Introduction : pourquoi le SI DR devient incontournable en cybersécurité
Face à la multiplication des cyberattaques, à l’augmentation des exigences réglementaires et à la sensibilité croissante des données manipulées par les organisations, la mise en place d’un Système d’Information Diffusion Restreinte (SI DR ou SIDR) s’impose aujourd’hui comme un standard de sécurité.
Que ce soit dans les secteurs publics, industriels, de la défense (SID, CND) ou encore dans les activités de conseil en cybersécurité, la capacité à protéger des données sensibles devient un facteur clé de confiance et de conformité. L’Instruction Interministérielle 901 (II901) encadre précisément ces enjeux et définit les exigences à respecter pour sécuriser ces environnements.
Dans ce contexte, ORNISEC, cabinet de cybersécurité à Rennes qualifié PASSI LPM et PACS, accompagne les organisations dans la mise en place de SI DR, leur homologation, et la structuration de leur gouvernance cybersécurité.
Cet article a pour objectif de vous donner une vision complète, concrète et opérationnelle du SI DR : définition, enjeux, typologies, exigences réglementaires et mesures techniques à mettre en œuvre.
1. Comprendre ce qu’est un SI DR
1.1 Définition du Système d’Information Diffusion Restreinte
Un Système d’Information Diffusion Restreinte est un environnement informatique dédié au traitement et à la protection de données sensibles nécessitant un haut niveau de confidentialité. Ces données, identifiées comme “Diffusion Restreinte”, sont des informations dont la divulgation pourrait porter atteinte aux intérêts d’une organisation, à sa compétitivité, voire à des enjeux étatiques ou réglementaires.
Contrairement à un système d’information classique, le SI DR est conçu selon une logique de sécurité par conception. Cela signifie que l’ensemble de son architecture, de ses processus et de ses usages sont pensés pour limiter les risques dès l’origine. La sécurité n’est pas ajoutée après coup, elle est intrinsèque au système.
Dans la pratique, cela implique une réduction drastique des surfaces d’exposition, une limitation stricte des accès et une maîtrise complète des flux d’information. Le SI DR devient ainsi un espace maîtrisé, dans lequel chaque action, chaque accès et chaque donnée est contrôlé.
1.2 Positionnement du SI DR dans l’écosystème des SI
Pour bien appréhender le SI DR, il est nécessaire de le positionner dans l’écosystème global des systèmes d’information. Toutes les organisations manipulent différents niveaux de sensibilité de données, et il est essentiel d’adapter le niveau de sécurité du SI au niveau de sensibilité des informations traitées.
Le SI usuel constitue le socle classique, utilisé pour les activités quotidiennes. Il est généralement connecté à Internet et présente un niveau de sécurité standard. À l’opposé, le SI sensible est conçu pour héberger des données critiques et nécessite un niveau de protection renforcé.
Le SI DR représente un niveau supplémentaire. Il s’agit d’un SI sensible ayant fait l’objet d’une démarche d’homologation spécifique, avec des exigences strictes définies par l’II901. Ce positionnement impose des contraintes fortes, mais garantit en contrepartie un niveau de sécurité adapté aux enjeux les plus critiques.
2. Qui doit mettre en place un SI DR et pourquoi
2.1 Les organisations concernées par la mise en place d’un SI DR
La mise en place d’un SI DR ne concerne plus uniquement les acteurs étatiques ou les secteurs de la défense. Aujourd’hui, de nombreuses organisations privées sont directement concernées, notamment celles qui interviennent sur des projets sensibles, manipulent des données critiques ou répondent à des appels d’offres exigeant un haut niveau de sécurité.
Les entreprises du secteur de l’énergie, du transport, de la santé ou de l’industrie de défense (BITD, etc.) sont particulièrement exposées, tout comme les prestataires de services en cybersécurité, notamment ceux disposant de qualifications PASSI ou PACS. Dans ces environnements, la manipulation de données sensibles impose la mise en place d’un cadre de sécurité structuré et conforme aux exigences réglementaires.
Au-delà des obligations contractuelles, le SI DR devient également un levier de différenciation. Il permet de démontrer un niveau de maturité élevé en cybersécurité et de renforcer la confiance des clients et partenaires.
2.2 Les enjeux de sécurité, de conformité et de performance
La mise en place d’un SI DR répond à plusieurs enjeux simultanés. Sur le plan réglementaire, elle permet de se conformer à l’Instruction Interministérielle 901, mais également d’anticiper les exigences de la directive NIS2, qui impose un renforcement des mesures de cybersécurité au niveau européen.
