Politique de Sécurité des Systèmes d’Information de l’Etat du Sénégal (PSSI-ES)

par · Publié · Mis à jour

INTRODUCTION

L’accomplissement de la mission des services publics et la recherche d’une meilleure efficacité passent nécessairement par la mise en œuvre de moyens qui utilisent de plus en plus les Technologies de l’Information et de la Communication (TIC).

Ce recours très large à ces nouvelles technologies, rendu nécessaire par le volume croissant des informations à traiter et par l’extension du besoin de communication, a l’inconvénient de rendre ces services dépendants de leurs systèmes d’information ; ainsi, ils sont vulnérables aux multiples menaces et attaques qui pèsent sur eux, notamment dans le domaine de la cybercriminalité qui constitue les actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible.

Ces risques, sans cesse croissants qu’implique l’utilisation des systèmes d’information,  peuvent mettre en cause l’action des services de l’Etat. C’est pourquoi, protéger l’information doit être un souci général, et sécuriser les systèmes d’information de l’Etat du Sénégal une obligation majeure, et par conséquent, un enjeu de souveraineté nationale.

En effet, la sécurité des systèmes d’information est un véritable défi à la fois technologique et économique. Elle vise généralement à assurer la confidentialité  de l’information, la disponibilité et l’intégrité de l’information et du système d’information. Afin d’atteindre ces objectifs de sécurité, il est nécessaire de mettre en œuvre une politique de sécurité applicable à l’ensemble des entités, aussi bien publiques que privées, à l’intérieur d’un domaine géographique ou fonctionnel, qui explicitera l’ensemble des règles et des recommandations destinées à protéger les ressources et les informations contre tout préjudice, et également de prévoir le cas de la faillite de la protection.

C’est pourquoi, la présente instruction, qui constitue l’une des bases fondamentales de la stratégie nationale en matière de cybersécurité, est prise pour fixer les principes et les règles à mettre en application pour assurer un niveau de sécurité optimal des systèmes d’information de l’Etat dans le respect des lois et règlements en vigueur.

Elle précise également l’organisation à mettre en place pour sa mise en œuvre. Elle définit la sécurité du personnel et répartit les responsabilités entre les différents intervenants dans ce domaine. En outre, elle fixe les objectifs et les règles relatives notamment à la sécurité physique, la sécurité logique et la sécurité de l’exploitation des systèmes d’information. Enfin, elle insiste sur le plan de secours à mettre en place pour la gestion des incidents ainsi que sur la conformité et les aspects juridiques de la sécurité des systèmes d’information.

Article 1 : Objet de l’instruction (PSSI-ES)

La présente instruction fixe les conditions de mise en œuvre de la Politique de Sécurité des Systèmes d’Information de l’Etat du Sénégal (PSSI-ES).

Bases de la Politique de Sécurité des Systèmes d’Information de l’Etat

Les principes et les règles contenus dans la Politique de Sécurité des Systèmes d’Information de l’Etat du Sénégal (PSSI-ES) s’appuient sur les textes ci-après :

