Directive Nationale de la Sécurité des Systèmes d'Information

 

Parallèlement au développement des technologies du numérique, on assiste aujourd’hui à la montée en puissance des vulnérabilités des systèmes d’information à cause de la multiplication et la diversification des activités illicites dans le cyberespace et des attaques informatiques qui ont perturbé à maintes reprises le fonctionnement des systèmes d’information et de communication de plusieurs pays.

Face à ces risques et menaces et à l’instar de ce qui se passe dans les pays avancés dans le domaine de la sécurité des systèmes d’information, le Comité Stratégique de la Sécurité des Systèmes d’Information (CSSSI) institué par le décret n° 2-11-508 du 21 septembre 2011 a adopté en date du 05 décembre 2012 la stratégie nationale de la cyber sécurité.

Cette stratégie a pour objectifs de doter nos systèmes d’information d’une capacité de défense et de résilience, à même de créer les conditions d’un environnement de confiance et de sécurité propice au développement de la société de l’information.

Afin de rendre opérationnelles les orientations et directives inscrites dans la stratégie susmentionnée, le Comité Stratégique a approuvé lors de la même réunion le plan d’actions 2013 de la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI).

Dans ce plan d’actions figure un ensemble de programmes déclinés en actions. Une des principales actions prise consiste à élaborer et mettre en œuvre une Directive Nationale de la Sécurité des Systèmes d’Information (DNSSI) avec pour objectifs d'élever et d’homogénéiser le niveau de protection et le niveau de maturité de la sécurité de l'ensemble des systèmes d'information des administrations et organismes publics ainsi que des infrastructures d’importance vitale.

La DNSSI décrit les mesures de sécurité organisationnelles et techniques qui doivent être appliquées par les administrations et organismes publics ainsi que les infrastructures d’importance vitale.

Pour arrêter les règles de la DNSSI, la DGSSI s’est inspirée de la norme marocaine NM ISO/CEI27002:2009 et s’est basée sur les résultats de l’enquête menée au mois de juillet 2013 auprès d’un échantillon représentatif d’administrations et organismes publics et d’opérateurs d’importance vitale.

Cette directive, appelée à évoluer et à être complétée par des dispositifs d’applications, constitue aujourd’hui la première référence nationale qui fixe les objectifs et les règles de SSI.

Ce socle de règles minimales peut être enrichi pour certains usages. Les mesures complémentaires nécessaires sont définies par les autorités concernées et partagées par la suite avec la DGSSI.

Pour la mise en œuvre de cette directive, chaque entité concernée définit un plan d’actions, élabore les mesures organisationnelles et techniques nécessaires et assure le suivi permanent.

En outre, chaque entité fait remonter au Centre de veille, de détection et de réponse aux attaques informatiques (maCERT) relevant de la DGSSI, les incidents significatifs constatés ainsi que le descriptif des dispositions mises en œuvre pour les résoudre.

Le suivi de la mise en œuvre de la DNSSI est sanctionné par l’élaboration d’un bilan annuel mesurant le degré de maturité atteint par l’entité concernée. Ce bilan est transmis à la DGSSI, qui consolidera une synthèse servant à la prise de décision du CSSSI, notamment pour arrêter le périmètre des audits à effectuer par la DGSSI.

Enfin, et dans le cadre des opérations de sensibilisation à la DNSSI, la DGSSI organisera un séminaire au profit des responsables de sa mise en œuvre au niveau des différentes entités. Cette sensibilisation prendra également la forme de contacts permanents avec lesdits responsables.