Avec la dématérialisation croissante, les informations sensibles des entreprises méritent une attention particulière, qui passe par un renforcement des moyens de protection. Une règle qui vaut autant pour les acteurs privés que publics, des TPE/PME aux acteurs industriels du secteur de la Défense. Pour y répondre, la mention Diffusion Restreinte est une piste obligatoire pour certains, recommandée pour d'autres. Présentation.
Entre la mention de protection et les systèmes d’information, architectures ou encore solutions de cybersécurité conforme à celle-ci : il n’est pas simple de s’y retrouver quand il est question de Diffusion Restreinte. Diffusion Restreinte, qu’est-ce que c’est ? Apparu officiellement pour la première fois début 1991 dans une circulaire du gouvernement français (circulaire n°150 SGDN/DISSI/SCSSI), le terme de Diffusion Restreinte (ou DR) a toujours été associé à la question de la classification des informations. Au fur et à mesure des évolutions des textes de lois, il s’avère qu’il ne concerne plus uniquement le secteur militaire et s’ouvre aux autres secteurs d’activité. Mais en quoi peut-elle être utile aux entreprises du monde civil ? Passage en revue des opportunités.
Diffusion Restreinte : la protection des informations sensibles
Début 2015, l’instruction interministérielle relative à la protection des systèmes d’information sensibles (II n°901/SGDSN/ANSSI) va compléter la documentation autour du terme DR et définir les systèmes d’information Diffusion Restreinte comme « les systèmes d'information sensibles qui traitent d'informations portant la mention Diffusion Restreinte ». Cette instruction interministérielle détaille également son champ d’application. Sont ainsi concernés les administrations de l’État qui mettent en œuvre des systèmes d’information sensibles ; les entités publiques soumises à la réglementation relative à la protection du potentiel scientifique et technique de la nation (PPST) qui mettent en œuvre des systèmes d’information sensibles ; et enfin toute autre entité publique ou privée qui met en œuvre des systèmes d’information Diffusion Restreinte.
Exit donc le lien unique et exclusif avec le monde militaire. Quelques années plus tard, le document de ‘Fiches pratiques à destination des personnes habilitées’, édité par le Secrétariat général de la défense et de la sécurité nationale viendra bien préciser que « la protection accordée aux documents et supports portant la mention Diffusion Restreinte ne relève pas du secret de la défense nationale ». L’instruction générale interministérielle sur la protection du secret de la défense nationale (IGI n°1300/SGDSN/PSE/PSD) viendra préciser l’objectif principal de la mention DR, à savoir « de sensibiliser l’utilisateur à la nécessaire discrétion dont il doit faire preuve dans la manipulation des informations et supports couverts par cette mention ».
Ainsi, le terme Diffusion Restreinte est une mention de protection qui vise à sécuriser les informations considérées comme sensibles mais non-classifiées. Car cette mention Diffusion Restreinte n’appartient pas aux timbres de classification officiels « Secret » et « Très Secret » (qui ont pris la suite des niveaux « Confidentiel Défense », « Secret Défense » et « Très Secret Défense »). Les données concernées par la mention DR « sont des données catégorisées comme critiques, mais qui ne rentrent pas pour autant dans le cadre du Secret ou Très Secret, éclaire Stéphane Prévost, Product Marketing Manager chez Stormshield. On parle alors de données qui sont protégées, en opposition aux données classifiées. Par exemple, on peut supposer que le plan d’organisation des locaux du ministère de la Défense est une information portant la mention Diffusion Restreinte, mais pas le code d’accès pour atteindre le bouton rouge des frappes de missiles nucléaires. Cette dernière est une information classifiée qui relèverait du Très Secret. »
Diffusion Restreinte : la protection des échanges de données
En parallèle de la mention de protection de l’information, le terme de Diffusion Restreinte peut également s’appliquer à des systèmes d’information de manière plus globale. Par extension (ou abus de langage), il est possible dès lors de dire que le terme DR peut alors désigner différents éléments : le niveau d’habilitation d’un système à stocker et manipuler ce genre d’informations, le niveau d’habilitation d’une solution de sécurité pour protéger de tels systèmes ou données, ou encore l’homologation d'un système d'information pour qualifier son caractère critique. Une analyse partagée par Arnaud Dufournet, Chief Marketing Officer chez TheGreenBow : « Les responsables des systèmes d'information qui traitent des informations sensibles vont homologuer, c’est-à-dire habiliter, leur système, en le qualifiant en Diffusion Restreinte. Cela implique de suivre un certain nombre de mesures de sécurité informatique qui sont mises en place par le RSSI, en fonction d’un cahier des charges édicté par l’ANSSI. » Car le document de référence en la matière reste le guide de l’ANSSI ‘Recommandations pour les architectures des systèmes d'information sensibles ou Diffusion Restreinte’, sur la sécurisation de l’architecture des systèmes d’information sensibles ou Diffusion Restreinte.
