-
Notifications
You must be signed in to change notification settings - Fork 181
/
lpm-oiv-2019.yaml
1408 lines (1408 loc) · 77.9 KB
/
lpm-oiv-2019.yaml
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
urn: urn:intuitem:risk:library:lpm-oiv-2019
locale: fr
ref_id: LPM-OIV-2019
name: "R\xE8gles OIV"
description: " R\xC8GLES DE S\xC9CURIT\xC9 RELATIVES AU SECTEUR D'ACTIVIT\xC9S D'IMPORTANCE\
\ VITALE \" ACTIVIT\xC9S CIVILES DE L'\xC9TAT \"\nArr\xEAt\xE9 du 29 mai 2019 fixant\
\ les r\xE8gles de s\xE9curit\xE9 et les modalit\xE9s de d\xE9claration des syst\xE8\
mes d'information d'importance vitale et des incidents de s\xE9curit\xE9 relatives\
\ au secteur d'activit\xE9s d'importance vitale \xAB Activit\xE9s civiles de l'Etat\
\ \xBB et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10\
\ du code de la d\xE9fense\nhttps://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038565011"
copyright: "Loi fran\xE7aise"
version: 1
provider: "Gouvernement fran\xE7ais"
packager: intuitem
objects:
framework:
urn: urn:intuitem:risk:framework:lpm-oiv-2019
ref_id: LPM-OIV-2019
name: "R\xE8gles OIV"
description: " R\xC8GLES DE S\xC9CURIT\xC9 RELATIVES AU SECTEUR D'ACTIVIT\xC9\
S D'IMPORTANCE VITALE \" ACTIVIT\xC9S CIVILES DE L'\xC9TAT \"\nArr\xEAt\xE9\
\ du 29 mai 2019 fixant les r\xE8gles de s\xE9curit\xE9 et les modalit\xE9s\
\ de d\xE9claration des syst\xE8mes d'information d'importance vitale et des\
\ incidents de s\xE9curit\xE9 relatives au secteur d'activit\xE9s d'importance\
\ vitale \xAB Activit\xE9s civiles de l'Etat \xBB et pris en application des\
\ articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la d\xE9fense\n\
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038565011"
requirement_nodes:
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1
assessable: false
depth: 1
ref_id: '1'
name: "R\xE8gle relative \xE0 la politique de s\xE9curit\xE9 des syst\xE8mes\
\ d'information"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node3
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1
description: "L'op\xE9rateur d'importance vitale \xE9labore, tient \xE0 jour\
\ et met en \u0153uvre une politique de s\xE9curit\xE9 des syst\xE8mes d'information\
\ (PSSI)."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1
description: "La PSSI d\xE9crit l'ensemble des moyens organisationnels et techniques\
\ mis en \u0153uvre par l'op\xE9rateur afin d'assurer la s\xE9curit\xE9 de\
\ ses syst\xE8mes d'information d'importance vitale (SIIV). En particulier,\
\ elle :"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node5
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4
description: "- pr\xE9cise les objectifs et les orientations strat\xE9giques\
\ en mati\xE8re de s\xE9curit\xE9 des SIIV ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node6
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4
description: "- d\xE9crit l'organisation de la gouvernance de la s\xE9curit\xE9\
\ et notamment les r\xF4les et les responsabilit\xE9s du personnel interne\
\ et du personnel externe (prestataires, fournisseurs, etc.) \xE0 l'\xE9gard\
\ de la s\xE9curit\xE9 des SIIV ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node7
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4
description: "- pr\xE9voit un plan de sensibilisation \xE0 la s\xE9curit\xE9\
\ des SIIV au profit de l'ensemble du personnel ainsi qu'un plan de formation\
\ \xE0 la s\xE9curit\xE9 des SIIV au profit des personnes ayant des responsabilit\xE9\
s particuli\xE8res, notamment les personnes en charge de l'administration\
\ et de la s\xE9curit\xE9 des SIIV et les utilisateurs disposant de droits\
\ d'acc\xE8s privil\xE9gi\xE9s aux SIIV ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node8
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4
description: "- fixe les mesures de s\xE9curit\xE9 g\xE9n\xE9rales, notamment\
\ en mati\xE8re de contr\xF4le du personnel interne et du personnel externe,\
\ de s\xE9curit\xE9 physique des SIIV, de gestion des ressources mat\xE9rielles\
\ et logicielles, de contr\xF4le d'acc\xE8s aux SIIV, d'exploitation et d'administration\
\ des SIIV et de s\xE9curit\xE9 des ressources, des r\xE9seaux et des postes\
\ de travail ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9
assessable: false
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4
description: "- d\xE9finit les proc\xE9dures suivantes :"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node10
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9
description: "- la proc\xE9dure d'homologation de s\xE9curit\xE9 des SIIV ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node11
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9
description: "- les proc\xE9dures de contr\xF4le et d'audit de la s\xE9curit\xE9\
\ des SIIV ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node12
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9
description: "- la proc\xE9dure de maintien en conditions de s\xE9curit\xE9\
\ des ressources des SIIV ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node13
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9
description: "- la proc\xE9dure de traitement des incidents de s\xE9curit\xE9\
\ affectant les SIIV ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node14
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9
description: "- les proc\xE9dures de gestion de crises en cas d'attaques informatiques\
\ visant des SIIV et de continuit\xE9 des activit\xE9s d'importance vitale."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node15
assessable: false
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1
description: "La PSSI et ses documents d'application sont approuv\xE9s formellement\
\ par la direction de l'op\xE9rateur."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node16
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1
description: "L'op\xE9rateur \xE9labore au profit de sa direction, au moins\
