diff --git a/.dockerignore b/.dockerignore index 22b5ea72b..cb5fe31b0 100644 --- a/.dockerignore +++ b/.dockerignore @@ -5,3 +5,5 @@ .git* .pytest* .idea* +venv/ +env/ diff --git a/CODE_OF_CONDUCT.md b/CODE_OF_CONDUCT.md index 76cd35826..ec2486122 100644 --- a/CODE_OF_CONDUCT.md +++ b/CODE_OF_CONDUCT.md @@ -60,7 +60,7 @@ representative at an online or offline event. Instances of abusive, harassing, or otherwise unacceptable behavior may be reported to the community leaders responsible for enforcement at -contact@intuitem.com. +contact@intuitem.com or our [Discord](https://discord.gg/qvkaMdQ8da). All complaints will be reviewed and investigated promptly and fairly. All community leaders are obligated to respect the privacy and security of the diff --git a/README.md b/README.md index b164d3578..2a7a8450b 100644 --- a/README.md +++ b/README.md @@ -104,8 +104,14 @@ Check out the online documentation on https://intuitem.gitbook.io/ciso-assistant 32. ANSSI : recommandations de sécurité pour un système d'IA générative 🇫🇷🤖 33. NIST SP 800-218: Secure Software Development Framework (SSDF) 🖥️ 34. GSA FedRAMP rev5 ☁️🇺🇸 -35. Cadre Conformité Cyber France (3CF) ✈️🇫🇷 -36. ANSSI : SecNumCloud ☁️🇫🇷 +35. Cadre Conformité Cyber France (3CF) v1 (2021) ✈️🇫🇷 +36. ANSSI : SecNumCloud ☁️🇫🇷 +37. Cadre Conformité Cyber France (3CF) v2 (2024) ✈️🇫🇷 + +### Community contrib + +1. ISO 27001:2022, version Française 🇫🇷🌐 +2. PGSSI-S (Politique Générale de Sécurité des Systèmes d'Information de Santé) 🇫🇷
diff --git a/backend/library/libraries/3cf-v2.yaml b/backend/library/libraries/3cf-v2.yaml new file mode 100644 index 000000000..4ed3e381b --- /dev/null +++ b/backend/library/libraries/3cf-v2.yaml @@ -0,0 +1,4839 @@ +urn: urn:intuitem:risk:library:3cf-v2 +locale: fr +ref_id: 3CF-v2 +name: "Cadre de Conformit\xE9 Cyber France (3CF) pour l'aviation civile - v2" +description: "Ce document, \xE9tabli par la direction de la s\xE9curit\xE9 de l'aviation\ + \ civile (DSAC), pr\xE9sente le Cadre de Conformit\xE9 Cyber France (3CF) pour l'aviation\ + \ civile.\nversion 2 du 30 avril 2024\nhttps://meteor.dsac.aviation-civile.gouv.fr/meteor-externe/api/file/attachment/12d47db0-e8a9-4be4-b243-50bd8cc835f1" +copyright: "Ce document peut \xEAtre utilis\xE9 librement, sous r\xE9serve de mentionner\ + \ sa paternit\xE9." +version: 1 +provider: "Direction de la s\xE9curit\xE9 de l'aviation civile" +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:c3cf-v2 + ref_id: 3CF-v2 + name: "Cadre de Conformit\xE9 Cyber France (3CF) pour l'aviation civile - v2" + description: "Ce document, \xE9tabli par la direction de la s\xE9curit\xE9 de\ + \ l'aviation civile (DSAC), pr\xE9sente le Cadre de Conformit\xE9 Cyber France\ + \ (3CF) pour l'aviation civile.\nversion 2 du 30 avril 2024\nhttps://meteor.dsac.aviation-civile.gouv.fr/meteor-externe/api/file/attachment/12d47db0-e8a9-4be4-b243-50bd8cc835f1" + implementation_groups_definition: + - ref_id: sec + name: "s\xE9curit\xE9 a\xE9rienne" + description: "\xC9tat dans lequel les risques li\xE9s aux activit\xE9s a\xE9\ + ronautiques concernant, ou appuyant directement, l\u2019exploitation des a\xE9\ + ronefs sont r\xE9duits et ma\xEEtris\xE9s \xE0 un niveau acceptable " + - ref_id: sur + name: "suret\xE9 a\xE9rienne" + description: "Combinaison des mesures ainsi que des moyens humains et mat\xE9\ + riels visant \xE0 prot\xE9ger l\u2019aviation civile contre les actes d\u2019\ + interventions illicites." + requirement_nodes: + - urn: urn:intuitem:risk:req_node:c3cf-v2:3 + assessable: false + depth: 1 + ref_id: '3' + name: Gouvernance + - urn: urn:intuitem:risk:req_node:c3cf-v2:3.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3 + ref_id: '3.1' + name: Engagement du Dirigeant Responsable + - urn: urn:intuitem:risk:req_node:c3cf-v2:node4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.1 + description: "Le Dirigeant Responsable de l\u2019organisme s\u2019engage \xE0\ + \ mettre en \u0153uvre des moyens adapt\xE9s de protection contre l\u2019\ + atteinte \xE0 la confidentialit\xE9, l\u2019int\xE9grit\xE9, la disponibilit\xE9\ + \ et l\u2019authenticit\xE9 des informations qui pourraient entrainer des\ + \ probl\xE8mes de s\xE9curit\xE9 a\xE9rienne. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.1 + description: "Pour ce faire, le Dirigeant Responsable s\u2019engage \xE0 mettre\ + \ en place un Syst\xE8me de Management de la S\xE9curit\xE9 de l\u2019Information\ + \ (SMSI) visant \xE0 \xE9tablir, mettre en \u0153uvre, exploiter, surveiller,\ + \ r\xE9examiner, tenir \xE0 jour et am\xE9liorer la gestion des risques li\xE9\ + s \xE0 la s\xE9curit\xE9 de l\u2019information sur la s\xFBret\xE9 et ou s\xE9\ + curit\xE9 a\xE9rienne. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.1 + description: "La lettre formalisant cet engagement du Dirigeant Responsable\ + \ est int\xE9gr\xE9e ou r\xE9f\xE9renc\xE9e dans : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node6 + description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\ + \ l\u2019information, ou ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node6 + description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:3.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3 + ref_id: '3.2' + name: "Politique de s\xE9curit\xE9 de l\u2019information" + - urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2 + ref_id: 3.2.1 + name: "Strat\xE9gie et objectifs de s\xE9curit\xE9 de l\u2019information" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.1 + description: "Le Dirigeant Responsable d\xE9finit et approuve une politique\ + \ de s\xE9curit\xE9 de l\u2019information dont d\xE9coule : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node12 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node11 + description: "une strat\xE9gie qui d\xE9crit les intentions et l\u2019orientation\ + \ en mati\xE8re de s\xE9curit\xE9 de l\u2019information relative \xE0 la s\xE9\ + curit\xE9 a\xE9rienne ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node13 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node11 + description: "les objectifs de s\xE9curit\xE9 de l\u2019information qu\u2019\ + il s\u2019est fix\xE9 afin de mettre en \u0153uvre cette strat\xE9gie ; -\ + \ les \xE9tapes et le plan d\u2019actions pour atteindre ces objectifs. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2 + ref_id: 3.2.2 + name: "Coh\xE9rence de la strat\xE9gie et des objectifs" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node15 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.2 + description: "Le Dirigeant Responsable s\u2019assure de la coh\xE9rence entre\ + \ : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node16 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node15 + description: "la strat\xE9gie et les objectifs de s\xE9curit\xE9 de l\u2019\ + information d\u2019une part et ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node17 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node15 + description: "la strat\xE9gie et les objectifs globaux de l\u2019organisme et\ + \ ceux plus sp\xE9cifiques \xE0 la s\xE9curit\xE9 a\xE9rienne d\u2019autre\ + \ part. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2 + ref_id: 3.2.3 + name: "Int\xE9gration ou articulation entre les syst\xE8mes de gestion " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node19 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.3 + description: "Le Dirigeant Responsable pr\xE9cise l\u2019int\xE9gration ou l\u2019\ + articulation entre le SMSI et le(s) syst\xE8me(s) de gestion existant(s) de\ + \ l\u2019organisation. Notamment : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node20 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node19 + description: "le Syst\xE8me de Gestion de la S\xE9curit\xE9 a\xE9rienne (SGS\ + \ ou en anglais SMS Safety Management System) ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node21 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node19 + description: "le cas \xE9ch\xE9ant d\u2019autres Syst\xE8mes de Management de\ + \ la S\xE9curit\xE9 de l'Information, en interaction avec le SMSI a\xE9ronautique\ + \ objet de ce document, tel qu\u2019un SMSI mutualis\xE9 au sein d\u2019un\ + \ groupe de soci\xE9t\xE9s, r\xE9pondant \xE0 d'autres objectifs r\xE9glementaires,\ + \ et/ou internes et/ou \xE9conomiques. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2 + ref_id: 3.2.4 + name: "Communication de la politique de s\xE9curit\xE9 de l\u2019information" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node23 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.4 + description: "Le Dirigeant Responsable s\u2019assure que la politique de s\xE9\ + curit\xE9 de l\u2019information est :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node24 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node23 + description: " diffus\xE9e et promue de mani\xE8re appropri\xE9e :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node25 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node24 + description: 'au sein de son organisation ; ' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node26 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node24 + description: "aupr\xE8s de ses partenaires, notamment ses sous-traitants, ses\ + \ prestataires de services et ses fournisseurs d\u2019\xE9quipement. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node27 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node23 + description: "formalis\xE9e et int\xE9gr\xE9e ou r\xE9f\xE9renc\xE9e dans : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node28 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node27 + description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\ + \ l\u2019information, ou ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node29 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node27 + description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:3.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3 + ref_id: '3.3' + name: "Gestion des ressources, r\xF4les et responsabilit\xE9s " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node31 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.3 + description: 'Le Dirigeant Responsable : ' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node32 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node31 + description: "est capable de d\xE9montrer sa connaissance du r\xE8glement Part-IS\ + \ ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node33 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node31 + description: "s\u2019assure que les ressources financi\xE8res, mat\xE9rielles\ + \ et humaines n\xE9cessaires pour assurer la gestion des risques li\xE9s \xE0\ + \ la s\xE9curit\xE9 de l\u2019information relative \xE0 la s\xE9curit\xE9\ + \ a\xE9rienne sont disponibles et suffisantes ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node34 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node31 + description: "d\xE9finit et attribue les r\xF4les et les responsabilit\xE9s\ + \ en mati\xE8re de gestion de l\u2019information relative \xE0 la s\xE9curit\xE9\ + \ a\xE9rienne. Notamment, il veille \xE0 : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node35 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node34 + description: "d\xE9signer une personne ou un groupe de personnes responsables\ + \ : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node36 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node35 + description: "de la mise en \u0153uvre du r\xE8glement Part-IS, qui : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node37 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node36 + description: "a un acc\xE8s direct au Dirigeant Responsable ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node38 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node36 + description: "dispose de l\u2019autorit\xE9 et des comp\xE9tences suffisantes\ + \ pour exercer ses fonctions et ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node39 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node36 + description: "pour lequel une ou des personnes assurant l\u2019int\xE9rim sont\ + \ pr\xE9vues en cas d\u2019absence." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node40 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node35 + description: "de la conformit\xE9 au r\xE8glement Part-IS, qui : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node41 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node40 + description: "est ind\xE9pendant vis-\xE0-vis de la personne ou du groupe de\ + \ personnes responsables de la mise en \u0153uvre du r\xE8glement Part-IS. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node42 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node34 + description: "formaliser la d\xE9signation de ces personnes ou groupes de personnes,\ + \ en pr\xE9cisant : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node43 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node42 + description: 'leur(s) titre(s), leur(s) nom(s) et leurs missions ; ' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node44 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node42 + description: "leur lien direct avec le Dirigeant Responsable, leurs responsabilit\xE9\ + s, leurs pouvoirs et leurs moyens, au travers d\u2019un organigramme ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node45 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node42 + description: 'leurs obligations de rendre compte. ' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node46 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node31 + description: "s\u2019assure que les r\xF4les et responsabilit\xE9s sont communiqu\xE9\ + s et connus \xE0 tous les niveaux de l\u2019organisation, aussi bien par le\ + \ personnel interne que par les partenaires ext\xE9rieurs concern\xE9s. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node47 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.3 + description: "Les \xE9l\xE9ments relatifs \xE0 la gestion des ressources, aux\ + \ r\xF4les et responsabilit\xE9s sont : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node48 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node47 + description: "formalis\xE9s ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node49 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node47 + description: "int\xE9gr\xE9s ou r\xE9f\xE9renc\xE9s dans :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node50 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node49 + description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\ + \ l\u2019information, ou ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node51 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node49 + description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:4 + assessable: false + depth: 1 + ref_id: '4' + name: "Gestion des risques de s\xE9curit\xE9 de l\u2019information " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node53 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4 + description: "Dans le cadre des activit\xE9s de la gestion des risques de s\xE9\ + curit\xE9 de l\u2019information relative \xE0 la s\xFBret\xE9 et/ou \xE0 la\ + \ s\xE9curit\xE9 a\xE9rienne, l\u2019organisme : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node54 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node53 + description: "d\xE9finit les responsabilit\xE9s des diff\xE9rents participants\ + \ internes et externes ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node55 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node53 + description: "d\xE9finit l\u2019articulation avec l\u2019organisation d\xE9\ + j\xE0 en place pour la gestion des risques relatifs \xE0 la s\xFBret\xE9 et/ou\ + \ \xE0 la s\xE9curit\xE9 a\xE9rienne ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node56 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node53 + description: "pr\xE9cise la m\xE9thodologie ou le standard utilis\xE9e pour\ + \ mener \xE0 bien ces activit\xE9s :" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node57 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node56 + description: "Il est recommand\xE9 de mettre en \u0153uvre une des normes ou\ + \ m\xE9thodes suivantes : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node58 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node57 + description: "ISO/CEI 27005 [15], Norme relative \xE0 la Gestion des risques\ + \ li\xE9s \xE0 la s\xE9curit\xE9 de l\u2019information ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node59 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node57 + description: "EBIOS Risk Manager [16] m\xE9thode d'appr\xE9ciation et de traitement\ + \ des risques num\xE9riques publi\xE9e par l\u2019ANSSI ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node60 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node57 + description: "toute autre m\xE9thode conforme \xE0 la norme ISO/CEI 31000 [17],\ + \ norme relative \xE0 la gestion des risques. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node61 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node56 + description: "Dans le cas o\xF9 l\u2019organisme met en \u0153uvre une autre\ + \ m\xE9thodologie ou standard, il apporte la preuve que celle ou celui-ci\ + \ : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node62 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node61 + description: "produit des r\xE9sultats : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node63 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node62 + description: "reproductibles sur la base d\u2019\xE9l\xE9ments d\u2019entr\xE9\ + e similaires ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node64 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node62 + description: comparables dans le temps. + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node65 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node61 + description: "prend en consid\xE9ration des \xE9l\xE9ments d\u2019entr\xE9e\ + \ pertinents et valides ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node66 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node61 + description: "permet un affinement des r\xE9sultats it\xE9ratifs au fil du temps\ + \ et des \xE9l\xE9ments d\u2019entr\xE9e disponibles. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node67 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node53 + description: "formalise les proc\xE9dures relatives \xE0 la gestion des risques,\ + \ notamment \xE0 :" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node68 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node67 + description: "l\u2019appr\xE9ciation et au traitement des risques ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node69 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node67 + description: "la gestion des incidents de s\xE9curit\xE9 de l\u2019information\ + \ ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node70 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node67 + description: 'la gestion des organismes en interface ; ' + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node71 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node67 + description: "la gestion des sous-traitants r\xE9alisant une ou des activit\xE9\ + s du SMSI." + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node72 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node53 + description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 ces proc\xE9dures dans\ + \ :" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node73 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node72 + description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\ + \ l\u2019information, ou ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node74 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node72 + description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9, et/ou ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node75 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node72 + description: "le programme de s\xFBret\xE9. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node76 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4 + description: "Pour la suite, l\u2019organisme s\u2019appuie sur la m\xE9thodologie\ + \ de gestion des risques qu\u2019il a choisie pour aboutir aux conclusions. " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node77 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4 + description: "N\xE9anmoins, sont pr\xE9cis\xE9es ci-apr\xE8s les diff\xE9rentes\ + \ \xE9tapes et documents attendus pour \xEAtre conformes aux r\xE8glements. " + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4 + ref_id: '4.1' + name: "\xC9tablissement du contexte " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node79 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.1 + description: "Afin de d\xE9finir le p\xE9rim\xE8tre de son analyse de risques\ + \ et/ou de son SMSI, l\u2019organisme identifie la liste des fonctions relatives\ + \ \xE0 ses missions de s\xFBret\xE9 et/ou de s\xE9curit\xE9 a\xE9rienne. Pour\ + \ y parvenir, il peut s\u2019appuyer sur : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node80 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node79 + description: "les listes de fonctions relatives \xE0 la s\xFBret\xE9 et/ou s\xE9\ + curit\xE9 a\xE9rienne disponibles en annexe ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node81 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node79 + description: "une pr\xE9-\xE9valuation des risques qui identifie les fonctions\ + \ les plus critiques \xE0 prendre en compte au regard de la distance et de\ + \ la vraisemblance de propagation jusqu\u2019\xE0 l\u2019impact sur la s\xFB\ + ret\xE9 et/ou s\xE9curit\xE9 a\xE9rienne dont on cherche \xE0 se pr\xE9munir" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node82 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.1 + description: "De plus, l\u2019organisme d\xE9finit des \xE9chelles : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node83 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node82 + description: "de gravit\xE9 relative aux cons\xE9quences en mati\xE8re de s\xFB\ + ret\xE9 et/ou de s\xE9curit\xE9 a\xE9rienne ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node84 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node82 + description: "de probabilit\xE9 d\u2019occurrence (ou vraisemblance) du risque\ + \ ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node85 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node82 + description: "les crit\xE8res d\u2019acceptation du risque propre \xE0 l\u2019\ + organisme. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4 + ref_id: '4.2' + name: "Appr\xE9ciation des risques" + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2 + ref_id: 4.2.1 + name: Identification des risques + - urn: urn:intuitem:risk:req_node:c3cf-v2:node88 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.1 + description: "Sur la base de la liste des fonctions relatives \xE0 la s\xFB\ + ret\xE9 et/ou s\xE9curit\xE9 a\xE9rienne de l\u2019organisation, l\u2019organisme\ + \ identifie :" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node89 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node88 + description: 'les fonctions : ' + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node90 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node89 + description: "dont il a la responsabilit\xE9 et qui sont r\xE9alis\xE9es par\ + \ lui-m\xEAme et pour son propre compte et/ou ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node91 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node89 + description: "qu\u2019il met en \u0153uvre pour le compte d\u2019un partenaire\ + \ ext\xE9rieur (interface) et/ou; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node92 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node89 + description: "dont il a la responsabilit\xE9 et qui sont r\xE9alis\xE9es par\ + \ un partenaire ext\xE9rieur pour le compte de l\u2019organisme consid\xE9\ + r\xE9 (interface). " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node93 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node88 + description: "les \xE9l\xE9ments qui contribuent \xE0 la r\xE9alisation de chacune\ + \ des fonctions identifi\xE9es pr\xE9c\xE9demment, notamment les \xE9quipements,\ + \ syst\xE8mes, donn\xE9es et informations. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node94 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.1 + description: "Puis, pour chaque fonction et chaque \xE9l\xE9ment identifi\xE9\ + s pr\xE9c\xE9demment, l\u2019organisme : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node95 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node94 + description: 'associe une description ; ' + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node96 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node94 + description: "identifie une ou des personnes et/ou entit\xE9s responsables,\ + \ qui peuvent aussi bien \xEAtre internes qu\u2019externes ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node97 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node94 + description: "pr\xE9cise le cas \xE9ch\xE9ant si celui-ci dispose d\u2019une\ + \ interface avec un tiers ainsi que la nature de cette derni\xE8re : \no \ + \ prestation de service ; \no sous-traitance ; \no fourniture d\u2019\xE9\ + quipements ; \no prestation autre, \xE0 pr\xE9ciser. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node98 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.1 + description: "L\u2019organisme dispose d\u2019une interface avec un autre organisme,\ + \ lorsque la r\xE9alisation d\u2019une des fonctions n\xE9cessite : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node99 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node98 + description: "d\u2019\xE9changer des donn\xE9es et/ou des informations avec\ + \ ce tiers ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node100 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node98 + description: "de fournir et/ou de mettre \xE0 disposition un syst\xE8me, un\ + \ \xE9quipement et/ou un service num\xE9rique pour ce tiers ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node101 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node98 + description: "d\u2019utiliser un syst\xE8me d\u2019information, un \xE9quipement\ + \ et/ou un service num\xE9rique fourni par ce tiers. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node102 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.1 + description: "Enfin, l\u2019organisme : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node103 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node102 + description: "d\xE9termine pour chaque fonction identifi\xE9e, seul ou en lien\ + \ avec le ou les organismes en interface concern\xE9s :" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node104 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node103 + description: "les \xE9v\xE9nements redout\xE9s, notamment les effets n\xE9fastes\ + \ sur la s\xFBret\xE9 et/ou s\xE9curit\xE9 a\xE9rienne cons\xE9cutifs \xE0\ + \ une atteinte \xE0 la disponibilit\xE9, l\u2019int\xE9grit\xE9, la confidentialit\xE9\ + \ et l\u2019authenticit\xE9 de la fonction ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node105 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node103 + description: "les impacts en mati\xE8re de s\xFBret\xE9 et/ou de s\xE9curit\xE9\ + \ a\xE9rienne associ\xE9s \xE0 ces \xE9v\xE9nements redout\xE9s. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node106 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node102 + description: "\xE9tablit la liste des organismes en interface pr\xE9c\xE9demment\ + \ identifi\xE9s. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2 + ref_id: 4.2.2 + name: 'Analyse de risques ' + - urn: urn:intuitem:risk:req_node:c3cf-v2:node108 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.2 + description: "Ensuite, l\u2019organisme : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node109 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node108 + description: "d\xE9finit une \xE9chelle de vraisemblance (ou de probabilit\xE9\ + \ d\u2019occurrence) prenant en compte : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node110 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node109 + description: "la vraisemblance de r\xE9alisation de l\u2019\xE9v\xE9nement redout\xE9\ + \ au niveau de l\u2019\xE9l\xE9ment du ou des syst\xE8mes d\u2019information\ + \ concern\xE9(s) ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node111 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node109 + description: "l\u2019efficacit\xE9 des processus m\xE9tier de s\xFBret\xE9 et/ou\ + \ s\xE9curit\xE9 a\xE9rienne mis en place au sein de l\u2019organisme et pouvant\ + \ bloquer, limiter ou favoriser la r\xE9alisation de l\u2019\xE9v\xE9nement\ + \ redout\xE9. Par exemple, les barri\xE8res de protection d\xE9j\xE0 mises\ + \ en place vis-\xE0-vis de l\u2019\xE9v\xE9nement redout\xE9. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node112 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node108 + description: "identifie ses risques sur la base de l\u2019analyse d\u2019impacts\ + \ en associant aux \xE9v\xE8nements redout\xE9s :" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node113 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node112 + description: "un niveau de gravit\xE9 selon l\u2019\xE9chelle pr\xE9d\xE9finie\ + \ ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node114 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node112 + description: "un niveau de vraisemblance selon l\u2019\xE9chelle pr\xE9d\xE9\ + finie ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node115 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node112 + description: "une ou des personnes et/ou entit\xE9s responsables qui peuvent\ + \ \xEAtre au sein de l\u2019organisme ou bien un partenaire ext\xE9rieur,\ + \ notamment pour les fonctions qu\u2019il re\xE7oit. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2 + ref_id: 4.2.3 + name: "\xC9valuation des risques" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node117 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.3 + description: "Enfin, l\u2019organisme : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node118 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node117 + description: "associe \xE0 chaque risque identifi\xE9 son niveau de risque selon\ + \ l\u2019\xE9chelle pr\xE9d\xE9finie sur la base : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node119 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node118 + description: "des r\xE9sultats de son analyse de risques ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node120 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node118 + description: "des informations d\u2019analyse de risques transmises dans le\ + \ cadre d\u2019une fonction r\xE9alis\xE9e par un tiers. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node121 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node117 + description: "\xE9tablit la liste des organismes en interface pr\xE9sentant\ + \ un risque pour la s\xFBret\xE9 et/ou la s\xE9curit\xE9 a\xE9rienne. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2 + ref_id: 4.2.4 + name: "R\xE9sultats de l\u2019appr\xE9ciation des risques" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node123 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.4 + description: "L\u2019organisme : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node124 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node123 + description: 'formalise :' + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node125 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node124 + description: "la liste des risques relatifs \xE0 la s\xFBret\xE9 et/ou \xE0\ + \ la s\xE9curit\xE9 a\xE9rienne identifi\xE9s en pr\xE9cisant pour chacun\ + \ d\u2019entre eux : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node126 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node125 + description: "la fonction associ\xE9e et la ou les \xE9ventuelles interfaces\ + \ ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node127 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node125 + description: "les \xE9quipements, syst\xE8mes, donn\xE9es et informations qui\ + \ contribuent \xE0 la r\xE9alisation de la fonction associ\xE9e ainsi que\ + \ la ou les \xE9ventuelles interfaces ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node128 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node125 + description: "l\u2019\xE9v\xE9nement redout\xE9 associ\xE9 ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node129 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node125 + description: "une ou des personnes et/ou entit\xE9s responsables ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node130 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node125 + description: le niveau de risque. + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node131 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node124 + description: "la liste des organismes en interface pr\xE9sentant un risque pour\ + \ la s\xFBret\xE9 et/ou la s\xE9curit\xE9 a\xE9rienne ; o le cas \xE9ch\xE9\ + ant, la liste des syst\xE8mes d\u2019information critiques au regard de la\ + \ s\xFBret\xE9. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node132 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node123 + description: "fait approuver la liste des risques relatifs \xE0 la s\xFBret\xE9\ + \ et/ou la s\xE9curit\xE9 a\xE9rienne identifi\xE9s par son Dirigeant Responsable\ + \ et/ou ses responsables des risques identifi\xE9s selon son organisation\ + \ de gestion des risques ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node133 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node123 + description: "conserve des informations document\xE9es comme preuves des r\xE9\ + sultats d\u2019appr\xE9ciation des risques. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4 + ref_id: '4.3' + name: Traitement des risques + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3 + ref_id: 4.3.1 + name: Mesures pour le traitement du risque + - urn: urn:intuitem:risk:req_node:c3cf-v2:node136 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.1 + description: "Sur la base des r\xE9sultats de l\u2019appr\xE9ciation des risques,\ + \ l\u2019organisme : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node137 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node136 + description: "d\xE9finit et justifie pour chacun des risques relatifs \xE0 la\ + \ s\xFBret\xE9 et/ou \xE0 la s\xE9curit\xE9 a\xE9rienne s\u2019il :\n- maintient\ + \ le risque \xE0 condition qu\u2019il soit acceptable en l\u2019\xE9tat ;\n\ + - r\xE9duit le niveau de risque par l\u2019introduction, la suppression ou\ + \ la modification des mesures de s\xE9curit\xE9 de l\u2019information ;\n\ + - refuse le risque en \xE9vitant l\u2019activit\xE9 ou la situation qui donne\ + \ lieu \xE0 un risque ; \n- partage le risque avec une autre partie capable\ + \ de g\xE9rer de mani\xE8re plus efficace le risque." + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node138 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node136 + description: "d\xE9termine la ou les mesures permettant de traiter le risque\ + \ conform\xE9ment \xE0 l\u2019action choisie et s\u2019assure que celle ou\ + \ celles-ci n\u2019entrainent pas de nouveaux risques ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node139 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node136 + description: "met en \u0153uvre en temps utile et v\xE9rifie l\u2019efficacit\xE9\ + \ de ces mesures conform\xE9ment aux \xA76.1. et \xA76.2.3. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node140 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.1 + description: "Pour d\xE9finir les mesures de s\xE9curit\xE9 de l\u2019information,\ + \ l\u2019organisme peut notamment s\u2019appuyer sur les r\xE9f\xE9rentiels\ + \ suivants : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node141 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node140 + description: "Guide d\u2019hygi\xE8ne informatique de l\u2019ANSSI [21] ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node142 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node140 + description: Norme internationale ISO/IEC 27002:2022 [22] ; + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node143 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node140 + description: 'Norme internationale ISO/ISA/IEC 62443 [23]. ' + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3 + ref_id: 4.3.2 + name: "\xC9laboration du plan de traitement des risques" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node145 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.2 + description: "L\u2019organisme \xE9labore un plan de traitement des risques\ + \ relatifs \xE0 la s\xFBret\xE9 et/ou \xE0 la s\xE9curit\xE9 a\xE9rienne permettant\ + \ d\u2019identifier pour chaque mesure de s\xE9curit\xE9 de l\u2019information\ + \ d\xE9termin\xE9e supra : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node146 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node145 + description: "le ou les risques qu\u2019elle traite ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node147 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node145 + description: "la priorit\xE9 de mise en \u0153uvre; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node148 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node145 + description: "le d\xE9lai de mise en \u0153uvre recommand\xE9 ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node149 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node145 + description: "le cas \xE9ch\xE9ant, les raisons ne permettant pas de les mettre\ + \ en \u0153uvre. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3 + ref_id: 4.3.3 + name: "\xC9valuation des risques r\xE9siduels" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node151 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.3 + description: "L\u2019organisme \xE9value les risques r\xE9siduels, apr\xE8s\ + \ l\u2019application des mesures de s\xE9curit\xE9 de l\u2019information d\xE9\ + finies dans le plan de traitement des risques. Si un risque r\xE9siduel demeure\ + \ non acceptable, l\u2019organisme le traite \xE0 nouveau, conform\xE9ment\ + \ au \xA74.3.1, jusqu\u2019\xE0 ce que celui-ci soit acceptable. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3 + ref_id: 4.3.4 + name: "R\xE9sultats du traitement des risques" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node153 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.4 + description: "L\u2019organisme : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node154 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node153 + description: 'formalise :' + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node155 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node154 + description: "le plan de traitement des risques relatifs \xE0 la s\xFBret\xE9\ + \ et/ou \xE0 la s\xE9curit\xE9 a\xE9rienne ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node156 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node154 + description: "la liste des risques r\xE9siduels apr\xE8s application du plan\ + \ de traitement des risques relatifs \xE0 la s\xFBret\xE9 et/ou \xE0 la s\xE9\ + curit\xE9 a\xE9rienne. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node157 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node153 + description: "fait approuver ces documents par le Dirigeant Responsable et/ou\ + \ la (ou les) personne()s et/ou entit\xE9(s) responsable(s) des risques selon\ + \ son organisation de gestion des risques ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node158 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node153 + description: "conserve des informations document\xE9es comme preuves des r\xE9\ + sultats d\u2019appr\xE9ciation des risques. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4 + ref_id: '4.4' + name: "Gestion des incidents de s\xE9curit\xE9 de l\u2019information" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node160 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4 + description: "L\u2019organisme d\xE9finit et met en \u0153uvre des mesures techniques\ + \ et organisationnelles visant \xE0 : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node161 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node160 + description: "d\xE9tecter les types d\u2019incidents de s\xE9curit\xE9 de l\u2019\ + information et identifier ceux ayant un potentiel impact sur la s\xFBret\xE9\ + \ et /ou la s\xE9curit\xE9 a\xE9rienne ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node162 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node160 + description: "r\xE9agir \xE0 la suite d\u2019un incident de s\xE9curit\xE9 de\ + \ l\u2019information ayant un potentiel impact sur la s\xFBret\xE9 et /ou\ + \ la s\xE9curit\xE9 a\xE9rienne d\xE9tect\xE9 ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node163 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node160 + description: "se r\xE9tablir \xE0 la suite d\u2019un incident de s\xE9curit\xE9\ + \ de l\u2019information ayant un potentiel impact sur la s\xFBret\xE9 et /ou\ + \ la s\xE9curit\xE9 a\xE9rienne. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node164 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4 + description: "Pour y parvenir, l\u2019organisme peut s\u2019appuyer, par exemple\ + \ sur : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node165 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node164 + description: "les guides et bonnes pratiques publi\xE9s par l\u2019ANSSI ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node166 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node164 + description: "les mesures pr\xE9cis\xE9es dans la norme ISO/CEI 27002 [22]. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node167 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4 + description: "De plus dans le cadre de la gestion des incidents de s\xE9curit\xE9\ + \ de l\u2019information relatifs \xE0 la s\xE9curit\xE9 a\xE9rienne, l\u2019\ + organisme prend en compte les dispositions pr\xE9cis\xE9es ci-apr\xE8s. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4 + ref_id: 4.4.1 + name: "D\xE9tection des incidents de s\xE9curit\xE9 de l\u2019information" + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.1 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1 + ref_id: 4.4.1.1 + name: "Identification des incidents redout\xE9s de s\xE9curit\xE9 de l\u2019\ + information" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node170 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.1 + description: "L\u2019organisme identifie la liste des types d\u2019incidents\ + \ redout\xE9s de s\xE9curit\xE9 de l\u2019information ayant un potentiel impact\ + \ sur la s\xE9curit\xE9 a\xE9rienne et des impacts et cons\xE9quences associ\xE9\ + s sur la base des r\xE9sultats de l\u2019appr\xE9ciation et du traitement\ + \ des risques r\xE9alis\xE9s au \xA74.2. et \xA74.3. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node171 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.1 + description: "L\u2019organisme peut \xE9galement s\u2019appuyer sur un ou plusieurs\ + \ r\xE9f\xE9rentiels, tels que : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node172 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node171 + description: "Prestataires de d\xE9tection des incidents de s\xE9curit\xE9,\ + \ s\xE9curit\xE9 - R\xE9f\xE9rentiel d\u2019exigences [24] - IV.2.1. b) ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node173 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node171 + description: "5 standards sur la d\xE9tection des incidents de s\xE9curit\xE9\ + \ [25] ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node174 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node171 + description: Annexe B de la norme internationale ISO/IEC 27035:2022 [26] ; + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node175 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node171 + description: "ED Decision 2023/009/R - Appendix I \u2014 Examples of threat\ + \ scenarios with a potential harmful impact on safety [27]. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2. + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1 + ref_id: 4.4.1.2. + name: "Collecte des \xE9v\xE9nements" + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.1 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2. + ref_id: 4.4.1.2.1 + name: "Strat\xE9gie de collecte " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node178 + assessable: false + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.1 + description: "Sur la base des incidents redout\xE9s de s\xE9curit\xE9 de l\u2019\ + information ayant un potentiel impact sur la s\xE9curit\xE9 a\xE9rienne, l\u2019\ + organisme : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node179 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node178 + description: "identifie les sources de collecte pertinentes au sein de son syst\xE8\ + me d\u2019information ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node180 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node178 + description: "met en place une veille sur les vuln\xE9rabilit\xE9s pouvant affecter\ + \ son syst\xE8me d\u2019information ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node181 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node178 + description: "journalise les \xE9v\xE9nements pertinents \xE0 la d\xE9tection\ + \ parmi les sources de collecte identifi\xE9es et la veille sur les vuln\xE9\ + rabilit\xE9s. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node182 + assessable: false + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.1 + description: "Pour y parvenir, l\u2019organisme peut s\u2019appuyer sur : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node183 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node182 + description: "les sections IV.2.2. c) & d) du r\xE9f\xE9rentiel d\u2019exigences\ + \ Prestataires de d\xE9tection des incidents de s\xE9curit\xE9 [24] ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node184 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node182 + description: "sur l\u2019annexe A des Recommandations de s\xE9curit\xE9 pour\ + \ la mise en \u0153uvre d\u2019un syst\xE8me de journalisation [28]. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.2 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2. + ref_id: 4.4.1.2.2 + name: "Notification interne d\u2019\xE9v\xE9nements " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node186 + assessable: false + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.2 + description: "L\u2019organisme : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node187 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node186 + description: "met en place une proc\xE9dure de collecte des \xE9v\xE9nements\ + \ qui peuvent lui \xEAtre notifi\xE9s et qui satisfait aux exigences du r\xE8\ + glement (UE) 376/2014 [29] ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node188 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node186 + description: "en pr\xE9cise le fonctionnement, notamment :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node189 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node188 + description: "les \xE9v\xE9nements qui doivent \xEAtre notifi\xE9s, \xE0 savoir\ + \ les \xE9v\xE9nements de s\xE9curit\xE9 de l\u2019information ayant un potentiel\ + \ impact sur la s\xE9curit\xE9 a\xE9rienne ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node190 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node188 + description: "les moyens mis \xE0 disposition pour notifier un \xE9v\xE9nement\ + \ ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node191 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node188 + description: "les d\xE9lais de notification ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node192 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node188 + description: "les conditions d\u2019archivage, notamment au moins 5 ans." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node193 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node186 + description: "rend cette proc\xE9dure et les moyens de notification associ\xE9\ + s accessibles aux personnes ayant besoin d\u2019en connaitre parmi : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node194 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node193 + description: son personnel interne ; + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node195 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node193 + description: "les tiers pertinents dans le contexte, identifi\xE9s au \xA74.2.4\ + \ ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node196 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node193 + description: tous les interlocuteurs pertinents. + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node197 + assessable: false + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.2 + description: "L\u2019organisme : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node198 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node197 + description: "peut int\xE9grer ce syst\xE8me de notification interne d\u2019\ + \xE9v\xE9nements \xE0 un syst\xE8me existant ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node199 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node197 + description: "formalise la description de ce syst\xE8me et l\u2019int\xE8gre\ + \ ou y fait r\xE9f\xE9rence dans : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node200 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node199 + description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\ + \ l\u2019information, ou ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node201 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node199 + description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.3 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1 + ref_id: 4.4.1.3 + name: "Strat\xE9gie de d\xE9tection" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node203 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.3 + description: "L\u2019organisme met en place une strat\xE9gie de d\xE9tection\ + \ qui permet de d\xE9tecter les incidents redout\xE9s de s\xE9curit\xE9 de\ + \ l\u2019information ayant un potentiel impact sur la s\xE9curit\xE9 a\xE9\ + rienne sur la base des sources de collecte pr\xE9c\xE9dentes. Aussi, l\u2019\ + organisme :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node204 + assessable: false + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node203 + description: "d\xE9finit :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node205 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node204 + description: "une classification par ordre de gravit\xE9 des incidents redout\xE9\ + s de s\xE9curit\xE9 de l\u2019information ayant un potentiel impact sur la\ + \ s\xE9curit\xE9 a\xE9rienne ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node206 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node204 + description: "des r\xE8gles de d\xE9tection en : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node207 + assessable: false + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node206 + description: "s\u2019appuyant sur : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node208 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node207 + description: "la liste des incidents de s\xE9curit\xE9 redout\xE9s de s\xE9\ + curit\xE9 de l\u2019information ayant un potentiel impact sur la s\xE9curit\xE9\ + \ a\xE9rienne ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node209 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node207 + description: "des bases de connaissances acquises aupr\xE8s des partenaires\ + \ ext\xE9rieurs ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node210 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node207 + description: "des bases de connaissances internes (audits, tests de vuln\xE9\ + rabilit\xE9s et d\u2019intrusion) ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node211 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node207 + description: "une veille sur la menace et les vuln\xE9rabilit\xE9s ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node212 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node207 + description: "l\u2019identification d\u2019\xE9cart de bon fonctionnement par\ + \ rapport au comportement \xE0 d\xE9tecter ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node213 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node207 + description: 'les impacts sur les performances ; ' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node214 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node207 + description: "les incidents de s\xE9curit\xE9 de l\u2019information connus aupr\xE8\ + s d\u2019autres organismes. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node215 + assessable: false + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node206 + description: "en pr\xE9cisant pour chaque r\xE8gle :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node216 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node215 + description: "les moyens mis en \u0153uvre ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node217 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node215 + description: 'une description ; ' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node218 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node215 + description: "Le ou les incidents redout\xE9s associ\xE9s ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node219 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node215 + description: "Le niveau de gravit\xE9. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node220 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node203 + description: "assure la centralisation et la corr\xE9lation des \xE9v\xE9nements\ + \ et des vuln\xE9rabilit\xE9s remont\xE9es ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node221 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node203 + description: "identifie les \xE9v\xE9nements ou combinaison d\u2019\xE9v\xE8\ + nements pouvant mener \xE0 un incident ayant un potentiel impact sur la s\xE9\ + curit\xE9 a\xE9rienne. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.4 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1 + ref_id: 4.4.1.4 + name: 'Qualification ' + - urn: urn:intuitem:risk:req_node:c3cf-v2:node223 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.4 + description: "Lorsqu\u2019un \xE9v\xE8nement pouvant mener \xE0 un incident\ + \ de s\xE9curit\xE9 de l\u2019information ayant un potentiel impact sur la\ + \ s\xE9curit\xE9 a\xE9rienne est d\xE9tect\xE9, l\u2019organisme le qualifie\ + \ en incident de s\xE9curit\xE9 de l\u2019information, notamment il : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node224 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node223 + description: "en d\xE9termine la v\xE9racit\xE9 afin d\u2019\xE9liminer les\ + \ faux positifs ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node225 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node223 + description: "identifie les \xE9quipements, syst\xE8mes, donn\xE9es et informations\ + \ concern\xE9s par l\u2019incident d\xE9tect\xE9 ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node226 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node223 + description: "identifie les cons\xE9quences en mati\xE8re de s\xE9curit\xE9\ + \ a\xE9rienne et en d\xE9termine :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node227 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node226 + description: "les impacts et la gravit\xE9 de l\u2019incident d\xE9tect\xE9\ + \ ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node228 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node226 + description: "les causes de l\u2019incident. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node229 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node223 + description: "identifie les \xE9ventuelles parties prenantes en interne et/ou\ + \ les partenaires ext\xE9rieurs concern\xE9s par l\u2019incident ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node230 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node223 + description: "formalise la qualification de la d\xE9tection ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node231 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node223 + description: "conserve des informations document\xE9es au moins jusqu\u2019\xE0\ + \ la prochaine qualification. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.5 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1 + ref_id: 4.4.1.5 + name: ' Notification' + - urn: urn:intuitem:risk:req_node:c3cf-v2:node233 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.5 + description: "Pour chaque \xE9v\xE9nement qualifi\xE9 en incident de s\xE9curit\xE9\ + , l\u2019organisme notifie : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node234 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node233 + description: "les personnes pertinentes au sein de son organisation pour activer\ + \ les r\xE9actions appropri\xE9es ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node235 + assessable: false + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node233 + description: "le cas \xE9ch\xE9ant :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node236 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node235 + description: "les partenaires externes concern\xE9s selon le cadre d\xE9fini\ + \ au \xA74.5.1;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node237 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node235 + description: "l\u2019autorit\xE9 selon le cadre d\xE9fini au \xA74.4.5." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4 + ref_id: 4.4.2 + name: "R\xE9ponse aux incidents de s\xE9curit\xE9 de l\u2019information" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node239 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.2 + description: "L\u2019organisme d\xE9finit un m\xE9canisme de r\xE9ponse \xE0\ + \ incident qui :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node240 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node239 + description: "pr\xE9cise : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node241 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node240 + description: "les r\xF4les et les responsabilit\xE9s des personnes qui activent\ + \ les r\xE9actions en cas d\u2019incident qualifi\xE9 ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node242 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node240 + description: "les modalit\xE9s d\u2019information de ces personnes \xE0 la suite\ + \ de la qualification d\u2019un incident, notamment les outils et les d\xE9\ + lais." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node243 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node239 + description: "d\xE9finit les actions imm\xE9diates \xE0 mettre en \u0153uvre,\ + \ notamment en identifiant pour chaque type d\u2019incident redout\xE9 relatifs\ + \ \xE0 la s\xE9curit\xE9 a\xE9rienne : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node244 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node243 + description: "les ressources \xE0 activer au sein de l\u2019entreprise et \xE0\ + \ l\u2019ext\xE9rieur de l\u2019entreprise, notamment dans le cadre d\u2019\ + un contrat avec un Prestataire de R\xE9ponse \xE0 Incident de S\xE9curit\xE9\ + \ (PRIS) ou de l\u2019adh\xE9sion \xE0 un CERT ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node245 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node243 + description: "les mesures organisationnelles et techniques pouvant \xEAtre mises\ + \ en \u0153uvre pour limiter la propagation d\u2019une attaque et \xE9viter\ + \ la mat\xE9rialisation du ou des incidents redout\xE9s. Ce r\xE9f\xE9rentiel\ + \ de mesures est tenu \xE0 jour en fonction de l\u2019\xE9volution du contexte\ + \ ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node246 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node243 + description: "les d\xE9lais de mise en \u0153uvre de ces mesures. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node247 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node239 + description: "met en place une surveillance des \xE9quipements, syst\xE8mes,\ + \ donn\xE9es et informations de son syst\xE8me d\u2019information associ\xE9\ + s \xE0 l\u2019incident d\xE9tect\xE9, et met \xE0 jour si n\xE9cessaire ce\ + \ p\xE9rim\xE8tre \xE0 surveiller. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4 + ref_id: 4.4.3 + name: "Rem\xE9diation " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node249 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.3 + description: "L\u2019organisme d\xE9finit des plans de rem\xE9diation \xE0 actionner\ + \ en cas d\u2019incident, qui : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node250 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node249 + description: "pr\xE9cise les r\xF4les et les responsabilit\xE9s des personnes\ + \ qui g\xE8rent les actions de rem\xE9diation ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node251 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node249 + description: "d\xE9finit un ou des plans de rem\xE9diation pour chaque type\ + \ d\u2019incident redout\xE9 relatifs \xE0 la s\xE9curit\xE9 a\xE9rienne qui\ + \ :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node252 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node251 + description: "identifie les ressources \xE0 activer au sein de l\u2019organisme\ + \ et \xE0 l\u2019ext\xE9rieur de l\u2019entreprise si applicable, notamment\ + \ dans le cadre d\u2019un contrat avec un Prestataire de R\xE9ponse \xE0 Incident\ + \ de S\xE9curit\xE9 (PRIS) ou de l\u2019adh\xE9sion \xE0 un CERT ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node253 + assessable: false + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node251 + description: "pr\xE9cise les actions \xE0 mettre en \u0153uvre pour : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node254 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node253 + description: "identifier le p\xE9rim\xE8tre du syst\xE8me d\u2019information\ + \ impact\xE9 ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node255 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node253 + description: "r\xE9aliser la rem\xE9diation du syst\xE8me d\u2019information\ + \ impact\xE9 ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node256 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node253 + description: "s\u2019assurer que le syst\xE8me d\u2019information a retrouv\xE9\ + \ un \xE9tat s\xFBr et peut \xEAtre remis en service. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node257 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node251 + description: "pr\xE9voit la d\xE9termination des d\xE9lais de remise en service\ + \ en fonction du niveau de gravit\xE9, de la nature et du contexte de l\u2019\ + incident. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node258 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node249 + description: "produit un rapport d\u2019incident qui sera communiqu\xE9 \xE0\ + \ l\u2019autorit\xE9 selon les modalit\xE9s d\xE9finies au \xA74.4.5. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4 + ref_id: 4.4.4 + name: "R\xE9sultat de la gestion des incidents de s\xE9curit\xE9 de l\u2019\ + information" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node260 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4 + description: "L\u2019organisme formalise la liste des mesures techniques et\ + \ organisationnelles visant \xE0 : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node261 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node260 + description: "d\xE9tecter les incidents de s\xE9curit\xE9 de l\u2019information\ + \ ayant un potentiel impact sur la s\xFBret\xE9 et /ou la s\xE9curit\xE9 a\xE9\ + rienne ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node262 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node260 + description: "r\xE9agir \xE0 la suite d\u2019une incident de s\xE9curit\xE9\ + \ de l\u2019information ayant un potentiel impact sur la s\xFBret\xE9 et /ou\ + \ la s\xE9curit\xE9 a\xE9rienne d\xE9tect\xE9 ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node263 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node260 + description: "se r\xE9tablir \xE0 la suite d\u2019un incident de s\xE9curit\xE9\ + \ de l\u2019information ayant un potentiel impact sur la s\xFBret\xE9 et /ou\ + \ la s\xE9curit\xE9 a\xE9rienne. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node264 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4 + description: "De plus dans le cadre de la gestion des incidents de s\xE9curit\xE9\ + \ relatifs \xE0 la s\xE9curit\xE9 a\xE9rienne, l\u2019organisme formalise\ + \ : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node265 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4 + description: "la liste des incidents redout\xE9s relatifs \xE0 la s\xE9curit\xE9\ + \ a\xE9rienne; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node266 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4 + description: "la liste des sources de collecte, le syst\xE8me de veille des\ + \ vuln\xE9rabilit\xE9s et les \xE9v\xE9nements journalis\xE9s ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node267 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4 + description: "la liste des r\xE8gles de d\xE9tection mises en \u0153uvre ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node268 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4 + description: "les actions imm\xE9diates \xE0 mettre en \u0153uvre pour chaque\ + \ type d\u2019incident redout\xE9 relatifs \xE0 la s\xE9curit\xE9 a\xE9rienne\ + \ ; - les plans de rem\xE9diation. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node269 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4 + description: "Enfin l\u2019organisme conserve des informations document\xE9\ + es appropri\xE9es comme preuves de la gestion des incidents de s\xE9curit\xE9\ + \ de l\u2019information. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4 + ref_id: 4.4.5 + name: "Notification \xE0 l\u2019autorit\xE9 " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node271 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.5 + description: 'A paraitre dans la prochaine version du 3CFv2 ' + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4 + ref_id: '4.5' + name: Gestions des risques induits par les tiers + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5 + ref_id: 4.5.1 + name: Organismes en interface + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.1 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1 + ref_id: 4.5.1.1 + name: "Organismes pr\xE9sentant un risque pour la s\xFBret\xE9 a\xE9rienne" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node275 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.1 + description: "Sur la base de la liste des organismes en interface pr\xE9sentant\ + \ un risque pour la s\xFBret\xE9 a\xE9rienne \xE9tablie au \xA74.2, l\u2019\ + organisme d\xE9finit un cadre de travail avec ces derniers qui : " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node276 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node275 + description: "pr\xE9voit des r\xE8gles d\u2019\xE9change d\u2019information\ + \ visant \xE0 pr\xE9server l\u2019authenticit\xE9, la confidentialit\xE9 et\ + \ l\u2019int\xE9grit\xE9 des informations \xE9chang\xE9es ainsi que l\u2019\ + anonymat des interlocuteurs s\u2019ils le souhaitent ; " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node277 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node275 + description: "pr\xE9cise les exigences \xE0 leur faire appliquer. Elles sont\ + \ d\u2019ordre :" + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node278 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node277 + description: "r\xE8glementaire, notamment celles en mati\xE8re de : " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node279 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node278 + description: "v\xE9rification des ant\xE9c\xE9dents ; " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node280 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node278 + description: "sensibilisation et de formation \xE0 la s\xE9curit\xE9 de l\u2019\ + information. " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node281 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node277 + description: 'contractuel, notamment : ' + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node282 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node281 + description: "la mise en \u0153uvre de mesures de s\xE9curit\xE9 de l\u2019\ + information d\xE9finies par l\u2019organisme[1] ;" + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node283 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node281 + description: "une surveillance adapt\xE9e au contexte des activit\xE9s du tiers.\ + \ " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node284 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.1 + description: "L\u2019organisme conserve des informations document\xE9es comme\ + \ preuves de la gestion des organismes en interface pr\xE9sentant un risque\ + \ pour la s\xFBret\xE9 a\xE9rienne. " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1 + ref_id: 4.5.1.2 + name: "Organismes pr\xE9sentant un risque pour la s\xE9curit\xE9 a\xE9rienne" + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2.1 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2 + ref_id: 4.5.1.2.1 + name: "Organismes en interface d\xE9tenant un agr\xE9ment ou un certificat de\ + \ s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node287 + assessable: false + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2.1 + description: "Sur la base de la liste des organismes en interface pr\xE9sentant\ + \ un risque pour la s\xE9curit\xE9 a\xE9rienne \xE9tablie au \xA74.2.4, l\u2019\ + organisme : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node288 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node287 + description: "identifie les tiers pr\xE9sentant un risque pour la s\xE9curit\xE9\ + \ a\xE9rienne et devant \xEAtre conformes aux r\xE8glements Part-IS, appel\xE9\ + es aussi contractants ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node289 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node287 + description: "d\xE9finit un cadre de travail avec ces derniers, qui pr\xE9voit\ + \ :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node290 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node289 + description: "la d\xE9finition des responsabilit\xE9s pour la gestion des risques\ + \ partag\xE9s ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node291 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node289 + description: "un partage des hypoth\xE8ses et des objectifs de s\xE9curit\xE9\ + \ sur les p\xE9rim\xE8tres concern\xE9s ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node292 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node289 + description: "la notification des \xE9v\xE9nements de s\xE9curit\xE9 de l\u2019\ + information et des vuln\xE9rabilit\xE9s ayant un potentiel impact sur la s\xE9\ + curit\xE9 a\xE9rienne conform\xE9ment au \xA74.4.1.2.2 ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node293 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node289 + description: "des r\xE8gles d\u2019\xE9change d\u2019information visant \xE0\ + \ pr\xE9server l\u2019authenticit\xE9, la confidentialit\xE9 et l\u2019int\xE9\ + grit\xE9 des informations \xE9chang\xE9es ainsi que l\u2019anonymat des interlocuteurs\ + \ s\u2019ils le souhaitent." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node294 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2.1 + description: "L\u2019organisme conserve des informations document\xE9es comme\ + \ preuves de la gestion des organismes agr\xE9\xE9s ou certifi\xE9s en interfaces\ + \ pr\xE9sentant un risque pour la s\xE9curit\xE9 a\xE9rienne. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2.2 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2 + ref_id: 4.5.1.2.2 + name: "Organismes en interface ne d\xE9tenant pas d\u2019agr\xE9ment ou de certificat\ + \ de s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node296 + assessable: false + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2.2 + description: "Sur la base de la liste des organismes en interface pr\xE9sentant\ + \ un risque pour la s\xE9curit\xE9 a\xE9rienne \xE9tablie au \xA74.2.4, l\u2019\ + organisme : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node297 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node296 + description: "identifie les tiers pr\xE9sentant un risque pour la s\xE9curit\xE9\ + \ a\xE9rienne et n\u2019ayant pas d\u2019obligation d\u2019\xEAtre conformes\ + \ aux r\xE8glements Part-IS ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node298 + assessable: false + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node296 + description: "d\xE9finit :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node299 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node298 + description: "Lorsque cela est possible, un cadre de travail avec ces derniers\ + \ qui pr\xE9voit : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node300 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node299 + description: "la notification d'\xE9v\xE9nements de s\xE9curit\xE9 de l\u2019\ + information et de vuln\xE9rabilit\xE9 ayant un potentiel impact sur la s\xE9\ + curit\xE9 a\xE9rienne conform\xE9ment au \xA74.4.1.2.2 ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node301 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node299 + description: "des r\xE8gles d\u2019\xE9change d\u2019information visant \xE0\ + \ pr\xE9server l\u2019authenticit\xE9, la confidentialit\xE9 et l\u2019int\xE9\ + grit\xE9 des informations \xE9chang\xE9es ainsi que l\u2019anonymat des interlocuteurs\ + \ s\u2019ils le souhaitent ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node302 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node299 + description: "la mise en \u0153uvre de mesures de s\xE9curit\xE9 de l\u2019\ + information d\xE9finies par l\u2019organisme7 ainsi qu\u2019une surveillance\ + \ adapt\xE9e au contexte des activit\xE9s du tiers ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node303 + assessable: true + depth: 9 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node299 + description: "Le cas \xE9ch\xE9ant, un contr\xF4le de la fiabilit\xE9 du personnel\ + \ conform\xE9ment \xE0 la politique de contr\xF4le de la fiabilit\xE9 d\xE9\ + finie par l\u2019organisme (\xA75.2). " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node304 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node298 + description: "Sinon, l\u2019organisme traite ce risque dans le cadre du \xA7\ + 4.3. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node305 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2.2 + description: "L\u2019organisme conserve des informations document\xE9es comme\ + \ preuves de la gestion des organismes non-agr\xE9\xE9s ou noncertifi\xE9\ + s en interface pr\xE9sentant un risque pour la s\xE9curit\xE9 a\xE9rienne. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5 + ref_id: 4.5.2 + name: "Sous-traitance des activit\xE9s du SMSI" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node307 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.2 + description: "L\u2019organisme identifie les sous-traitants \u0153uvrant pour\ + \ une ou plusieurs activit\xE9s de son SMSI. Il s\u2019agit notamment des\ + \ tiers participant aux activit\xE9s de : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node308 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node307 + description: "gestion des risques (appr\xE9ciation, traitement des risques et\ + \ gestion des incidents ) ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node309 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node307 + description: fonctionnement du SMSI. + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node310 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.2 + description: "Dans le cas o\xF9 l\u2019organisme fait appel \xE0 un sous-traitant\ + \ qualifi\xE9 par l\u2019ANSSI[2] alors ce dernier est consid\xE9r\xE9 comme\ + \ conforme aux exigences des r\xE8glements Part-IS (IS.OR.250) \xE0 condition\ + \ que soient pr\xE9vues : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node311 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node310 + description: "la possibilit\xE9 pour l\u2019autorit\xE9 comp\xE9tente d\u2019\ + avoir acc\xE8s au sous-traitant ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node312 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node310 + description: "la notification \xE0 l\u2019organisme d'\xE9v\xE9nements de s\xE9\ + curit\xE9 de l\u2019information et de vuln\xE9rabilit\xE9 ayant un potentiel\ + \ impact sur la s\xE9curit\xE9 a\xE9rienne conform\xE9ment au \xA74.4.1.2.2. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node313 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.2 + description: "Dans le cas contraire, l\u2019organisme : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node314 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node313 + description: "m\xE8ne une analyse de risque relative \xE0 la contractualisation\ + \ d\u2019une ou plusieurs de ces activit\xE9s bas\xE9e sur une \xE9valuation\ + \ : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node315 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node314 + description: "des comp\xE9tences du sous-traitant ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node316 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node314 + description: "de l'exp\xE9rience du sous-traitant pour la ou les activit\xE9\ + s concern\xE9es ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node317 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node314 + description: "la fiabilit\xE9 \xE9conomique et technique du sous-traitant." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node318 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node313 + description: "\xE9labore un contrat pr\xE9cisant :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node319 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318 + description: "l\u2019organisation de la prestation :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node320 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node319 + description: "les r\xF4les et responsabilit\xE9s entre l\u2019organisme et le\ + \ sous-traitant ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node321 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node319 + description: "un sch\xE9ma de reporting clair entre l\u2019organisme et le sous-traitant\ + \ ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node322 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node319 + description: "la m\xE9thode et les outils de suivi de la prestation. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node323 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318 + description: "le p\xE9rim\xE8tre de la prestation ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node324 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318 + description: "les exigences applicables pour la ou les activit\xE9s du SMSI\ + \ concern\xE9es ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node325 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318 + description: "la gestion des autorisations d'acc\xE8s aux informations de l\u2019\ + organisme ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node326 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318 + description: "les clauses de confidentialit\xE9 ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node327 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318 + description: les actions possibles en cas de non-respect du contrat ; + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node328 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318 + description: "la possibilit\xE9 de mener des contr\xF4les par l\u2019organisme\ + \ ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node329 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318 + description: "la possibilit\xE9 pour l\u2019autorit\xE9 comp\xE9tente d\u2019\ + avoir acc\xE8s au sous-traitant ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node330 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318 + description: "la notification \xE0 l\u2019organisme d'\xE9v\xE9nements de s\xE9\ + curit\xE9 de l\u2019information et de vuln\xE9rabilit\xE9 ayant un potentiel\ + \ impact sur la s\xE9curit\xE9 a\xE9rienne conform\xE9ment au \xA74.4.1.2.2. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node331 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.2 + description: "Enfin, l\u2019organisme : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node332 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node331 + description: "formalise la liste des sous-traitants \u0153uvrant pour une ou\ + \ plusieurs activit\xE9s de son SMSI ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node333 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node331 + description: "conserve des informations document\xE9es comme preuves de la gestion\ + \ des sous-traitants des activit\xE9s du SMSI. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:5 + assessable: false + depth: 1 + ref_id: '5' + name: "Personnels et comp\xE9tences " + - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5 + ref_id: '5.1' + name: "V\xE9rification des ant\xE9c\xE9dents et contr\xF4le de la fiabilit\xE9\ + \ " + - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1 + ref_id: 5.1.1 + name: "V\xE9rification des ant\xE9c\xE9dents pour les personnels de s\xFBret\xE9\ + \ a\xE9rienne" + - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1.1 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1 + ref_id: 5.1.1.1 + name: "Personnel de s\xFBret\xE9 a\xE9rienne" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node338 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1.1 + description: "Sur la base de son analyse de risques, l\u2019organisme identifie\ + \ ou fait identifier par les tiers d\xE9termin\xE9s au \xA74.2.4,les personnes\ + \ :" + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node339 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node338 + description: "ayant des droits d'administrateur ou un acc\xE8s non surveill\xE9\ + \ et illimit\xE9 aux donn\xE9es et syst\xE8mes de technologies de l'information\ + \ et de la communication critiques utilis\xE9s aux fins de la s\xFBret\xE9\ + \ a\xE9rienne, identifi\xE9s au \xA74.2., et/ou ;" + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node340 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node338 + description: "qui ont \xE9t\xE9 identifi\xE9es lors de l'\xE9valuation des risques\ + \ relative \xE0 la s\xFBret\xE9 a\xE9rienne au \xA74.2." + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node341 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1.1 + description: "Il s\u2019agit notamment : " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node342 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node341 + description: "des \xE9quipes manag\xE9riales, \xE0 savoir les personnes organisant,\ + \ pilotant, contr\xF4lant ou participant \xE0 la gestion des risques de s\xE9\ + curit\xE9 de l\u2019information pouvant affecter la s\xFBret\xE9 a\xE9rienne;\ + \ (RSSI, DSI, Auditeur interne, responsable s\xFBret\xE9, etc.) ;" + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node343 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node341 + description: "des \xE9quipes op\xE9rationnelles, \xE0 savoir les personnes d\xE9\ + finissant, planifiant et mettant en \u0153uvre les mesures de s\xE9curit\xE9\ + \ de l\u2019information d\xE9finies au \xA74.3. sur les syst\xE8mes d\u2019\ + information critiques \xE0 la s\xFBret\xE9 identifi\xE9s au \xA74.2 ; " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node344 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node341 + description: "des administrateurs des syst\xE8mes d\u2019information critiques\ + \ \xE0 la s\xFBret\xE9 identifi\xE9s au \xA74.2 " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node345 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node341 + description: "des utilisateurs ayant un acc\xE8s non surveill\xE9 et illimit\xE9\ + \ aux donn\xE9es et syst\xE8mes d\u2019information critiques \xE0 la s\xFB\ + ret\xE9 identifi\xE9s au \xA74.2 ; " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node346 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node341 + description: "Le cas \xE9ch\xE9ant, des personnes et/ou entit\xE9s responsables\ + \ des risques relatifs \xE0 la s\xFBret\xE9 a\xE9rienne identifi\xE9es au\ + \ \xA74.2. " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node347 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1.1 + description: "L\u2019organisme conserve des informations document\xE9es appropri\xE9\ + es comme preuves de l\u2019identification des personnels de s\xFBret\xE9 a\xE9\ + rienne. " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1.2 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1 + ref_id: 5.1.1.2 + name: "V\xE9rification renforc\xE9e des ant\xE9c\xE9dents pour les personnels\ + \ de s\xFBret\xE9 a\xE9rienne " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node349 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1.2 + description: "L\u2019organisme applique ou fait appliquer par les tiers identifi\xE9\ + s au \xA74.2.4., une v\xE9rification renforc\xE9e des ant\xE9c\xE9dents des\ + \ personnels de s\xFBret\xE9 a\xE9rienne identifi\xE9s pr\xE9c\xE9demment.