Sur le plan sécuritaire, le SI DR permet de réduire significativement les risques de fuite de données, d’espionnage industriel ou de compromission. Il apporte une réponse concrète aux menaces avancées en limitant les vecteurs d’attaque et en renforçant les contrôles.
Enfin, sur le plan business, il constitue un avantage concurrentiel. Il permet d’accéder à des marchés exigeants (Exemple : Marché de la défense avec les SDI, CND, DGA, etc.), de répondre à des appels d’offres sensibles et de valoriser une expertise en matière de sécurité des systèmes d’information.
3. Les différentes architectures de SI DR : classes 0, 1 et 2
3.1 La logique de classification des systèmes d’information
L’Instruction Interministérielle 901 introduit une classification des systèmes d’information en fonction de leur niveau de sécurité et de leur exposition aux réseaux externes. Cette classification permet d’adapter l’architecture du SI au niveau de sensibilité des données traitées.
Cette approche est fondamentale, car elle impose une cohérence entre le niveau de risque et les mesures de protection mises en œuvre. Un SI manipulant des données sensibles ne peut pas être exposé de la même manière qu’un SI classique.
3.2 Le SI de classe 0 : un environnement non adapté au DR
Le SI de classe 0 correspond aux systèmes classiques, généralement connectés à Internet sans mécanismes de sécurité avancés. Il s’agit des environnements bureautiques ou applicatifs standards, conçus pour la productivité mais non pour la protection de données sensibles.
Dans ce type d’environnement, les risques sont importants, notamment en raison de l’exposition aux menaces externes. Il est donc totalement inadapté pour héberger ou traiter des informations Diffusion Restreinte.
3.3 Le SI de classe 1 : un équilibre entre sécurité et usage
Le SI de classe 1 constitue une première réponse aux enjeux de sécurité. Il reste connecté à Internet, mais uniquement via des dispositifs de sécurité spécifiques. Cette architecture repose sur des mécanismes de filtrage, de rupture de flux et de détection d’intrusion, permettant de limiter les risques tout en conservant des capacités d’échange.
Ce modèle est particulièrement pertinent lorsque les besoins métiers nécessitent des interactions avec l’extérieur. Il permet de maintenir une certaine flexibilité, tout en apportant un niveau de sécurité renforcé.
Cependant, cette ouverture contrôlée implique une complexité accrue dans la gestion des flux et nécessite une supervision constante.
3.4 Le SI de classe 2 : le modèle de sécurité maximale
Le SI de classe 2 représente le niveau de sécurité le plus élevé. Dans cette architecture, le système est totalement isolé des réseaux externes, y compris d’Internet. Cette isolation physique réduit drastiquement la surface d’attaque et limite les possibilités de compromission.
Ce modèle est particulièrement adapté aux environnements où la confidentialité est critique. Il permet de garantir un niveau de sécurité maximal, mais impose en contrepartie des contraintes importantes en termes d’exploitation.
Les échanges de données doivent être strictement encadrés, les mises à jour sont plus complexes et l’administration nécessite des procédures spécifiques. Malgré ces contraintes, ce modèle reste la référence pour les SI DR à fort enjeu.
4. Les exigences réglementaires pour la mise en place d’un SI DR
4.1 L’analyse des risques comme fondement de la démarche
La mise en place d’un SI DR ne peut pas être réalisée sans une compréhension fine des risques. L’analyse des risques constitue le point de départ de toute démarche de sécurité. Elle permet d’identifier les actifs critiques, d’évaluer les menaces et de déterminer les scénarios d’attaque les plus plausibles.
Cette étape est essentielle pour adapter les mesures de sécurité au contexte réel de l’organisation. Elle permet également de prioriser les actions et de structurer la stratégie de protection.
4.2 L’homologation du système d’information
L’homologation est un processus central dans la démarche II901. Elle consiste à formaliser le niveau de sécurité du système et à faire accepter les risques résiduels par une autorité compétente.
Ce processus repose sur la constitution d’un dossier complet, comprenant notamment l’analyse des risques, la description des mesures de sécurité et les résultats d’audit. L’objectif est de démontrer que le système est suffisamment sécurisé au regard des enjeux.
L’homologation n’est pas un acte ponctuel, elle s’inscrit dans une logique de suivi et d’amélioration continue.
