Assurance de l'information

Secrétariat général

Comité de sécurité

Les questions relatives à l'assurance de l'information sont traitées par un sous-groupe du comité de sécurité du Conseil.

La décision du Conseil concernant les règles de sécurité aux fins de la protection des informations classifiées de l'Union européenne (ICUE) stipule que les systèmes d'information et de communication doivent traiter les ICUE dans le respect de la notion d'assurance de l'information.

L'assurance de l'information dans le domaine des systèmes d'information et de communication se définit comme la certitude que ces systèmes protégeront les informations qu'ils traitent et fonctionneront comme ils le doivent, quand ils le doivent, sous le contrôle d'utilisateurs légitimes. Une assurance de l'information efficace doit garantir des niveaux appropriés de confidentialité, d'intégrité, de disponibilité, de non-répudiation et d'authenticité.

Les informations classifiées de l'UE sont réparties en quatre niveaux en fonction de la gravité de l'impact qu'aurait leur divulgation, à savoir:

  • TRÈS SECRET UE/EU TOP SECRET: leur divulgation non autorisée pourrait causer un préjudice exceptionnellement grave aux intérêts essentiels de l'UE ou des États membres;
  • SECRET UE/EU SECRET: leur divulgation non autorisée pourrait nuire gravement aux intérêts essentiels de l'UE ou des États membres;
  • CONFIDENTIEL UE/EU CONFIDENTIAL: leur divulgation non autorisée pourrait nuire aux intérêts essentiels de l'UE ou des États membres;
  • RESTREINT UE/EU RESTRICTED: leur divulgation non autorisée pourrait être défavorable aux intérêts de l'UE ou des États membres.

Produits cryptographiques

Lorsque la protection des ICUE dans les systèmes d'information et de communication est assurée par des produits cryptographiques, ces produits doivent être agréés comme suit:

a) les produits cryptographiques qui protègent la confidentialité des informations classifiées SECRET UE/EU SECRET et d'un niveau de classification supérieur doivent être agréés par le Conseil, sur recommandation du comité de sécurité;

b) les produits cryptographiques qui protègent la confidentialité des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou RESTREINT UE/EU RESTRICTED doivent être agréés par le Secrétaire général du Conseil, sur recommandation du comité de sécurité. 

Mesures de sécurité TEMPEST

Pour les informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d'un niveau de classification supérieur, des mesures de sécurité doivent aussi être appliquées contre la compromission de ces informations par des émissions électromagnétiques non intentionnelles. Ces mesures de sécurité sont connues sous le nom de mesures de sécurité TEMPEST.

Le Conseil de l'Union européenne, par l'intermédiaire de son Secrétariat général, a décidé d'établir une liste des sociétés TEMPEST homologuées par l'UE. Cette liste doit permettre de réagir à l'évolution rapide des technologies et de passer de l'approche "produit" classique à une approche davantage axée sur les sociétés. Pour soutenir la mise en œuvre de cette mesure, le comité de sécurité du Conseil a approuvé une série de lignes directrices concernant l'homologation des sociétés TEMPEST au sein de l'UE. 

Toute société ayant obtenu le statut de "société TEMPEST homologuée" de la part d'une autorité TEMPEST nationale peut être autorisée à exercer un certain degré d'autocertification. Cette autorisation lui permet d'agréer du matériel conformément aux exigences TEMPEST applicables. Le degré d'autocertification est fonction du résultat de l'évaluation de la société faite par l'autorité TEMPEST nationale et peut varier.

Pour qu'une société TEMPEST puisse figurer sur la liste des sociétés TEMPEST homologuées par l'UE, l'autorité TEMPEST nationale doit transmettre les informations nécessaires à l'autorité TEMPEST du Secrétariat général du Conseil. Celle-ci se réserve le droit de ne pas faire figurer une société TEMPEST homologuée sur la liste en question si un complément d'information s'impose.