Retour à l'accueil

Ordonnance FSTEC n° 117 : protection GIS et mesures IB

L'Ordonnance FSTEC n° 117 établit de nouvelles exigences pour la protection de l'information dans les GIS, introduisant une approche par processus, métriques Kzi/Pzi et 18 groupes de mesures. Décrit les changements dans la documentation, la gestion des vulnérabilités, PAM et plan de transition depuis la n° 17. Matériel pour les spécialistes IB des structures gouvernementales.

FSTEC n° 117 : nouvelle ère de l'IB dans les GIS avec métriques et PAM
Advertisement 728x90

Ordonnance FSBTEK n°117 : Évolutions clés en matière de protection des SIG et feuille de route pour la migration

L'ordonnance FSBTEK n°117 remplace l'ordonnance obsolète n°17, introduisant une approche fondée sur les processus pour la protection de l'information dans les systèmes d'information gouvernementaux (SIG), les agences publiques, les entreprises à entité unique et les établissements. Ce nouveau cadre tient compte des architectures à microservices, des environnements cloud, de la conteneurisation et des menaces alimentées par l'intelligence artificielle, imposant une surveillance continue et des indicateurs de performance.

Champ d'application et exceptions

Les exigences s'appliquent à tous les SIG et systèmes d'État similaires. Sont exemptés : l'Administration présidentielle, le Conseil de sécurité, l'Assemblée fédérale, le Gouvernement, les cours constitutionnelle et suprême, les services de renseignement et de contre-espionnage, ainsi que les unités de gestion des équipements militaires. Les systèmes d'information municipaux sont soumis à ces règles, sauf disposition contraire prévue par la loi.

Hiérarchie documentaire et exigences de personnel

Une structure en trois niveaux est instaurée : politique de sécurité de l'information, normes internes et procédures opérationnelles. Les exigences de qualification du personnel sont renforcées — au moins 30 % du personnel du service de sécurité informatique doivent détenir une formation ou une requalification pertinente. Les audits de qualification et les plans de formation sont obligatoires.

Google AdInline article slot

La mise en œuvre systémique de la gestion des accès privilégiés (PAM) est requise afin de séparer les rôles administratifs, de développement et de sécurité. Toutes les actions doivent être journalisées et surveillées.

Gestion de la sécurité de l'information fondée sur les processus

La protection suit le cycle PDCA : Planifier (menaces, ressources), Agir, Vérifier, Agir. Les indicateurs clés de performance deviennent obligatoires :

| Indicateur | Définition | Fréquence |

Google AdInline article slot

|--------|------------|-----------|

| KZI | Niveau de base de la protection contre les menaces | Tous les 6 mois |

| PZI | Maturité des mesures de protection | Tous les 2 ans |

Google AdInline article slot

Les résultats doivent être transmis à l'FSBTEK dans les 5 jours ouvrables. Des outils automatisés de collecte de données sont requis.

Mesures techniques renforcées

Les contrôles de sécurité de base ont été étendus à 18 catégories, couvrant les plateformes cloud, les conteneurs et les technologies web. Les axes prioritaires :

  • Surveillance continue des vulnérabilités : balayages mensuels ; les problèmes critiques doivent être corrigés sous 24 heures, les risques élevés sous 7 jours. Les nouvelles vulnérabilités doivent être signalées à l'FSBTEK sous 5 jours. Une validation des faux positifs et de l'exploitabilité est nécessaire.
  • Protection des applications web : filtrage du trafic au niveau applicatif.
  • Prévention des fuites de données : surveillance des canaux réseau et des ports d'entrée/sortie.
  • Services de messagerie : audits de comptes, contrôle des pièces jointes et liens, mesures anti-phishing, environnements d'analyse isolés.
  • Antivirus : analyse quasi en temps réel des fichiers et du trafic, avec sandboxing pour l'analyse des menaces.
  • Détection et réponse aux points d'entrée (EDR) : surveillance des processus et détection d'anomalies sur postes de travail et serveurs.

L'architecture de défense est multicouche : périmètre, segments, terminaux. Les outils de sécurité doivent être certifiés par l'FSBTEK et bénéficier d'un support local en Russie.

Feuille de route de migration vers l'ordonnance n°117

  • Effectuer un audit des systèmes existants conformément à l'ordonnance n°17.
  • Élaborer la politique de sécurité informatique et la documentation associée.
  • Évaluer les niveaux KZI/PZI et les qualifications du personnel.
  • Déployer les solutions PAM, EDR, DLP et SIEM.
  • Mettre en place des balayages mensuels des vulnérabilités et des rapports automatisés.
  • Réaliser des tests de certification après modernisation.

Les nouveaux systèmes d'information doivent respecter pleinement l'ordonnance n°117 dès leur mise en service. Une période de transition permet de maintenir les contrats existants sous l'ordonnance n°17, mais la planification de migration est obligatoire. Une révision attendue des niveaux de classification de sécurité à partir de septembre 2026, avec simplifications pour les systèmes non étatiques.

Points clés

  • Passage d'une certification statique à une gouvernance continue basée sur les processus.
  • Les indicateurs KZI/PZI nécessitent une automatisation pour les calculs trimestriels et biennaux.
  • Les 18 groupes de contrôles ciblent les stacks technologiques modernes : cloud, microservices, IoT.
  • L'accès privilégié et la correction des vulnérabilités sont des priorités absolues avec des SLA stricts.
  • La certification FSBTEK et le support local des outils de sécurité sont obligatoires.

— Editorial Team

Advertisement 728x90

Lire ensuite