  1. Au niveau national
  2. Le Code pénal ;
  3. La loi n° 70-23 du 06 juin 1970 portant organisation générale de la Défense nationale, modifiée ;
  4. La loi n° 2008-08 du 25 janvier 2008 portant sur les transactions électroniques ;
  5. La loi n° 2008-11 du 25 janvier 2008 portant sur la cybercriminalité ;
  6. La loi n° 2008-12 du 25 janvier 2008 portant sur la Protection des données à caractère personnel ;
  7. La loi n° 2008-41 du 20 août 2008 portant sur la cryptologie ;
  8. La loi n° 2011-01 du 24 février 2011 portant Code des Télécommunications ;
  9. Le décret n° 2003-512 du 02 juillet 2003 relatif à l’organisation de la Protection des secrets et des Informations concernant la Défense nationale et la sécurité de l’Etat ;
  10. Le décret n° 2008-718 du 30 juin 2008 relatif au commerce électronique pris pour l’application de la loi n° 2008-08 du 25 janvier 2008 sur les transactions électroniques ;
  11. Le décret n° 2008-719 du 30 juin 2008 relatif aux communications électroniques pris pour l’application de la loi n° 2008-08 du 25 janvier 2008 sur les transactions électroniques, notamment en son article 28 ;
  12. Le décret n° 2008-720 du 30 juin 2008 relatif à la certification électronique pris pour l’application de la loi n° 2008-08 du 25 janvier 2008 sur les transactions électroniques ; 
  13. Le décret n° 2013-1152 du 20 août 2013 relatif au Conseil national de Sécurité ;
  14. Le décret n° 2014-940 du 31 juillet 2014 portant création et organisation de la Délégation générale au Renseignement national ;
  15. L’arrêté n° 02435 du 06 février 2012 fixant les attributions et l’organisation du Service Technique Central des Chiffres et de la Sécurité des Systèmes d’Information ;
  16. L’Instruction présidentielle n° 0303 PR du 16 juillet 2003 sur la protection du secret ;
  17. L’Instruction générale interministérielle n° 54 /PM/SGPR/STCC du 06 juillet 1979 sur la sécurité des communications ;
  18. Le Guide pratique n° 0023 PR/SG du 23 janvier 2003 sur la protection du secret à l’usage des personnels des secrétariats et des bureaux du courrier ;
  19. La circulaire n° 0288 du 08 avril 2016 relative à la messagerie électronique ;
  20. La circulaire n° 0328 du 12 mai 2016 relative à la sécurité des systèmes d’information et à la cybersécurité.
  21. Au niveau international
    1. Les lignes directrices de l’Organisation de Coopération et de Développement Economique (OCDE) sur la protection de la vie privée et les flux transfrontières de données à caractère personnel :
  22. lignes directrices régissant la protection de la vie privée et les flux transfrontières de données à caractère personnel ;
  23. déclaration des flux transfrontières de données ;
  24. déclaration des ministres relative à la protection de la vie privée sur les réseaux mondiaux.
  25. Acte additionnel A/SA.1/01/10 du 16 février 2010 relatif à la protection des données à caractère personnel ;
  26. Directive C/DIR/1/0811 du 19 août 2011 portant lutte contre la cybercriminalité dans l’espace de la Communauté économique des Etats de l’Afrique de l’Ouest (CEDEAO) ;
  27. Acte additionnel A/SA.2/01/10 du 16 février 2010 sur les transactions électroniques ;
  28. Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel, adoptée par la 23ème Session Ordinaire du Sommet de l’Union Africaine à Malabo, le 27 juin 2014 ;
  29. Les normes techniques de l’Organisation Internationale de Normalisation/ Commission Electrotechnique Internationale (ISO/IEC) :
    1. ISO 27001 : Technologies de l’Information – Techniques de Sécurité – Systèmes de management de la sécurité de l’information – Exigences ;
    1. ISO 27002 : Technologies de l’Information – Techniques de Sécurité – Code de bonnes pratiques pour le management de la sécurité de l’information.
Article  2 : Principes généraux de la sécurité des systèmes d’information
  1. Définitions 
  2. Information 

Elément de connaissance, exprimé sous forme écrite, visuelle, sonore ou numérique susceptible d’être représenté à l’aide de conventions pour être utilisé, conservé,  traité ou communiqué.

L’information sensible peut être divisée en deux catégories :

  • informations sensibles classifiées : informations affectées de l’une des mentions de classification (TRES SECRET, SECRET, CONFIDENTIEL) définies par :
    • le décret n° 2003-512 du 02 juillet 2003 ;
    • l’Instruction présidentielle n° 0303 /PR du 16 juillet 2003.
  • informations sensibles non-classifiées : informations sensibles pour lesquelles le non-respect de la confidentialité, la disponibilité ou l’intégrité mettrait en cause la responsabilité du propriétaire ou du dépositaire, ou leur causerait préjudice ou à des tiers. A titre d’exemple, on peut citer les informations qui ne présentent pas un caractère secret, mais qui restent soumises à l’obligation de réserve ou de discrétion professionnelle.
  • Système d’information 

Tout moyen dont le fonctionnement fait appel d’une façon ou  d’une autre à l’électricité et qui est destiné à élaborer, traiter, stocker, acheminer, présenter ou détruire l’information.

  • Sécurité des systèmes d’information 

C’est l’état de protection, face aux risques identifiés, qui résultent de l’ensemble des mesures générales et particulières, pour assurer la confidentialité de l’information, la disponibilité et l’intégrité de l’information et du système d’information.

