La protection des données est essentielle pour toutes les entreprises. Elles doivent tout mettre en œuvre pour assurer la sécurité de leurs données sensibles, confidentielles, critiques. Certains secteurs doivent cependant redoubler de vigilance, notamment les OIV (Opérateurs d’Importance Vitale).
Si l’un d’eux était victime d’un acte de malveillance ou de sabotage, le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation en seraient sérieusement compromis.
Parmi les secteurs visés par le statut d’OIV se trouvent notamment les activités militaires de l’Etat. Classification Secret, diffusion restreinte (DR)… De nombreux textes régissent le traitement et la diffusion des documents du secteur.
Industrie de défense : de fortes contraintes sécuritaires
Comme dans tout secteur d’activité, l’industrie française de défense est confrontée à des problématiques concernant le partage de documents en interne ou avec des partenaires extérieurs. Mais avec des contraintes supplémentaires liées à son statut stratégique et au niveau de confidentialité des données qui y sont traitées.
Dans le cadre d’un projet de fabrication de matériel militaire par exemple, il n’est pas question d’avoir recours à des outils qui ne soient pas parfaitement sûrs et qui ne répondent aux exigences imposées au secteur.
Une classification secret-défense pour restreindre l’accès et la diffusion de documents
Lorsqu’il s’agit de la défense nationale, les règles à suivre sont strictes. La règlementation autour de la protection du secret de la défense nationale est définie dans le code de la défense.
La réforme de juillet 2021 acte le passage de trois à deux niveaux de classification en substituant aux niveaux Confidentiel Défense, Secret Défense et Très Secret Défense, les nouveaux niveaux Secret et Très Secret.
- Secret. Le niveau Secret pour les informations et supports dont la divulgation ou auxquels l’accès est de nature à porter atteinte à la défense et la sécurité nationale ;
- Très secret. Le niveau Très Secret pour les informations et supports dont la divulgation ou auxquels l’accès aurait des conséquences exceptionnellement graves pour la défense et la sécurité nationale.
SecNumCloud : label de confiance
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Les informations liées à la défense nationale ne sont bien évidemment pas en libre accès. La classification secret-défense est très contraignante et restrictive. A raison ! Les enjeux et les risques en cas de divulgation non autorisée sont trop importants. Pour accéder à une information classifiée, il est donc indispensable de satisfaire deux critères :
- Le besoin d’en connaître, soit la nécessité impérieuse, évaluée par l’autorité hiérarchique, d’accéder à cette information pour la bonne exécution d’une fonction ou d’une mission précise.
- L’habilitation de sécurité, soit l’autorisation d’accéder à des informations classifiées au niveau requis et précisé dans la décision.
Des informations classifiées au niveau européen
La France n’est pas la seule à tout mettre en œuvre pour protéger ses informations ultra-sensibles via une classification secret-defense notamment.
Les niveaux de classification français trouvent donc des équivalents au niveau de l’UE. En effet, au niveau européen, il existe également un système de classification permettant de savoir comment traiter certaines informations.
La protection du secret UE concerne tous les domaines d’activité relevant de l’Union européenne : politique, militaire, diplomatique, scientifique, économique, industriel, etc.
Les informations classifiées de l’Union européenne (ICUE) sont donc réparties en 4 niveaux en fonction de la gravité de l’impact qu’aurait leur divulgation :
- EU Top Secret. La divulgation non-autorisée d’une telle information pourrait causer un préjudice exceptionnellement grave aux intérêts essentiels de l’UE ou d’un ou de plusieurs de ses Etats membres.
- EU Secret. Une divulgation non-autorisée pourrait avoir de lourdes conséquences sur les intérêts essentiels de l’UE ou de l’un des Etats membres.
- EU Confidential. Leur divulgation non-autorisée pourrait nuire aux intérêts essentiels de l’UE ou d’un ou de plusieurs de ses Etats membres.
- EU Restricted. La divulgation non-autorisée d’une information classifiée EU Restricted pourrait être défavorable aux intérêts de l’Union européenne ou d’un de ses Etats membres.
Déterminer l’importance stratégique d’une donnée
Au-delà de la classification imposée aux données de la défense, il existe un système de classification des documents. Ce dispositif permet d’attribuer une mention afin de déterminer la valeur et l’importance stratégique d’une donnée détenue par une entreprise et, conséquemment, le niveau de sécurité à lui accorder.
Déterminer le niveau de confidentialité revient à estimer les conséquences que pourrait avoir la diffusion non-autorisée d’un document. Il existe 4 niveaux :
- NC – Non Classifié. Cette mention s’applique uniquement aux informations qui peuvent circuler librement à l’extérieur d’un périmètre donné (un ministère, une entreprise, etc). Ces informations ne justifient d’aucune protection particulière.
- C1 – Usage interne. Il s’agit du niveau par défaut. Ce niveau regroupe les informations qui peuvent circuler librement à l’intérieur du périmètre donné.
- C2 – Diffusion Restreinte. Cette mention s’applique aux informations qui ne doivent être communiquées (y compris à l’intérieur du périmètre de l’organisation) qu’aux personnes directement concernées et identifiées précisément. La divulgation de ces informations pourrait nuire au fonctionnement d’une entité ainsi qu’au bon déroulement d’un projet ou d’une mission.
- C3 – Secret. Ce niveau est réservé aux rares informations dont la divulgation à des personnes non autorisées pourrait porter atteinte aux intérêts stratégiques de l’organisation, à sa sécurité voire à l’existence même de l’organisation ou de l’une de ses entités.
La Diffusion Restreinte (ou Classifiés) : un besoin de discrétion dans le traitement des documents
Même si les informations traitées et échangées dans le secteur de la défense sont extrêmement sensibles, elles n’ont pas toutes besoin de la même attention. En effet, certaines informations n’ont pas besoin du niveau de classification présenté précédemment. Mais elles doivent tout de même être protégées et ne peuvent pas être traitées avec négligence.
Elles bénéficient donc d’une mention de protection. Il peut s’agir de la mention Diffusion Restreinte (DR) par exemple. De cette façon, toute personne ayant besoin d’accéder à cette information est alertée sur la nécessité de faire preuve de discrétion dans son traitement.
Classification et protection des données
Protégez et sécurisez vos données sensibles grâce au SecNumCloud.
S’ils ne peuvent pas être classifiés, les documents définissant en termes généraux les objectifs, options, critères de choix retenus dans les différents domaines de l’activité militaire nationale ou de la sécurité opérationnelle ou technique doivent recevoir au minimum la mention DR.
Un dispositif de protection du potentiel scientifique et technique de la nation
Les établissements sont concernés par le dispositif si la captation indue ou le détournement de leurs savoirs, savoir-faire et technologies développés ou mis en œuvre par leurs soins peuvent :
- Porter préjudice de manière significative à leur compétitivité, à celles de leurs partenaires industriels ou à celle du pays
- Générer une menace du fait d’un usage possible à des fins terroristes sur le territoire national ou à l’étranger
- Permettre le développement d’une arme conventionnelle
- Favoriser le développement d’une arme de destruction massive
L’ANSSI rappelle que plus les informations sont sensibles, plus les règles de protection des systèmes d’information sont contraignantes. Voici un système de représentation par niveau de sensibilité, texte et entité concernée.