ANNEXE
MINISTÈRE DE LA TRANSITION ÉCOLOGIQUE
MINISTÈRE DE LA COHÉSION DES TERRITOIRES ET DES RELATIONS AVEC LES COLLECTIVITÉS TERRITORIALES
MINISTÈRE DE LA MER
Secrétariat général des ministères de la transition écologique, de la cohésion des territoires et des relations avec les collectivités territoriales et de la mer
Service du Haut fonctionnaire de défense et de sécurité
INSTRUCTION MINISTÉRIELLE N° 2300/SG/SHFDS du 12 avril 2022 RELATIVE À LA PROTECTION DU SECRET ET DES INFORMATIONS « DIFFUSION RESTREINTE » DE LA DÉFENSE ET DE LA SÉCURITÉ NATIONALE
Sommaire

Références
Préambule

1. Dispositions générales
   1.1. Objet du document
   1.2. Domaine d'application
   1.3. Les organismes concernés
   1.3.1. Le pôle ministériel
   1.3.2. Les organismes placés sous tutelle
   1.3.3. Les opérateurs d'importance vitale
   1.3.4. Les organismes publics ou privés sous contrat ou convention
2. La gouvernance de la fonction protection du secret
   2.1. Les autorités en charge de la protection du secret
   2.1.1. Le secrétaire général de la défense et de la sécurité nationale
   2.1.2. Les ministres
   2.1.3. Le haut fonctionnaire de défense et de sécurité
   2.1.4. Le fonctionnaire de sécurité de défense
   2.1.5. Le fonctionnaire de sécurité des systèmes d'information
   2.2. La chaîne fonctionnelle de la protection du secret
   2.2.1. Le responsable d'organisme
   2.2.2. L'officier de sécurité
   2.2.3. Le détenteur
   2.3. La chaîne fonctionnelle de sécurité des systèmes d'information dans la protection du secret
   2.3.1. L'autorité qualifiée en sécurité des systèmes d'information
   2.3.2. L'officier de sécurité des systèmes d'information
   2.3.3. Le responsable de la sécurité des systèmes d'information
   2.4. Le rôle spécifique de certains services
   2.4.1. Les services en charge des ressources humaines
   2.4.2. L'autorité contractante
3. Principes généraux de la protection du secret
   3.1. La classification
   3.1.1. La date d'échéance de la classification
   3.1.2. La matérialité de l'information
   3.2. Les marquages
   3.2.1. Les timbres de classification
   3.2.1.1. La mention « Diffusion Restreinte »
   3.2.1.2. La mention complémentaire « Spécial France »
   3.3. L'accès aux informations et supports classifiées
   3.3.1. Le « besoin d'en connaître »
   3.3.2. L'habilitation des personnes physiques
   3.3.3. L'habilitation des personnes morales
   3.4. Le principe de discrétion
   3.5. La sécurité des informations classifiées
   3.5.1. La protection physique
   3.5.2. La protection logique
   3.6. La gestion des informations classifiées
   3.6.1. Le principe de cloisonnement des informations et supports classifiés
   3.6.2. Le principe de traçabilité des informations et supports classifiés
   3.6.3. L'inventaire des documents classifiés
   3.7. Le délit de compromission
4. Mise en œuvre de la politique de protection du secret
   4.1. Elaboration des politiques par les organismes
   4.1.1. Politique de protection du secret
   4.1.2. Politique de sécurité des systèmes d'information
   4.2. Les dispositifs de contrôle de leur application
   4.2.1. Contrôle interne, à la charge du responsable d'organisme
   4.2.2. Audits et inspections externes
   4.2.2.1. Audits techniques
   4.2.2.2. Inspection du Haut Fonctionnaire de défense et de sécurité
   Glossaire

Références

Code de la défense, notamment les articles L. 1111-1, L. 1131-1, L. 1332-1 et suivants, L. 2311-1, L. 2312-1 à L. 2312-8, L. 2362-1, L. 4121-2, R.* 1132-1 à R.* 1132-3 ; R. 1143-1, R. 1143-2, R. 1143-5, R. 1143-6, R. 1143-8, R. 2311-1 à R. 2311-9-1, R. 2311-10 à R. 2311-11, D.* 2311-12, R. 2312-1, R. 2312-2.
Code de la sécurité intérieure, notamment les articles L. 114-1, L. 114-2 et L. 234-1.
Code pénal, notamment les articles 121-2, 226-13 et 226-14, 411-6 à 411-8, 413-7, 413-9 à 413-12, 414-5 à 414-9, 434-4, R. 413-1 à R. 413-5 et 444-1 à 444-9.
Code de procédure pénale, article 56-4.
Code du patrimoine, notamment les articles L. 211-1, L. 212-2, L. 212-3 et L. 213-1 à L. 213-7.
Code de la commande publique, et notamment les articles L. 2141-1 et suivants, R. 2300-1, R. 2332-8, R. 2343-4, R. 2343-5, R. 2343-13, R. 2351-14, R. 2396-6, R. 3123-3.
Code du commerce, article L. 210-3.
Code des postes et des communications électroniques, notamment les articles L. 36-5, R. 1-2-1 et R. 1-2-6.
Code des relations entre le public et l'administration, articles L. 211-2 et L. 11-1 à 8.
Code du travail, articles L. 8112-1, L. 8113-10 à 11, L. 8114-1, L. 8114-2, L. 8123-1, L. 8123-4, L. 8123-5.
Loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires, et notamment son article 26.
Décret n° 2017-588 du 20 avril 2017 portant création d'un service à compétence nationale dénommé « Commandement spécialisé pour la sécurité nucléaire » et son décret modificatif n° 2020-180 du 27 février 2020.
Arrêté du 9 août 2021 portant approbation de l'instruction générale interministérielle n° 1300/SGDSN/PSE/PSD sur la protection du secret de la défense nationale.
Arrêté du 22 avril 2008 définissant les modalités d'établissement des évaluations et des plans de sûreté portuaires et des installations portuaires.
Instruction générale interministérielle n° 6600/SGDSN/PSE/PSD du 7 janvier 2014 relative à la sécurité des activités d'importance vitale.
Instruction interministérielle n° 901/SGDSN/ANSSI du 28 janvier 2015 sur la protection des systèmes d'information sensibles.
Instruction interministérielle n° 910/SGDSN/ANSSI du 22 octobre 2013 relative aux articles contrôlés de la sécurité des systèmes d'information.
Instruction générale interministérielle n° 2102/SGDSN/PSE/PSD du 12 juillet 2013 sur la protection en France des informations classifiées de l'Union européenne.

Préambule

L'article 413-9 du code pénal définit comme suit le secret de la défense nationale :
« Présentent un caractère de secret de la défense nationale au sens de la présente section les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers intéressant la défense nationale qui ont fait l'objet de mesures de classification destinées à restreindre leur diffusion ou leur accès.
Peuvent faire l'objet de telles mesures les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers dont la divulgation ou auxquels l'accès est de nature à nuire à la défense nationale ou pourrait conduire à la découverte d'un secret de la défense nationale. »
Le secret de la défense nationale ne constitue pas uniquement un enjeu de défense « militaire » car la défense nationale concerne toutes les administrations responsables de ressources essentielles à la vie du pays. Elle s'inscrit en effet dans le contexte plus vaste, transversal et interministériel, de la stratégie de sécurité nationale, qui a pour objet « d'identifier l'ensemble des menaces et des risques susceptibles d'affecter la vie de la Nation, notamment en ce qui concerne la protection de la population, l'intégrité du territoire et la permanence des institutions de la République, et de déterminer les réponses que les pouvoirs publics doivent y apporter (1) ».
Pour les ministères de la transition écologique, de la cohésion des territoires et des relations avec les collectivités territoriales et de la mer, les informations dont la divulgation serait de nature à mettre en danger les populations et l'environnement et plus largement les intérêts fondamentaux de la Nation concernent en particulier la protection contre la malveillance sous toutes ses formes visant des installations sensibles dans les domaines de la production ou de la distribution d'eau ou d'énergie, de la gestion des déchets, de l'assainissement, des risques pour l'environnement et des transports aériens, terrestres ou maritimes.

(1) Article L. 1111-1 du code de la défense.

1. Dispositions générales
   1.1. Objet du document

La présente instruction ministérielle décline l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale et explicite l'organisation de la protection du secret pour les ministères de la transition écologique, de la cohésion des territoires et de relations avec les collectivités territoriales et de la mer.
Elle est complétée par six instructions particulières qui précisent sa mise en œuvre dans les domaines de :

1. L'habilitation des personnes physiques et morales ;
2. La protection du secret dans les contrats et conventions ;
3. L'inspection, contrôle et audit ;
4. L'élaboration, la validation et l'utilisation d'un guide de classification ;
5. La sécurité des systèmes d'informations contenant des informations classifiées ou « Diffusion Restreinte » ;
6. La sécurité des lieux abritant des informations et supports protégés.

1.2. Domaine d'application

La présente instruction est prise en application des textes cités en référence. Elle s'adresse à toute personne détenant ou manipulant des informations classifiées ou portant la mention de protection « Diffusion Restreinte » au sein des organismes relevant du champ d'attribution des ministres, à savoir, le pôle ministériel, les organismes placés sous leur tutelle, les opérateurs d'importance vitale et les organismes publics ou privés liés à eux par contrats ou conventions.

