Vous traitez des informations Diffusion Restreinte ou opérez dans un environnement sensible ?
Nous vous aidons à cadrer votre périmètre SIDR, concevoir un système d’information conforme aux exigences II901 et préparer votre homologation.
L’instruction interministérielle 901 (II901) encadre la protection des systèmes d’information sensibles ou amenés à traiter des informations Diffusion Restreinte (DR). Dans la pratique, cela conduit de nombreuses organisations à devoir structurer un SI DR, aussi appelé SIDR, avec des exigences spécifiques en matière de gouvernance, d’architecture, de chiffrement, d’interconnexions, d’administration et d’homologation.
Ce sujet concerne bien au-delà des seules administrations : industrie, défense, spatial, recherche, innovation, sous-traitance critique, bureaux d’études, opérateurs manipulant des données sensibles ou intervenant sur des programmes à forts enjeux.
Notre accompagnement s’adresse notamment aux :
Mettre en œuvre un SIDR ne consiste pas à empiler des mesures techniques. Le vrai enjeu est de définir le bon périmètre, concevoir une architecture proportionnée, sécuriser les usages et les tiers, puis rendre le dispositif homologable et exploitable dans la durée.
Nos clients nous sollicitent généralement lorsqu’ils doivent :
L’une des erreurs les plus fréquentes consiste à sur-protéger ou sous-protéger le périmètre. Nous vous aidons à distinguer ce qui relève réellement du DR, ce qui doit être cloisonné, et ce qui peut rester dans le SI usuel.
Nous vous accompagnons dans les choix d’architecture : cloisonnement, interconnexions, administration, mobilité, usage de produits adaptés, chiffrement, segmentation, gestion des accès et traitement des flux sensibles.
Les contraintes II901 ne s’arrêtent pas au titulaire principal. Nous vous aidons à encadrer les accès, les échanges, l’infogérance, les prestataires techniques, les clauses contractuelles et les responsabilités de chacun.
Nous transformons les exigences réglementaires en plan d’action concret : analyse de risques, PSSI, rôles et responsabilités, documentation, feuille de route et préparation du dossier d’homologation.
Netsystem vous accompagne dans la mise en place du comité d’homologation : identification des parties prenantes, clarification des rôles et définition du cadre de décision. L’objectif est de réunir les bons interlocuteurs pour piloter une démarche structurée, partagée et conforme aux exigences II901 / SIDR.
Netsystem vous aide à qualifier le niveau d’homologation adapté à votre système d’information, en tenant compte de sa criticité, de son exposition aux risques et des exigences documentaires associées.
1. Évaluer la criticité du système d’information
Nous analysons les usages du SI, les données traitées, les processus supportés et les impacts potentiels en cas d’incident afin d’évaluer son niveau de criticité.
2. Évaluer l’exposition du système d’information
Nous identifions les facteurs d’exposition du SI : ouverture vers l’extérieur, interconnexions, accès distants, dépendance à des tiers, hébergement ou technologies utilisées.
3. Identifier le niveau de la démarche d’homologation
À partir de la criticité et de l’exposition, nous déterminons le niveau de démarche applicable afin d’adapter les travaux à mener, les livrables attendus et le niveau de validation nécessaire.
4. Constituer le dossier d’homologation
Nous vous accompagnons dans la constitution d’un dossier clair et exploitable : description du SI, analyse des risques, mesures de sécurité, écarts, plan d’actions, preuves et risques résiduels.
Netsystem analyse la cohérence, la complétude et la robustesse du dossier afin de sécuriser son passage en commission et d’anticiper les éventuelles demandes de compléments.
1. Émettre un avis d’homologation
Nous préparons un avis argumenté permettant d’éclairer la décision : homologation, homologation avec réserves, ajournement ou refus.
2. Simplifier et accélérer la démarche d’homologation
Nous apportons une méthode claire, des modèles documentaires et une coordination efficace pour fluidifier la démarche, réduire la charge interne et sécuriser le calendrier.
Netsystem vous accompagne dans la préparation et l’organisation de la commission afin de présenter les enjeux, les risques, les écarts et les recommandations de manière claire et structurée.
1. Préparer la commission d’homologation
Nous consolidons les éléments clés à présenter aux décideurs : périmètre, criticité, exposition, risques, mesures de sécurité, réserves éventuelles et plan d’actions.
2. Animer la commission d’homologation
Nous pouvons assurer ou appuyer l’animation de la commission, faciliter les échanges et accompagner la formalisation des décisions prises.
À l’issue de notre accompagnement, vous disposez :
La qualification PASSI est délivrée par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI).
Elle s’adresse aux prestataires de service de confiance qui réalisent des audits de sécurité organisationnel et physique ainsi que sur des portées techniques pour leur propre compte ou pour celui de leurs clients.
C’est un réel gage de qualité et d’expertise pour des organismes qui sont à la recherche d’un cabinet de conseil en cybersécurité pour réaliser un audit de leur structure.
Nous ne nous limitons pas à une lecture réglementaire. Nous traduisons les exigences II901 en décisions opérationnelles, conciliant sécurité, faisabilité technique, enjeux contractuels et réalité de terrain. Notre approche vise un double objectif : rendre votre organisation plus sûre et vous permettre de rester éligible à des marchés, programmes ou environnements sensibles. Selon le besoin, nous pouvons mener les démarches d'audit en qualité de PASSI reconnu par l'ANSSI (audit physique, organisationnel, architecture et configuration).
Un SIDR, ou SI DR, est un système d’information conçu pour traiter, stocker ou échanger des informations Diffusion Restreinte dans des conditions de sécurité renforcées.
Non. L’II901 n’est pas une norme ISO. C’est une instruction interministérielle qui fixe un cadre d’exigences de sécurité pour les systèmes d’information sensibles ou Diffusion Restreinte.
Les administrations sont concernées, mais aussi certaines entreprises privées, sous-traitants, laboratoires ou acteurs de la recherche lorsqu’ils manipulent des informations sensibles, DR ou relèvent de dispositifs comme la PPST.
Non. ISO 27001 est un standard de management de la sécurité à l’échelle de l’organisation. L’II901 vise un périmètre sensible spécifique, avec des exigences complémentaires en matière d’architecture, de chiffrement et d’homologation.
Pas nécessairement. PASSI est une qualification de prestataire d’audit. Le besoin dépend du contexte, des exigences du donneur d’ordre et du type d’évaluation attendu.
Oui. Ces cadres n’interviennent pas au même niveau. Une organisation peut être concernée par une réglementation sectorielle, utiliser un standard de management pour structurer sa démarche, et devoir appliquer II901 sur un périmètre sensible particulier.
