- 176 -
service. En outre, l’introduction de supports informatiques sur site doit être
préalablement déclarée au service de sécurité.
Compte tenu de la sensibilité de leurs fonctions, les administrateurs
réseaux font l’objet d’une attention accrue. À l’issue de l’enquête
d’habilitation, ils signent un engagement de responsabilité et un stage de
sensibilisation leur est dispensé. Dans l’exercice de leurs missions, leurs
actions sont particulièrement surveillées grâce à une « gestion de comptes à
privilèges » traçables par rebonds 1.
Des outils ont été développés en interne pour détecter l’extraction
massive de données. Par ailleurs, l’ANSSI participe à la sécurité des systèmes
d’information de la DGSE grâce à la mise à disposition, depuis l’été 2019, de
sondes sur les accès extérieurs du réseau. L’exploitation et le traitement des
alertes restent toutefois de la compétence du service.
2. À la DRSD
La plupart des données informatiques sont classifiées au niveau
« confidentiel-défense » et stockées au sein du réseau et du socle applicatif
IntraRSD, support de Sirex, fichier souverain de la DRSD, qui gère le besoin
d’en connaître dans l’accès aux informations relatives aux enquêtes
administratives. Les données classifiées au niveau « secret-défense » sont
quant à elles stockées au sein du réseau Troie.
Ces systèmes bénéficient de protections contre l’accès et la fuite de
données ; l’export de données est ainsi tracé par un système dédié dénommé
Cerbère, et la fuite massive de données est surveillée par le système de
contrôle du bureau de surveillance. À terme, le service prévoit la mise en
place d’une infrastructure de gestion de clés.
Le socle applicatif du service IntraRSD est isolé et protégé par la
DRSD elle-même, avec des chiffreurs Crypsis administrés par le service. Les
systèmes sont déployés dans toutes les emprises de la DRSD, y compris à
l’étranger et en opérations extérieures. Les administrateurs réseaux sont
habilités à un niveau supérieur à celui de l’exploitation.
3. À la DRM
Les mesures adoptées par le service sont celles du ministère des
armées. Elles assurent et réglementent un cloisonnement logique et/ou
physique, la gestion des droits d’accès, l’authentification forte 2, l’édiction des
Le rebond est un serveur à l’accès limité, défini comme point de passage obligatoire. Toutes les
requêtes (flux entrants et sortants) sont archivées.
2 Utilisation d’au moins deux facteurs d’authentification de nature distincte (par exemple un login
et un mot de passe, ainsi qu’une carte à puce ou un élément biométrique) afin de compliquer la tâche
d’un éventuel attaquant.
1