1.3. Les organismes concernés
1.3.1. Le pôle ministériel

Le pôle ministériel recouvre ici :

- les cabinets ministériels ;
- le bureau des cabinets ;
- l'administration centrale, à savoir le secrétariat général, les sept directions générales (direction générale de l'aviation civile (DGAC), direction générale de l'énergie et du climat (DGEC), direction générale de l'aménagement, du logement et de la nature (DGALN, direction générale des collectivités locales (DGCL), direction générale de la prévention des risques (DGPR), direction générale des infrastructures, des transports et de la mobilité (DGITM), direction générale des affaires maritimes, de la pêche et de l'aquaculture (DGAMPA)), le commissariat général au développement durable (CGDD) et le conseil général de l'environnement et du développement durable (CGEDD) ;
- les services déconcentrés de niveau régional, interrégional ou interdépartemental que sont les directions régionales de l'environnement, de l'aménagement et du logement (DREAL), les directions interrégionales de la mer (DIRM) dont les centres régionaux opérationnels de surveillance et de sauvetage (CROSS), les directions de la sécurité de l'aviation civile interrégionales (DSACIR) et les directions interdépartementales des routes (DIR).

A noter :
Les services déconcentrés de niveau départemental (les directions départementales des territoires (DDT), les directions départementales des territoires et de la mer (DDTM), les directions de l'environnement, de l'aménagement et du logement (DEAL), les directions de la mer (DM), la direction des territoires, de l'alimentation et de la mer (DTAM), sont placés sous l'autorité des préfets pour la mise en œuvre de réglementation relative à la protection du secret.

1.3.2. Les organismes placés sous tutelle

Les organismes placés sous tutelle recouvrent les organismes de forme juridique publique ou privée, ayant ou non le statut d'opérateur de l'Etat et sur lesquels le pôle ministériel exerce une tutelle administrative.

1.3.3. Les opérateurs d'importance vitale

Les opérateurs d'importance vitale recouvrent les organismes publics et privés soumis aux directives nationales de sécurité relevant des secteurs pour lesquels les ministres de la transition écologique, de la cohésion des territoires et de relations avec les collectivités territoriales et de la mer sont désignés ministre coordonnateur :

- la gestion de l'eau ;
- le transport terrestre (route et ferré), maritime, fluvial et aérien ;
- l'énergie avec l'approvisionnement en énergie électrique dont le nucléaire, en gaz naturel, en hydrocarbures pétroliers.

1.3.4. Les organismes publics ou privés sous contrat ou convention

Les organismes publics ou privés sous contrat ou sous convention mettant en jeu des informations et supports classifiés ou des informations « Diffusion Restreinte » recouvrent :

- les personnes morales, candidates ou parties :
- à un contrat ou un sous-contrat de la commande publique émanant du pôle ministériel ;
- à un contrat de sous-traitance avec le pôle ministériel ou avec les organismes relevant de celui-ci ;
- à un contrat de subvention dès lors que des informations et supports classifiés ou protégés par la mention de protection « Diffusion Restreinte » sont transmis ou échangés ;
- les personnes morales liées au pôle ministériel dans le cadre d'une convention de coopération nécessitant l'accès à des informations et supports classifiés ou protégés par la mention de protection « Diffusion Restreinte ».

2. La gouvernance de la fonction protection du secret
   2.1. Les autorités en charge de la protection du secret
   2.1.1. Le secrétaire général de la défense et de la sécurité nationale

Sous l'autorité du Premier ministre, le secrétaire général de la défense et de la sécurité nationale est chargé de définir et coordonner au niveau interministériel la politique de sécurité en matière de protection du secret de la défense nationale et de sécurité des systèmes d'information avec l'assistance de l'agence nationale de la sécurité des systèmes d'information.
Sur le plan national, le secrétaire général de la défense et de la sécurité nationale veille notamment à la mise en œuvre des mesures relatives aux classifications spéciales.
Sur le plan international, en tant qu'autorité nationale de sécurité pour le secret de la défense nationale (2), il est l'interlocuteur des autorités nationales de sécurité étrangères notamment pour ce qui concerne l'habilitation des personnes morales et physiques, qu'elles soient étrangères en France ou françaises à l'étranger. Ses autres attributions, sur le plan international sont précisées dans l'IGI 1300 §2.1.1.2.

(2) Cf. article R. 2311-10-1 du code de la défense.

2.1.2. Les ministres

Les ministres sont responsables de la protection du secret de la défense nationale pour leur ministère respectif et les organismes qui leur sont rattachés (3).
A ce titre, ils sont les autorités émettrices (4) du secret de la défense nationale (5) et les autorités d'habilitation (6) pour les niveaux Secret et Très Secret, ainsi qu'aux niveaux équivalents de l'Union européenne et de l'organisation du traité de l'Atlantique Nord (7).
Les ministres délèguent leur signature pour habiliter aux niveaux Secret et Très Secret (hors classifications spéciales) :

- au haut fonctionnaire de défense et de sécurité, pour l'ensemble du périmètre des trois ministres (personnes morales et physiques) ;
- au directeur général de l'aviation civile pour le personnel placé sous son autorité ainsi que pour les personnes physiques et morales relevant du secteur aérien ;
- au directeur du commandement spécialisé pour la sécurité nucléaire pour le personnel placé sous son autorité ainsi que pour les personnes physiques et morales relevant du domaine du nucléaire civil (8).

Enfin, les ministres sont chargés de s'assurer de l'application des prescriptions réglementaires en matière de protection du secret pour :

- les organismes placés sous leur autorité (cabinets ministériels, bureau des cabinets, administration centrale et services déconcentrés) ;
- les organismes placés sous leur tutelle ;
- les opérateurs d'importance vitale des secteurs de l'énergie, des transports et de l'eau ;
- les organismes publics ou privés sous contrat ou convention avec le pôle ministériel et ayant besoin de connaître des informations et supports classifiés ou des informations « Diffusion Restreinte ».

(3) Pôle ministériel, établissements publics placés sous tutelle, opérateurs d'importance vitale, organismes publics ou privés liés par contrat ou convention.
(4) Autorité étatique nationale ou étrangère, ou supranationale, sous la responsabilité de laquelle un timbre de classification est apposé sur une information ou un support. C'est elle qui prend la décision de classification.
(5) Cf. IGI 1300 §1.4.1.
(6) Autorité compétente pour diligenter une enquête administrative dans le cadre de l'habilitation au secret de la défense nationale et prendre la décision d'habilitation ou de refus d'habilitation.
(7) Conformément aux instructions interministérielles n° 2100 et n° 2102, les ministres sont également autorités d'habilitation aux niveaux équivalents de l'UE et de l'OTAN, y compris pour les décisions d'habilitation au niveau COSMIC TRES SECRET et TRES SECRET UE /EU TOP SECRET.
(8) Cf. décret n° 2017-588 du 20 avril 2017 portant création d'un service à compétence nationale dénommé « Commandement spécialisé pour la sécurité nucléaire ».

2.1.3. Le haut fonctionnaire de défense et de sécurité

Le haut fonctionnaire de défense et de sécurité anime et coordonne la politique de défense et de sécurité pour les ministres. Il dispose pour cela d'un service spécialisé, le service du haut fonctionnaire de défense et de sécurité au sein duquel se trouvent un fonctionnaire de sécurité de défense et un fonctionnaire de sécurité des systèmes d'information.

2.1.4. Le fonctionnaire de sécurité de défense

Le fonctionnaire de sécurité de défense (9) est désigné par le haut fonctionnaire de défense et de sécurité.
En tant que responsable de la chaîne fonctionnelle de la protection du secret pour le pôle ministériel, les organismes sous tutelle, les opérateurs d'importance vitale des secteurs de l'énergie, des transports et de l'eau et les organismes publics ou privés sous contrat ou convention, le fonctionnaire de sécurité de défense est chargé de :

- définir la doctrine et élaborer la réglementation ministérielle sur la protection du secret et des informations « Diffusion Restreinte » ;
- représenter le haut fonctionnaire de défense et de sécurité dans tous types de travaux relatifs à la protection du secret et des informations « Diffusion Restreinte » ;
- participer, en collaboration avec le fonctionnaire de sécurité des systèmes d'information, à l'élaboration du schéma directeur de déploiement des moyens sécurisés de communications de l'Etat ;
- définir les règles relatives à la classification, la déclassification, le déclassement, l'archivage et la destruction des informations classifiées et « Diffusion Restreinte » et en contrôler la mise en œuvre ;
- planifier et exploiter les inspections relatives à la protection du secret et des informations « Diffusion Restreinte » ;
- proposer au haut fonctionnaire de défense et de sécurité toute disposition destinée à renforcer les mesures de protection mises en place ;
- disposer d'un suivi des dossiers d'habilitation en cours d'instruction ou de validité des personnes physiques et morales ;
- tenir à jour la liste des lieux abritant des éléments couverts par le secret de la défense nationale des ministères (10) ;
- faire établir et adresser au SGDSN le compte rendu annuel d'évaluation de la protection du secret pour l'ensemble du champ d'attribution des ministres ;
- exploiter les comptes rendus de compromissions avérées ou supposées.

Pour l'assister dans ses prérogatives, le fonctionnaire de sécurité de défense peut proposer au haut fonctionnaire de défense et de sécurité de désigner un ou plusieurs fonctionnaires de sécurité de défense délégués. Ces derniers sont alors nommés par le haut fonctionnaire de défense et de sécurité au titre d'un secteur d'activité spécifique et sur un périmètre fonctionnel précis.