Dans ce document d’une centaine de pages, l’ANSSI recommande (entre autres) l’usage de tunnels VPN IPsec en cas d’interconnexion de systèmes d’information Diffusion Restreinte ou de connexions distantes à ces SI DR. Et pour aller encore plus loin, l’agence française a travaillé sur une variation durcie du protocole IPsec, à implémenter dans les solutions de protection des réseaux de niveau DR. Avec l’IPsec DR, nouvelle extension autour du terme DR. « L'IPsec DR est la mise en œuvre du protocole IPsec d'échange d’informations dans un environnement de Diffusion Restreinte », résume Arnaud Dufournet. L’ANSSI recommande pour cela la mise en place d’un tunnel VPN sécurisé, mais « aussi d’un périmètre précis d’algorithmes cryptographiques, de méthodes d'authentification renforcées, ainsi qu’une limitation des modes et options autorisées, comme le précise Stéphane Prévost. L’objectif : établir un haut niveau de confiance entre les deux entités. »
Ce renforcement des protections tend à rapprocher naturellement le terme de Diffusion Restreinte des environnements les plus critiques et sensibles, souvent associés au monde militaire. Mais la mention Diffusion Restreinte et le référentiel IPsec DR ont également un intérêt indéniable pour les entreprises du domaine civil. Car si les adjectifs pour parler de données (sensibles, critiques, vitales ou encore personnelles) diffèrent, le besoin de protection est lui commun et partagé par tous. Une tendance qui illustre la porosité entre ces deux mondes militaires et civils, concernés par les mêmes problématiques : protéger quoi qu’il en coûte leurs données sensibles.
Diffusion Restreinte : l’intérêt dans le domaine civil
Proposer un niveau de sécurité des données et des systèmes d’information calqué sur les standards du domaine de la Défense et des services étatiques : voilà l’intérêt majeur de la mention DR pour les entreprises et organisations du domaine civil. À condition que les solutions proposées soient adaptées à ce domaine civil, sans la complexité supposée du monde militaire. « Derrière le terme de Diffusion Restreinte, on a donc aujourd’hui des produits et des solutions dont la confiance et la robustesse ont été éprouvées et reconnue par l’ANSSI, pointe Stéphane Prévost. Elles sont donc applicables en l’état dans le civil, simplement, et pour le même objectif de protection des informations sensibles ». Diffusion Restreinte est donc synonyme de solutions de protection avancées qui garantissent la disponibilité, la confidentialité et l’intégrité des données.
Et toutes les entreprises civiles ont des données à protéger, car toutes manipulent des données sensibles, vitales ou encore critiques. Les plus évidentes d’entre elles sont par exemple les entreprises du secteur de l’énergie (énergéticiens, fournisseurs d’eau ou opérateurs de centrales nucléaires) ou encore les grands conglomérats industriels du CAC40 et les entreprises du SPF120, soucieuses de protéger au mieux leurs données critiques, en particulier lorsqu’elles relèvent de secrets industriels. Car toutes ces informations ne peuvent pas être considérées comme des données classifiées mais bien des données à protéger. L’essence-même de la mention Diffusion Restreinte.
Faire appel à des solutions de cybersécurité conforme au concept du DR peut également permettre aux entreprises civiles de répondre à certaines exigences réglementaires, comme la Loi de programmation militaire (LPM) et son article 22 qui instaure des exigences en matière de sécurité pour les Systèmes d’Information d’Importance Vitale (SIIV) dans le but de protéger les systèmes d’information sensibles ou encore la directive européenne NIS (et NIS2 bientôt) qui complète ces premières obligations de sécurisation des réseaux et des systèmes d’information. Cette nouvelle version de la directive s’adresse, entre autres, aux acteurs de la chaîne d’approvisionnement (sous-traitants et prestataires de services) ayant un accès à une infrastructure critique. Ils deviennent alors (enfin) concernés par les questions de cybersécurité et de protection de leurs données. « L’état de l’art en matière de sécurité, c’est le protocole IPsec DR et la mention Diffusion Restreinte », conclut Arnaud Dufournet.
L’évolution de la menace cyber, de plus en plus protéiforme et multifactorielle, rend pertinent l’usage de solutions de sécurité conformes DR pour les entreprises du monde civil. Car entités sensibles ne riment pas qu’avec entités militaires, à l’image des Opérateurs d’Importance Vitale (OIV) à l’échelle française et des Opérateurs de Services Essentiels (OSE) à l’échelle européenne, qui sont souvent des entreprises civiles. Et pour toutes les autres, les données qu’elles manipulent deviennent sensibles dès lors qu’elles participent au bon fonctionnement de l’activité. Cette approche élève le niveau de sécurité à des standards qui correspondent à ceux du secteur militaire, tout en répondant de manière proactive aux attentes des régulateurs en matière de sécurité. Car la protection des données sensibles est l’affaire de tous.