XIII/ Le SCSSI
SCSSI (Service Central de la Securite des Systemes d'Informations):
ce nom ne vous dit surement rien, ou très peu de choses. En 1986,
est créé auprès du Premier ministre un Service Central
de la Sécurité des Systèmes d'Information (placé
sous l'autorité du délégué interministériel
pour la sécurité des systèmes d'information).
Contrairement à la DST qui surveille les pirates
informatiques, et les pirates informatiques qui surveillent la DST, le
SCSSI surveille sans être vu. Prenons un exemple réel:
Un clan de hacker a pour chef NeurAlien. Ce clan n'est pas connu mais on ne le citera pas. Pis un beau jour on apprend que NeurAlien bosse à la DST... Puis au SCSSI, où il a pour rôle de surveiller tout ce qui se passe. Etant dans un clan de hackers (programmeurs plutot), il va demander à ceux-ci de fouiner un peu partout à la recherche de quelques informations qui ne regarde que lui. Inaperçus, espionnage... Brref, on s'en fout mais s'était pour illustrer ce qui pouvait se passer avec ce genre d'organisme, et dont on ne se méfie pas du tout!
Voilà ce que le SCSSI
dit qu'il fait:
les procédés de protection cryptologiques,
les produits et systèmes relevant des technologies de l'information,
les procédés de protection contre les signaux parasites
compromettants.
Agrée les équipements, produits et systèmes utilisés
pour le traitement des informations classifiées de défense.
Procède à l'agrément des centres d'évaluation de la sécurité des technologies de l'information dans le cadre du schéma d'évaluation et de certification.
Certifie les produits évalués par les centres d'évaluation agréés.
Instruit les demandes d'autorisation de fourniture et d'utilisation de moyens et de prestations de cryptologie.
Statue sur les exportations des technologies, des produits et des systèmes.
Elabore et distribue les clés de chiffrement au profit de l'administration et du secteur privé.
Assure la formation des spécialistes dont l'Etat a besoin ainsi que la sensibilisation des respnsables de l'administration et du secteur privé dans le cadre du Centre d'Etudes Supérieures de la Sécurité des Systèmes d'Information (C.E.S.S.S.I.).
Conseille les administrations et certaines entreprises pour la sécurisation de leurs systèmes d'information.
Participe aux actions de normalisation nationales et internationales en matière de sécurité des systèmes d'information et suit les travaux relatifs à la réglementation.
Assure les relations techniques avec ses homologues étrangers.
L'action au profit du secteur privé est soumis à cetaines
conditions visant à ne pas causer de tort aux sociétés
dont la raison sociale touche à la sécurité des systèmes
d'information.
Journal Officiel de la République Française
du 8 mars 1986 page 3592.
Décret No 86-318 du 3 mars 1986.
Portant création du service central de la sécurité
des systèmes d'information.
Le Président de la République,
Sur le rapport du Premier ministre,
Vu le décret No 86-316 du 3 mars 1986 portant création du directoire de la sécurité des systèmes d'information;
Vu le décret No 86-317 du 3 mars 1986 portant création d'une délégation interministérielle pour la sécurité des systèmes d'information;
Vu le décret No 81-514 du 12 mai 1981 relatif à l'organisation de la protection des secrets et des informations concernant la défense nationale et la sûreté de l'Etat,
Décrète:
Article 1er. - Il est créé auprès du Premier ministre un service central de la sécurité des systèmes d'information placé sous l'autorité du délégué interministériel pour la sécurité des systèmes d'information.
Article 2. - Le service central de la sécurité des systèmes d'information est chargé d'apprécier le niveau de protection des systèmes d'information. Il participe aux activités de recherche relatives aux procédés de protection, coordonne, en liaison avec les maîtres d'oeuvre, les études et développements de protection des systèmes d'information gouvernementaux et approuve leur destination.
Article 3. - Le service central de la sécurité des systèmes d'information est responsable de l'évaluation des procédés de protection cryptologiques. Dans ce domaine:
il examine les besoins que lui soumettent les départements ministériels
et propose les solutions;
il analyse les procédés crypotologiques élaborés
par les concepteurs en vue de formuler un jugement sur l'utilisation qui
peut en être faite;
il se prononce sur la validité des protections cryptologiques
en service.
Le service central de la sécurité des systèmes d'information se tient informé des travaux théoriques effectués en matière de cryptologie et entretient les contacts appropriés avec les organismes de recherche concernés par le sujet.
Article 4. - Le service central de la sécurité des systèmes d'information participe à l'évaluation des procédés de protection non cryptologiques. Il examine les besoins relatifs à ces procédés qui lui sont soumis par les départements ministériels et les traite avec le concours des services ou centres techniques gouvernementaux compétents. Il centralise et diffuse les résultats et se prononce sur les niveaux de protection assurés.
Article 5. - Le service central de la sécurité des systèmes d'information suit les travaux relatifs aux normes, aux spécifications des équipements et à la réglementation en liaison avec les responsables de ces travaux et avec les utilisateurs.
Article 6. - Pour l'exercice des missions ci-dessus définies, le service central de la sécurité des systèmes d'information: - fait appel aux compétences et aux moyens des organismes gouvernementaux concernés dans le cadre de protocoles rédigés à cet effet; - entretient les relations adéquates avec les industriels agréés par le Gouvernement; il est, à ce titre, associé à la rédaction des protocoles d'accord passés entre le département de la défense et ces industriels.
Article 7. - Le service central de la sécurité des systèmes d'information est chargé en outre:
de suivre l'instruction des dossiers relatifs à la sécurité
des systèmes d'information destinés à des utilisateurs
non gouvernementaux ;
d'instruire, en liaison avec les instances concernées ou à
leur profit, les dossiers relatifs à la sécurité des
systèmes d'information destinés à des utilisateurs
étrangers ;
d'entretenir les relations techniques souhaitables avec les services
homologues étrangers ;
d'organiser, au profit des États ayant passé avec la
France des accords en matière de sécurité des systèmes
d'information, l'assistance technique et la formation des personnels prévues
dans ces accords ;
d'apporter son concours aux organismes gouvernementaux qui font appel
à lui soit pour la fabrication de clés de chiffrement, soit
pour la formation de personnels spécialistes.
Article 8. - Le service central de la sécurité des systèmes d'information assure la direction et le fonctionnement du centre d'études supérieures de la sécurité des systèmes d'information.
Article 9. - La composition du service central de la sécurité des systèmes d'information, les qualifications de ses personnels et les corps d'origine des agents détachés ou mis à disposition sont fixés par le Premier ministre.
Article 10. - Le service central de la sécurité des systèmes d'information est rattaché du point de vue administratif et budgétaire au secrétariat général du Gouvernement (services généraux du Premier ministre).
Article 11. - Le Premier ministre, le ministre de l'économie, des finances et du budget, le ministre des relations extérieures, le ministre de la défense, le ministre de l'intérieur et de la décentralisation, le ministre du redéploiement industriel et du commerce extérieur, le ministre des P.T.T. et le ministre de la recherche et de la technologie sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait à Paris, le 3 mars 1986.
Selon un organisme de sécurité informatique, le SCSSI aurait plutot comme missions:
Conslusion: méfiez vous des contrefaç... euh qu'est-ce
que je raconte moi: du SCSSI pardon.