\ annuellement, un rapport sur la mise en \u0153uvre de la PSSI et de ses\
\ documents d'application."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node17
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1
description: "Ce rapport pr\xE9cise notamment l'\xE9tat des lieux des risques,\
\ le niveau de s\xE9curit\xE9 des SIIV et les actions de s\xE9curisation men\xE9\
es."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node18
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1
description: "La PSSI, ses documents d'application et les rapports sur leur\
\ mise en \u0153uvre sont tenus \xE0 la disposition de l'Agence nationale\
\ de la s\xE9curit\xE9 des syst\xE8mes d'information."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2
assessable: false
depth: 1
ref_id: '2'
name: "R\xE8gle relative \xE0 l'homologation de s\xE9curit\xE9"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node20
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2
description: "L'op\xE9rateur d'importance vitale proc\xE8de \xE0 l'homologation\
\ de s\xE9curit\xE9 de chaque syst\xE8me d'information d'importance vitale\
\ (SIIV), en mettant en \u0153uvre la proc\xE9dure d'homologation pr\xE9vue\
\ par sa politique de s\xE9curit\xE9 des syst\xE8mes d'information (PSSI)."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node21
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2
description: "L'homologation d'un syst\xE8me est une d\xE9cision formelle prise\
\ par l'op\xE9rateur qui atteste que les risques pesant sur la s\xE9curit\xE9\
\ de ce syst\xE8me ont \xE9t\xE9 identifi\xE9s et que les mesures n\xE9cessaires\
\ pour le prot\xE9ger sont mises en \u0153uvre. Elle atteste \xE9galement\
\ que les \xE9ventuels risques r\xE9siduels ont \xE9t\xE9 identifi\xE9s et\
\ accept\xE9s par l'op\xE9rateur."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node22
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2
description: "Dans le cadre de l'homologation, un audit de la s\xE9curit\xE9\
\ du SIIV doit \xEAtre r\xE9alis\xE9. Cet audit vise \xE0 v\xE9rifier l'application\
\ et l'efficacit\xE9 des mesures de s\xE9curit\xE9 du SIIV et notamment le\
\ respect des r\xE8gles de s\xE9curit\xE9 mentionn\xE9es dans le pr\xE9sent\
\ arr\xEAt\xE9. L'audit doit permettre d'\xE9valuer le niveau de s\xE9curit\xE9\
\ du SIIV au regard des menaces et des vuln\xE9rabilit\xE9s connues. Il comporte\
\ notamment la r\xE9alisation d'un audit d'architecture, d'un audit de configuration\
\ et d'un audit organisationnel et physique."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node23
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2
description: "Cet audit est r\xE9alis\xE9 dans le respect des r\xE8gles fix\xE9\
es par le r\xE9f\xE9rentiel en mati\xE8re d'audit de s\xE9curit\xE9 des syst\xE8\
mes d'information pr\xE9vu \xE0 l'article 10 du d\xE9cret n\xB0 2015-350 du\
\ 27 mars 2015 relatif \xE0 la qualification des produits de s\xE9curit\xE9\
\ et des prestataires de service de confiance pour les besoins de la s\xE9\
curit\xE9 des syst\xE8mes d'information."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node24
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2
description: "L'op\xE9rateur peut r\xE9aliser lui-m\xEAme l'audit ou recourir\
\ \xE0 un prestataire qualifi\xE9 dans les conditions pr\xE9vues au chapitre\
\ III du d\xE9cret n\xB0 2015-350 du 27 mars 2015 pr\xE9cit\xE9."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node25
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2
description: "A l'issue de l'audit, l'op\xE9rateur ou, le cas \xE9ch\xE9ant,\
\ le prestataire \xE9labore un rapport d'audit qui expose les constatations\
\ sur les mesures appliqu\xE9es et sur le respect des r\xE8gles de s\xE9curit\xE9\
\ pr\xE9vues par le pr\xE9sent arr\xEAt\xE9. Le rapport pr\xE9cise si le niveau\
\ de s\xE9curit\xE9 atteint est conforme aux objectifs de s\xE9curit\xE9,\
\ compte tenu des menaces et des vuln\xE9rabilit\xE9s connues. Il formule\
\ des recommandations pour rem\xE9dier aux \xE9ventuelles non-conformit\xE9\
s et vuln\xE9rabilit\xE9s d\xE9couvertes."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2
description: "L'op\xE9rateur prend la d\xE9cision d'homologuer un SIIV sur la\
\ base du dossier d'homologation comportant notamment :"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node27
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26
description: "- l'analyse de risques et les objectifs de s\xE9curit\xE9 du SIIV\
\ ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node28
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26
description: "- les mesures de s\xE9curit\xE9 appliqu\xE9es au SIIV ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node29
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26
description: "- les rapports d'audit de la s\xE9curit\xE9 du SIIV ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node30
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26
description: "- les risques r\xE9siduels et les raisons justifiant leur acceptation."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node31
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2
description: "La validit\xE9 de l'homologation est r\xE9examin\xE9e par l'op\xE9\
rateur au moins tous les trois ans et lors de chaque \xE9v\xE9nement ou \xE9\
volution de nature \xE0 modifier le contexte d\xE9crit dans le dossier d'homologation.\
\ Chaque r\xE9examen de l'homologation est consign\xE9 dans le dossier d'homologation.\
\ L'op\xE9rateur proc\xE8de au renouvellement de l'homologation d\xE8s qu'elle\
\ n'est plus valide."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node32
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2
description: "L'op\xE9rateur tient \xE0 la disposition de l'Agence nationale\
\ de la s\xE9curit\xE9 des syst\xE8mes d'information les d\xE9cisions et dossiers\