\ + \ Ainsi, il met en \u0153uvre les actions suivantes, ou s\u2019assure de cette\ + \ mise en \u0153uvre par les tiers. L\u2019organisme : " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node350 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node349 + description: "s\u2019assure que ces personnes disposent d\u2019une habilitation\ + \ pr\xE9fectorale pr\xE9vue par l\u2019article L6342-3 du code des transports,\ + \ \xE0 savoir : " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node351 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node350 + description: "qu\u2019ils disposent d\u2019un titre d\u2019acc\xE8s en zone\ + \ de s\xFBret\xE9 \xE0 acc\xE8s r\xE9glement\xE9 valide dont la d\xE9livrance\ + \ n\xE9cessite la d\xE9tention de l\u2019habilitation pr\xE9fectorale susmentionn\xE9\ + e, ou bien ; " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node352 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node350 + description: "qu\u2019ils disposent d\u2019une habilitation sans badge valide. " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node353 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node349 + description: "prend en consid\xE9ration les emplois, \xE9tudes et interruptions[3]\ + \ \xE9ventuelles de ces personnes dans les \xC9tats o\xF9 elles ont r\xE9\ + sid\xE99 au cours des 5 derni\xE8res ann\xE9es ; " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node354 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node349 + description: "renouvelle ces v\xE9rifications \xE0 intervalles r\xE9guliers\ + \ ne d\xE9passant pas 12 mois ; " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node355 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node349 + description: "porte une vigilance particuli\xE8re sur les interruptions6 injustifi\xE9\ + es de ces personnes en leur demandant des explications ou justificatifs et\ + \ trace le fait que cette v\xE9rification a bien \xE9t\xE9 effectu\xE9e. " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node356 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1.2 + description: "L\u2019organisme : " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node357 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node356 + description: "tient \xE0 jour une liste des personnels de s\xFBret\xE9 ayant\ + \ fait l\u2019objet d\u2019une v\xE9rification d\u2019identit\xE9 et d\xE9\ + tenant une habilitation valide ; " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node358 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node356 + description: "formalise sa proc\xE9dure de v\xE9rification des ant\xE9c\xE9\ + dents pour les personnels de s\xFBret\xE9 ; " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node359 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node356 + description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette proc\xE9dure dans\ + \ le programme de s\xFBret\xE9; " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node360 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node356 + description: "conserve des informations document\xE9es appropri\xE9es comme\ + \ preuves de la v\xE9rification des ant\xE9c\xE9dents. " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1 + ref_id: 5.1.2 + name: "Contr\xF4le de la fiabilit\xE9 des personnels de s\xE9curit\xE9 a\xE9\ + rienne" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node362 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.2 + description: "Sur la base de son analyse de risques, l\u2019organisme d\xE9\ + finit sa politique de contr\xF4le de la fiabilit\xE9 des personnes, dans laquelle\ + \ le contr\xF4le auquel est soumis chaque personne est proportionnel \xE0\ + \ l\u2019impact qu\u2019elle pourrait avoir sur la s\xE9curit\xE9 a\xE9rienne\ + \ par compromission de l\u2019int\xE9grit\xE9, de la confidentialit\xE9 ou\ + \ de la disponibilit\xE9 des donn\xE9es. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node363 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.2 + description: 'Cette politique identifie : ' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node364 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node363 + description: "des cat\xE9gories de personnes en fonction du risque pour la s\xE9\ + curit\xE9 a\xE9rienne ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node365 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node363 + description: "des mesures de contr\xF4le de la fiabilit\xE9 qui :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node366 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node365 + description: "\xE9tablissent a minima l\u2019identit\xE9 de la personne au travers\ + \ de la v\xE9rification d\u2019un document d\u2019identit\xE9 ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node367 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node365 + description: "peuvent, selon les cat\xE9gories pr\xE9c\xE9demment identifi\xE9\ + es et leur niveau de risque pour la s\xE9curit\xE9 a\xE9rienne : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node368 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node367 + description: "prendre en consid\xE9ration les emplois, \xE9tudes et interruptions\ + \ \xE9ventuelles de ces personnes dans les \xC9tats o\xF9 elles ont r\xE9\ + sid\xE9 au cours des 5 derni\xE8res ann\xE9es ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node369 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node367 + description: "amener \xE0 r\xE9aliser une v\xE9rification des ant\xE9c\xE9dents\ + \ selon des modalit\xE9s \xE0 pr\xE9ciser, telles que : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node370 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node369 + description: "l\u2019habilitation pr\xE9fectorale vis\xE9es supra ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node371 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node369 + description: "la fourniture de l\u2019extrait de casier judiciaire (bulletin\ + \ num\xE9ro 3) ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node372 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node369 + description: "le dispositif de protection des secrets de D\xE9fense Nationale\ + \ ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node373 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node369 + description: "tout autre dispositif existant et r\xE9pondant aux objectifs de\ + \ v\xE9rification des ant\xE9c\xE9dents. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node374 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.2 + description: "L\u2019organisme : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node375 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node374 + description: "applique ou fait appliquer par les tiers identifi\xE9s au \xA7\ + 4.2.4, sa politique de contr\xF4le de la fiabilit\xE9 des personnes ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node376 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node374 + description: "tient \xE0 jour une liste des personnels de s\xE9curit\xE9 a\xE9\ + rienne ayant fait l\u2019objet d\u2019une v\xE9rification d\u2019identit\xE9\ + \ et d\u2019un contr\xF4le de leur fiabilit\xE9, en pr\xE9cisant duquel il\ + \ s\u2019agit en fonction des risques sur la s\xE9curit\xE9 a\xE9rienne ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node377 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node374 + description: "formalise la politique de contr\xF4le de la fiabilit\xE9 du personnel\ + \ ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node378 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node374 + description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette politique dans :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node379 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node378 + description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\ + \ l\u2019information, ou ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node380 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node378 + description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node381 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node374 + description: "conserve des informations document\xE9es appropri\xE9es comme\ + \ preuves du contr\xF4le de la fiabilit\xE9 du personnel :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node382 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node381 + description: "tant que le personnel concern\xE9 doit faire l'objet d'une v\xE9\ + rification d'ant\xE9c\xE9dent, et ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node383 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node381 + description: "un an apr\xE8s la fin de l\u2019activit\xE9 justifiant le contr\xF4\ + le de la fiabilit\xE9." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1 + ref_id: 5.1.3 + name: 'Cas particuliers ' + - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.3.1 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.3 + ref_id: 5.1.3.1 + name: "Personnels soumis aux exigences de s\xFBret\xE9 et de s\xE9curit\xE9\ + \ " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node386 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.3.1 + description: "Dans le cas o\xF9 une personne est soumise aux exigences de v\xE9\ + rification des ant\xE9c\xE9dents pour la s\xFBret\xE9 et la s\xE9curit\xE9\ + \ a\xE9rienne, alors il doit se soumettre au dispositif le plus exigeant,\ + \ \xE0 savoir celui de la s\xFBret\xE9. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.3.2 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.3 + ref_id: 5.1.3.2 + name: "Personnels \xE0 l\u2019\xE9tranger" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node388 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.3.2 + description: "Dans le cas o\xF9 l\u2019organisme emploie du personnel de nationalit\xE9\ + \ \xE9trang\xE8re ne r\xE9sidant pas en France pour lequel il documente qu\u2019\ + il ne lui est pas l\xE9galement possible de r\xE9aliser une v\xE9rification\ + \ des ant\xE9c\xE9dents, alors l\u2019organisme : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node389 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node388 + description: "\xE9tablit l\u2019identit\xE9 de ces personnes au travers de la\ + \ v\xE9rification d\u2019un document d\u2019identit\xE9 ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node390 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node388 + description: "exige de ces personnes un engagement sign\xE9 de bonne conduite\ + \ lors de la r\xE9alisation de missions pour le compte de l\u2019organisme\ + \ ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node391 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node388 + description: "tient \xE0 jour une liste des personnels \xE9trangers pour lesquels\ + \ la v\xE9rification des ant\xE9c\xE9dents n\u2019a pu \xEAtre r\xE9alis\xE9\ + e. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:5.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5 + ref_id: '5.2' + name: 'Sensibilisation ' + - urn: urn:intuitem:risk:req_node:c3cf-v2:node393 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.2 + description: "L\u2019organisme met en \u0153uvre une campagne de sensibilisation\ + \ ou s\u2019assure de cette mise en \u0153uvre par les tiers identifi\xE9\ + s au \xA74.2.4., notamment il :" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node394 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node393 + description: "pr\xE9cise :" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node395 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node394 + description: "les moyens et ressources mis en \u0153uvre ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node396 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node394 + description: "la fr\xE9quence de renouvellement de la campagne de sensibilisation. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node397 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node393 + description: "s\u2019assure que les personnes identifi\xE9es au \xA75.1.1.1.et\ + \ au travers de l\u2019analyse de risques relatifs \xE0 la s\xE9curit\xE9\ + \ a\xE9rienne (\xA74.2.4) sont sensibilis\xE9es \xE0 la s\xE9curit\xE9 de\ + \ l\u2019information ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node398 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node393 + description: "formalise le suivi de la sensibilisation et la proc\xE9dure associ\xE9\ + e ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node399 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node393 + description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette proc\xE9dure dans\ + \ :" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node400 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node399 + description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\ + \ l\u2019information, ou ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node401 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node399 + description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9, et/ou ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node402 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node399 + description: "le programme de s\xFBret\xE9. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node403 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node393 + description: "conserve des informations document\xE9es appropri\xE9es comme\ + \ preuves suivi de la sensibilisation de son personnel. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:5.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5 + ref_id: '5.3' + name: 'Formation ' + - urn: urn:intuitem:risk:req_node:c3cf-v2:node405 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.3 + description: "L\u2019organisme met en \u0153uvre un programme de formation ou\ + \ s\u2019assure de cette mise en \u0153uvre par les tiers identifi\xE9s au\ + \ \xA74.2.4., notamment il : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node406 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node405 + description: 'identifie les besoins au sein de son entreprise, notamment que + :' + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node407 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node406 + description: " les \xE9quipes manag\xE9riales soient form\xE9es \xE0 la gestion\ + \ de la s\xE9curit\xE9 de l\u2019information en coh\xE9rence avec les t\xE2\ + ches qui leur sont confi\xE9es ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node408 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node406 + description: "les \xE9quipes op\xE9rationnelles soient form\xE9es \xE0 la mise\ + \ en \u0153uvre des mesures de s\xE9curit\xE9 de l\u2019information \xE0 l\u2019\ + \xE9tat de l\u2019art, en coh\xE9rence avec les t\xE2ches qui leur sont confi\xE9\ + es . " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node409 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node405 + description: "pr\xE9cise les moyens et ressources mis en \u0153uvre ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node410 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node405 + description: "formalise le suivi des comp\xE9tences et la proc\xE9dure associ\xE9\ + e ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node411 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node405 + description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette proc\xE9dure dans\ + \ :" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node412 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node411 + description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\ + \ l\u2019information, ou ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node413 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node411 + description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9, et/ou ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node414 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node411 + description: "le programme de s\xFBret\xE9." + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node415 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node405 + description: "conserve des informations document\xE9es appropri\xE9es comme\ + \ preuves de suivi de la formation de son personnel. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:6 + assessable: false + depth: 1 + ref_id: '6' + name: "D\xE9finition et fonctionnement du SMSI " + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6 + ref_id: '6.1' + name: 'Suivi de la gestion des risques ' + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.1.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.1 + ref_id: 6.1.1 + name: 'Organisation du suivi de la gestion des risques ' + - urn: urn:intuitem:risk:req_node:c3cf-v2:node419 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.1.1 + description: "L\u2019organisme d\xE9finit l\u2019organisation du suivi de la\ + \ gestion des risques et en pr\xE9cise : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node420 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node419 + description: 'la structure et le positionnement ; ' + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node421 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node419 + description: "les responsabilit\xE9s des diff\xE9rents participants ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node422 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node419 + description: "l\u2019articulation avec l\u2019organisation d\xE9j\xE0 en place\ + \ pour le suivi de la gestion des risques relatifs \xE0 la s\xFBret\xE9 et/ou\ + \ \xE0 la s\xE9curit\xE9 a\xE9rienne ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node423 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node419 + description: "la p\xE9riodicit\xE9 et/ou les \xE9v\xE9nements significatifs\ + \ activant cette organisation, notamment lorsque : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node424 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node423 + description: "il y a un changement dans les \xE9l\xE9ments expos\xE9s \xE0 des\ + \ risques li\xE9s \xE0 la s\xE9curit\xE9 de l\u2019information ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node425 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node423 + description: "il y a un changement dans les interfaces entre l\u2019organisme\ + \ et d\u2019autres organismes, ou dans les risques communiqu\xE9s par les\ + \ autres organismes ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node426 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node423 + description: "il y a un changement dans les informations ou connaissances utilis\xE9\ + es pour le recensement, l\u2019analyse et la classification des risques ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node427 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node423 + description: "l\u2019analyse des incidents de s\xE9curit\xE9 de l\u2019information\ + \ a permis de tirer des enseignements. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.1.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.1 + ref_id: 6.1.2 + name: Missions du suivi de la gestion des risques + - urn: urn:intuitem:risk:req_node:c3cf-v2:node429 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.1.2 + description: "P\xE9riodiquement et/ou lors des \xE9v\xE9nements significatifs,\ + \ l\u2019organisme : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node430 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node429 + description: "planifie, met en \u0153uvre, contr\xF4le :" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node431 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node430 + description: "les activit\xE9s de gestion des risques : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node432 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node431 + description: "appr\xE9ciation des risques (\xA74.2) ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node433 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node431 + description: "traitement des risques (\xA74.3) ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node434 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node431 + description: "gestion des incidents de s\xE9curit\xE9 de l\u2019information\ + \ (\xA74.4) ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node435 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node431 + description: "gestion des risques induits par les tiers (\xA74.5). " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node436 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node430 + description: "la gestion des personnels et des comp\xE9tences (\xA75) ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node437 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node430 + description: "la mise en \u0153uvre des mesures techniques et organisationnelles\ + \ : " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node438 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node437 + description: 'du plan de traitement des risques ; ' + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node439 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node437 + description: "de d\xE9tection, de r\xE9action et de r\xE9ponse \xE0 un incident\ + \ de s\xE9curit\xE9 ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node440 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node437 + description: "notifi\xE9es par l\u2019autorit\xE9 comp\xE9tente. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node441 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node429 + description: "assure le suivi des \xE9v\xE9nements et incidents de s\xE9curit\xE9\ + \ de l\u2019information. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.1.3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.1 + ref_id: 6.1.3 + name: "R\xE9sultats du suivi de la gestion des risques" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node443 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.1.3 + description: "L\u2019organisme: " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node444 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node443 + description: "produit et tient \xE0 jour des tableaux de bord de suivi :" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node445 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node444 + description: "des activit\xE9s de gestion des risques ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node446 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node444 + description: "des personnels et des comp\xE9tences ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node447 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node444 + description: "d\u2019avancement de mise en \u0153uvre des mesures techniques\ + \ et organisationnelles ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node448 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node444 + description: "des \xE9v\xE9nements et incidents de s\xE9curit\xE9 de l\u2019\ + information." + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node449 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node443 + description: "informe le Dirigeant Responsable et les personnes ou entit\xE9\ + s responsables de risques des conclusions du suivi de la gestion des risques\ + \ ; " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node450 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node443 + description: "formalise la proc\xE9dure relative au suivi de la gestion des\ + \ risques ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node451 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node443 + description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette proc\xE9dure dans\ + \ :" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node452 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node451 + description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\ + \ l\u2019information, ou ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node453 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node451 + description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9, et/ou ;" + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node454 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node451 + description: "le programme de s\xFBret\xE9." + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node455 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node443 + description: "conserve des informations document\xE9es comme preuves du suivi\ + \ de la gestion des risques. " + implementation_groups: + - sec + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6 + ref_id: '6.2' + name: "\xC9valuation du SMSI " + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2 + ref_id: 6.2.1 + name: "\xC9valuation de la conformit\xE9 du SMSI" + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1.1 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1 + ref_id: 6.2.1.1 + name: "Organisation de l\u2019\xE9valuation de la conformit\xE9 du SMSI" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node459 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1.1 + description: "L\u2019organisme d\xE9finit l\u2019organisation en charge de l\u2019\ + \xE9valuation de la conformit\xE9 et en pr\xE9cise : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node460 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node459 + description: 'la structure et le positionnement ; ' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node461 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node459 + description: "les responsabilit\xE9s des diff\xE9rents participants ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node462 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node459 + description: "l\u2019articulation avec l\u2019organisation d\xE9j\xE0 en place\ + \ pour l\u2019\xE9valuation de la conformit\xE9 relative \xE0 la s\xE9curit\xE9\ + \ a\xE9rienne ; - la p\xE9riodicit\xE9 et/ou les \xE9v\xE9nements significatifs\ + \ activant cette organisation. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1.2 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1 + ref_id: 6.2.1.2 + name: "Missions de l\u2019\xE9valuation de la conformit\xE9 du SMSI" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node464 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1.2 + description: "P\xE9riodiquement et/ou lors des \xE9v\xE9nements significatifs\ + \ et en s\u2019appuyant sur les r\xE9sultats : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node465 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node464 + description: 'des audits internes ; ' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node466 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node464 + description: "des audits des autorit\xE9s comp\xE9tentes. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node467 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1.2 + description: "l\u2019organisme : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node468 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node467 + description: "\xE9value la conformit\xE9 et ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node469 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node467 + description: "identifie les \xE9carts de son SMSI par rapport aux dispositions\ + \ du pr\xE9sent document ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node470 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node467 + description: "corrige ces \xE9carts afin de se mettre en conformit\xE9 avec\ + \ les exigences de la Part-IS. