Organisation de la sécurité de l’information

5. Article « A.6 ORGANISATION DE LA SECURITE DE L’INFORMATION »

5.1- Principe

Nul n’est qualifié pour connaître des informations de Sécurité d’Etat ou supports s’il n’est habilité au niveau requis et s’il n’a le besoin de les connaître.

5.2- Implication de la direction

a. Le Conseil Supérieur de Défense à Rabat [16] : Partie non diffusée /Contenu Confidentiel

b. L’Ambassadeur de Sa Majesté le Roi [17]:
* Pour le niveau Très Secret :
o Détermine les critères et les modalités d’organisation de la protection et définit des classifications spéciales correspondant aux différentes priorités gouvernementales au sein de l’ambassade et le pays de représentation;
o fixe les conditions dans lesquelles chaque cadre ou agent et département dont il a la charge détermine les informations et supports qu’il y a lieu de classifier à ce niveau;

* Pour les niveaux Secret et Confidentiel :
o Fixe les conditions dans lesquelles chaque ministre, pour le département dont il a la charge, détermine les informations et supports qu’il y a lieu de classifier et les modalités de leur protection;

* Pour les habilitations :
o Définit la procédure préalable à la décision d’habilitation;
o Prend la décision d’habilitation pour le niveau Très Secret et indique les classifications spéciales auxquelles la personne habilitée peut accéder.

Pour l’exercice de ces compétences, l’Ambassadeur est assisté par le conseiller en sécurité, l’attaché militaire et la cellule Sécurité de l’Information.

5.3- Elaboration du Catalogues des Fonctions des Informations de Sécurité d’Etat de l’Ambassade (CFISE)

L’Ambassadeur de Sa Majesté Le Roi assisté par le conseiller en sécurité, l’attaché militaire et la cellule de sécurité de l’Information élaborent les instructions nécessaires pour faire établir au sein de chaque service de l’ambassade et pour chaque niveau de classification, la liste des fonctions nécessitant l’accès à des informations ou supports classifiés. Ces listes sont désignées «Catalogues des Fonctions des Informations de Sécurité d’Etat ».

C’est en référence aux CFISE que les demandes d’habilitation sont établies. Lorsqu’une demande d’habilitation parvient, le secrétariat particulier de l’Ambassadeur vérifie l’inscription de la fonction concernée dans le catalogue des fonctions ISE correspondant. Il examine, à titre exceptionnel, le bien-fondé de la demande lorsque l’emploi ne figure pas au catalogue.

Ces catalogues peuvent être établis par direction, par service ou au niveau des services représentés. Ils sont mis à jour au moins une fois par an, notamment à l’occasion d’une réorganisation de service.
Afin de faciliter l’actualisation, il est vérifié auprès des titulaires des postes répertoriés s’ils ont effectivement eu accès à des informations classifiées pour le niveau concerné. L’habilitation ne permet pas d’accéder sans limite à toute information ou à tout support classifié au niveau correspondant.
Une personne habilitée n’accède à une information ou à un support classifié que si son autorité hiérarchique estime que cet accès est nécessaire à l’exercice de sa fonction ou à l’accomplissement de sa mission.

L’autorité hiérarchique apprécie de façon rigoureuse et mesurée le besoin de connaître des informations classifiées.

5.4- Candidats à l’habilitation et gestion de l’habilitation

Lors de leur demande d’habilitation, les candidats sont informés, par les mentions portées sur la notice individuelle qui leur est remise, des obligations induites par l’habilitation ainsi que des dispositions relatives à leur responsabilité pénale en cas de compromission.

A la notification d’une décision d’habilitation favorable par l’officier de sécurité suite à la décision de l’Ambassadeur, l’information initiale est complétée par une séance de sensibilisation aux risques de compromission puis, par la suite, par des rappels périodiques de la réglementation en vigueur.
Une sensibilisation aux menaces d’investigations ou d’approches par des individus ou des organisations étrangères est obligatoire et des règles de prudence élémentaire sont rappelées.
L’autorité hiérarchique doit veiller à l’habilitation du personnel placé sous sa responsabilité et, à ce titre, initier, par la constitution d’un dossier, la procédure d’habilitation au niveau requis par le catalogue des fonctions ISE de l’Ambassade.

