ensemble des serveurs, postes de travail et quipements de
mobilit.
Le personnel doit tre inform sur les actions mener en cas dattaque par des codes
malveillants (alerte, actions de confinement, dclenchement de processus de gestion de
crise, etc.).
Poids
4
Classes cibles
B
A
applicable
+
++
Responsables
DIRECTION SI, RSSI
EXP-PROTEC-NAVIG : Scurit du navigateur

Une configuration scurise du navigateur Internet doit tre dploye sur lensemble des
serveurs et des postes de travail pour tout accs Internet ou Intranet.
Poids
3
Classes cibles
C
B
A
applicable
+
++
Responsables
28
6.4.
SAUVEGARDE DES INFORMATIONS
Objectif O.12:Maintenir lintgrit et la disponibilit des informations et des moyens

de traitement de linformation
EXP-SAUV-PROC : Procdure de sauvegarde
Chaque entit doit mettre en place des procdures de sauvegarde qui prcisent pour
chaque systme d'information :
-
La nature des sauvegardes (complte, incrmentale, dduplication, ) ;
La frquence (journalire, hebdomadaire, mensuelle, ) ;
Le type de support (sur disque, sur bande, Logs SGBD).
Poids
4
Classes cibles
B
A
applicable
+
=
Responsables
EXP-SAUV-RESTAUR : Restauration
Chaque entit doit sassurer priodiquement que les donnes sauvegardes peuvent tre
restaures en temps voulu.
Poids
4
Classes cibles
B
A
applicable
+
=
Responsables
MOE/MOA, Administrateur systmes et rseaux
EXP-SAUV-PHYS : Scurit physique des sauvegardes

Les supports de sauvegarde doivent tre protgs physiquement. Et il convient de les
placer un endroit pour chapper aux dommages dun sinistre sur le site principal. Pour ce
faire, il faut se conformer aux bonnes pratiques en vigueur dans ce domaine.
Poids
3
C
N/A
Classes cibles
B
A
Applicable
=
Responsables
DIRECTION SI, RSSI
29
EXP-SAUV-SENSI: Sauvegarde sensible

Les donnes sensibles doivent tre sauvegardes de manire chiffre. Cela ncessite une
saine gestion des cls de chiffrement.
Poids
4
6.5.
Classes cibles
B
A
Applicable
+
++
Responsables
GESTION DE LA SECURITE DES RESEAUX
Objectif O.13:Assurer la protection des informations sur les rseaux et la protection

de linfrastructure sur laquelle ils sappuient.
EXP-RES-CONFIG : Configuration des quipements rseaux
Les configurations oprationnelles des quipements de communication et filtrage doivent
tre durcies notamment par rapport aux versions natives des fournisseurs par le
changement des mots de passe et certificats, et la fermeture des services et des ports non
ncessaires.
Poids
4
Classes cibles
B
A
applicable
+
=
Responsables
EXP-RES-RSF : Scurit des rseaux sans fil

Le dploiement du rseau sans fil doit tre limit et doit faire lobjet d'une tude de scurit
spcifique.
Il est fortement conseill de cloisonner le rseau sans fil du reste du rseau: une
passerelle matrise doit tre mise en place permettant de tracer les accs et de
restreindre les changes aux seuls flux ncessaires.
Poids
3
C
Applicable
6.6.
Classes cibles
B
A
=
Responsables
MANIPULATION DES SUPPORTS

Objectif O.14:Contrler et protger les supports amovibles et nomades.
30
EXP-NOM/AMOV-GEST : Gestion des supports amovibles

Il ne faut activer lexcution automatique des supports amovibles que pour des impratifs
de service.
Laccs aux supports amovibles doit faire lobjet dun traitement adapt (chiffrement,
contrle anti-virus, etc.) surtout lorsquils contiennent de linformation sensible.
Les supports amovibles doivent tre fournis aux utilisateurs par les entits. Leur utilisation
doit tre encadre par la charte dutilisation des SI.
Poids
4
Classes cibles
B
A
Applicable
=
+
Responsables
EXP-NOM/AMOV-STOCK : Scurit physique des postes nomades et supports

amovibles
Il faut stocker les postes nomades et les supports amovibles contenant des donnes
sensibles dans des locaux protgs et tenir un registre de ces supports.
En cas dutilisation de ces postes hors des locaux de travail (mission, confrence, runion,
etc.) une procdure formalise doit tre prvue pour leur protection.
Poids
3
Classes cibles
B
A
applicable
+
++
Responsables
EXP-NOM/AMOV-MES: Mesures de scurit sur postes nomades et supports

amovibles
Les postes nomades et les supports amovibles doivent tre tous soumis aux mmes
mesures de scurit que les autres quipements du parc en termes de mise jour
rgulire de lantivirus, application des correctifs, contrle de conformit, interdiction des
tlchargements caractre non conforme la charte dutilisation des ressources
informatiques.
Poids
3
Classes cibles
B
A
applicable
+
++
Responsables
31
EXP-AMOV-SENSI : Donnes sensibles sur supports amovibles

