Instruction interministérielle relative aux articles contrôlés de la sécurité des systèmes d’information (ACSSI)


Les articles contrôlés de la sécurité des systèmes d'information (ACSSI) sont des dispositifs de sécurité mettant en œuvre des logiques cryptographiques qui sont utilisés afin de protéger des informations.

Référence

Instruction interministérielle n° 910/SGDSN/ANSSI du 22 octobre 2013 relative aux articles contrôlés de la sécurité des systèmes d’information (ACSSI).

 

Contexte

Selon l’IGI 1300, « certains moyens, tels que les dispositifs de sécurité ou leurs composants, et certaines informations relatives à ces moyens (spécifications algorithmiques, documents de conception, clés de chiffrement, rapports d’évaluation, etc.) peuvent nécessiter la mise en œuvre d’une gestion spécifique visant à assurer leur traçabilité tout au long de leur cycle de vie ainsi que la connaissance de la version logicielle et matérielle. Il s’agit des moyens et des informations, qu’ils soient eux-mêmes classifiés ou non, qu’il est essentiel de pouvoir localiser à tout moment et en particulier en cas de compromission suspectée ou avérée. Ces moyens et informations sont appelés “articles contrôlés de la sécurité des systèmes d’information” (ACSSI) ».
Les ACSSI sont donc des dispositifs de sécurité mettant en œuvre des logiques cryptographiques qui sont utilisés afin de protéger des informations.

 

Historique

La multiplication de ces nouveaux types d’ACSSI a rendu nécessaire une refonte de la réglementation de 1994 afin d’assouplir dans certains cas les règles de gestion, de manipulation, de stockage, de maintenance et de transport. La nouvelle réglementation conserve cependant la possibilité de soumettre certains ACSSI aux mêmes règles que celles de 1994 lorsque la situation le justifie. Le principal aménagement porte sur la granularité de la gestion (traçabilité centrale ou locale) en fonction de la sensibilité de l’ACSSI.

 

Champ d’application et destinataires

L’instruction s’applique à toute personne physique ou morale détenant ou manipulant des ACSSI.

Contenu

La présente instruction interministérielle a pour objet de préciser, en complément de l’Instruction générale interministérielle 1300 sur la protection du secret de la défense nationale, les exigences de gestion et de mise en œuvre des « articles contrôlés de la sécurité des systèmes d’information » (ACSSI).