\ d'homologation, notamment les rapports d'audit. Ces documents confidentiels\
\ sont susceptibles de contenir des informations dont la r\xE9v\xE9lation\
\ est r\xE9prim\xE9e par les dispositions de l'article 226-13 du code p\xE9\
nal. Ils sont, le cas \xE9ch\xE9ant, couverts par le secret de la d\xE9fense\
\ nationale."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node33
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2
description: "La pr\xE9sente r\xE8gle relative \xE0 l'homologation s'applique\
\ sans pr\xE9judice des dispositions pr\xE9vues par l'arr\xEAt\xE9 du 30 novembre\
\ 2011 portant approbation de l'instruction g\xE9n\xE9rale interminist\xE9\
rielle n\xB0 1300 sur la protection du secret de la d\xE9fense nationale,\
\ en mati\xE8re d'homologation des syst\xE8mes d'information traitant des\
\ informations classifi\xE9es."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:3
assessable: false
depth: 1
ref_id: '3'
name: "R\xE8gle relative \xE0 la cartographie"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35
assessable: false
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:3
description: "L'op\xE9rateur d'importance vitale \xE9labore et tient \xE0 jour,\
\ pour chaque syst\xE8me d'information d'importance vitale (SIIV), les \xE9\
l\xE9ments de cartographie suivants :"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node36
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35
description: "- les noms et les fonctions des applications, supportant les activit\xE9\
s de l'op\xE9rateur, install\xE9es sur le SIIV ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node37
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35
description: "- le cas \xE9ch\xE9ant, les plages d'adresses IP de sortie du\
\ SIIV vers internet ou un r\xE9seau tiers, ou accessibles depuis ces r\xE9\
seaux ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node38
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35
description: "- le cas \xE9ch\xE9ant, les plages d'adresses IP associ\xE9es\
\ aux diff\xE9rents sous-syst\xE8mes composant le SIIV ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node39
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35
description: "- la description fonctionnelle et les lieux d'installation du\
\ SIIV et de ses diff\xE9rents sous-syst\xE8mes ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node40
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35
description: "- la description fonctionnelle des points d'interconnexion du\
\ SIIV et de ses diff\xE9rents sous-syst\xE8mes avec des r\xE9seaux tiers,\
\ notamment la description des \xE9quipements et des fonctions de filtrage\
\ et de protection mis en \u0153uvre au niveau de ces interconnexions ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node41
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35
description: "- l'inventaire et l'architecture des dispositifs d'administration\
\ du SIIV permettant de r\xE9aliser notamment les op\xE9rations d'installation\
\ \xE0 distance, de mise \xE0 jour, de supervision, de gestion des configurations,\
\ d'authentification ainsi que de gestion des comptes et des droits d'acc\xE8\
s ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node42
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35
description: "- la liste des comptes disposant de droits d'acc\xE8s privil\xE9\
gi\xE9s (appel\xE9s \" comptes privil\xE9gi\xE9s \") au SIIV. Cette liste\
\ pr\xE9cise pour chaque compte le niveau et le p\xE9rim\xE8tre des droits\
\ d'acc\xE8s associ\xE9s, notamment les comptes sur lesquels portent ces droits\
\ (comptes d'utilisateurs, comptes de messagerie, comptes de processus, etc.)\
\ ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node43
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35
description: "- l'inventaire, l'architecture et le positionnement des services\
\ de r\xE9solution de noms d'h\xF4te, de messagerie, de relais internet et\
\ d'acc\xE8s distant mis en \u0153uvre par le SIIV."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node44
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:3
description: "Les \xE9l\xE9ments de cartographie ainsi r\xE9unis sont des documents\
\ confidentiels susceptibles de contenir des informations dont la r\xE9v\xE9\
lation est r\xE9prim\xE9e par les dispositions de l'article 226-13 du code\
\ p\xE9nal. Ils sont, le cas \xE9ch\xE9ant, couverts par le secret de la d\xE9\
fense nationale."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node45
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:3
description: "Sur demande de l'Agence nationale de la s\xE9curit\xE9 des syst\xE8\
mes d'information, l'op\xE9rateur lui communique les \xE9l\xE9ments de cartographie\
\ mis \xE0 jour sur un support \xE9lectronique, dans un format qui peut \xEA\
tre lu par les principaux logiciels bureautiques accessibles au public."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:4
assessable: false
depth: 1
ref_id: '4'
name: "R\xE8gle relative au maintien en conditions de s\xE9curit\xE9"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node47
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:4
description: "L'op\xE9rateur d'importance vitale \xE9labore, tient \xE0 jour\
\ et met en \u0153uvre une proc\xE9dure de maintien en conditions de s\xE9\
curit\xE9 des ressources mat\xE9rielles et logicielles de ses syst\xE8mes\
\ d'information d'importance vitale (SIIV), conform\xE9ment \xE0 sa politique\
\ de s\xE9curit\xE9 des syst\xE8mes d'information."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:4
description: "Cette proc\xE9dure d\xE9finit les conditions permettant de maintenir\
\ le niveau de s\xE9curit\xE9 des ressources des SIIV en fonction de l'\xE9\
volution des vuln\xE9rabilit\xE9s et des menaces et notamment la politique\
\ d'installation de toute nouvelle version et mesure correctrice de s\xE9\
