Sécurité des systèmes informatiques

Dans un monde où les cyberattaques sont de plus en plus courantes, il est crucial d’assurer la sécurité des systèmes de communication et d’information (CIS) qui traitent, sauvegardent ou envoient des informations classifiées.

Un CIS est un système informatique ou numérique, qui peut aller d’un simple ordinateur non-connecté jusqu’à un réseau informatique composé d’une multitude de serveurs et d’appareils.

Les exigences de sécurité les plus communes pour un CIS sont les suivantes :

Les mesures permettant de respecter ces exigences de sécurité sont nombreuses, et incluent notamment (liste non-exhaustive) :

• Cryptographie
• Mesures TEMPEST (sécurisation des systèmes contre les rayonnements électromagnétiques indésirables)
• Protection des réseaux informatiques
• Protection des end devices (composants/appareils en bout de ligne)
• Identity and Access Management (IAM)
• Analyses de risques
• Audits de sécurité
• Pen testing

Conduite de procédures d'approbation

Pour s’assurer du respect de ces exigences de sécurité, un CIS doit être approuvé avant de pouvoir traiter des informations classifiées. L’approbation d’un CIS est définie par la loi belge comme « l'autorisation officielle d'utiliser un système de communication et d'information pour l'utilisation d'informations classifiées après que ce système a été soumis à une procédure d'approbation ». Cette approbation doit être renouvelée à intervalles réguliers.

L’ANS est l’organisme qui exerce la compétence de la délivrance, la modification, la suspension et le retrait des approbations de CIS. La procédure d’approbation est basée sur une revue de documentation, une enquête de terrain, des interviews, des vérifications de l’évaluation et de la gestion des risques, ainsi que sur des tests techniques. Cette procédure diffère en fonction du type de CIS concerné, nous vous invitons donc à prendre contact avec la section CIS de l’ANS pour connaître la procédure d’approbation s’appliquant à votre CIS via la page Contact.

Mesures TEMPEST (protection contre la surveillance technique, l’interception et l’espionnage)

Dès le niveau "CONFIDENTIEL", les systèmes informatiques classifiés doivent également être protégés de l’émission involontaire de rayonnements indésirables qui pourraient être interceptés ou surveillés. Ces rayonnements sont des ondes qui peuvent être de différents types : électromagnétiques mais également radio, sonores ou vibratoires.

Cette protection, appelée TEMPEST, peut être réalisée de deux manières différentes.

1. La première solution est le "zoning", où l’on s’assure qu’un périmètre de sécurité de taille suffisante est installé autour des systèmes informatiques à protéger, pour s’assurer que l’atténuation de ces rayonnements sera suffisante.
2. La deuxième solution est l’utilisation de matériel informatique spécifique (appelé TEMPEST niveau A, B ou C) qui atténue ces rayonnements indésirables de manière équivalente au zoning.

L’ANS exerçant les compétences de National TEMPEST Authority, celle-ci est par conséquent en charge de vérifier les procédures de zoning au sein des entités auditées. L'ANS dresse également une liste d’entreprises qui produisent des équipements TEMPEST accrédités. Pour information, les entreprises TEMPEST accréditées par l’OTAN et l’UE sont les suivantes :

• Liste d’entreprises TEMPEST accréditées par l’OTAN
• Liste d’entreprises TEMPEST accréditées par l’UE

Rétributions

Les montants de la rétribution pour les approbations de CIS ont été établis comme suit (mis à jour le 1er janvier 2026):

• 260, €, pour l'approbation d'un CIS non-interconnecté du niveau de classification "CONFIDENTIEL", "SECRET" ou "TRÈS SECRET"
• 1.060,- €, pour l'approbation d'un CIS interconnecté

Les rétributions sont adaptées chaque année au 1er janvier en fonction de l'évolution de l'indice de santé du mois de septembre de l'année précédente. L'indice de référence est celui du mois de septembre 2023.