Au sein des organisations, la mention « Diffusion Restreinte » (ou DR) vise à protéger des informations et des supports sensibles. Voici ses normes.
Définition de la Diffusion Restreinte (DR)
En France
En France, la Diffusion Restreinte est une mention de protection d’informations sensibles qui ne sont pas classifiés au titre de la protection du secret de la défense nationale (IGI 1300). Sans autorisation, leur accès, diffusion ou détournement peut porter atteinte à la sécurité publique, au potentiel scientifique et technique de la nation ou encore nuire à l’équilibre politique et économique de l’Etat.
Lorsqu’un individu aperçoit la mention diffusion restreinte sur un document, il a donc pour devoir de respecter une totale discrétion quant à son contenu, sous peine de poursuites.
En Europe
En Europe, des mentions de protections existent et sont équivalentes à la DR. C’est le cas de l’EU restricted au sein de l’Union Européenne et du NATO restricted pour l’OTAN. Ces dernières visent à protéger des informations sensibles liées à des intérêts politiques, militaires ou encore économiques.
Accès aux informations
Présenter un besoin légitime
Pour accéder aux informations « Diffusion Restreinte », les personnes doivent justifier de leur besoin de les connaître. Ce besoin légitime peut être lié à l’exercice de leur mission professionnelle ou à la réalisation d’une tâche précise. Par exemple, dans le cadre de la conception des composants d’un système de radar, un ingénieur en électronique pourrait consulter les informations techniques du projet, identifiées comme « Diffusion Restreinte ». Ce besoin devra néanmoins être clairement justifié et documenté.
Former les salariés
Les individus pouvant accéder aux informations DR doivent être aptes à les manipuler sans risque. Stockage, transmission et utilisation des informations font partie des sujets à aborder en formation afin d’éviter toute fuite de données sensibles. C’est pourquoi, la tenue de sensibilisations régulières permet de maintenir la vigilance des équipes au plus haut niveau.
Stockage des informations Diffusion Restreinte
Assurer la sécurité physique
Bien entendu, les documents confidentiels doivent être stockés dans des lieux verrouillés et dont l’accès est contrôlé. Des systèmes de badges ou de codes d’accès sont généralement utilisés. À cela s’ajoute la mise en place d’une gestion stricte de l’accueil des visiteurs dans les entreprises. Par exemple, avec la tenue d’un registre. Enfin, l’utilisation de déchiqueteuses est toujours d’actualité pour détruire des documents sensibles qui n’ont plus d’utilité.
Veiller à la sécurité numérique
De nombreuses informations « diffusion restreinte » sont stockées en ligne. Il peut s’agir de rapports financiers ou de communications officielles internes. Leur stockage doit se faire de façon hautement sécurisée. Des technologies de chiffrement des données ou des systèmes d’authentification multi-facteurs peuvent être mis en place.
Pour les informations DR stockées dans le cloud, faire appel à un hébergeur qualifié SecNumCloud est recommandé. En effet, iIl garantit le respect d’un certain nombre de critères sécurité, autant d’un point de vue techniques qu’organisationnels.
Par ailleurs, les organisations doivent assurer la sauvegarde de toutes ces informations DR stockées. La planification d’une stratégie de sauvegarde et de récupération est essentielle.
Pour aller plus loin : consultez les Recommandations pour les architectures des systèmes d’information sensibles ou Diffusion Restreinte de l’ANSSI
Transmission des données Diffusion Restreinte
Quand plusieurs personnes habilitées se transmettent des informations « Diffusion Restreinte », cela doit se faire dans le respect de mesures de sécurité strictes.
Sécuriser le partage de fichiers
Pour échanger des documents DR, l’utilisation d’une solution chiffrée de bout en bout est indispensable. À la seule condition de s’assurer qu’il s’agisse d’une véritable technologie de chiffrement de bout en bout, qui chiffre les flux de données de client à client. En d’autres termes, celle-ci doit chiffrer les flux de communication à toutes les étapes, de l’émetteur au destinataire en passant par le serveur, et ce quel que soit le nombre de participants à la visioconférence.
Tixeo propose une solution de visioconférence sécurisée, certifiée et qualifiée par l’ANSSI, avec un réel chiffrement de bout en bout des flux de communications audio, vidéo et data.
Collaborer à distance de façon discrète
Dans une même équipe, certains collaborateurs peuvent avoir accès à des informations « Diffusion Restreinte » et d’autres non. Lors d’une réunion en ligne, l’un d’eux peut avoir besoin de transmettre une information sensible à un autre collègue habilité de façon discrète. La fonction « Sécurité augmentée » de Tixeo permet à deux interlocuteurs ou plus d’échanger de façon secrète, sans quitter une réunion en cours. Pour se faire, un simple code, défini par les participants, est à renseigner dans la solution, afin de basculer temporairement dans un véritable tunnel de communication secret.
Tixeo partenaire de Cluster Défense sécurité pour protéger les informations sensibles
Le cabinet Cluster Défense Sécurité propose des accompagnements et formations sur mesure pour protéger les informations sensibles, les informations de niveau « Diffusion Restreinte » (ou DR) et le secret de la défense nationale (IGI 1300) des organisations.
La protection des informations et supports « DR » implique une action globale. Cela concerne autant le domaine de la protection physique, que la protection logique ou organisationnelle.
Tixeo et Cluster Défense Sécurité apportent chacun une expertise dédiée et parfaitement complémentaire.
En savoir plus sur le partenariat Tixeo et CDS
FAQ sur la diffusion restreinte :
La mention “Diffusion Restreinte” (DR) est utilisée pour protéger des informations sensibles non classifiées. Elle vise à prévenir les atteintes à la sécurité publique et nationale, aux institutions et à la vie privée. Cette mention a pour but de rappeler aux personnes manipulant de telles données leurs obligations de discrétion et les sanctions encourues en cas de manquement.
La classification “Très Secret” désigne des informations classifiées au titre de la protection du secret de la défense nationale. Leur divulgation non autorisée pourrait gravement nuire à la sécurité nationale et est sanctionnée pénalement. En revanche, la mention “Diffusion Restreinte” concerne des informations sensibles mais non classifiées, nécessitant une protection stricte.
Les équivalents internationaux incluent “EU Restricted” pour l’Union Européenne et “NATO Restricted” pour l’OTAN. Ces classifications protègent les informations sensibles relatives aux stratégies politiques, militaires, diplomatiques, scientifiques, économiques ou industrielles.
Les risques incluent des atteintes à la sécurité publique, à la réputation des institutions, une augmentation des risques terroristes et des dommages aux stratégies politiques, économiques et industrielles de l’État français.
Les organismes doivent se conformer à l’instruction interministérielle n°901, utiliser des solutions de communication de confiance, certifiées et qualifiées par l’ANSSI, chiffrer les communications, appliquer des contrôles d’accès stricts et sensibiliser les utilisateurs.
Les utilisateurs doivent être régulièrement formés aux bonnes pratiques de cybersécurité et informés des sanctions en cas de mauvaise manipulation d’informations sensibles. Leur devoir de discrétion doit être continuellement rappelé, via des marquages appropriés sur les documents (« DR ») et les systèmes.