ROYAUME DU MAROC

ADMINISTRATION
DE LA DEFENSE NATIONALE
DIRECTION GENERALE DE LA SECURITE
DES SYSTEMES DINFORMATION

REFERENTIEL FIXANT LES MODALITES REGISSANT LA CLASSIFICATION

DES SYSTEMES DINFORMATION
INFORMATIONS

AVERTISSEMENT

Ces recommandations sont livres en ltat et adaptes aux menaces au jour

de leur publication. Au regard de la diversit des systmes dinformation, la
DGSSI ne peut garantir que ces informations puissent tre reprises sans
adaptation sur les systmes dinformation cibles. Dans tous les cas, la
pertinence de limplmentation des lments proposs par la DGSSI doit tre
soumise, au pralable, la validation du responsable du systme concern.

GESTION DU DOCUMENT

Auteur Version Date de la version

DGSSI V.1 Fvrier 2017

POUR TOUTE REMARQUE

Contact e-mail

DGSSI contact@dgssi.gov.ma
 SOMMAIRE

INTRODUCTION.1

I. Dfinitions.........................1

1. Classes de sensibilit des Systmes dInformation1

2. Impact2

2.1. Types dimpacts..2

2.2. Echelles dimpact ..3

II. Mthode de classification des systmes dinformation.5

1. Cartographie des systmes dinformation.5

2. Evaluation des impacts et dtermination des classes de sensibilit.5

III. Dtermination des systmes dinformation sensibles..6

INTRODUCTION

La Direction Gnrale de la Scurit des Systmes dInformation, a t charge

en vertu des dispositions de larticle 4 du dcret n2-15-712 fixant le dispositif
de protection des systmes dinformation sensibles des infrastructures
dimportance vitale, de dfinir les modalits rgissant la classification des
systmes dinformation.

Dans ce cadre, il est rappeler que la Directive Nationale de la Scurit des

Systmes dInformation (DNSSI), adopte lors de la session du 21-01-2014 du
Comit Stratgique de la Scurit des Systmes dInformation et entrine par
la Circulaire du Chef du Gouvernement N 3/2014 du 10 mars 2014 pour sa
mise en uvre, a dfini trois classes de sensibilit en fonction de lvaluation de
limpact dun ventuel incident de scurit compromettant la confidentialit,
lintgrit, ou la disponibilit du systme dinformation ncessaire un
organisme pour accomplir ses missions.

Est dsign dans la suite de ce document comme organisme toute

administration ou tablissement et entreprise publics ou entit qui dispose
dun agrment ou dune licence de lEtat pour exercer une activit rglemente.

Le prsent rfrentiel reprend les dfinitions des classes de sensibilit arrtes

par la DNSSI et dfinit les chelles dimpact engendr lors dun incident de
scurit. Il propose galement une mthode de classification du systme
dinformation dun organisme en fonction de lvaluation de limpact engendr
lors dune perte de la disponibilit, de lintgrit ou de la confidentialit de ce
systme dinformation.

I. DEFINITIONS

1. CLASSES DE SENSIBILITE DES SYSTEMES DINFORMATION

Classe A: Systmes d'information sur lesquels une atteinte la confidentialit,

l'intgrit ou la disponibilit peut entraner un impact catastrophique sur
la capacit de lorganisme remplir les missions vitales pour la nation dont il
est charg, sur ses biens essentiels, ou sur les individus.

Classe B : Systmes d'information sur lesquels une atteinte la confidentialit,

l'intgrit ou la disponibilit peut entraner un impact important sur la
capacit de lorganisme remplir ses missions assignes vis vis des services
fournis par cet organisme, sur ses biens sensibles, ou sur les individus.

1
Classe C : Systmes d'information sur lesquels une atteinte la confidentialit,
l'intgrit ou la disponibilit peut entraner un impact limit sur les
services offerts par lorganisme, sur ses biens sensibles, ou sur les individus.

2. IMPACT

Un impact est dfinit comme tant une consquence directe ou indirecte de

l'insatisfaction des besoins de scurit sur l'organisme et/ou sur son
environnement.

2.1. TYPES DIMPACTS

On distingue plusieurs types dimpacts :

a- Impacts sur le fonctionnement

Impacts sur les missions

Les impacts sur les missions sont les consquences directes ou indirectes sur
la ralisation des missions (production d'un bien ou d'un service) : Incapacit
fournir un service, perte de savoir-faire, changement de stratgie, impossibilit
d'assurer un service, consquences sur la production ou la distribution de
biens ou de services considrs comme vitaux (atteinte la satisfaction des
besoins essentiels des populations, lexercice de lautorit de ltat, au
fonctionnement de lconomie du potentiel de dfense, la scurit de la
nation, etc..).