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1.3 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1 + ref_id: 6.2.1.3 + name: "R\xE9sultats de l\u2019\xE9valuation de la conformit\xE9 du SMSI" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node472 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1.3 + description: "L\u2019organisme : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node473 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node472 + description: "produit et tient \xE0 jour un tableau de bord de suivi de la conformit\xE9\ + \ et les \xE9ventuels \xE9carts associ\xE9s ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node474 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node472 + description: "informe le Dirigeant Responsable et les personnes ou entit\xE9\ + s responsables des risques des conclusions de l\u2019\xE9valuation de la conformit\xE9\ + \ du SMSI ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node475 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node472 + description: "formalise la proc\xE9dure relative \xE0 l\u2019\xE9valuation de\ + \ la conformit\xE9 du SMSI ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node476 + assessable: false + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node472 + description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette proc\xE9dure dans\ + \ :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node477 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node476 + description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\ + \ l\u2019information, ou ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node478 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node476 + description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node479 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node472 + description: "conserve des informations document\xE9es comme preuves des r\xE9\ + sultats d\u2019\xE9valuation de la conformit\xE9 du SMSI. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2 + ref_id: 6.2.2 + name: "R\xE9ponse aux constatations notifi\xE9es par l\u2019autorit\xE9 comp\xE9\ + tente" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node481 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.2 + description: "L\u2019organisme r\xE9agit aux constatations notifi\xE9es par\ + \ l\u2019autorit\xE9 comp\xE9tente au travers du processus de traitement des\ + \ constatations pr\xE9vus dans le cadre de son certificat/agr\xE9ment. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2 + ref_id: 6.2.3 + name: "\xC9valuation de l\u2019efficacit\xE9 et de la maturit\xE9 du SMSI" + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.1 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3 + ref_id: 6.2.3.1 + name: "Organisation de l\u2019\xE9valuation de l\u2019efficacit\xE9 et de la\ + \ maturit\xE9 du SMSI " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node484 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.1 + description: "L\u2019organisme d\xE9finit l\u2019organisation en charge de l\u2019\ + \xE9valuation de l\u2019efficacit\xE9 et de la maturit\xE9 du SMSI et en pr\xE9\ + cise : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node485 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node484 + description: la structure et le positionnement ; + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node486 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node484 + description: "les responsabilit\xE9s des diff\xE9rents participants ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node487 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node484 + description: "l\u2019articulation avec l\u2019organisation d\xE9j\xE0 en place\ + \ pour l\u2019\xE9valuation du syst\xE8me de gestion de la s\xE9curit\xE9\ + \ a\xE9rienne ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node488 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node484 + description: "la p\xE9riodicit\xE9 et/ou les \xE9v\xE9nements significatifs\ + \ activant cette organisation ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node489 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node484 + description: "les indicateurs d\u2019efficacit\xE9 associ\xE9s aux objectifs\ + \ de s\xE9curit\xE9 d\xE9finis dans la politique de s\xE9curit\xE9 de l\u2019\ + information ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node490 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node484 + description: "le mod\xE8le de maturit\xE9 du SMSI vis\xE9." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.2 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3 + ref_id: 6.2.3.2 + name: "Missions de l\u2019\xE9valuation de l\u2019efficacit\xE9 et de la maturit\xE9\ + \ du SMSI" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node492 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.2 + description: "P\xE9riodiquement et/ou lors des \xE9v\xE9nements significatifs\ + \ et en s\u2019appuyant sur : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node493 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node492 + description: "la politique de s\xE9curit\xE9 de l\u2019information ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node494 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node492 + description: "les \xE9l\xE9ments relatifs \xE0 la gestion des ressources, aux\ + \ r\xF4les et responsabilit\xE9s ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node495 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node492 + description: "les tableaux de bord de suivi des activit\xE9s de gestion des\ + \ risques, des personnels et des comp\xE9tences, et des \xE9v\xE9nements et\ + \ incidents de s\xE9curit\xE9 de l\u2019information ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node496 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node492 + description: "des \xE9ventuels audits techniques et organisationnels ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node497 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node492 + description: "son retour d\u2019exp\xE9rience, aliment\xE9 notamment par la\ + \ gestion des incidents. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node498 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.2 + description: "L\u2019organisme :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node499 + assessable: false + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node498 + description: "\xE9value :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node500 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node499 + description: "l\u2019efficacit\xE9 de son SMSI par rapport aux objectifs de\ + \ s\xE9curit\xE9 d\xE9finis dans la politique de s\xE9curit\xE9 de l\u2019\ + information ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node501 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node499 + description: "la maturit\xE9 de son SMSI par rapport au mod\xE8le de maturit\xE9\ + \ vis\xE9.Lors de ces \xE9valuations, l\u2019organisme porte une attention\ + \ particuli\xE8re aux processus relatifs : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node502 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node501 + description: "\xE0 la gouvernance (\xA73) ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node503 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node501 + description: "aux activit\xE9s de gestion des risques ( \xA74) ainsi que leur\ + \ suivi (\xA76.1) ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node504 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node501 + description: "\xE0 la gestion des personnels et des comp\xE9tences (\xA75) ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node505 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node501 + description: "\xE0 l\u2019\xE9valuation de la conformit\xE9, de l\u2019efficacit\xE9\ + \ et de la maturit\xE9 du SMSI (\xA76.2) ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node506 + assessable: true + depth: 8 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node501 + description: "Au pilotage de l\u2019am\xE9lioration continue (\xA76.3)." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node507 + assessable: false + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node498 + description: 'identifie :' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node508 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node507 + description: "les \xE9carts et/ou les manques par rapport aux objectifs de s\xE9\ + curit\xE9 ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node509 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node507 + description: "les axes d\u2019am\xE9lioration \xE9ventuels afin d\u2019atteindre\ + \ les niveaux de maturit\xE9 du mod\xE8le vis\xE9." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.3 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3 + ref_id: 6.2.3.3 + name: "R\xE9sultats de l\u2019\xE9valuation de l\u2019efficacit\xE9 et de la\ + \ maturit\xE9 du SMSI" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node511 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.3 + description: "L\u2019organisme : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node512 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node511 + description: "produit et tient \xE0 jour des tableaux de bord de suivi de : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node513 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node512 + description: "l\u2019efficacit\xE9 de son SMSI et des \xE9carts associ\xE9s\ + \ ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node514 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node512 + description: "la maturit\xE9 de son SMSI et des \xE9ventuels axes d\u2019am\xE9\ + lioration associ\xE9s. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node515 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node511 + description: "informe le Dirigeant Responsable et les personnes ou entit\xE9\ + s responsables des risques des conclusions de l\u2019\xE9valuation de l\u2019\ + efficacit\xE9 et de la maturit\xE9 du SMSI ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node516 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node511 + description: "formalise la proc\xE9dure relative \xE0 l\u2019\xE9valuation de\ + \ l\u2019efficacit\xE9 et de la maturit\xE9 du SMSI ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node517 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node511 + description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette proc\xE9dure dans\ + \ : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node518 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node517 + description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\ + \ l\u2019information, ou ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node519 + assessable: true + depth: 7 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node517 + description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node520 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node511 + description: "conserve des informations document\xE9es comme preuves des r\xE9\ + sultats de l\u2019\xE9valuation de l\u2019efficacit\xE9 et de la maturit\xE9\ + \ du SMSI. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node521 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.3 + description: "Les mod\xE8les de maturit\xE9 suivants peuvent \xEAtre pris pour\ + \ r\xE9f\xE9rence : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node522 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node521 + description: 'Cybersecurity Capability Maturity Model (C2M2), version 1.1 ' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node523 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node521 + description: "Systems Security Engineering \u2013 Capability Maturity Model\ + \ (SSE-CMM) " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node524 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node521 + description: 'NIST Cybersecurity Framework (NIST CSF), version 1.1 - ATM Cybersecurity + Maturity Model, edition 1 ' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6 + ref_id: '6.3' + name: "Am\xE9lioration continue du SMSI " + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.3.1.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.3 + ref_id: 6.3.1.1 + name: "Organisation du pilotage de l\u2019am\xE9lioration continue du SMSI " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node527 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.3.1.1 + description: "L\u2019organisme d\xE9finit l\u2019organisation du pilotage de\ + \ l\u2019am\xE9lioration continue et en pr\xE9cise : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node528 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node527 + description: 'la structure et le positionnement ; ' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node529 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node527 + description: "les responsabilit\xE9s des diff\xE9rents participants ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node530 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node527 + description: "l\u2019articulation avec l\u2019organisation d\xE9j\xE0 en place\ + \ pour le pilotage de l\u2019am\xE9lioration continue du syst\xE8me de gestion\ + \ de la s\xE9curit\xE9 a\xE9rienne ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node531 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node527 + description: "la p\xE9riodicit\xE9 et/ou les \xE9v\xE9nements significatifs\ + \ activant cette organisation, notamment : o au moins 1 fois entre 2 audits\ + \ de l\u2019autorit\xE9, et/ou ; o les \xE9v\xE9nements significatifs d\xE9\ + clenchant la revue de direction (incident, changement de contexte etc.). " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.3.1.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.3 + ref_id: 6.3.1.2 + name: "Missions du pilotage de l\u2019am\xE9lioration continue du SMSI " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node533 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.3.1.2 + description: "P\xE9riodiquement et/ou lors des \xE9v\xE9nements significatifs\ + \ et sur la base : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node534 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node533 + description: "des changements de contexte de l\u2019organisme, notamment :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node535 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node534 + description: "l\u2019\xE9volution de la menace ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node536 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node534 + description: "un changement dans l\u2019organisation." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node537 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node533 + description: 'des tableaux de bord de suivi :' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node538 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node537 + description: "de la conformit\xE9 du SMSI et des \xE9carts associ\xE9s ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node539 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node537 + description: "de l\u2019efficacit\xE9 du SMSI et des \xE9carts associ\xE9s ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node540 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node537 + description: "de la maturit\xE9 du SMSI et des \xE9ventuels axes d\u2019am\xE9\ + lioration associ\xE9s ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node541 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node537 + description: "des non-conformit\xE9s notifi\xE9es par l\u2019autorit\xE9 et\ + \ des actions correctives associ\xE9es ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node542 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node537 + description: "des actions issues du pilotage de l\u2019am\xE9lioration continue." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node543 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.3.1.2 + description: "L\u2019organisme : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node544 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node543 + description: 'identifie :' + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node545 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node544 + description: "les modifications \xE0 apporter au SMSI : organisation, processus,\ + \ etc. ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node546 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node544 + description: "les actions correctives et pr\xE9ventives \xE0 mettre en \u0153\ + uvre ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node547 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node544 + description: "des opportunit\xE9s d\u2019am\xE9lioration continue." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node548 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node543 + description: "d\xE9cide de les mettre en \u0153uvre ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node549 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node543 + description: "pr\xE9cise les d\xE9lais de mises en \u0153uvre. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.3.1.3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.3 + ref_id: 6.3.1.3 + name: "Conclusions du pilotage de l\u2019am\xE9lioration continue du SMSI " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node551 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.3.1.3 + description: "L\u2019organisme : " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node552 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node551 + description: "produit et tient \xE0 jour un tableau de bord de suivi des actions\ + \ issues du pilotage de l\u2019am\xE9lioration continue ; " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node553 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node551 + description: "formalise la proc\xE9dure relative \xE0 l\u2019am\xE9lioration\ + \ continue ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node554 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node551 + description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette proc\xE9dure dans\ + \ :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node555 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node554 + description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\ + \ l\u2019information, ou ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node556 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node554 + description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node557 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node551 + description: "conserve des informations document\xE9es comme preuves du pilotage\ + \ de l\u2019am\xE9lioration continue. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:6.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6 + ref_id: '6.4' + name: "Modification du syst\xE8me de management de la s\xE9curit\xE9 de l\u2019\ + information " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node559 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.4 + description: 'A paraitre dans la prochaine version du 3CFv2 ' + - urn: urn:intuitem:risk:req_node:c3cf-v2:7 + assessable: false + depth: 1 + ref_id: '7' + name: 'Documentation ' + - urn: urn:intuitem:risk:req_node:c3cf-v2:7.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7 + ref_id: '7.1' + name: 'Gestion documentaire ' + - urn: urn:intuitem:risk:req_node:c3cf-v2:node562 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.1 + description: 'A paraitre dans la prochaine version du 3CFv2 ' + - urn: urn:intuitem:risk:req_node:c3cf-v2:7.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7 + ref_id: '7.2' + name: "Manuel du syst\xE8me de gestion de la s\xE9curit\xE9 de l\u2019information " + - urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2 + ref_id: 7.2.1 + name: 'Gestion du manuel SMSI ' + - urn: urn:intuitem:risk:req_node:c3cf-v2:node565 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.1 + description: 'A paraitre dans la prochaine version du 3CFv2 ' + - urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2 + ref_id: 7.2.2 + name: "\xC9l\xE9ments du manuel" + - urn: urn:intuitem:risk:req_node:c3cf-v2:node567 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "L\u2019organisme int\xE8gre ou fait r\xE9f\xE9rence aux \xE9l\xE9\ + ments suivants dans :" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node568 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node567 + description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\ + \ l\u2019information, ou ;" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node569 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node567 + description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9." + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node570 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La lettre d\u2019engagement du Dirigeant Responsable " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node571 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La politique de s\xE9curit\xE9 de l\u2019information " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node572 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "le(s) titre(s), le(s) nom(s), les missions, les obligations de\ + \ rendre compte, les responsabilit\xE9s et les pouvoirs des personnes vis\xE9\ + es au 3.3. " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node573 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "un organigramme montrant les rapports hi\xE9rarchiques en mati\xE8\ + re d\u2019obligation de rendre compte et de responsabilit\xE9 entre les personnes\ + \ vis\xE9es aux 3.3 " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node574 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "une description g\xE9n\xE9rale des ressources humaines, en termes\ + \ d\u2019effectifs et de cat\xE9gories, et du syst\xE8me qui est en place\ + \ pour planifier la mise \xE0 disposition du personnel " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node575 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La description du sch\xE9ma de notification interne " + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node576 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La proc\xE9dure de gestion des incidents de s\xE9curit\xE9 de\ + \ l\u2019information / Mis \xE0 disposition" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node577 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La proc\xE9dure de notification \xE0 l\u2019autorit\xE9 (\xE0\ + \ venir) / Mis \xE0 disposition" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node578 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La proc\xE9dure de gestion des organismes en interface / Mis \xE0\ + \ disposition" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node579 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La proc\xE9dure de gestion des sous-traitants r\xE9alisant des\ + \ activit\xE9s du SMSI / Mis \xE0 disposition" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node580 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La politique de contr\xF4le de fiabilit\xE9 du personnel / Mis\ + \ \xE0 disposition" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node581 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La proc\xE9dure de suivi de la sensibilisation / Mis \xE0 disposition" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node582 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La proc\xE9dure de suivi de la formation / Mis \xE0 disposition" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node583 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La proc\xE9dure d\u2019\xE9valuation de la conformit\xE9 du SMSI\ + \ / Mis \xE0 disposition" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node584 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La proc\xE9dure d\u2019\xE9valuation de l\u2019efficacit\xE9 et\ + \ de la maturit\xE9 du SMSI / Mis \xE0 disposition" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node585 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La proc\xE9dure d\u2019am\xE9lioration continue / Mis \xE0 disposition" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node586 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La proc\xE9dure de gestion des changements du SMSI (\xE0 venir)\ + \ / Approuv\xE9" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node587 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La proc\xE9dure de gestion documentaire / Mis \xE0 disposition" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:node588 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2 + description: "La proc\xE9dure de modification du manuel SMSI (\xE0 venir) /\ + \ Mis \xE0 disposition" + implementation_groups: + - sec + - urn: urn:intuitem:risk:req_node:c3cf-v2:7.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7 + ref_id: '7.3' + name: "Programme de s\xFBret\xE9 " + - urn: urn:intuitem:risk:req_node:c3cf-v2:node590 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.3 + description: "L\u2019organisme int\xE8gre ou fait r\xE9f\xE9rence dans son programme\ + \ de s\xFBret\xE9 aux \xE9l\xE9ments suivants : " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node591 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590 + description: "La liste des risques au regard de la s\xFBret\xE9 " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node592 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590 + description: "La liste des syst\xE8mes d\u2019information critiques \xE0 la\ + \ s\xFBret\xE9 " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node593 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590 + description: 'Le plan de traitement des risques ' + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node594 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590 + description: "La liste des organismes en interface pr\xE9sentant un risque pour\ + \ la s\xFBret\xE9 " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node595 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590 + description: "La liste des mesures techniques et organisationnelles visant \xE0\ + \ d\xE9tecter, r\xE9agir et se r\xE9tablir \xE0 la suite d\u2019un incident\ + \ de s\xE9curit\xE9 de l\u2019information " + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node596 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590 + description: "La proc\xE9dure de gestion des risques (appr\xE9ciation, traitement\ + \ et suivi des risques)" + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node597 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590 + description: "La proc\xE9dure de gestion des organismes en interface" + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node598 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590 + description: "La proc\xE9dure de v\xE9rification des ant\xE9c\xE9dents" + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node599 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590 + description: "La proc\xE9dure de suivi de la sensibilisation" + implementation_groups: + - sur + - urn: urn:intuitem:risk:req_node:c3cf-v2:node600 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590 + description: "La proc\xE9dure de suivi de la formation " + implementation_groups: + - sur diff --git a/backend/library/libraries/matrice-des-risques-critiques-3x3.yaml b/backend/library/libraries/matrice-des-risques-critiques-3x3.yaml new file mode 100644 index 000000000..64d7b0323 --- /dev/null +++ b/backend/library/libraries/matrice-des-risques-critiques-3x3.yaml @@ -0,0 +1,57 @@ +urn: urn:protocolpaladin:risk:library:matrice-des-risques-critiques-3x3 +locale: fr +ref_id: matrice-des-risques-critiques-3x3 +name: Matrice des risques critiques 3x3 +description: Matrice des risques critiques 3x3 +version: 1 +provider: intuitem +packager: protocolpaladin +objects: + risk_matrix: + - urn: urn:protocolpaladin:risk:matrix:matrice-des-risques-critiques-3x3 + ref_id: matrice-des-risques-critiques-3x3 + name: Matrice des risques critiques 3x3 + description: Matrice des risques critiques 3x3 + probability: + - abbreviation: F + name: Faible + description: Événement peu fréquent + - abbreviation: M + name: Moyen + description: Événement occasionnel + - abbreviation: E + name: Élevé + description: Événement fréquent + impact: + - abbreviation: F + name: Faible + description: Impact faible + - abbreviation: M + name: Moyen + description: Impact moyen + - abbreviation: E + name: Élevé + description: Impact élevé + risk: + - abbreviation: F + name: Faible + description: Risque acceptable + hexcolor: "#00FF00" + - abbreviation: M + name: Moyen + description: Risque nécessitant une atténuation dans les 2 ans + hexcolor: "#FFFF00" + - abbreviation: E + name: Élevé + description: Risque inacceptable + hexcolor: "#FF0000" + grid: + - - 0 + - 1 + - 1 + - - 1 + - 1 + - 2 + - - 1 + - 2 + - 2 diff --git a/backend/library/libraries/matrice-des-risques-critiques-5x5.yaml b/backend/library/libraries/matrice-des-risques-critiques-5x5.yaml new file mode 100644 index 000000000..61aa35815 --- /dev/null +++ b/backend/library/libraries/matrice-des-risques-critiques-5x5.yaml @@ -0,0 +1,93 @@ +urn: urn:protocolpaladin:risk:library:matrice-des-risques-critiques-5x5 +locale: fr +ref_id: matrice-des-risques-critiques-5x5 +name: Matrice des risques critiques 5x5 +description: Matrice des risques critiques 5x5 +version: 1 +provider: intuitem +packager: protocolpaladin +objects: + risk_matrix: + - urn: urn:protocolpaladin:risk:matrix:matrice-des-risques-critiques-5x5 + ref_id: matrice-des-risques-critiques-5x5 + name: Matrice des risques critiques 5x5 + description: Matrice des risques critiques 5x5 + probability: + - abbreviation: TF + name: Très faible + description: Événement très peu fréquent + - abbreviation: F + name: Faible + description: Événement peu fréquent + - abbreviation: M + name: Moyen + description: Événement occasionnel + - abbreviation: E + name: Élevé + description: Événement fréquent + - abbreviation: TE + name: Très élevé + description: Événement très fréquent + impact: + - abbreviation: TF + name: Très faible + description: Impact très faible + - abbreviation: F + name: Faible + description: Impact faible + - abbreviation: M + name: Moyen + description: Impact moyen + - abbreviation: E + name: Élevé + description: Impact élevé + - abbreviation: TE + name: Très élevé + description: Impact très élevé + risk: + - abbreviation: TF + name: Très faible + description: Risque négligeable + hexcolor: "#BBF7D0" + - abbreviation: F + name: Faible + description: Risque acceptable + hexcolor: "#BEF264" + - abbreviation: M + name: Moyen + description: Risque nécessitant une atténuation dans les 2 ans + hexcolor: "#FEF08A" + - abbreviation: E + name: Élevé + description: Risque nécessitant une atténuation dans les 6 mois + hexcolor: "#FBBF24" + - abbreviation: TE + name: Très élevé + description: Risque inacceptable + hexcolor: "#F87171" + grid: + - - 0 + - 0 + - 1 + - 1 + - 2 + - - 0 + - 1 + - 1 + - 2 + - 2 + - - 1 + - 1 + - 2 + - 2 + - 3 + - - 1 + - 2 + - 2 + - 3 + - 4 + - - 2 + - 2 + - 3 + - 4 + - 4 diff --git a/backend/library/libraries/pgssi-s-1.0.yaml b/backend/library/libraries/pgssi-s-1.0.yaml new file mode 100644 index 000000000..1dea53c7d --- /dev/null +++ b/backend/library/libraries/pgssi-s-1.0.yaml @@ -0,0 +1,4774 @@ +urn: urn:ackwa:risk:library:pgssi-s-1.0 +locale: fr +ref_id: pgssi-s-1.0 +name: PGSSI-S v1.0 +description: PGSSI-S - Canevas de PSSI +copyright: "Agence du Num\xE9rique en Sant\xE9" +version: 1 +provider: ANS +packager: Ackwa.fr +objects: + framework: + urn: urn:ackwa:risk:framework:pgssi-s-1.0 + ref_id: pgssi-s-1.0 + name: PGSSI-S v1.0 + description: PGSSI-S - Canevas de PSSI + requirement_nodes: + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1 + assessable: false + depth: 1 + ref_id: '1' + name: "R\xE9pondre aux obligations l\xE9gales" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1 + ref_id: '1.1' + name: "Respecter les principes de la protection des donn\xE9es \xE0 caract\xE8\ + re personnel" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1 + ref_id: 1.1.1 + name: "Les proc\xE9dures pr\xE9alables devant la CNIL (d\xE9claration ou autorisation\ + \ des traitements de donn\xE9es \xE0 caract\xE8re personnel)" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.1 + ref_id: 1.1.1.1 + description: "La mise en \u0153uvre de toute nouvelle fonctionnalit\xE9 (i.e.