IGI n° 1300/SGDSN/PSE/PSD sur la protection du secret de la défense nationale
L'instruction générale interministérielle 1300 vise à empêcher la compromission d'informations classifiées dématérialisées traitées ou échangées via des systèmes d'information
Consécutive au décret n° 2019-1271 du 2 décembre 2019 relatif aux modalités de classification et de protection du secret de la défense nationale, l’instruction générale interministérielle n° 1300/SGDSN/PSE/PSD du 9 août 2021 sur la protection du secret de la défense nationale (IGI 1300) détermine les rôles et responsabilités ainsi que les exigences liées à la gestion du cycle de vie d’une information ou d’un support classifié.
À travers ses différentes versions, dont la précédente est entrée en vigueur le 30 novembre 2011, cette instruction renforce la prise en compte de l’information classifiée dématérialisée. Ainsi, la nouvelle IGI 1300 précise les exigences applicables aux informations classifiées dématérialisées ainsi qu’aux systèmes d’information amenés à les traiter.
À qui s’adresse cette réglementation ?
L’instruction est applicable à toute personne physique ou morale qui, dans le cadre de ses missions, est amenée à traiter d’informations classifiées. Ainsi l’ensemble des administrations de l’État sont concernées mais également les organismes privés qui, de par leur statut (par exemple les opérateurs d’importance vitale) ou via la passation ou l’exécution d’un contrat avec une administration de l’État, sont susceptibles de prendre connaissance ou d’accéder à des informations ou supports classifiés.
Que contient cette réglementation ?
1. L’organisation de la protection du secret de la défense nationale.
2. Exigences de sécurité des systèmes d’information classifiés
L’IGI 1300 définit les exigences de sécurité des systèmes d’information amenés à traiter des informations ou supports classifiés. Ces systèmes doivent faire l’objet d’une attention particulière, notamment lorsqu’ils font l’objet d’interconnexions avec d’autres systèmes (classifiés ou non) ou qu’ils disposent de moyens permettant de traiter l’information classifiée dans un contexte de mobilité (supports amovibles, postes nomades, etc.).
Tout système d’information, préalablement à son emploi, doit faire l’objet d’une démarche d’homologation à l’issue de laquelle l’autorité d’homologation, après étude du dossier d’homologation et sur avis de la commission d’homologation, prend la décision d’homologuer ou non le système d’information au regard des risques qui pèsent sur ce système et comment ces risques sont gérés.
Par défaut et sauf contraintes opérationnelles ou techniques, le système d’information s’appuie sur des dispositifs de sécurité qui ont été agréés, garantie permettant d’apporter un niveau de confiance suffisant sur la capacité du dispositif à protéger les informations classifiées d’éventuelles compromissions.
L’IGI 1300 définit les exigences applicables à la gestion des informations et supports classifiés (y compris l’information classifiée dématérialisée) tout au long de leur cycle de vie comprenant des règles sur le marquage, l’enregistrement et l’inventaire, la diffusion et la fin de vie.
3. Changement de système de classification
Avec le décret n° 2019-1271, la France modifie son système de protection du secret de la défense nationale passant de trois à deux niveaux de classification. Ce même décret prévoit dans son article 11 les mécanismes de transition pour le marquage des informations et supports classifiés et les décisions d’habilitation des personnes physiques ou morales et d’homologation des systèmes d’informations classifiés.
En résumé, la transition s’opère comme suit :
|
Niveau de classification avant le 1er juillet 2021 |
Niveau de classification après le 1er juillet 2021 |
|
Confidentiel-Défense |
Secret |
|
Secret-Défense |
Très Secret, à l’exception du Très Secret faisant l’objet d’une classification spéciale |
|
Très Secret-Défense faisant l’objet d’une classification spéciale |
Très Secret faisant l’objet de la même classification spéciale. |
Quel est le rôle de l’ANSSI ?
