## Classification des systèmes d'information : l'approche graduée de l'ANSSI

Toutes les données et tous les systèmes d'information ne nécessitent pas le même niveau de protection. L'ANSSI propose une méthodologie de classification qui permet d'adapter les mesures de sécurité en fonction de la sensibilité des actifs informationnels.

### Le principe de la sécurité graduée

L'ANSSI définit une approche en trois classes de sensibilité pour les systèmes d'information :

- Classe 1 – Standard : systèmes traitant des données courantes. Des mesures de sécurité de base autonomes sont requises (hygiène informatique, mises à jour, sauvegardes). - Classe 2 – Sensible : systèmes traitant des données dont la compromission aurait un impact significatif. L'ensemble des directives et recommandations de l'ANSSI doivent être mises en œuvre, avec des contrôles opérateur possibles. - Classe 3 – Très sensible : systèmes critiques nécessitant les mêmes exigences que la Classe 2, complétées par une certification obligatoire réalisée par des prestataires agréés.

### Comment classifier vos systèmes ?

La méthode de classification de l'ANSSI repose sur l'évaluation de plusieurs critères :

1. Impact potentiel : quelles seraient les conséquences d'une compromission en termes de confidentialité, d'intégrité et de disponibilité ? 2. Exposition : le système est-il accessible depuis Internet, un réseau partenaire, ou uniquement en interne ? 3. Attractivité : le système est-il une cible probable pour des attaquants sophistiqués ? 4. Niveau de menace : quel est le profil des attaquants potentiels (opportunistes, cybercriminels, étatiques) ?

### Les mentions de protection

Au-delà des classes, l'ANSSI utilise des mentions de protection spécifiques pour les informations sensibles de l'État :

- Diffusion Restreinte (DR) : informations dont la divulgation pourrait porter atteinte à la sécurité nationale. - Mentions spéciales : classifications supérieures relevant du secret de la défense nationale.

Pour chaque mention, des architectures de systèmes d'information spécifiques sont recommandées par l'ANSSI, avec des exigences d'homologation.

### Mettre en œuvre la classification dans votre organisation

L'ANSSI recommande une démarche pragmatique :

1. Inventaire : cartographier l'ensemble des systèmes d'information et des flux de données. 2. Évaluation : appliquer les critères de classification à chaque système. 3. Attribution : assigner une classe de sensibilité cohérente avec les résultats de l'évaluation. 4. Mesures adaptées : déployer les contrôles de sécurité proportionnels à la classe retenue. 5. Réévaluation : réviser la classification périodiquement ou lors de changements majeurs.

### L'homologation de sécurité

Pour les systèmes de Classe 2 et 3, l'ANSSI impose un processus d'homologation formelle. Cette démarche implique une analyse de risques, la validation des mesures de sécurité et une décision d'autorisation d'emploi par une autorité qualifiée.

---

Alcybe vous accompagne dans la classification de vos systèmes d'information et le déploiement de mesures de sécurité adaptées. De l'inventaire initial à l'homologation, nos consultants vous guident vers une sécurité proportionnée et efficace.