  • la confidentialité : le caractère réservé d’une information dont l’accès est limité aux seules personnes ayant besoin d’en connaître ;
    • la disponibilité : l’aptitude du système à remplir une fonction dans des conditions définies d’horaires, de délais et de performances ;
    • l’intégrité : la garantie que l’information n’est modifiée que par une action volontaire et légitime. Lorsque l’information est échangée, l’intégrité s’étend à l’authentification du message, c’est-à-dire à la garantie de son origine et de sa destination.
  • Principes de protection globale

La sécurité des systèmes d’information résulte de mesures générales et particulières :

  1. Mesures générales 

Mesures administratives et techniques ainsi que de contrôle des systèmes (appréciation et application des principes du besoin d’en connaître et d’utiliser, protection périmétrique des installations où sont traitées les informations sensibles, contrôle d’accès aux locaux, etc.).

  1. Mesures particulières

Inclusion, dans les systèmes d’information, de tous les dispositifs de sécurité permettant de protéger les informations en précisant les modalités de leur mise en œuvre et la limitation de l’accès aux informations relatives à ces dispositifs eux-mêmes.

Ces mesures doivent être associées pour assurer la sécurité des systèmes d’information puisqu’aucune d’elles ne permet, isolément, de garantir la disponibilité, l’intégrité et la confidentialité recherchées.

Article 3 : Champ d’application de la PSSI-ES
  1. La PSSI-ES s’applique à tous les systèmes d’information sans exception des entités de l’Etat, tenant compte des principes définis à l’article 2, et qui sont gérés aussi bien par l’Administration, les Institutions, les Organismes nationaux et le Gouvernement (Ministères, Directions générales, Services déconcentrés et les Autorités administratives). Les mesures qui y sont contenues doivent être strictement appliquées à tous les niveaux de responsabilité, que ce soit au niveau de l’Etat et même au-delà de ses structures.
  2. La PSSI-ES concerne l’ensemble des personnes physiques ou morales intervenant dans ces systèmes d’information, qu’il s’agisse des administrations de l’Etat, de leurs agents ou bien de tiers et de leurs employés.
  3. La PSSI-ES ne s’impose pas aux systèmes aptes à traiter des informations classifiées de défense, soumis à un corpus règlementaire spécifique, plus contraignant. Il appartient aux responsables des entités concernées d’assurer une cohérence entre les dispositions de la présente PSSI-ES et la règlementation relative à la protection des informations classifiées de défense.
  4. La plupart des règles de sécurité de la PSSI-ES constituent des règles de base qui doivent être appliquées plus largement, au-delà des administrations de l’Etat.
Article 4 : Organisation de l’Etat pour la mise en application de la PSSI-ES

Pour la gestion des différentes composantes de la sécurité et de leur évolution, une structure de sécurité doit être mise en place dans les différentes entités dans les conditions ci-dessous, avec une bonne répartition des responsabilités entre les différents niveaux hiérarchiques suivants :

  • niveau décisionnel ;
  • niveau pilotage ;
  • niveau opérationnel.
  1. Au niveau décisionnel

La sécurité des systèmes d’information dans les entités est assurée sous l’autorité du Ministre qui en contrôle l’application. Il peut déléguer cette responsabilité au Haut Fonctionnaire de Défense-HFD (Secrétaire général, Directeur de cabinet, Attachés de défense). La mission de ce HFD s’étend à tous les organismes qui relèvent du département ministériel, y compris les organismes sous tutelle au sein desquels l’intérêt national rend impératif la sécurisation de l’information.

  1. Au niveau pilotage

Le Haut Fonctionnaire de Défense est assisté dans sa mission par un Comité de sécurité dont les membres nommément désignés par le Chef de département agissent en tant qu’ « Autorités Qualifiées pour la Sécurité des Systèmes d’Information (AQSSI) ».

A ce niveau, il s’agit notamment des conseillers, des Directeurs généraux, des Directeurs et Chefs de service, des chargés de mission et des fonctionnaires chargés de la sécurité des systèmes d’information qui sont personnellement responsables de l’application des mesures destinées à assurer la sécurité des systèmes d’information du département.

  1. Mission du Comité de sécurité 

Veiller à la mise en œuvre de la politique de sécurité des systèmes d’information de l’Etat du Sénégal et vérifier la cohérence des règles de sécurité.

