S.I Sensibles des IIV

DÉCLARATION DES SYSTÈMES D'INFORMATION SENSIBLES DES INFRASTRUCTURES D'IMPORTANCE VITALE

La loi 05-20 relative à la cybersécurité dispose, notamment dans son article 17, que le responsable de chaque infrastructure d’importance vitale (IIV) établit la liste de ses systèmes d’information sensibles et la transmet à l’autorité nationale. Le décret n°2-21-406 du 04 Hija 1442 (15 juillet 2021) pour l’application de la loi n° 05-20 relative à la cybersécurité, précise dans ses articles 10 et 11, que chaque entité et infrastructure d’importance vitale classifie ses systèmes d’information en se basant sur une analyse des impacts des incidents susceptibles de porter atteinte à la confidentialité, à la disponibilité ou à l’intégrité de ses actifs informationnels. Le niveau d’impact des incidents précités doit refléter l’importance des conséquences pouvant se traduire par l’incapacité de l’entité ou de l’IIV à :

Accomplir ses missions ;
Préserver la vie, la santé ou le bien être des personnes ;
Se conformer aux lois, aux règlements et aux obligations contractuelles ;
Préserver son image de marque et celle de l’Etat ;
Maintenir et renforcer la confiance des citoyens et des partenaires à l’égard des services offerts, ou par la capacité de ladite IIV à affecter le fonctionnement d’entités tierces, tributaires de ses services.

Cette analyse se fait selon l’échelle de l’analyse des impacts fixée dans le décret précité. Selon l’article 12 du décret susvisé, sont réputés systèmes d’information sensibles (SIS), les systèmes d’information appartenant aux « CLASSE A » ou « CLASSE B ». Dès lors que la liste des SIS est établie, le responsable de l’entité ou de l’IIV doit compléter le formulaire ci-joint pour chaque SIS et le transmettre par voie sécurisée^(*) à la DGSSI. Il sied de rappeler que la liste des infrastructures d’importance vitale, la liste des SIS ainsi que les formulaires de déclaration sont tenus secrets. En outre, et conformément au décret précité, chaque entité ou infrastructure d’importance vitale procède à la révision de la classification de ses systèmes d’information au moins une fois tous les trois (03) ans et à chaque fois que cela s’avère nécessaire.

^(*) Les formulaires de déclaration peuvent être transmis à la DGSSI par voie postale ou par voie électronique.

- Dans le cas où l’envoi se fait par voie postale, les formulaires doivent être placés dans une enveloppe scellée faisant apparaitre clairement la mention « CONFIDENTIEL » et envoyée à l’adresse de monsieur le Ministre délégué auprès du Chef du Gouvernement chargé de l’Administration de la Défense Nationale.
- Dans le cas où l’envoi se fait par voie électronique, il est impératif d’envoyer les formulaires ainsi que la lettre d’acheminement à l’adresse mail declaration_SIS@dgssi.gov.ma. Cet envoi doit être chiffré avec la clé publique publiée ci-dessous.

Pièces jointes:

formulaire_de_declaration_dun_systeme_dinformation_sensible.pdf

cle_publique_declaration_sis.asc

HOMOLOGATION DES SI SENSIBLES (SIS) DES INFRASTRUCTURES D'IMPORTANCE VITALE (IIV)

La loi n° 05-20 relative à la cybersécurité dispose dans son article 19 que tout système d'information sensible (SIS) d'une infrastructure d'importance vitale (IIV) doit faire l'objet de l'homologation de sa sécurité avant sa mise en exploitation.

Cette homologation est destinée à faire connaître aux responsables des IIV les risques liés à l'exploitation de leurs systèmes d'information sensibles. Il s'agit d'une démarche qui aboutit à une décision, prise par le responsable de l'IIV. Cette décision constitue un acte formel par lequel il :

Atteste de sa connaissance du système d'information et des mesures de sécurité techniques, organisationnelles ou juridiques mises en œuvre ;
Accepte les risques qui demeurent, qu'on appelle risques résiduels.

La démarche à suivre pour homologuer un système d'information sensible d'une infrastructure d'importance vitale ainsi que la forme et le contenu de la décision d'homologation sont détaillé dans le guide d'homologation des SIS.