Classification Secret-défense, DR, Top-secret… Quel niveau de sécurité pour les données de l’industrie de défense ?

La protection des données est essentielle pour toutes les entreprises. Elles doivent tout mettre en œuvre pour assurer la sécurité de leurs données sensibles, confidentielles, critiques. Certains secteurs doivent cependant redoubler de vigilance, notamment les OIV (Opérateurs d’Importance Vitale). Si l’un d’eux était victime d’un acte de malveillance ou de sabotage, le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation en seraient sérieusement compromis. Parmi les secteurs visés par le statut d’OIV se trouvent notamment les activités militaires de l’Etat. Classification secret-défense, diffusion restreinte (DR)… De nombreux textes régissant le traitement et la diffusion des documents du secteur.

Industrie de défense : de fortes contraintes sécuritaires

Comme dans tout secteur d’activité, l’industrie française de défense est confrontée à des problématiques concernant le partage de documents en interne ou avec des partenaires extérieurs. Mais avec des contraintes supplémentaires liées à son statut stratégique et au niveau de confidentialité des données qui y sont traitées. Dans le cadre d’un projet de fabrication de matériel militaire par exemple, il n’est pas question d’avoir recours à des outils qui ne soient pas parfaitement sûrs et qui ne répondent aux exigences imposées au secteur.

Une classification secret-défense pour restreindre l’accès et la diffusion de documents

Lorsqu’il s’agit de la défense nationale, les règles à suivre sont strictes. La règlementation autour de la protection du secret de la défense nationale est définie dans le code de la défense. En ce qui concerne la sécurité des données dans le secteur militaire, les articles R. 2311-2 et R. 2311-3 du code de la défense définissent trois niveaux de classification restreignant l’accès ou la diffusion des documents :

• Très Secret-Défense. Ce niveau est réservé aux informations et supports qui concernent les priorités gouvernementales en matière de défense et de sécurité nationale. Leur divulgation est de nature à nuire très gravement à la défense nationale.
• Secret-défense. Ce niveau est réservé aux informations et supports dont la divulgation est de nature à nuire gravement à la défense nationale.
• Confidentiel-Défense. Ce dernier niveau est réservé aux informations et supports dont la divulgation est de nature à nuire à la défense nationale ou pourrait conduire à la découverte d’un secret de la défense national classifié Très Secret-Défense ou Secret-Défense.

Les informations liées à la défense nationale ne sont bien évidemment pas en libre accès. La classification secret-défense est très contraignante et restrictive. A raison ! Les enjeux et les risques en cas de divulgation non-autorisée sont trop importants. Pour accéder à une information classifiée, il est donc indispensable de satisfaire deux critères :

• Le besoin d’en connaître, soit la nécessité impérieuse, évaluée par l’autorité hiérarchique, d’accéder à cette information pour la bonne exécution d’une fonction ou d’une mission précise.
• L’habilitation de sécurité, soit l’autorisation d’accéder à des informations classifiées au niveau requis et précisé dans la décision.

Des informations classifiées au niveau européen

La France n’est pas la seule à tout mettre en œuvre pour protéger ses informations ultra-sensibles via une classification secret-defense notamment. Les niveaux de classification français trouvent donc des équivalents au niveau de l’UE. En effet, au niveau européen, il existe également un système de classification permettant de savoir comment traiter certaines informations. La protection du secret UE concerne tous les domaines d’activité relevant de l’Union européenne : politique, militaire, diplomatique, scientifique, économique, industriel, etc.

Les informations classifiées de l’Union européenne (ICUE) sont donc réparties en 4 niveaux en fonction de la gravité de l’impact qu’aurait leur divulgation :

• EU Top Secret. La divulgation non-autorisée d’une telle information pourrait causer un préjudice exceptionnellement grave aux intérêts essentiels de l’UE ou d’un ou de plusieurs de ses Etats membres.
• EU Secret. Une divulgation non-autorisée pourrait avoir de lourdes conséquences sur les intérêts essentiels de l’UE ou de l’un des Etats membres.
• EU Confidential. Leur divulgation non-autorisée pourrait nuire aux intérêts essentiels de l’UE ou d’un ou de plusieurs de ses Etats membres.
• EU Restricted. La divulgation non-autorisée d’une information classifiée EU Restricted pourrait être défavorable aux intérêts de l’Union européenne ou d’un de ses Etats membres.

