Référentiel fixant les modalités régissant la classification des systèmes d'information

La Direction Générale de la Sécurité des Systèmes d’Information, a été chargée en vertu des dispositions de l’article 4 du décret n°2-15-712 fixant le dispositif de protection des systèmes d’information sensibles des infrastructures d’importance vitale, de définir les modalités régissant la classification des systèmes d’information.

Dans ce cadre, il est à rappeler que la Directive Nationale de la Sécurité des Systèmes d’Information (DNSSI), adoptée lors de la session du 21-01-2014 du Comité Stratégique de la Sécurité des Systèmes d’Information et entérinée par la Circulaire du Chef du Gouvernement N° 3/2014 du 10 mars 2014 pour sa mise en oeuvre, a défini trois classes de sensibilité en fonction de l’évaluation de l’impact d’un éventuel incident de sécurité compromettant la confidentialité, l’intégrité, ou la disponibilité du système d’information nécessaire à un organisme pour accomplir ses missions.

Est désigné dans la suite de ce document comme organisme toute administration ou établissement et entreprise publics ou entité qui dispose d’un agrément ou d’une licence de l’Etat pour exercer une activité réglementée.

Le présent référentiel reprend les définitions des classes de sensibilité arrêtées par la DNSSI et définit les échelles d’impact engendré lors d’un incident de sécurité. Il propose également une méthode de classification du système d’information d’un organisme en fonction de l’évaluation de l’impact engendré lors d’une perte de la disponibilité, de l’intégrité ou de la confidentialité de ce système d’information.