\ + \ nouvelle application, nouvelle fonctionnalit\xE9 d\u2019une application\ + \ existante\u2026) doit \xEAtre analys\xE9e pour d\xE9terminer si elle n\xE9\ + cessite une modification de la d\xE9claration ou de la demande d\u2019autorisation\ + \ de la structure.\n\nLe cas \xE9ch\xE9ant, la d\xE9claration ou la demande\ + \ d\u2019autorisation de la structure doit \xEAtre mise \xE0 jour pour int\xE9\ + grer cette \xE9volution des traitements de donn\xE9es \xE0 caract\xE8re personnel\ + \ mise en \u0153uvre par la structure." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.1 + ref_id: 1.1.1.2 + description: "La d\xE9claration ou la demande d\u2019autorisation de la structure\ + \ doit \xEAtre r\xE9guli\xE8rement revue pour v\xE9rifier qu\u2019elle d\xE9\ + crit correctement les traitements de donn\xE9es \xE0 caract\xE8re personnel\ + \ mis en \u0153uvre au sein de la structure.\n\nLe cas \xE9ch\xE9ant, la d\xE9\ + claration ou la demande d\u2019autorisation doit \xEAtre mise \xE0 jour pour\ + \ refl\xE9ter l\u2019ensemble des traitements de donn\xE9es \xE0 caract\xE8\ + re personnel.\n\nLors de la premi\xE8re mise en \u0153uvre de la PSSI, la\ + \ r\xE8gle 1.1.1.2 doit \xEAtre mise en application imm\xE9diatement afin\ + \ de s\u2019assurer que l\u2019ensemble des traitements existants a fait l\u2019\ + objet des formalit\xE9s pr\xE9alables adapt\xE9es aux caract\xE9ristiques\ + \ du traitement." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1 + ref_id: 1.1.2 + name: "Sensibiliser le personnel aux enjeux concernant les donn\xE9es \xE0 caract\xE8\ + re personnel" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.2 + ref_id: 1.1.2.1 + description: "Toute personne amen\xE9e \xE0 avoir acc\xE8s \xE0 des donn\xE9\ + es \xE0 caract\xE8re personnel doit \xEAtre sensibilis\xE9e \xE0 la protection\ + \ de ces donn\xE9es et en particulier \xE0 leur confidentialit\xE9. \n\nCette\ + \ sensibilisation doit intervenir dans les 6 mois de la prise de fonction\ + \ de la personne et peut \xEAtre rafraichie r\xE9guli\xE8rement par des \xAB\ + \ piqures de rappel \xBB.\n\nCette sensibilisation peut prendre la forme d\u2019\ + une courte session de sensibilisation, de la diffusion d\u2019une documentation\ + \ didactique, de la diffusion d\u2019une note de service rappelant les enjeux\ + \ de la protection des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel\ + \ et/ou \xEAtre int\xE9gr\xE9e dans la description des proc\xE9dures d\u2019\ + achat de prestations de service.\n\nLa PSSI doit indiquer la/les forme(s)\ + \ que prend cette sensibilisation en compl\xE9tant la r\xE8gle 1.1.2.1." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.2 + ref_id: 1.1.2.2 + description: "L\u2019ensemble du personnel doit \xEAtre inform\xE9 de la collecte\ + \ de traces, par le SI, de tout acc\xE8s \xE0 des donn\xE9es \xE0 caract\xE8\ + re personnel et de la possible mise en \u0153uvre de contr\xF4les a posteriori\ + \ sur les acc\xE8s trac\xE9s et sur leur bien fond\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.2 + ref_id: 1.1.2.3 + description: "Toute personne en charge de l\u2019achat des applications, de\ + \ la d\xE9finition du param\xE9trage des applications et/ou de la d\xE9finition\ + \ des sp\xE9cifications fonctionnelles des applications doit \xEAtre sensibilis\xE9\ + e aux notions de pertinence et de proportionnalit\xE9 des donn\xE9es pour\ + \ qu\u2019elle pense \xE0 limiter les donn\xE9es collect\xE9es aux donn\xE9\ + es strictement n\xE9cessaires aux traitements mis en \u0153uvre.\n\nCette\ + \ sensibilisation doit intervenir dans les 6 mois de la prise de fonction\ + \ de la personne et peut \xEAtre rafraichie r\xE9guli\xE8rement par des \xAB\ + \ piqures de rappel \xBB.\n\nCette sensibilisation peut prendre la forme d\u2019\ + une courte session de sensibilisation, de la diffusion d\u2019une documentation\ + \ didactique, de la diffusion d\u2019une note de service rappelant les enjeux\ + \ de la protection des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel\ + \ et/ou \xEAtre int\xE9gr\xE9e dans la description des proc\xE9dures d\u2019\ + achat, de param\xE9trage et de sp\xE9cification fonctionnelle des applications.\n\ + \nLa PSSI doit indiquer la/les forme(s) que prend cette sensibilisation en\ + \ compl\xE9tant la r\xE8gle 1.1.2.2." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1 + ref_id: 1.1.3 + name: Respecter les droits des personnes + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3 + ref_id: 1.1.3.1 + description: "Des proc\xE9dures doivent \xEAtre mises en \u0153uvre pour permettre,\ + \ pour les donn\xE9es \xE0 caract\xE8re personnel trait\xE9es par la structure\ + \ :\n\n- l\u2019opposition d\u2019une personne \xE0 la collecte de donn\xE9\ + es \xE0 caract\xE8re personnel la concernant ;\n- l\u2019acc\xE8s d\u2019\ + une personne aux donn\xE9es \xE0 caract\xE8re personnel la concernant ;\n\ + - la rectification par une personne des donn\xE9es \xE0 caract\xE8re personnel\ + \ la concernant." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3 + ref_id: 1.1.3.2 + description: "Tout personnel amen\xE9 \xE0 \xEAtre en contact avec des personnes\ + \ dont des donn\xE9es \xE0 caract\xE8re personnel sont trait\xE9es par la\ + \ structure doit \xEAtre inform\xE9 des proc\xE9dures mentionn\xE9es dans\ + \ la r\xE8gle 1.1.3.1." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3 + ref_id: 1.1.3.3 + description: "Des \xE9l\xE9ments d\u2019information \xE0 destination des personnes\ + \ concern\xE9es sur leurs droits d\u2019opposition, d\u2019acc\xE8s et de\ + \ rectification et la mani\xE8re d\u2019exercer ces droits doivent \xEAtre\ + \ r\xE9dig\xE9s et maintenus \xE0 jour." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3 + ref_id: 1.1.3.4 + description: "Les proc\xE9dures internes impliquant la collecte et le traitement\ + \ de donn\xE9es \xE0 caract\xE8re personnel doivent pr\xE9voir une \xE9tape\ + \ d\u2019information des personnes concern\xE9es bas\xE9e sur les \xE9l\xE9\ + ments d\u2019information mentionn\xE9s dans la r\xE8gle 1.1.3.3.\n\nL\u2019\ + information peut \xEAtre r\xE9alis\xE9e oralement, par la diffusion d\u2019\ + une documentation dans laquelle le sujet est abord\xE9 (ex. livret d\u2019\ + accueil usager) et/ou par indication de la pr\xE9sence d\u2019\xE9l\xE9ments\ + \ explicatifs sur le site web de la structure.\n\nLa PSSI doit indiquer la/les\ + \ formes(s) que prend cette information en compl\xE9tant la r\xE8gle 1.1.3.4." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1 + ref_id: '1.2' + name: "Respecter les r\xE8gles d\u2019\xE9change et de partage de donn\xE9es\ + \ de sant\xE9 \xE0 caract\xE8re personnel" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2 + ref_id: 1.2.1 + name: "Informer l\u2019usager et recueillir son consentement" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.1 + ref_id: 1.2.1.1 + description: "Des \xE9l\xE9ments d\u2019information \xE0 destination des usagers\ + \ sur les conditions de partage et d\u2019\xE9change de leurs donn\xE9es de\ + \ sant\xE9 \xE0 caract\xE8re personnel dans le cadre de leur prise en charge\ + \ doivent \xEAtre r\xE9dig\xE9s et maintenus \xE0 jour." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.1 + ref_id: 1.2.1.2 + description: "La proc\xE9dure de prise en charge des usagers doit \xEAtre formalis\xE9\ + e et document\xE9e et int\xE9grer une \xE9tape d\u2019information de l\u2019\ + usager fond\xE9e sur les \xE9l\xE9ments d\u2019information des r\xE8gles 1.2.1.1\ + \ et 1.1.3.3 ainsi qu\u2019une \xE9tape de recueil du consentement de l\u2019\ + usager quel qu\u2019en soit le moyen (\xE9crit ou d\xE9mat\xE9rialis\xE9).\n\ + \nL\u2019information peut \xEAtre r\xE9alis\xE9e oralement ou par la diffusion\ + \ d\u2019une documentation dans laquelle le sujet est abord\xE9. Elle peut\ + \ \xE9ventuellement \xEAtre compl\xE9t\xE9e par des affiches d\u2019information\ + \ dans les locaux.\n\nEn particulier, pour les \xE9tablissements de sant\xE9\ + , ces \xE9l\xE9ments doivent figurer dans le livret d\u2019accueil tel que\ + \ d\xE9crit dans l\u2019article R1112-9 du code de la sant\xE9 publique.\n\ + \nLa PSSI doit indiquer la/les forme(s) que prend cette sensibilisation en\ + \ compl\xE9tant la r\xE8gle 1.2.1.2." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2 + ref_id: 1.2.2 + name: "Limiter l\u2019acc\xE8s aux donn\xE9es de sant\xE9 \xE0 caract\xE8re\ + \ personnel aux personnes participant \xE0 la prise en charge" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.2 + ref_id: 1.2.2.1 + description: "Les personnels participant \xE0 la prise en charge sanitaire des\ + \ usagers doivent \xEAtre form\xE9s aux conditions de partage et d\u2019\xE9\ + change des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel en particulier\ + \ avec l\u2019ext\xE9rieur.\n\nCette formation peut prendre la forme d\u2019\ + une courte session de formation et/ou de la diffusion d\u2019une documentation\ + \ didactique d\u2019auto-formation, bas\xE9es sur les \xE9l\xE9ments d\u2019\ + information d\xE9finis pour ce sujet.\n\nLa PSSI doit indiquer la forme que\ + \ prend cette formation en compl\xE9tant la r\xE8gle 1.2.3.1." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.2 + ref_id: 1.2.2.2 + description: "Une liste de professionnels de sant\xE9 d\xFBment habilit\xE9\ + s \xE0 intervenir de fa\xE7on exceptionnelle sur des donn\xE9es de sant\xE9\ + \ \xE0 caract\xE8re personnel en dehors de la prise en charge sanitaire de\ + \ l\u2019usager (par exemple dans le cadre de la r\xE9solution d\u2019incident)\ + \ doit \xEAtre \xE9labor\xE9e et maintenue \xE0 jour." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1 + ref_id: '1.3' + name: "R\xE9pondre aux obligations de conservation et de restitution des donn\xE9\ + es" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3 + ref_id: 1.3.1 + name: "Fixer une dur\xE9e de conservation des donn\xE9es \xE0 caract\xE8re personnel" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.1 + ref_id: 1.3.1.1 + description: "Pour chaque type de donn\xE9e \xE0 caract\xE8re personnel trait\xE9\ + e, une dur\xE9e de conservation doit \xEAtre clairement \xE9tablie, document\xE9\ + e dans une annexe de la PSSI (annexe 6) et indiqu\xE9e dans les d\xE9clarations\ + \ CNIL correspondantes (cf. exigence T1-1.1)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.1 + ref_id: 1.3.1.2 + description: "Les r\xE8gles et proc\xE9dures de gestion et d\u2019archivage\ + \ des donn\xE9es doivent tenir compte de la dur\xE9e de conservation des donn\xE9\ + es \xE0 caract\xE8re personnel." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3 + ref_id: 1.3.2 + name: "Respecter les r\xE8gles relatives \xE0 l\u2019h\xE9bergement de donn\xE9\ + es de sant\xE9 \xE0 caract\xE8re personnel" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.2 + ref_id: 1.3.2.1 + description: "Tout transfert de donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel\ + \ \xE0 un organisme tiers est soumis \xE0 une contractualisation pr\xE9alable\ + \ avec ce tiers pour l\u2019h\xE9bergement de ces donn\xE9es. Cat\xE9gorie\ + \ de personne " + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.2 + ref_id: 1.3.2.2 + description: "Toute contractualisation avec un tiers pour l\u2019h\xE9bergement\ + \ de donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel requiert que ce tiers\ + \ d\xE9tienne un agr\xE9ment reconnu par l\u2019Etat Fran\xE7ais en tant qu'h\xE9\ + bergeur de donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel, valide \xE0\ + \ la date de signature du contrat. Le tiers doit transmettre toute r\xE9f\xE9\ + rence utile permettant la v\xE9rification de la validit\xE9 et de la date\ + \ d\u2019expiration de cet agr\xE9ment. Le contrat doit int\xE9grer des dispositions\ + \ \xE0 activer en cas de non renouvellement de l\u2019agr\xE9ment pendant\ + \ la dur\xE9e du contrat" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.4 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1 + ref_id: '1.4' + name: "Veille r\xE9glementaire" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.4.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.4 + ref_id: 1.4.1 + name: "Assurer une veille r\xE9glementaire des dispositions applicables \xE0\ + \ la structure en mati\xE8re de SSI" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.4.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.4.1 + ref_id: 1.4.1.1 + description: "Une veille r\xE8glementaire doit \xEAtre r\xE9alis\xE9e avec une\ + \ fr\xE9quence mensuelle au minimum. Elle concerne les th\xE9matiques relatives\ + \ \xE0 la s\xE9curit\xE9 des syst\xE8mes d\u2019information de sant\xE9, qui\ + \ couvre au moins : o La s\xE9curit\xE9 des syst\xE8mes d\u2019information\ + \ ;\n\n- Le traitement des donn\xE9es \xE0 caract\xE8re personnel ;\n- Les\ + \ conditions d\u2019\xE9changes et de partage de donn\xE9es de sant\xE9 \xE0\ + \ caract\xE8re personnel ;\n- Les conditions de conservation des donn\xE9\ + es de sant\xE9 \xE0 caract\xE8re personnel ; \n\nLes r\xE9f\xE9rentiels de\ + \ s\xE9curit\xE9 des SI applicables aux secteurs sanitaire et m\xE9dico-social\ + \ en particulier ceux vis\xE9s par l\u2019article R. 1110-1 du code de la\ + \ sant\xE9 publique issu du d\xE9cret no 2007-960 du 15 mai 2007.\n\nCette\ + \ veille peut \xEAtre r\xE9alis\xE9e par des ressources internes \xE0 la structure\ + \ ou par l\u2019interm\xE9diaire d\u2019une f\xE9d\xE9ration \xE0 laquelle\ + \ est rattach\xE9e la structure, aupr\xE8s de laquelle se tiennent r\xE9guli\xE8\ + rement inform\xE9es les personnes concern\xE9es de la structure. La PSSI doit\ + \ indiquer la forme que prend cette veille en compl\xE9tant la r\xE8gle 1.4.1.1." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2 + assessable: false + depth: 1 + ref_id: '2' + name: "Promouvoir et organiser la s\xE9curit\xE9" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2 + ref_id: '2.1' + name: "D\xE9finir une organisation pour la mise en \u0153uvre de la SSI au sein\ + \ de la structure" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1 + ref_id: 2.1.1 + name: "Identifier les acteurs de la politique de s\xE9curit\xE9 de la structure\ + \ et leurs activit\xE9s" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1 + ref_id: 2.1.1.1 + description: "Un r\xE9f\xE9rent SSI doit \xEAtre d\xE9sign\xE9. Le r\xE9f\xE9\ + rent SSI est responsable de l\u2019\xE9laboration de la PSSI, de l\u2019organisation\ + \ de sa mise en \u0153uvre via le Plan d\u2019action SSI et du suivi de son\ + \ application. \n\nLa fonction de r\xE9f\xE9rent SSI n\u2019est pas exclusive,\ + \ elle peut \xEAtre combin\xE9e avec d\u2019autres fonctions, notamment des\ + \ fonctions sans rapport avec la s\xE9curit\xE9 des syst\xE8mes d\u2019information\ + \ si les ressources humaines disponibles n\xE9cessitent un cumul de fonction.\ + \ \n\nEn particulier, elle peut \xEAtre combin\xE9e avec la fonction de CIL\ + \ si la structure dispose de ce type de fonction et/ou avec la fonction de\ + \ r\xE9f\xE9rent incident SSI identifi\xE9e dans la r\xE8gle 2.1.1.7. \n\n\ + Le nom du r\xE9f\xE9rent s\xE9curit\xE9 doit \xEAtre indiqu\xE9 dans le tableau\ + \ de l\u2019annexe 1. Il est souhaitable que cette fonction soit assum\xE9\ + e par un employ\xE9 de la structure et non par un prestataire. \n\nLa personne\ + \ qui assume le r\xF4le de r\xE9f\xE9rent SSI doit \xEAtre form\xE9e \xE0\ + \ la s\xE9curit\xE9 des syst\xE8mes d\u2019information. Au minimum, elle doit\ + \ suivre le module d\u2019autoformation \xAB Principes essentiels de la s\xE9\ + curit\xE9 informatique \xBB et effectuer le test associ\xE9, propos\xE9s sur\ + \ le site d\xE9di\xE9 de l\u2019Agence Nationale de la S\xE9curit\xE9 des\ + \ Syst\xE8mes d\u2019Information, www.securite-informatique.gouv.fr" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1 + ref_id: 2.1.1.2 + description: "Le r\xE9f\xE9rent SSI doit piloter la r\xE9daction et maintenir\ + \ \xE0 jour la PSSI de la structure. En particulier, il doit int\xE9grer les\ + \ nouvelles mesures de s\xE9curit\xE9 \xE9ventuelles valid\xE9es dans le cadre\ + \ de la r\xE8gle 2.1.2.2" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1 + ref_id: 2.1.1.3 + description: "Le r\xE9f\xE9rent SSI doit coordonner l\u2019\xE9laboration des\ + \ Plan d\u2019action SSI successifs de la structure selon les principes d\xE9\ + crits dans le guide d\u2019\xE9laboration et de mise en \u0153uvre d\u2019\ + une PSSI [R\xE9f. n\xB09]. En particulier, il doit int\xE9grer les \xE9ventuelles\ + \ nouvelles mesures de s\xE9curit\xE9 valid\xE9es dans le cadre de la r\xE8\ + gle 2.1.2.2 et identifi\xE9es comme devant \xEAtre mises en \u0153uvre dans\ + \ le Plan d\u2019action SSI courant." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1 + ref_id: 2.1.1.4 + description: "Le r\xE9f\xE9rent SSI doit suivre la mise en \u0153uvre des Plan\ + \ d\u2019action SSI successifs et en pr\xE9senter l\u2019avancement lors des\ + \ r\xE9unions identifi\xE9es dans le th\xE8me T2-1.2." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1 + ref_id: 2.1.1.5 + description: "Le r\xE9f\xE9rent SSI doit r\xE9guli\xE8rement contr\xF4ler que\ + \ les r\xE8gles mises en \u0153uvre dans le cadre des Plan d\u2019action SSI\ + \ successifs sont toujours respect\xE9es." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1 + ref_id: 2.1.1.6 + description: "Le r\xE9f\xE9rent SSI doit piloter les actions de sensibilisation\ + \ et de formation \xE0 la s\xE9curit\xE9 d\xE9crites dans le th\xE8me T2-2" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1 + ref_id: 2.1.1.7 + description: "Un r\xE9f\xE9rent incident SSI doit \xEAtre d\xE9sign\xE9. Le\ + \ r\xE9f\xE9rent incident SSI est responsable de la gestion des incidents\ + \ qui mettent \xE0 mal la s\xE9curit\xE9 du SI ou qui r\xE9v\xE8lent une d\xE9\ + faillance des mesures SSI, de leur r\xE9solution ainsi que des retours d\u2019\ + exp\xE9rience qui peuvent en \xEAtre d\xE9duits. Les t\xE2ches du r\xE9f\xE9\ + rent incident SSI sont sp\xE9cifi\xE9es par les r\xE8gles du th\xE8me 7-3.\n\ + \nLa fonction de r\xE9f\xE9rent incident SSI n\u2019est pas exclusive, elle\ + \ peut \xEAtre combin\xE9e avec d\u2019autres fonctions. \n\nEn particulier,\ + \ elle peut \xEAtre combin\xE9e avec la fonction de r\xE9f\xE9rent SSI identifi\xE9\ + \ dans la r\xE8gle 2.1.1.1. \n\nLe nom du r\xE9f\xE9rent incident SSI doit\ + \ \xEAtre indiqu\xE9 dans le tableau de l\u2019annexe 1. \n\nIl est souhaitable\ + \ que la fonction r\xE9f\xE9rent incident SSI soit assum\xE9e par une personne\ + \ avec des connaissances en syst\xE8me d\u2019information. Par ailleurs, cette\ + \ personne doit \xEAtre sensibilis\xE9e et, si possible, form\xE9e \xE0 la\ + \ s\xE9curit\xE9 des syst\xE8mes d\u2019information. \n\nAu minimum, elle\ + \ doit suivre le module d\u2019autoformation \xAB Principes essentiels de\ + \ la s\xE9curit\xE9 informatique \xBB et effectuer le test associ\xE9, propos\xE9\ + s sur le site d\xE9di\xE9 de l\u2019Agence Nationale de la S\xE9curit\xE9\ + \ des Syst\xE8mes d\u2019Information, www.securite-informatique.gouv.fr \n\ + \nLa fonction r\xE9f\xE9rent incident SSI peut \xEAtre sous- trait\xE9e \xE0\ + \ un prestataire \xE0 condition que les modalit\xE9s de la prestation permettent\ + \ la r\xE9solution des incidents de s\xE9curit\xE9 dans un d\xE9lai suffisamment\ + \ bref pour en limiter les impacts." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.8 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1 + ref_id: 2.1.1.8 + description: "A chaque r\xE9union identifi\xE9e dans le th\xE8me T2-1.2, le\ + \ r\xE9f\xE9rent incident SSI doit pr\xE9senter une synth\xE8se des \xE9ventuels\ + \ incidents qui ont eu lieu depuis la r\xE9union pr\xE9c\xE9dente ainsi que\ + \ les propositions de mesures \xE9labor\xE9es dans le cadre de la r\xE8gle\ + \ 7.3.3.2." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1 + ref_id: 2.1.2 + name: "Formaliser les remont\xE9es d\u2019informations sur la s\xE9curit\xE9\ + \ \xE0 la direction" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.2 + ref_id: 2.1.2.1 + description: "La s\xE9curit\xE9 doit \xEAtre inscrite \xE0 l\u2019ordre du jour\ + \ d\u2019une r\xE9union de pilotage r\xE9currente \xE0 laquelle participe\ + \ la direction de la structure. \n\nLa r\xE9union doit se tenir avec une fr\xE9\ + quence bimestrielle au minimum. Si c\u2019est adapt\xE9 pour la structure,\ + \ id\xE9alement, la r\xE9union est la m\xEAme que celle o\xF9 est pr\xE9sent\xE9\ + \ le suivi des vigilances sanitaires, la d\xE9marche de traitement et les\ + \ \xE9l\xE9ments pr\xE9sent\xE9s \xE9tant proches. La PSSI doit indiquer la\ + \ r\xE9union \xE0 l\u2019ordre du jour de laquelle la s\xE9curit\xE9 est inscrite\ + \ en compl\xE9tant la r\xE8gle 2.1.2.1." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.2 + ref_id: 2.1.2.2 + description: "Lors des r\xE9unions identifi\xE9es dans la r\xE8gle 2.1.2.1,\ + \ les \xE9l\xE9ments suivants sont pr\xE9sent\xE9s : \n\n- au lancement d\u2019\ + un Plan d\u2019action SSI, p\xE9rim\xE8tre du projet ;\n- suivi de la mise\ + \ en \u0153uvre du Plan d\u2019action SSI ; \n- synth\xE8se des incidents\ + \ sur la p\xE9riode ; \n- \xE9ventuellement, recommandations de nouvelles\ + \ mesures de s\xE9curit\xE9, suite au retour d\u2019exp\xE9rience sur les\ + \ incidents.\n\nLe cas \xE9ch\xE9ant, les d\xE9cisions suivantes sont prises\ + \ : \n\n- validation du p\xE9rim\xE8tre du Plan d\u2019action SSI lors de\ + \ son lancement ; \n- d\xE9cision de mise en \u0153uvre ou non des recommandations\ + \ de nouvelles mesures de s\xE9curit\xE9 et d\u2019int\xE9gration dans le\ + \ Plan d\u2019action SSI courant ou de planification de mise en \u0153uvre\ + \ dans un Plan d\u2019action SSI ult\xE9rieur." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2 + ref_id: '2.2' + name: "Faire conna\xEEtre les principes essentiels de s\xE9curit\xE9 informatique" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2 + ref_id: 2.2.1 + name: Sensibiliser, former et responsabiliser le personnel + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.1 + ref_id: 2.2.1.1 + description: "Une charte d\u2019utilisation des ressources informatiques doit\ + \ \xEAtre \xE9labor\xE9e et diffus\xE9e \xE0 tout utilisateur du syst\xE8\ + me d\u2019information.\n\nUn mod\xE8le de charte type d\u2019acc\xE8s et d\u2019\ + usage du syst\xE8me d\u2019information est disponible dans le document DGOS\ + \ Programme H\xF4pital Num\xE9rique \u2013 bo\xEEte \xE0 outils pour l\u2019\ + atteinte des pr\xE9requis [R\xE9f. n\xB03]\n\nDeux autres mod\xE8les de charte\ + \ sont \xE9galement propos\xE9s dans le corpus documentaire PGSSI- S : l\u2019\ + un \xE0 destination des utilisateurs [R\xE9f. n\xB013], l\u2019autre sp\xE9\ + cifiquement \xE0 destination du personnel en charge du SI [R\xE9f. n\xB014]." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.1 + ref_id: 2.2.1.2 + description: "Les \xE9l\xE9ments s\xE9curit\xE9 pr\xE9sent\xE9s dans la charte\ + \ d\u2019utilisation doivent faire l\u2019objet de tr\xE8s courts rappels\ + \ des r\xE8gles et bonnes pratiques abordant au minimum : \n\n- les principes\ + \ de s\xE9curisation des mots de passe tels que pr\xE9sent\xE9s dans le th\xE8\ + me 4-5.1 ; \n- les principes de protection de l\u2019acc\xE8s aux postes de\ + \ travail tels que pr\xE9sent\xE9s dans le th\xE8me 4-5.2 ; \n- les principes\ + \ d\u2019alerte du r\xE9f\xE9rent en cas d\u2019incident tels que pr\xE9sent\xE9\ + s dans le th\xE8me 7-3.2 ; \n- les r\xE8gles d\u2019acc\xE8s aux informations\ + \ de sant\xE9 \xE0 caract\xE8re personnel telles que pr\xE9sent\xE9es dans\ + \ le th\xE8me 5-1.1 et en particulier les r\xE8gles d\u2019acc\xE8s aux donn\xE9\ + es m\xE9dicales \xE0 caract\xE8re personnel. Ces sensibilisations sont int\xE9\ + gr\xE9es \xE0 des r\xE9unions de type r\xE9union de service avec une fr\xE9\ + quence biannuelle." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2 + ref_id: 2.2.2 + name: "D\xE9cliner les r\xE8gles du guide dans les proc\xE9dures op\xE9rationnelles" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2 + ref_id: 2.2.2.1 + description: "Les aspects s\xE9curit\xE9 du SI doivent \xEAtre int\xE9gr\xE9\ + s aux proc\xE9dures de la structure en tant qu\u2019\xE9tape fonctionnelle\ + \ au m\xEAme titre que les aspects m\xE9tiers. Une revue initiale des proc\xE9\ + dures existantes, puis de toute nouvelle proc\xE9dure, doit \xEAtre men\xE9\ + e dans ce sens." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2 + ref_id: 2.2.2.2 + description: "La proc\xE9dure d\u2019embauche doit int\xE9grer les \xE9tapes\ + \ s\xE9curit\xE9 suivantes : \n\n- remise de la charte d\u2019utilisation\ + \ des ressources informatiques ; \n- le cas \xE9ch\xE9ant, remise de mat\xE9\ + riel informatique et signature du registre de prise en charge de mat\xE9riel\ + \ ; \n- le cas \xE9ch\xE9ant, remise de moyen(s) d\u2019authentification li\xE9\ + \ \xE0 la/aux fonction(s) (ex. CDE) et des consignes d\u2019utilisation. (ex.