Contrats concernés

Modifié le 19 mars 2018 - 18:36
Description haut

La réglementation française définit deux types de contrats avec accès à des ISC :

1. Les contrats avec accès et détention d’ISC

Dans ces contrats, le titulaire détient les ISC nécessaires à leur exécution. Il est alors responsable de leur protection. Un tel contrat nécessite :

  •   l’habilitation de la personne morale de l’entreprise ;
  •   l’aptitude des locaux de la personne morale à détenir et à protéger les ISC ;
  •   l’aptitude, si nécessaire, des systèmes d’informations de la personne morale sur lesquels les ISC seront traités ;
  •   l’habilitation des personnes, relevant de la personne morale, devant avoir accès à ces ISC.

Chaque contrat comporte une annexe de sécurité (le cas échéant elle-même classifiée). Celle-ci précise :

  •   la nature de l’opération protégée ;
  •   le contrat auquel elle se rattache ;
  •   la définition des ISC qui seront exploités ou créés lors de l’exécution du contrat et les niveaux de classification de chacun de ces ISC ;
  •   les consignes particulières de sécurité applicables au contrat ;
  •   les participants et les lieux d’exécution (où sont détenus les ISC) ;
  •   les modalités de clôture de l’annexe de sécurité.

L’annexe de sécurité doit être approuvée par le titulaire du contrat et l’autorité contractante (personne publique).

L’annexe de sécurité à un contrat de sous-traitance (annexe fille) doit être établie en conformité avec l’annexe de sécurité de référence (annexe mère) dont elle découle directement, en la limitant aux stricts besoins du contrat de sous-traitance. Elle doit être approuvée par le titulaire du contrat, le contractant et l’autorité contractante de référence, avant notification du contrat de sous-traitance.

> Type d’annexe de sécurité

2. Les contrats avec accès mais sans détention des ISC

Dans ces contrats, le titulaire du contrat ne détient pas d’ISC mais doit pouvoir y accéder pour l’exécution du contrat. L’accès aux ISC n’est possible que dans les locaux de l’organisme ou de l’entreprise lui ayant notifié le contrat. Un tel contrat nécessite :

  •   l’habilitation de la personne morale de l’entreprise ;
  •   l’habilitation des personnes, relevant de la personne morale, devant avoir accès à ces ISC.

Chaque contrat comporte une annexe de sécurité (voir § préambule).