curit\xE9 d'une ressource et les v\xE9rifications \xE0 effectuer avant l'installation.\
\ Elle pr\xE9voit que :"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node49
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48
description: "- l'op\xE9rateur se tient inform\xE9 des vuln\xE9rabilit\xE9s\
\ et des mesures correctrices de s\xE9curit\xE9 susceptibles de concerner\
\ les ressources mat\xE9rielles et logicielles de ses SIIV, qui sont diffus\xE9\
es notamment par les fournisseurs ou les fabricants de ces ressources ou par\
\ des centres de pr\xE9vention et d'alerte en mati\xE8re de cyber s\xE9curit\xE9\
\ tels que le CERT-FR (( www. cert. ssi. gouv. fr) ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node50
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48
description: "- sauf en cas de difficult\xE9s techniques ou op\xE9rationnelles\
\ justifi\xE9es, l'op\xE9rateur installe et maintient toutes les ressources\
\ mat\xE9rielles et logicielles de ses SIIV dans des versions support\xE9\
es par leurs fournisseurs ou leurs fabricants et mises \xE0 jour du point\
\ de vue de la s\xE9curit\xE9 ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node51
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48
description: "- pr\xE9alablement \xE0 l'installation de toute nouvelle version,\
\ l'op\xE9rateur s'assure de l'origine de cette version et de son int\xE9\
grit\xE9, et analyse l'impact de cette version sur le SIIV concern\xE9 d'un\
\ point de vue technique et op\xE9rationnel ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node52
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48
description: "- d\xE8s qu'il a connaissance d'une mesure correctrice de s\xE9\
curit\xE9 concernant une de ses ressources, et sauf en cas de difficult\xE9\
s techniques ou op\xE9rationnelles justifi\xE9es, l'op\xE9rateur en planifie\
\ l'installation apr\xE8s avoir effectu\xE9 les v\xE9rifications mentionn\xE9\
es \xE0 l'alin\xE9a pr\xE9c\xE9dent, et proc\xE8de \xE0 cette installation\
\ dans les d\xE9lais pr\xE9vus par la proc\xE9dure de maintien en conditions\
\ de s\xE9curit\xE9 ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node53
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48
description: "- lorsque des raisons techniques ou op\xE9rationnelles le justifient,\
\ l'op\xE9rateur peut d\xE9cider, pour certaines ressources de ses SIIV, de\
\ ne pas installer une version support\xE9e par le fournisseur ou le fabricant\
\ de la ressource concern\xE9e ou de ne pas installer une mesure correctrice\
\ de s\xE9curit\xE9. Dans ce cas, l'op\xE9rateur met en \u0153uvre des mesures\
\ techniques ou organisationnelles pr\xE9vues par la proc\xE9dure de maintien\
\ en conditions de s\xE9curit\xE9 pour r\xE9duire les risques li\xE9s \xE0\
\ l'utilisation d'une version obsol\xE8te ou comportant des vuln\xE9rabilit\xE9\
s connues. L'op\xE9rateur d\xE9crit dans le dossier d'homologation du SIIV\
\ concern\xE9 ces mesures de r\xE9duction des risques et les raisons techniques\
\ ou op\xE9rationnelles ayant emp\xEAch\xE9 l'installation d'une version support\xE9\
e ou d'une mesure correctrice de s\xE9curit\xE9."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5
assessable: false
depth: 1
ref_id: '5'
name: "R\xE8gle relative \xE0 la journalisation"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node55
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5
description: "L'op\xE9rateur d'importance vitale met en \u0153uvre sur chaque\
\ syst\xE8me d'information d'importance vitale (SIIV) un syst\xE8me de journalisation\
\ qui enregistre les \xE9v\xE9nements relatifs \xE0 l'authentification des\
\ utilisateurs, \xE0 la gestion des comptes et des droits d'acc\xE8s, \xE0\
\ l'acc\xE8s aux ressources, aux modifications des r\xE8gles de s\xE9curit\xE9\
\ du SIIV ainsi qu'au fonctionnement du SIIV."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node56
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5
description: "L'op\xE9rateur d'importance vitale met en \u0153uvre sur chaque\
\ syst\xE8me d'information d'importance vitale (SIIV) un syst\xE8me de journalisation\
\ qui enregistre les \xE9v\xE9nements relatifs \xE0 l'authentification des\
\ utilisateurs, \xE0 la gestion des comptes et des droits d'acc\xE8s, \xE0\
\ l'acc\xE8s aux ressources, aux modifications des r\xE8gles de s\xE9curit\xE9\
\ du SIIV ainsi qu'au fonctionnement du SIIV."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57
assessable: false
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5
description: "Le syst\xE8me de journalisation porte sur les \xE9quipements suivants\
\ lorsqu'ils g\xE9n\xE8rent les \xE9v\xE9nements mentionn\xE9s au 1er alin\xE9\
a :"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node58
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57
description: "- les serveurs applicatifs supportant les activit\xE9s d'importance\
\ vitale ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node59
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57
description: "- les serveurs d'infrastructure syst\xE8me ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node60
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57
description: "- les serveurs d'infrastructure r\xE9seau ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node61
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57
description: "- les \xE9quipements de s\xE9curit\xE9 ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node62
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57
description: "- les postes d'ing\xE9nierie et de maintenance des syst\xE8mes\
\ industriels ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node63
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57
description: "- les \xE9quipements r\xE9seau ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node64
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57
description: '- les postes d''administration.'
