Arrêté du 28 novembre 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d'information d'importance vitale et des incidents de sécurité relatives au sous-secteur d'activités d'importance vitale « Communications électroniques et Internet » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense

Date de signature :28/11/2016 Statut du texte :En vigueur
Date de publication :04/12/2016 Emetteur :
Consolidée le : Source :JO du 4 décembre 2016
Date d'entrée en vigueur :01/01/2017
Arrêté du 28 novembre 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d'information d'importance vitale et des incidents de sécurité relatives au sous-secteur d'activités d'importance vitale « Communications électroniques et Internet » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense

NOR: PRMD1630591A
ELI: https://www.legifrance.gouv.fr/eli/arrete/2016/11/28/PRMD1630591A/jo/texte

Publics concernés : opérateurs d'importance vitale mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense relevant du sous-secteur d'activités d'importance vitale « Communications électroniques et Internet » ; prestataires de service de confiance mentionnés dans le décret n° 2015-350 du 27 mars 2015.

Objet : règles de sécurité prévues à l'article L. 1332-6-1 du code de la défense ; modalités de déclaration des systèmes d'information d'importance vitale mentionnés à l'article R. 1332-41-2 du même code ; modalités de déclaration des incidents de sécurité mentionnés à l'article R. 1332-41-10 du même code.

Entrée en vigueur : le texte entre en vigueur le 1er janvier 2017.

Notice : l'arrêté fixe les règles de sécurité que les opérateurs d'importance vitale sont tenus de respecter pour protéger leurs systèmes d'information (annexe I), les délais dans lesquels les opérateurs sont tenus d'appliquer les règles de sécurité (annexe II), les modalités selon lesquelles les opérateurs déclarent à l'Agence nationale de la sécurité des systèmes d'information la liste de leurs systèmes d'information d'importance vitale identifiés par types de système (annexe III), ainsi que les modalités selon lesquelles les opérateurs déclarent à l'agence certains types d'incidents affectant la sécurité ou le fonctionnement de leurs systèmes d'information (annexe IV).

Références : l'arrêté est pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense. Il peut être consulté sur le site Légifrance (http://www.legifrance.gouv.fr) à l'exception de ses annexes II, III et IV qui ne sont pas publiées. Ces annexes sont notifiées aux personnes ayant besoin d'en connaître.

 

Le Premier ministre,


Arrête :

Chapitre Ier : Règles de sécurité

Article 1 


Les règles de sécurité prévues à l'article L. 1332-6-1 du code de la défense relatives au sous-secteur d'activités d'importance vitale « Communications électroniques et Internet » figurent à l'annexe I du présent arrêté.
A compter de l'entrée en vigueur du présent arrêté ou de sa date de désignation en tant qu'opérateur d'importance vitale conformément aux dispositions de l'article R. 1332-3 du code de la défense, tout opérateur d'importance vitale relevant du sous-secteur mentionné au premier alinéa applique ces règles de sécurité dans les délais qui figurent à l'annexe II.


Chapitre II : Déclaration des systèmes d'information d'importance vitale

Article 2

Dans un délai de trois mois à compter de la date d'entrée en vigueur du présent arrêté ou de sa désignation comme opérateur d'importance vitale conformément aux dispositions de l'article R. 1332-3 du code de la défense, tout opérateur relevant du sous-secteur d'activités d'importance vitale « Communications électroniques et Internet » adresse par courrier à l'Agence nationale de la sécurité des systèmes d'information la liste de systèmes d'information d'importance vitale prévue à l'article R. 1332-41-2 du code de la défense, ainsi que, pour chaque système, le formulaire de déclaration disponible sur le site internet de l'agence (www.ssi.gouv.fr).
Pour déterminer si un système d'information peut être qualifié d'importance vitale au sens des dispositions de l'article L. 1332-6-1 du code de la défense, l'opérateur d'importance vitale mène une analyse d'impacts sur ses systèmes d'information, notamment ceux relevant des types de système d'information mentionnés à l'annexe III du présent arrêté.
Lorsque, pour un type de système d'information mentionné à l'annexe III du présent arrêté, l'opérateur ne déclare aucun système d'information d'importance vitale relevant de ce type de système, il en précise les raisons.