Les donnes sensibles contenues dans des postes nomades ou des supports amovibles
doivent tre chiffres par un dispositif de confiance.
Poids
4
6.7.
Classes cibles
B
A
applicable
+
++
Responsables
CHANGE DES INFORMATIONS
Objectif O.15:Assurer la scurit des changes des informations et des supports

physiques au sein de lentit et avec un organisme externe.
EXP-ECHG-TELECOM: Les changes par quipements de tlcommunications
Des exigences de confidentialit doivent tre dfinies pour les changes dinformations
sensibles qui transitent par tous types dquipements de tlcommunications (donnes,
voix, audiovisuel, etc.).
Poids
4
Classes cibles
B
A
applicable
+
++
Responsables

Administrateur Systmes et Rseaux
EXP-ECHG-PHYS.COUR : Supports physiques en transit

Les changes physiques doivent faire lobjet dun ensemble de mesures mettre en
place :
-
Poids
2
Dsigner des coursiers dment habilits;

Utiliser un emballage suffisant pour protger le contenu ;
Le cas chant, assurer une livraison en main propre.
Classes cibles
B
A
applicable
+
=
Responsables
Secrtariat Gnral, Direction Gnrale, Service

des moyens gnraux
32
EXP-ECHG-MAIL.PERSO: Usage de la messagerie professionnelle

Chaque entit doit dfinir dans la charte dutilisation du SI le bon usage de la messagerie
professionnelle. Elle doit expliciter les rgles ncessaires pour la scurit de la messagerie
notamment:
Interdire lusage de la messagerie professionnelle des fins personnelles et le

renvoi automatique vers une messagerie non matrise ;
Vrifier la source des e-mails avant douvrir les pices jointes (attention aux codes
excutables);
Accder distance la messagerie professionnelle via VPN;
Chiffrer et signer les messages sensibles par des moyens ddis.
Lusage dune messagerie personnelle peut tre autoris dans la mesure o elle est
strictement confine et ne met pas en danger le SI de lentit.
Poids
4
Classes cibles
B
A
applicable
+
=
Responsables
RSSI, Utilisateur
EXP-ECHG- MAIL.FILTR : Filtrage des mails

Chaque entit doit veiller lapplication des mcanismes de filtrage du courrier
lectronique mis et reu notamment par:
Contrle antiviral des pices jointes, leurs tailles et natures;

Protection anti-spam;
Contrle des en-ttes SMTP.
Poids
4
6.8.
Classes cibles
B
A
applicable
+
=
Responsables
SUPERVISION
Objectif O.16:Dtecter les traitements non autoriss de linformation.
EXP-SUPERV-MAINT : Traabilit des actions de maintenance

Les interventions de maintenance sur les ressources informatiques de lentit doivent tre
traces par le service informatique. Ces traces sont conserver pendant une dure dau
33
moins trois mois et ce tout en dployant les mesures ncessaires pour assurer leur
intgrit.
Poids
4
Classes cibles
B
A
applicable
+
++
Responsables
Administrateur Systmes et Rseaux, RSSI
EXP-SUPERV-JOURNAL: Journalisation des vnements

Chaque entit doit mettre en place un journal rpertoriant les vnements de scurit pour
garantir la dtection des problmes lis au systme dinformation. Ces journaux doivent
tre analyss priodiquement et les actions mener doivent tre bien dfinies.
Les journaux dvnements peuvent notamment recenser les lments suivants :
Connexions au systme (succs et checs) ;

Modification de paramtres de scurit, de privilges, de comptes utilisateurs, de
groupes, etc. ;
vnements systme (arrt / redmarrage de processus systme sensibles) ;
Accs/modification de donnes systme ;
chec lors dun accs une ressource (fichier systme, objet, rseau, etc.) ;
Application des correctifs de scurit ;
Actions dadministration et de prise de main distance ;
Journaux du logiciel antivirus (si prsent) : activation/dsactivation, mises jour,
dtection de codes malveillants, etc.
Ces journaux doivent tre rgulirement sauvegards.

Poids
4
Classes cibles
B
A
applicable
+
++
Responsables
EXP-SUPERV-SYNCHRON : Synchronisation
Les serveurs doivent tre synchroniss sur la mme base de temps. Pour ce faire, il est
ncessaire dutiliser le service NTP de confiance (Network Time Protocol).
Le bon paramtrage des horloges est important, car il influe sur la prcision des journaux
dvnements qui peuvent tre utiliss lors dinvestigations. Des journaux imprcis peuvent
porter atteinte la crdibilit des traces.
Poids
4
Classes cibles
C
B
A
applicable
+
=
Responsables
34
7. CONTROLE DACCES
7.1.
GESTION DE LACCES UTILISATEUR

Objectif O.17:Matriser laccs linformation par lapplication dune politique du
moindre privilge
ACC-UTILIS-IDF/AUTH : identification et authentification

