La formule « mieux classifier pour mieux protéger » introduit et résume l’objectif de la réforme de la protection du secret de la défense nationale menée entre 20191 et 2021 et ayant conduit à la refonte de l’instruction interministérielle générale n° 13002 (IGI 1300).
En pratique, les modalités de classification, de pilotage, et d’accès pour les personnes physiques et morales aux ISC ont été réformées en profondeur dans une visée de simplification et de modernisation.
Cette réforme répondait alors à plusieurs enjeux :
-
l’augmentation du nombre d’informations et supports classifiés (« ISC ») immatériels,
-
l’augmentation des échanges d’informations dans le cadre d’accords de coopération internationaux (UE, OTAN, etc.),
-
la multiplication des ISC et des personnes habilitées augmentant le risque de compromission, et
- le nécessaire équilibre entre l’accès des citoyens aux archives nationales et la sauvegarde des intérêts fondamentaux de la nation.
Une année après les derniers actes de cette réforme dont il convient de rappeler les principaux apports, force est de constater qu’elle représente toujours un défi organisationnel et opérationnel pour les personnes morales, en particulier pour celles traitant des informations et supports classifiés et qui ne naviguent pas nécessairement dans le secteur de la défense.
Une modernisation des règles au service d’une protection du secret de la défense nationale plus efficiente
La réaffirmation des principes garantissant la protection du secret de la défense nationale
On rappellera tout d’abord que la réforme visait à renforcer les principes structurants de la protection du secret de la défense.
Au centre de la protection du secret se trouve le principe de stricte nécessité motivant la rationalisation de la protection des ISC afin de pallier l’inflation mécanique des ISC avec le temps. En effet, la pratique montre que beaucoup d’entités avaient tendance au fil des années à accumuler les ISC, créant ainsi un risque de dispersion d’informations sensibles.
Ainsi, les décisions de classification et de déclassification des informations et supports sont maintenant davantage restreintes. En imposant une date limite de déclassification après cinquante ans maximum en complément de l’inventaire annuel des ISC, le Premier ministre répond au risque de sur- ou sous-classification qui fragilise la protection du secret de la défense nationale. Dans la même perspective, l’octroi d’habilitation est soumis au principe de moindre privilège. En effet, l’IGI 1300 rappelle qu’il est impératif de n’habiliter que les personnes qui ne peuvent se passer d’un accès à des éléments classifiés dans l’exercice de leurs fonctions. En définitive, il est question d’apposer un marquage ou de délivrer une habilitation qu’en cas de nécessité absolue.
Autre point d’importance : inscrivant la réforme du secret de la défense nationale dans le développement des partenariats publics-privés et des marchés publics, la nouvelle instruction interministérielle consacre un chapitre entier aux mesures de sécurité applicables aux personnes morales. Le principe de défense en profondeur y est décliné. Il permet notamment d’assurer un traitement du risque de compromission3 avant le contrat, pendant son exécution et après sa résiliation. Ainsi, de la gestion des habilitations à la sécurité physique des lieux en passant par l’intégrité des systèmes d’information, les instructions permettent de défendre les ISC contre toute intrusion extérieure4.
Enfin, pour répondre au développement des échanges avec des États tiers et les organisations internationales, il a été nécessaire de repenser l’application du principe d’identification des ISC en accord avec le principe d’équivalence entre les niveaux de classification français et internationaux. Dans cette perspective, la réforme a initié la refonte des degrés de classification5.
L’introduction de nouveaux standards de classification
Les anciens degrés de classification confidentiel-défense, secret-défense et très secret-défense ont été respectivement remplacés, sans effet rétroactif, par les classifications secret, très secret et très secret avec classification spéciale. Ainsi, le niveau secret protège les ISC dont la divulgation est de nature à porter atteinte à la défense et la sécurité nationale alors que le niveau très secret couvre un risque de conséquences exceptionnellement graves.
La suppression du terme « défense » permet de rappeler que les données classifiées peuvent être de natures très diverses et intéresser des informations militaires mais également économiques, industrielles, ou encore académiques, ne concernent pas non plus que le secteur de la Défense.