(9) Cf. IGI 1300 §2.1.2.2.
(10) Cf. IGI 1300 §2.3.2.2.

2.1.5. Le fonctionnaire de sécurité des systèmes d'information

Le fonctionnaire de sécurité des systèmes d'information (11) est nommé par le ministre et placé sous l'autorité hiérarchique du haut fonctionnaire de défense et de sécurité.
En tant que tête de la chaîne fonctionnelle de sécurité des systèmes d'information et de la gestion des articles contrôlés de la sécurité des systèmes d'information pour le pôle ministériel, les organismes sous tutelle, les opérateurs d'importance vitale des secteurs de l'énergie, des transports et de l'eau et les organismes publics ou privés sous contrat ou convention, le fonctionnaire de sécurité des systèmes d'information est chargé de :

- définir les mesures de protection des systèmes d'information et d'en contrôler la mise en œuvre ;
- représenter le haut fonctionnaire de défense et de sécurité dans tous types de travaux relatifs à la sécurité des systèmes d'information ;
- veiller, en collaboration avec le fonctionnaire de sécurité de défense, à l'application de la politique de protection du secret dans les systèmes d'information ;
- animer le réseau des autorités qualifiées pour la sécurité des systèmes d'information du pôle ministériel ;
- analyser et diffuser les alertes en matière de sécurité des systèmes d'information ;
- piloter le déploiement des moyens de télécommunication sécurisés de l'Etat élaborés en collaboration avec le fonctionnaire de sécurité de défense et contrôler leur mise en œuvre en supervisant notamment la gestion des moyens de télécommunications sécurisés de l'Etat.

(11) Cf. IGI 1300 §2.1.2.2.

2.2. La chaîne fonctionnelle de la protection du secret

La chaîne fonctionnelle de protection du secret (12) est organisée de façon à veiller à la mise en œuvre des dispositions relatives à la protection du secret et des informations « Diffusion Restreinte » au sein de l'organisme. Elle est mise en place dès lors qu'un organisme détient des informations et supports classifiés et est structurée de façon à :

- identifier et tracer les informations qui doivent être classifiées ou protégées ;
- veiller à la bonne mise en œuvre des mesures de prévention et de protection y compris pour les systèmes d'information classifiés ;
- assurer la gestion des informations et supports classifiés ;
- contrôler la gestion des informations « Diffusion Restreinte » ;
- être en capacité de détecter dans les meilleurs délais toute compromission avérée ou suspectée.

Cette chaîne fonctionnelle, placée sous la responsabilité du responsable d'organisme, est animée par l'officier de sécurité qu'il désigne à cet effet. Lorsque des informations classifiées sont dématérialisées, elle est complétée par la mise en place d'une chaîne fonctionnelle de la sécurité des systèmes d'information et la désignation d'un officier de sécurité des systèmes d'information.

(12) Cf. IGI 1300 §2.2.2.

2.2.1. Le responsable d'organisme

Le responsable d'organisme (13) est :

- pour les services de l'Etat (cabinets ministériels, bureau des cabinets, administration centrale, services déconcentrés, services à compétence nationale, organismes extérieurs comme les établissements sous tutelle) : le directeur ou le chef du service ;
- pour les personnes morales autres que l'Etat : le représentant légal de la personne morale.

En tant que responsable de la gestion et de la protection du secret et des informations « Diffusion Restreinte » il est chargé :

- d'approuver formellement la politique de protection du secret élaborée par l'officier de sécurité de l'organisme, avec l'appui le cas échéant de l'officier de sécurité des systèmes d'information (14) ;
- d'organiser les chaînes fonctionnelles de protection du secret et de sécurité des systèmes d'information au sein de son organisme. Il désigne pour cela un officier de sécurité (15) et, le cas échéant, un officier de sécurité des systèmes d'information (16) ;
- de définir le besoin d'en connaître au sein de son organisme, d'établir le(s) catalogue(s) des emplois et engager les procédures d'habilitation de son personnel en conséquence ;
- de faire assurer la protection des informations et supports classifiés et des informations « Diffusion Restreinte » conformément à la réglementation (17). Il est tenu pour cela de donner à son personnel les moyens matériels adéquats et de faire appliquer les directives de classification aux informations et supports produits par son organisme.

A noter :

- le responsable d'organisme peut être reconnu pénalement responsable en cas de manquement aux règles relatives à la protection du secret de la défense nationale au sein de son organisme et par son personnel ;
- dans le contexte de dématérialisation croissante des informations, le responsable d'organisme veille tout particulièrement à la collaboration entre les chaînes fonctionnelles de la protection du secret et de sécurité des systèmes d'information.

(13) Cf. IGI 1300 §2.2.1.
(14) Cette politique locale peut être plus restrictive que la réglementation sous réserve qu'elle ne s'y oppose pas. Elle est révisée annuellement et en particulier lorsqu'un incident de sécurité survenant dans l'organisme la met en cause.
(15) Cf. IM §2.2.2.
(16) Cf. IM §2.3.2.
(17) La détention d'informations et supports classifiés impose, en plus de l'habilitation de la structure morale et des personnes physiques concernées, la mise en place des mesures de sécurité physiques et logiques dont les principes sont décrits dans l'IGI 1300 §3.5, §5 et §6.

2.2.2. L'officier de sécurité

Directement subordonné au chef d'organisme, l'officier de sécurité est le maillon essentiel de la chaîne de protection du secret et des informations « Diffusion Restreinte ».
Il est nommé par le chef d'organisme (18) en tenant compte des critères ci-après :

- appartenir de façon stable à l'organisme ;
- être habilité à un niveau au moins égal au niveau maximum de classification des informations et supports classifiés détenus par l'organisme ;
- être formé à la protection du secret ;
- avoir un niveau hiérarchique et l'autorité fonctionnelle suffisante ;
- disposer des moyens nécessaires pour accomplir ses missions.

Sa désignation est formalisée par une décision de nomination adressée via le haut fonctionnaire de défense et de sécurité au fonctionnaire de sécurité de défense du ministère dont il est le correspondant privilégié pour toutes les questions relatives à la protection du secret.
Au sein de son organisme, l'officier de sécurité (19) est chargé de :

- définir, le cas échéant en lien avec l'officier de sécurité des systèmes d'information, la politique de protection du secret, de la faire approuver par le chef d'organisme et d'en contrôler l'application (20) ;
- s'assurer, le cas échéant en lien avec l'officier de sécurité des systèmes d'information, du niveau de sécurité des systèmes d'information classifiés ;
- gérer les procédures d'habilitation et de contrôle d'accès aux zones protégées ;
- sensibiliser/former régulièrement les personnes habilitées.

Lorsque l'organisme détient des informations et supports classifiés de niveau Très Secret, il est en outre chargé de :

- définir, en liaison avec l'officier de sécurité des systèmes d'information, les besoins de l'organisme en matière de systèmes d'information et de communication sécurisés ;
- diriger le bureau de protection du secret (21), obligatoire pour ce niveau et au sein duquel s'effectuent l'élaboration, le traitement, le marquage, la conservation et la destruction de ces informations et supports classifiés.

La prise de fonction d'un officier de sécurité est conditionnée par la détention d'une formation professionnelle qui doit avoir été obtenue dans les cinq ans précédant la prise de fonction ou dans les douze mois suivants.
A noter :

- dans le cas d'organismes de grande taille, une organisation de sécurité ad hoc peut être mise en place avec la désignation, d'un officier central de sécurité, d'officiers de sécurité d'établissement et de correspondants de sécurité ;
- dans le cas d'un groupe ou d'une holding, un officier de sécurité de groupe (ou de holding) peut être nommé pour coordonner la protection du secret avec les officiers de sécurité des filiales qui sont désignés par chaque responsable de filiale ;
- au-delà du domaine de la protection du secret, il est recommandé que l'officier de sécurité soit aussi chargé de la protection physique des installations. Cette fonction est obligatoire pour le délégué à la défense et à la sécurité d'un opérateur d'importance vitale (22).

(18) A des fins de continuité d'activité, l'officier de sécurité dispose d'un suppléant ou d'un adjoint répondant aux mêmes exigences de désignation.
(19) Les missions de l'officier de sécurité Cf. IGI 1300 §2.2.2.1.
(20) Les prescriptions d'élaboration de la politique de protection du secret d'un organisme Cf. IGI 1300 §2.3.1.3.
(21) Le bureau de protection du secret Cf. IGI 1300 §7.2.1.2.
(22) Cf. IGI 1300 §4.2.

2.2.3. Le détenteur

Le détenteur est une personne physique habilitée et clairement identifiée au sein de l'organisme. Elle assume la responsabilité de la protection des informations ou des supports classifiés, à partir du moment où ils lui ont été confiés sans ambiguïté.

2.3. La chaîne fonctionnelle de sécurité des systèmes d'information dans la protection du secret

Dès lors qu'un organisme détient des informations classifiées dématérialisées, une chaîne fonctionnelle de sécurité des systèmes d'information (23) conduite sous la responsabilité du chef d'organisme, est mise en place pour appuyer la chaîne fonctionnelle de la protection du secret.
Elle s'organise de manière à :

- veiller à la sécurité des articles contrôlés de la sécurité des systèmes d'information et de l'ensemble des systèmes d'information, classifiés ou non, détenus par l'organisme tout au long de leur cycle de vie ;
- contribuer au déploiement et à la traçabilité des articles contrôlés de la sécurité des systèmes d'information.

