- 177 -
décisions d’accès, le verrouillage des ports, le filtrage des pièces jointes, la
visualisation distante des données sans rapatriement sur le disque, etc.
Le système de « double-clés » est fréquemment utilisé. À titre
d’illustration, le système d’information de base est accessible à l’aide d’une
carte à puce qui permet d’identifier l’agent et d’un hexagramme. Un accès
avec une clé unique 1 reste possible (mode dégradé) mais il empêche la
consultation des données sensibles.
Les administrateurs systèmes reçoivent une habilitation spécifique.
Comme à la DRSD, ils doivent obtenir un niveau d’habilitation supérieur à
celui du système qu’ils administrent. Pour les réseaux ministériels utilisés
par le service et administrés par la direction interarmées des réseaux
d’infrastructure et des systèmes d’information (DIRISI), cette contrainte a
contribué à une réduction drastique – de l’ordre de plusieurs centaines à
plusieurs dizaines – des personnels disposant de droits étendus sur les
systèmes, ce qui a permis de renforcer les investigations de la DRSD pour la
production des avis de sécurité concernant ces personnels qui font l’objet de
revues périodiques de leurs droits d’administration.
Les prestataires externes disposent quant à eux de comptes
spécifiques à l’accès limité, et sont systématiquement accompagnés et
surveillés. Ils doivent se conformer aux dispositions contractuelles 2, inscrites
dans les cahiers des clauses particulières, et destinées à assurer la sécurité
des données.
Le service utilise plusieurs systèmes d’information ministériels,
gouvernementaux, internationaux ou de partenaires dont la DRM n’est pas
l’opérateur. Leur sécurité est assurée par le fournisseur d’accès, c’est-à-dire
la DIRISI ou un prestataire extérieur. En revanche, la sécurité des systèmes
métier propres à la DRM est quasiment de son seul ressort (développement
et implémentation technique, corpus documentaire, etc.).
La DIRISI informe systématiquement la chaîne de sécurité des
systèmes d’information de la DRM des blocages de mails utilisant la
passerelle du réseau ministériel Intradef vers l’internet, ce qui a permis de
dissuader et même de sanctionner des compromissions de documents
classifiés. En revanche, la DRM ne semble pas disposer d’alertes pour son
propre système d’information. Le service met en avant le coût humain,
financier et organisationnel induit par l’implémentation de systèmes
d’alertes et de blocages des données.
Login et mot de passe.
Elles font l’objet d’une « annexe de sécurité ». Les dispositions sont plus ou moins contraignantes
suivant la sensibilité de la prestation fournie.
1
2