L’IGI 1300 traite également deux mentions complémentaires à savoir « spécial France » et « diffusion restreinte ». La première empêche la transmission de tout ISC la portant, quel que soit son degré de classification, à une personne étrangère. La seconde n’est pas une classification mais une mention de protection assortie de règles propres6.
Ces changements n’ont pas d’effet rétroactif et ne s’appliquent qu’aux informations classifiées après le 1er juillet 2021. Le stockage, traitement et transport des ISC émis avant cette date répondent aux exigences de leurs équivalents actuels.
Avant réforme | Après réforme (1er juillet 2021) | |
Niveaux de classification | Confidentiel Défense | Secret |
Secret Défense | Très Secret | |
Très Secret Défense | Très Secret avec Classification Spéciale |
Des règles strictes sur la gestion des ISC et leur cycle de vie
Une information ou un support est classifié par l’apposition d’un timbre de classification permettant ensuite de qualifier l’infraction pénale en cas de compromission. Seules les autorités étatiques ou supra-étatiques qualifiées, dites autorités émettrices, sont autorisées à classifier.
Une fois classifiée, l’information doit répondre à une traçabilité sans faille renforcée par la réforme instaurant un inventaire annuel obligatoire des ISC pour chaque entité détentrice. On le verra, cette obligation peut être source de difficultés pour les entreprises.
En outre, dans le cadre de leur traitement, les ISC doivent faire l’objet de précautions importantes énoncées dans l’IGI 1300 comme l’utilisation de doubles enveloppes. Le développement important des ISC immatériels augmente le risque de compromission. En conséquence, la réforme prévoit les instructions relatives aux systèmes d’information développées plus loin.
La réforme introduit la déclassification automatique des ISC après l’expiration d’un délai fixé au moment de la classification et revu régulièrement. Ce délai, en principe inférieur à cinquante ans, permet à la fois de limiter la quantité d’ISC au strict nécessaire tout en favorisant l’accès aux archives de la défense nationale.
L’ensemble de ces règles, qu’elles soient nouvelles ou une refonte d’anciennes, ont nécessité et nécessitent encore une adaptation des outils et de l’organisation des entités manipulant des ISC ou ayant accès par leur fonction à des informations classifiées.
Un défi organisationnel pour les entités traitant des informations et supports classifiés
Par leur statut (opérateurs d’importance vitale, etc.) ou dans le cadre d’un marché public avec l’État qui nécessite parfois la communication d’ISC ou l’accès à des locaux protégés, certaines personnes morales doivent recevoir une habilitation. La demande est effectuée avant la signature du contrat à l’autorité d’habilitation du ministère concerné qui, à la suite de l’avis d’un service enquêteur (DGSE, DGSI, DRSD), donnera un avis favorable ou non. Une fois habilitée, l’entité doit se soumettre à un plan contractuel de sécurité donnant lieu à des inspections, contrôles et audits. Dans le même temps, l’entreprise doit conduire une politique efficiente de gestion des ISC et des habilitations de son personnel.
La source de ces exigences particulières réside dans le risque de compromission du secret de la défense nationale et de ses conséquences potentiellement lourdes sur l’entreprise. Pour anticiper et réduire ces risques, les entreprises doivent prendre des dispositions spécifiques liées au stockage et à la manipulation des ISC.
Les risques encourus en cas de violation du secret
Afin de mieux appréhender l’enjeu que représente la protection des ISC pour les entités qui en détiennent, il convient de rappeler les risques encourus en cas de non-respect des exigences réglementaires ou, pire encore, de fuite d’une information classifiée.
Si les risques légaux et notamment pénaux sont les plus évidents, il existe également un risque économique et de réputation pour les entités et notamment les entreprises bénéficiaires d’un marché public.
En premier lieu, la nature particulière du secret de la défense nationale explique une répression pénale sévère de ses atteintes. Concernant les collaborateurs ou les responsables d’une société, le Code pénal prévoit une peine allant jusqu’à 100 000 € d’amende et sept ans d’emprisonnement pour délit de compromission. Ce dernier se caractérise par le fait, pour une personne détentrice d’un support classifié, de le détruire, le détourner, le soustraire ou encore le reproduire, d’en donner l’accès à une personne non qualifiée ou de le porter à la connaissance du public. Il convient de noter que l’imprudence ou la négligence n’excuse en rien l’infraction bien qu’elle en réduise la sanction à trois ans d’emprisonnement et 75 000 € d’amendes7. Au-delà de la sanction du délit de compromission, plusieurs autres délits peuvent résulter de la violation du secret : crime de trahison et d’espionnage8, violation du secret professionnel9, atteintes à l’anonymat de certains personnels militaires et membres des services de renseignement10, etc.
