Troisième partie : Implémentation et Mise en œuvre de la norme ISO / CEI 27001
4. Article « A.5 Politique de Sécurité »
4.1- Fondements
La politique de sécurité de l’information se base sur la protection de l’information dite de Sécurité d’Etat. Toutes les informations traitées au sein de l’Ambassade sont considérées des informations de Sécurité d’Etat [16].
Ces informations constituent une cible majeure pour les services étrangers et les groupements ou les individus isolés ayant pour objectif de déstabiliser l’Etat ou la société.
Les informations de Sécurité d’Etat nécessitent une protection particulière, permettant d’en maîtriser et d’en limiter la diffusion, dans des conditions définies dans la présente politique.
L’atteinte à ces informations est considérée selon la législation marocaine comme acte de haute trahison passible à la peine de mort (Article 181 du Code Pénal)23 [18].
Il existe trois niveaux de classification : Très Secret, Secret et Confidentiel.
Les trois niveaux relèvent du périmètre de la défense nationale vue que ce sont des informations de sécurité d’Etat.
Peuvent faire l’objet de ces classifications les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers dont la divulgation est de nature à nuire à la défense nationale ou pourrait conduire à la découverte d’un secret de la défense nationale.
Bénéficient également de la protection du secret les lieux qui, en raison des installations ou activités qu’ils abritent, sont classifiés.
L’inobservation des mesures de protection induites par la classification génère la mise en œuvre du dispositif de répression pénale et sera considérée comme un acte de haute trahison.
La politique de sécurité vise aussi à rendre responsable, pénalement et administrativement, toute personne ayant accès à des informations ou supports classifiés.
Une information classifiée est compromise lorsqu’elle est portée à la connaissance du public ou d’une personne non habilitée ou n’ayant pas le besoin d’en connaître.
L’évaluation des risques de compromission des informations ou supports classifiés et des vulnérabilités des personnes ou des systèmes les traitant, au regard des intérêts fondamentaux de la nation, est essentielle afin de garantir la protection de l’information de sécurité d’Etat.
La stricte application des mesures de sécurité définies dans la présente politique contribue à l’efficacité du dispositif et permet de lutter contre des actions malveillantes, souvent facilitées par l’ignorance, l’imprudence, l’inattention ou la négligence.
La protection de l’information de sécurité d’Etat, qu’il s’agisse d’une information, d’un support ou d’un lieu classifié, doit être assurée par les personnes y accédant.
En cas de manquement, même involontaire, ces personnes se rendent coupables de haute trahison.
4.2- Définitions
La mise en place du SMSI central de l’Ambassade ainsi que la présente politique de sécurité emploiera les expressions suivantes :
- – « habilitation », pour désigner la décision explicite, délivrée à l’issue d’une procédure spécifique permettant à une personne, en fonction de son besoin d’en connaître, d’avoir accès aux informations ou supports classifiés au niveau précisé dans la décision ainsi qu’au(x) niveau(x) inférieur(s);
- – « Informations ou supports classifiés », pour désigner les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers présentant un caractère de secret de la défense nationale;
- – « Lieux classifiés », pour désigner les lieux auxquels il ne peut être accédé sans que, en raison des installations ou des activités qu’ils abritent, cet accès donne par lui-même connaissance d’une information de sécurité d’Etat et ayant fait l’objet d’une décision de classification;
- – « systèmes d’information », pour désigner l’ensemble des moyens informatiques ayant pour finalité d’élaborer, de traiter, de stocker, d’acheminer, de présenter ou de détruire l’information;
- – « contrat », pour désigner tout contrat, toute convention, tout marché quel que soit son régime juridique ou sa dénomination, dans lequel un candidat ou un cocontractant, public ou privé, est amené à l’occasion de la passation du contrat ou de son exécution à connaître et éventuellement à détenir dans ses locaux des informations ou des supports classifiés.
4.3- Champ d’application
Les dispositions de la présente politique sont applicables dans toutes les administrations et services sous l’autorité de l’Ambassade du Royaume du Maroc en Tunisie ainsi qu’à toute personne dépositaire, même à titre provisoire, d’une information relative à l’Ambassade, y compris dans le cadre de la passation et de l’exécution d’un contrat.
4.4- La classification
La décision de classifier au titre du secret de la défense nationale une information ou un support a pour conséquence de le placer sous la protection de dispositions spécifiques du Code Pénal (Article 181) [18].
L’apposition du marquage de classification constitue le seul moyen de conférer cette protection particulière.
Trois niveaux de classification :
– Très Secret: réservé aux informations et supports qui concernent les priorités gouvernementales en matière de défense et de sécurité nationale et dont la divulgation est de nature à nuire très gravement à la Sécurité d’Etat;
– Secret : réservé aux informations et supports dont la divulgation est de nature à nuire gravement à la Sécurité d’Etat;
– Confidentiel: réservé aux informations et supports dont la divulgation est de nature à nuire à la Sécurité d’Etat ou pourrait conduire à la découverte d’un secret classifié au niveau
Une information n’ayant pas fait l’objet d’une décision de classification à l’un des trois niveaux définis n’est pas protégé au titre du secret de Sécurité de l’Etat
4.5- Mentions particulières de confidentialité et les Informations Sensibles Non Classées (ISNC)
Certaines informations qu’il n’y a pas lieu de classifier peuvent cependant recevoir, de la part de leur émetteur, une marque de confidentialité destinée à restreindre leur diffusion à un domaine spécifique (précisé par une mention particulière) ou à garantir leur protection (telle que Diffusion Restreinte).
