Introduction : Qu'est-ce qu'une Infrastructure d'Importance Vitale (IIV) ?
Une infrastructure d'importance vitale (IIV) est une installation, un système ou un actif crucial pour le fonctionnement de la société. Sa défaillance ou compromission pourrait avoir des conséquences graves sur :
- La sécurité nationale.
- La santé et le bien-être des citoyens.
- L'économie nationale.
- L'ordre public ou l'environnement.
Au Maroc, la loi n° 05-20 relative à la cybersécurité et son décret d'application définissent les obligations pour les IIV, notamment en matière de sécurité des systèmes d'information sensibles (SIS).
Êtes-vous une IIV ? Questions à Vous Poser :
Pour savoir si votre organisme peut être classé comme une IIV, répondez aux questions suivantes :
- Votre secteur d'activité est-il critique ?
Vous pourriez être une IIV si vous opérez dans l'un des secteurs suivants :
- Sécurité publique.
- Santé.
- Finances.
- Énergie.
- Télécommunications.
- Transport.
- Eau et alimentation.
- Industrie et commerce. (Liste exhaustive issue des règlements marocains.)
- Vos systèmes d'information jouent-ils un rôle central ?
- Une interruption de vos services pourrait-elle affecter gravement la population ou d'autres entités ?
- La disponibilité, l'intégrité ou la confidentialité de vos systèmes impacte-t-elle la sécurité nationale ou l'économie ?
- Vos activités dépendent-elles d'autres infrastructures critiques ?
- Y a-t-il des interdépendances avec d'autres IIV ?
- Un incident pourrait-il avoir un effet domino ?
Vos Obligations si Vous Êtes Une IIV
Si votre organisation est identifiée comme une IIV, plusieurs démarches sont requises :
- Identification et Classification des Systèmes d'Information Sensibles (SIS) :
- Analysez les impacts potentiels en cas d'incident.
- Classez vos systèmes en Classe A ou Classe B selon leur criticité.
- Homologation des SIS :
- Tout SIS doit être homologué avant sa mise en exploitation.
- L'homologation consiste à :
- Identifier les risques.
- Mettre en œuvre des mesures de sécurité.
- Documenter les décisions d'acceptation des risques résiduels.
- Mise en Conformité Continue :
- Effectuez des audits réguliers (au moins tous les 3 ans).
- Maintenez une documentation à jour des menaces, vulnérabilités et mesures correctives.
- Transmission des Informations à la DGSSI :
- Complétez et envoyez les formulaires de déclaration des SIS par voie sécurisée.
Démarche Recommandée pour les DSI et RSSI
- Prendre Connaissance des Réglementations : Familiarisez-vous avec la loi 05-20 et les guides d'application fournis par la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI).
- Effectuer un Diagnostic Interne : Identifiez les actifs critiques, les interdépendances et les risques associés.
- Planifier l'Homologation : Structurez votre démarche en suivant les étapes de planification, maîtrise des risques, décision d'homologation et suivi.
- Mettre en Place des Mesures de Sécurité : Adoptez les bonnes pratiques de gestion des risques et appliquez des mesures organisationnelles et techniques adaptées.
- Collaborer avec les Autorités : Restez en contact avec la DGSSI pour toute mise à jour ou assistance réglementaire.
Conclusion
La désignation en tant qu’IIV implique des responsabilités accrues en matière de cybersécurité et de gestion des risques. Une approche proactive et structurée garantit non seulement la conformité, mais aussi la résilience de vos systèmes face aux menaces. Si vous avez des doutes, contactez directement la DGSSI pour des éclaircissements et des conseils adaptés à votre contexte.
Références
Loi n° 05-20 relative à la cybersécurité | DGSSI