Quant aux personnes morales11, responsables des infractions commises, pour leur compte, par leurs organes ou représentants, elles peuvent être poursuivies et condamnées à une amende d’un montant cinq fois supérieur à celles prévues pour les personnes physiques, outre les peines complémentaires usuelles12.
La sanction pénale n’est pas la seule menace pesant sur une personne morale négligente. Toute violation du secret expose également la société à la perte de son marché public compte tenu de la violation des clauses de protection du secret de la défense nationale qui y figurent13. Inutile de rappeler les conséquences cataclysmiques de telles sanctions sur des entreprises dont l’essentiel de l’activité est lié à des secteurs protégés.
Pour se parer contre ses risques, les entreprises, comme les collaborateurs, ont un intérêt central à prendre les précautions nécessaires et à se former en conséquence pour protéger le secret de la défense nationale tout en protégeant leurs intérêts propres.
Le traitement des ISC : une nécessaire adaptation du fonctionnement de l’entreprise
Le traitement des ISC implique, pour l’entreprise, un risque additionnel dans ses opérations. Pour analyser leur impact sur l’entreprise, on distingue le traitement du risque humain résultant du manquement d’un collaborateur dans le traitement d’une ISC du traitement du risque matériel, conséquence d’une défaillance du système physique ou informatique de projection.
Le risque humain étant le plus imprévisible, une attention particulière lui est octroyée dans le cadre des textes aujourd’hui applicables. Pour rappeler une évidence, le risque de fuite d’information augmente avec le nombre de collaborateurs y ayant accès. Il en va de la responsabilité de l’entreprise de garantir l’application du principe de stricte nécessité tout en observant un contrôle strict de la circulation des ISC et en favorisant la responsabilisation de ses effectifs par la formation.
La structure organisationnelle14 liée aux ISC au sein des personnes morales habilitées est centrale pour leur protection. En premier lieu, plusieurs postes représentent les piliers de la protection du secret de la défense nationale et de la fluidité des échanges avec les autorités : le responsable d’organisme, l’officier de sécurité et l’officier de sécurité et l’officier de sécurité des systèmes d’information (OSSI). Un bureau de protection du secret de la défense nationale est également créé lorsque des ISC Très Secret sont traités.
Lorsqu’une personne morale est habilitée, son représentant légal est responsable du respect de l’intégrité des ISC auxquelles elle a accès. L’officier de sécurité, nommé pour rédiger et faire appliquer la politique de sécurité de son organisme, tient à jour un catalogue des emplois nécessitant une habilitation, sensibilise, forme le personnel et effectue les contrôles nécessaires des accès. En outre, le système d’information classifié est contrôlé par l’OSSI. Les entreprises doivent donc choisir des personnes aussi qualifiées que sensibilisées à la problématique du secret.
L’officier de sécurité a donc la responsabilité de demander une habilitation pour les collaborateurs dont le besoin d’en connaître est inscrit au catalogue des emplois15. L’enjeu est donc d’arbitrer entre le besoin opérationnel, les délais de traitement16, et le respect du principe de moindre privilège. Si la procédure permet d’évaluer les vulnérabilités des candidats à l’habilitation par l’analyse d’une note individuelle de sécurité et une enquête plus approfondie, elle n’empêche complètement ni la faute ni l’erreur. En effet, il est possible que certains collaborateurs ne se représentent pas la gravité de la compromission d’ISC. Le cas se présente par exemple pour des industries interagissant avec le milieu militaire sans pour autant être du secteur de la Défense.
