2. Sommaire
Sources de droit
Degrés de classification
Personnes
Systèmes
Fonctions de sécurité
Parties concernées
2
3. Sources de droit
Belgique
• Loi du 11 décembre 1998
Loi relative à la classification et aux habilitations, attestations et
avis de sécurité
Union Européenne
• Décision du Conseil du 19 mars 2001
Règlement de
OTAN
sécurité du Conseil (2001/264/CE)
3
4. Degrés de classification
confidentialité
intégrité
disponibilité
preuve
BE
atteinte très grave
atteinte grave
atteinte
effet défavorable
UE
TRES SECRET
SECRET
CONFIDENTIEL
(diffusion restreinte)
défense
sûreté intérieure
relations internationales
potentiel économique
...
TRES SECRET UE
SECRET UE
CONFIDENTIEL UE
RESTREINT UE
intérêts de l'UE et des
Etats membres
vie privée
4
5. Personnes
BE
UE
TRES SECRET
SECRET
CONFIDENTIEL
(diffusion restreinte)
TRES SECRET UE
SECRET UE
CONFIDENTIEL UE
RESTREINT UE
Conditions d'accès à l'information classifiée
• Habilitation (EN security clearance) ≥ Degré de classification
• Need to know
Procédure d'habilitation
• "Enquête de sécurité" (vie privée) par un service de renseignement
Sûreté de l'Etat
Service Général de Renseignement et de Sécurité (Défense)
• Recours possible
5
6. Systèmes
Règlement EU (2001/264/CE)
• Objectif
Garantir la sécurité du système traitant des informations classifiées
• 3 étapes
- Evaluation (EN evaluation)
examen objectif d'un composant par rapport à une déclaration
méthode : "critères communs" (ISO 15408) p. ex.
laboratoires de contrôle agréés Ǝ?
BELAC
- Certification (EN certification)
validation du rapport d'évaluation du composant
autorité de certification Ǝ?
- Homologation (EN accreditation)
autorisation d'exploitation d'un système ICT dans son environnement
opérationnel
dossier d'homologation (analyse de risque, mesures, ...)
autorité d'homologation Ǝ Autorité Nationale de Sécurité
6
7. Fonctions de sécurité
Officier de sécurité
• Gestion des habilitations
• Respect des règles de sécurité
• Sensibilisation
Local Security Accreditation Authority
• Assistance à la préparation du dossier d'homologation
• Validation initiale du dossier d'homologation
autorité d'homologation
Fonctions cumulables
(y compris avec "conseiller en sécurité de l'information")
7
8. Parties concernées
Institutions publiques traitant des informations classifiées
Firmes privées du secteur "défense"
Fournisseurs de systèmes ICT traitant des informations classifiées
Nouvelles tendances
Grands projets internationaux (Galileo, ...)
+ disponibilité / intégrité / preuve
Médical, bancaire, ...
certification des composants
Vie privée RESTREINT UE
8