Ces mentions, qui ne traduisent pas une classification et ont pour seul objectif la sensibilisation de l’utilisateur à la nécessité de discrétion dont il doit faire preuve dans la manipulation des informations couvertes par cette mention. Ces informations seront considérées des Informations Sensibles Non Classées (ISNC).
Une information sensible est une information dont la compromission, l’altération, le détournement ou la destruction, est de nature à nuire à la Sécurité de l’Etat et à la continuité du fonctionnement des services de l’Etat et de l’exercice du pouvoir de l’Etat.
Il existe trois catégories d’informations Sensibles Non Classées:
- – 1ère catégorie : ISNC sur lesquels une atteinte à la disponibilité, à l’intégrité ou à la confidentialité peut entrainer la neutralisation d’une fonction majeure dans le fonctionnement des services de l’Etat et de l’exercice du pouvoir;
- – 2ème catégorie : ISNC sur lesquels une atteinte à la disponibilité, à l’intégrité ou à la confidentialité peut entrainer une dégradation du fonctionnement des services de l’Etat et de l’exercice du pouvoir
- – 3ème catégorie : ISNC sur lesquels une atteinte à la disponibilité, à l’intégrité ou à la confidentialité peut entrainer une gêne dans le fonctionnement des services de l’Etat et l’exercice du pouvoir
4.6- L’accès aux informations traitées à l’ambassade (Information de Sécurité d’Etat)
Seules des personnes qualifiées peuvent accéder aux informations classées ou ayant une mention particulière.
La qualification exige la réunion de deux conditions cumulatives :
- A. Le besoin de connaître ou d’accéder à une information classifiée est dans la mesure où l’exercice de la fonction ou l’accomplissement de la mission l’exige.
- B. La délivrance de l’habilitation correspondant au degré de classification de l’information considérée : la décision d’habilitation est une autorisation explicite, délivrée à l’issue d’une procédure spécifique permettant à une personne, sous réserve du besoin d’en connaître, d’avoir accès aux informations ou supports d’information de sécurité d’Etat au niveau précisé dans la décision ainsi qu’au(x) niveau(x) inférieur(s).
La décision d’habilitation est assortie d’un engagement de respecter, après en avoir dûment pris connaissance, les obligations et les responsabilités liées à la protection des informations ou supports classifiés.
4.7- Lieux abritant des informations de sécurité d’Etat
Les lieux abritant des éléments couverts par une classification sont les locaux dans lesquels sont détenus des informations ou supports classifiés, quel qu’en soit le niveau, par des personnes par ailleurs habilitées au niveau requis.
Les « lieux classifiés » sont ceux auxquels il ne peut être accédé sans que, en raison des installations ou des activités qu’ils abritent, cet accès donne par lui-même connaissance d’une information de sécurité d’Etat et qui ont fait l’objet d’une décision de classification.
L’accès à ces lieux, pour motif de service, est encadré par les dispositions relatives au droit du travail, aux contrats de prestation de service, au droit pénal, à la procédure pénale ou issues de conventions internationales.
4.8- Contrôles et inspections
Des contrôles et des inspections sont organisés périodiquement pour vérifier l’application des instructions et des directives relatives à la protection de l’information de sécurité d’Etat.
Les inspections et les contrôles sont assurés par la cellule de sécurité de l’Information crée par la dite politique. Cette cellule propose toutes mesures propres à améliorer les conditions générales de sécurité de l’information et le maintien du SMSI central de l’Ambassade.
Les inspections et les contrôles sont organisés en liaison avec les autres services et départements sous tutelle de l’ambassade du royaume du Maroc en Tunisie
En cas d’anomalies constatées, la cellule Sécurité de l’Information peut saisir, par l’intermédiaire de l’ambassadeur de Sa Majesté, les services qui concourent à la répression des crimes et délits.
Les rapports de synthèse incluant les mesures préconisées pour rectifier les déficiences constatées et leur planification sont adressés aux autorités centrales responsables des services est département représenté au sein de l’Ambassade.
Mise en œuvre d’un système de management de la sécurité de l’information (SMSI)
Mémoire Pour l’obtention d’un Diplôme de Mastère Professionnel
Université Virtuelle de Tunis – Mastère en Optimisation et Modernisation des Entreprises
__________________________________________
23 Article 181. 4° Tout Marocain qui livre à une autorité étrangère ou à ses agents, sous quelque forme et par quelque moyen que ce soit, un secret de la défense nationale ou qui s’assure par quelque moyen que ce soit la possession d’un secret de cette nature en vue de le livrer à une autorité étrangère ou à ses agents;