(23) Cf. IGI 1300 §2.2.3.

2.3.1. L'autorité qualifiée en sécurité des systèmes d'information

Outre ses attributions générales, l'autorité qualifiée en sécurité des systèmes d'information (24) est chargée de garantir la sécurité des systèmes d'information classifiés.
A ce titre, elle est responsable pour son organisme :

- en liaison avec l'officier de sécurité des systèmes d'information, d'organiser la chaîne fonctionnelle « sécurité des systèmes d'information et des articles contrôlés de la sécurité des systèmes d'information » ;
- de définir le processus interne d'homologation des systèmes d'information classifiés ;
- avec l'appui des officiers de sécurité des systèmes d'information qui lui sont rattachés, d'élaborer la cartographie de l'ensemble des systèmes d'information classifiés de son organisme ;
- de définir les lignes directrices relatives à la sécurité des systèmes d'information classifiés.

(24) Cf. IGI 1300 §2.2.3.1.

2.3.2. L'officier de sécurité des systèmes d'information

Dès lors que des systèmes d'information classifiés sont utilisés, le chef d'organisme désigne, dans les mêmes conditions que l'officier de sécurité (25), un officier de sécurité des systèmes d'information.
L'officier de sécurité des systèmes d'information agit en coordination étroite avec l'officier de sécurité qu'il appuie au quotidien dans l'exercice de ses fonctions.
Il est notamment chargé pour son organisme de :

- concevoir et mettre en œuvre le management de la sécurité des systèmes d'information à partir des lignes directrices de sécurité définies par l'autorité qualifiée en sécurité des systèmes d'information ;
- recenser les besoins en matière de moyens de communications sécurisés et de s'assurer de la traçabilité et de l'intégrité des articles contrôlés de la sécurité des systèmes d'information ;
- veiller à la protection des systèmes d'informations classifiés et des informations classifiées dématérialisées ;
- travailler en collaboration quotidienne et étroite avec l'officier de sécurité ;
- participer aux sensibilisations à la protection du secret organisées par l'officier de sécurité.

Dans le cas d'organismes de grande taille, une organisation « miroir » à celle de la protection du secret peut être mise en place.

(25) Cf. IM §2.2.2.

2.3.3. Le responsable de la sécurité des systèmes d'information

Outre ses attributions générales, le responsable de la sécurité des systèmes d'information est désigné pour piloter la démarche d'intégration de la sécurité des systèmes d'information classifiés.
Il est garant pour l'organisme de la cohérence des mécanismes et des procédures à mettre en œuvre pour garantir la sécurité tout au long de la vie du système d'information classifié.
Son rôle et ses liens fonctionnels sont précisés dans l'instruction particulière relative à la sécurité des systèmes d'information.

2.4. Le rôle spécifique de certains services
2.4.1. Les services en charge des ressources humaines

Si l'habilitation d'une personne physique ne constitue pas un processus du domaine des ressources humaines mais une procédure de sécurité, les services des ressources humaines y jouent néanmoins un rôle fondamental.
La collaboration entre les services des ressources humaines et l'officier de sécurité de l'organisme concerné est en effet systématiquement recherchée pour gérer, avec fluidité et dans le respect de la règlementation, les aspects de sécurité liés au recrutement, au départ ou au changement de fonction du personnel habilité au secret.
Ainsi, l'autorité d'emploi et son officier de sécurité sont avertis, le plus en amont possible, de tout changement de situation d'une personne habilitée, de tout recrutement sur un poste nécessitant une habilitation ou de tout changement de poste d'une personne habilitée afin :

- de traiter au plus tôt la demande d'habilitation de tout nouvel arrivant, compte tenu de la durée des enquêtes administratives (26) ;
- d'organiser les formalités de départ d'une personne habilitée quittant ses fonctions : inventaire contradictoire des informations et supports classifiés détenus, signature du second volet de l'engagement de responsabilité et, le cas échéant, retrait des droits d'accès au site et aux systèmes d'information.

Par ailleurs, pour tout recrutement sur un poste nécessitant une habilitation, les services en charge des ressources humaines s'attachent à spécifier dans la fiche de poste que le recrutement est soumis à enquête administrative de sécurité de façon à considérer la prise de poste comme étant effective qu'à partir du moment où la personne retenue sur le poste est habilitée au niveau requis par le catalogue des emplois.
Afin de s'assurer que le changement de comportement ou de situation d'une personne habilitée n'est pas devenu incompatible avec les exigences relatives à la protection du secret de la défense nationale, l'autorité d'habilitation peut, d'elle-même ou après signalement par l'officier de sécurité de l'autorité d'emploi dont la personne habilitée relève, diligenter une nouvelle enquête administrative conformément au II de l'article L. 114-1 du code de la sécurité intérieure.
Si cette nouvelle enquête administrative fait apparaitre des vulnérabilités, l'autorité d'habilitation peut décider d'abroger la décision d'habilitation en cours. Dans ce cas, la personne habilitée est informée par l'officier de sécurité de la perte de ses droits liés à l'habilitation, lui restitue les informations et supports classifiés et les articles contrôlés de la sécurité des systèmes d'information dont elle était détentrice puis, au titre des informations classifiées auxquelles elle a eu accès, signe le second volet de son engagement de responsabilité.

(26) Cf. IGI 1300 §3.3.1.3 c).

2.4.2. L'autorité contractante

Tout marché ou contrat passé par un organisme mettant en jeu des informations et supports classifiés ou des informations « Diffusion Restreinte » fait l'objet de précautions particulières de la part de l'autorité contractante (27).
Ainsi, avant toute passation d'un marché ou d'un tel contrat, il est de la responsabilité de l'autorité contractante de déterminer, avec l'appui de l'officier de sécurité de l'organisme et du binôme prescripteur technique/acheteur :

- le choix du type de contrat à mettre en œuvre : contrat sensible (28), contrat avec détention d'informations et supports classifiés, ou avec accès à de tels informations et supports mais sans détention ;
- les clauses spécifiques de sécurité devant figurer dans le contrat ;
- dans le cas d'un contrat mettant en jeu des informations et supports classifiés, d'élaborer un plan contractuel de sécurité (29).

Une instruction particulière vient préciser les dispositions réglementaires de la protection du secret dans les contrats et le rôle des différents acteurs.

(27) Lorsque le marché est régi par les dispositions du code de la commande publique, l'expression « autorité contractante » désigne le pouvoir adjudicateur (Cf. IGI 1300 §4).
(28) Cf. IGI 1300 §5.3.2.1.
(29) Cf. IGI 1300 §annexe 28.

3. Principes généraux de la protection du secret

Une information, dès lors que sa divulgation est de nature à nuire à la défense et à la sécurité nationale et plus généralement aux intérêts fondamentaux de la Nation, doit être protégée. Sa mise sous protection contre toute violation, détournement, divulgation, perte ou accès par des personnes non autorisées, consiste en des mécanismes de classification, d'autorisation pour accéder à cette information (ex. : habilitation et besoin d'en connaitre), des mesures physiques et logiques pour limiter l'accès à cette information (ex. : zones protégées, homologation d'un système d'information) et la mise en œuvre de règles de gestion spécifiques (ex. : enregistrement, inventaire).

3.1. La classification

La classification (30) d'une information à protéger constitue l'élément primordial de la protection du secret de la défense nationale car c'est elle qui justifie, en cas de violation de la réglementation applicable, la mise en œuvre des sanctions pénales associées.
Décider de classifier une information est donc un acte important, tant par les mesures de protection contraignantes qui en découlent, que par les conséquences judiciaires qui peuvent en résulter. Seule la sauvegarde des intérêts fondamentaux de la Nation doit présider cette décision.
Pour cela, chaque ministre, en tant qu'autorité émettrice (31), défini au travers d'un guide général de classification les critères et les modalités de classification des informations relevant de son champ d'attribution. Ce guide général est ensuite décliné dans des guides de classification spécialisés au niveau des organismes concernés par la protection du secret, selon les modalités décrites dans l'instruction particulière relative à l'élaboration, la validation et l'utilisation d'un guide de classification.
Ainsi, l'auteur d'une information est tenu de procéder préalablement à sa classification, à l'analyse de l'importance de l'information au regard du guide de classification de son organisme. Par la suite, en fonction de l'évolution de son contexte, il peut à tout moment décider de revoir le niveau de classification, soit en l'augmentant (reclassement), soit en le diminuant (déclassement). Dans tous les cas il doit déterminer la durée utile de classification et donc fixer une date d'échéance de la classification (déclassification [32]).
Il doit en permanence veiller à ce que le niveau de classification soit approprié à l'information concernée c'est-à-dire à ce qu'il soit à la fois nécessaire et suffisant afin d'éviter les classifications abusives ou, au contraire, les sous-classifications, car :

- utilisée de façon abusive, la classification nuit à la fluidité des échanges par les mesures de protection qu'elle impose et dévalue le secret ;
- sous-employée (33), elle facilite l'accès à des informations et supports dont la divulgation est de nature à nuire aux intérêts fondamentaux de la Nation.

On distingue deux niveaux de classification, les niveaux Secret et Très Secret :

- le niveau Secret : concerne les informations dont la divulgation ou auxquels l'accès est de nature à porter atteinte à la défense et à la sécurité nationale.
- le niveau Très Secret : concerne les informations dont la divulgation ou auxquels l'accès aurait des conséquences exceptionnellement graves pour la défense et la sécurité nationale.

