II n° 300/SGDSN/ANSSI

L'instruction interministérielle n° 300 vise à empêcher la compromission d'informations classifiées par la captation de signaux parasites compromettants.

Publié le 18 Août 2022 Mis à jour le 13 Novembre 2023

Le chapitre 6.4 de l'instruction générale interministérielle n° 1300/SGDSN/PSE/PSD du 9 août 2021 (IGI 1300) sur la protection du secret de la défense nationale impose que les locaux hébergeant des systèmes d’information classifiés répondent aux exigences en matière de sécurité physique, mais aussi en matière de protection contre les signaux parasites compromettants.

Ces signaux sont susceptibles de compromettre la confidentialité des informations traitées par un système d’information. Ils peuvent se propager par rayonnement électrique dans l’air ou par conduction sur les conducteurs métalliques.

L’instruction interministérielle n° 300 expose les précautions à prendre pour s’en protéger. Des mesures plus détaillées sont présentées dans les Directives n° 485 et 495.

La menace liée à l’interception et à l’exploitation des signaux compromettants est toujours présente et ne doit pas être minimisée, malgré l’évolution des matériels. Sans surestimer la réalité de cette menace, il est en effet dangereux, pour la protection des informations traitées, de la sous-estimer ou de l’écarter.

 

 

L’info en + :

Le risque lié aux signaux parasites compromettants est également appelé menace TEMPEST.

Ce nom de code est apparu dans les années 1960 aux États-Unis.

Que sont les signaux compromettants (SPC) ?

Les signaux intentionnels compromettants correspondent à des émissions radiofréquences volontaires (Wi-Fi, Bluetooth, infrarouge, …) et peu ou pas protégées. Elles sont donc maîtrisées et il est assez simple de s’en protéger, en utilisant des moyens de chiffrement agréés ou en bannissant les équipements sans fil des zones où sont traitées des informations classifiées de défense.

Que sont les signaux compromettants (SPC) ?

Les signaux parasites compromettants, quant à eux, sont plus difficilement contrôlables. En effet, toute carte électronique en fonctionnement génère des parasites électromagnétiques autour d’elle. Les normes CEM (Compatibilité Électromagnétique) visent à s’assurer que leur puissance est suffisamment faible pour ne pas perturber le fonctionnement des autres équipements.

Dans certains cas, ces signaux parasites peuvent être liés à l’information traitée sur la carte électronique. Leur interception peut alors permettre de reconstituer l’information et compromettre sa confidentialité.

Par exemple, si un écran génère des parasites liés au contenu affiché qui peuvent être captés depuis l’extérieur de la zone contrôlée, leur récupération et leur analyse peut permettre de reconstruire le contenu affiché.

A qui s’adresse cette réglementation ?

Cette réglementation est applicable dans toutes les administrations centrales, tous les services déconcentrés de l’État et établissements publics nationaux placés sous l’autorité d’un ministre, aux organismes d’importance vitale (OIV), ainsi qu’à toute entité, publique ou privé détenant des informations ou supports relevant du secret de la défense nationale, y compris dans le cadre de la passation et de l’exécution d’un contrat.

Pour les systèmes d’information traitant d’informations classifiées relevant des réglementations OTAN et UE, il convient également de respecter des règles complémentaires spécifiques, car l’application de la réglementation nationale est nécessaire mais non suffisante.

Quelles sont ses principales dispositions ?

L’Instruction interministérielle n°300/SGDSN/ANSSI du 23 juin 2014 fixe les mesures de sécurité à mettre en œuvre pour empêcher la compromission de l’information par l’émission de signaux parasites compromettants et par l’utilisation des périphériques et technologies de communication sans fil. Elle décrit la démarche de sécurisation à appliquer afin de protéger les informations traitées contre la menace TEMPEST, aussi bien en rayonnement électrique qu’en conduction.

Pour cela, elle :

  • décrit la menace ;
  • indique qui est responsable de l’application de la réglementation ;
  • définit qui sont les services compétents pour l’application de la réglementation ;
  • explique la démarche de sécurisation ;
  • liste les textes de référence ;
  • propose un recueil de fiches techniques dédiées aux informations sensibles.

Ainsi, elle présente la démarche de sécurisation qui est basée sur quatre types de protection :

Protection contre les signaux compromettants

L’application de l’instruction interministérielle n° 300/SGDSN/ANSSI est précisée par les deux directives suivantes :

  • Directive d’installation des sites et systèmes d’information pour la protection contre les signaux parasites compromettants n° 485/ANSSI/DR du 20 novembre 2013 (DIR 485). Cette directive définit les règles techniques de sécurité, applicables à l’installation des matériels ou systèmes d’information traitant des informations classifiées de défense. Elle est applicable par tous les départements interministériels et les établissements publics placés sous l’autorité d’un ministre.
  • Directive de zonage TEMPEST n° 495/ANSSI/DR du 20 novembre 2013 (DIR 495). Cette directive présente le concept de zonage TEMPEST, définit sa mise en œuvre et précise le processus de surveillance et de maintenance. Ce document s’applique aux locaux abritant des systèmes d’information qui traitent des informations faisant l’objet d’une classification Secret défense ou Confidentiel défense.

Les directives n° 485 et n° 495 ne sont pas publiques. Elles sont accessibles sur demande aux personnes concernées par leur mise en œuvre.

Quel est le rôle de l'ANSSI ?

L'ANSSI assure la mission d'autorité nationale TEMPEST. A ce titre elle fixe les règles applicables en la matière et veille au respect et à l’application de la réglementation associée.

Elle tient à jour le Répertoire des matériels évalués au plan de la protection contre l’émission de signaux parasites compromettants n°490/ANSSI/DR du 13 mars 2014. Ce répertoire n’est pas public, et est accessible sur demande aux personnes concernées par la mise en œuvre de la réglementation.

Point de contact

Pour plus d’informations, merci de vous adresser directement à tempest@ssi.gouv.fr.

Si vous êtes en charge de la sécurité des systèmes d’information de votre entité, vous pouvez solliciter l’assistance de l’équipe en charge des signaux compromettants de l’ANSSI en vous adressant au coordinateur sectoriel ou territorial dont vous dépendez. Ces coordinateurs pourront vous transmettre les Directives n° 485 et n° 495 si vous y êtes éligibles. 

Pour aller plus loin

PDF
INSTRUCTION INTERMINISTERIELLE N° 300
Références Liens
Instruction générale interministérielle n° 1300/SGDSN/PSE/PSD voir page dédiée à l'IGI 1300
Instruction interministérielle n° 2100/SGDN/SSD (OTAN) voir page dédiée à l'II 2100
Instruction générale interministérielle n° 2102/SGDSN/PSE/PSD (U.E.) voir page dédiée à l'IGI 2102
Sur le même sujet :
Réglementation