Article 3

L'opérateur d'importance vitale communique une fois par an à l'Agence nationale de la sécurité des systèmes d'information les mises à jour de sa liste et des formulaires de déclaration.
Il déclare tout nouveau système d'information d'importance vitale préalablement à sa mise en service et tout système d'information qui satisfait aux conditions pour être qualifié d'importance vitale postérieurement à sa mise en service dès qu'il satisfait à ces conditions.
Il informe sans délai l'Agence nationale de la sécurité des systèmes d'information de tout retrait de sa liste d'un des systèmes précédemment déclarés et en précise les raisons.


Chapitre III : Déclaration des incidents de sécurité

Article 4 

En application de l'article R. 1332-41-10 du code de la défense, tout opérateur relevant du sous-secteur d'activités d'importance vitale « Communications électroniques et Internet » déclare chaque incident qui relève d'un type figurant à l'annexe IV du présent arrêté. Il adresse à cet effet à l'Agence nationale de la sécurité des systèmes d'information le formulaire de déclaration disponible sur le site internet de l'agence (www.ssi.gouv.fr) selon le moyen approprié à la sensibilité des informations déclarées.
Le formulaire est un document confidentiel susceptible de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Il est, le cas échéant, couvert par le secret de la défense nationale.


Chapitre IV : Dispositions finales

Article 5

Tout opérateur d'importance vitale relevant du sous-secteur d'activités d'importance vitale « Communications électroniques et Internet » communique à l'Agence nationale de la sécurité des systèmes d'information les coordonnées de la personne mentionnée à l'article R. 1332-41-20 du code de la défense dans un délai de trois mois à compter de l'entrée en vigueur du présent arrêté ou de sa désignation comme opérateur d'importance vitale conformément aux dispositions de l'article R. 1332-3 du code de la défense.


Article 6

Les dispositions du présent arrêté entrent en vigueur le 1er janvier 2017.


Article 7

Le directeur général de l'Agence nationale de la sécurité des systèmes d'information est chargé de l'exécution du présent arrêté qui sera publié au Journal officiel de la République française à l'exception de ses annexes II, III et IV. Ces annexes sont notifiées aux personnes ayant besoin d'en connaître par le directeur général de l'Agence nationale de la sécurité des systèmes d'information.

Fait le 28 novembre 2016.

Pour le Premier ministre et par délégation :
Le secrétaire général de la défense et de la sécurité nationale,
L. Gautier


ANNEXE I
RÈGLES DE SÉCURITÉ RELATIVES AU SOUS-SECTEUR D'ACTIVITÉS D'IMPORTANCE VITALE « COMMUNICATIONS ÉLECTRONIQUES ET INTERNET »


1. Règle relative à la politique de sécurité des systèmes d'information

L'opérateur d'importance vitale élabore, tient à jour et met en œuvre une politique de sécurité des systèmes d'information (PSSI).
La PSSI décrit l'ensemble des moyens organisationnels et techniques mis en œuvre par l'opérateur afin d'assurer la sécurité de ses systèmes d'information d'importance vitale (SIIV). En particulier, elle :

La PSSI et ses documents d'application sont approuvés formellement par la direction de l'opérateur. L'opérateur élabore au profit de sa direction, au moins annuellement, un rapport sur la mise en œuvre de la PSSI et de ses documents d'application. Ce rapport précise notamment l'état des lieux des risques, le niveau de sécurité des SIIV et les actions de sécurisation menées.
La PSSI, ses documents d'application et les rapports sur leur mise en œuvre sont tenus à la disposition de l'Agence nationale de la sécurité des systèmes d'information.


2. Règle relative à l'homologation de sécurité

L'opérateur d'importance vitale procède à l'homologation de sécurité de chaque système d'information d'importance vitale (SIIV), en mettant en œuvre la procédure d'homologation prévue par sa politique de sécurité des systèmes d'information (PSSI).
L'homologation d'un système est une décision formelle prise par l'opérateur qui atteste que les risques pesant sur la sécurité de ce système ont été identifiés et que les mesures nécessaires pour le protéger sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l'opérateur.
Dans le cadre de l'homologation, un audit de la sécurité du SIIV doit être réalisé. Cet audit vise à vérifier l'application et l'efficacité des mesures de sécurité du SIIV et notamment le respect des règles de sécurité mentionnées dans le présent arrêté. L'audit doit permettre d'évaluer le niveau de sécurité du SIIV au regard des menaces et des vulnérabilités connues. Il comporte notamment la réalisation d'un audit d'architecture, d'un audit de configuration et d'un audit organisationnel et physique.
Cet audit est réalisé dans le respect des règles fixées par le référentiel en matière d'audit de sécurité des systèmes d'information prévu à l'article 10 du décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.
L'opérateur peut réaliser lui-même l'audit ou recourir à un prestataire qualifié dans les conditions prévues au chapitre III du décret n° 2015-350 du 27 mars 2015 précité.
A l'issue de l'audit, l'opérateur ou, le cas échéant, le prestataire élabore un rapport d'audit qui expose les constatations sur les mesures appliquées et sur le respect des règles de sécurité prévues par le présent arrêté. Le rapport précise si le niveau de sécurité atteint est conforme aux objectifs de sécurité, compte tenu des menaces et des vulnérabilités connues. Il formule des recommandations pour remédier aux éventuelles non-conformités et vulnérabilités découvertes.