Dans le cadre de l’IGI 1300, l’ANSSI, en tant qu’autorité nationale de sécurité et de défense des systèmes d’information est membre de droit de chaque commission d’homologation de système d’information classifié et ce quel que soit le niveau de classification.
De plus, l’ANSSI accompagne le SGDSN dans l’exercice de son rôle d’autorité d’homologation pour les systèmes d’information classifiés au niveau Très Secret faisant l’objet d’une classification spéciale et pour les systèmes d’information amenés à traiter des informations classifiées de l’Union européenne ou de l’OTAN et, dans sous certaines conditions, les interconnexions impliquant un système d’information classifié.
L’ANSSI est également autorité nationale TEMPEST lui donnant pour mission de vérifier les performances relatives à la protection contre les signaux compromettant au profit des organismes ne disposant pas des moyens ou des infrastructures nécessaires pour assurer cette mission.
L’ANSSI est également responsable du processus d’agrément des dispositifs de sécurité concourant à la protection des informations ou supports classifiés.
L’ANSSI est notifiée des incidents de sécurité affectant la sécurité des systèmes d’information classifiés.
Pour aller plus loin
1. Références réglementaires
|
Référence |
Lien |
|
Sanction en cas d'atteinte au secret de la défense nationale (articles 413-9 à 413-12 du Code pénal) |
|
|
Dispositions législatives et réglementaires sur la protection du secret de la défense nationale (Code de la défense) |
|
|
Décret n° 2019-1271 du 2 décembre 2019 relatif aux modalités de classification et de protection du secret de la défense nationale |
|
|
Arrêté du 9 août 2021 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale |
2. Outil de suivi de la conformité aux exigences
Afin d’accompagner les bénéficiaires dans la mise en conformité de leurs systèmes d’information amenés à traiter des informations classifiées, l’ANSSI a réalisé un outil reprenant l’ensemble des exigences en matière de sécurité des systèmes d’information qui sont définies dans l’IGI 1300 et permet un suivi de la conformité à ces exigences.
Cet outil s’adresse principalement aux personnes désignées comme :
- autorités qualifiées en sécurité des systèmes d’information (AQSSI) et, plus particulièrement, les AQSSI s’appuyant sur un système d’information amené à traiter des informations classifiées pour réaliser leurs missions;
- autorités d’homologation de systèmes d’information amenés à traiter des informations classifiées;
- officiers de sécurité des systèmes d’information (OSSI);
- responsables de la sécurité des systèmes d’information (RSSI) amenés à traiter des informations classifiées.
Cet outil peut également s’adresser aux auditeurs d’un système d’information amené à traiter des informations classifiées afin de s’assurer de la conformité dudit système d’information aux exigences de l’IGI 1300. Attention cependant, un audit de la conformité seul ne permet pas de disposer d’une vision précise du niveau de sécurité d’un système d’information classifié. Il doit être complété par des audits techniques et organisationnels qui prendront en compte l’écosystème dans lequel s’inscrit le système d’information étudié ainsi que les menaces applicables.
3. Renvoi aux autres contenus connexes du SGDSN et de l’ANSSI
|
Ressources |
Lien |
|
Mission du SGDSN relative à la protection du secret de la défense nationale. |
|
|
Instruction interministérielle n° 910/SGDSN/ANSSI relative aux articles contrôlés de la sécurité des systèmes d’information (ACSSI) |
|
|
Instruction interministérielle n° 300 relative à la protection des signaux compromettants |
|
|
Instruction interministérielle n° 2100/SGDN/SSD pour l’application en France du système de sécurité de l’Organisation du Traité de l’Atlantique Nord (OTAN) |
|
|
Instruction générale interministérielle n° 2102 sur la protection en France des informations classifiées de l’Union européenne |
|
|
Produits agréés |
4. Versions antérieures
|
Ressources |
Lien |
|
Arrêté du 13 novembre 2020 portant approbation de l’instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale |
|
|
Arrêté du 30 novembre 2011 portant approbation de l’instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale |