Pssi Section1 Introduction 2004-03-03

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 21

PREMIER MINISTRE Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes dinformation Sous-direction des oprations

Bureau conseil

Guide pour l'laboration d'une politique de scurit de systme d'information

PSSI
SECTION 1 INTRODUCTION

Version du 3 mars 2004

51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 71 75 84 15 - Fax 01 71 75 84 00

Ce document a t ralis par le bureau conseil de la DCSSI (SGDN / DCSSI / SDO / BCS) Les commentaires et suggestions sont encourags et peuvent tre adresss l'adresse suivante (voir formulaire de recueil de commentaires en fin de guide) : Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes d'information Sous-direction des oprations Bureau Conseil 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP [email protected]

Historique des modifications


Version Objet de la modification Statut Valid Draft

15/09/1994 Publication du guide d'laboration de politique de scurit interne (PSI). (1.1) 2002 Rvision globale : - actualisation des rfrences, - cration d'une mthodologie, - enrichissement et reclassement des principes de scurit, - sparation en 3 sections (mthodologie, principes de scurit et complments). 2003 Restructuration, remise en forme, amlioration de la mthode, mise en cohrence avec les outils mthodologiques et meilleures pratiques de la DCSSI suite une consultation d'experts internes. 23/12/2003 Sparation en 4 sections (introduction, mthodologie, principes de scurit et rfrences SSI) et amliorations diverses suite une consultation d'experts externes (notamment le Club EBIOS) et plusieurs mises en pratique (ministre de la Dfense, CNRS, Direction des Journaux Officiels). 03/03/2004 Publication du guide pour l'laboration d'une politique de scurit de systme d'information (PSSI)

Prtest

Prtest pour validation

Valid

Table des matires


SECTION 1 INTRODUCTION AVANT-PROPOS.................................................................................................................................... 5 CONCEPTS MANIPULS ...................................................................................................................... 5 CONVENTIONS D'CRITURE ............................................................................................................... 5 1 PRSENTATION DU GUIDE ......................................................................................................... 6 1.1 1.2 1.3 1.4 2 OBJECTIF ................................................................................................................................. 6 CHAMP D'APPLICATION .............................................................................................................. 6 DESCRIPTION ........................................................................................................................... 6 HISTORIQUE ............................................................................................................................. 7

PRSENTATION ET RLE DE LA PSSI ...................................................................................... 8 2.1 CONTEXTE DE LA SCURIT DES SYSTMES D'INFORMATION ....................................................... 8 2.1.1 La SSI comme lment de la qualit............................................................................. 8 2.1.2 La gestion des risques par la scurisation est globale.................................................. 8 2.1.3 Des risques tendus et parfois nouveaux ..................................................................... 8 2.2 NCESSIT DUNE PSSI............................................................................................................ 8 2.3 DOMAINES DAPPLICATION DE LA PSSI .................................................................................... 10 2.4 PLACE DE LA PSSI DANS LE RFRENTIEL DOCUMENTAIRE ....................................................... 10 2.4.1 Lien entre la PSSI et les lignes directrices de l'OCDE ................................................ 10 2.4.2 Lien entre la PSSI et les Critres Communs (CC) ...................................................... 11 2.5 LES BASES DE LGITIMIT DUNE PSSI .................................................................................... 11 2.5.1 Le respect de la dontologie ....................................................................................... 12 2.5.2 La gestion des risques : accidents, erreurs, dfaillances et malveillances................. 13 2.5.3 Prservation des intrts vitaux de l'tat .................................................................... 13 2.5.4 La lutte contre la malveillance et le cybercrime .......................................................... 15 2.5.5 Prservation des intrts particuliers de l'organisme.................................................. 15 2.5.6 La conformit technologique et lgale ........................................................................ 17 2.5.7 Le contrle par les consommateurs ............................................................................ 17

BIBLIOGRAPHIE .................................................................................................................................. 19 FORMULAIRE DE RECUEIL DE COMMENTAIRES ........................................................................... 20

SECTION 2 MTHODOLOGIE (document spar) SECTION 3 PRINCIPES DE SCURIT (document spar) SECTION 4 RFRENCES SSI (document spar)

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 3 mars 2004

Avant-propos
Le prsent document est un guide destin aux administrations et aux entreprises. Ce document dit par le Secrtariat gnral de la dfense nationale est un guide, il n'a pas de caractre obligatoire. Le guide s'appuie sur des documents lgislatifs ou normatifs ainsi que sur lexprience et le savoirfaire dadministrations et d'acteurs du secteur priv. Les rfrences contenues dans ce guide ont pour objet de servir d'illustration et de souligner le sens qui peut tre donn aux principes et aux rgles de scurit choisis par un organisme. Tout particulirement pour le domaine juridique, le lecteur est averti qu'il doit, dans tous les cas, vrifier la validit, la compltude et la porte des textes lgislatifs ou rglementaires auxquels il se rfre, dans le cadre des activits propres son organisme.

Concepts manipuls
Voici les trois dfinitions essentielles des concepts manipuls dans le document : Politique de Scurit de Systme dInformation (PSSI) Ensemble formalis des lments stratgiques, des directives, procdures, codes de conduite, rgles organisationnelles et techniques, ayant pour objectif la protection du (des) systme(s) dinformation de lorganisme. Les principes de scurit sont lexpression des orientations de scurit ncessaires et des caractristiques importantes de la SSI en vue de llaboration dune PSSI. Les rgles de scurit dfinissent les moyens et les comportements dfinis dans le cadre de la PSSI. Elles sont construites par dclinaison des principes de scurit dans un environnement et un contexte donns.

Principe de scurit

Rgle de scurit

Conventions d'criture
Dans la suite des guides PSSI, nous utiliserons les conventions suivantes : Organisme Entreprise, association, tablissement, ministre, dpartement ministriel, administration particulire, organisme sous-tutelle, collectivit territoriale Ministre, Haut fonctionnaire de dfense, Fonctionnaire de scurit des systmes d'information, Responsable de la scurit des systmes d'information Reconnaissance officielle par l'autorit responsable de l'organisme Les crochets encadrent une rfrence place en bibliographie Le texte en italique indique un extrait de rfrence

Responsable SSI

Validation [] italique

Page 5 sur 21

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 3 mars 2004

1 Prsentation du guide
1.1 Objectif
Ce guide a pour objectif majeur de fournir un support aux responsables SSI pour laborer une politique de scurit du ou des systmes dinformation (PSSI) au sein de leur organisme. Ce guide prsente une mthode et un ensemble de principes de scurit et de rfrences, pour laborer une PSSI adapte son environnement. Il ne constitue pas un rsultat final quun responsable SSI peut recopier. Ainsi, les responsables SSI pourront suivre une dmarche structure et dcliner les principes de scurit sous la forme de rgles de scurit adaptes leurs mtiers et activits.

1.2 Champ d'application


La porte de ce guide couvre les besoins du secteur public et du secteur priv. Appliqu aux ministres, il est plus particulirement destin aux acteurs de la voie fonctionnelle SSI, tels que les fonctionnaires de scurit des systmes d'information (FSSI) ou autorits qualifies, afin de mettre en place une PSSI, conformment aux instructions interministrielles et pour satisfaire les besoins de leurs mtiers. Appliqu aux autres types d'organismes, il sadresse plus particulirement aux responsables de la scurit des systmes dinformation (RSSI) et propose une approche pour l'application des actions de scurit conformes ltat de lart en matire de principes de protection appliqus aux systmes dinformation. De faon plus globale, ce guide sadresse aux personnes qui ont la responsabilit de dfinir ou de faire voluer une organisation de la scurit au sein dun organisme, public ou priv. Il apporte une aide la prparation dun projet de dfinition et/ou de dploiement dune PSSI applicable l'ensemble des systmes d'information de l'organisme ou un systme d'information spcifique. Il est finalement destin l'ensemble des acteurs de l'organisme dans un but de sensibilisation et d'adhsion aux principes.

1.3 Description
Le guide PSSI est dcompos en quatre sections : l'introduction, ce prsent document, permet de situer la place de la PSSI dans le rfrentiel normatif de la SSI au sein de l'organisme et de prciser les bases de lgitimit sur lesquelles elle s'appuie ; la mthodologie prsente, de faon dtaille, la conduite de projet dlaboration dune PSSI, ainsi que des recommandations pour la construction des rgles de scurit ; le rfrentiel de principes de scurit ; une liste de documents de rfrences de la SSI (critres dvaluation, textes lgislatifs, normes, codes dthiques, notes complmentaires...).

L'attention du lecteur est attire sur le fait que les sections composant le guide PSSI seront mises jour indpendamment par le Secrtariat gnral de la dfense nationale sur la base des retours d'exprience et des contributions de lecteurs. Un formulaire de recueil de commentaires figure en annexe de chaque section du guide afin de renvoyer des propositions et remarques au Bureau Conseil de la DCSSI.

Page 6 sur 21

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 3 mars 2004

1.4 Historique
Ces documents sont une mise jour de la version 1.1 du "Guide pour llaboration dune politique de scurit interne (PSI)", paru en septembre 1994. La DCSSI a souhait prsenter des lments pragmatiques et mieux adapts aux environnements des administrations, entreprises et autres organismes du secteur public et du secteur priv. Il a galement souhait profiter de cette volution pour raliser une mise niveau des documents de rfrences utilisables et approfondir des thmes de la scurit non traits dans la prcdente version. Cette nouvelle version est organise diffremment pour assurer une maintenance plus efficace des principes de scurit et des meilleures pratiques. Les volutions des sections du guide PSSI consistent : actualiser l'ensemble des rfrences ; enrichir les principes de scurit afin de mieux couvrir l'ensemble des domaines de la SSI en utilisant des normes internationales ([ISO 15408], [ISO 13335], [ISO 17799]) et les rorganiser sur la base d'une tude comparative des principaux rfrentiels SSI nationaux et internationaux ; dvelopper une approche mthodique pour laborer une PSSI, s'appuyant sur le rfrentiel de l'organisme et une analyse des risques SSI ; permettre l'laboration de PSSI spcifiques ( un mtier, un systme d'information) dans le cadre de PSSI globales afin de rduire les cots de ralisation et de garantir une cohrence de tout le rfrentiel d'un organisme ; sparer le guide en quatre sections autonomes (introduction, mthodologie, principes de scurit et rfrences SSI).

Page 7 sur 21

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 3 mars 2004

2 Prsentation et rle de la PSSI


2.1 Contexte de la scurit des systmes d'information
2.1.1 La SSI comme lment de la qualit

La scurit du systme d'information est devenue un facteur indispensable au bon fonctionnement de l'organisme. Le dveloppement rapide des technologies de l'information a entran une dpendance croissante des organismes envers leur systme d'information, devenu une composante stratgique. Par ailleurs, l'utilisation croissante des systmes d'information pour des applications varies a fait prendre conscience la communaut des utilisateurs qu'il ne suffisait pas de mettre en uvre les moyens de communication les plus performants, mais que ces derniers devaient tre fiables et srs (disponibilit, intgrit, confidentialit et parfois preuve).

2.1.2

La gestion des risques par la scurisation est globale

La pluridisciplinarit du domaine de la scurit ouvre la voie un vritable exercice de prospective au bnfice de l'organisme tout entier : il en rsulte une rflexion qui est l'essence mme de la PSSI. Les qualifications requises pour assumer la responsabilit de scurit des systmes dinformation ont elles aussi volu. L o une formation technique tait suffisante, lvolution des enjeux qui psent sur le systme dinformation rend obligatoire une comptence multiple des responsables scurit et l'adoption d'une approche systmique (prenant en compte les diffrents systmes, tels que le systme entreprise, le systme de gestion de la scurit, ou le systme dinformation, et leurs interactions). En effet, une parfaite intgration de la composante scurit dans la gestion d'un organisme impose la prise en compte d'lments aussi divers que les particularits de sa culture, les contraintes lies sa mission ou son mtier (les orientations stratgiques qui reprsentent le devenir souhait et, d'une faon gnrale, l'ensemble des rgles de gestion des personnels lis), l'organisation et aux mthodes et techniques utilises. 2.1.3

Des risques tendus et parfois nouveaux

Les menaces ont pris une nouvelle dimension tant du point de vue de leur origine que du point de vue de leurs objectifs et de limportance de leurs impacts. Linterconnexion des rseaux est aujourdhui relle et transfrontire. Cette volution facilite la transmission de linformation mais aussi son agression (modifications et vols) et les moyens d'attaque ne sont plus l'apanage d'une lite gouvernementale. De nombreux organismes sensibiliss la SSI ont pris conscience de la ncessit de disposer de rgles de scurit des systmes dinformation pour leur permettre de mettre en place des espaces de confiance. Cette prise de conscience a donn lieu la formalisation de mthodes et de rfrentiels de scurit.

2.2 Ncessit dune PSSI


Compte tenu du niveau des risques lis la pression continue de la menace, une dfaillance de la scurit du systme d'information pourrait entraner des consquences irrversibles sur la ralisation des objectifs stratgiques de l'organisme ou vis vis du respect de ses obligations ou engagements. Cest pourquoi la PSSI (le rfrentiel final) doit tre prise en compte et valide au niveau de responsabilit le plus lev comme un instrument de gestion des risques SSI. La PSSI traduit la reconnaissance formelle de l'importance accorde par la direction gnrale de l'organisme la scurit de son ou ses systmes d'information. Face aux menaces qui psent sur les systmes d'information, lusager exige une protection adapte des informations et des services de traitement, darchivage et de transport de l'information. La scurit est donc devenue lune des dimensions essentielles de la stratgie de l'organisme et elle doit tre Page 8 sur 21

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 3 mars 2004

prise en compte ds la conception dun systme d'information afin dassurer la protection des biens et des personnes et du patrimoine de lorganisme. Ainsi, la scurit des systmes dinformation vise en particulier protger les composantes suivantes du patrimoine : - le patrimoine matriel, compos des biens matriels ncessaires au fonctionnement de ses activits et dont la dtrioration pourrait interrompre, diminuer ou altrer son activit ; ce patrimoine est essentiellement compos des technologies de l'information et de communication (serveurs, rseau, postes de travail, tlphonie...), mais aussi des procdures et applications logicielles traduisant les processus et les fonctions mtiers de l'organisme ; - le patrimoine immatriel et intellectuel, compos de toutes les informations concourant au mtier de lorganisme (donnes scientifiques, techniques, professionnelles, administratives) ; - les informations relatives aux personnes (physiques et morales) avec qui lorganisme est en relation, dont la destruction, laltration, lindisponibilit ou la divulgation pourrait entraner des pertes ou porter atteinte son image de marque voire entraner des poursuites judiciaires. La PSSI dfinit la politique de scurit dune entit spcifique qui peut tre un systme technologique, une fonction automatise ou une application mais aussi un organisme entier comme une entreprise ou un dpartement ministriel. Une entreprise repose sur son personnel, sa culture, ses informations et ses processus de gestion (traitement, stockage ou/et transfert) des informations. Ce sont ces processus dentreprise qui font toute la diffrence entre deux "organisations" au but similaire, dans le mme secteur conomique. Chaque processus repose sur lorganisation, les procdures et la technologie. Se limiter aux aspects technologiques est donc insuffisant car il est ncessaire de considrer galement les aspects non techniques. La dmarche de gestion des risques, dont les risques SSI, est une activit fonctionnelle, oprationnelle et managriale comme les autres. Rappelons que les risques informatiques, tout comme les risques informationnels, sont des risques oprationnels pour les systmes d'information malgr leur caractre partiellement immatriel. La PSSI constitue un cadre de rfrence et de cohrence : - pour lintgration de la scurit lors de la conception dun systme dinformation ; - pour lensemble des activits et des acteurs de lorganisme par rapport auxquels toute volution du systme d'information devra tre justifie ; - pour aider les personnes charges d'laborer et de mettre en uvre des mesures, des consignes et des procdures cohrentes en vue d'assurer la scurit des systmes d'information. La PSSI offre les bnfices suivants : - une vision stratgique de la gestion des risques globaux, dont la SSI, visant informer les matrises douvrage des enjeux et susciter la confiance dans le systme d'information, - la mise en vidence des objectifs, obligations et engagements de lorganisme vis--vis de ses usagers et partenaires en fonction des lois applicables, ainsi que les principes de scurit rgissant la protection de son propre patrimoine, - la promotion de la coopration entre les diffrents dpartements, services ou units de l'organisme pour l'laboration et la mise en uvre de telles mesures, consignes et procdures, - lassurance de la cohrence et de la prennit des actions de scurit (analyses de risques, mise en uvre des mesures) en indiquant les directives ncessaires, notamment pour tout choix technique mais aussi organisationnel ou contractuel, en matire de scurit, - une gradation des moyens (avec une proportionnalit assure par l'analyse des risques) par application des principes et rgles de scurit respecter pour lensemble des activits et des systmes, - la sensibilisation aux risques menaant les systmes d'information et aux moyens disponibles pour s'en prmunir et informer lensemble des acteurs sur leurs responsabilits, - une aide aux Directeurs de programmes et chefs de projet pour intgrer la scurit au plus tt dans les dveloppements de nouveaux services du systme dinformation. De plus, llaboration ou la rvision d'une PSSI est loccasion de repenser dans une dmarche structure et finalit oprationnelle, la scurit du systme dinformation en commenant par lorganisation mise en place pour rpondre ce besoin en modifiant la culture de l'organisme. La PSSI est un document gnral diffusable qui : - satisfait les objectifs de scurit identifis pour l'organisme ; - doit tre connu de lensemble des acteurs internes, ainsi que, le cas chant, de lensemble des personnes accdant au systme dinformation de lorganisme (sous-traitants, prestataires, stagiaires) ; Page 9 sur 21

SGDN / DCSSI / SDO / BCS -

PSSI Section 1 Introduction 3 mars 2004

doit, aprs validation par lautorit responsable (par exemple : la direction gnrale), tre largement diffus, ventuellement sous une forme simplifie et didactique, lensemble du personnel. Cette diffusion sera accompagne dune sensibilisation de lensemble du personnel, portant sur le rappel des principes, de lorganisation et des rgles de scurit.

2.3 Domaines dapplication de la PSSI


La Politique de Scurit des Systmes dInformation (PSSI) peut s'appliquer la totalit ou une partie du systme dinformation de l'organisme. La PSSI : - s'applique un systme existant ou dvelopper, - concerne toute personne ayant accs au systme dinformation de lentreprise quil soit interne ou externe lorganisme (sous-traitant, stagiaire, prestataire), - concerne lensemble des aspects du systme dinformation (l'organisation, lenvironnement physique, le dveloppement, lexploitation, la maintenance), - concerne l'ensemble du cycle de vie du systme d'information et de l'information. Telle quelle est dcrite dans la suite de ce guide, elle couvre lensemble des systmes dinformation de l'administration, de lorganisme ou de lentreprise.

2.4 Place de la PSSI dans le rfrentiel documentaire


La PSSI est un lment de la politique gnrale de l'organisme et elle est en accord avec le schma directeur du systme d'information et la stratgie de scurit de l'information. Bien quelle puisse concerner lensemble des systmes dinformation de lorganisme, elle peut galement tre restreinte un systme dinformation particulier, par exemple li un mtier de lorganisme ou un systme transversal (messagerie, intranet). Dans ce cas, il peut exister plusieurs PSSI dans un organisme ou une entreprise. Elles devront tre cohrentes entre elles. Cette cohrence est assure grce la formalisation dune PSSI globale (objet du prsent guide). Les autres politiques sont alors des dclinaisons de la PSSI dans un environnement mtier ou technique particulier, pour des instances spcialises ou des cas particuliers. Pour laborer une PSSI adapte lorganisme, il est recommand de raliser une analyse des risques spcifiques au contexte afin den ajuster les rgles de scurit.

Scchm hma a dir direc ecteur teur S de lor gan is m e de lor gan is m e
E n jeu x

Mthode thode M dlaborration ation dlabo de politique de politique de ssc cur urit it de PS S S I) ((P S I)

P r in cip es de s cu r i t

PS S SI I g glo lob bale ale P S


R R g glles es d de e s s cu cu r ri it t

O Ob bj j ect ect i if fs s de s s cu cu r ri it t

Mthode thode M danaly e danaly sse des r is ques des r is ques

PS S SI I sspc pcifi ifiques P S ques

2.4.1

Lien entre la PSSI et les lignes directrices de l'OCDE

Les neuf principes gnraux exposs dans les lignes directrices de l'OCDE rgissant la scurit des systmes et rseaux d'information constituent un cadre de scurit applicable aux systmes d'information d'un tat ou d'un organisme priv.

Page 10 sur 21

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 3 mars 2004

La PSSI d'un organisme, quant elle, se situe un niveau d'abstraction moins lev. Elle peut alors hriter des principes de l'OCDE. Notons que les principes de scurit proposs dans ce guide sont compatibles avec ceux des lignes directrices de l'OCDE (voir section 4 Rfrences SSI).

2.4.2

Lien entre la PSSI et les Critres Communs (CC)

L'accomplissement de la mission ou du mtier d'un organisme est soumis un ensemble de rgles et de pratiques qui rgissent tous les aspects lis au fonctionnement (personnel, finances, recherche, production, communication). En consquence, le systme d'information qui contribue assurer cette mission ou ce mtier, doit tenir compte de toutes les contraintes d'environnement de l'organisme. Par ailleurs, face aux menaces qui psent sur les systmes d'information, l'utilisateur exige une protection convenable des informations et des services de traitement et de transport de l'information. La SSI est donc devenue une des dimensions essentielles de la stratgie de l'organisme et elle doit tre prise en compte ds la conception du systme d'information. Il y a donc un besoin en mthodes et rfrentiels de scurit afin dune part, de spcifier les objectifs de scurit dun systme de manire pertinente, et dautre part, davoir les moyens dvaluer la ralisation de ces objectifs de scurit en mesures afin de garantir un certain niveau de confiance dans la scurit du systme. Des travaux ont t entrepris au niveau international fonds sur les rsultats des initiatives existantes en Europe, aux USA, au Canada ; ils ont abouti l'laboration des critres communs d'valuation de la scurit des technologies de linformation [ISO 15408] qui permettent de dfinir un cadre pour l'valuation de produits ou de systmes informatiques. Ces critres d'valuation ont t labors de faon gnrique afin de permettre lvaluation de nimporte quel produit ou systme informatique, quil sagisse dun composant lectronique ddi ou dune application logicielle grand public. Ils sont, de fait, particulirement adapts pour la dfinition des objectifs de scurit des systmes ou produits informatiques, pour la dfinition de leurs exigences fonctionnelles de scurit et donc pour l'laboration des spcifications techniques des marchs les concernant. Pour les organismes publics, ces spcifications techniques ont donc valeur de recommandations. Dans la philosophie des critres communs, il est tabli que la scurisation d'un systme d'information ncessite entre autre la mise en place d'une politique de scurit des systmes d'information. Cette politique de scurit constitue la premire tape dune mthodologie de gestion des risques pour un systme d'information avec l'laboration d'un schma directeur de scurit des systmes d'information. Lexprimer laide du formalisme des Critres Communs permet alors dentamer les tapes suivantes de la scurisation du systme d'information en accord avec les mthodologies appliques par les organismes officiels. Notamment, les Critres Communs sont utiliss comme rfrentiel de certification et cette tape permet dobtenir le niveau de confiance que lon peut accorder au produit ou systme tabli.
1

2.5 Les bases de lgitimit dune PSSI


Les rgles contenues dans une PSSI puisent leur lgitimit dans les lois, les rglementations, les normes et les recommandations manant d'instances internationales, nationales ou professionnelles. Elles trouvent galement leur justification dans les composantes de la culture de l'organisme comme les traditions, les habitudes ou les rglements internes.

Nous distinguons en fait plusieurs types et niveaux dutilisateurs : - le propritaire dcide, dfinit les exigences, paye et prend la responsabilit des oprations ; - le gestionnaire ou exploitant a la responsabilit des affaires courantes du systme d'information au jour le jour, il est responsable des oprations et du rapport des rsultats, il ne peut travailler que si le propritaire lui prcise des objectifs et sil fournit des moyens, il nest pas toujours ladministrateur, qui peut dpendre de lui pour des sous-objectifs prcis et spcifiques, mais se trouve ce niveau ; - lutilisateur qui emploie le systme d'information en suivant des rgles et procdures dfinies par le propritaire et transmises par le gestionnaire peut assurer lentretien prventif ou journalier et rendre compte au gestionnaire ; loprateur est un utilisateur spcifique dont la comptence permet une utilisation "professionnelle" dun outil ; lutilisateur peut tre uniquement le destinataire de linformation. Page 11 sur 21

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 3 mars 2004

2.5.1

Le respect de la dontologie

L'utilisation croissante des systmes d'information par un large public conduit appliquer aux mtiers utilisant les technologies de l'information de grands principes d'thique tels que la garantie des droits de l'homme, la protection et le respect de la vie prive, la garantie des liberts individuelles ou publiques. Ces principes, appliqus au domaine des systmes d'information, sont formuls : Au niveau international (1) Dclaration universelle des droits de lhomme adopte par lassemble gnrale des Nations Unies le 10 dcembre 1948 Paris et en particulier : - la libert dexpression et le droit de chercher, recevoir et rpandre les informations par quelque moyen dexpression que ce soit ; - la protection de sa vie prive, sa famille, son domicile ou sa correspondance. (2) Principes directeurs de lONU pour la rglementation des fichiers informatiss contenant des donnes caractre personnel : - les principes concernant les garanties minimales qui devraient tre prvues dans les lgislations nationales ; - lapplication des principes directeurs aux fichiers contenant des donnes caractre personnel, dtenus par les organisations internationales gouvernementales. (3) Lignes directrices de l'OCDE sur la protection de la vie prive et les flux transfrontires de donnes de caractre personnel : - lignes directrices rgissant la protection de la vie prive et les flux transfrontires de donnes de caractre personnel (1980) ; - dclaration des flux transfrontires de donnes (1985) ; - dclaration des ministres relative la protection de la vie prive sur les rseaux mondiaux (1998). Au niveau de l'Union europenne (1) Convention de sauvegarde des droits de lHomme et des liberts fondamentales, adopte par le conseil de lEurope (Rome 4/11/1950). (2) Directives du Conseil de lUnion Europenne : - La directive du Parlement europen et du Conseil du 24 octobre 1995 relative la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation de ces donnes. Cette directive vise favoriser llaboration de codes de conduite nationaux et communautaires destins contribuer la bonne application des dispositions nationales et communautaires. - La directive 2002/58/CE du Parlement europen et du Conseil du 12 juillet 2002 relative au traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des communications lectroniques. Au niveau national (1) Dclaration des droits de lhomme du 26 aot 1789 - article 11 concernant la libert de penser, de parler, dcrire et dimprimer librement. (2) Loi Informatique et Liberts qui rglemente l'emploi et la constitution des fichiers nominatifs, c'est--dire, encadre les actions suivantes : - la soumission, avant leur mise en uvre, des traitements automatiss d'informations nominatives des formalits administratives qui doivent tre accomplies par les utilisateurs publics et privs, - la reconnaissance, pour toute personne figurant dans un fichier automatis ou manuel, des droits d'accs, de rectification et de refus des informations qui la concernent, - l'application de dispositions de protection s'appliquant la collecte, l'enregistrement, le traitement et la conservation des informations nominatives des fichiers informatiques ou non informatiques, - le contrle de l'application de la loi par la Commission Nationale Informatique et Liberts. (3) Rapport de la CNIL sur la cybersurveillance sur les lieux de travail publi le 5 fvrier 2002 Au niveau des organismes et des mtiers qui s'y exercent Page 12 sur 21

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 3 mars 2004

(1) Codes d'thique par secteurs professionnels (mtiers juridiques, de la sant, de la recherche, de la banque, de la statistique) formulant des principes de base, des recommandations de politiques, des codes de conduite ou des rglements. En particulier, et quel que soit le mtier de l'organisme, celui-ci dtient et traite des informations auxquelles il doit attribuer une mention spcifique, caractristique de son domaine, comme la mention "confidentiel personnel" (domaine protg par la Loi informatique et Liberts) ou "confidentiel professionnel, industriel, commercial"... (domaine protg par le Code pnal). Ainsi, paralllement au code d'thique propre au mtier, l'organisme doit prendre en compte les lments spcifiques concernant la protection d'informations d'ordre mdical, juridique, ainsi que le respect de l'anonymat des personnes ayant fourni des informations nominatives par le biais de questionnaires ou d'enqutes. (2) Codes d'thique des mtiers des technologies de l'information : ces codes particuliers font apparatre des rgles de dontologie gnrale s'nonant sous forme de devoirs et d'obligations assumer : - l'obligation de comptence et d'objectivit, - les devoirs envers la clientle, savoir l'indpendance, le respect du client et de la mission confie, le devoir de conseil et d'assistance, - les devoirs envers les partenaires, savoir le respect du partenaire et la protection des informations confies dans le cadre dune mission mene en partenariat, - les devoirs envers les concurrents, savoir le respect des principes de loyaut et de libre concurrence - le respect du secret de fabrique.

2.5.2

La gestion des risques : accidents, erreurs, dfaillances et malveillances

Les accidents pouvant survenir l'intrieur d'un organisme ou tre provoqus l'extrieur de celui-ci par ses activits peuvent entraner des atteintes aux personnes, aux biens, l'environnement (au patrimoine national ou priv). Aussi, est-il fait obligation lgale tous les responsables d'organismes de lutter, avec les moyens appropris, contre les accidents divers. Si cette proccupation est prise en compte au niveau de la scurit gnrale (et, tout particulirement celle qui touche aux personnels), elle est rappele dans ce chapitre pour souligner que dans de nombreux cas les accidents de toute nature peuvent avoir pour cause des erreurs ou malveillances commises dans l'utilisation du systme d'information (par exemple, dans le domaine du nuclaire, de la gestion du trafic fluvial, ferroviaire, arien, des agences de l'eau). La liste des altrations spcifiques la scurit comprend habituellement, sans y tre limite, le dni daccs une information ou une fonction (perte de disponibilit), le dommage provoqu une information ou une fonction par une modification non autorise (perte dintgrit) ou la divulgation nuisible d'une information ou une fonction des destinataires non autoriss (perte de confidentialit). Indpendamment de l'obligation faite par la loi, il est un devoir prioritaire pour les responsables d'organismes de renforcer les contrles de scurit partout o il existe un risque, aussi minime soit-il, li l'utilisation du systme d'information. La scurit a trait la protection des biens contre les menaces, ces dernires tant classes selon leur potentiel de nuisance envers les biens protger. Toutes les catgories de menaces devraient tre prises en compte, mais dans le domaine de la scurit, une plus grande attention est accorde aux menaces lies des activits humaines malveillantes ou non. [ISO 15408] Une menace doit tre dcrite en citant llment menaant identifi, lattaque et le bien qui en est la cible. Les lments menaants devraient tre caractriss par des aspects tels que lexpertise, les ressources disponibles et la motivation. Les attaques devraient tre caractrises par des aspects tels que les mthodes dattaque, toutes les vulnrabilits exploites et lopportunit. [ISO 15408]

2.5.3

Prservation des intrts vitaux de l'tat

Les organismes gouvernementaux et ceux qui collaborent avec eux sont soumis au respect des lois nationales et aux instructions interministrielles. Page 13 sur 21