L'opérateur prend la décision d'homologuer un SIIV sur la base du dossier d'homologation comportant notamment :

L'homologation est valable pour une durée maximale de trois ans et est renouvelée au terme de cette période. Toutefois, la validité de l'homologation est réexaminée par l'opérateur lors de chaque événement ou évolution de nature à modifier le contexte décrit dans le dossier d'homologation.
L'opérateur tient à la disposition de l'Agence nationale de la sécurité des systèmes d'information les décisions et dossiers d'homologation, notamment les rapports d'audit. Ces documents confidentiels sont susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.
La présente règle relative à l'homologation s'applique sans préjudice des dispositions prévues par l'arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale, en matière d'homologation des systèmes d'information traitant des informations classifiées.


3. Règle relative à la cartographie

L'opérateur d'importance vitale doit être en mesure de fournir à l'Agence nationale de la sécurité des systèmes d'information, pour chaque système d'information d'importance vitale (SIIV), les éléments de cartographie suivants :


Les éléments de cartographie ainsi réunis sont des documents confidentiels susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.

Sur demande de l'Agence nationale de la sécurité des systèmes d'information, l'opérateur lui communique les éléments de cartographie mis à jour sur un support électronique, dans un format qui peut être lu par les principaux logiciels bureautiques accessibles au public.


4. Règle relative au maintien en conditions de sécurité

L'opérateur d'importance vitale élabore, tient à jour et met en œuvre une procédure de maintien en conditions de sécurité des ressources matérielles et logicielles de ses systèmes d'information d'importance vitale (SIIV), conformément à sa politique de sécurité des systèmes d'information.
Cette procédure définit les conditions permettant de maintenir le niveau de sécurité des ressources des SIIV en fonction de l'évolution des vulnérabilités et des menaces et notamment la politique d'installation de toute nouvelle version et mesure correctrice de sécurité d'une ressource et les vérifications à effectuer avant l'installation. Elle prévoit que :

L'opérateur décrit dans le dossier d'homologation du SIIV concerné ces mesures de réduction des risques et les raisons techniques ou opérationnelles ayant empêché l'installation d'une version supportée ou d'une mesure correctrice de sécurité.


5. Règle relative à la journalisation

L'opérateur d'importance vitale met en œuvre sur chaque système d'information d'importance vitale (SIIV) un système de journalisation qui enregistre les événements relatifs à l'authentification des utilisateurs, à la gestion des comptes et des droits d'accès, à l'accès aux ressources, aux modifications des règles de sécurité du SIIV ainsi qu'au fonctionnement du SIIV.

Le système de journalisation porte sur les équipements suivants lorsqu'ils génèrent les événements mentionnés au 1er alinéa :

Les événements enregistrés par le système de journalisation sont horodatés au moyen de sources de temps synchronisées. Ils sont, pour chaque SIIV, centralisés et archivés pendant une durée d'au moins six mois. Toutefois, lorsque des raisons techniques le justifient, cette durée peut être inférieure à six mois. Dans ce cas, l'opérateur précise dans le dossier d'homologation du SIIV ces raisons techniques et la durée d'archivage des événements.
Le format d'archivage des événements permet de réaliser des recherches automatisées sur ces événements.


6. Règle relative à la corrélation et l'analyse de journaux

L'opérateur d'importance vitale met en œuvre un système de corrélation et d'analyse de journaux qui exploite les événements enregistrés par le système de journalisation installé sur chacun des systèmes d'information d'importance vitale (SIIV), afin de détecter des événements susceptibles d'affecter la sécurité des SIIV.
Le système de corrélation et d'analyse de journaux est installé et exploité sur un système d'information mis en place exclusivement à des fins de détection d'événements susceptibles d'affecter la sécurité des systèmes d'information.
L'opérateur ou le prestataire mandaté à cet effet installe et exploite ce système de corrélation et d'analyse de journaux en s'appuyant sur les exigences du référentiel en matière de détection des incidents de sécurité prévu à l'article 10 du décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.