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node65
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5
description: "Les \xE9v\xE9nements enregistr\xE9s par le syst\xE8me de journalisation\
\ sont horodat\xE9s au moyen de sources de temps synchronis\xE9es."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node66
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5
description: "Ils sont, pour chaque SIIV, centralis\xE9s et archiv\xE9s pendant\
\ une dur\xE9e d'au moins six mois."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node67
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5
description: "Le format d'archivage des \xE9v\xE9nements permet de r\xE9aliser\
\ des recherches automatis\xE9es sur ces \xE9v\xE9nements."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:6
assessable: false
depth: 1
ref_id: '6'
name: "R\xE8gle relative \xE0 la corr\xE9lation et l'analyse de journaux"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node69
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:6
description: "L'op\xE9rateur d'importance vitale met en \u0153uvre un syst\xE8\
me de corr\xE9lation et d'analyse de journaux qui exploite les \xE9v\xE9nements\
\ enregistr\xE9s par le syst\xE8me de journalisation install\xE9 sur chacun\
\ des syst\xE8mes d'information d'importance vitale (SIIV), afin de d\xE9\
tecter des \xE9v\xE9nements susceptibles d'affecter la s\xE9curit\xE9 des\
\ SIIV."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node70
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:6
description: "Le syst\xE8me de corr\xE9lation et d'analyse de journaux est install\xE9\
\ et exploit\xE9 sur un syst\xE8me d'information mis en place exclusivement\
\ \xE0 des fins de d\xE9tection d'\xE9v\xE9nements susceptibles d'affecter\
\ la s\xE9curit\xE9 des syst\xE8mes d'information."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node71
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:6
description: "L'op\xE9rateur ou le prestataire mandat\xE9 \xE0 cet effet installe\
\ et exploite ce syst\xE8me de corr\xE9lation et d'analyse de journaux en\
\ s'appuyant sur les exigences du r\xE9f\xE9rentiel en mati\xE8re de d\xE9\
tection des incidents de s\xE9curit\xE9 pr\xE9vu \xE0 l'article 10 du d\xE9\
cret n\xB0 2015-350 du 27 mars 2015 relatif \xE0 la qualification des produits\
\ de s\xE9curit\xE9 et des prestataires de service de confiance pour les besoins\
\ de la s\xE9curit\xE9 des syst\xE8mes d'information."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:7
assessable: false
depth: 1
ref_id: '7'
name: "R\xE8gle relative \xE0 la d\xE9tection"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node73
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:7
description: "L'op\xE9rateur d'importance vitale met en \u0153uvre, en application\
\ de l'article R. 1332-41-3 du code de la d\xE9fense, un syst\xE8me de d\xE9\
tection qualifi\xE9 de type \" sonde d'analyse de fichiers et de protocoles\
\ \"."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node74
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:7
description: "Les sondes d'analyse de fichiers et de protocoles analysent les\
\ flux de donn\xE9es transitant par ces sondes afin de rechercher des \xE9\
v\xE9nements susceptibles d'affecter la s\xE9curit\xE9 des syst\xE8mes d'information\
\ d'importance vitale (SIIV). Elles sont positionn\xE9es de mani\xE8re \xE0\
\ pouvoir analyser l'ensemble des flux \xE9chang\xE9s entre les SIIV et les\
\ syst\xE8mes d'information tiers \xE0 ceux de l'op\xE9rateur."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node75
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:7
description: "Ces syst\xE8mes de d\xE9tection sont exploit\xE9s selon les r\xE8\
gles fix\xE9es par le r\xE9f\xE9rentiel en mati\xE8re de d\xE9tection des\
\ incidents de s\xE9curit\xE9 pr\xE9vu \xE0 l'article 10 du d\xE9cret n\xB0\
\ 2015-350 du 27 mars 2015 relatif \xE0 la qualification des produits de s\xE9\
curit\xE9 et des prestataires de service de confiance pour les besoins de\
\ la s\xE9curit\xE9 des syst\xE8mes d'information. Ils sont exploit\xE9s par\
\ un service de l'Etat ou un prestataire qualifi\xE9 \xE0 cet effet dans les\
\ conditions pr\xE9vues par le d\xE9cret pr\xE9cit\xE9."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8
assessable: false
depth: 1
ref_id: '8'
name: "R\xE8gle relative au traitement des incidents de s\xE9curit\xE9"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node77
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8
description: "L'op\xE9rateur d'importance vitale \xE9labore, tient \xE0 jour\
\ et met en \u0153uvre une proc\xE9dure de traitement des incidents affectant\
\ le fonctionnement ou la s\xE9curit\xE9 de ses syst\xE8mes d'information\
\ d'importance vitale (SIIV), conform\xE9ment \xE0 sa politique de s\xE9curit\xE9\
\ des syst\xE8mes d'information."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node78
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8
description: "L'op\xE9rateur ou le prestataire mandat\xE9 \xE0 cet effet proc\xE8\
de au traitement des incidents en s'appuyant sur les exigences du r\xE9f\xE9\
rentiel en mati\xE8re de r\xE9ponse aux incidents de s\xE9curit\xE9 pr\xE9\
vu \xE0 l'article 10 du d\xE9cret n\xB0 2015-350 du 27 mars 2015 relatif \xE0\
\ la qualification des produits de s\xE9curit\xE9 et des prestataires de service\
\ de confiance pour les besoins de la s\xE9curit\xE9 des syst\xE8mes d'information."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node79
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8
description: "Un syst\xE8me d'information sp\xE9cifique doit \xEAtre mis en\
\ place pour traiter les incidents, notamment pour stocker les relev\xE9s\
\ techniques relatifs aux analyses des incidents. Ce syst\xE8me est cloisonn\xE9\
\ vis-\xE0-vis du SIIV concern\xE9 par l'incident."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node80