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 3 mars 2004

Lorsqu'un organisme, y compris en dehors de sa mission propre, est amen contractuellement ou non utiliser ou traiter des informations classifies relevant du secret de dfense ou des informations sensibles comme, par exemple, celles relevant du patrimoine national, il doit appliquer les lois et les textes rglementaires spcifiques qui s'y rapportent. La liste des principaux textes est donne en section 4 (Rfrences SSI). Protection des lments non classifis de dfense La [REC 901] sur la scurit des systmes d'information traitant des informations sensibles non classifies de dfense reprend certains grands principes de l'[IGI 900] et se prsente suivant la mme articulation. Elle peut s'appliquer toutes les administrations et tous les services dconcentrs de l'tat ainsi qu'aux tablissements placs sous l'autorit d'un ministre. Cette recommandation est galement une rfrence pour les entreprises prives qui dsirent assurer une protection de leurs propres secrets scientifiques, technologiques, industriels, commerciaux ou financiers ou qui dsirent garantir leurs intrts et leur patrimoine. Elle recommande une harmonisation entre les mesures prises au titre de la protection du secret de dfense et celles concernant la protection des informations sensibles ; c'est ainsi qu'une organisation fonctionnelle unique est conseille. La [REC 600] prsente des recommandations relatives aux informations, aux systmes ou aux applications ne relevant pas du secret de dfense, mais dont la destruction, le dtournement ou l'utilisation frauduleuse pourraient porter atteinte aux intrts nationaux, au patrimoine scientifique et technique ou la vie prive ou professionnelle des individus. Ces recommandations concernent la scurit des postes de travail autonomes ou connects un rseau. Les informations relevant du secret de dfense Pour les informations relevant du secret de dfense, les obligations rglementaires de protection portent sur : (1) La protection du secret et des informations concernant la dfense nationale et la sret de l'tat. L'[IGI 1300], qui s'adresse tous les dpartements ministriels et tous les organismes publics ou privs o sont mises, reues, mises en circulation ou conserves des informations intressant la dfense nationale et la sret de l'tat, aborde les thmes suivants : - l'organisation et le fonctionnement des services de scurit de dfense, - la protection des personnes, - la protection des informations classifies, - la protection du patrimoine national et des informations qui doivent rester en diffusion restreinte (mention et non classification), - la sensibilisation aux risques de compromission d'informations classifies, - les contrles et inspections. (2) La scurit des systmes d'information qui font l'objet d'une classification de dfense pour euxmmes ou pour les informations traites. L'[IGI 900], qui s'adresse toutes les administrations et services extrieurs de l'tat, notamment aux tablissements publics nationaux ou organismes placs sous l'autorit d'un ministre, prcise les rgles respecter pour protger les secrets de la dfense nationale dans les systmes d'information et aborde les thmes suivants : - les informations ncessitant une protection, - les moyens de protection, - les principes gnraux de scurit des systmes d'information, - les rles respectifs, l'organisation et les missions des divers intervenants, - les contrles et inspections. (3) Protection du secret dans les rapports entre la France et les tats trangers. L'[II 50] prcise les dispositions gnrales et les protocoles de scurit tablir dans le cadre d'tudes et de rapport entre la France et les pays trangers. Une autre instruction porte sur la protection du patrimoine scientifique et technique franais dans les changes internationaux. Page 14 sur 21

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 3 mars 2004

(4) Protection du secret et des informations pour les marchs et autres contrats. L'[II 2000] prcise les dispositions prendre pour la protection du secret et des informations concernant la dfense nationale et la sret de l'tat dans les marchs ainsi que dans tous les autres contrats administratifs qui entranent la mise en uvre de systmes d'information faisant l'objet d'une classification de dfense pour eux-mmes ou pour les informations traites. Elle traite en particulier des dispositions prendre vis--vis des personnes, des documents et des matriels.

2.5.4

La lutte contre la malveillance et le cybercrime

Au niveau de l'Union europenne La [REC CRIM] sur la criminalit en relation avec l'ordinateur et la [D 250] sur la protection juridique des programmes d'ordinateur rglementent la protection du logiciel. Au niveau national Les logiciels sont considrs comme des uvres de l'esprit protges par le [CPI] et des lois rglementent les peines associes aux infractions telles que : - la copie ou l'utilisation illicite de logiciel, - la divulgation non autorise de documents techniques ou commerciaux, mme aprs une rupture de contrat, - le dlit ou la tentative de dlit, avec ou sans entente concerte, correspondant aux infractions comme l'accs ou le maintien frauduleux dans tout ou partie d'un systme, l'entrave au fonctionnement, la modification de donnes, - l'interception de tlcommunications. Mais il appartient l'organisme de prendre les mesures qu'il juge ncessaire la protection de son systme d'information (mesures de prvention, de dtection et de rparation), afin de se protger contre les menaces redoutes, qu'elles soient accidentelles ou intentionnelles comme, par exemple, l'interception, le dtournement, l'utilisation ou la divulgation non autorise d'lments du systme d'information.

2.5.5

Prservation des intrts particuliers de l'organisme

L'organisme peut se dfinir par : - sa mission (pour un organisme tatique) ou son mtier (pour un organisme priv), - sa culture, - ses orientations stratgiques et sa structure, - ses relations avec l'environnement, - ses ressources. Lorsque l'organisme considre qu'un de ces thmes a un impact majeur sur sa scurit, il l'lve au rang de base de lgitimit pour justifier les principes dcrits dans sa Politique de Scurit des Systmes dInformation. La mission ou le mtier de l'organisme Toutes les potentialits et les ressources dont dispose un organisme n'ont pour finalit que l'accomplissement de sa mission ou de son mtier. Il en dcoule des objectifs qui devraient tre clairement exprims et ports la connaissance des acteurs concerns, l'intrieur comme l'extrieur de l'organisme, pour assurer la cohsion des missions dvolues chacune des units fonctionnelles. La culture de l'organisme La culture de l'organisme se dfinit par le partage d'un ensemble de valeurs, de savoir-faire, d'habitudes de vie collective et par le sentiment d'une identit commune. Elle s'exprime au niveau de chaque individu par : - le respect de la mission et l'adhsion au projet de l'organisme ; par exemple, pour des entreprises utilisant des informations relevant du secret de dfense, intgration de la scurit dans le cadre quotidien du travail ; pour une organisation dont la mission est la distribution, livraison de la Page 15 sur 21

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 3 mars 2004

commande dans les dlais les plus brefs ; pour un constructeur de matriels (haut de gamme), mobilisation permanente pour la qualit, le respect de la mmoire collective, la conservation du patrimoine de l'organisme, le respect du rglement interne, la communication interne ou externe.