7. Règle relative à la détection


L'opérateur d'importance vitale met en œuvre, en application de l'article R. 1332-41-3 du code de la défense, un système de détection qualifié de type « sonde d'analyse de fichiers et de protocoles ».
Les sondes d'analyse de fichiers et de protocoles analysent les flux de données transitant par ces sondes afin de rechercher des événements susceptibles d'affecter la sécurité des systèmes d'information d'importance vitale (SIIV). Elles sont positionnées de manière à pouvoir analyser l'ensemble des flux échangés entre les SIIV et les systèmes d'information tiers à ceux de l'opérateur.
Les systèmes de détection qualifiés de ce type sont choisis parmi ceux figurant sur la liste prévue à l'article R. 1332-41-9 du code de la défense.
Ces systèmes de détection sont exploités selon les règles fixées par le référentiel en matière de détection des incidents de sécurité prévu à l'article 10 du décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale. Ils sont exploités par un service de l'Etat ou un prestataire qualifié à cet effet dans les conditions prévues par le décret précité.


8. Règle relative au traitement des incidents de sécurité


L'opérateur d'importance vitale élabore, tient à jour et met en œuvre une procédure de traitement des incidents affectant le fonctionnement ou la sécurité de ses systèmes d'information d'importance vitale (SIIV), conformément à sa politique de sécurité des systèmes d'information.
L'opérateur ou le prestataire mandaté à cet effet procède au traitement des incidents en s'appuyant sur les exigences du référentiel en matière de réponse aux incidents de sécurité prévu à l'article 10 du décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.
Un système d'information spécifique doit être mis en place pour traiter les incidents, notamment pour stocker les relevés techniques relatifs aux analyses des incidents. Ce système est cloisonné vis-à-vis du SIIV concerné par l'incident.
L'opérateur conserve les relevés techniques relatifs aux analyses des incidents pendant une durée d'au moins six mois. Il tient ces relevés techniques à la disposition de l'Agence nationale de la sécurité des systèmes d'information.
Les relevés techniques sont des documents confidentiels susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.


9. Règle relative au traitement des alertes


L'opérateur d'importance vitale met en place un service de permanence lui permettant de prendre connaissance, à tout moment et sans délai, d'informations transmises par l'Agence nationale de la sécurité des systèmes d'information relatives à des incidents, des vulnérabilités et des menaces. Il met en œuvre une procédure pour traiter les informations ainsi reçues et le cas échéant prendre les mesures de sécurité nécessaires à la protection de ses systèmes d'information d'importance vitale (SIIV).
L'opérateur communique à l'Agence nationale de la sécurité des systèmes d'information les coordonnées (nom du service, numéro de téléphone et adresse électronique) tenues à jour du service de permanence prévu à l'alinéa précédent.


10. Règle relative à la gestion de crises


L'opérateur d'importance vitale élabore, tient à jour et met en œuvre une procédure de gestion de crises en cas d'attaques informatiques majeures, conformément à sa politique de sécurité des systèmes d'information.
Cette procédure décrit les moyens techniques et organisationnels dont dispose l'opérateur pour mettre en œuvre les mesures décidées par le Premier ministre en cas de crises, notamment les mesures suivantes :

La procédure précise les conditions dans lesquelles ces mesures peuvent être appliquées compte tenu des contraintes notamment techniques et organisationnelles de mise en œuvre.


11. Règle relative à l'identification

L'opérateur d'importance vitale crée des comptes individuels pour les utilisateurs et pour les processus automatiques accédant aux ressources de ses systèmes d'information d'importance vitale (SIIV).
Lorsque des raisons techniques ou opérationnelles ne permettent pas de créer de comptes individuels pour les utilisateurs ou pour les processus automatiques, l'opérateur met en place des mesures permettant de réduire le risque lié à l'utilisation de comptes partagés et d'assurer la traçabilité de l'utilisation de ces comptes. Dans ce cas, l'opérateur décrit ces mesures dans le dossier d'homologation du SIIV concerné et les raisons justifiant le recours à des comptes partagés.
L'opérateur désactive sans délai les comptes qui ne sont plus nécessaires.