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8
description: "L'op\xE9rateur conserve les relev\xE9s techniques relatifs aux\
\ analyses des incidents pendant une dur\xE9e d'au moins six mois. Il tient\
\ ces relev\xE9s techniques \xE0 la disposition de l'Agence nationale de la\
\ s\xE9curit\xE9 des syst\xE8mes d'information."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node81
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8
description: "Les relev\xE9s techniques sont des documents confidentiels susceptibles\
\ de contenir des informations dont la r\xE9v\xE9lation est r\xE9prim\xE9\
e par les dispositions de l'article 226-13 du code p\xE9nal. Ils sont, le\
\ cas \xE9ch\xE9ant, couverts par le secret de la d\xE9fense nationale."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:9
assessable: false
depth: 1
ref_id: '9'
name: "R\xE8gle relative au traitement des alertes"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node83
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:9
description: "L'op\xE9rateur d'importance vitale met en place un service de\
\ permanence lui permettant de prendre connaissance, \xE0 tout moment et sans\
\ d\xE9lai, d'informations transmises par l'Agence nationale de la s\xE9curit\xE9\
\ des syst\xE8mes d'information relatives \xE0 des incidents, des vuln\xE9\
rabilit\xE9s et des menaces."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node84
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:9
description: "Il met en \u0153uvre une proc\xE9dure pour traiter les informations\
\ ainsi re\xE7ues et le cas \xE9ch\xE9ant prendre les mesures de s\xE9curit\xE9\
\ n\xE9cessaires \xE0 la protection de ses syst\xE8mes d'information d'importance\
\ vitale (SIIV)."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node85
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:9
description: "L'op\xE9rateur communique \xE0 l'Agence nationale de la s\xE9\
curit\xE9 des syst\xE8mes d'information les coordonn\xE9es (nom du service,\
\ num\xE9ro de t\xE9l\xE9phone et adresse \xE9lectronique) tenues \xE0 jour\
\ du service de permanence pr\xE9vu \xE0 l'alin\xE9a pr\xE9c\xE9dent."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:10
assessable: false
depth: 1
ref_id: '10'
name: "R\xE8gle relative \xE0 la gestion de crises"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node87
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:10
description: "L'op\xE9rateur d'importance vitale \xE9labore, tient \xE0 jour\
\ et met en \u0153uvre une proc\xE9dure de gestion de crises en cas d'attaques\
\ informatiques majeures, conform\xE9ment \xE0 sa politique de s\xE9curit\xE9\
\ des syst\xE8mes d'information."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node88
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:10
description: "Cette proc\xE9dure d\xE9crit les moyens techniques et organisationnels\
\ dont dispose l'op\xE9rateur pour mettre en \u0153uvre les mesures d\xE9\
cid\xE9es par le Premier ministre en cas de crises, notamment les mesures\
\ suivantes :"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node89
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node88
description: "- configurer les syst\xE8mes d'information de mani\xE8re \xE0\
\ \xE9viter les attaques ou \xE0 en limiter les effets. Cette configuration\
\ peut viser :"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node90
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node89
description: "- \xE0 proscrire l'utilisation de supports de stockage amovibles\
\ ou la connexion d'\xE9quipements nomades aux syst\xE8mes d'information de\
\ l'op\xE9rateur ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node91
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node89
description: "- \xE0 installer une mesure correctrice de s\xE9curit\xE9 sur\
\ un syst\xE8me d'information particulier ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node92
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node89
description: "- \xE0 restreindre le routage ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node93
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node88
description: "- mettre en place des r\xE8gles de filtrage sur les r\xE9seaux\
\ ou des configurations particuli\xE8res sur les \xE9quipements terminaux.\
\ Cette mesure peut viser :"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node94
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node93
description: "- \xE0 effectuer des restrictions d'acc\xE8s sous forme de listes\
\ blanches et de listes noires d'utilisateurs ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node95
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node93
description: "- \xE0 bloquer les \xE9changes de fichiers d'un type particulier\
\ ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node96
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node93
description: "- \xE0 isoler de tout r\xE9seau des sites internet, des applications,\
\ ou des \xE9quipements informatiques de l'op\xE9rateur en sollicitant le\
\ cas \xE9ch\xE9ant l'appui des op\xE9rateurs publics de communications \xE9\
lectroniques ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node97
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node88
description: "- isoler du r\xE9seau internet les syst\xE8mes d'information de\
\ l'op\xE9rateur. Cette mesure impose de d\xE9connecter physiquement ou logiquement\
\ les interfaces r\xE9seau des syst\xE8mes d'information concern\xE9s."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node98
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:10
description: "La proc\xE9dure pr\xE9cise les conditions dans lesquelles ces\
\ mesures peuvent \xEAtre appliqu\xE9es compte tenu des contraintes techniques\
\ et organisationnelles de mise en \u0153uvre."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11