Déterminer l’importance stratégique d’une donnée

Au-delà de la classification imposée aux données de la défense, il existe un système de classification des documents. Ce dispositif permet d’attribuer une mention afin de déterminer la valeur et l’importance stratégique d’une donnée détenue par une entreprise et, conséquemment, le niveau de protection à lui accorder. Déterminer le niveau de confidentialité revient à estimer les conséquences que pourrait avoir la diffusion non-autorisée d’un document. Il existe 4 niveaux :

• NC – Non Classifié. Cette mention s’applique uniquement aux informations qui peuvent circuler librement à l’extérieur d’un périmètre donné (un ministère, une entreprise, etc). Ces informations ne justifient d’aucune protection particulière.
• C1 – Usage interne. Il s’agit du niveau par défaut. Ce niveau regroupe les informations qui peuvent circuler librement à l’intérieur du périmètre donné.
• C2 – Diffusion Restreinte. Cette mention s’applique aux informations qui ne doivent être communiquées (y compris à l’intérieur du périmètre de l’organisation) qu’aux personnes directement concernées et identifiées précisément. La divulgation de ces informations pourrait nuire au fonctionnement d’une entité ainsi qu’au bon déroulement d’un projet ou d’une mission.
• C3 – Secret. Ce niveau est réservé aux rares informations dont la divulgation à des personnes non autorisées pourrait porter atteinte aux intérêts stratégiques de l’organisation, à sa sécurité voire à l’existence même de l’organisation ou de l’une de ses entités.

La Diffusion Restreinte : un besoin de discrétion dans le traitement des documents

Même si les informations traitées et échangées dans le secteur de la défense sont extrêmement sensibles, elles n’ont pas toutes besoin de la même attention. En effet, certaines informations n’ont pas besoin du niveau de classification présenté précédemment. Mais elles doivent tout de même être protégées et ne peuvent pas être traitées avec négligence. Elles bénéficient donc d’une mention de protection. Il peut s’agir de la mention Diffusion Restreinte (DR) par exemple. De cette façon, toute personne ayant besoin d’accéder à cette information est alertée sur la nécessité de faire preuve de discrétion dans son traitement.

S’ils ne peuvent pas être classifiés, les documents définissant en termes généraux les objectifs, options, critères de choix retenus dans les différents domaines de l’activité militaire nationale ou de la sécurité opérationnelle ou technique doivent recevoir au minimum la mention DR.

La mention DR relève de la nécessité d’éviter la divulgation, dans le domaine public, d’informations dont le regroupement ou l’exploitation pourraient :

• Conduire à la découverte d’une information classifiée
• Porter atteinte à la sécurité ou à l’ordre public, au renom des institutions, à la vie privée de leurs membres
• Porter préjudice aux intérêts économiques ou financiers de sociétés privées ou d’établissements publics

Diffusion restreinte : pour qui ?

En novembre 2011, un arrêté prévoyait que l’ANSSI définisse dans une instruction les règles applicables aux systèmes d’information traitant d’informations Diffusion Restreinte. L’instruction interministérielle n°901 a donc fixé ces règles. Cette instruction s’applique :

• Aux administrations de l’Etat qui mettent en œuvre des systèmes d’information sensibles
• Aux entités publiques soumises à la réglementation relative à la protection du potentiel scientifique et technique de la nation (PPST) qui mettent en œuvre des systèmes d’information sensibles
• Toute autre entité publique ou privée qui met en œuvre des systèmes d’information Diffusion Restreinte

Le dispositif de protection du potentiel scientifique et technique de la nation a pour but de protéger, au sein des établissements publics et privés, les savoirs et savoir-faire stratégiques ainsi que les technologies sensibles qui concourent aux intérêts souverains de la nation.

Un dispositif de protection du potentiel scientifique et technique de la nation

Les établissements sont concernés par le dispositif si la captation indue ou le détournement de leurs savoirs, savoir-faire et technologies développés ou mis en œuvre par leurs soins peuvent :

• Porter préjudice de manière significative à leur compétitivité, à celles de leurs partenaires industriels ou à celle du pays
• Générer une menace du fait d’un usage possible à des fins terroristes sur le territoire national ou à l’étranger
• Permettre le développement d’une arme conventionnelle
• Favoriser le développement d’une arme de destruction massive

L’ANSSI rappelle que plus les informations sont sensibles, plus les règles de protection des systèmes d’information sont contraignantes. Voici un système de représentation par niveau de sensibilité, texte et entité concernée.