Laccs des utilisateurs aux ressources (rseaux, systme dexploitation ou applications
informatiques) passe obligatoirement par une identification et une authentification
individuelle. Et les droits particuliers (super-utilisateur, Administrateur systmes et
rseaux,) doivent tre parfaitement identifis, limits (nombre et droits) et justifis.
Il convient de mettre la disposition des utilisateurs une fiche dhabilitation crite prcisant
leurs droits daccs.
Un utilisateur doit disposer des droits ncessaires lexercice de son mtier. Il ne doit pas,
par contre, disposer de privilges dadministration sur son poste de travail.
Poids
4
Classes cibles
C
B
A
applicable
=
=
Responsables
DIRECTION SI, RSSI
ACC-UTILIS - MULTIUTILIS : Les sessions multiutilisateurs

Dans le cas de comptes multiutilisateurs (compte fonctionnel par exemple), la traabilit
des utilisateurs doit tre assure (par un cahier de suivi par exemple).
Poids
4
C
N/A
Classes cibles
B
A
applicable
+
Responsables
ACC-UTILIS-MDP : Gestion des mots de passe

Les rgles de gestion des mots de passe doivent tre dfinies et appliques, en particulier:
-
La structure (complexit minimale) ;

Le changement priodique ;
La suppression en cas de suspicion de compromission ;
La rinitialisation.
Un contrle automatis de la robustesse des mots de passe doit tre dploy.

35
Poids
4
Classes cibles
C
B
A
applicable
=
=
Responsables
ACC-UTILIS-EXAM : Examen des droits daccs

Un examen priodique des droits attribus est ncessaire en sappuyant sur linventaire
des applications et des ressources utilises.
Suite cet examen, les comptes des utilisateurs ayant, titre dexemple, quitt lentit, ou
les comptes redondants doivent tre supprims.
Poids
4
7.2.
Classes cibles
C
B
A
applicable
+
=
Responsables
SRH, Administrateur Systmes et Rseaux, RSSI
CONTROLE DACCES AU RESEAU
Objectif O.18:Empcher les accs non autoriss aux services disponibles sur le
rseau.
ACC-DISTANT-AUT: Utilisateurs distants autoriss
Laccs dutilisateurs distants ne doit tre ralisable que par des personnes autoriss et
bien dfinies.
Des mesures dauthentification fortes par lusage de protocoles scuriss pour ce type de
connexions sont ncessaires lors dchanges sensibles.
Poids
4
Classes cibles
B
A
applicable
+
=
Responsables
ACC-DISTANT-CHIFFR: Tunnelisation
Il faut chiffrer les connexions distance par des protocoles scuriss (IPSEC, SSL,
SSH,..).
Poids
4
Classes cibles
C
B
A
applicable
+
=
Responsables
36
ACC-PORT-DIS : Ports daccs distants

Il convient de dsactiver ou de retirer les ports daccs distance inutiles installs sur un
ordinateur ou un quipement en rseau.
Poids
4
Classes cibles
B
A
applicable
+
=
Responsables
ACC-PORT-CONFIG : Ports de configuration

Les ports de diagnostic et de configuration ne doivent tre accessibles quaprs accord du
responsable du service informatique et cela pour la stricte dure ncessaire au traitement.
Poids
4
Classes cibles
B
A
applicable
+
++
Responsables
ACC-RES-SEG : Segmentation rseau

Il est recommand de segmenter le rseau selon la sensibilit des donnes quil
transporte.
La segmentation du rseau se fait par la mise en uvre de zones dmilitarises (DMZ), et
de rseaux locaux virtuels (VLAN) appropris.
Poids
3
Classes cibles
B
A
applicable
=
=
Responsables

rseaux
ACC-RES- SEG.PROTEC : Protection des zones segmentes

Les zones segmentes doivent tre protges lune des autres par la mise en place de
rgles de filtrage strictes des flux applicatifs et d'administration. La liste des rgles de
filtrage doit tre documente et tenue jour.
Poids
4
Classes cibles
C
B
A
applicable
+
++
Responsables

rseaux
37
7.3.
CONTROLE DACCES AUX APPLICATIONS ET A LINFORMATION
Objectif O.19 : Empcher les accs non autoriss aux informations stockes dans les
applications.
ACC-APP-SENSI : Accs aux applications sensibles
Les applications sensibles doivent tre protges par des mcanismes de restriction des
accs (login/mot de passe spcifiques, rgles de filtrage et daccs, plages horaires de
connexions).
Les applications critiques doivent fonctionner sur des environnements informatiques
ddis (serveur spcifique) et des architectures durcies (redondance, bascules,
rsilience, rsistance aux attaques en dni de service, etc.).
Poids
4
Classes cibles
B
A
applicable
=
+
Responsables

rseaux, RSSI
38
8. ACQUISITION, DEVELOPPEMENT ET
MAINTENANCE
EXIGENCES DE SECURITE APPLICABLES AUX SYSTEMES DINFORMATION
8.1.
Objectif O.20:Veiller ce que la scurit fasse partie intgrante dans les projets
de dveloppement des systmes dinformation.
DEV-EXIG-PROJ : Exigences de scurit dans les projets de dveloppement
La scurit doit tre intgre toutes les tapes du cycle de vie du projet, depuis
l'expression des besoins jusqu' la maintenance applicative, en passant par la rdaction du
cahier des charges et les phases de recette.
Poids
4
8.2.
Classes cibles
B
A
applicable
+
=
Responsables
DIRECTION SI, MOE/MOA, RSSI
BON FONCTIONNEMENT DES APPLICATIONS