La demande d’habilitation déclenche une procédure destinée à vérifier qu’une personne peut, sans risque pour la sécurité nationale ou pour sa propre sécurité, connaître des informations ou supports classifiés dans l’exercice de ses fonctions. La procédure comprend une enquête de sécurité permettant à l’autorité d’habilitation de prendre sa décision en toute connaissance de cause.
Les informations ou supports classifiés ne peuvent être portés à la connaissance de personnes non habilitées.

Aussi, toute personne visant ou occupant un poste pour lequel le besoin d’une habilitation est avéré et qui refuserait de se soumettre à la procédure d’habilitation devra être écartée du poste considéré.

5.5- Procédure d’habilitation

La procédure préalable à la décision d’habilitation est une opération coûteuse en temps et en personnel.

Lorsqu’un poste à pourvoir exige une habilitation au niveau Secret ou Confidentiel, la procédure n’est engagée qu’au seul profit de la personne effectivement nommée dans l’emploi, sauf cas particulier.
Anticiper la prise de poste en engageant la procédure d’habilitation sans attendre la prise effective de fonction peut être une mesure de bonne gestion, qui permet à la personne nouvellement affectée de prendre connaissance des informations classifiées sans perdre de temps.
Il convient toutefois d’éviter toute surcharge inutile des services chargés de cette mission en limitant autant que possible le nombre de demandes d’habilitation.

Lorsque l’habilitation requise est du niveau Très Secret, il revient au Conseil Supérieur de Défense à Rabat d’apprécier l’opportunité d’une enquête portant sur chacun des candidats au poste concerné.

5.5.1- Constitution du dossier

Le dossier d’habilitation a pour objet de réunir les éléments qui seront vérifiés lors de l’enquête de sécurité. Il est en format papier et constitué de :
– La demande d’habilitation formulée par le chef du service employeur attestant le besoin de connaître des informations ou supports classifiés à un niveau donné, pour une personne nommément désignée;
– La notice individuelle de sécurité, renseignée intégralement par l’intéressé et vérifiée par l’officier de sécurité de l’ambassade. Elle est établie en trois exemplaires (un original et deux photocopies, datées et revêtues de la signature originale du candidat);
– Trois photographies d’identité originales, identiques et récentes.

5.5.2- Instruction du dossier

Les enquêtes de sécurité menées dans le cadre de la procédure d’habilitation sont des enquêtes administratives et d’environnement permettant de déceler chez le candidat d’éventuelles vulnérabilités.

Elles sont diligentées par le Conseil Supérieur de Défense, le service enquêteur du ministère de l’intérieur et le service enquêteur de l’administration de la défense [16].

Les enquêtes sont fondées sur des critères objectifs permettant de déterminer si l’intéressé, par son comportement ou par son environnement proche, présente une vulnérabilité, soit parce qu’il constitue lui-même une menace pour la sécurité, soit parce qu’il se trouve exposé à un risque de chantage ou de pressions pouvant mettre en péril les intérêts de l’Etat, chantage ou pressions exercés par un service étranger de renseignement, un groupe terroriste, une organisation ou une personne se livrant à des activités subversives.

5.5.3- Clôture de l’instruction et avis de sécurité, durée d’habilitation et conclusions

Les enquêtes menées dans le cadre de l’habilitation s’achèvent par l’émission d’un avis de sécurité, par lequel les services enquêteurs font connaître les conclusions techniques à l’Ambassadeur pour prendre la décision d’habilitation.

Cet avis est une évaluation des vulnérabilités éventuellement détectées lors des enquêtes et permettent à l’Ambassadeur d’apprécier l’opportunité de l’habilitation de l’intéressé, au regard des éléments communiqués et des garanties qu’il présente pour le niveau d’habilitation requis.

