Diffusion Restreinte, qu’est-ce que c’est ?

"Diffusion Restreinte"- la mention de protection pour les informations sensibles non-classifiées

C’est dans un contexte de dématérialisation et d’échange de documents accru entre acteurs privés et publics, partenaires français ou étrangers, que l’Instruction générale interministérielle n° 1300 [1] sur la protection du secret de la défense nationale fixe le nouveau schéma de classification des informations gouvernementales et en définit les règles de protection et de traitement. Ce texte identifie deux catégories d’informations non-publiques :

• les informations classifiées qui font l’objet d’une protection pénale ;
• les informations protégées, dont relève le Diffusion Restreinte et qui ne bénéficient pas de protection juridique.

La mention « Diffusion Restreinte » vise à apporter une protection aux informations non-publiques qui ne sont pas couvertes par la classification de défense et de sécurité nationale. Les informations protégées par cette mention sont généralement celles dont l’accès,  la diffusion non-autorisée ou le détournement :

• porterait atteinte à la sécurité publique, au renom des institutions et à la vie privée de ses représentants.
• est susceptible de concourir à l’augmentation des risques terroriste, de prolifération des technologies d’armes conventionnelles ou de destruction massive déterminés par le dispositif de Protection du Potentiel Scientifique et technique de la Nation (PPST). 
• nuirait aux stratégies politiques, militaires, diplomatiques, scientifiques, économiques ou industrielles de l’Etat français.

La mention « Diffusion Restreinte » a pour principal objectif de rappeler à l’utilisateur son devoir de discrétion et les sanctions disciplinaires ou administratives auxquels il s’expose en cas de manquement.

La France n’est pas le seul pays à se munir d’une politique de classification pour protéger ses informations sensibles. Le DR trouve des équivalents dans les politiques de sécurité des Informations de l’Union Européenne : l’EU restricted, et de l’OTAN : le NATO restricted. Les équivalents ont pour objectif de protéger les intérêts et les informations relatives aux stratégies politique, militaire, diplomatique, scientifique, économique ou industrielle de ces organisations internationales contre le risque de divulgation ou d’accès non-autorisé. Enfin, il existe en complément des mentions de protection additionnelles destinées à exclure l’accès aux personnes et organisations de nationalité étrangère, même si ces personnes ou organisations sont habilitées. C’est l’objectif de la mention « Spécial France » ou « Spécial France and [countries] eyes only » dans le cadre d’un programme multinational.

Quel cadre réglementaire pour les DSI & RSSI devant garantir la sécurité d’informations Diffusion Restreinte ?

Les organismes qui traitent des Informations DR, ont l’obligation de se conformer aux exigences de l'instruction interministérielle n°901/SGDSN/ANSSI (II 901) - relative aux SI sensibles ou DR, et qui en définit les mesures et règles de sécurité pour la mise en place d’un système d’information homologué « Diffusion Restreinte ».

Les exigences de l’II 901 s’appliquent donc :

• aux administrations de l’Etat et aux entités publiques ou privées qui traitent des Informations Sensibles. 
• aux organismes, soumis au dispositif de Protection du Potentiel scientifique et technique de la nation, qui maitrisent des savoirs et savoirs faire dont le détournement à des fins terroristes ou de proliférations d’armes de destruction massive ou de leurs vecteurs est possible. 

Ces exigences structurent la protection des informations DR traitées par un organisme et lui permet ainsi de répondre aux besoins de continuité d’activité, de protection de sa réputation, de la prévention de la compromission des informations et participent à la sécurité des personnes et des biens de l’organisation.

Ces mesures s’appuient également sur les normes techniques existantes et sur les recommandations de l’Agence nationale de la sécurité des systèmes d'information (ANSSI). Ainsi l’ANSSI a développé le guide «  Recommandations pour les architectures des systèmes d’information sensibles ou Diffusion Restreinte »  pour mettre en pratique les mesures de l’II 901 dans la conception de l'architecture des systèmes d'information (SI) qui hébergent des informations DR. La préoccupation première de ce guide est de donner des conseils techniques pour l’architecture des SI sensibles et DR. Certains aspects techniques ne sont pas traités dans le guide comme la sécurité physique et environnementale, la sécurité liée aux développements informatiques ou encore la téléphonie sur IP, le système d’information de contrôle d’accès [2]… Il est donc nécessaire pour les RSSI et DSI d’appliquer ces mesures à l’état de l’art ou conformes aux bonnes pratiques.

Lors de la mise en place d'un Système d'Information DR, les entités se doivent de mettre en place une procédure d’homologation de sécurité. Cette procédure consiste à identifier le périmètre du système d’information qui traite l’information « Diffusion Restreinte » et les composants nécessaires à son exploitation et à sa protection (filtrage, détection, alerting, sauvegarde…), puis d’identifier et traiter les risques qui pèsent sur ces éléments. L’homologation intègre également une démarche de mise en conformité aux exigences règlementaires qui encadrent les systèmes « Diffusion Restreinte ». La somme de cette gestion des risques et de la conformité aboutit à une décision d’homologation prononcée par le représentant de l’organisme qui exploite ce système. Elle consacre l’acceptation des risques au plus haut niveau de l’organisme. L’architecture du SI tout comme les interconnexions se doivent d’être homologuées et réévaluées périodiquement « dans une démarche d’amélioration continue et d’adaptation permanente à l’évolution de la menace ».L’II 901 précise que les homologations relatives aux interconnexions de SI DR doivent faire l’objet d’une homologation distincte.

Comment garantir la sécurité et l’homologation de son SI DR ?

Afin de protéger et d’homologuer son SI, voici quelques prérequis à respecter :

• Faire appel à des produits et prestataires de service de confiance disposant d'un visa de sécurité ANSSI.
• Chiffrer ses informations de bout en bout.
• Cloisonner les informations au sein du SI de manière physique (équipements dédiés) ou logique (VPN, VLAN…).
• Marquer les informations ainsi les utilisateurs, administrateurs, exploitants… sont sensibilisés sur le niveau de protection des informations manipulées. Pour les documents bureautiques, il est nécessaire d’insérer le timbre DIFFUSION RESTREINTE.

• Activer une authentification forte initiale et secondaire.
• Gérer avec rigueur l'affectation des droits.
• Se protéger des codes malveillants sur les serveurs applicatifs, sur les postes de travail et sur les moyens permettant l’interconnexion.
• Limiter le nombre de périphériques et de supports amovibles.

Aujourd’hui, les organismes publics comme privés, ont des besoins accrus en mobilité, travail collaboratif et partage d’informations sensibles, le tout de manière sécurisée. Pour accéder et partager ces informations au statut particulier avec des partenaires extérieurs, il faut donc disposer de solutions capables d’offrir des garanties fortes en matière de sécurité.

Sources :

[1] : INSTRUCTION GÉNÉRALE INTERMINISTÉRIELLE SUR LA PROTECTION DU SECRET DE LA DÉFENSE NATIONALE -  http://www.sgdsn.gouv.fr/uploads/2016/10/igi-1300-20210809.pdf

[2] : INSTRUCTION INTERMINISTÉRIELLE RELATIVE À LA PROTECTION DES SYSTÈMES D'INFORMATION SENSIBLES  -  https://www.legifrance.gouv.fr/circulaire/id/39217

Cet article vous a plu ? N'hésitez pas à le partager