.
Objectif O. 21: Empcher toute erreur, perte, modification non autorise ou tout
mauvais usage des informations dans les applications.
DEV-FONCT- ENTREE : Validation des donnes dentre

Les donnes en entre des applications doivent faire l'objet d'un autocontrle formel ou
d'un contrle de saisie indpendant afin de dtecter des erreurs comme :
Poids
3
les valeurs hors intervalle;

les caractres invalides dans les champs de donnes;
les donnes manquantes ou incompltes;
non-respect des limites infrieures et suprieures en termes de volume;
paramtre de mesures de scurit non autoriss ou incohrents.
C
applicable
Classes cibles
B
A
=
Responsables
MOE/MOA, Utilisateur
39
DEV-FCT- INTERN : Traitements internes

Il convient dinclure des fonctions de scurit (programmation dfensive) dans les
applications afin de dtecter les ventuelles altrations de linformation dues des erreurs
de traitement ou des actes dlibrs.
Afin dempcher les attaques, il est ncessaire de respecter les prconisations des
rfrentiels de dveloppement scuris en fonction des langages choisis.
Poids
1
Classes cibles
C
B
A
applicable
=
=
Responsables
DIRECTION SI, MOE/MOA
DEV-FCT- SORT : Validation des donnes de sortie

Des contrles de validation automatiques des traitements sensibles doivent tre effectus
pour s'assurer que les rsultats sont cohrents et fiables.
Poids
2
8.3.
Classes cibles
C
B
A
applicable
+
=
Responsables
MOE/MOA
MESURES CRYPTOGRAPHIQUES
Objectif O.22: protger la confidentialit, lauthenticit ou lintgrit de linformation
par des moyens cryptographiques.
DEV-CRYPTO-FICH: Mesures cryptographiques sur les fichiers et les transactions

Il faut dfinir les fichiers et les transactions devant tre protgs par des solutions de
chiffrement et/ou de signature lectronique au niveau de l'architecture applicative.
Poids
3
Classes cibles
C
B
A
applicable
+
=
Responsables
MOE/MOA, Utilisateur
DEV-CRYPTO-PKI : Systme de gestion des cls

Il faut utiliser un systme de gestion des cls (PKI). Une procdure de recouvrement des
cls en cas de perte ou altration est ncessaire.
Poids
4
Classes cibles
B
A
applicable
+
=
Responsables
DIRECTION SI, MOE/MOA, RSSI

40
8.4.
SECURITE DES FICHIERS SYSTEME
Objectif O.23:Mener les dveloppements logiciels selon une mthodologie de

scurisation du code source pour son intgrit.
DEV-CODE : Scurit du code source
Il est recommand de contrler laccs au code source du programme (restriction des
droits, sources conserves hors des systmes oprationnels, bibliothques soumises
autorisation, etc.).
Poids
3
8.5.
C
N/A
Classes cibles
B
A
applicable
=
Responsables
MOE/MOA
SECURITE EN MATIERE DE DEVELOPPEMENT ET DASSISTANCE

TECHNIQUE
Objectif O.24:Empcher toute possibilit de fuite dinformations.
DEV-FUITE : Fuite dinformations

Il faut limiter les fuites d'informations au niveau applicatif et mettre en place des contrles
adapts (les dveloppeurs doivent faire en sorte, par exemple, que les messages d'erreur
renvoys ne soient pas trop dtaills et avoir une vision commune de la gestion des
exceptions).
Poids
3
8.6.
C
N/A
Classes cibles
B
A
applicable
+
Responsables
MOE/MOA
GESTION DES VULNERABILITES TECHNIQUES

Objectif O.25:Rduire les risques lis lexploitation des vulnrabilits
techniques ayant fait lobjet dune publication.
41
DEV-VULN : Mesures aux vulnrabilits techniques

Des tudes de vulnrabilits systme et applicative (scans des systmes et des rseaux,
tests d'intrusion) doivent tre priodiquement menes. Cela ncessite une attention
permanente sur les bulletins publis par le ma-CERT.
Poids
4
C
applicable
Classes cibles
B
A
=
=
Responsables
42
9. GESTION DES INCIDENTS

