Image

La réglementation française définit deux types de contrats avec accès à des Informations et Supports Classifiés (ISC) :

1. Les contrats avec accès et détention d’ISC

Dans ces contrats, le titulaire détient les ISC nécessaires à leur exécution. Il est alors responsable de leur protection. Un tel contrat nécessite :

• l’habilitation de la personne morale de l’entreprise ;
• l’aptitude des locaux de la personne morale à détenir et à protéger les ISC ;
• l'homologation des systèmes d’informations de la personne morale sur lesquels les ISC seront traités ;
• l’habilitation des personnes, relevant de la personne morale, devant avoir accès à ces ISC.

Chaque contrat comporte un plan contractuel de sécurité (le cas échéant lui-même classifié). Celui-ci précise :

• la nature de l’opération protégée ;
• le contrat auquel il se rattache ;
• la définition des ISC qui seront exploités ou créés lors de l’exécution du contrat et les niveaux de classification de chacun de ces ISC ;
• les consignes particulières de sécurité applicables au contrat ;
• les participants et les lieux d’exécution (où sont détenus les ISC) ;
• les modalités de clôture du plan contractuel de sécurité.

Le plan contractuel de sécurité doit être approuvé par le titulaire du contrat et l’autorité contractante (personne publique).

Le plan contractuel de sécurité à un contrat de sous-traitance (plan contractuel de sécurité fils) doit être établi en conformité avec le plan contractuel de sécurité (plan contractuel de sécurité père) dont il découle directement, en le limitant aux stricts besoins du contrat de sous-traitance. Il doit être approuvé par le titulaire du contrat, le contractant et l’autorité contractante de référence, avant notification du contrat de sous-traitance.

> Modèle du plan contractuel de sécurité

> Guide de rédaction du plan contractuel de sécurité

2. Les contrats avec accès mais sans détention des ISC

Dans ces contrats, le titulaire du contrat ne détient pas d’ISC mais doit pouvoir y accéder pour l’exécution du contrat. L’accès aux ISC n’est possible que dans les locaux de l’organisme ou de l’entreprise lui ayant notifié le contrat. Un tel contrat nécessite :

• l’habilitation de la personne morale de l’entreprise ;
• l’habilitation des personnes, relevant de la personne morale, devant avoir accès à ces ISC.

> Modèle du plan contractuel de sécurité

> Guide de rédaction du plan contractuel de sécurité