Recommandations pour les architectures des systèmes d'information sensibles ou diffusion restreinte

Christophe BARDY - GRACES community

•

5/10/2020

•

Propulsé par Virginie

Cet article est réservé aux membres GRACES.community

L'instruction interministérielle n° 901/SGDSN/ANSSI (II 901) du 28 janvier 2015 définit les objectifs et les mesures de sécurité minimales relatifs à la protection des informations sensibles, notamment celles relevant du niveau Diffusion Restreinte (DR). Le présent guide donne des recommandations pour la conception de l'architecture des systèmes d'information (SI) qui hébergent des informations sensibles ou DR. De manière générale, il apporte des conseils techniques pour la mise en pratique de l'II 901.

L’II 901 s’applique :

- aux administrations de l’État qui mettent en oeuvre des systèmes d’information sensibles ;

- aux entités publiques ou privées soumises à la réglementation relative à la protection du potentiel scientifique et technique de la nation (PPST) qui mettent en oeuvre des systèmes d’information sensibles ;

- à toute autre entité publique ou privée qui met en oeuvre des systèmes d’information Diffusion Restreinte.

Les recommandations du présent guide sont destinées en premier lieu à ces différentes entités, pour lesquelles l’II 901 s’applique pleinement. L’II 901 ayant valeur de recommandation pour toute autre entité publique ou privée qui met en oeuvre des systèmes d’informations sensibles, ces bonnes pratiques pourront être utilement déclinées sur tous les types SI sensibles (p.ex. SI hébergeant des informations protégées au titre du secret des affaires, SI hébergeant des informations couvertes par le secret professionnel, etc.).

Le présent guide a été conçu comme un outil destiné à aider une entité à mettre en oeuvre une architecture de SI conforme à l’II 901. Attention toutefois car certains champs de l’II 901 ne sont volontairement pas traités dans ce guide.

Cette version du guide n’aborde pas la problématique de protection des données sensibles ou DR lorsqu’elles sont hébergées dans un cloud.

Un fichier tableur complète ce guide. Il liste l’ensemble des recommandations du guide. Pensé lui-aussi comme un outil, ce fichier tableur a pour vocation de fournir aux personnes en charge de la mise en oeuvre et de l’homologation d’un SI sensible un moyen concret et simple de :

- distinguer les mesures de sécurité réglementairement imposées de celles qui relèvent des bonnes pratiques ;

- justifier des écarts si certaines mesures ne sont pas retenues ou doivent être adaptées au contexte de l’entité ;

- évaluer le niveau de mise en oeuvre réel des exigences réglementaires retenues.

Téléchargez le guide

Virginie Gastine Menou

RISQUES ET VOUS

Partager sur

Expertises

Données personnelles

Secteurs d’activité

Assurance / Mutuelles / Courtiers

Cabinet d'avocats

Banque Corporate / CIB

Banque de détail

Banque Privée / CIF / Wealth management

Santé / Médical / Pharma

Société de gestion

Société de gestion immobilière

Private Equity & Debt / Infrastructure

Industrie et Agro

Distribution / e-commerce / Luxe

Secteur Public / Para-public

Blockchain / Crypto

Envie de lire la suite de l’article ?

Il vous reste 50% de l’article à lire
Inscrivez-vous sur GRACES.community pour profitez de toute l’actualité compliance
directement depuis votre espace Membre !

M'inscrire