Objectif O. 26 : Garantir que le mode de notification des vnements et failles lis
la scurit de linformation permette la mise en uvre dune action corrective, dans
les meilleurs dlais.
9.1.
SIGNALEMENT DES INCIDENTS LIES A LA SECURITE DE LINFORMATION
INCID-SIGNAL : Signalement des vnements lis la scurit des systmes

dinformation
Une procdure de signalement dincidents doit tre formalise. Celle-ci dfinit les mesures
correspondantes la remonte dun vnement par les employs : Il faut que lensemble
des personnes impliques dans la maintenance, lexploitation, ladministration ou
lutilisation du systme puisse noter et signaler dans les meilleurs dlais tout
dysfonctionnement de scurit observ ou souponn dans lusage normal du systme et
pouvant porter atteinte aux donnes ou au systme lui-mme.
Chaque incident de scurit doit faire lobjet de la cration dun ticket dincident permettant
de grer et de suivre sa rsolution.
Pour les incidents significatifs, ceux-ci doivent tre signals au ma-CERT relevant de la
DGSSI.
Poids
4
C
applicable
9.2.
Classes cibles
B
A
+
++
Responsables
DIRECTION SI, RSSI
GESTION DES AMELIORATIONS ET INCIDENTS LIES A LA SECURITE DE

LINFORMATION
INCID-PROC : Procdure de gestion des incidents

Les procdures de gestion d'incidents doivent couvrir les diffrents types dincidents de
scurit (erreurs, sinistres naturels, malveillances, dnis de service, infections virales,
intrusion, sabotage, saturation, etc.).
Chaque entit doit grer les tickets dincidents de scurit.
Poids
4
C
applicable
Classes cibles
B
A
+
++
Responsables
DIRECTION SI, RSSI

43
INCID-ACTION : Collecte de traces

En cas dattaque suspecte, le principe essentiel est de ne rien faire pouvant entraver le
travail dinvestigation (effacer ou altrer des traces) ou avertir lattaquant. La dconnexion
physique des rseaux extrieurs peut savrer ncessaire pour sauvegarder une activit
ou des donnes phmres.
Poids
4
C
applicable
Classes cibles
B
A
+
=
Responsables
Utilisateur
INCID-REACT : Raction aux incidents

Ds quune alerte dommageable se dclenche, lentit doit mobiliser les ressources
internes et/ou externes pour ragir efficacement ce type dalerte.
Les alertes peuvent provenir soit dun diteur ou fournisseur, soit du centre de veille, de
dtection et de rponses aux attaques informatiques (ma-CERT) relevant de la DGSSI.
Dans ce dernier cas, lentit accuse rception de lalerte et transmet par la suite, si elle est
impacte par cette alerte, un compte rendu dexcution la DGSSI.
Poids
4
C
applicable
Classes cibles
B
A
=
+
Responsables

DIRECTION SI, RSSI
INCID-REP: Rpertoire dincidents

La typologie et la description des incidents doivent tre localement enregistres dans une
base permettant un enrichissement progressif ainsi qu'un accs slectif facile pour
effectuer le traitement et le suivi des divers incidents futurs.
Poids
2
C
applicable
Classes cibles
B
A
=
=
Responsables
RSSI
44
10. GESTION DU PLAN DE CONTINUITE DE LACTIVITE

Objectif O.27:Neutraliser les interruptions des activits de lentit, protger les
processus mtier cruciaux des effets causs par les principales dfaillances des
systmes dinformation ou par des sinistres et garantir une reprise de ces processus
dans les meilleurs dlais.
10.1. ASPECTS DE LA SECURITE DE LINFORMATION EN MATIERE DE GESTION
DE LA CONTINUITE DE LACTIVITE
CONTINU-BIA : Continuit de lactivit et apprciation du risque
Il faut tablir une analyse dimpacts sur lactivit de lentit, qui consiste :
-
Identifier les activits et processus critiques ;

Analyser les risques lies aux activits et processus;
Analyser les impacts qui rsulteraient dun arrt de ces activits et processus
critiques ;
Dterminer comment ces impacts volueraient dans le temps en cas darrt
prolong ;
Etablir le temps darrt ou dindisponibilit maximum supportable des activits
critiques ;
Identifier et considrer toute activit critique dpendant des fournisseurs et autres
tiers ;
Estimer le dlai cible de rtablissement des activits aprs un sinistre ;
Estimer les ressources humaines, techniques et logistiques que chaque activit
critique requiert pour sa reprise ;
Dans ce cadre, un questionnaire doit tre mis la disposition des responsables dactivits
pour drouler semestriellement cette opration.
Poids
4
C
N/A
Classes cibles
B
A
applicable
Responsables

DIRECTION SI, RSSI
45
CONTINU-ACT: Plan de Continuit et de Reprise dActivit (PCA/PRA)