Les conclusions de l’avis de sécurité sont de trois types :
– «avis sans objection», lorsque l’instruction n’a révélé aucun élément de vulnérabilité de nature à constituer un risque pour la sécurité des informations ou supports classifiés ni pour celle de l’intéressé;
– « avis restrictif », lorsque l’intéressé présente certaines vulnérabilités constituant des risques directs ou indirects pour la sécurité des informations ou supports classifiés auxquels il aurait accès, mais que des mesures de sécurité spécifiques prises par l’officier de sécurité permettraient de maîtriser;
– «avis défavorable», lorsque des informations précises font apparaître que l’intéressé présente des vulnérabilités faisant peser sur le secret des risques tels qu’aucune mesure de sécurité ne semble suffisante à les neutraliser.

L’avis de sécurité est émis pour un niveau donné d’habilitation. L’avis « sans objection » est valable pour le niveau précisé ainsi que pour le(s) niveau(x) inférieur(s).

Pour les avis restrictifs ou défavorables, les services enquêteurs se prononcent, au cas par cas, sur l’opportunité d’accorder une habilitation pour le(s) niveau(x) inférieur(s). Les avis restrictifs ou défavorables sont classifiés au niveau Confidentiel.

Les avis restrictifs et défavorables sont assortis d’une fiche confidentielle indiquant les motifs de l’avis. Cette fiche est composée de deux parties distinctes, permettant de séparer les éléments, non classifiés, qui peuvent être communiqués au candidat, de ceux, le cas échéant classifiés, qui ne peuvent être portés qu’à la connaissance de l’Ambassadeur.

Ne pouvant être reproduite, la fiche confidentielle est retournée après communication et sans délai au service enquêteur qui l’a émise, aux fins de conservation.

La durée de validité de l’avis de sécurité est fonction du niveau d’habilitation demandé. Elle ne peut excéder :
– Cinq ans pour le niveau Très Secret;
– Sept ans pour le niveau Secret;
– Dix ans pour le niveau Confidentiel.

L’avis de sécurité ne constitue en soi ni une autorisation ni un refus, et ne lie pas l’Ambassadeur, qui prend sa décision après avoir apprécié les différents éléments recueillis pendant l’instruction du dossier.

5.6- La décision d’habilitation

La décision d’habilitation ou de refus d’habilitation est prononcée par l’Ambassadeur au regard des conclusions du service enquêteur. Quel que soit le sens de l’avis de sécurité, auquel il n’est d’ailleurs fait aucune référence dans la décision, l’Ambassadeur peut admettre ou rejeter une demande d’habilitation.

L’Ambassadeur peut décider, lorsque l’enquête a mis en valeur des éléments de vulnérabilité, de n’accorder l’habilitation qu’après avoir pris des précautions particulières déclenchées par une procédure de mise en garde.

5.6.1- La décision d’habilitation

La décision d’habilitation est l’autorisation donnée à une personne, en fonction de son besoin d’en connaître, d’accéder aux informations ou supports classifiés au niveau précisé dans la décision, ainsi qu’au(x) niveau(x) inférieur(s).

Pour le niveau Très Secret, la décision précise la classification spéciale concernée. Lorsqu’une personne doit avoir accès de façon régulière à des informations relevant de plusieurs classifications spéciales, une décision d’habilitation doit être émise pour chacune de ces classifications. Aussi une personne peut-elle être visée par plusieurs décisions d’habilitation.

5.6.2- La mise en garde

Lorsqu’un avis de sécurité est restrictif ou défavorable, l’Ambassadeur peut néanmoins décider d’accorder l’habilitation tout en mettant en garde l’officier de sécurité compétent.

Cette procédure permet à celui-ci de mettre en œuvre des mesures de sécurité ou de prendre des précautions particulières à l’égard de l’intéressé, si nécessaire avec le conseil supérieur de défense ou du service enquêteur. Le service enquêteur, en liaison avec le Conseil Supérieur de défense, apprécie, parmi les éléments révélés par l’enquête, ce qu’il convient de communiquer à l’officier de sécurité et, le cas échéant, aux chefs de services. A l’issue de l’entretien de mise en garde, une attestation particulière est signée par l’officier de sécurité de l’ambassade.

La décision d’habilitation n’est rendue qu’à l’issue de la procédure. L’attestation est conservée par l’Ambassadeur.
Au niveau Très Secret, la procédure de mise en garde est menée par le Conseil Supérieur de Défense, qui conserve l’attestation.

