Directive fixant les règles de sécurité et les modalités de déclaration des systèmes d'information sensibles et des incidents de sécurité applicables aux infrastructures d'importance vitale

 

L’Administration de la défense nationale a élaboré un décret fixant le dispositif de protection des systèmes d’information sensibles des infrastructures d’importance vitale. Ledit décret a été examiné en Conseil du Gouvernement tenu le 14 janvier 2016 et a été adopté en Conseil des Ministres le 06 février 2016 et publiée au Bulletin Officiel n°6458 du 21 avril 2016.

Au sens de ce décret, sont entendus comme secteurs d’activités d’importance vitale ceux ayant trait soit à la production et la distribution de biens ou de services indispensables à la satisfaction des besoins essentiels pour la vie des populations, ou à l'exercice des prérogatives de l'Etat, ou au fonctionnement de l'économie, ou au maintien des capacités de sécurité du pays.

Les secteurs répondant à ces besoins concernent la sécurité publique, le secteur financier, l’industrie, les réseaux des transports, la production et la distribution de l’énergie et les mines, l’approvisionnement et la distribution d’eau, les télécommunications et les services postaux, l’audiovisuel et la communication, la santé, la justice et la législation.

A ces secteurs est associée la notion d’infrastructures d’importance vitale disposant de systèmes d’informations sensibles. Cette notion recouvre tous les « Installations, ouvrages et systèmes qui sont indispensables au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social, et dont le dommage ou l’indisponibilité ou la destruction aurait un impact induisant la défaillance de ces fonctions ».

Le décret confie la délimitation des infrastructures d’importance vitale, en concertation avec l’Administration de la défense nationale, à l’autorité gouvernementale ou à l’établissement public ou à la personne morale de droit public assurant la coordination du secteur d’activité d’importance vitale et propose également des modalités précises pour l’identification et le recensement des systèmes d’information sensibles qui seront soumis au dispositif de protection prévu par ce décret.

Ce décret charge, en outre, l’Autorité Gouvernementale chargée de l’Administration de la défense nationale (Direction Générale de la Sécurité des Systèmes d’Information) d’élaborer et de veiller au respect des règles et standards de sécurité à appliquer par les infrastructures d’importance vitale ainsi identifiées et arrête les mesures à prendre par les entités concernées pour la déclaration et le traitement des incidents informatiques.

A cet égard, il prévoit la mise en place, au sein desdites entités, des moyens de supervision et de détection des cyberattaques et la remontée au Centre de Veille, de Détection et de Réaction aux attaques informatiques relevant de la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI), des informations relatives aux incidents affectant la sécurité ou le fonctionnement de leurs systèmes d’information sensibles. 

Ce décret précise également les modalités de déroulement des audits des systèmes d’information sensibles des infrastructures d’importance vitale, prévoit la préparation des plans de continuité et de reprise d’activités pour neutraliser les interruptions des activités, protéger les processus métier cruciaux des effets causés par les principales défaillances des systèmes d’information ou par des sinistres et garantir une reprise de ces processus dans les meilleurs délais.

Enfin, le décret met en exergue les exigences de sécurité qui doivent être clairement formalisées et intégrées dans les dossiers de consultation et dans les plans de maintenance des systèmes d’information sensibles.

Dans le prolongement de ces dispositions, la DGSSI a élaboré cette directive fixant les règles de sécurité et les modalités de déclaration des systèmes d’information sensibles et des incidents de sécurité applicables aux infrastructures d’importance vitale.

Cette directive complète les règles contenues dans la Directive Nationale de la Sécurité des Systèmes d’Information (DNSSI) et explicite celles figurant dans le décret fixant le dispositif de protection des systèmes d’information sensibles des infrastructures d’importance vitale. Toute infrastructure d’importance vitale disposant de systèmes d’information sensible est tenue d’appliquer les règles de sécurité contenues dans la présente directive. Celles-ci seront complétées par d’autres règles de sécurité spécifiques à certains secteurs d’activité d’importance vitale.