Sécurité informatique

La sécurité des systèmes de communication et d’information qui traitent, sauvegardent ou envoient des informations classifiées est déterminée par les mesures de protection qui ont été prises pour garantir la disponibilité, l’intégrité et la confidentialité de ces systèmes. Ces mesures sont appliquées sur base d’une évaluation du risque. Il existe différents types de mesures, tel que l’installation de produits de cryptage ou la sécurisation des systèmes contre les rayonnements électromagnétiques indésirables. Il va de soi que les personnes qui traitent des informations classifiées de façon digitale doivent être elles-mêmes en possession d’une habilitation de sécurité.

Produits de protection et de cryptage pour ICT

Les organisations qui opèrent des systèmes de communication et d’information sécurisés doivent utiliser des produits de protection approuvés par l’Autorité Nationale de Sécurité compétente ou par l’Organisation internationale compétente. Plus d’informations à ce sujet peuvent être trouvées entre autres dans la règlementation en vigueur et dans les instructions de sécurité des contrats classifiés.

L’Autorité Nationale de Distribution (AND) gère le matériel pour la protection cryptographique d’informations classifiées en Belgique.

En ce qui concerne la protection d’informations classifiées nationales, l’Autorité Nationale de Sécurité approuve également, sous condition d’accord préalable, l’utilisation de produits de protection ICT approuvés par le Conseil de l’Union Européenne ou l’Organisation du Traité de l’Atlantique Nord  (OTAN).

Mesures TEMPEST (protection contre la surveillance technique, l’interception et l’espionnage)

 

Dès le niveau ‘confidentiel’, des informations classifiées doivent également être protégées contre l’abus de rayonnements électromagnétiques indésirables. Ceci est opéré par des mesures de sécurité qui permettent de protéger les systèmes électroniques entre autres contre l’interception et la surveillance technique. Dans ce cas également, le Conseil de l’Union Européenne et l’Organisation du Traité de l’Atlantique Nord (OTAN) travaillent avec des produits d’entreprises accrédités. Sous condition d’autorisation préalable, l’Autorité Nationale de Sécurité peut également approuver l’utilisation de ces produits.

Homologation de systèmes d’information et de communication

Les systèmes de communication ou d’information (SCI) utilisés par une entreprise ou une administration pour manipuler des informations classifiées doivent auparavant être approuvés par l’Autorité Nationale de Sécurité (ANS). Lors de l’homologation, l’on vérifie par le biais d’une évaluation du risque si ces systèmes sont suffisamment sécurisés selon les normes en vigueur. Toute interconnexion de systèmes de communication et d’information doit également être homologuée. 

Une demande d’homologation d’un système de communication et d’information doit être effectuée en envoyant le certificat de conformité à l'ANS via l’Autorité d’Accréditation Locale (LSAA). Sur base de ce certificat et d’un audit, l'ANS décide de l’approbation du système de communication et d’information.

Une homologation doit être demandée pour:

  • Des systèmes de communication et d’information ou des interconnexions
  • Des déplacement de systèmes de communication ou d’information ou d’interconnexions
  • L’introduction de fonctionnalités approuvées (ex. introduction de serveurs web)
  • L’introduction de nouvelles fonctionnalités (ex. introduction d’un software développé de manière autonome)

L’homologation de SCI et d’éventuelles interconnexions se fait en deux phases :

1. Test

Lors de cette première phase, des tests sont effectués pendant une période limitée. Durant les tests, seules des informations non-classifiées peuvent être échangées.

2. Homologation

Lors de la deuxième phase, l’on évalue si l’homologation peut être octroyée. Une homologation est en principe valable pour trois ans maximum.

Dans des cas exceptionnels ou très urgents pour lesquels postposer la mise en application d’un système causerait des dommages sérieux, une procédure d’urgence peut être appliquée. Dans ce cas, une homologation peut être octroyée temporairement après approbation. Les systèmes de communication et d’information concernés doivent par après être homologués le plus rapidement possible selon la procédure normale comme décrite ci-dessus.