Le PCA/PRA doit regrouper l'ensemble des solutions pour pallier tous les arrts des
processus critiques et applications sensibles.
Chaque entit doit prparer un plan technique de continuit et de reprise dactivits
intgrant lensemble des solutions de secours informatique (sauvegarde, site de secours,
bascule, rsilience des rseaux, redondance matrielle et logicielle, etc.).
Toute personne en charge dune action relevant du PCA/PRA doit connatre prcisment
son rle et ce quelle doit faire concrtement en cas de sinistre. Elle doit galement
comprendre la finalit recherche, afin dinscrire son action dans la cohrence globale de
lentit.
Poids
4
C
N/A
Classes cibles
B
A
applicable
=
Responsables
DIRECTION SI, RSSI, Administrateur systmes et

rseaux, MOA/MOE, Utilisateur
CONTINU-TEST.PLAN : Mise lessai des PCA/PRA

Un plan de test technique (tests de restauration des systmes, des applications, des
donnes ou des communications, etc.) doit tre mis en uvre annuellement.
Poids
4
C
N/A
Classes cibles
B
A
applicable
+
Responsables

rseaux
CONTINU-TEST.EX/SCEN : Exercices et Scenarios

Lorganisation dexercice de crise est recommande. Les diffrents tests sur les moyens
de secours permettent de formaliser diffrents scnarios possibles.
Poids
2
C
N/A
Classes cibles
B
A
applicable
+
Responsables

rseaux
46
11. CONFORMITE
Objectif O.28:Eviter toute violation des obligations lgales, rglementaires, statutaires,
ou contractuelles et des exigences de scurit.
11.1. CONFORMITE AVEC LES EXIGENCES LEGALES
CONF-EXIG : Identification de la lgislation en vigueur

L'ensemble des exigences rglementaires, lgales et contractuelles, doit tre explicitement
identifi et son application par l'entit doit figurer dans la charte SI dcrite ci-aprs.
Poids
3
C
applicable
Classes cibles
B
A
=
=
Responsables
CONF-LIC: Droits de proprit intellectuelle

Il est strictement interdit dutiliser tout logiciel non accompagn d'une licence en rgle.
Poids
4
C
applicable
Classes cibles
B
A
=
=
Responsables
CONF-ARCH: Protection des archives

Les responsabilits et les procdures appliquer doivent tre mises en place afin de
protger les archives de lentit conformment la lgislation en vigueur.
Poids
2
C
applicable
Classes cibles
B
A
=
=
Responsables
CONF-DONNEE. PERSO: Protection des donnes personnelles

Les donnes caractre personnelles doivent tre traites en respectant les dispositions
lgislatives et rglementaires en vigueur.
47
Poids
4
C
applicable
Classes cibles
B
A
=
=
Responsables
CONF-CRYPTO: Rglementation relative aux mesures cryptographiques

Le RSSI sassure du respect des dispositions du cadre normatif relatif la mise en uvre
des mesures cryptographiques.
Poids
4
C
applicable
Classes cibles
B
A
=
=
Responsables
RSSI
11.2. CONFORMITE AVEC LA POLITIQUE ET NORMES DE SECURITE ET

CONFORMITE TECHNIQUE
CONF-DNSSI : Vrification de la conformit avec la DNSSI

Il faut contrler rgulirement la mise en uvre du plan dapplication des rgles de la
DNSSI.
Poids
2
C
applicable
Classes cibles
B
A
=
=
Responsables
RSSI
CONF-CHART.SI: Charte dutilisation SI

Une charte de scurit du SI, destine au personnel, doit tre labore en conformit avec
la DNSSI. Elle traite de la scurit du poste de travail, des accs rseaux (email, internet,
) et des consignes dutilisation des moyens SI tel que la messagerie professionnelle.
Cette charte doit tre valide par la hirarchie et signe par les utilisateurs. Elle constitue
un lment opposable en cas de manquement grave.
La charte du SI doit contenir, entre autres :
Les rgles gnrales d'utilisation des ressources informatiques;
Des lments de sensibilisation des utilisateurs : confidentialit des informations
manipules, etc. ;
Les rflexes adopter en cas d'incident ou de suspicion d'incident ;
Les rgles relatives l'utilisation de donnes prives sur le rseau et le statut des
dispositifs privs (supports amovibles, postes nomades, smartphone, etc.).
48
Poids
2
Classes cibles
C
B
A
applicable
=
=
Responsables
RSSI, Utilisateur
CONF-RGS : Vrification de la conformit avec le RGS

Il faut veiller terme lapplication du rfrentiel gnral de la scurit en cours
dlaboration.
Poids
2
C
applicable
Classes cibles
B
A
=
=
Responsables
RSSI
11.3. PRISES EN COMPTE DE LAUDIT DU SYSTEME DINFORMATION

Objectif O.29:Mener des oprations daudit et capitaliser sur les rsultats obtenus.
CONF-AUDIT : Audit du systme dinformation