Pour le niveau Très Secret, il existe par ailleurs des classifications spéciales. Elles sont destinées à protéger les informations relatives aux priorités gouvernementales en matière de défense et de sécurité nationale. Ces classifications spéciales recouvrent les anciennes classifications spéciales du Très Secret Défense.
A noter :

- selon le principe dit des « agrégats » (34), l'auteur d'une information, constituée du regroupement d'éléments ou d'autres informations, est tenu de porter une attention particulière à sa classification. Un ensemble d'éléments, qui s'ils sont pris isolément ne sont pas classifiés, peut en effet constituer une information classifiée. De même, le regroupement d'informations classifiées peut également être classifié à un niveau supérieur à celui des informations qu'il contient ;
- les informations et supports classifiés créés avant le 1er juillet 2021 conservent leur marquage d'origine et la protection juridique afférente. Les règles applicables au Secret décrites dans la présente instruction s'appliquent également aux informations et supports classifiés Confidentiel Défense et celles applicables également au Très Secret s'appliquent aux informations et supports classifiés Secret Défense ;
- le choix de classifier une information doit intervenir le plus rapidement possible pour que la classification puisse être matérialisée sur les supports qu'ils soient élaborés ou en cours d'élaboration.

Une instruction particulière relative à l'élaboration, la validation et l'utilisation d'un guide de classification précise les principes portés par ce chapitre.

(30) Cf. IGI 1300 §1.1.
(31) Uniquement pour les niveaux Secret et Très Secret.
(32) Intervient à l'échéance de la durée maximum de classification déterminée par l'auteur ou sur décision particulière.
(33) Reporter ou ne pas prendre la décision de classifier dans le but de s'affranchir des contraintes liées à la gestion des informations et support classifiés est une faute qui peut être sanctionnée pénalement car elle peut générer une compromission par négligence.
(34) Cf. IGI 1300 §7.1.12 c).

3.1.1. La date d'échéance de la classification

L'auteur d'une information, au moment où il décide de sa classification, apprécie la durée utile de classification et donc fixe une date d'échéance.
Cette date est apposée sur le support et répond aux critères suivants :

- être inférieure à cinquante ans avec la possibilité de prolonger à tout moment le délai fixé ;
- ne pas être choisie au hasard ou de manière systématique « par défaut » mais répondre à une logique opérationnelle (35) ;
- lorsqu'à titre exceptionnel aucune date ne peut être déterminée, l'auteur de l'information classifiée indique la date ou le délai au terme duquel, le niveau de classification est impérativement réévalué. Cette date ou ce délai n'excède pas vingt ans à compter de la date de production du support.

La fin de la classification intervient alors :

- de manière automatique à la date d'échéance fixée lors de la classification en fonction des prescriptions du guide de classification validé par l'autorité émettrice ;
- après une décision formelle de déclassification prise par l'autorité émettrice. Dans ce cas, la décision de déclassification est formalisée par l'apposition sur le support d'un timbre de déclassification qui précise la date et la référence de la décision. Cette opération est appelée « démarquage » ;
- de manière automatique, dès lors que le support devient communicable de plein droit en application de l'article L. 213-2 du code du patrimoine. Dans la majorité des cas, la déclassification automatique intervient à l'échéance d'un délai de cinquante ans (36).

A noter :
Une information déclassifiée ne devient pas immédiatement communicable. Il faut préalablement à toute communication s'assurer de sa communicabilité au regard des règles de l'article L. 311-5 du code des relations entre le public et l'administration et l'article L. 213-2 du code du patrimoine.

(35) A titre d'exemple, le parcours d'un transport de matières sensibles classifié peut être déclassifié une fois le transport effectué puisque le suivant ne prendra pas le même itinéraire.
(36) Cf. IGI 1300 §7.5.5.

3.1.2. La matérialité de l'information

L'information classifiée prend corps, soit dans un document, soit dans un objet (ex. : un prototype, une pièce usinée ou sa maquette à l'échelle) ; mise sous format électronique, elle se matérialise dans un support (ex. : une clef USB, un système d'information). On parle alors d'informations ou de supports classifiés.

3.2. Les marquages
3.2.1. Les timbres de classification

Une information doit pouvoir être identifiée comme étant classifiée avant sa consultation. L'apposition d'un timbre de classification (37) visible constitue le seul moyen de conférer la protection des dispositions spécifiques du code pénal (38).
La détention d'un guide de classification approuvé pour l'autorité émettrice par le haut fonctionnaire de défense et de sécurité, est un préalable à tout acte de classification matérialisé par l'apposition d'un timbre.

(37) Cf. IGI 1300 §annexes 36 et 37.
(38) Cf. IGI 1300 §1.3.1.

3.2.1.1. La mention « Diffusion Restreinte »

La mention « Diffusion Restreinte » n'est pas en France (39) un niveau de classification mais une mention de protection (40). Elle a pour but d'imposer à l'utilisateur de faire preuve de discrétion dans la gestion et la manipulation des informations couvertes par cette mention.
Elle concerne les informations qui ne doivent pas être rendues publiques mais qui pour autant peuvent être communiquées aux personnes devant la connaître dans l'exercice de leur fonction ou dans l'accomplissement de leur mission sans pour autant que ces dernières soient habilitées au secret de la défense nationale.
Comme il ne s'agit pas d'une information classifiée, les règles de gestion et de protection des informations protégées par la mention « Diffusion Restreinte » sont moins contraignantes que celles à mettre en œuvre pour les informations et supports classifiés.
Si leur divulgation intentionnelle ou par négligence ne constitue donc pas une compromission au sens du code pénal, elle peut toutefois constituer une faute professionnelle.
Il est ainsi recommandé aux responsables d'organisme de faire signer aux personnes susceptibles d'avoir accès à des informations protégées par la mention « Diffusion Restreinte » un engagement de confidentialité.
Le champ couvert par cette mention est précisé par l'instruction particulière relative à l'élaboration, la validation et l'utilisation d'un guide de classification.

(39) Certains alliés de la France ou des organisations internationales comme l'OTAN ou l'UE considèrent la mention Restricted comme un premier niveau de classification.
(40) Cf. IGI 1300 §1.3.2.

3.2.1.2. La mention complémentaire « Spécial France »

Les informations portant la mention « Spécial France » (41) ne peuvent pas être transmises à des personnes physiques ou à des personnes morales étrangères. Ce principe intangible implique un cloisonnement très strict de l'information, en particulier des systèmes d'information lorsque les informations classifiées sont dématérialisées. Cette mention peut être complémentaire à une marque de classification ou à la mention de protection « Diffusion Restreinte ».

(41) Cf. IGI 1300 §7.1.1.3.

3.3. L'accès aux informations et supports classifiées

L'accès aux informations et supports classifiés ne peut se faire qu'à la condition stricte du respect de deux critères cumulatifs : détenir une habilitation au niveau requis et avoir le « besoin d'en connaître ».

3.3.1. Le « besoin d'en connaître »

Le « besoin d'en connaître » (42) doit être apprécié par le chef d'organisme au juste besoin et juste niveau. Il est évalué à partir du guide de classification eu égard aux informations nécessaires pour l'exercice des fonctions ou l'accomplissement des missions de l'organisme.
Le « besoin d'en connaître » se matérialise dans un document appelé catalogue des emplois. Il est établi pour chaque niveau de classification et recense les fonctions, les missions de l'organisme nécessitant l'accès à des informations et supports classifiés ainsi les noms et prénoms des personnes physiques les occupant.
Ce document est soumis à la validation du fonctionnaire de sécurité de défense et fait l'objet d'une mise à jour annuelle par l'organisme.
L'instruction particulière relative à l'habilitation des personnes physiques et morales précise les modalités d'élaboration et d'actualisation des catalogues des emplois.

(42) Cf. IGI 1300 §1.2.1.1.

3.3.2. L'habilitation des personnes physiques

La procédure d'habilitation ne peut être initiée que pour les fonctions et missions figurant au catalogue des emplois de l'organisme (43). Elle est engagée par le chef d'organisme et est menée par son officier de sécurité.
Le cheminement étape par étape du processus d'habilitation est décrit dans l'instruction particulière relative à l'habilitation des personnes physiques et morales.
A noter :

- dans le cas d'un organisme privé lié directement ou indirectement au pôle ministériel par un contrat ou une convention, l'habilitation de la personne morale précède l'habilitation des personnes physiques ;
- dans le cas d'un ressortissant étranger, une habilitation peut être délivrée à la condition qu'il existe un accord de sécurité général ou spécifique, entre la France et l'Etat dont l'intéressé est ressortissant. En l'absence d'accord, le secrétaire général de la défense et de la sécurité nationale apprécie, à titre exceptionnel et sur demande motivée du responsable d'organisme, l'opportunité d'engager une procédure d'habilitation. Il définit le cas échéant la procédure suivre (44).

(43) Cf. IGI 1300 §3.1.2.
(44) Cf. IGI 1300 §3.2.5.

