Opérateur d'Importance Vitale (OIV)
Règlementation
Il définit les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs d'importance vitale.
Il modifie l'arrêté ministériel n°2018-1053 du 8 novembre 2018, et introduit la notion de plan particulier de protection à la charge des OIV.
Il définit les secteurs d’importance vitale constitués d'activités concourant à un même objectif ayant trait à la production et la distribution de biens ou de services indispensables à la satisfaction des besoins essentiels pour la vie de la population monégasque, à l'exercice de l'autorité de l'État, au fonctionnement de l'économie ainsi qu'à la sécurité de l'État.
Déclaration des incidents de sécurité
Les opérateurs d'importance vitale et les services de l'État sont tenus d'informer sans délai l’AMSN des incidents affectant le fonctionnement ou la sécurité de leurs systèmes d'information. Ces informations, anonymisées, pourront notamment être partagées par l’Agence Monégasque de Sécurité Numérique (AMSN) avec les autres OIV afin de renforcer leur capacité à détecter des attaques sophistiquées.
Ces informations sont transmises à l'aide du formulaire de déclaration d'incidents.
Ce formulaire une fois rempli devra être transmis à l’AMSN avec des moyens adaptés.
Recommandations relatives aux incidents de type DDOS
L’AMSN recommande de prendre connaissance de la note suivante, qui définit les bonnes pratiques en matière de traitement de DDoS.
Déclaration d'un Système d'Information d'Importance Vitale (SIIV)
Identifier les systèmes les plus critiques pour lesquels une attaque avérée aurait des conséquences graves pour la Principauté.
Ces informations sont transmises à l'aide du formulaire de déclaration SIIV.
Ce formulaire une fois rempli est couvert par le secret de sécurité nationale. A cet égard, le formulaire électronique devra être transmis à l’AMSN avec des moyens adaptés conformes à l’Arrêté Ministériel 2016-723, modifié.
Tableau d'évaluation du niveau de sécurité des SIIV
L’opérateur communique, une fois par an, à l’Agence Monégasque de Sécurité Numérique, l'évaluation du niveau de sécurité mis à jour.
Ce formulaire une fois rempli est couvert par le secret de sécurité nationale. A cet égard, le formulaire électronique devra être transmis à l’AMSN avec des moyens adaptés conformes à l’Arrêté Ministériel 2016-723, modifié.
Demande d'habilitation aux informations classifiées
En application de l'article 7 de l’Arrêté ministériel n°2016-723 du 12/12/2016 portant application de l'article 18 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale et fixant les niveaux de classification des informations , nul ne peut accéder aux informations ou supports classifiés s'il n'a fait au préalable l'objet d'une décision d'habilitation. Cette décision est le fruit d'un processus d'enquête diligentée par la Direction de la Sûreté Publique sur la base des renseignements fournis au travers de la notice individuelle remplie par le candidat. Seuls peuvent de surcroît initier une demande d'habilitation les candidats dont l'emploi est répertorié dans un catalogue dit "catalogue des emplois" prévoyant l'accès à des informations ou supports classifiés.
Pour plus d'informations, consulter l'Annexe à l’Arrêté Ministériel n° 2016-723 du 12 décembre 2016.
Le formulaire à compléter est à télécharger.
La « zone réservée au candidat à l’habilitation » de la notice individuelle doit être complétée. Le formulaire ainsi rempli doit être transmis à l’Agence Monégasque de Sécurité Numérique au format natif PDF via Cryptobox. L’officier de sécurité de l’AMSN contrôle le formulaire sur la forme et reprend contact avec le candidat pour complément d’informations le cas échéant, impression et signature du document.
La décision d’habilitation est notifiée par l’officier de sécurité à l’intéressé, qui signe un engagement de responsabilité. En cas de refus d’habilitation, l’intéressé est informé de la décision défavorable prise à son endroit.
La durée de validité de la décision d’habilitation est fonction du niveau d’habilitation demandé.
Recommandations relatives à la règle 9 de l’Arrêté Ministériel n° 2018-1053 du 8 novembre 2018
Le présent document formule un certain nombre de recommandations relatives à la mise en place du système d’information spécifique, dédié au traitement des incidents de sécurité par les opérateurs d’importance vitale. Ces recommandations doivent être implémentées par des équipes techniques.
Recommandations relatives à la règle 3 de l’Arrêté Ministériel n° 2018-1053 du 8 novembre 2018
Le présent document est à destination des équipes techniques pour les aider à réaliser la cartographie.
Fiche explicative de l'article 5 de l’Arrêté Ministériel n° 2018-1053 du 8 novembre 2018 et de la règle 10 de l'annexe I à l'Arrêté
Le présent document précise les modalités d’application de l’article 5 de l’Arrêté Ministériel n° 2018-1053 et de la règle 10 de l’annexe I à l’arrêté.