Recommandations pour les architectures des systèmes d’information sensibles ou diffusion restreinte

L’instruction interministérielle n° 901/SGDSN/ANSSI (II 901) du 28 janvier 2015 définit les objectifs et les mesures de sécurité minimales relatifs à la protection des informations sensibles, notamment celles relevant du niveau Diffusion Restreinte (DR). Le présent guide donne des recommandations pour la conception de l’architecture des systèmes d’information (SI) qui hébergent des informations sensibles ou DR. De manière générale, il apporte des conseils techniques pour la mise en pratique de l’II 901.

L’II 901 s’applique :

– aux administrations de l’État qui mettent en oeuvre des systèmes d’information sensibles ;

– aux entités publiques ou privées soumises à la réglementation relative à la protection du potentiel scientifique et technique de la nation (PPST) qui mettent en oeuvre des systèmes d’information sensibles ;

– à toute autre entité publique ou privée qui met en oeuvre des systèmes d’information Diffusion Restreinte.

Les recommandations du présent guide sont destinées en premier lieu à ces différentes entités, pour lesquelles l’II 901 s’applique pleinement. L’II 901 ayant valeur de recommandation pour toute autre entité publique ou privée qui met en oeuvre des systèmes d’informations sensibles, ces bonnes pratiques pourront être utilement déclinées sur tous les types SI sensibles (p.ex. SI hébergeant des informations protégées au titre du secret des affaires, SI hébergeant des informations couvertes par le secret professionnel, etc.).

Le présent guide a été conçu comme un outil destiné à aider une entité à mettre en oeuvre une architecture de SI conforme à l’II 901. Attention toutefois car certains champs de l’II 901 ne sont volontairement pas traités dans ce guide.

Cette version du guide n’aborde pas la problématique de protection des données sensibles ou DR lorsqu’elles sont hébergées dans un cloud.

Un fichier tableur complète ce guide. Il liste l’ensemble des recommandations du guide. Pensé lui-aussi comme un outil, ce fichier tableur a pour vocation de fournir aux personnes en charge de la mise en oeuvre et de l’homologation d’un SI sensible un moyen concret et simple de :

– distinguer les mesures de sécurité réglementairement imposées de celles qui relèvent des bonnes pratiques ;

– justifier des écarts si certaines mesures ne sont pas retenues ou doivent être adaptées au contexte de l’entité ;

– évaluer le niveau de mise en oeuvre réel des exigences réglementaires retenues.

Téléchargez le guide
https://www.ssi.gouv.fr/uploads/2020/09/anssi-guide-recommandations_architectures_systemes_information_sensibles_ou_diffusion_restreinte-v1.0.pdf

Virginie Gastine Menou
RISQUES ET VOUS
http://www.risquesetvous.fr/
https://www.linkedin.com/company/risques-et-vous

Partagez l’article sur les réseaux !

Articles récents :

fr_FRFrançais
fr_FRFrançais en_USEnglish es_ESEspañol