Transcription of POLITIQUE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION DE …
1 POLITIQUE DE S CURIT . DES SYST MES D'INFORMATION DE L' TAT. Version HISTORIQUE DES VERSIONS. DATE VERSION VOLUTION DU DOCUMENT. Publication de la premi re version de la POLITIQUE de s curit des syst mes d'information 17/07/2014 de l'Etat. Les commentaires sur le pr sent document sont adresser : Agence nationale de la s curit . des syst mes d'information SGDSN/ANSSI. Bureau de la maitrise des risques et de la r glementation 51 boulevard de La Tour-Maubourg 75700 Paris 07 SP. reglementation [at] Le pr sent document a t approuv par la circulaire du Premier ministre n 5725/SG. (NOR : PRMX1420095C) du 17 juillet 2014. Il est disponible en ligne sur le site institutionnel de l'ANSSI ( ).
2 POLITIQUE de s curit des syst mes d'information de l'Etat Version Date Crit re de diffusion Page 17 juillet 2014 PUBLIC 2/42. Pr ambule ..5. Premi re Partie : Article 1. Objet de l'instruction ..8. Article 2. Champ d'application ..8. Article 3. Date d'entr e en vigueur ..8. Article 4. Dispositions transitoires ..8. Article 5. Formation des agents ..8. Article 6. Pilotage et volutions de la PSSIE ..9. Article 7. Organisation de l' tat pour la mise en application de la Article 8. Mise en application minist rielle de la PSSIE .. 10. Article 9. Contr le et suivi de l'application de la PSSIE .. 11. Article 10. Traitement des incidents et gestion de crise .. 12.
3 Deuxi me Partie : objectifs et r gles .. 13. POLITIQUE , organisation, gouvernance .. 14. Organisation de la s curit des syst mes d'information .. 14. Ressources humaines .. 16. Gestion des biens .. 17. Int gration de la SSI dans le cycle de vie des syst mes d'information .. 18. Gestion des risques et homologation de s curit .. 18. Maintien en condition de s curit des syst mes d'information .. 18. Produits et services labellis s .. 19. Gestion des prestataires .. 19. S curit physique .. 20. S curit physique des locaux abritant les SI .. 20. S curit physique des centres informatiques .. 21. SI de s ret .. 22. S curit des r seaux .. 23. S curit des r seaux nationaux.
4 23. S curit des r seaux locaux .. 23. Acc s sp cifiques .. 24. S curit des r seaux sans fil .. 24. S curisation des m canismes de commutation et de routage .. 24. cartographie r seau .. 25. Architecture des SI .. 26. Architecture des centres informatiques .. 26. Exploitation des SI .. 27. Protection des informations sensibles .. 27. POLITIQUE de s curit des syst mes d'information de l'Etat Version Date Crit re de diffusion Page 17 juillet 2014 PUBLIC 3/42. S curit des ressources informatiques .. 27. Gestion des autorisations et contr le d'acc s logique aux 27. Exploitation s curis e des ressources 29. D fense des syst mes d'information .. 32. Exploitation des centres informatiques.
5 33. S curit du poste de travail .. 35. S curisation des postes de travail .. 35. S curisation des imprimantes et copieurs 37. S curisation de la t l 37. Contr les de conformit .. 37. S curit du d veloppement des syst mes .. 38. D veloppement des syst mes .. 38. D veloppements logiciels et s curit .. 38. Applications risques .. 39. Traitement des incidents .. 40. Cha nes op rationnelles .. 40. Continuit d'activit .. 41. Gestion de la continuit d'activit des SI .. 41. Conformit , audit, inspection, contr le .. 42. Contr les .. 42. POLITIQUE de s curit des syst mes d'information de l'Etat Version Date Crit re de diffusion Page 17 juillet 2014 PUBLIC 4/42. Pr ambule La POLITIQUE de s curit des syst mes d'information de l' tat (PSSIE) contribue : assurer la continuit des activit s r galiennes.
6 Pr venir la fuite d'informations sensibles ;. renforcer la confiance des citoyens et des entreprises dans les t l proc dures. Le pr sent document d finit les mesures de s curit applicables aux syst mes d'information de l' tat. Il s'appuie sur 10 principes strat giques : P1. Lorsque la ma trise de ses syst mes d'information l'exige, l'administration fait appel des op rateurs et des prestataires de confiance. P2. Tout syst me d'information de l' tat doit faire l'objet d'une analyse de risques permettant une prise en compte pr ventive de sa s curit , adapt e aux enjeux du syst me consid r . Cette analyse s'inscrit dans une d marche d'am lioration continue de la s curit du syst me, pendant toute sa dur e de vie.
7 Cette d marche doit galement permettre de maintenir jour une cartographie pr cise des syst mes d'information en service. P3. Les moyens humains et financiers consacr s la s curit des syst mes d'information de l' tat doivent tre planifi s, quantifi s et identifi s au sein des ressources globales des syst mes d'information. P4. Des moyens d'authentification forte des agents de l' tat sur les syst mes d'information doivent tre mis en place. L'usage d'une carte puce doit tre privil gi . P5. Les op rations de gestion et d'administration des syst mes d'information de l' tat doivent tre trac es et contr l es. P6. La protection des syst mes d'information doit tre assur e par l'application rigoureuse de r gles pr cises.
8 Ces r gles font l'objet de la pr sente PSSIE. P7. Chaque agent de l' tat, en tant qu'utilisateur d'un syst me d'information, doit tre inform de ses droits et devoirs mais galement form et sensibilis la cybers curit . Les mesures techniques mises en place par l' tat dans ce domaine doivent tre connues de tous. P8. Les administrateurs des syst mes d'information doivent appliquer, apr s formation, les r gles l mentaires d'hygi ne informatique. P9. Les produits et services acquis par les administrations et destin s assurer la s curit des syst mes d'information de l' tat doivent faire l'objet d'une valuation et d'une attestation pr alable de leur niveau de s curit , selon une proc dure reconnue par l'ANSSI ( labellisation ).
9 P10. Les informations de l'administration consid r es comme sensibles, en raison de leurs besoins en confidentialit , int grit ou disponibilit , sont h berg es sur le territoire national. POLITIQUE de s curit des syst mes d'information de l'Etat Version Date Crit re de diffusion Page 17 juillet 2014 PUBLIC 5/42. La PSSIE s'adresse l'ensemble des agents de l' tat, et tout particuli rement : aux autorit s hi rarchiques, qui sont responsables de la s curit des informations trait es au sein de leurs services ;. aux agents charg s des fonctions de directeurs des syst mes d'information (DSI) ;. aux personnes charg es de la s curit et de l'exploitation des syst mes d'information.
10 La PSSIE nonce des mesures techniques g n rales, qui constituent un socle minimal. Pour certaines applications, ce socle minimal ne devra pas tre consid r comme suffisant. Chaque minist re s'appuiera sur la PSSIE, sur les normes existantes et sur les guides techniques de l'ANSSI pour laborer des mesures techniques d taill es. POLITIQUE de s curit des syst mes d'information de l'Etat Version Date Crit re de diffusion Page 17 juillet 2014 PUBLIC 6/42. Premi re Partie : instruction Article 1. Objet de l'instruction La pr sente instruction fixe les conditions de mise en uvre de la POLITIQUE de s curit des syst mes d'information de l' tat (PSSIE). Article 2. Champ d'application La PSSIE s'applique tous les syst mes d'information (SI) des administrations de l' tat : minist res, tablissements publics sous tutelle d'un minist re, services d concentr s de l'Etat et autorit s administratives ind pendantes.