assessable: false
depth: 1
ref_id: '11'
name: "R\xE8gle relative \xE0 l'identification"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node100
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11
description: "L'op\xE9rateur d'importance vitale cr\xE9e des comptes individuels\
\ pour tous les utilisateurs (y compris les utilisateurs ayant des comptes\
\ privil\xE9gi\xE9s ou des comptes d'administration) et pour les processus\
\ automatiques acc\xE9dant aux ressources de ses syst\xE8mes d'information\
\ d'importance vitale (SIIV)."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node101
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11
description: "Lorsque des raisons techniques ou op\xE9rationnelles ne permettent\
\ pas de cr\xE9er de comptes individuels pour les utilisateurs ou pour les\
\ processus automatiques, l'op\xE9rateur met en place des mesures permettant\
\ de r\xE9duire le risque li\xE9 \xE0 l'utilisation de comptes partag\xE9\
s et d'assurer la tra\xE7abilit\xE9 de l'utilisation de ces comptes."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node102
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11
description: "Dans ce cas, l'op\xE9rateur d\xE9crit ces mesures dans le dossier\
\ d'homologation du SIIV concern\xE9 et les raisons justifiant le recours\
\ \xE0 des comptes partag\xE9s."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node103
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11
description: "L'op\xE9rateur d\xE9sactive sans d\xE9lai les comptes qui ne sont\
\ plus n\xE9cessaires."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12
assessable: false
depth: 1
ref_id: '12'
name: "R\xE8gle relative \xE0 l'authentification"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node105
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12
description: "L'op\xE9rateur d'importance vitale prot\xE8ge les acc\xE8s aux\
\ ressources de ses syst\xE8mes d'information d'importance vitale (SIIV),\
\ que ce soit par un utilisateur ou par un processus automatique, au moyen\
\ d'un m\xE9canisme d'authentification impliquant un \xE9l\xE9ment secret."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node106
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12
description: "L'op\xE9rateur d\xE9finit, conform\xE9ment \xE0 sa politique de\
\ s\xE9curit\xE9 des syst\xE8mes d'information, les r\xE8gles de gestion des\
\ \xE9l\xE9ments secrets d'authentification mis en \u0153uvre dans ses SIIV."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12
description: "Lorsque la ressource le permet techniquement, les \xE9l\xE9ments\
\ secrets d'authentification doivent pouvoir \xEAtre modifi\xE9s par l'op\xE9\
rateur chaque fois que cela est n\xE9cessaire. Dans ce cas, l'op\xE9rateur\
\ respecte les r\xE8gles suivantes :"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node108
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107
description: "- l'op\xE9rateur doit modifier les \xE9l\xE9ments secrets d'authentification\
\ lorsqu'ils ont \xE9t\xE9 install\xE9s par le fabricant ou le fournisseur\
\ de la ressource, avant sa mise en service. A cet effet, l'op\xE9rateur s'assure\
\ aupr\xE8s du fabricant ou du fournisseur qu'il dispose des moyens et des\
\ droits permettant de r\xE9aliser ces op\xE9rations ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node109
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107
description: "- l'\xE9l\xE9ment secret d'authentification d'un compte partag\xE9\
\ doit \xEAtre renouvel\xE9 r\xE9guli\xE8rement et \xE0 chaque retrait d'un\
\ utilisateur de ce compte ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node110
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107
description: "- les utilisateurs qui n'en ont pas la responsabilit\xE9, ne peuvent\
\ pas modifier les \xE9l\xE9ments secrets d'authentification. Ils ne peuvent\
\ pas non plus acc\xE9der \xE0 ces \xE9l\xE9ments en clair ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node111
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107
description: "- lorsque les \xE9l\xE9ments secrets d'authentification sont des\
\ mots de passe, les utilisateurs ne doivent pas les r\xE9utiliser entre comptes\
\ privil\xE9gi\xE9s ou entre un compte privil\xE9gi\xE9 et un compte non privil\xE9\
gi\xE9 ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node112
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107
description: "- lorsque les \xE9l\xE9ments secrets d'authentification sont des\
\ mots de passe, ceux-ci sont conformes aux r\xE8gles de l'art telles que\
\ celles pr\xE9conis\xE9es par l'Agence nationale de la s\xE9curit\xE9 des\
\ syst\xE8mes d'information, en mati\xE8re de complexit\xE9 (longueur du mot\
\ de passe et types de caract\xE8res), en tenant compte du niveau de complexit\xE9\
\ maximal permis par la ressource concern\xE9e, et en mati\xE8re de renouvellement."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node113
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12
description: "Lorsque la ressource ne permet pas techniquement de modifier l'\xE9\
l\xE9ment secret d'authentification, l'op\xE9rateur met en place un contr\xF4\
le d'acc\xE8s appropri\xE9 \xE0 la ressource concern\xE9e ainsi que des mesures\
\ de tra\xE7abilit\xE9 des acc\xE8s et de r\xE9duction du risque li\xE9 \xE0\
\ l'utilisation d'un \xE9l\xE9ment secret d'authentification fixe."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node114
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12
description: "L'op\xE9rateur d\xE9crit dans le dossier d'homologation du SIIV\
\ concern\xE9 ces mesures et les raisons techniques ayant emp\xEAch\xE9 la\
\ modification de l'\xE9l\xE9ment secret d'authentification."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:13
assessable: false
depth: 1
ref_id: '13'