5.6.3- La mise en éveil

Lorsque l’Ambassadeur décide d’accorder l’habilitation sur la base d’un avis de sécurité restrictif ou en dépit d’un avis de sécurité défavorable, il peut choisir de demander la mise en éveil de l’intéressé, qui consiste à sensibiliser ce dernier sur les éléments communicables de vulnérabilité révélés par l’enquête.

La mise en éveil est menée par l’ambassadeur, en présence de l’officier de sécurité. L’ambassadeur définit les modalités de la mise en éveil en liaison avec le service enquêteur et peut, au cas par cas, solliciter sa présence lors de l’entretien avec l’intéressé. Le cas échéant, l’officier de sécurité étudie avec ce service les mesures de sécurité complémentaires à mettre en œuvre au regard de la situation.
A l’issue de l’entretien de mise en éveil, une attestation particulière est signée par le représentant de l’ambassadeur, par l’officier de sécurité et par l’intéressé.
La décision d’habilitation n’est rendue qu’à l’issue de la procédure. L’attestation est conservée par l’ambassadeur.
Au niveau Très Secret, la mise en éveil est menée par le Conseil Supérieur de Défense, qui conserve l’attestation.

5.6.4- Le refus d’habilitation

L’intéressé est informé de la décision défavorable prise à son endroit. Un refus d’habilitation n’a pas à être motivé lorsqu’il repose sur des informations qui ont été classifiées.

5.7- La notification de la décision

La décision prise par l’ambassadeur est transmise à l’officier de sécurité. A réception, ce dernier notifie au candidat à l’habilitation la décision individuelle prise à son endroit, qu’elle soit favorable ou non.

5.7.1- Décision favorable et engagement de responsabilité

La décision d’habilitation est notifiée par l’officier de sécurité compétent à l’intéressé, qui signe un engagement de responsabilité.

Par cet acte, le candidat reconnaît avoir eu connaissance des obligations particulières imposées par l’accès à une information ou à un support classifié, ainsi que des sanctions prévues en cas d’inobservation, délibérée ou non, de la réglementation protégeant l’information de sécurité d’Etat.
Il est également notifié à l’intéressé qu’il est tenu d’informer au plus vite, pendant toute la durée de son habilitation, l’officier de sécurité de tout changement affectant sa vie personnelle (mariage, divorce, établissement ou rupture d’une vie commune…), relations professionnelles ou son lieu de résidence.

Il lui est signifié qu’il devra l’informer de toute relation suivie et fréquente, dépassant le strict cadre professionnel, avec un ou plusieurs citoyens étrangers.
L’officier de sécurité devra alors lui faire remplir, afin de mettre à jour les informations, une notice individuelle et la transmettre à l’ambassadeur.
Ce changement de situation pourra justifier un réexamen du dossier d’habilitation et, le cas échéant, la saisie du service enquêteur en vue de l’émission d’un nouvel avis.

Le second volet de cet engagement est signé par l’intéressé à la cessation de ses fonctions ou au retrait de l’habilitation, et précise que les obligations relatives à la protection des informations classifiées auxquelles il a pu être donné accès, perdurent au- delà du terme mis à ses fonctions ou à son habilitation. Une fois signé, ce second volet est retourné à l’ambassadeur.

5.7.2- Refus d’habilitation

La décision de refus d’habilitation est notifiée à l’intéressé par l’officier de sécurité.
L’intéressé contresigne la décision, attestant ainsi en avoir pris connaissance.

Si le candidat sollicite, par l’exercice d’un recours, une explication du rejet de la demande d’habilitation, il obtient communication des motifs lorsqu’ils ne sont pas classifiés. Lorsqu’ils le sont, le candidat se voit opposer les règles applicables aux informations classées.

5.8- Habilitation et changement d’affectation

Lorsqu’une personne habilitée change d’affectation, son habilitation prend fin et une autre décision peut être prise, si la nouvelle affectation l’exige, sur la base de l’avis de sécurité en cours.