\ + \ notice explicative relative aux conditions g\xE9n\xE9rales d\u2019utilisation\ + \ des cartes de la famille CPx accessible sur le site esante.gouv.fr) ; \n\ + - sensibilisation aux probl\xE9matiques et enjeux de la SSI ; \n- formation\ + \ aux r\xE8gles de gestion des mots de passe et de la s\xE9curit\xE9 des postes\ + \ de travail telles que pr\xE9sent\xE9es dans les th\xE8mes 4-5.1 et 4-5.2\ + \ et coordonn\xE9es des personnes \xE0 contacter en cas d\u2019oubli du mot\ + \ de passe ; \n- pr\xE9sentation des r\xE8gles d\u2019alerte en cas d\u2019\ + incident telles que pr\xE9sent\xE9es dans le th\xE8me 7-3.2 et des coordonn\xE9\ + es des personnes \xE0 contacter en cas d\u2019incident ; \n- d\xE9termination\ + \ du/des profil(s) utilisateur(s) du/de la nouvel(le) embauch\xE9(e) correspondant\ + \ \xE0 sa/ses fonction(s) tel que pr\xE9sent\xE9 dans le th\xE8me 5-1.1 ;\ + \ \n- cr\xE9ation du/des compte(s) nominatif(s)8 du/de la nouvel(le) embauch\xE9\ + (e) dans le syst\xE8me d\u2019information et attribution des droits d\u2019\ + acc\xE8s correspondant \xE0 son/ses profil(s) utilisateur(s) ; \n- sensibilisation\ + \ aux aspects s\xE9curit\xE9 telle que pr\xE9sent\xE9e \xE0 la r\xE8gle 2.2.1.2." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2 + ref_id: 2.2.2.3 + description: "La proc\xE9dure de prise de fonction lors d\u2019un mouvement\ + \ interne doit int\xE9grer les \xE9tapes s\xE9curit\xE9 suivantes : \n\n-\ + \ le cas \xE9ch\xE9ant, restitution et/ou remise de mat\xE9riel informatique\ + \ et signature du registre de prise en charge de mat\xE9riel ; \n- le cas\ + \ \xE9ch\xE9ant, restitution et/ou remise de moyen(s) d\u2019authentification\ + \ li\xE9 \xE0 la/aux fonction(s) (ex. CDE) et des consignes d\u2019utilisation.\ + \ (ex. notice explicative relative aux conditions g\xE9n\xE9rales d\u2019\ + utilisation des cartes de la famille CPx accessible sur le site esante.gouv.fr)\ + \ ; \n- rappel des r\xE8gles de gestion des mots de passe et de la s\xE9curit\xE9\ + \ des postes de travail telles que pr\xE9sent\xE9es dans les th\xE8mes 4-5.1\ + \ et 4-5.2 ; \n- rappel des contacts s\xE9curit\xE9 en cas d\u2019incident\ + \ ; \n- d\xE9termination du/des profil(s) utilisateur(s) correspondant \xE0\ + \ la/aux fonction(s) prise(s) tel que pr\xE9sent\xE9 dans le th\xE8me 5-1.1\ + \ ; \n- attribution des droits d\u2019acc\xE8s correspondant au profil(s)\ + \ utilisateur(s) identifi\xE9(s) ; \n- le cas \xE9ch\xE9ant, cl\xF4ture d\u2019\ + un compte si les conditions d\u2019attribution de plusieurs comptes pr\xE9\ + sent\xE9es dans la r\xE8gle 5.2.1.4 ne sont plus remplies suite au mouvement\ + \ interne." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2 + ref_id: 2.2.2.4 + description: "La proc\xE9dure de d\xE9part (que ce soit d\xE9finitif ou pour\ + \ mouvement interne) doit int\xE9grer les \xE9tapes s\xE9curit\xE9 suivantes\ + \ : \n\n- le cas \xE9ch\xE9ant, restitution du mat\xE9riel informatique mis\ + \ \xE0 disposition et signature du registre de remise de mat\xE9riel ; \n\ + - le cas \xE9ch\xE9ant, restitution des moyen(s) d\u2019authentification li\xE9\ + \ \xE0 la/aux fonction(s) (ex. CDE) ; \n- r\xE9siliation des droits d\u2019\ + acc\xE8s correspondant au/aux profil(s) utilisateur(s) ; \n- en cas de d\xE9\ + part de la structure, cl\xF4ture du/des compte(s) nominatif(s) du partant.\ + \ 8 Voir r\xE8gle 5.2.1.4 sur les conditions d\u2019attribution de plusieurs\ + \ comptes \xE0 un utilisateur." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2 + ref_id: 2.2.3 + name: "V\xE9rifier la bonne mise en \u0153uvre des r\xE8gles" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.3 + ref_id: 2.2.3.1 + description: "Le r\xE9f\xE9rent SSI doit r\xE9guli\xE8rement s\u2019assurer\ + \ de l\u2019application des r\xE8gles qui ont \xE9t\xE9 mises en place dans\ + \ le cadre des Plan d\u2019action SSI successifs. \n\nCette v\xE9rification\ + \ se d\xE9roule sous la forme de contr\xF4les ponctuels organis\xE9s tous\ + \ les deux mois et portant un \xE9chantillon des r\xE8gles mises en \u0153\ + uvre dans le cadre des Plan d\u2019action SSI mis en \u0153uvre. Les r\xE8\ + gles objet du contr\xF4le sont \xE0 choisir en fonction : \n\n- du d\xE9lai\ + \ \xE9coul\xE9 depuis leur mise en \u0153uvre ou leur derni\xE8re v\xE9rification\ + \ ; \n- du niveau de priorit\xE9 attribu\xE9 lors de leur mise en \u0153uvre\ + \ ; \n- d\u2019\xE9ventuels incidents qui pourraient indiquer un d\xE9faut\ + \ dans leur application." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.3.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.3 + ref_id: 2.2.3.2 + description: "Pour chaque r\xE8gle, le contr\xF4le s\u2019axe sur les aspects\ + \ suivants : \n\n- l\u2019int\xE9gration des \xE9l\xE9ments de la r\xE8gle\ + \ dans les proc\xE9dures document\xE9es dans le domaine ; \n- le cas \xE9\ + ch\xE9ant, le r\xE9sultat de l\u2019application de la r\xE8gle (ex. analyse\ + \ des contrats de t\xE9l\xE9maintenance pour les r\xE8gles du th\xE8me 6-1,\ + \ pr\xE9sence effective et efficacit\xE9 du cloisonnement r\xE9seau pour les\ + \ r\xE8gles du th\xE8me 4-2\u2026)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.3.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.3 + ref_id: 2.2.3.3 + description: "La revue des droits d\u2019acc\xE8s mis en \u0153uvre selon les\ + \ principes pr\xE9sent\xE9s dans le th\xE8me 5-1.3 doit \xEAtre int\xE9gr\xE9\ + e au programme d\u2019au moins une revue sur trois (i.e. les droits mis en\ + \ \u0153uvre doivent \xEAtre v\xE9rifi\xE9s au moins deux fois par an)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3 + assessable: false + depth: 1 + ref_id: '3' + name: "Assurer la s\xE9curit\xE9 physique des \xE9quipements informatiques du\ + \ SI" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3 + ref_id: '3.1' + name: "Ma\xEEtriser l\u2019acc\xE8s aux \xE9quipements du SI qui sont n\xE9\ + cessaires \xE0 l\u2019activit\xE9 de la structure" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1 + ref_id: 3.1.1 + name: "Assurer la protection physique des \xE9quipements informatiques d\u2019\ + infrastructure du SI, qui contiennent des donn\xE9es de sant\xE9 \xE0 caract\xE8\ + re personnel" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1 + ref_id: 3.1.1.1 + description: "Les dispositifs qui participent au traitement de donn\xE9es de\ + \ sant\xE9 \xE0 caract\xE8re personnel : \n\n- serveurs, \n- syst\xE8mes de\ + \ stockage de donn\xE9es, \n- syst\xE8mes de sauvegarde\n\nou qui fournissent\ + \ les infrastructures r\xE9seau et s\xE9curit\xE9 utilis\xE9es par ces dispositifs\ + \ : \n\n- routeurs, commutateurs, hubs, \u2026 \n- pare-feux, proxies, passerelles\ + \ antivirus\u2026 \n- serveur de s\xE9curit\xE9 (authentification\u2026)\n\ + \ndoivent \xEAtre h\xE9berg\xE9s : \n\n- soit dans des locaux dont l\u2019\ + acc\xE8s est s\xE9curis\xE9 ; \n- soit dans des baies informatiques dont l\u2019\ + acc\xE8s est s\xE9curis\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1 + ref_id: 3.1.1.2 + description: "La s\xE9curisation de l\u2019acc\xE8s \xE0 un local informatique\ + \ doit s\u2019appuyer sur : \n\n- le choix d\u2019un local pr\xE9sentant le\ + \ moins d\u2019ouvertures possibles sur l\u2019ext\xE9rieur ; \n- la mise\ + \ en place de barreaux aux fen\xEAtres et selon la localisation de la salle\ + \ (cas notamment des salles en rez-de-chauss\xE9e avec fen\xEAtre sur lieu\ + \ public), l\u2019utilisation de grilles de protection ou de verre renforc\xE9\ + \ contre les projectiles (pierres, \u2026); \n- la mise en \u0153uvre d\u2019\ + un contr\xF4le d\u2019acc\xE8s au local adapt\xE9 \xE0 la fr\xE9quence des\ + \ interventions du personnel (par exemple, fermeture par cl\xE9 des locaux\ + \ techniques d\u2019\xE9tage, porte \xE0 lecteur de badge, ou \xE0 d\xE9faut\ + \ \xE0 code, pour le local informatique plus fr\xE9quemment visit\xE9) ; \n\ + - la mise en place d\u2019alarme, voire d\u2019enregistreur vid\xE9o, selon\ + \ les enjeux identifi\xE9s par l\u2019analyse de risque." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1 + ref_id: 3.1.1.3 + description: "La s\xE9curisation d\u2019une baie informatique doit s\u2019appuyer\ + \ sur : \n\n- l\u2019utilisation d\u2019une baie informatique professionnelle\ + \ pouvant \xEAtre int\xE9gralement ferm\xE9e et pouvant \xEAtre ouverte en\ + \ face avant comme en face arri\xE8re ; \n- l\u2019int\xE9gration dans la\ + \ m\xEAme baie de tout \xE9cran, clavier, souris ou autre p\xE9riph\xE9rique\ + \ n\xE9cessaire \xE0 l\u2019administration des \xE9quipements \xE0 s\xE9curiser\ + \ ; \n- la mise en \u0153uvre d\u2019un syst\xE8me de fermeture command\xE9\ + \ par lecteur de badge, ou \xE0 d\xE9faut \xE0 code ou \xE0 cl\xE9 ; \n- si\ + \ la baie est assez l\xE9g\xE8re pour \xEAtre vol\xE9e, une fixation fiable\ + \ de la baie au mur ou au sol ; \n- la mise en place d\u2019alarme, recommand\xE9\ + e, voire d\u2019enregistreur vid\xE9o, selon les enjeux identifi\xE9s par\ + \ l\u2019analyse des risques." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1 + ref_id: 3.1.1.4 + description: "Une gestion stricte des personnes autoris\xE9es \xE0 acc\xE9der\ + \ au local ou \xE0 la baie s\xE9curis\xE9e doit \xEAtre organis\xE9e : \n\n\ + - la liste des personnes autoris\xE9es doit \xEAtre \xE9tablie, maintenue\ + \ \xE0 jour et valid\xE9e par les responsables des traitements concern\xE9\ + s ; Elle doit \xEAtre revue au minimum une fois par an ; \n- les moyens d\u2019\ + acc\xE8s utilis\xE9s doivent \xEAtre contr\xF4l\xE9s (attribution nominative\ + \ des cl\xE9s, des codes de porte) et g\xE9r\xE9s (renouvellement au moins\ + \ semestriel des codes, ainsi que lors de sortie de personnels de la liste\ + \ des personnes autoris\xE9es) ; \n- une proc\xE9dure pour l\u2019acc\xE8\ + s accompagn\xE9 et ponctuel de personnes sans autorisation permanente (prestataire\ + \ externe, personnel des services g\xE9n\xE9raux\u2026) doit \xEAtre \xE9\ + tablie ;" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1 + ref_id: 3.1.1.5 + description: "Le local s\xE9curis\xE9, ou le local qui h\xE9berge les baies\ + \ s\xE9curis\xE9es, doit \xEAtre choisi ou am\xE9nag\xE9 pour respecter les\ + \ conditions n\xE9cessaires au bon fonctionnement des \xE9quipements : \n\n\ + - temp\xE9rature (par a\xE9ration et/ou mise en \u0153uvre de climatisation);\ + \ \n- hygrom\xE9trie ; \n- absence de poussi\xE8re excessive ; \n- absence\ + \ de risque d\u2019inondation ou d\u2019incendie induit par le passage de\ + \ conduites ou aggrav\xE9 par la proximit\xE9 avec d\u2019autres locaux qui\ + \ pr\xE9sentent ces risques ; \n- absence de rayonnements \xE9lectromagn\xE9\ + tiques provoqu\xE9s par la proximit\xE9 de machines \xE9lectriques puissantes\ + \ ou de certains \xE9quipements m\xE9dicaux." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1 + ref_id: 3.1.1.6 + description: "Le local s\xE9curis\xE9, ou le local qui h\xE9berge les baies\ + \ s\xE9curis\xE9es, doit disposer d\u2019une alimentation \xE9lectrique :\ + \ \n\n- aux normes en ce qui concerne la protection des personnes et des \xE9\ + quipements ; \n- de capacit\xE9 suffisante au regard des \xE9quipements connect\xE9\ + s ; Un inventaire des consommations doit \xEAtre maintenu et v\xE9rifi\xE9\ + \ avant ajout ou remplacement d\u2019\xE9quipement ; \n- r\xE9gul\xE9e et\ + \ prot\xE9g\xE9e contre les surtensions ; Un soin particulier doit \xEAtre\ + \ apport\xE9 \xE0 ce point dans les zones g\xE9ographiques o\xF9 les orages\ + \ sont fr\xE9quents ; \n- maintenue en cas de coupure de l\u2019alimentation\ + \ secteur \xE0 l\u2019aide d\u2019onduleurs, voire de g\xE9n\xE9rateur \xE9\ + lectrique, au minimum le temps n\xE9cessaire \xE0 l\u2019arr\xEAt des \xE9\ + quipements (qui doit \xEAtre automatis\xE9), voire plus selon les exigences\ + \ de disponibilit\xE9 des syst\xE8mes h\xE9berg\xE9s. Le bon fonctionnement\ + \ de ces \xE9quipements de secours et de leur activation en cas de coupure\ + \ de l\u2019alimentation secteur doit \xEAtre v\xE9rifi\xE9 r\xE9guli\xE8\ + rement et donner lieu \xE0 un suivi formalis\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1 + ref_id: 3.1.1.7 + description: "Dans la mesure du possible, cette alimentation \xE9lectrique secourue\ + \ doit \xEAtre constitu\xE9e d\u2019au moins un circuit \xE9lectrique sp\xE9\ + cifique, distinct de celui \xE9ventuellement utilis\xE9 pour les postes de\ + \ travail et sur lequel n\u2019est connect\xE9 aucun \xE9quipement non informatique\ + \ fortement consommateur (radiateur \xE9lectrique, bouilloire\u2026) ou susceptible\ + \ de provoquer des perturbations \xE9lectriques. De tels \xE9quipements ne\ + \ doivent pas \xEAtre branch\xE9s sur le circuit \xE9lectrique r\xE9gul\xE9\ + \ et secouru, quand ce circuit est disponible." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1 + ref_id: 3.1.2 + name: "Assurer la protection physique des postes de travail, qui contiennent\ + \ des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2 + ref_id: 3.1.2.1 + description: "Les postes de travail doivent, autant que possible, \xEAtre situ\xE9\ + s hors de la zone de circulation du public. Dans tous les cas, ils doivent\ + \ \xEAtre positionn\xE9s afin d\u2019interdire un acc\xE8s direct au poste\ + \ par le public (usager, accompagnant\u2026)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2 + ref_id: 3.1.2.2 + description: "Les \xE9crans des postes de travail doivent \xEAtre orient\xE9\ + s de telle sorte que les personnes non autoris\xE9es ne puissent pas lire\ + \ ce qu\u2019ils affichent. Les possibilit\xE9s de visibilit\xE9 depuis l\u2019\ + arri\xE8re de l\u2019utilisateur (fen\xEAtres, cloisons transparentes,\u2026\ + ) doivent \xEAtre prises en compte. Si n\xE9cessaire, des filtres installables\ + \ sur l\u2019\xE9cran doivent \xEAtre mis en place afin d\u2019en r\xE9duire\ + \ l\u2019angle de visibilit\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2 + ref_id: 3.1.2.3 + description: "Les ordinateurs portables et autres terminaux l\xE9gers (tablettes)\ + \ doivent \xEAtre attach\xE9s \xE0 un point fixe ou lourd (bureau) en l\u2019\ + absence de leur utilisateur. Il doit \xEAtre pris soin de choisir un point\ + \ d\u2019accroche fiable, duquel l\u2019attache ne peut \xEAtre retir\xE9\ + e simplement. A d\xE9faut, ils doivent \xEAtre syst\xE9matiquement rang\xE9\ + s dans un placard ou un coffre, ferm\xE9 \xE0 cl\xE9 en l\u2019absence de\ + \ leur utilisateur." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2 + ref_id: 3.1.2.4 + description: "Les postes de travail doivent disposer d\u2019une alimentation\ + \ \xE9lectrique : \n\n- aux normes en ce qui concerne la protection des personnes\ + \ et des \xE9quipements ; \n- de capacit\xE9 suffisante au regard des \xE9\ + quipements connect\xE9s. Un inventaire des consommations doit \xEAtre maintenu\ + \ et v\xE9rifi\xE9 avant ajout ou remplacement d\u2019\xE9quipement sur le\ + \ m\xEAme circuit ; \n- r\xE9gul\xE9e et prot\xE9g\xE9e contre les surtensions\ + \ ; un soin particulier doit \xEAtre apport\xE9 \xE0 ce point dans les zones\ + \ g\xE9ographiques o\xF9 les orages sont fr\xE9quents ; \n- maintenue en cas\ + \ de coupure de l\u2019alimentation secteur \xE0 l\u2019aide d\u2019onduleurs\ + \ voire de g\xE9n\xE9rateur \xE9lectrique, au minimum le temps n\xE9cessaire\ + \ \xE0 l\u2019arr\xEAt des postes, voire plus selon les exigences de disponibilit\xE9\ + \ de l\u2019activit\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2 + ref_id: 3.1.2.5 + description: "Dans la mesure du possible, les postes de travail doivent \xEA\ + tre aliment\xE9s par un circuit \xE9lectrique sp\xE9cifique et sur lequel\ + \ n\u2019est connect\xE9 aucun \xE9quipement fortement consommateur (radiateur\ + \ \xE9lectrique, bouilloire\u2026) ou susceptible de provoquer des perturbations\ + \ \xE9lectriques. De tels \xE9quipements ne doivent pas \xEAtre branch\xE9\ + s sur le circuit \xE9lectrique r\xE9gul\xE9 et secouru, quand ce circuit est\ + \ disponible." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2 + ref_id: 3.1.2.6 + description: "Les locaux qui h\xE9bergent les postes de travail ne doivent pas\ + \ pr\xE9senter de risque particulier du point de vue de l\u2019environnement\ + \ de travail, qu\u2019il s\u2019agisse de risque de d\xE9g\xE2ts des eaux,\ + \ d\u2019incendie ou de pollution, d\xE9coulant de leur propre configuration\ + \ ou de la proximit\xE9 d\u2019autres locaux qui pr\xE9senteraient ces risques." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1 + ref_id: 3.1.3 + name: "Assurer la protection physique des \xE9quipements amovibles qui contiennent\ + \ des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.3 + ref_id: 3.1.3.1 + description: "En l\u2019absence de son utilisateur, tout support amovible (disque\ + \ dur externe, cl\xE9 USB, CD, DVD) de donn\xE9es de sant\xE9 \xE0 caract\xE8\ + re personnel doit \xEAtre rang\xE9 dans un placard ou coffre ferm\xE9 \xE0\ + \ cl\xE9 (ou \xE0 code)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.3.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.3 + ref_id: 3.1.3.2 + description: "Il est recommand\xE9 de ranger tout support amovible (disque dur\ + \ externe, cl\xE9 USB, CD, DVD) de donn\xE9es de sant\xE9 \xE0 caract\xE8\ + re personnel d\xE8s lors qu\u2019il n\u2019est plus utilis\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1 + ref_id: 3.1.4 + name: "Assurer la destruction de donn\xE9es lors du transfert de mat\xE9riels\ + \ informatiques" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.1 + description: "La destruction de donn\xE9es doit \xEAtre r\xE9alis\xE9e sous\ + \ la responsabilit\xE9 du responsable du SIS, soit par le personnel de la\ + \ structure soit par des prestataires techniques externes dans le cadre de\ + \ contrats.\n\nLes aspects contractuels \xE0 pr\xE9voir en cas de recours\ + \ \xE0 un prestataire de service pour la destruction des donn\xE9es sont sp\xE9\ + cifi\xE9s dans la th\xE9matique 6-6.3." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.2 + description: "Afin de d\xE9finir les responsabilit\xE9s des acteurs impliqu\xE9\ + s dans le processus de destruction de donn\xE9es, les r\xE8gles de ce guide\ + \ doivent \xEAtre reprises dans les documents propres \xE0 l\u2019organisation\ + \ du SI (politique de s\xE9curit\xE9, charte informatique, notes d\u2019organisation,\ + \ fiches de poste, contrats d\u2019externalisation,\u2026). A titre d\u2019\ + exemple, les utilisateurs de supports de stockage amovibles sont charg\xE9\ + s de l\u2019application des r\xE8gles d\u2019effacement lors du transfert\ + \ de mat\xE9riels, conform\xE9ment \xE0 la charte informatique de la structure." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.3 + description: "Les interventions techniques doivent \xEAtre r\xE9alis\xE9es selon\ + \ le type de mat\xE9riel consid\xE9r\xE9. Dans le cas d\u2019un \xE9quipement\ + \ (ordinateur portable ou fixe, serveur, photocopieur, ordiphone \u2026) comportant\ + \ plusieurs composants (disque dur, cl\xE9 USB, carte SD, \u2026), chaque\ + \ composant devra \xEAtre trait\xE9 ind\xE9pendamment selon les r\xE8gles\ + \ applicables." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.4 + description: "Les proc\xE9dures de destruction de donn\xE9es lors du transfert\ + \ de mat\xE9riel informatique doivent \xEAtre formalis\xE9es." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.5 + description: "Les proc\xE9dures de gestion du cycle de vie des supports de donn\xE9\ + es num\xE9riques doivent \xEAtre formalis\xE9es et int\xE9grer le traitement\ + \ des donn\xE9es et leur destruction." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.6 + description: "Avant toute op\xE9ration d\u2019effacement ou de destruction,\ + \ il est pr\xE9conis\xE9 de contr\xF4ler que les supports ne contiennent aucune\ + \ donn\xE9e utile et non sauvegard\xE9e par ailleurs. Dans le cas contraire,\ + \ il convient de proc\xE9der \xE0 la sauvegarde des donn\xE9es qui sont n\xE9\ + cessaires." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.7 + description: "Une fois l'effacement termin\xE9, Il est n\xE9cessaire de v\xE9\ + rifier que le support ne contient plus de donn\xE9es." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.8 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.8 + description: "Une fiche d'intervention \xE0 destination du responsable de la\ + \ gestion des mat\xE9riels, vis\xE9e par le personnel en charge de l'op\xE9\ + ration, doit permettre de garder une trace des informations suivantes pour\ + \ les mat\xE9riels du SI : \n- Identification du mat\xE9riel (num\xE9ro de\ + \ s\xE9rie, adresse MAC \u2026) \n- ancien propri\xE9taire (entit\xE9, ou\ + \ \xE0 d\xE9faut identit\xE9 personne physique) ; \n- nouveau propri\xE9taire\ + \ (entit\xE9, identit\xE9 personne physique) ; \n- date de transfert de l\u2019\ + \xE9quipement ; \n- date et nature de l\u2019intervention d'effacement ou\ + \ de destruction effectu\xE9e; \n- statut des op\xE9rations r\xE9alis\xE9\ + es (op\xE9rateur, date, type d\u2019effacement, contr\xF4le de l\u2019effacement,\ + \ \u2026)" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.9 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.9 + description: "Les proc\xE9dures de traitement du mat\xE9riel en fin de vie,\ + \ notamment quand elles impliquent un transfert externe du mat\xE9riel, doivent\ + \ pr\xE9voir la gestion des supports de donn\xE9es num\xE9riques qui peuvent\ + \ \xEAtre contenus dans ces mat\xE9riels." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.10 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.10 + description: "Dans le cas d\u2019un recyclage interne uniquement, un formatage\ + \ complet doit \xEAtre r\xE9alis\xE9. Ce formatage complet (dit aussi formatage\ + \ bas niveau ou \xE0 z\xE9ro10) doit \xEAtre appliqu\xE9 sur la totalit\xE9\ + \ de la ou des partitions du support consid\xE9r\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.11 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.11 + description: "Dans les autres cas, un effacement renforc\xE9 doit \xEAtre r\xE9\ + alis\xE9 avec un logiciel utilisant l\u2019algorithme conforme au \xABNISP\ + \ Operating Manual (DOD 5220.22-M) \xBB, de pr\xE9f\xE9rence un produit qualifi\xE9\ + \ par l\u2019ANSSI. Cet effacement doit \xEAtre appliqu\xE9 sur la totalit\xE9\ + \ de la ou des partitions du support consid\xE9r\xE9. La complexit\xE9 de\ + \ l\u2019effacement sera de : \uF0B7 3 passes minimum pour les supports du\ + \ type disque dur \uF0B7 1 passe pour les supports flash" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.12 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.12 + description: "Il est envisageable, en alternative \xE0 la r\xE8gle 3.1.4.11,\ + \ de proc\xE9der : \n\n- \xE0 la d\xE9magn\xE9tisation des disques durs, ou\ + \ \xE0 leur destruction physique (broyage, incin\xE9ration \u2026) ;\n- \xE0\ + \ la destruction physique des supports flash (broyage ou incin\xE9ration)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.13 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.13 + description: "Les disques optiques doivent \xEAtre d\xE9truits par destruction\ + \ physique (broyage, incin\xE9ration ou meulage)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.14 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.14 + description: "Les cartes \xE0 microcircuits (carte SIM, CPS, \u2026) doivent\ + \ \xEAtre d\xE9truites par broyage du circuit ou incin\xE9ration." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.15 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.15 + description: "Les donn\xE9es stock\xE9es sur des ordiphones (\xAB smartphones\ + \ \xBB), t\xE9l\xE9phones portables et tablettes doivent \xEAtre effac\xE9\ + es \xE0 l\u2019aide des fonctions d\u2019utilisation puis par application\ + \ de la proc\xE9dure pr\xE9vue par le constructeur pour remise de l\u2019\ + appareil en configuration de sortie d\u2019usine." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.16 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4 + ref_id: 3.1.4.16 + description: "Les donn\xE9es des mat\xE9riels stockant des informations sur\ + \ des supports autres que ceux-sp\xE9cifi\xE9s ci-dessus (par exemple, dispositifs\ + \ biom\xE9dicaux, \u2026) doivent \xEAtre effac\xE9es \xE0 l\u2019aide des\ + \ fonctions d\u2019utilisation puis par application de la proc\xE9dure pr\xE9\ + vue par le constructeur pour remise de l\u2019appareil en configuration de\ + \ sortie d\u2019usine." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4 + assessable: false + depth: 1 + ref_id: '4' + name: "Prot\xE9ger les infrastructures informatiques" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4 + ref_id: '4.1' + name: "Ma\xEEtriser le parc informatique" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1 + ref_id: 4.1.1 + name: "Identifier physiquement chaque \xE9quipement informatique ou dispositif\ + \ m\xE9dical connect\xE9 d\xE9tenu par la structure" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1 + ref_id: 4.1.1.1 + description: "Un inventaire doit \xEAtre \xE9tabli et comprendre : \n\n- l\u2019\ + ensemble des \xE9quipements informatiques (serveurs, \xE9quipements r\xE9\ + seau, postes de travail, tablettes, ordiphones/smartphones, imprimantes, modems,\ + \ t\xE9l\xE9phones IP et tout autre dispositif connect\xE9 au r\xE9seau :\ + \ fax, syst\xE8me t\xE9l\xE9phonique, syst\xE8me de visioconf\xE9rence, webcams/cam\xE9\ + ras vid\xE9o, lecteur de badges, syst\xE8mes d\u2019alarme, dispositifs de\ + \ gestion technique de b\xE2timent\u2026) ;\n- les dispositifs m\xE9dicaux\ + \ d\xE9tenus par la structure. \n\nL\u2019inventaire doit inclure les \xE9\ + quipements appartenant \xE0 la structure, ainsi que ceux qui lui sont lou\xE9\ + s ou pr\xEAt\xE9s. L\u2019utilisation d\u2019un outil d\u2019inventaire du\ + \ SI facilite l\u2019\xE9laboration, la maintenance et l\u2019exploitation\ + \ de l\u2019inventaire." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1 + ref_id: 4.1.1.2 + description: "Un identifiant num\xE9rique unique doit \xEAtre attribu\xE9 \xE0\ + \ chaque \xE9quipement inventori\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1 + ref_id: 4.1.1.3 + description: "Chaque \xE9quipement doit \xEAtre marqu\xE9 avec une \xE9tiquette\ + \ reconnaissable (pour la distinguer d\u2019autres \xE9tiquettes \xE9ventuellement\ + \ pr\xE9sentes, par exemple par indication du nom ou logo de la structure)\ + \ qui comporte l\u2019identifiant attribu\xE9 \xE0 l\u2019\xE9quipement dans\ + \ l\u2019inventaire sous forme alphanum\xE9rique et sous forme de code barre\ + \ (ou de code barre 2D) pour faciliter les op\xE9rations d\u2019inventaire." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1 + ref_id: 4.1.1.4 + description: "Pour chaque \xE9quipement, l\u2019inventaire doit \xE9galement\ + \ enregistrer au minimum les informations suivantes : \n\n- Identifiant \n\ + - D\xE9signation \n- Cat\xE9gorie d\u2019\xE9quipement \n- Fournisseur \n\ + - R\xE9f\xE9rence du mod\xE8le \n- Caract\xE9ristiques principales \n- Localisation\ + \ \n- Utilisateur ou responsable de l\u2019\xE9quipement \n- Type de d\xE9\ + tention : propri\xE9t\xE9, location, pr\xEAt \n- Propri\xE9taire de l\u2019\ + \xE9quipement \n- Supports de donn\xE9es pr\xE9sents dans l\u2019\xE9quipement\ + \ (ex. : aucun / int\xE9gr\xE9 et inamovible / 2 disques durs / 1 disque dur\ + \ SSD\u2026)" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1 + ref_id: 4.1.1.5 + description: "L\u2019inventaire doit \xEAtre mis \xE0 jour pour tout d\xE9but\ + \ ou fin de d\xE9tention d\u2019\xE9quipement qui entre dans le p\xE9rim\xE8\ + tre de l\u2019inventaire. L\u2019\xE9tiquetage doit \xEAtre r\xE9alis\xE9\ + \ conjointement \xE0 cette mise \xE0 jour." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1 + ref_id: 4.1.2 + name: Identifier les composants logiciels du SI + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.2 + ref_id: 4.1.2.1 + description: "Il doit \xEAtre \xE9tabli un inventaire de tout syst\xE8me d\u2019\ + exploitation et de toute application install\xE9s sur les \xE9quipements r\xE9\ + f\xE9renc\xE9s dans l\u2019inventaire des \xE9quipements informatiques.