Dès lors, l’entreprise a la responsabilité de former et sensibiliser régulièrement tous les collaborateurs habilités aux risques liés au traitement du secret de la défense nationale, mais également aux pratiques permettant d’y répondre17. Elle doit également veiller à contrôler en continu les accès aux données physiques ou numériques tout en gardant à jour la liste des personnes habilitées, des ISC qu’elles détiennent en réévaluant régulièrement leur besoin d’en connaître.
Le contrôle du risque humain ne peut se faire sans celui du risque matériel. En effet, les entreprises stockant des ISC dans des lieux physiques ou au sein d’un système d’information doivent redoubler de vigilance, étant rappelé qu’il ne se passe pas une journée sans que les journaux ne fassent état de cyberattaques.
Ainsi, l’IGI 1300 clarifie désormais avec un grand niveau d’exigence, les pratiques que les entreprises habilitées sont tenues de respecter pour sécuriser les lieux physiques et les systèmes d’information abritant les ISC qu’elles détiennent. La conformité aux exigences est appréciée par l’officier de sécurité ou le service enquêteur selon le niveau de classification des ISC abrités. D’une part, tout un chapitre est consacré à la protection des installations physiques, au contrôle et à la traçabilité de leurs accès18. D’autre part, l’instruction précise les dispositifs et précautions requises pour pouvoir prétendre à l’homologation du système d’information classifié par l’autorité d’homologation. En particulier, une attention est portée, par exemple, sur l’interconnexion avec d’autres systèmes, l’usage de supports amovibles ou encore les opérations de maintenance par des prestataires externes19. Ces exigences nécessitent à la fois que les instances dirigeantes allouent des moyens suffisants à la protection du secret, ainsi que la forte implication des services et départements informatiques qui doivent donc être également sensibilisés à cette protection.
En conclusion, la réforme de la protection du secret de la défense nationale a ainsi permis de clarifier l’articulation entre les différentes parties traitant des ISC tout en apportant les évolutions nécessaires à la multiplication des données immatérielles et des partenariats avec le secteur privé. Cette clarification ne va pas néanmoins sans la nécessaire adaptation des structures en place au sein des personnes morales concernées, qui repose parfois sur peu de personnes qui ne disposent pas nécessairement des moyens suffisants pour se faire. La situation évolue certes, mais peut-être encore trop lentement.
Notes
1. V. le décret du 2 décembre 2019 relatif aux modalités de classification et de protection du secret de la défense nationale et modifiant les articles R. 2311-2 et suivants du code de la défense.
2. IGI 1300, publiée au Journal officiel le 11 août 2021 en annexe d’un arrêté du 9 août 2021.
3. V. ci-dessous et chap. 4 « Mesures de sécurité applicables aux personnes morales », IGI 1300.
4. Chap. 6 « Sécurité des systèmes d’information classifiés », IGI 1300 ; chap. 5 « Sécurité des lieux », IGI 1300.
5. Décr. n° 2019-1271, 2 déc. 2019 relatif aux modalités de classification et de protection du secret de la défense nationale, art. 11.
6. Annexe 1, IGI 1300 ; 1.3.2 Portée de la mention de protection « diffusion restreinte », qui n’est pas un timbre de classification, IGI 1300.
7. C. pén., art. 413-10.
8. C. pén., art. 411-1 à 411-11.
9. C. pén., art. 226-13 et 226-15.
10. C. pén., art. 413-3 et 413-14.
11. IGI 1300 1.4.2.2 Répression du délit.
12. C. pén., art. 414-7 et, par renvoi, 131-8 et 131-9.
13. Annexe 17 IGI 1300.
14. Chap. 2 « Structures et instruments de pilotage et de mise en œuvre », IGI 1300.
15. Chap. 3 « Mesures de sécurité applicables aux personnes physiques », IGI 1300.
16. « C. - Durée et priorisation des enquêtes par les services enquêteurs », p. 57, IGI 1300 : la réforme a précisé des délais moyens à respecter pour l’instruction des demandes d’habilitation fixés à 3 mois pour le niveau secret et 6 mois pour le niveau très secret.
17. IGI 1300 3.6 Formation et sensibilisation de la personne habilitée.
18. Chap. 5 « Sécurité des lieux », IGI 1300.
19. Chap. 6 « Sécurité des systèmes d’information classifiés », IGI 1300.