Si l’ambassadeur change, l’officier de sécurité de l’ambassade renvoie la décision d’habilitation et l’engagement de responsabilité à l’ambassadeur sortant.
Afin d’informer le nouvel ambassadeur qu’un avis de sécurité est en cours de validité, l’officier de sécurité de l’ambassade lui transmet un certificat de sécurité.
Si l’avis est restrictif ou défavorable, le nouvel ambassadeur peut, pour prendre sa décision, demander à connaître les motifs qui l’ont justifié.

Pour le niveau Très Secret, lorsque l’habilitation est devenue sans objet en raison du changement d’affectation de son titulaire, l’ambassadeur en avise le Conseil Supérieur de Défense et lui renvoie sans délai la décision d’habilitation ainsi que l’engagement de responsabilité (volet 2), dûment signé.

5.9- Conservation des décisions

Pendant leur durée de validité, les décisions d’habilitation sont conservées par l’officier de sécurité. Ces documents, qui portent une mention de protection, ne sont en aucun cas remis aux intéressés ni reproduits.

En cas de nécessité, il peut être remis aux intéressés, par l’ambassadeur, un certificat de sécurité délivré pour une mission déterminée et une période limitée. La délivrance de ces certificats peut être déléguée à l’officier de sécurité. Ce certificat est restitué à l’officier de sécurité dès le retour de mission.

5.10- Répertoire des habilitations

Il est tenu, pour chacun des trois niveaux de classification, un répertoire :
* Des dossiers d’habilitation en cours d’instruction;
* Des habilitations en cours de validité.

Le Conseil Supérieur de Défense tient à jour le répertoire central des habilitations au niveau Très Secret.
Un rapport de suivi trimestriel des personnes habilitées est adressé au Conseil Supérieur de Défense.

5.11- Fin de l’habilitation

L’habilitation prend fin de trois manières : soit lorsque l’intéressé quitte le poste qui a motivé son habilitation, soit lorsque la validité de l’habilitation expire, soit parce que l’habilitation est retirée.

5.11.1- Cessation des fonctions

L’habilitation liée à l’occupation d’un poste ou à l’exercice d’une fonction déterminée expire lorsque son titulaire change d’affectation ou cesse ses fonctions. En quittant l’emploi précisé dans la décision d’habilitation, le titulaire signe, le second volet de l’engagement de responsabilité.

5.11.2- Expiration de validité et renouvellement

Le titulaire d’une habilitation dont le terme fixé dans la décision arrive à échéance signe, le second volet de son engagement de responsabilité.

Seule une demande de renouvellement, engagée dans les formes et les délais requis, permet de proroger provisoirement la validité de l’habilitation, afin d’éviter une interruption inopportune des conditions d’emploi, de fonction ou de la mission du titulaire.

La demande de renouvellement doit être effectuée dans le délai de six mois et, au plus tard, un mois avant la date d’expiration de l’habilitation en cours.
Elle doit comprendre une nouvelle demande d’habilitation et trois exemplaires, mis à jour et signés, de la notice individuelle, accompagnés de trois photographies datant de moins d’un an.
La validité de la décision initiale d’habilitation est prorogée d’une durée maximale de douze mois après péremption de l’avis de sécurité, lorsque le besoin de connaître des informations classifiées subsiste au-delà de la durée de validité de cet avis, et à la condition impérative qu’une demande de renouvellement ait été régulièrement engagée, dans l’attente des conclusions de l’instruction du nouveau dossier.

Cette prorogation est autorisée dans les mêmes conditions lorsqu’une demande, à un niveau supérieur, est formulée dans le délai de six à un mois (au plus tard) précédant la date d’expiration de l’habilitation en cours.

5.11.3- Retrait d’habilitation

La décision d’habilitation ne confère pas à son bénéficiaire de droit acquis à son maintien. L’habilitation peut être retirée en cours de validité ou à l’occasion d’une demande de renouvellement si l’intéressé ne remplit plus les conditions nécessaires à sa délivrance, ce qui peut être le cas lorsque des éléments de vulnérabilité apparaissent, signalés par exemple par :
– Le service enquêteur;
– Le supérieur hiérarchique ou l’officier de sécurité, à la suite d’un changement de situation ou de comportement révélant un risque pour la sécurité nationale.

