L’ Instruction Générale Interministérielle n°1300 (IGI1300), entrée en vigueur le 1er juillet 2021, a pour objectif de renforcer la protection du secret de la défense nationale. Elle clarifie les règles relatives à la gestion des informations et supports classifiés (ISC), qui revêtent une importance stratégique pour la sécurité nationale. Cette IGI définit les exigences de sécurité relatives au traitement de ces informations classifiées, afin de préserver les intérêts fondamentaux de la Nation.
L’IGI 1300 est applicable aux entités publiques mais également aux entreprises privées traitant des données classifiées, en particulier dans le cadre du partenariat public/privé. Elle vise notamment à garantir que les systèmes d’informations utilisés pour traiter ces données sensibles respectent des normes strictes en matière de sécurité, tout en encadrant les pratiques liées à l’habilitation des personnes ayant accès à ces informations.
I/ Les acteurs et le niveau de classification des informations : Diffusion restreinte, Spécial France...
Quels sont les niveaux de confidentialité ? Qui est habilité très secret ..?
Les acteurs :
L’IGI1300 implique plusieurs acteurs essentiels comme le Secrétariat général de la défense et de la sécurité nationale (SGDSN), chargé de la coordination générale, ainsi que plusieurs services de renseignement. Ces services assurent la protection du secret de la défense en veillant à la sécurité des informations sensibles. Les ministères, organismes publics et entreprises privées ayant des contrats avec l’État doivent également mettre en place des mesures de sécurité adaptées. Tous ces acteurs collaborent pour garantir la confidentialité et l’intégrité des données classifiées.
La classification :
L’IGI 1300 introduit deux niveaux de classification des informations en fonction de leur degré de sensibilité, l’objectif est de « Mieux classifier pour mieux protéger » . Ces niveaux sont essentiels pour déterminer les mesures de protection à mettre en place :
· Secret : protège les ISC dont la divulgation est de nature à porter atteinte à la défense et la sécurité nationale.
· Très secret : couvre un risque aux conséquences exceptionnellement graves.
Cette classification peut s’appliquer à divers domaines, tels que militaire, diplomatique, scientifique, industriel, etc. Ainsi, elle ne se limite pas uniquement au secteur de la défense. Selon la classification des informations, les personnes disposant du même niveau d’habilitation pourront y accéder.
En plus des deux niveaux de classification, il existe également deux autres mentions qui peuvent être apposées sur une information :
· Spécial France : elle empêche la transmission de l’information concernée à toute personne étrangère, peu importe son degré de classification.
· Diffusion restreinte : bien qu’il ne s’agisse pas d’une classification, il s’agit d’une mention de sensibilité particulière. L’objectif est de sensibiliser l’utilisateur de l’information au caractère sensible de celle-ci.
Les classifications s’appliquent non seulement aux documents physiques, mais également aux informations stockées sur des supports électroniques. L’IGI 1300 impose des normes de sécurité strictes pour la gestion de ces données, en particulier pour les informations classifiées à des niveaux « Secret » et « Très Secret », afin de prévenir tout risque de divulgation accidentelle ou malveillante. Ainsi, les SI contenant des informations classifiées devront être soumis à une homologation.
II/ L’homologation du Système d’Information (SI) et l'habilitation
L’homologation des SI traitant des données classifiées est une exigence clef de l’IGI1300. Cette démarche permet de garantir que les risques liés à la sécurité des informations classifiées ont été identifiées, évalués et traités de manière appropriée. Il s’agit d’une étape cruciale pour assurer que les systèmes d’informations sont en mesure de protéger les données classifiées qu’ils contiennent.
La démarche d’homologation est un processus rigoureux au cours duquel l’autorité compétente évalue les mesures de sécurité mises en place par l’entité concernée. L’entité soumise à l’homologation doit démontrer qu’elle respecte une série de critères définis par l’IGI 1300 pour garantir la sécurité de ses systèmes d’information. Ces mesures de sécurité à appliquer se déclinent en trois catégories principales : organisationnelles, physiques et logiques.
À titre d’exemple, les entités doivent mettre en place des contrôles d’accès aux informations classifiées afin de s’assurer que seules les personnes habilitées et ayant besoin d’en connaitre peuvent consulter ces informations classifiées. Elles doivent également déployer des systèmes de traçabilité permettant de suivre l’historique des actions réalisées sur les données classifiées. De plus, des plans de continuité et de restauration des systèmes et données en cas d’incident ou de crise majeure doivent être prévus. Ces exemples illustrent certains des critères à respecter, mais l’IGI 1300 contient une liste beaucoup plus détaillée des mesures spécifiques à mettre en place pour assurer une protection optimale des informations classifiées.
L’autorité d’homologation, après avoir examiné les mesures prises par l’entité et après avoir reçu l’avis de la commission d’homologation, décide si le SI peut être homologué en l’état.
III/ Les enjeux de conformité pour les entreprises privées
Les entreprises privées, en particulier celles opérant dans les secteurs sensibles, doivent prendre conscience des enjeux liés à la conformité avec l’IGI1300. Cela implique non seulement une gestion stricte des données classifiées, mais aussi l‘intégration de pratiques de cybersécurité robustes, garantissant la protection des informations contre les menaces actuelles.
Les entreprises traitant des données classifiées « secret » ou « très secret » s’exposent à de lourdes conséquences en cas de non-respect des exigences de sécurité définies par l’IGI1300. Elles risquent notamment de perdre leur homologation, ce qui pourrait entrainer la perte de contrats stratégiques et des répercussions économiques importantes. De plus, des sanctions juridiques, notamment pénales, peuvent être appliquées dans certaines situations.
Découvrez nos autres articles