  • Missions des AQSSI 
  • s’assurer que les dispositions réglementaires sur la sécurité des systèmes d’information sont appliquées à tous les niveaux dans les systèmes d’information de l’Administration ;
  • développer à tous les échelons le souci de sécurité ;
  • apprécier en permanence le niveau de sécurité des installations ;
  • recenser les besoins en matière de protection des systèmes d’information et veiller à ce qu’ils soient satisfaits ;
  • s’assurer de la mise en œuvre des procédures prescrites pour la protection et le contrôle des personnes ;
  • s’assurer que les contrôles internes de sécurité sont régulièrement effectués ;
  • organiser la sensibilisation et la formation du personnel aux questions de sécurité de l’information.
  • Au niveau opérationnel

A ce niveau, les Autorités Qualifiées pour la Sécurité des Systèmes d’Information (AQSSI) sont assistées par un ou plusieurs Agents de Sécurité des Systèmes d’Information (ASSI), chargés de la gestion et du suivi des moyens de sécurité des systèmes d’information se trouvant sur le(s) site(s) où s’exercent leurs responsabilités.

Missions des ASSI

  1. Au plan de la protection des personnes 
  2. tenir à jour la liste des agents affectés au traitement des informations ;
  3. faire surveiller en permanence les activités du personnel extérieur, comme le personnel de maintenance, les visiteurs temporaires ou le personnel de nettoyage, appelé à effectuer des travaux temporaires ;
  4. s’assurer de l’application, par les agents de l’entité, des règles de sécurité prescrites.
    1. Au plan de la protection des informations
  5. veiller à la mise en œuvre des mesures prescrites ;
  6. tenir une comptabilité d’entrée et de sortie des supports d’information ayant reçu une mention de sensibilité, et en assurer périodiquement l’inventaire ;
  7. faire appliquer les consignes de sécurité relatives à la conservation et au stockage des supports des informations sensibles classifiées ;
  8. contrôler la destruction des informations qui ont une mention de sensibilité et qui doivent être expurgées du système.
    1. Au plan de la sécurité des systèmes et réseaux 
  9. vérifier périodiquement le bon fonctionnement des dispositifs de sécurité ;
  10. veiller au respect des procédures opérationnelles de sécurité propres au système de traitement utilisé ;
  11. s’assurer de l’installation correcte, au plan technique, des différents matériels utilisés ;
  12. établir et diffuser aux utilisateurs les éléments d’authentification pour les applications ayant reçu une mention de sensibilité ;
  13. surveiller les opérations de maintenance ;
  14. rendre compte de toute anomalie constatée.

Pour l’exercice de ses attributions, l’ASSI peut disposer d’une équipe restreinte de sécurité. La liste des ASSI et des équipes de sécurité doit être transmise au Président du Comité de sécurité. Les ASSI assistent aux réunions du Comité de sécurité.

  1. Autres Institutions, Organisations et entités privés

Les autres Institutions, Organisations et entités privées doivent s’inspirer de ce modèle d’organisation pour assurer la sécurité des systèmes d’information.

Article 5 : Contrôle et suivi de l’application de la  PSSI-ES

La sécurité des systèmes d’information dans les départements ministériels fait partie des responsabilités propres à chaque ministre qui assure le contrôle et le suivi de l’application de la PSSI-ES. Chaque ministre doit prendre des dispositions en vue de faire:

  • développer, à tous les niveaux, la culture de la sécurité ;
  • appliquer les prescriptions réglementaires ;
  • recenser les besoins en matière de sécurité des systèmes d’information et dégager les  ressources nécessaires à ce sujet ;
  • apprécier en permanence le niveau de sécurité des systèmes d’information.
Article 6 : Gestion des crises

Un centre d’alerte et de réaction aux attaques informatiques, dont l’objectif principal est d’élaborer une stratégie de traitement des incidents et de gestion des  crises, doit être mis en place afin de rétablir le fonctionnement normal des systèmes d’information de l’Etat, notamment en cas d’attaques informatiques de grande ampleur.

Toutes les structures de sécurité précitées doivent remonter tout événement pouvant affecter la sécurité des systèmes d’information et qui doit être signalé aux organismes compétents notamment, l’Agence De l’Informatique de l’Etat (ADIE), l’Autorité de Régulation des Télécommunications et des Postes (ARTP), le Service Technique Central des Chiffres et de la Sécurité des Systèmes d’Information (STCC-SSI) et tout autre organisme de l’Etat intéressé par la sécurité des systèmes d’information. Les actions à mener doivent être coordonnées afin d’atteindre l’objectif recherché.

Article 7 : Mise en œuvre

Les objectifs à atteindre et les règles à mettre en application pour assurer la sécurité des systèmes d’information de l’Etat  figurent à l’annexe, ci-jointe, qui fait partie intégrante de la présente instruction.

Article 8 : Date d’entrée en vigueur

La présente instruction entre en vigueur pour compter de sa date de signature.  

Dakar, le

                               Macky SALL

 

Vous aimerez aussi...