La décision de retrait est notifiée à l’intéressé dans les mêmes formes que le refus d’habilitation, sans que les motifs lui soient communiqués s’ils sont classifiés.

L’intéressé est informé des voies de recours et des délais qui lui sont ouverts pour contester cette décision.

6. Conclusion

L’intégralité de notre travail de mise en place d’un SMSI central conformément à la norme ISO/CEI 27001 au sein de l’Ambassade du Royaume du Maroc en Tunisie a été validée et félicitée par les Services Centraux au Maroc et le Conseil Supérieur de Défense.

A l’issue de ce travail, une perspective de généralisation de cette mise en place sur l’ensemble des représentations diplomatiques marocaines à l’étranger est envisagée par le Ministère des Affaires Etrangères pour l’année 2012. L’objectif futur est d’aboutir à une certification du réseau diplomatique marocain par un organisme accrédité par l’ISO d’où une nouvelle mission que je serai amené à chapoter.

L’obstacle principal rencontré lors de ce travail est sur le volet de diffusion partielle du contenu de ce rapport pour les raisons académiques. Apres deux mois d’attente, il m’est autorisé de diffuser que les parties contenues dans ce rapport.

Grâce au programme poursuivit au sein de ce master, j’ai pu contribuer au développement et à l’optimisation du fonctionnement de l’Ambassade du Royaume du Maroc en Tunisie par la réussite de la mise en place d’un SMSI central conforme à la norme ISO/CEI 27001.

Mise en œuvre d’un système de management de la sécurité de l’information (SMSI)
Mémoire Pour l’obtention d’un Diplôme de Mastère Professionnel
Université Virtuelle de Tunis – Mastère en Optimisation et Modernisation des Entreprises

Table des matières :
Introduction
Première partie : Etat de l’art des systèmes de management de la sécurité de l’information
1. Introduction
2. Définitions
2.1- L’ISO (Organisation Internationale de Normalisation)
2.2- Les normes
2.3- La normalisation
2.4- Historique des normes en matière de sécurité de l’information
3. Les SMSI (Systèmes de Management de la Sécurité de l’Information)
3.1- Les systèmes de management
3.2- Sécurité de l’information
4. Les normes de la famille ISO/CEI 2700x
Deuxième partie : La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act)
1. Introduction
2. Phase « PLAN » du PDCA
2.1- Politique et périmètre du SMSI
2.2- Appréciation des risques
3. Phase « DO » du PDCA
4. Phase « CHECK » du PDCA
4.1- Les audits internes
4.2- Les contrôles internes
4.3- Revues de direction
5. Phase « ACT » du PDCA
Troisième partie : Implémentation et Mise en œuvre de la norme ISO / CEI 27001
1. Introduction
2. Structure d’accueil
3. Audit Préalable de l’existant
3.1- Démarche de l’audit préalable
3.2- Conclusion de l’audit
4. Article « A.5 POLITIQUE DE SECURITE »
4.1- Fondements
4.2- Définitions
4.3- Champ d’application
4.4- La classification
4.5- Mentions particulières de confidentialité et les Informations Sensibles Non Classées (ISNC)
4.6- L’accès aux informations traitées à l’ambassade (Information de Sécurité d’Etat)
4.7- Lieux abritant des informations de sécurité d’Etat
4.8- Contrôles et inspections
5. Article « A.6 ORGANISATION DE LA SECURITE DE L’INFORMATION »
5.1- Principe
5.2- Implication de la direction
5.3- Elaboration du Catalogues des Fonctions des Informations de Sécurité d’Etat de l’Ambassade (CFISE)
5.4- Candidats à l’habilitation et gestion de l’habilitation
5.5- Procédure d’habilitation
5.6- La décision d’habilitation
5.7- La notification de la décision
5.8- Habilitation et changement d’affectation
5.9- Conservation des décisions 72
5.10- Répertoire des habilitations
5.11- Fin de l’habilitation
6. Conclusion



Leave a Reply

Your email address will not be published. Required fields are marked *