4.3 La mise en place d’une PSSI DR structurante
La Politique de Sécurité des Systèmes d’Information est un élément structurant du SI DR. Elle définit les règles, les processus et les responsabilités en matière de sécurité.
Une PSSI efficace ne se limite pas à un document théorique. Elle doit être appliquée, contrôlée et mise à jour régulièrement. Elle constitue le socle de la gouvernance cybersécurité et permet d’aligner les pratiques avec les exigences réglementaires.
4.4 Le maintien en condition de sécurité
La sécurité d’un SI DR ne s’arrête pas à sa mise en production. Elle doit être maintenue dans le temps, notamment face à l’évolution des menaces.
Le maintien en condition de sécurité implique une surveillance continue, une gestion proactive des vulnérabilités et une capacité de réaction rapide en cas d’incident. Il s’agit d’un processus permanent, indispensable pour garantir la pérennité du niveau de sécurité.
5. Les mesures techniques à mettre en place dans un SI DR
5.1 Le cloisonnement comme principe fondamental
Le cloisonnement constitue le socle technique du SI DR. Il permet de séparer les environnements, de limiter les interactions et de réduire les risques de propagation d’une attaque.
Cette séparation peut être physique, notamment dans le cas d’un SI de classe 2, ou logique dans un SI de classe 1. Dans tous les cas, elle doit être rigoureuse et contrôlée.
Le cloisonnement ne concerne pas uniquement les réseaux, mais également les systèmes, les applications et les données.
5.2 La gestion des accès et des identités
La maîtrise des accès est un élément clé de la sécurité. Elle repose sur une gestion fine des identités et des habilitations.
Chaque utilisateur doit disposer d’un accès strictement limité à ses besoins. Les comptes doivent être nominatifs, les droits régulièrement revus et les accès tracés.
Cette approche permet de réduire les risques d’erreur humaine et de limiter les impacts en cas de compromission.
5.3 Le chiffrement des données comme standard de sécurité
Dans un SI DR, le chiffrement des données n’est pas une option, mais une exigence. Il doit être mis en œuvre à tous les niveaux, que ce soit pour le stockage, les échanges ou les supports amovibles.
Le chiffrement permet de garantir la confidentialité des données, même en cas de perte ou de vol d’un support. Il constitue une barrière supplémentaire contre les attaques.
5.4 La sécurisation des postes de travail
Les postes de travail utilisés dans un SI DR doivent être dédiés, durcis et maîtrisés. Ils ne doivent pas être utilisés pour des usages mixtes et doivent respecter des règles strictes.
La configuration, les logiciels installés et les usages doivent être contrôlés. L’objectif est de limiter les vecteurs d’attaque et de garantir un environnement sécurisé.
5.5 La supervision et la détection des incidents
La capacité à détecter rapidement une anomalie est essentielle dans un SI DR. La mise en place de mécanismes de supervision permet d’identifier les comportements suspects et de réagir rapidement.
La journalisation des actions, notamment celles des administrateurs, est également un élément clé. Elle permet de tracer les activités et de faciliter les investigations en cas d’incident.
6. Exemple concret de SI DR classe 2 basé sur une PSSI
6.1. Etapes pour la mise en place d’un SIDR
Proposition / validation d’architecture conforme II901
Cette première étape est structurante, car elle conditionne l’ensemble du projet de mise en place du SI DR. Il ne s’agit pas uniquement de proposer une architecture technique, mais bien de définir une stratégie globale alignée à la fois avec les exigences de l’II901 et les contraintes métiers de l’organisation.
Concrètement, cette phase consiste à analyser les flux, les usages, les données manipulées et les dépendances avec les systèmes existants afin de définir une architecture cible pertinente. Le choix entre un SI DR de classe 1 (connecté) ou de classe 2 (isolé) est ici central et doit être justifié par une analyse de risques et des besoins opérationnels.
Cette étape permet également d’anticiper les contraintes d’exploitation, notamment en matière d’administration, de maintenance et d’échanges de données, afin d’éviter de concevoir un SI DR trop contraignant ou inadapté aux usages.
Mise en place du SI DR (classe 1 ou classe 2)
Une fois l’architecture validée, la phase de mise en œuvre consiste à déployer concrètement le Système d’Information Diffusion Restreinte conformément aux exigences définies.
Dans le cas d’un SI DR de classe 1, l’enjeu principal réside dans la mise en place d’une passerelle sécurisée maîtrisant l’ensemble des flux entrants et sortants. Cela implique une configuration rigoureuse des mécanismes de filtrage, de proxy et de détection, avec une attention particulière portée à la surface d’exposition.
