Communication and Information Systems

L’ANS effectue des tâches d’approbation et d’appui par rapport à la protection d’informations classifiées qui sont sauvegardées ou traitées via des systèmes informatiques (appelés systèmes de communication et d’information ou CIS). En outre, l’ANS agit comme autorité nationale d’approbation et délivre à cette fin des certificats pour les systèmes classifiés de communication et information approuvés. L’ANS représente également la Belgique au sein des comités de sécurité de l’information d’organisations internationales comme le Conseil de l’Union européenne et l’Organisation du Traité de l’Atlantique Nord (OTAN).

Sécurité des systèmes informatique

Dans un monde où les cyberattaques sont de plus en plus courantes, il est crucial d’assurer la sécurité des systèmes de communication et d’information (CIS) qui traitent, sauvegardent ou envoient des informations classifiées.

Un système de communication et d’information est un système informatique ou numérique, qui peut aller d’un simple ordinateur non-connecté jusqu’à un réseau informatique composé d’une multitude de serveurs et d’appareils.

Les exigences de sécurité les plus communes pour un CIS sont les suivantes :

  • Confidentialité : l’information traitée, sauvegardée ou envoyée ne peut pas être intelligible pour des tiers
  • Intégrité : l’information ne peut pas avoir été modifiée par des tiers
  • Disponibilité : le CIS doit être utilisable aux endroits et aux heures prévues
  • Authentification : l’identité d’un utilisateur doit être vérifiée
  • Non-répudiation : l’assurance qu’un utilisateur ne peut pas nier avoir effectué une action sur un CIS

Les mesures permettant de respecter ces exigences de sécurité sont nombreuses, et incluent notamment (liste non-exhaustive) :

  • Cryptographie
  • Mesures TEMPEST (sécurisation des systèmes contre les rayonnements électromagnétiques indésirables)
  • Protection des réseaux informatiques
  • Protection des end devices (composants/appareils en bout de ligne)
  • Identity and Access Management (IAM)
  • Analyses de risques
  • Audits de sécurité
  • Pen testing

 

Conduite de procédures d'approbation

Pour s’assurer du respect de ces exigences de sécurité, un CIS doit être approuvé avant de pouvoir traiter des informations classifiées. L’approbation d’un CIS est définie par la loi belge (Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé du 11 décembre 1998) comme « l'autorisation officielle d'utiliser un système de communication et d'information pour l'utilisation d'informations classifiées après que ce système a été soumis à une procédure d'approbation ». Cette approbation doit être renouvelée à intervalles réguliers.

L’ANS est l’organisme qui exerce la compétence de la délivrance, la modification, la suspension et le retrait des approbations de CIS.. La procédure d’approbation est basée sur une revue de documentation, une enquête de terrain, des interviews, des vérifications de l’évaluation et de la gestion des risques, ainsi que sur des tests techniques. Cette procédure diffère en fonction du type de CIS concerné, nous vous invitons donc à prendre contact avec la section CIS de l’ANS pour connaître la procédure d’approbation s’appliquant à votre CIS via la page Contact.

 

Mesures TEMPEST (protection contre la surveillance technique, l’interception et l’espionnage)

Dès le niveau ‘confidentiel’, les systèmes informatiques classifiées doivent également être protégées de l’émission involontaire de rayonnements indésirables qui pourraient être interceptés ou surveillés. Ces rayonnements sont des ondes qui peuvent être de différents types : électromagnétiques mais également radio, sonores ou vibratoires.

Cette protection, appelée TEMPEST, peut être réalisée de deux manières différentes. La première solution est le zoning, où l’on s’assure qu’un périmètre de sécurité de taille suffisante est installé autour des systèmes informatiques à protéger, pour s’assurer que l’atténuation de ces rayonnements sera suffisante. La deuxième solution est l’utilisation de matériel informatique spécifique (appelé TEMPEST niveau A, B ou C) qui atténue ces rayonnements indésirables de manière équivalente au zoning.

L’ANS exerçant les compétences de National TEMPEST Authority, celle-ci est par conséquent en charge de vérifier les procédures de zoning au sein des entités auditées. L'ANS dresse également une liste d’entreprises qui produisent des équipements TEMPEST accrédités. Pour information, les entreprises TEMPEST accréditées par l’OTAN et l’UE sont les suivantes :

 

Rétributions

Suite à la publication le 28 décembre 2023 de l’arrêté royal du 5 décembre 2023 fixant les montants des rétributions dues en exécution de l'article 22octies de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé, les montants de la rétribution pour les approbations de systèmes de communication et d’information (CIS) ont été établis comme suit :

  • 250 euros, pour l'approbation d'un système de CIS non-interconnecté du niveau de classification "Confidentiel", "Secret" ou "Très Secret"
  • 1000 euros, pour l'approbation d'un système de CIS interconnecté

Les rétributions sont adaptées chaque année au 1er janvier en fonction de l'évolution de l'indice de santé du mois de septembre de l'année précédente. L'indice de référence est celui du mois de septembre 2023.