II n°901/SGDSN/ANSSI

L'instruction interministérielle n° 901 vise à limiter la divulgation d'informations sensibles dématérialisées traitées ou échangées via des systèmes d'information

Publié le 18 Août 2022 Mis à jour le 13 Novembre 2023

L’instruction interministérielle no 901/SGDSN/ANSSI (II 901) du 28 janvier 2015 définit les exigences organisationnelles et techniques applicables aux systèmes d’information amenés à traiter des informations sensibles, dont celles portant la mention de protection Diffusion Restreinte.

L'II 901 s'applique également aux systèmes d'information amenés à traiter d'informations classifiées de l'OTAN de niveau NATO Restricted / Restreint OTAN.

L'II 901 s'applique également aux systèmes d'information amenés à traiter d'informations classifiées de l'UE de niveau EU Restricted / Restreint UE.

À qui s’adresse cette réglementation ?

L’II 901 est applicable aux administrations de l’État mettant en œuvre des systèmes d'information sensibles ainsi qu’à toute personne morale mettant en œuvre un système d’information Diffusion Restreinte.

L’II 901 s’applique également pour les personnes morales soumises au dispositif de protection du potentiel scientifique et technique de la Nation et mettant en œuvre, dans le cadre de leurs activités, des systèmes d’information sensibles.

Que contient cette réglementation ?

L’II 901 ne concerne pas les systèmes traitant des informations couvertes par le secret de la défense nationale.

L’II 901 définit un système d’information sensible comme traitant d'informations dont la divulgation à des personnes non autorisées, l'altération ou l'indisponibilité sont de nature à porter atteinte à la réalisation des objectifs des entités qui le mettent en œuvre.

Comme un certain nombre d’autres réglementations, l’II 901 est centrée autour de l’approche par les risques et des démarches d’homologation et d’amélioration continue. La combinaison de ces concepts permet à l’organisation de sécuriser son système d’information au bon niveau compte-tenu des enjeux qu’il porte et de s’assurer que ce niveau est maintenu dans le temps.

En plus de ces concepts, l’II 901 définit un socle de sécurité pour les systèmes d’information sensibles ou Diffusion Restreinte, comme la nécessité de disposer d’une politique de sécurité des systèmes d’information (PSSI).

Pour les informations portant la mention de protection Diffusion Restreinte, l’II 901 définit des exigences en matière de chiffrement, en particulier lorsque ces informations sont amenées à être transmises en dehors du système d’information, via le recours à des produits agréés. Des exigences en matière d’architecture sont également définies pour les systèmes d’information amenés à traiter ce type d’information.

Quel est le rôle de l’ANSSI ?

Au titre de l’II 901, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est responsable de l’agrément des produits et services participant à la protection des systèmes d’information et des informations qu’ils sont amenés à traiter.

De plus l’ANSSI est notifiée en cas d’incident de sécurité affectant ces systèmes d’information et peut, le cas échéant, porter assistance.

Pour aller plus loin

1. Référence réglementaire

Référence

Lien

Instruction interministérielle no 901/SGDSN/ANSSI du 28 janvier 2015 relative à la protection des systèmes d’information sensibles

legifrance.gouv.fr

2. Renvoi aux autres contenus connexes de l’Agence

Ressources

Lien

Dispositif de protection du potentiel scientifique et technique de la Nation

Page dédiée à la PPST

 

Sur le même sujet :