Toute action visant modifier un de ces lments a un impact d'autant plus important que l'lment modifi est profondment inscrit dans la culture de l'organisme et accept par l'ensemble du personnel. Les orientations stratgiques et la structure de l'organisme Les choix fondamentaux et les objectifs que se fixe l'organisme dcoulent de sa mission et de sa propre stratgie organique ; le responsable de la scurit doit alors veiller ce que les projets qui s'inscrivent dans ce cadre et qui touchent la structure mme de l'organisme, restent en cohrence avec les objectifs assigns la scurit du systme d'information. En effet, la structure de l'organisme est une adaptation permanente des orientations stratgiques choisies pour mieux grer les diffrentes fonctions de l'organisme et leur volution. Tout changement affectant la structure de l'organisme modifie, en consquence, ses flux d'informations. L'aspect formel de la structure est reprsent par un organigramme qui rend compte de l'organisation des diffrentes entits constitutives de l'organisme (directions, dpartements, services, units). L'aspect informel peut tre reprsent par un sociogramme qui met en lumire les facteurs d'influence pour les personnes ou les postes stratgiques et qui psent sur les orientations et les dcisions de l'organisme. C'est, par exemple, l'influence sur la direction et sur les informaticiens de la nomination d'un responsable non-technicien au poste de responsable de la scurit des systmes d'information. Les difficults relationnelles qui sont souvent difficiles valuer, exigent pour tre mises en lumire et gres, l'observation des jeux de pouvoir au sein de l'organisme. En particulier, les flux de communication transverses par rapport la structure hirarchique, bien que rpondant souvent un rel besoin oprationnel, peuvent tre la consquence de rtention d'informations ; il peut alors se crer au sein de l'organisme des flux qui chappent aux contrles de la scurit. Les relations de l'organisme avec son environnement : les contrats passs avec des tiers Les engagements pris envers d'autres organismes font l'objet de contrats ou de conventions o peuvent figurer en particulier des clauses spcifiques concernant la scurit des systmes d'information. Elles sont d'autant plus importantes que la nature des engagements concerne une composante stratgique ou est susceptible d'influer sur la culture de l'organisme. Toute relation nouvelle avec l'environnement de l'organisme ncessite un effort pralable de communication l'intrieur de l'organisme. titre d'exemple, dans le cas d'un contrat de sous-traitance de l'exploitation du systme d'information, il existe des clauses spcifiques pour le transfert du savoir-faire et, en interne, le personnel doit avoir les lments lui permettant de comprendre pourquoi et comment ce nouveau choix s'intgre dans la stratgie de l'organisme et quelles en sont les implications sur les consignes de scurit. Un autre exemple est celui des autres contrats de sous-traitance, pour lesquels il existe souvent des clauses spcifiques relatives par exemple la fourniture de programmes-sources et leur usage. Dans le cadre de coopration internationale, les engagements contractuels garantissent les parties et doivent tre en accord avec la rglementation des pays concerns. Plus gnralement, dans le cadre des relations avec l'environnement, l'organisme demandeur doit faire valoir les exigences suivantes : - vis--vis des fournisseurs : le devoir de conseil, de qualit et de prennit de la maintenance et de lassistance, - vis--vis des prestataires de services : le devoir de conseil, l'obligation de moyens et de rsultats, - vis--vis de la sous-traitance : les clauses spcifiques garantissant la non concurrence, - vis--vis des autres organismes : les clauses spcifiques pour la coopration et l'interoprabilit des systmes d'information.

Page 16 sur 21

SGDN / DCSSI / SDO / BCS Les ressources de l'organisme

PSSI Section 1 Introduction 3 mars 2004

L'organisme est une unit conomique de production de biens ou de services, compose de ressources humaines, juridiques, techniques et financires. Les units de l'organisme ont, assez souvent, des missions et des objectifs diffrents qui peuvent apparatre comme des contraintes que la scurit doit prendre en compte. Par exemple : - pour les ressources humaines : ncessit de la confidentialit des critres d'embauche, - pour les ressources juridiques : ncessit de la confidentialit des contrats, - pour le savoir-faire et les ressources techniques : ncessit de la protection des ides nouvelles, - pour les ressources financires : ncessit de la confidentialit des comptes avant leur publication.

2.5.6

La conformit technologique et lgale

Le contrle tatique dans le domaine de la cryptologie L'article 28 de la loi n 90-1170 du 29 dcembre 1990 sur la rglementation des tlcommunications dfinit les prestations de cryptologie par : On entend par prestation de cryptologie toute prestation visant transformer l'aide de conventions secrtes des informations ou signaux clairs en informations ou signaux inintelligibles pour des tiers, ou visant raliser l'opration inverse, grce des moyens matriels ou logiciels conus cet effet. La rglementation franaise (section 4 Rfrences SSI) s'appuie sur des lois et instructions interministrielles dont le but est de prserver les intrts de la dfense nationale et de la scurit intrieure ou extrieure de l'tat. La rglementation sur la cryptologie s'applique tous les moyens cryptologiques, utiliss dans le secteur priv ou public : elle concerne la fourniture, l'exportation, l'utilisation de moyens ou de prestations cryptologiques. Le contrle des communications La loi relative la libert de communication concerne le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des tlcommunications La signature lectronique Suite la loi du n 2000-230 du 13 mars 2000, le code civil prcise : La preuve littrale, ou preuve par crit, rsulte d'une suite de lettres, de caractres, de chiffres ou de tous autres signes ou symboles dots d'une signification intelligible, quels que soient leur support et leurs modalits de transmission . Il prcise galement que : l'crit sur support lectronique a la mme force probante que l'crit sur support papier. La loi prcise que : lorsque la loi n'a pas fix d'autres principes, et dfaut de convention valable entre les parties, le juge rgle les conflits de preuve littrale en dterminant par tous moyens le titre le plus vraisemblable, quel qu'en soit le support . La [D 93] prcise le cadre communautaire pour les signatures lectroniques. Les instructions techniques particulires pour la lutte contre les signaux compromettants On entend par signal compromettant tout signal lectromagntique mis par un quipement du systme d'information pouvant tre capt l'extrieur du local de l'quipement, ou inversement, tout signal qui, mis depuis l'extrieur du local de l'quipement, pourrait perturber des traitements informatiques ou leurs donnes, ou mme dtriorer des matriels.