Les modalits de droulement des oprations daudit dployes par lentit doivent tre
bien dfinies par le RSSI (accs aux quipements, contrles et traitements admis,
effacement des donnes sensibles, marquage de certaines oprations, et habilitation des
auditeurs, etc.).
Chaque opration daudit donne lieu des recommandations. Celles-ci sont mises en
uvre dans le cadre du plan dactions.
Ces audits doivent tre raliss au moins une fois tous les deux ans. Les rapports y
affrents doivent tre communiqus la DGSSI.
Poids
4
C
applicable
Classes cibles
B
A
=
=
Responsables
49
GLOSSAIRE
Analyse des risques
Utilisation systmatique dinformations pour identifier les sources et pour estimer le risque.
Audit
Activit priodique (ou ponctuelle) permettant dvaluer la scurit dun systme ou de dtecter les
traces dune activit malveillante.
Cloisonnement du rseau (segmentation du rseau): Technique ayant pour objectif de diviser un
rseau informatique en plusieurs sous-rseaux. Le cloisonnement est principalement utilis afin
d'augmenter les performances globales du rseau et amliorer sa scurit ; dcoupage en
domaines ou primtres de scurit, facilite le contrle daccs, mieux se protger contre les
intrusions, et empcher la fuite dinformation.
Confidentialit
Objectif de scurit permettant de sassurer que les informations transmises ou stocks ne sont
accessibles quaux personnes autorises en prendre connaissance.
Cyber scurit
Situation recherche pour un systme dinformation lui permettant de rsister des vnements
issus du cyberespace susceptibles de compromettre la disponibilit, lintgrit ou la confidentialit
des donnes stockes, traites ou transmises.
Cyberespace
Ensemble de donnes numrises constituant un univers dinformation et un milieu de communication,
li linterconnexion mondiale des ordinateurs.
Certificat lectronique
Est un document sous forme lectronique attestant du lien entre les donnes de vrification de
signature lectronique et un signataire.
Disponibilit
Objectif de scurit qui consiste assurer un accs permanent linformation et aux services
offerts par le systme dinformation. Cest une garantie de la continuit de service et de
performances des applications, du matriel et de lenvironnement organisationnel.
Zone dmilitarise (DMZ)
Zone qui se situe entre un rseau interne et un rseau public qui permet d'isoler certains serveurs
de l'organisme usage public (serveurs Web, FTP, ), gnralement contrle par un Firewall ou
pare-feu.
Dysfonctionnement
Ecart par rapport la situation normale ou au processus normal. Il peut tre provoqu par des
facteurs internes ou externes.
Filtrage
Technique de contrle de flux sur un rseau qui empche le passage des informations juges
suspectes.
50
Information sensible
Une information sensible, est une information dont la compromission, l'altration, le dtournement
ou la destruction, est de nature nuire la continuit du fonctionnement ou mettant en danger le
patrimoine informationnel de lorganisme et des services de l'Etat.
Incident de scurit
Un ou plusieurs vnements lis la scurit de l'information indsirables ou inattendus dorigine
accidentelle ou malveillante, impactant lun ou plusieurs objectifs de scurit (Confidentialit,
Intgrit, Disponibilit), et prsentant une probabilit forte de compromettre les activits de
l'organisme et de menacer la scurit de linformation (Fuites de donnes, Dni de service,
Intrusion informatique ou physique, inondation).
Intgrit
Objectif de scurit qui consiste empcher, ou tout du moins dtecter, toute altration non
autorise de donnes. Par altration on entend toute modification, suppression partielle ou
insertion dinformation. Cet objectif peut tre assur par la signature lectronique.
Intrusion
Accs non autoris un systme informatique afin de lire ses donnes internes ou d'utiliser ses
ressources.
Ma-CERT
Centre de Veille, de Dtection et de Raction aux Attaques Informatiques au Maroc.
Menace
Cause potentielle dun incident indsirable, pouvant entraner des dommages au sein dun systme
ou dune entit.
Mesure
Moyen de grer un risque, et pouvant tre de nature administrative, technique, gestionnaire ou
juridique.
Non rpudiation
Objectif de scurit qui permet de garantir qu'une transaction ne peut tre nie.
Normes
Document de rfrence contenant des spcifications techniques prcises destin tre utilis
comme rgles ou lignes directrices.
Network Time Protocol (NTP)
Protocole qui permet de synchroniser, via un rseau informatique, l'horloge locale d'ordinateurs sur une
rfrence d'heure.
Plan de Continuit dActivit (PCA)
Vise assurer et maintenir la continuit de l'activit plein rgime ou en mode dgrad, en cas de
dsastre ou panne informatique majeure touchant le SI. Il permet de garantir la survie de
lorganisme en prparant lavance la continuit des activits dsignes comme stratgiques Au
contraire du PRA, le PCA n'autorise pas de coupure intgrale du service : la continuit, au moins
partielle doit tre assure. Ce plan traite essentiellement des activits "mtier", le secours de
moyens informatique ne constitue que lun de ces aspects.
51
Infrastructure de cls publiques (PKI)

Ensemble de composants physiques, logiciels, procdures et documents visant grer le cycle de
vie des cls cryptographiques et leurs certificats.
Plan de reprise dactivit(PRA)
Vise permettre la reprise de l'activit, plein rgime ou en mode dgrad, au bout d'un certain
temps. Il permet la remise en service des infrastructures et des applications ncessaires pour
revenir une situation nominale le plus rapidement possible sur le plan informatique, il dcrit la
cinmatique globale du redmarrage du SI aprs interruption. Bien que diffrents, on considre
gnralement que le PRA est une partie intgrante du PCA.
Rseau priv virtuel (VPN)
Technique dinterconnexion de rseaux locaux permettant de chiffrer les communications pour en
conserver la confidentialit.
Scurit des Systmes dInformation (SSI)
lensemble des mesures techniques et non techniques (organisationnelles et humaines) de
protection permettant un systme dinformation de rsister des vnements susceptibles de
compromettre la disponibilit, lintgrit ou la confidentialit des donnes stockes, traites ou
transmises.
Systme dinformation (SI)
Est un ensemble organis de ressources (matriels, logiciels, personnel, donnes et procdures)
qui permet de regrouper, de classifier, de traiter et de diffuser de linformation sur un
environnement donn.
Tiers
Personne ou organisme reconnu(e) comme indpendant(e) des parties concernes.
Vulnrabilit
Faille de scurit dans un programme ou sur un systme informatique.
52

