Déclaration des Systèmes d'Information Sensibles des Infrastructures d'Importance Vitale

La loi 05-20 relative à la cybersécurité dispose notamment dans son article 17, que le responsable de chaque infrastructure d'importance vitale (IIV) établit la liste de ses systèmes d'information sensibles et la transmet à l'autorité nationale.

Le décret n°2-21-406 du 04 Hija 1442 (15 juillet 2021) pour l'application de la loi n° 05-20 relative à la cybersécurité, stipule dans ses articles 10 et 11, que chaque entité et infrastructure d'importance vitale classifie ses systèmes d'information en se basant sur une analyse des impacts des incidents susceptibles de porter atteinte à la confidentialité, à la disponibilité ou à l'intégrité de ses actifs informationnels. Le niveau d'impact des incidents précités doit refléter l'importance des conséquences pouvant se traduire par l'incapacité de l'entité ou de l'IIV à :

  • - Accomplir ses missions ;
  • - Préserver la vie, la santé ou le bien être des personnes ;
  • - Se conformer aux lois, aux règlements et aux obligations contractuelles ;
  • - Préserver son image de marque et celle de l'Etat ;
  • - Maintenir et renforcer la confiance des citoyens et des partenaires à l'égard des services offerts, ou par la capacité de ladite IIV à affecter le fonctionnement d'entités tierces, tributaires de ses services.

Cette analyse se fait selon l'échelle de l'analyse des impacts fixée dans le décret précité.
Selon l'article 12 du décret susvisé, sont réputés systèmes d'information sensibles, les systèmes d'information appartenant aux « CLASSE A » ou « CLASSE B ».
Dès lors que la liste des systèmes d'informations sensible est établie, le responsable de l'entité ou de l'IIV doit compléter le formulaire ci-joint pour chaque SIS et le transmettre par voie sécurisée à la DGSSI.

Il sied de rappeler que la liste des infrastructures d'importance vitale, la liste des systèmes d'information sensibles ainsi que le formulaire de déclaration sont tenus secrets.
En outre, et conformément au décret précité, chaque entité ou infrastructure d'importance vitale procède à la révision de la classification de ses systèmes d'information au moins une fois tous les trois (03) ans et à chaque fois que nécessaire.