2.5.7

Le contrle par les consommateurs

Les utilisateurs de systmes d'information sont soumis d'une part l'offre des constructeurs, chacun ayant ses systmes spcifiques et, d'autre part, la ncessit d'utiliser et de faire communiquer ces systmes entre eux. Normalisation Page 17 sur 21

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 3 mars 2004

L'utilisation de produits normaliss est recommande pour assurer l'interoprabilit des systmes. La dfinition en est donne par une directive de l'Union europenne portant sur l'laboration des normes nationales. Elle est reprise par un dcret national fixant le statut de la normalisation"la normalisation a pour objet de fournir des documents de rfrence comportant des solutions des problmes techniques et commerciaux concernant les produits, biens et services qui se posent de faon rpte dans des relations entre partenaires conomiques, scientifiques, techniques et sociaux". Le choix de produits normaliss ayant valeur de recommandation, il peut prendre un caractre obligatoire en raison de la publication : - d'une directive communautaire particulire, - d'un arrt du Ministre de l'Industrie, - de rglementations spcifiques comme, par exemple, les codes des marchs publics, - de contrats particuliers protgs par le code civil, - d'exigences de scurit des personnes et des biens. Certification des technologies de l'information La situation juridique communautaire s'appuie sur une rsolution portant sur l'approche globale en matire d'valuation de la conformit. En France, une valuation russie suivant les critres harmoniss europens peut donner lieu la dlivrance d'un certificat par la DCSSI selon le schma franais d'valuation et de certification. Ce dernier prcise le contexte rglementaire et l'organisation ncessaires la conduite d'une valuation par une tierce partie et son contrle, conduisant la dlivrance de certificats. Le dcret n2002-535 du 18 avril 2002 dfinit le cadre rglementaire du schma

Page 18 sur 21

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 3 mars 2004

Bibliographie
Les rfrences suivantes apparaissent dans le guide entre crochets : [CPI] [D 250] Code de la proprit intellectuelle, article L621 relatif au secret de fabrique. Directive n91/250/CEE du Conseil des communauts europenne du 14 mai 1991 concernant la protection des programmes d'ordinateur. Directive 1999/93/CE du Parlement europen et du Conseil, du 13 dcembre 1999, relative au cadre communautaire pour les signatures lectroniques. Instruction gnrale interministrielle n1300/SGDN/PSE/SSD/DR du 12 mars 198225 aot 2003 sur la protection du secret et des informations concernant de la dfense nationale et la sret de l'tat. Instruction gnrale interministrielle n900/SGDN/SSD/DR ou n900/DISSI/SCSSI/DR du 20 juillet 1993 sur la scurit des systmes d'information qui font l'objet d'une classification de dfense pour eux-mmes ou pour les informations traites. Instruction interministrielle n2000/SGDN/SSD/DR du 01 octobre 1986 sur la protection du secret et des informations concernant la dfense nationale et la sret de l'tat dans les march et autres contrats. Instruction interministrielle n486/SGDN/STS/TSE/CVS/DR du 01 mars 1993 sur la protection du patrimoine scientifique et technique dans les changes internationaux. Instruction interministrielle n50/SGDN/SSD du 09 janvier 1971 sur la protection du secret dans les rapports entre la France et les pays trangers. Technologies de l'information Lignes directrices pour le management de scurit IT ISO/IEC, 2001. Technologies de l'information Techniques de scurit Critres d'valuation pour la scurit TI ISO/IEC, 1999 Technologies de l'information Code de pratique pour la gestion de scurit d'information ISO/IEC, 2000. Recommandations n600/SGDN/DISSI/SCSSI de mars 1993 pour les postes de travail informatiques. Protection des informations sensibles ne relevant pas du secret de dfense Recommandation n901/SGDN/DISSI/SCSSI du 02 mars 1994 pour la protection des systmes d'information traitant des informations sensibles non classifies de dfense. Recommandation du Conseil de l'Europe du 19 septembre 1989 adopte par le conseil des ministres, relative la criminalit en relation avec l'ordinateur.

[D 93]

[IGI 1300]

[IGI 900]

[II 2000]

[II 486]

[II 50]

[ISO 13335]

[ISO 15408]

[ISO 17799]

[REC 600]

[REC 901]

[REC CRIM]

Page 19 sur 21

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 23 dcembre 2003

Formulaire de recueil de commentaires


Ce formulaire peut tre envoy l'adresse suivante : Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes d'information Sous-direction des oprations Bureau conseil 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP [email protected] Identification de la contribution Nom et organisme (facultatif) : Adresse lectronique : Date : Remarques gnrales sur le document Le document rpond-il vos besoins ? Si oui : Pensez-vous qu'il puisse tre amlior dans son fond ? Oui Si oui : Qu'auriez-vous souhait y trouver d'autre ? ! Non ! Oui ! Non !

Quelles parties du document vous paraissent-elles inutiles ou mal adaptes ?

Pensez-vous qu'il puisse tre amlior dans sa forme ? Oui Si oui : Dans quel domaine peut-on l'amliorer ? - lisibilit, comprhension - prsentation - autre Prcisez vos souhaits quant la forme :

Non

! ! !

Si non : Prcisez le domaine pour lequel il ne vous convient pas et dfinissez ce qui vous aurait convenu :

Quels autres sujets souhaiteriez-vous voir traiter ?

SGDN / DCSSI / SDO / BCS

PSSI Section 1 Introduction 23 dcembre 2003

Remarques particulires sur le document Des commentaires dtaills peuvent tre formuls l'aide du tableau suivant. "N" indique un numro d'ordre. "Type" est compos de deux lettres : La premire lettre prcise la catgorie de remarque : - O Faute d'orthographe ou de grammaire - E Manque d'explications ou de clarification d'un point existant - I Texte incomplet ou manquant - R Erreur La seconde lettre prcise son caractre : - m mineur - M Majeur "Rfrence" indique la localisation prcise dans le texte (numro de paragraphe, ligne). "nonc de la remarque" permet de formaliser le commentaire. "Solution propose" permet de soumettre le moyen de rsoudre le problme nonc. N Type 1 Rfrence nonc de la remarque Solution propose

Merci de votre contribution

Vous aimerez peut-être aussi