Dans le cas d’un SI DR de classe 2, la complexité est différente. L’isolation physique impose une organisation spécifique pour les mises à jour, les échanges de données et l’administration. L’environnement doit être totalement maîtrisé, sans dépendance à Internet, ce qui nécessite des procédures strictes et une discipline opérationnelle forte.
Dans les deux cas, cette étape intègre le durcissement des systèmes, la mise en place des mécanismes de chiffrement, la gestion des accès et la sécurisation des postes de travail.
Rédaction du dossier d’homologation
La rédaction du dossier d’homologation constitue une étape clé dans la formalisation du niveau de sécurité du SI DR. Ce dossier n’est pas un simple document administratif, mais un élément stratégique permettant de démontrer que les risques sont identifiés, maîtrisés et acceptables.
Il comprend notamment l’analyse des risques, la description de l’architecture, les mesures de sécurité mises en place, les procédures d’exploitation ainsi que les éléments de preuve attestant du niveau de sécurité réel du système.
Cette phase nécessite une forte expertise en gouvernance cybersécurité, car elle doit traduire des éléments techniques complexes en une vision claire et compréhensible pour l’autorité d’homologation. Elle permet également de structurer l’ensemble du dispositif de sécurité autour d’une logique cohérente et documentée.
Audit d’homologation
L’audit d’homologation intervient comme une étape de validation indépendante du niveau de sécurité du SI DR. Il permet de vérifier que les mesures définies dans le dossier d’homologation sont effectivement mises en œuvre et efficaces.
Cet audit peut inclure des revues de configuration, des tests techniques, voire des tests d’intrusion selon le niveau d’exigence attendu. L’objectif est d’identifier les écarts éventuels entre la théorie et la réalité opérationnelle.
Au-delà de la conformité, cet audit apporte une vision objective du niveau de maturité du SI DR et permet d’identifier des axes d’amélioration avant le passage en commission d’homologation.
Commission d’homologation du SI DR
La commission d’homologation constitue l’étape finale du processus. Elle repose sur une décision formelle de l’autorité d’homologation, qui valide que le système peut être mis en production en acceptant les risques résiduels.
Cette décision s’appuie sur l’ensemble des éléments produits : analyse des risques, dossier d’homologation, résultats d’audit et niveau de conformité global.
La commission ne vise pas à atteindre un risque nul, mais à garantir que les risques sont connus, maîtrisés et compatibles avec les enjeux métier. Elle marque ainsi le passage d’un projet technique à un système officiellement reconnu comme conforme.
Dans une approche mature, cette homologation s’inscrit dans une logique continue, avec des réévaluations régulières du niveau de sécurité et une adaptation permanente aux évolutions des menaces.
6.2. Exemple d’architecture SIDR Classe 2
Dans un contexte opérationnel, la mise en place d’un SI DR classe 2 se traduit par un environnement totalement isolé, dans lequel chaque composant est maîtrisé.
Les postes de travail sont dédiés, les données sont systématiquement chiffrées et les accès sont strictement limités. Les utilisateurs ne peuvent accéder qu’aux informations nécessaires à leur mission, et toute manipulation de données est encadrée.
La gouvernance repose sur une organisation claire, avec une direction impliquée, un RSSI responsable et des comités de pilotage permettant de suivre le niveau de sécurité.
Ce type d’architecture, bien que contraignant, permet d’atteindre un niveau de sécurité optimal et de répondre aux exigences les plus strictes.
Conclusion : le SI DR comme pilier de la cybersécurité moderne
La mise en place d’un SI DR ne doit pas être vue comme une contrainte, mais comme une opportunité. Elle permet de structurer la sécurité, de renforcer la confiance et de se positionner sur des marchés à forte valeur.
Dans un environnement où les exigences réglementaires se renforcent et où les menaces évoluent rapidement, le SI DR constitue un levier stratégique pour assurer la protection des données sensibles.
Avec son expertise en audit de sécurité informatique, en homologation des systèmes d’information, en analyse des risques SI DR et en conseil cybersécurité, ORNISEC accompagne ses clients dans la mise en place de solutions robustes, conformes et adaptées à leurs enjeux.
Mettre en place un SI DR, c’est faire le choix d’une cybersécurité maîtrisée, durable et alignée avec les exigences les plus élevées du marché.