Impacts sur la capacit de dcision

Les impacts sur la capacit de dcision sont les consquences directes ou

indirectes sur la libert de dcider ou diriger : Perte de souverainet, perte ou
limitation de l'indpendance de jugement ou de dcision, limitation des marges
de ngociation, perte de capacit d'influence, prise de contrle de l'organisme,
etc.

b- Impacts humains

Impacts sur la scurit des personnes

Les impacts sur la scurit des personnes sont les consquences directes ou
indirectes sur l'intgrit physique de personnes : Accident, maladie
professionnelle, perte de vies humaines, mise en danger, etc

2
c- Impacts sur les biens

Impacts sur le patrimoine scientifique ou culturel

Les impacts sur le patrimoine scientifique ou culturel sont les consquences

directes ou indirectes sur les connaissances non-explicites accumules par
l'organisme, sur le savoir-faire, les capacits d'innovation, les secrets et les
spcifications de fabrications, les brevets, les plans commerciaux ou sur les
rfrences culturelles communes, qui sont des informations capitales pour son
activit. Elles le sont aussi pour ses comptiteurs qui pourraient les exploiter
leur profit pour disposer, notamment, dun avantage concurrentiel certain.

Impacts financiers

Les impacts financiers sont les consquences pcuniaires, directes ou

indirectes : Dpenses imprvues (suite une attaque informatique, et.),
pnalits, baisse de productivit, etc

d- Impacts sur l'image

Les impacts sur l'image sont les consquences directes ou indirectes sur la
rputation et l'image de marque, la notorit, la confiance des citoyens, la
renomme (baisse des indicateurs de la qualit des prestations et de
satisfaction des usagers), la capacit d'influence de l'organisme (relation avec
des acteurs et dcideurs politiques ou conomiques) ou sur l'thique
(transparence, non corruption, respect de la dignit humaine, argent propre),
l'obtention ou la maintenance d'un label (certification, qualification) de
conformit des normes : Refus d'obtention ou perte de labels du fait de la
non-conformit une norme (ISO 27001, Sarbanes-Oxley, etc.).

2.2. ECHELLES DIMPACT

Trois niveaux dimpact sont dfinis :

1. Catastrophique : un impact est jug ainsi si un incident portant sur le

systme dinformation engendre une ou des combinaison(s) de consquences
suivantes :

La neutralisation d'une fonction majeure dans le fonctionnement des

services de l'Etat ; fonction difficilement substituable ou remplaable
rendue totalement inexploitable pendant une dure inacceptable, avec
des dommages graves ou trs graves.

3
 des dommages trs graves et irrparables causs aux biens de
lorganisme.

des pertes financires majeures.

des prjudices graves causs aux individus, et qui sont difficiles ou

impossibles rtablir (perte de vie ou blessures graves ou mortelles).

toute autre consquence de nature analogue.

2. Important : un impact est jug ainsi si un incident portant sur le systme

dinformation engendre une ou des combinaison(s) de consquences suivantes :

Une dgradation significative dans le fonctionnement des services de

l'Etat fournis par lorganisme; fonctionnement fortement perturb, avec
des dommages importants.

une rduction significative de la capacit de l'organisme grer

efficacement ses obligations et ses missions habituelles, mme si celles-
ci continuent d'tre excutes.

des dommages significatifs causs aux biens de l'organisme.

des pertes financires importantes.

des prjudices srieux causs aux individus qui sont bien difficiles
rtablir, mais n'impliquant pas la perte de vie ou des blessures graves.

toute autre consquence de nature analogue.

3. Limit : un impact est jug ainsi si un incident portant sur le systme

dinformation engendre une ou des combinaison(s) de consquences suivantes :

Une gne dans le fonctionnement des services de l'Etat fournis par

lorganisme; fonctionnement faiblement perturb ou baisse de
performance, avec des dommages mineurs pour une dure limite.

des dommages mineurs causs aux biens de l'organisme.

des pertes financires mineures.

des prjudices mineurs causs aux individus, qui, bien que

problmatiques, peuvent tre facilement rtablis.

toute autre consquence de nature analogue .