3.3.3. L'habilitation des personnes morales

La procédure d'habilitation d'une personne morale ne peut être initiée que si l'Etat reconnaît son « besoin d'en connaître ».
Cette habilitation répond à la nécessité d'apprécier les garanties offertes par une personne morale avant de se voir attribuer un contrat avec accès ou détention d'informations et supports classifiés ou avant de passer une convention (45) avec l'Etat, une personne morale de droit privé ou une collectivité territoriale mettant en jeu des informations et supports classifiés.
L'habilitation d'une personne morale s'accompagne pour celle-ci de la mise en place de chaînes fonctionnelles de sécurité pour la protection du secret et pour la sécurité des systèmes d'information, dans le cas où elle détient un système d'informations classifié. Ces chaînes sont respectivement décrites aux paragraphes 2.2 et 2.3 supra.

(45) Cf. IGI 1300 §1.2.1.2 et §4.3.

3.4. Le principe de discrétion

Au-delà de la protection du secret de la défense nationale qui impose des règles strictes de confidentialité à l'égard des informations classifiées, il convient pour les personnes physiques (46) et morales (47) de faire preuve de discrétion quant à la détention d'une habilitation.
Cette obligation s'applique aussi en dehors de l'environnement professionnel comme par exemple sur les réseaux sociaux. Les officiers de sécurité veilleront à ce titre à organiser des sensibilisations aux bonnes pratiques sur les réseaux sociaux. Ils font en outre des rappels sur le cas particulier des lanceurs d'alerte et de l'application de l'article 40 du code pénal.

(46) Cf. IGI 1300 §3.4.3.
(47) Cf. IGI 1300 §4.4.2.2.

3.5. La sécurité des informations classifiées

Par principe, aux différents niveaux de classification correspondent des mesures de protection graduées et adaptées aux conséquences qui seraient causées en cas d'atteinte à la défense et à la sécurité nationale.

3.5.1. La protection physique

Toute information et support classifié est détenu selon des règles de protection physique qui concernent les meubles de stockage, les locaux dans lesquels se trouvent ces meubles et les emprises dans lesquelles se trouvent ces locaux (48).
Une instruction particulière précise les dispositions réglementaires relatives à la sécurité des lieux et le rôle des différents acteurs.

(48) Cf. IGI 1300 annexe 30.

3.5.2. La protection logique

Toute information classifiée dès lors qu'elle est dématérialisée est détenue dans un système d'information qui a fait l'objet d'une décision d'homologation (49).
Cette décision est prise par une autorité d'homologation au terme d'une démarche qui repose sur une analyse de risques globale, pour une durée maximale de trois ans pour les systèmes d'information au niveau Secret et de deux ans pour les systèmes d'information au niveau Très Secret.
Une instruction particulière relative à la sécurité des systèmes d'information contenant des informations classifiées ou « Diffusion Restreinte » précise le cadre et le rôle des différents acteurs de la démarche d'homologation d'un système d'information.

(49) Cf. IGI 1300 §6.1.

3.6. La gestion des informations classifiées

Lorsqu'une information ou un support est classifié, c'est l'ensemble de la chaîne de sécurité qui en devient responsable, pas seulement la personne physique appelée à le manipuler ou à le détenir.

3.6.1. Le principe de cloisonnement des informations et supports classifiés

Pour que les informations et supports classifiés ne circulent qu'auprès de personnes habilitées ayant le « besoin de les connaître » il faut en permanence en limiter l'accès et en contrôler le partage. C'est le principe du cloisonnement qui impose de prendre connaissance d'une information dans le cadre strict de l'exercice d'une fonction ou l'accomplissement d'une mission nécessitant le « besoin d'en connaître ».
Le principe de cloisonnement se traduit par exemple, par :

- une gestion stricte des droits d'accès aux données contenues dans un système d'informations classifié ;
- une séparation physique des informations et supports classifiés « appartenant » à différents services quand ils sont stockés dans une même armoire forte (ex : utilisation de caissons sécurisés solidaires de l'armoire).

3.6.2. Le principe de traçabilité des informations et supports classifiés

La traçabilité des informations et supports classifiés est en permanence assurée, depuis leur création jusqu'à leur destruction ou leur versement à un service d'archivage. Elle obéit à des règles de gestion strictes (50) qui sont retranscrites dans la politique de protection du secret de l'organisme et mises en œuvre rigoureusement par les émetteurs et les détenteurs d'informations classifiées.
Une fois créé, tout support d'information classifiée est ainsi identifié dans le but d'organiser sa traçabilité (numéro d'enregistrement arrivée ou départ, autorité émettrice et auteur de l'information ou du support classifié, date de création, domaine, titre ou objet, nombre de pages, niveau de classification, mode et date prévue de déclassification, nombre d'exemplaires, de copies).
L'élaboration d'un support classifié est obligatoirement réalisé dans un lieu abritant. Tout système d'information utilisé pour son élaboration est préalablement homologué (51) au niveau minimum de classification de l'information concernée.
A noter :

- la perte de traçabilité d'un support classifié par la chaîne de protection du secret est considérée comme une possible compromission ;
- les reproductions et les copies de supports classifiés sont gérées selon les mêmes règles que des originaux ;
- l'élaboration d'un support classifié est obligatoirement effectuée dans un lieu abritant et par une personne physique habilitée à un niveau au moins équivalent au niveau de classification du support créé ;
- tous les supports électroniques servant à l'élaboration d'un document classifié (brouillons, impressions, clés USB…) portent une mention de classification du niveau de classification dudit document. Ils sont conservés conformément aux exigences de l'IGI 1300 et placés sous la responsabilité de leur auteur ;
- les clés USB et autres disques durs utilisés pour l'élaboration ou le stockage de documents classifiés conservent le niveau de classification le plus élevé du ou des documents qu'ils contiennent ou ont contenu, même après effacement. Ces supports ne seront déclassifiés qu'à la condition que les documents qu'ils contiennent ou ont contenu le soient préalablement.

(50) Cf. IGI 1300 §7.
(51) Cf. IGI 1300 §6.1 et l'instruction particulière relative à la sécurité des systèmes d'informations contenant des informations classifiées ou « Diffusion Restreinte ».

3.6.3. inventaire des documents classifiés

L'inventaire consiste à vérifier la concordance entre le stock des supports classifiés détenus et ceux listés dans les registres (52). Il est réalisé par chaque détenteur sous la supervision de l'officier de sécurité ou de son représentant :

- annuellement : réalisé chaque année avant le 31 décembre, l'inventaire annuel est l'occasion pour le détenteur de réévaluer l'intérêt de la conservation des supports détenus, mais aussi la pertinence du maintien de la classification (53) des supports dont il est l'auteur et de leur versement aux archives (54).
- à chaque prise ou fin de fonction : lorsqu'un détenteur quitte définitivement son poste (mutation, départ en retraite ou licenciement par exemple), il est procédé à un inventaire détaillé contradictoire entre le partant et son successeur.

Dans le cas d'une vacance du poste, cet inventaire et la responsabilité des supports est conservé par l'officier de sécurité jusqu'à l'arrivée d'un nouveau détenteur. Dès son arrivée ou sa détention d'une habilitation au bon niveau, l'officier de sécurité (ou son représentant) lui remet les supports à l'appui de cet inventaire.
A noter :

- un inventaire peut être conduit à tout moment, notamment en cas de compromission supposée ou avérée d'un support classifié dans son organisme ;
- pour les informations classifiées dématérialisées, les obligations d'enregistrement sont assurées automatiquement par le système, conformément aux obligations de traçabilité qui lui sont imposées par l'IGI 1300. Leur inventaire n'est donc pas nécessaire ;
- un document de travail (brouillon, courriel,…) est identifié, protégé et suivi mais ne nécessite pas d'être inventorié.

(52) Le registre (cahier ou fichier électronique) est classifié au même niveau que les documents qu'il inventorie lorsque l'objet des documents y figure et que celui-ci est classifié au même niveau que le document. En règle générale, le registre de supports classifiés au niveau Très Secret est classifié au niveau Secret et celui de supports classifiés au niveau Secret est protégé par la mention « Diffusion Restreinte ».
(53) Cf. IGI 1300 §7.4.1.2.
(54) Chaque organisme détenteur vérifie, en outre, au moment de l'inventaire dans la base interministérielle des décisions de déclassification tenue par le secrétariat général de la défense et de la sécurité nationale si les supports qu'il détient ont fait l'objet d'une déclassification et procède, le cas échéant, à leur déclassification.

3.7. Le délit de compromission

La compromission se caractérise par la destruction, le détournement, la soustraction, la reproduction ou l'accès à une information classifiée par une personne non habilitée ou n'ayant pas le « besoin d'en connaître », voire du public. Elle est constitutive d'un délit prévu et réprimé aux articles 413-10 et 413-11 du code pénal.
En cas de suspicion de compromission, il revient au chef d'organisme et à l'officier de sécurité de mener sans délai des investigations afin de réaliser une levée de doute et de s'assurer à ce titre que le timbre de classification de l'information concernée n'a pas perdu sa valeur.
Dès la levée de doute effectuée, si la compromission est avérée, il est essentiel de prendre des mesures conservatoires immédiates afin de ne pas compromettre les preuves et de conserver les traces qui seront nécessaires aux investigations (55).
Des procédures internes sont ainsi définies par l'officier de sécurité et, le cas échéant, l'officier de sécurité des systèmes d'information et mises en œuvre au plus tôt dans le but de :

- préserver tout support numérique (courriel, fichier, répertoire…) susceptible de contenir une compromission ;
- rassembler les éléments techniques et humains en rapport à l'incident en cours ;
- rendre compte au fonctionnaire de sécurité de défense qui informera le SGDSN et le service enquêteur compétent pour les investigations.