Directive Nationale de La Securite Des Systemes D Information

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Directive Nationale de La Securite Des Systemes D Information

Hochgeladen von

Copyright:

Verfügbare Formate

ROYAUME DU MAROC

DIRECTIVE NATIONALE DE LA SECURITE

Rabat, dcembre 2013.

PREMIERE PARTIE: DISPOSITIONS GENERALES

3. DATE D'ENTREE EN VIGUEUR

5. CONFORMITE JURIDIQUE ET REGLEMENTAIRE

6. MISE EN APPLICATIONDE LA DNSSI

7. SUIVI DE LAPPLICATION DE LA DNSSI

DEUXIEME PARTIE: OBJECTIFS ET REGLES DE SECURITE

3. GESTION DES BIENS

RESPONSABILITES RELATIVES AUX BIENS

CLASSIFICATION DES INFORMATIONS

4. SECURITE LIEE AUX RESSOURCES HUMAINES

A LISSUE DU CONTRAT OU EN CAS DE CHANGEMENT DE POSITION

6. GESTION DE LEXPLOITATION ET DES TELECOMMUNICATIONS

PROCEDURES ET RESPONSABILITES LIEES A LEXPLOITATION

PROTECTION CONTRE LES CODES MALVEILLANTS

SAUVEGARDE DES INFORMATIONS

GESTION DE LA SECURITE DES RESEAUX

MANIPULATION DES SUPPORTS

CHANGE DES INFORMATIONS

GESTION DE LACCES UTILISATEUR

CONTROLE DACCES AU RESEAU

CONTROLE DACCES AUX APPLICATIONS ET A LINFORMATION

8. ACQUISITION, DEVELOPPEMENT ET MAINTENANCE

8.1.EXIGENCES DE SECURITE APPLICABLES AUX SYSTEMES DINFORMATION

BON FONCTIONNEMENT DES APPLICATIONS

SECURITE DES FICHIERS SYSTEME

8.5. SECURITE EN MATIERE DE DEVELOPPEMENT ET DASSISTANCE

GESTION DES VULNERABILITES TECHNIQUES

9. GESTION DES INCIDENTS

9.1.SIGNALEMENT DES INCIDENTS LIES A LA SECURITE DE LINFORMATION 43

10. GESTION DU PLAN DE CONTINUITE DE LACTIVITE

10.1. ASPECTS DE LA SECURITE DE LINFORMATION EN MATIERE DE GESTION

11.1. CONFORMITE AVEC LES EXIGENCES LEGALES

11.2. CONFORMITE AVEC LA POLITIQUE ET NORMES DE SECURITE ET

11.3. PRISES EN COMPTE DE LAUDIT DU SYSTEME DINFORMATION

PREMIERE PARTIE: DISPOSITIONS GENERALES

3. DATE D'ENTREE EN VIGUEUR

5. CONFORMITE JURIDIQUE ET REGLEMENTAIRE

Conduire des actions de sensibilisation et de formation la scurit des systmes

Les rsultats danalyses de risques ;

DEUXIEME PARTIE: OBJECTIFS ET REGLES DE SECURITE

Les entits doivent implmenter les rgles selon un classement de sensibilit A, B ou C

Classe B : Systmes d'information sur lesquels une atteinte la confidentialit, l'intgrit

Classe C : Systmes d'information sur lesquels une atteinte la confidentialit, l'intgrit

Lapplicabilit dune rgle dpend de la classe du SI selon lchelle suivante :

Non applicable N/A : signifie que lentit disposant dun SI relevant de la

Organiser et coordonner lapplication de la DNSSI au sein des entits ;

Secrtariat Gnral ou Direction Gnrale,

DS-BESOIN : Besoins de scurit

Secrtariat Gnral ou Direction Gnrale,

DS-EXAM : Examen de la DNSSI

DS-TDB : Tableaux de bord

Objectif O.2: Mettre en place au sein de lentit une organisation adquate

Secrtariat Gnral, Direction Gnrale

ORG-INTER-RSSI : Dsignation dun RSSI

Secrtariat Gnral, Direction Gnrale

ORG-INTER-AUT : Relations avec les autorits comptentes en SSI

Secrtariat Gnral, Direction Gnrale,

Objectif O.3:Assurer la scurit de linformation et des moyens de traitement de

Secrtariat Gnral ou Direction Gnrale,

ORG-TIER-RISQ : Risques manant des tiers