4
II. METHODE DE CLASSIFICATION DES SYSTEMES DINFORMATION

1. CARTOGRAPHIE DES SYSTEMES DINFORMATION

Une cartographie complte du systme dinformation est un lment

indispensable pour une bonne politique de cyberscurit car cela offre une
connaissance fine du systme et de son environnement. titre dexemple, cela
permet dvaluer rapidement limpact dune vulnrabilit dcouverte ou de
mesurer ltendue dune compromission. La cartographie prcise ainsi les
composants matriels et logiciels, les centres informatiques et les architectures
des rseaux sur lesquels sont identifis les points nvralgiques.

Chaque organisme doit tenir et mettre jour une cartographie de ses systmes
dinformation en se basant sur linventaire des ressources informatiques.

Par ailleurs, la cartographie des systmes dinformation a pour but de crer un

rpertoire contenant les listes de ses systmes dinformation sensibles tel quil
est prcis dans larticle 4 du dcret n 2-15-712 fixant le dispositif de
protection des systmes dinformation sensibles des infrastructures
dimportance vitale. Le rpertoire ainsi ralis permettra de:

Dresser l'inventaire des systmes d'information par classe de

sensibilit, devant bnficier de mesures de protection ;

Disposer dune vue d'ensemble des systmes d'information de

lorganisme ;

Servir de base l'organisme, et le cas chant la mise en uvre, des

plans de protection prenant en compte les diffrentes menaces juges
pertinentes vis--vis de ces systmes.

2. EVALUATION DES IMPACTS ET DETERMINATION DES CLASSES DE

SENSIBILITE

Lanalyse dimpact consiste mesurer les consquences dun risque qui se

matrialise, ainsi que sa probabilit doccurrence ou sa vraisemblance.

L'valuation des risques de compromission des systmes dinformation devra

tre traite dans un contexte global. En effet, certaines informations, prises
isolment, peuvent avoir une sensibilit insignifiante, mais leur agrgation peut
avoir une sensibilit plus importante. Aussi dans certains cas, l'agrgation
dune importante quantit d'un type unique d'information peut rvler des
donnes sensibles, ou faciliter l'accs des systmes sensibles.

5
Par ailleurs, limpact de la compromission de certains types d'informations peut
tre faible dans le contexte du fonctionnement nominal d'un systme, mais plus
significatif lors dun fonctionnement dgrad du systme, par exemple lors de la
compromission dun systme avec lequel il est interconnect. Ainsi si l'examen
rvle une sensibilit accrue ou une criticit associe aux agrgats de
linformation, alors il faut placer le niveau de scurit du systme au niveau de
la sensibilit de lagrgat, pas de linformation individuelle. Toute fuite ou
manipulation malintentionne de linformation, en particulier celle caractre
sensible, peut avoir des consquences dsastreuses sur lorganisme plusieurs
titres: ses missions, ses dispositifs organisationnels, des pertes financires,
atteinte sa rputation et son image de marque, ou encore des contraintes
lgales inhrentes, etc

Chaque organisme doit dterminer les classes de sensibilit de ses systmes

dinformation cartographis en fonction de lvaluation de limpact dun
ventuel incident de scurit compromettant la confidentialit, lintgrit, ou la
disponibilit de ses systmes dinformation ncessaires l'organisme pour
accomplir ses missions assignes, et protger ses biens essentiels, en tenant
compte de leur importance et de leur rle dans le maintien de la continuit du
fonctionnement des services de l'Etat fournis par cet organisme..

La dtermination de la classe de sensibilit dun systme d'information doit

tenir compte de la sensibilit de tout type d'information traite sur ledit
systme. Pour un systme d'information, le niveau dimpact correspond au plus
haut niveau dimpact en cas de perte de lun des objectifs de scurit, ainsi :

Un systme dinformation est de classe A, si le plus haut niveau

dchelle dimpact engendr en cas de perte de la disponibilit, de
lintgrit, ou de la confidentialit est catastrophique.

Un systme dinformation est de classe B, si le plus haut niveau

dchelle dimpact engendr en cas de perte de la disponibilit, de
lintgrit, ou de la confidentialit est important.

Un systme dinformation est de classe C, si le plus haut niveau

dchelle dimpact engendr en cas de perte de la disponibilit, de
lintgrit, ou de la confidentialit est limit.

III. DETERMINATION DES SYSTEMES DINFORMATION SENSIBLES

Est considr comme systme dinformation sensible, au sens de larticle 1 du

dcret n 2-15-712 fixant le dispositif de protection des systmes dinformation
sensibles des infrastructures dimportance vitale, chaque systme dinformation
class A ou B.