Tous les éléments recueillis sont tenus à la disposition de la direction générale de la sécurité intérieure (DGSI) pour la conduite d'une enquête.
A noter :

- une information classifiée donnant matière à compromission s'entend d'une information qui fait l'objet d'une mesure de classification mentionnée à l'article 413-9 du code pénal, quelle que soit la nature de son support qu'il soit physique ou électronique ;
- la rapidité et la discrétion d'intervention sont primordiales dans le traitement d'une compromission ;
- la répression du délit de compromission n'exclut pas le cumul avec d'autres infractions pénales telles que le vol, la violation du secret professionnel ;
- la caractérisation du délit de compromission, sa répression, les procédures à suivre et les réponses liées à la sécurité des systèmes d'informations classifiés sont développés dans l'IGI 1300 §1.4 et dans les instructions particulières relatives à la classification et à la sécurité des systèmes d'information ;
- dans le cas d'une compromission avérée :
- une inspection de l'organisme, dont un rapport est remis au haut fonctionnaire de défense et de sécurité, est systématiquement réalisée par le fonctionnaire de sécurité de défense ;
- des travaux visant à réviser la politique de protection du secret de l'organisme sont systématiquement conduits par l'officier de sécurité.

(55) La non-observation de cette règle est susceptible d'exposer le responsable de l'action menée à des sanctions pénales (article 434-4 du code pénal).

4. Mise en œuvre de la politique de protection du secret
   4.1. Elaboration des politiques par les organismes
   4.1.1. Politique de protection du secret

Chaque responsable d'organisme ayant accès au secret de la défense nationale quels que soient son statut et sa forme morale, dispose d'une politique de protection du secret (56) propre à son organisme en déclinaison de la réglementation en vigueur dont la présente instruction ministérielle et les instructions particulières associées (57).
Il s'appuie pour cela sur son officier de sécurité qui est chargé de sa rédaction avec, le cas échéant, le concours de l'officier de sécurité des systèmes d'information, afin de s'assurer qu'elle soit cohérente d'une part, avec la politique de sécurité des systèmes d'information de l'organisme, et, d'autre part, avec les recommandations de l'agence nationale de la sécurité des systèmes d'information (ANSSI) et de l'opérateur des systèmes d'information interministériels classifiés (OSIIC).
Outre la description de la chaine fonctionnelle de sécurité, cette politique définit impérativement des procédures relatives à la protection des informations et des supports classifiés, mais aussi des informations « Diffusion Restreinte » auxquelles l'organisme a accès. Elle est révisée annuellement, et, le cas échéant, lorsqu'un incident de sécurité survenant dans l'organisme la met en cause (58) (cf. 3.7).
A noter :

- pour les opérateurs d'importance vitale, cette politique est intégrée au plan de sécurité d'opérateur et au plan particulier de protection ;
- pour les organismes accédant à des informations et supports classifiés au titre d'une convention ou d'un contrat, cette politique est conforme aux stipulations du ou des plans contractuels de sécurité attachés.

(56) Cf. IGI 1300 §2.3.1.3.
(57) Cette politique locale peut être plus restrictive que la réglementation sous réserve qu'elle ne s'y oppose pas.
(58) Cf. IM §3.7.

4.1.2. Politique de sécurité des systèmes d'information

Chaque autorité qualifiée en sécurité des systèmes d'information s'assure que les lignes directrices en matière de sécurité qu'il a défini pour les organismes relevant de sa compétence (59) s'articulent bien avec la politique de protection du secret des organismes.

(59) Cf. IGI 1300 §2.3.1.2.

4.2. Les dispositifs de contrôle de leur application

Les dispositifs de contrôle ont pour objet de mesurer l'écart entre la réalité des dispositifs mis en place au sein des organismes et les prescriptions de la réglementation en vigueur (IGI 1300, présente instruction, instructions particulières).
Ces contrôles sont de deux natures : internes ou externes et sont effectués selon les modalités indiquées ci-après au sein des organismes soumis à la présente instruction.

4.2.1. Contrôle interne, à la charge du responsable d'organisme

Les contrôles internes sont conduits par les officiers de sécurité des organismes avec l'appui, le cas échéant, des officiers de sécurité des systèmes d'information. Ils constituent pour l'ensemble des sites de l'organisme une action de contrôle essentielle en matière de protection du secret.
Ces contrôles sont menés régulièrement (au moins une fois par an) pour s'assurer de la bonne application des prescriptions réglementaires au sein des différents sites de l'organisme. Ils donnent lieu à un compte-rendu écrit de l'officier de sécurité adressé au responsable d'organisme.
Une synthèse des comptes rendus mettant en exergue les points forts et les points faibles ainsi que les principaux écarts à la réglementation constatés est adressée au fonctionnaire de sécurité de défense avant le 31 décembre de chaque année (60).

(60) Pour les organismes disposant d'une structure hiérarchisée d'officiers de sécurité, seul le compte-rendu de l'officier central de sécurité est adressé au fonctionnaire de sécurité de défense. Ce document de synthèse est classifié au niveau Secret.

4.2.2. Audits et inspections externes
4.2.2.1. Audits techniques

L'audit est entendu ici comme une mission d'expertise dans les domaines de la protection du secret, de la sûreté des bâtiments ou de la sécurité des systèmes d'information (61).
Il a pour but d'identifier des vulnérabilités, des faiblesses et/ou des non conformités afin d'apporter des recommandations et des actions correctives d'amélioration vis-à-vis des exigences réglementaires. Il est conduit à l'initiative du responsable d'organisme ou à la demande des autorités ministérielles en charge de la protection du secret et donne lieu à un rapport écrit classifié.
L'audit peut être conduit par un service enquêteur, par le Commandement spécialisé pour la sécurité nucléaire, ou par des consultants privés (62).
Dans le cas d'un audit de sécurité des systèmes d'information, l'externalisation ne peut se faire qu'auprès de prestataires qualifiés par l'Agence nationale de la sécurité des systèmes d'information (63).

(61) Pour l'audit des systèmes d'information Cf. IGI 1300 §6.9.
(62) Dans ce dernier cas, l'accord préalable du fonctionnaire de sécurité de défense est requis.
(63) Il s'agit des prestataires d'audit SSI (PASSI).

4.2.2.2. Inspection du Haut Fonctionnaire de défense et de sécurité

Les inspections s'entendent ici comme des évaluations conduites par des personnes dûment désignées par le haut fonctionnaire de défense et de sécurité pour le compte des ministres. Elles ont pour objectif de s'assurer que les exigences réglementaires en matière de protection du secret sont appliquées (conditions d'élaboration, de détention, de conservation, de suivi, de protection des informations et supports classifiés qu'ils soient ou non dématérialisés).
Elles sont conduites de manière planifiée sur la base d'un calendrier arrêté par le haut fonctionnaire de défense et de sécurité qui est établi après concertation entre le fonctionnaire de sécurité de défense et les organismes concernés. Elles interviennent au rythme suivant :

- tous les cinq ans, pour les organismes du pôle ministériel et les organismes placés sous tutelle ;
- tous les sept ans, pour les opérateurs d'importance vitale ;
- en fonction de la périodicité prescrite au plan contractuel de sécurité, pour les organismes publics ou privés sous contrat ou convention.

Elles donnent lieu à un rapport classifié adressé au haut fonctionnaire de défense et de sécurité et au chef d'organisme inspecté.
Une instruction particulière précise les modalités de mise en œuvre des contrôles, audits et inspections.
A noter :

- les inspections sont planifiées par le haut fonctionnaire de défense et de sécurité un an avant leur réalisation ;
- en cas de manquement avéré ou supposé de la mise en œuvre de la politique de protection du secret de l'organisme, ou en cas d'événements de sécurité, le haut fonctionnaire de défense et de sécurité peut déclencher une inspection inopinée ;
- à partir de l'émission du rapport d'inspection, l'organisme inspecté dispose de six mois maximum pour rendre compte au haut fonctionnaire de défense et de sécurité des mesures correctives apportées ou engagées.