name: "R\xE8gle relative aux droits d'acc\xE8s"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:13
description: "L'op\xE9rateur d'importance vitale d\xE9finit, conform\xE9ment\
\ \xE0 sa politique de s\xE9curit\xE9 des syst\xE8mes d'information, les r\xE8\
gles de gestion et d'attribution des droits d'acc\xE8s aux ressources de ses\
\ syst\xE8mes d'information d'importance vitale (SIIV), et respecte les r\xE8\
gles suivantes :"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node117
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116
description: "- l'op\xE9rateur n'attribue \xE0 un utilisateur ou \xE0 un processus\
\ automatique les droits d'acc\xE8s \xE0 une ressource que si cet acc\xE8\
s est strictement n\xE9cessaire \xE0 l'exercice des missions de l'utilisateur\
\ ou au fonctionnement du processus automatique ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node118
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116
description: "- l'op\xE9rateur d\xE9finit les acc\xE8s aux diff\xE9rentes fonctionnalit\xE9\
s de cette ressource et en attribue les droits uniquement aux utilisateurs\
\ et aux processus automatiques qui en ont strictement le besoin ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node119
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116
description: "- les droits d'acc\xE8s sont r\xE9vis\xE9s p\xE9riodiquement,\
\ au moins tous les ans, par l'op\xE9rateur. Cette r\xE9vision porte sur les\
\ liens entre les comptes, les droits d'acc\xE8s associ\xE9s et les ressources\
\ ou les fonctionnalit\xE9s qui en font l'objet ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node120
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116
description: "- l'op\xE9rateur \xE9tablit et tient \xE0 jour la liste des comptes\
\ privil\xE9gi\xE9s. Toute modification d'un compte privil\xE9gi\xE9 (ajout,\
\ suppression, suspension ou modification des droits associ\xE9s) fait l'objet\
\ d'un contr\xF4le formel de l'op\xE9rateur destin\xE9 \xE0 v\xE9rifier que\
\ les droits d'acc\xE8s aux ressources et fonctionnalit\xE9s sont attribu\xE9\
s selon le principe du moindre privil\xE8ge (seuls les droits strictement\
\ n\xE9cessaires sont accord\xE9s) et en coh\xE9rence avec les besoins d'utilisation\
\ du compte."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:14
assessable: false
depth: 1
ref_id: '14'
name: "R\xE8gle relative aux comptes d'administration"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node122
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:14
description: "L'op\xE9rateur d'importance vitale cr\xE9e des comptes (appel\xE9\
s \"comptes d'administration\") destin\xE9s aux seules personnes (appel\xE9\
es administrateurs) charg\xE9es d'effectuer les op\xE9rations d'administration\
\ (installation, configuration, gestion, maintenance, supervision, etc.) des\
\ ressources de ses syst\xE8mes d'information d'importance vitale (SIIV)."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:14
description: "L'op\xE9rateur d\xE9finit, conform\xE9ment \xE0 sa politique de\
\ s\xE9curit\xE9 des syst\xE8mes d'information, les r\xE8gles de gestion et\
\ d'attribution des comptes d'administration de ses SIIV, et respecte les\
\ r\xE8gles suivantes :"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node124
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123
description: "- l'attribution des droits aux administrateurs respecte le principe\
\ du moindre privil\xE8ge (seuls les droits strictement n\xE9cessaires sont\
\ accord\xE9s). En particulier, afin de limiter la port\xE9e des droits individuels,\
\ ils sont attribu\xE9s \xE0 chaque administrateur en les restreignant autant\
\ que possible au p\xE9rim\xE8tre fonctionnel et technique dont cet administrateur\
\ est responsable ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node125
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123
description: "- un compte d'administration est utilis\xE9 exclusivement pour\
\ se connecter \xE0 un syst\xE8me d'information d'administration (syst\xE8\
me d'information utilis\xE9 pour les op\xE9rations d'administration des ressources)\
\ ou \xE0 une ressource administr\xE9e ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node126
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123
description: "- les op\xE9rations d'administration sont effectu\xE9es exclusivement\
\ \xE0 partir de comptes d'administration, et inversement, les comptes d'administration\
\ sont utilis\xE9s exclusivement pour les op\xE9rations d'administration ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node127
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123
description: "- lorsque l'administration d'une ressource ne peut pas techniquement\
\ \xEAtre effectu\xE9e \xE0 partir d'un compte sp\xE9cifique d'administration,\
\ l'op\xE9rateur met en place des mesures permettant d'assurer la tra\xE7\
abilit\xE9 et le contr\xF4le des op\xE9rations d'administration r\xE9alis\xE9\
es sur cette ressource et des mesures de r\xE9duction du risque li\xE9 \xE0\
\ l'utilisation d'un compte non sp\xE9cifique \xE0 l'administration. Il d\xE9\
crit dans le dossier d'homologation du SIIV concern\xE9 ces mesures ainsi\
\ que les raisons techniques ayant emp\xEAch\xE9 l'utilisation d'un compte\
\ d'administration ;"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node128
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123
description: "- l'op\xE9rateur \xE9tablit et tient \xE0 jour la liste des comptes\
\ d'administration de ses SIIV et les g\xE8re en tant que comptes privil\xE9\
gi\xE9s."
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:15
assessable: false
depth: 1
ref_id: '15'
name: "R\xE8gle relative aux syst\xE8mes d'information d'administration"
- urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130
assessable: false
depth: 2
parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:15