12. Règle relative à l'authentification

L'opérateur d'importance vitale protège les accès aux ressources de ses systèmes d'information d'importance vitale (SIIV), que ce soit par un utilisateur ou par un processus automatique, au moyen d'un mécanisme d'authentification basé sur un élément secret.
L'opérateur définit, conformément à sa politique de sécurité des systèmes d'information, les règles de gestion des éléments secrets d'authentification mis en œuvre dans ses SIIV.
Lorsque la ressource le permet techniquement, les éléments secrets d'authentification doivent pouvoir être modifiés par l'opérateur chaque fois que cela est nécessaire. Dans ce cas, l'opérateur respecte les règles suivantes :

Lorsque la ressource ne permet pas techniquement de modifier l'élément secret d'authentification, l'opérateur met en place un contrôle d'accès physique à la ressource concernée ainsi que des mesures de traçabilité des accès et de réduction du risque lié à l'utilisation d'un élément secret d'authentification fixe. L'opérateur décrit dans le dossier d'homologation du SIIV concerné ces mesures et les raisons techniques ayant empêché la modification de l'élément secret d'authentification.


13. Règle relative aux droits d'accès

L'opérateur d'importance vitale définit, conformément à sa politique de sécurité des systèmes d'information, les règles de gestion et d'attribution des droits d'accès aux ressources de ses systèmes d'information d'importance vitale (SIIV), et respecte les règles suivantes :


14. Règle relative aux comptes d'administration

L'opérateur d'importance vitale crée des comptes (appelés « comptes d'administration ») destinés aux seules personnes (appelées administrateurs) chargées d'effectuer les opérations d'administration (installation, configuration, gestion, maintenance, supervision, etc.) des ressources de ses systèmes d'information d'importance vitale (SIIV).
L'opérateur définit, conformément à sa politique de sécurité des systèmes d'information, les règles de gestion et d'attribution des comptes d'administration de ses SIIV, et respecte les règles suivantes :

 

15. Règle relative aux systèmes d'information d'administration

L'opérateur d'importance vitale applique les règles suivantes aux systèmes d'information utilisés pour effectuer l'administration de ses systèmes d'information d'importance vitale (SIIV), qui sont appelés « systèmes d'information d'administration » :


16. Règle relative au cloisonnement

L'opérateur d'importance vitale procède au cloisonnement de ses systèmes d'information d'importance vitale (SIIV) afin de limiter la propagation des attaques informatiques au sein de ses systèmes ou ses sous-systèmes. Il respecte les règles suivantes :

L'opérateur décrit dans le dossier d'homologation de chaque SIIV les mécanismes de cloisonnement qu'il met en place.


17. Règle relative au filtrage

L'opérateur d'importance vitale met en place des mécanismes de filtrage des flux de données circulant dans ses systèmes d'information d'importance vitale (SIIV) afin de bloquer la circulation des flux inutiles au fonctionnement de ses systèmes et susceptibles de faciliter des attaques informatiques. Il respecte les règles suivantes :

L'opérateur décrit dans le dossier d'homologation de chaque SIIV les mécanismes de filtrage qu'il met en place.


18. Règle relative aux accès à distance

L'opérateur d'importance vitale protège les accès à ses systèmes d'information d'importance vitale (SIIV) effectués à travers des réseaux tiers. En particulier, lorsque l'opérateur ou un prestataire qu'il a mandaté à cet effet accède à un SIIV à travers un réseau tiers à ceux de l'opérateur ou du prestataire, l'opérateur applique ou fait appliquer à son prestataire les règles suivantes :


19. Règle relative à l'installation de services et d'équipements

L'opérateur d'importance vitale respecte les règles suivantes lorsqu'il installe des services et des équipements sur ses systèmes d'information d'importance vitale (SIIV) :


20. Règle relative aux indicateurs


L'opérateur d'importance vitale évalue, pour chaque système d'information d'importance vitale (SIIV), les indicateurs suivants :

L'opérateur précise pour chaque indicateur la méthode d'évaluation employée et, le cas échéant, la marge d'incertitude de son évaluation. Lorsqu'un indicateur évolue de façon significative par rapport à l'évaluation précédente, l'opérateur en précise les raisons.
Lorsque, pour un SIIV particulier, l'opérateur estime qu'un indicateur n'est pas pertinent au regard des caractéristiques techniques du SIIV, il peut ne pas évaluer cet indicateur s'il le justifie.
Les indicateurs ainsi réunis sont des documents confidentiels susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.
L'opérateur communique, une fois par an, à l'Agence nationale de la sécurité des systèmes d'information, ces indicateurs mis à jour, selon le moyen approprié à la sensibilité des informations déclarées.


Source Légifrance