Glossaire

Accord de sécurité : accord intergouvernemental conclu entre la France et au moins un Etat ou une organisation internationale. Ces accords, qui doivent être obligatoirement consultés avant tout échange d'information ou support classifiés avec l'Etat ou l'organisation internationale considéré définissent les mesures de protection à appliquer dans le cadre de ces échanges, selon un principe d'équivalence entre les niveaux de classification français et ceux du partenaires, identifient les autorités nationales de sécurité compétentes, posent généralement le principe de la reconnaissance mutuelle des habilitations délivrées de part et d'autre, et précisent les modalités de transmission et de protection des informations et supports classifiés (Cf. IM §2.1.2).
Archivage : opération consistant à verser à un service d'archives des supports d'information lorsqu'ils ne sont plus d'utilisation habituelle. Les supports faisant encore l'objet d'une classification ne peuvent être archivés que dans certaines conditions et dans des services habilités à les recevoir (Cf. IM §3.6.3).
Auteur d'une information ou d'un support classifié : personne qui, sous le contrôle de l'autorité émettrice, prend la décision d'apposer le timbre de classification sur une information ou un support au niveau requis par son contenu. Il procède à l'analyse de l'importance de l'information au regard de son contexte et eu égard aux directives de classification reçues de l'autorité émettrice. C'est aussi lui qui fixe la date de déclassification (Cf. IM §3.1).
Autorité émettrice : Etat français, Etat étranger, organisation internationale ou institution, organisation ou organisme de l'Union européenne sous la responsabilité de laquelle ou duquel un timbre de classification est apposé sur une information ou un support, afin de lui conférer une protection au titre du secret de la défense nationale (Cf. IM §3.1).
Autorité nationale de sécurité ; autorité de sécurité déléguée : l'ANS est autorité nationale chargée d'assurer la protection des informations classifiées étrangères confiées aux organismes relevant de la juridiction de son Etat et d'assurer la liaison avec les autorités nationales de sécurité étrangères sur tout sujet relatif à la protection des informations et supports classifiés. En France, l'autorité nationale de sécurité est le secrétaire général de la défense et de la sécurité nationale. L'autorité nationale de sécurité peut déléguer sa mission à une autorité de sécurité déléguée dans un domaine spécifique et selon des modalités précisées dans une décision de délégation (Cf. IM §2.1.1).
Autorité qualifiée en sécurité des systèmes d'Information : au titre de la présente instruction, autorité chargée de définir les lignes directrices relatives à la sécurité des systèmes d'informations classifiées pour les organismes relevant de ses attributions et d'en contrôler l'application (Cf. IM §2.3.1).
Besoin d'en connaître : nécessité impérieuse de prendre connaissance d'une information dans le cadre de l'exercice d'une fonction ou l'accomplissement d'une mission (Cf. IM §3.3.1).
Catalogue des emplois : dans un organisme, liste des emplois, des fonctions et du nom, prénom des personnes occupant les postes qui nécessitent l'accès aux informations et supports classifiés. Le catalogue des emplois est dressé sur le seul critère du besoin d'en connaître. Il est établi et tenu à jour par l'officier de sécurité pour un niveau de classification donné. Un organisme peut ainsi détenir plusieurs catalogues des emplois (Cf. IM §3.3.1).
Compromission : destruction, détournement, soustraction, reproduction non autorisée ou divulgation, supposée ou avérée, d'une information ou d'un support classifié à une ou plusieurs personnes non qualifiées au sens de la présente instruction (Cf. IM §3.7).
Contrat sensible : contrat, quel que soit son régime juridique ou sa dénomination, qui n'implique pas l'accès à des informations et supports classifiés mais dont l'exécution nécessite l'accès à un lieu abritant des éléments couverts par le secret de la défense nationale. (Cf. IM §2.4.2).
Déclassification : suppression de la classification d'une information ou d'un support classifié. La déclassification n'est effective qu'après l'adoption d'une décision de déclassification par l'autorité émettrice compétente matérialisée sur le support classifié par un timbre de déclassification. A ne pas confondre avec le déclassement qui est la modification, par abaissement, du niveau de classification d'une information ou d'un support classifié (Cf. IM §3.1.1).
Enquête administrative : procédure destinée à vérifier que le comportement des personnes physiques ou morales intéressées n'est pas incompatible avec l'accès à certaines zones sensibles, l'exercice de la fonction ou l'accomplissement de la mission envisagée (Art. L. 114-1 du code de la sécurité intérieure).
Fonctionnaire de sécurité de défense : personne placée auprès du haut fonctionnaire de défense et de sécurité, chargée d'accompagner les responsables d'organisme dépendant du champ d'attribution de son ministère dans l'animation de leur chaîne fonctionnelle de la protection du secret (Cf. IM §2.1.4).
Fonctionnaire de sécurité des systèmes d'information : personne placée auprès du haut fonctionnaire de défense et de sécurité, chargée d'accompagner les responsables d'organisme dépendant du champ d'attribution de son ministère dans l'animation de leurs chaînes fonctionnelles de sécurité des systèmes d'information classifiés et de sécurité des articles contrôlés de la sécurité des systèmes d'information (Cf. IM §2.1.5).
Haut Fonctionnaire de défense et de sécurité : autorité chargée d'assister le ministre dans l'exercice de ses attributions de sécurité, de défense et de protection du secret. Il est, dans certains ministères, appelé haut fonctionnaire correspondant de sécurité et de défense ou haut fonctionnaire de défense (Cf. IM §2.1.3).
Informations et supports classifiés : information, document, support, matériel, procédé, réseau informatique, donnée informatisée ou fichier, quels qu'en soient la forme, la nature ou le mode de transmission, qu'ils soient élaborés ou en cours d'élaboration, auxquels un niveau de classification a été attribué et qui, dans l'intérêt de la défense nationale et conformément aux procédures, lois et règlements en vigueur, nécessitent une protection contre toute violation, toute destruction, tout détournement, toute divulgation, toute perte ou tout accès par toute personne non autorisée ou tout autre type de compromission. Pour avoir accès à ce type d'information, il faut être habilité et avoir le besoin d'en connaître.
Marquage : opération consistant à apposer sur un support classifié les mentions précisant son niveau de protection ou de classification, l'échéance de la classification, le numéro d'exemplaire, le numéro d'enregistrement, la pagination pour un document papier et, le cas échéant, la destination exclusivement nationale (Cf. IM §3.2).
Organisme : au titre de la présente instruction, toute personne morale publique ou privée ayant accès, même à titre provisoire, à des informations et supports classifiés.
Plan contractuel de sécurité : document attaché à une convention ou à un contrat énumérant, les engagements pris par la personne morale cocontractante de l'Etat pour protéger les informations et supports classifiés auxquels elle aura accès dans le cadre de la convention ou du contrat. Ce document fait partie intégrante de la convention ou du contrat (Cf. IM §2.4.2).
Politique de protection du secret : document définissant l'ensemble des mesures de protection mises en œuvre par l'organisme pour protéger les informations et supports classifiés auquel il a accès. Ce document est élaboré par l'officier de sécurité de l'organisme, en lien avec l'officier de sécurité des systèmes d'information pour les organismes utilisant un système d'information classifié. Il est conforme à la présente instruction, ainsi qu'à l'instruction ministérielle et le cas échéant aux instructions particulières applicables. Il prend en compte les obligations souscrites par l'organisme dans le cadre des plans contractuels de sécurité qui lui sont applicables (Cf. IM §4.1.1).
Procédure d'habilitation : procédure visant à s'assurer qu'une personne peut, sans risque pour la défense et la sécurité nationale ou pour sa propre sécurité, connaître des informations et supports classifiés dans l'exercice de ses fonctions (Cf. IM §3.3.2).
Responsable d'organisme : au sens de la présente instruction, pour les services de l'Etat (services centraux, services déconcentrés, services à compétence nationale), le responsable d'organisme est le chef du service ayant accès à des informations et supports classifiés (directeur de cabinet ministériel, secrétaire général d'un ministère, directeur d'administration centrale, chef de service, chef d'établissement, etc.). Pour les personnes morales autres que l'Etat, le représentant légal de la personne morale. Le responsable d'organisme est pénalement responsable de la protection du secret de la défense nationale au sein de son organisme et par ses personnels (Cf. IM §2.2.1).
Sécurité des systèmes d'information : ensemble des mesures techniques et non techniques menées pour atteindre l'état de cybersécurité pour les systèmes d'information, leur permettant de résister à des événements issus du cyberespace susceptible de compromettre la disponibilité, l'intégrité, la confidentialité ou la traçabilité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu'ils rendent accessibles.
Sensibilisation : instruction périodiquement prodiguée aux personnes habilitées ou susceptibles d'être habilitées, destinée à leur faire prendre conscience des enjeux de la protection du secret de la défense nationale, à les familiariser avec leur obligation de signalement de tout incident dans le respect des règles associées, à les mettre en capacité d'identifier les tentatives d'approche et à leur rappeler les sanctions judiciaires et administratives encourues en cas de manquement aux règles (Cf. IM §2.2.2).
Spécial France : mention complémentaire de protection visant à restreindre la divulgation d'une information ou d'un support aux seuls ressortissants français qualifiés au regard du code pénal. Une information ou un support portant cette mention ne peut, en aucune circonstance, être communiqué, en tout ou partie, à un Etat étranger ou à l'un de ses ressortissants, organisation internationale ou personne morale de droit étranger, même s'il existe un accord de sécurité entre la France et l'Etat ou l'organisation internationale considéré (Cf. IM §3.2.1.2).
Support : tout moyen matériel, quelles qu'en soient la forme et les caractéristiques physiques, permettant de recevoir, de conserver ou de restituer des informations ou des données.
Système d'information : ensemble organisé de ressources (matériels, logiciels, données, etc.) permettant de traiter, stocker ou transmettre des informations sous forme dématérialisée ; Système d'information d'administration : système d'information comprenant les ressources nécessaires pour administrer un système d'information considéré ; système d'information classifié : système d'information homologué pour traiter, stocker ou transmettre des informations et supports classifiés.
Timbre : mention figurant sur un support d'information précisant son niveau de classification et, le cas échéant, une mention de protection complémentaire. Le timbre respecte les caractéristiques définies par l'instruction générale interministérielle n° 1300 (Cf. IM §3.2.1).
Vulnérabilité : en matière de protection au sens large, la vulnérabilité est une faiblesse organique, fonctionnelle ou structurelle, permanente ou temporaire, dont l'exploitation pourrait favoriser la concrétisation d'une menace. Rapportée à la protection du secret, la vulnérabilité est aussi définie par le SGDSN comme un élément relatif à la situation d'une personne, d'un système d'information ou d'un local et qui amoindrit les garanties qu'il présente pour la protection des informations et supports classifiés.