\n\n\ + Chaque structure doit fixer la granularit\xE9 qu\u2019elle souhaite pour cet\ + \ inventaire, sachant que la gestion d\u2019un inventaire au plus fin de chaque\ + \ composant logiciel (librairies logicielles notamment) est d\u2019une complexit\xE9\ + \ \xE9lev\xE9e sans toujours apporter une r\xE9elle plus-value. \n\nUn compl\xE9\ + ment \xE0 la r\xE8gle de base est propos\xE9 ci-apr\xE8s. La granularit\xE9\ + \ retenue pour cet inventaire est : \n\n- celle des ensembles logiciels dont\ + \ le service informatique g\xE8re unitairement l\u2019installation et le maintien\ + \ \xE0 jour ; \n- celle de l\u2019\xE9quipement lui-m\xEAme quand il s\u2019\ + agit d\u2019un logiciel embarqu\xE9 et int\xE9gr\xE9 qui assure l\u2019essentiel\ + \ des fonctions de l\u2019\xE9quipement. \uF040 A titre d\u2019exemples d\u2019\ + ensembles logiciels qui peuvent \xEAtre consid\xE9r\xE9s unitairement, on\ + \ peut citer : \n- le syst\xE8me d\u2019exploitation d\u2019un poste de travail\ + \ ou d\u2019un serveur et les \xE9ventuelles applications install\xE9es par\ + \ d\xE9faut avec lui ; \n- la suite bureautique dans son ensemble, m\xEAme\ + \ si celle-ci int\xE8gre plusieurs applications diff\xE9rentes ; \n- le logiciel\ + \ anti-virus du poste de travail ; \n- le syst\xE8me de base de donn\xE9es\ + \ et l\u2019application \xE0 laquelle il est d\xE9di\xE9 ; \n- le syst\xE8\ + me de base de donn\xE9es lui- m\xEAme, s\u2019il est utilis\xE9 de mani\xE8\ + re ind\xE9pendante par plusieurs applications ; \n- l\u2019ensemble logiciel\ + \ d\u2019un \xE9quipement m\xE9dical connect\xE9 ; \n- l\u2019ensemble logiciel\ + \ d\u2019un t\xE9l\xE9phone IP, ou d\u2019une imprimante. \n\nCette appr\xE9\ + ciation du \xAB bon niveau \xBB de granularit\xE9 reste d\xE9pendante du contexte\ + \ et rel\xE8ve d\u2019un compromis entre niveau de d\xE9tail et lourdeur de\ + \ gestion. Dans un premier temps, le choix se positionne g\xE9n\xE9ralement,\ + \ de mani\xE8re pragmatique, sur la granularit\xE9 de gestion des installations\ + \ de logiciels et de leur mise \xE0 jour que permettent les industriels." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.2 + ref_id: 4.1.2.2 + description: "Pour chaque entr\xE9e de l\u2019inventaire des logiciels, les\ + \ informations suivantes (au minimum) doivent \xE9galement \xEAtre renseign\xE9\ + es : \n\n- D\xE9signation \n- Cat\xE9gorie de logiciel \n- Fournisseur \n\ + - Applications ou composants principaux \n- Caract\xE9ristiques principales\ + \ \n- Responsable du logiciel \n- Type de d\xE9tention : propri\xE9t\xE9,\ + \ location, pr\xEAt \n- Propri\xE9taire du logiciel \n- Version \n- Niveau\ + \ de support assur\xE9 par l\u2019\xE9diteur (ex. pour Windows XP ou Office\ + \ 2003 : correctifs jusqu\u2019au 8 avril 2014, aucun ensuite) \n- Licence\ + \ : nombre d\u2019utilisateur, de postes, processeurs,\u2026 autoris\xE9s\ + \ \n- Date de fin de validit\xE9 de la licence \n- Liste des identifiants\ + \ d\u2019\xE9quipements sur lesquels l\u2019ensemble logiciel est install\xE9\ + \n\nCet inventaire peut \xE9galement \xEAtre le bon support pour noter et\ + \ suivre la date de derni\xE8re v\xE9rification de disponibilit\xE9 de mise\ + \ \xE0 jour pour chaque logiciel." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1 + ref_id: 4.1.3 + name: Identifier les services d'infrastructure du SI + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.3 + ref_id: 4.1.3.1 + description: "Les services techniques n\xE9cessaires au bon fonctionnement et\ + \ \xE0 la s\xE9curit\xE9 du SI doivent \xEAtre identifi\xE9s et document\xE9\ + s : \n\n- Alimentation \xE9lectrique des \xE9quipements informatiques ; \n\ + - Climatisation des locaux informatiques ; \n- Dispositifs anti-incendie des\ + \ locaux informatiques ; \n- Moyens de t\xE9l\xE9communications externes (lignes\ + \ ou liens d\u2019acc\xE8s aux r\xE9seaux t\xE9l\xE9phoniques, liens d\u2019\ + acc\xE8s Internet, liaisons de t\xE9l\xE9communications sp\xE9cifiques filaires,\ + \ radio, laser ou satellitaires\u2026) ; \n- Infrastructure de c\xE2blage\ + \ t\xE9l\xE9phonique ; \n- Infrastructure de contr\xF4le d\u2019acc\xE8s et\ + \ d\u2019alarme des locaux informatiques." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.3.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.3 + ref_id: 4.1.3.2 + description: "Les services informatiques d\u2019infrastructure n\xE9cessaires\ + \ au bon fonctionnement et \xE0 la s\xE9curit\xE9 du SI doivent \xEAtre identifi\xE9\ + s et document\xE9s : \n\n- Infrastructure r\xE9seau physique : c\xE2blage,\ + \ \xE9quipements r\xE9seau (routeurs, commutateurs, hubs, ponts, points d\u2019\ + acc\xE8s Wifi et zones de couverture associ\xE9es\u2026) ; \n- Infrastructure\ + \ r\xE9seau logique : plan d\u2019adressage, routage, VLAN, pare-feux, passerelles\ + \ ; \n- Services d\u2019infrastructure r\xE9seau : DHCP, DNS, NTP\u2026 \n\ + - Services de s\xE9curit\xE9 : services d\u2019authentification, service de\ + \ domaine, d\xE9tection d\u2019intrusion r\xE9seau, passerelles anti-virus,\ + \ service d\u2019enregistrement et de gestion de traces, annuaires utilisateurs\ + \ utilis\xE9s pour le contr\xF4le d\u2019acc\xE8s, services li\xE9s \xE0 la\ + \ mise en \u0153uvre de certificats \xE9lectroniques, service de sauvegarde,\ + \ services d\u2019administration des services de s\xE9curit\xE9\u2026 \n-\ + \ Services de t\xE9l\xE9phonie IP ; \n- Services d\u2019administration du\ + \ SI." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1 + ref_id: 4.1.4 + name: "V\xE9rifier r\xE9guli\xE8rement la compl\xE9tude du recensement et les\ + \ licences" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4 + ref_id: 4.1.4.1 + description: "Les proc\xE9dures de gestion du parc informatique doivent pr\xE9\ + voir la mise \xE0 jour de l\u2019inventaire et des informations associ\xE9\ + es \xE0 l\u2019occasion de toute entr\xE9e ou sortie du parc informatique,\ + \ quel que soit le statut de l\u2019\xE9l\xE9ment concern\xE9 (en propri\xE9\ + t\xE9 ou non de la structure)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4 + ref_id: 4.1.4.2 + description: "Une op\xE9ration annuelle d\u2019inventaire des composants du\ + \ parc informatique, mat\xE9riels comme logiciels, effectivement d\xE9ploy\xE9\ + s ou stock\xE9s doit \xEAtre organis\xE9e." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4 + ref_id: 4.1.4.3 + description: "Lorsque l\u2019inventaire annuel fait apparaitre des disparitions\ + \ au regard de l\u2019inventaire attendu, une investigation doit \xEAtre men\xE9\ + e pour chaque \xE9l\xE9ment manquant afin, au-del\xE0 du recouvrement des\ + \ biens, d\u2019en identifier les \xE9ventuels impacts sur la s\xE9curit\xE9\ + \ du SI. En particulier, il doit \xEAtre d\xE9termin\xE9 si les \xE9l\xE9\ + ments manquants participaient \xE0 la s\xE9curit\xE9 du SI, ou s\u2019ils\ + \ \xE9taient susceptible de stocker des informations \xE0 caract\xE8re personnel,\ + \ auquel cas le processus de gestion des \xE9v\xE8nements de s\xE9curit\xE9\ + \ doit \xEAtre activ\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4 + ref_id: 4.1.4.4 + description: "Lorsque l\u2019inventaire annuel fait apparaitre des \xE9l\xE9\ + ments impr\xE9vus au regard de l\u2019inventaire attendu, une investigation\ + \ doit \xEAtre men\xE9e pour chaque \xE9l\xE9ment concern\xE9 afin d\u2019\ + en identifier l\u2019origine et les \xE9ventuels impacts sur la s\xE9curit\xE9\ + \ du SI. Il doit \xEAtre port\xE9 un soin particulier \xE0 la d\xE9tection\ + \ des logiciels et \xE9quipements (borne Wifi, modem, composant USB inconnu\ + \ rajout\xE9 sur le branchement du clavier...) install\xE9s ill\xE9gitimement\ + \ et susceptibles de permettre des communications non ma\xEEtris\xE9es ou\ + \ des atteintes \xE0 la s\xE9curit\xE9 du SI. Le processus de gestion des\ + \ \xE9v\xE8nements de s\xE9curit\xE9 doit \xEAtre activ\xE9 dans ce type de\ + \ situation.\n\nUne autre raison pour laquelle la d\xE9tection de bornes Wifi\ + \ ill\xE9gitimes est indispensable est que ces bornes sont dispos\xE9es sans\ + \ \xE9tude pr\xE9alable de localisation ni de puissance. Elles sont de ce\ + \ fait susceptibles de perturber les \xE9quipements m\xE9dicaux, voire de\ + \ porter atteinte \xE0 la sant\xE9 des usagers." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4 + ref_id: 4.1.4.5 + description: "Outre l\u2019inventaire annuel, une op\xE9ration de recherche\ + \ doit \xEAtre men\xE9e au moins semestriellement afin de d\xE9tecter les\ + \ logiciels et \xE9quipements non g\xE9r\xE9s par le responsable du SI et\ + \ susceptibles de porter atteinte \xE0 la s\xE9curit\xE9 du SI, tels que :\ + \ \n\n- Logiciels destin\xE9s \xE0 l\u2019intrusion dans les SI ou \xE0 la\ + \ recherche de mots de passe ; \n- Logiciels destin\xE9s \xE0 \xE9tablir des\ + \ tunnels de communication avec l\u2019ext\xE9rieur ou de mani\xE8re g\xE9\ + n\xE9rale \xE0 contourner les dispositifs de s\xE9curit\xE9 du SI ; \n- Logiciels\ + \ cryptographiques (chiffrement\u2026) ; \n- Logiciels de communication instantan\xE9\ + e ou d\u2019\xE9change de donn\xE9es ; \n- Bornes Wifi ; \n- Adaptateurs Wifi\ + \ ou Bluetooth sur port USB ; \n- Modems ; \n- Tout composant inconnu connect\xE9\ + \ \xE0 un port USB ou rajout\xE9 au branchement du clavier. Le processus de\ + \ gestion des \xE9v\xE8nements de s\xE9curit\xE9 doit \xEAtre activ\xE9 en\ + \ cas de d\xE9tection.\n\nLa d\xE9tection des logiciels ill\xE9gitimes peut\ + \ \xEAtre r\xE9alis\xE9e, par exemple, \xE0 l\u2019aide d\u2019un logiciel\ + \ centralis\xE9 d\u2019inventaire logiciel, qui peut \xE9galement identifier\ + \ automatiquement les logiciels potentiellement n\xE9fastes.\n\nLa d\xE9tection\ + \ des adaptateurs Wifi sur USB et des modems ill\xE9gitimes peut \xEAtre r\xE9\ + alis\xE9e \xE0 l\u2019aide d\u2019un logiciel centralis\xE9 qui examine la\ + \ configuration des p\xE9riph\xE9riques de chaque \xE9quipement. Certains\ + \ logiciels utilisables pour d\xE9tecter les logiciels ill\xE9gitimes disposent\ + \ aussi de cette fonction. L\u2019utilisation temporaire d\u2019adaptateur\ + \ Wifi peut parfois \xEAtre d\xE9tect\xE9e par ce moyen, m\xEAme si l\u2019\ + adaptateur n\u2019est plus connect\xE9 au moment du contr\xF4le. \n\nLes mesures\ + \ de d\xE9tection des p\xE9riph\xE9riques ill\xE9gitimes, l\u2019identification/authentification\ + \ des \xE9quipements connect\xE9s au SI et la recherche de flux anormaux sur\ + \ le r\xE9seau constituent un premier niveau pour d\xE9tecter ou interdire\ + \ la mise en place d\u2019acc\xE8s Wifi ill\xE9gitimes.\n\nLa d\xE9tection\ + \ et la localisation de bornes Wifi ill\xE9gitimes peut \xEAtre effectu\xE9\ + e avec la meilleure fiabilit\xE9 en utilisant des dispositifs qui s\u2019\ + appuient sur la d\xE9tection radio de ces bornes, que ce soit \xE0 l\u2019\ + aide d\u2019un \xE9quipement d\xE9di\xE9, ou d\u2019un logiciel sp\xE9cifique\ + \ install\xE9 sur un portable standard disposant d\u2019une carte Wifi (ce\ + \ sont souvent les m\xEAmes outils que ceux utilis\xE9s pour choisir le bon\ + \ positionnement des bornes l\xE9gitimes). \n\nIl convient de souligner que\ + \ des points d\u2019acc\xE8s Wifi peuvent tr\xE8s bien \xEAtre d\xE9tect\xE9\ + s dans une structure sans que la s\xE9curit\xE9 du SI soit impact\xE9e. C\u2019\ + est notamment le cas de structure qui accueillent du public, o\xF9 certains\ + \ visiteurs non malveillants peuvent avoir activ\xE9 le mode \xAB point d\u2019\ + acc\xE8s Wifi \xBB sur leur t\xE9l\xE9phone mobile. Cette innocuit\xE9 envers\ + \ le SI n\u2019enl\xE8ve toutefois rien aux risques de perturbation des \xE9\ + quipements m\xE9dicaux." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4 + ref_id: 4.1.4.6 + description: "L\u2019inventaire annuel doit comptabiliser les utilisations qui\ + \ sont faites des logiciels soumis \xE0 licence. La v\xE9rification que les\ + \ licences d\xE9tenues suffisent \xE0 r\xE9pondre \xE0 cet usage doit alors\ + \ \xEAtre effectu\xE9e. En cas d\u2019insuffisance, il devra \xEAtre proc\xE9\ + d\xE9 \xE0 la d\xE9sinstallation des exemplaires surnum\xE9raires des logiciels\ + \ concern\xE9s, ou de l\u2019acquisition rapide des licences suppl\xE9mentaires\ + \ n\xE9cessaires." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4 + ref_id: '4.2' + name: "G\xE9rer le r\xE9seau local" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2 + ref_id: 4.2.1 + name: "Identifier ou authentifier chaque \xE9quipement connect\xE9 au SI" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1 + ref_id: 4.2.1.1 + description: "Tout \xE9quipement connect\xE9 au SI doit pr\xE9alablement avoir\ + \ \xE9t\xE9 r\xE9pertori\xE9 dans l\u2019inventaire et avoir \xE9t\xE9 explicitement\ + \ autoris\xE9 \xE0 \xEAtre connect\xE9 au SI." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1 + ref_id: 4.2.1.2 + description: "L\u2019infrastructure r\xE9seau du SI doit v\xE9rifier que tout\ + \ \xE9quipement que l\u2019on raccorde est effectivement autoris\xE9 \xE0\ + \ \xEAtre connect\xE9 au SI. Au minimum, une autorisation d\u2019acc\xE8s\ + \ au r\xE9seau bas\xE9e sur le contr\xF4le des adresses MAC doit \xEAtre effectu\xE9\ + e par l\u2019infrastructure r\xE9seau. Si possible et afin de simplifier la\ + \ gestion du r\xE9seau, l\u2019autorisation d\u2019acc\xE8s au r\xE9seau doit\ + \ se baser sur l\u2019identification et l\u2019authentification des \xE9quipements\ + \ \xE0 l\u2019aide du protocole 802.1x pour tous les \xE9quipements qui le\ + \ supportent. Les \xE9quipements qui ne supportent pas 802.1x peuvent \xEA\ + tre identifi\xE9s par leur seule adresse MAC (\xAB MAC Authentication Bypass\ + \ \xBB par exemple), mais doivent alors \xEAtre trait\xE9s sp\xE9cifiquement\ + \ en \xE9tant affect\xE9s \xE0 un r\xE9seau virtuel distinct (voir r\xE8gles\ + \ T4-2.2)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1 + ref_id: 4.2.1.3 + description: "Si un \xE9quipement est raccord\xE9 au r\xE9seau mais qu\u2019\ + il n\u2019est pas autoris\xE9 (ou ni m\xEAme connu), l\u2019une des deux options\ + \ suivantes doit \xEAtre appliqu\xE9e : \n\n- Soit l\u2019\xE9quipement est\ + \ automatiquement raccord\xE9 \xE0 un r\xE9seau \xAB invit\xE9 \xBB consid\xE9\ + r\xE9 comme non s\xFBr, qui peut offrir un ensemble de services restreints\ + \ ; \n- Soit toute communication r\xE9seau entre l\u2019\xE9quipement et le\ + \ reste de l\u2019infrastructure est interdite." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1 + ref_id: 4.2.1.4 + description: "Les mesures d\u2019authentification des \xE9quipements, de contr\xF4\ + le d\u2019acc\xE8s au r\xE9seau et de cloisonnement du r\xE9seau doivent permettre\ + \ de parer aux risques d\u2019usurpation d\u2019adresse MAC et d\u2019adresse\ + \ r\xE9seau et, quand l\u2019authentification n\u2019est pas possible de mani\xE8\ + re fiable, de limiter au maximum l\u2019impact d\u2019une telle usurpation\ + \ en restreignant les flux autoris\xE9s et en surveillant l\u2019activit\xE9\ + \ r\xE9seau." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1 + ref_id: 4.2.1.5 + description: "Pour ce qui concerne les terminaux mobiles susceptibles d\u2019\ + \xEAtre directement raccord\xE9s \xE0 des environnements externes (ordinateur\ + \ portable, ordiphone, \u2026), l\u2019autorisation d\u2019acc\xE8s au r\xE9\ + seau interne doit \xE9galement \xEAtre conditionn\xE9e par la v\xE9rification\ + \ de conformit\xE9 de l\u2019\xE9quipement aux r\xE8gles de la th\xE9matique\ + \ T4-5 (notamment bon fonctionnement d\u2019un antivirus \xE0 jour) dans une\ + \ phase interm\xE9diaire entre l\u2019authentification et l\u2019autorisation\ + \ d\u2019acc\xE8s." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1 + ref_id: 4.2.1.6 + description: "Une trace doit \xEAtre conserv\xE9e de toute tentative de raccordement\ + \ d\u2019\xE9quipement, qu\u2019elle soit autoris\xE9e ou non et de la suite\ + \ qui lui est donn\xE9e. En cas de tentative de raccordement non autoris\xE9\ + \ et s\u2019il n\u2019est pas pr\xE9vu d\u2019acc\xE8s \xAB invit\xE9 \xBB\ + \ dans cette situation, une alerte de s\xE9curit\xE9 doit \xEAtre \xE9mise." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1 + ref_id: 4.2.1.7 + description: "Il doit \xEAtre d\xE9fini une proc\xE9dure qui permette, \xE0\ + \ partir des informations qui caract\xE9risent un flux observ\xE9 en un point\ + \ du r\xE9seau informatique, d\u2019identifier et de localiser les \xE9quipements\ + \ d\u2019extr\xE9mit\xE9 concern\xE9s. \n\nUne telle proc\xE9dure s\u2019\ + appuie typiquement sur les adresses IP et MAC impliqu\xE9es dans le flux,\ + \ sur l\u2019inventaire informatique, la documentation de l\u2019architecture\ + \ r\xE9seau, les informations fournies par les \xE9quipements r\xE9seau et\ + \ s\xE9curit\xE9. Le cas \xE9ch\xE9ant ces informations sont centralis\xE9\ + es \xE0 l\u2019aide d\u2019une plateforme d\u2019administration du r\xE9seau." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2 + ref_id: 4.2.2 + name: "Cloisonner les r\xE9seaux selon les besoins de s\xE9curit\xE9" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2 + ref_id: 4.2.2.1 + description: "Une cartographie des \xE9changes r\xE9seaux entre les diff\xE9\ + rents \xE9quipements connect\xE9s doit \xEAtre \xE9tablie. Elle doit permettre\ + \ de d\xE9terminer, au sein des diff\xE9rents \xE9quipements, \xAB qui est\ + \ cens\xE9 communiquer avec qui \xBB. Un second niveau de cartographie, plus\ + \ d\xE9taill\xE9, est pr\xE9vu dans un deuxi\xE8me temps par la r\xE8gle 4.2.2.2." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2 + ref_id: 4.2.2.2 + description: "Un recensement des flux r\xE9seaux doit \xEAtre effectu\xE9 et\ + \ maintenu \xE0 jour. Il doit pr\xE9ciser, pour chaque flux : \n\n- le responsable\ + \ technique du flux ; \n- le responsable m\xE9tier du flux ; \n- le niveau\ + \ d\u2019exigence en termes de disponibilit\xE9 et de confidentialit\xE9,\ + \ ainsi que les autres contraintes (d\xE9lai de transit, stabilit\xE9 du d\xE9\ + lai de transit\u2026) ; \n- les sp\xE9cificit\xE9s \xE9ventuelles (plage d\u2019\ + activit\xE9, forte volum\xE9trie en continu ou par pics\u2026)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2 + ref_id: 4.2.2.3 + description: "Les flux identifi\xE9s doivent \xEAtre positionn\xE9s en fonction\ + \ de leurs caract\xE9ristiques dans une ou plusieurs des cat\xE9gories suivantes\ + \ (indiqu\xE9es pour exemple) : \n\n- Flux volumineux (ex. : imagerie m\xE9\ + dicale, dont les flux doivent transiter dans des d\xE9lais acceptables et\ + \ sans perturber le reste des applications) ; \n- Flux \xE0 caract\xE8re vital\ + \ (ex : consultation de dossier m\xE9dical en zone de soins) ; \n- Flux confidentiel\ + \ (ex. : informations \xE0 caract\xE8re personnel) ; \n- Flux Temps R\xE9\ + el (ex. : t\xE9l\xE9phonie IP, visioconf\xE9rence) ; \n- Flux d\u2019origine\ + \ non ma\xEEtris\xE9e (ex. : r\xE9seau \xAB invit\xE9s \xBB, wifi, Internet,\ + \ \u2026) ; \n- Flux d\u2019administration du SI et de la s\xE9curit\xE9 ;\ + \ \n- Flux standard (par d\xE9faut). Ces cat\xE9gories constituent une base\ + \ essentielle pour la d\xE9finition de l\u2019architecture et le param\xE9\ + trage du r\xE9seau et de son cloisonnement." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2 + ref_id: 4.2.2.4 + description: "Le cloisonnement du r\xE9seau peut s\u2019appuyer sur deux techniques,\ + \ si n\xE9cessaire cumulables, qui seront choisies selon leur ad\xE9quation\ + \ au besoin et leur disponibilit\xE9 sur les \xE9quipements r\xE9seau utilis\xE9\ + s : \n\n- La mise en \u0153uvre de r\xE9seaux virtuels (\xAB VLAN \xBB) qui\ + \ offrent un cloisonnement \xAB logique \xBB des r\xE9seaux tout en partageant\ + \ une m\xEAme infrastructure physique et permettent une grande souplesse de\ + \ gestion ; \n- La mise en \u0153uvre de segments r\xE9seau physique et d\u2019\ + \xE9quipements s\xE9par\xE9s et d\xE9di\xE9s." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2 + ref_id: 4.2.2.5 + description: "Les flux confidentiels et les flux sensibles (flux d\u2019administration\ + \ des syst\xE8mes et des \xE9quipements r\xE9seaux) doivent \xEAtre confin\xE9\ + s, par la mise en \u0153uvre de cloisonnement, aux seuls \xE9quipements dont\ + \ ils sont issus ou auxquels ils sont destin\xE9s (hors infrastructure r\xE9\ + seau). A d\xE9faut d\u2019un tel cloisonnement, ces flux doivent utiliser\ + \ des canaux de communication qui mettent en \u0153uvre un chiffrement et\ + \ un contr\xF4le d\u2019int\xE9grit\xE9 des donn\xE9es (SSH, HTTPS, SSL, TLS\u2026\ + )" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2 + ref_id: 4.2.2.6 + description: "Les flux d\u2019origine non ma\xEEtris\xE9e (ex. : un r\xE9seau\ + \ \xAB invit\xE9s \xBB pour la connexion des ordinateurs portable des visiteurs)\ + \ doivent \xEAtre confin\xE9s dans un r\xE9seau d\xE9di\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2 + ref_id: 4.2.2.7 + description: "Les besoins li\xE9s aux performances du r\xE9seau, par exemple\ + \ pour les flux volumineux ou les flux Temps R\xE9el, peuvent \xEAtre trait\xE9\ + s : \n\n- soit par param\xE9trage de la qualit\xE9 de service qui leur est\ + \ appliqu\xE9e (ou qui est appliqu\xE9e au r\xE9seau virtuel auquel sont affect\xE9\ + s les \xE9quipements concern\xE9s) ; \n- soit par la mise en \u0153uvre d\u2019\ + un r\xE9seau physique d\xE9di\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.8 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2 + ref_id: 4.2.2.8 + description: "Les besoins de haute disponibilit\xE9 du r\xE9seau, par exemple\ + \ pour les flux \xE0 caract\xE8re vital, sont trait\xE9s par la mise en \u0153\ + uvre de liaisons physiques et \xE9quipements r\xE9seau qui permettent des\ + \ chemins multiples entre l\u2019origine et la destination des flux et l\u2019\ + activation de protocoles r\xE9seau qui permettent une reconfiguration automatiques\ + \ des chemins emprunt\xE9s par les flux en cas de d\xE9faillance d\u2019une\ + \ partie du r\xE9seau." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.9 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2 + ref_id: 4.2.2.9 + description: "L\u2019interconnexion de \xAB bulles r\xE9seau \xBB, cloisonn\xE9\ + es pour des raisons autres que les seules performances ou disponibilit\xE9\ + , doit \xEAtre r\xE9alis\xE9e exclusivement via des \xE9quipements de s\xE9\ + curit\xE9 adapt\xE9s (pare-feu, passerelle\u2026) 4.2.2.10 Outre les exigences\ + \ de cloisonnement \xE9voqu\xE9es par ailleurs, les environnements suivants\ + \ doivent \xE9galement, sauf impossibilit\xE9 technique, \xEAtre cloisonn\xE9\ + s : \n\n- serveurs de production ; \n- postes et \xE9quipements pour les activit\xE9\ + s normales des utilisateurs ; \n- environnement de d\xE9veloppement ; \n-\ + \ environnement de recette ; \n- environnement de formation ; \n- environnement\ + \ d\u2019administration des syst\xE8mes, des r\xE9seaux et de la SSI." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4 + ref_id: '4.3' + name: "G\xE9rer la connexion Internet" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3 + ref_id: 4.3.1 + name: "S\xE9curiser la connexion Internet" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1 + ref_id: 4.3.1.1 + description: "La connexion \xE0 Internet doit \xEAtre s\xE9par\xE9e du reste\ + \ du SI par au moins un dispositif de filtrage r\xE9seau (\xAB pare- feu \xBB\ + \ ou \xAB firewall \xBB). \n\nUne \xAB Box Internet \xBB seule, si elle fournit\ + \ parfois certaines fonctionnalit\xE9s qui am\xE9liorent la s\xE9curit\xE9\ + \ par rapport \xE0 une connexion directe \xE0 Internet, ne constitue g\xE9\ + n\xE9ralement pas un dispositif de filtrage r\xE9seau suffisant pour un contexte\ + \ d\u2019ES." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1 + ref_id: 4.3.1.2 + description: "Les dispositifs de filtrage r\xE9seau doivent \xEAtre param\xE9\ + tr\xE9s sur un principe de \xAB liste blanche \xBB : tout flux qui n\u2019\ + est pas explicitement autoris\xE9 est interdit." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1 + ref_id: 4.3.1.3 + description: "Les flux r\xE9seau \xAB sortants \xBB, issus du SI \xE0 destination\ + \ d\u2019Internet, doivent transiter par des dispositifs relais ou \xAB proxy\ + \ \xBB, qui assurent une v\xE9rification des \xE9changes du point de vue protocolaire\ + \ et qui int\xE8grent une d\xE9tection et un blocage automatique des contenus\ + \ potentiellement malveillants. Cette r\xE8gle doit notamment \xEAtre appliqu\xE9\ + e aux flux de type : \n\n- Web (HTTP), par un relai \xAB proxy web \xBB \n\ + - Transferts de fichiers (FTP) \n- Messagerie (SMTP) \n- Noms de domaines\ + \ (DNS) \n\nOn appelle ici \xAB flux sortants \xBB les donn\xE9es \xE9chang\xE9\ + es dans les deux sens avec Internet mais r\xE9sultant de l\u2019action d\u2019\ + un utilisateur interne ou d\u2019un dispositif interne (ex : consultation\ + \ web Internet, envoi de courrier \xE9lectronique)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1 + ref_id: 4.3.1.4 + description: "Les dispositifs relais pour les flux \xAB sortants \xBB doivent\ + \ \xEAtre h\xE9berg\xE9s dans une DMZ d\xE9di\xE9e et ne doivent pouvoir communiquer\ + \ avec Internet d\u2019une part et avec le reste du SI d\u2019autre part,\ + \ qu\u2019\xE0 travers un dispositif de filtrage.\n\nSelon le trafic r\xE9\ + seau envisag\xE9, les diff\xE9rents services relais peuvent \xEAtre regroup\xE9\ + s sur un m\xEAme \xE9quipement. Le reste du SI doit bien entendu \xEAtre param\xE9\ + tr\xE9 en coh\xE9rence afin que les flux sortants transitent par ces relais.\ + \ \n\nCertains bo\xEEtiers d\u2019acc\xE8s Internet (\xAB Box Internet \xBB\ + ) grand public permettent la mise en \u0153uvre d\u2019une telle DMZ. Si l\u2019\ + architecture r\xE9seau ne permet pas la mise en \u0153uvre de DMZ, une solution\ + \ d\xE9grad\xE9e et temporaire consiste \xE0 mettre en place les dispositifs\ + \ relais sur le r\xE9seau interne du SI. Comme dans le cas g\xE9n\xE9ral,\ + \ seuls les flux issus de ces dispositifs doivent \xEAtre autoris\xE9s \xE0\ + \ traverser le dispositif de filtrage.\n\nCertaines \xAB Box Internet \xBB\ + \ disposent d\u2019une fonction de \xAB contr\xF4le parental \xBB, qui peut\ + \ constituer une solution d\xE9grad\xE9e et temporaire pour fournir un filtrage\ + \ macroscopique des flux sortants : \xE9quipements autoris\xE9s \xE0 acc\xE9\ + der \xE0 Internet, restriction des services permis, plages ------ horaires\ + \ autoris\xE9es\u2026" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1 + ref_id: 4.3.1.5 + description: "Les services offerts par le SI et destin\xE9s \xE0 \xEAtre consult\xE9\ + s depuis Internet doivent \xEAtre h\xE9berg\xE9s sur des \xE9quipements d\xE9\ + di\xE9s. Ces \xE9quipements doivent \xEAtre exclusivement rattach\xE9s \xE0\ + \ une DMZ d\xE9di\xE9e \xE0 ces acc\xE8s \xAB entrants \xBB qui ne peut communiquer\ + \ avec Internet d\u2019une part et avec le reste du SI d\u2019autre part qu\u2019\ + \xE0 travers un dispositif de filtrage. Exemples de services concern\xE9s\ + \ : \n\n- Service DNS public (serveurs primaire et secondaires) ; \n- Service\ + \ web public ; \n- Service web \xAB extranet \xBB ; \n- Service de messagerie\ + \ entrant (SMTP) ; \n- Service de consultation de messagerie depuis Internet\ + \ (IMAP, POP3\u2026 \xE0 mettre en \u0153uvre uniquement avec la version \xAB\ + \ s\xE9curis\xE9e \xBB de ces protocoles)\n\nSi l\u2019architecture r\xE9\ + seau ne permet pas de mettre en place une telle DMZ, l\u2019h\xE9bergement\ + \ externe (chez un prestataire) de ces services doit \xEAtre envisag\xE9.\n\ + \nDans certains cas, les enjeux de s\xE9curit\xE9 de l\u2019information li\xE9\ + s \xE0 certains services (ex. : intranets, certains extranets) peut justifier\ + \ qu\u2019ils soient positionn\xE9s dans une DMZ diff\xE9rente de celle qui\ + \ h\xE9berge les services accessibles \xE0 tout public (ex. : web institutionnel\ + \ \xAB vitrine \xBB)" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1 + ref_id: 4.3.1.6 + description: "Les flux r\xE9seau \xAB entrants \xBB, issus d\u2019Internet \xE0\ + \ destination de services accessibles depuis Internet, doivent transiter par\ + \ des dispositifs relais ou \xAB reverse proxy \xBB, qui assurent une v\xE9\ + rification des \xE9changes du point de vue protocolaire et qui int\xE8grent\ + \ une d\xE9tection et un blocage automatique des contenus potentiellement\ + \ malveillants, chaque fois que ce type de dispositif de s\xE9curit\xE9 est\ + \ disponible. Cette r\xE8gle doit notamment \xEAtre appliqu\xE9e aux flux\ + \ de type : \n\n- Web (HTTP, HTTPS), via un \xAB reverse proxy \xBB \n- Transferts\ + \ de fichiers (FTP) \n- Messagerie (SMTP)\n\nL\u2019utilisation d\u2019un\ + \ \xAB reverse proxy \xBB, qui peut \xEAtre mutualis\xE9 entre plusieurs services\ + \ ouverts sur Internet, est particuli\xE8rement importante pour d\xE9tecter\ + \ et bloquer des vuln\xE9rabilit\xE9s \xAB g\xE9n\xE9riques \xBB potentiellement\ + \ pr\xE9sentes dans les applications web. Elle permet aussi, en cas de vuln\xE9\ + rabilit\xE9 identifi\xE9e, de mettre rapidement en place des mesures de protection,\ + \ dans l\u2019attente de l\u2019installation d\u2019un correctif sp\xE9cifique\ + \ \xE0 l\u2019application." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1 + ref_id: 4.3.1.7 + description: "Quand le SI s\u2019appuie sur une architecture virtualis\xE9e,\ + \ il est important de garantir que les machines virtuelles utilis\xE9es pour\ + \ les DMZ en communication directe avec Internet sont positionn\xE9es sur\ + \ un ou des serveurs physiques d\xE9di\xE9s et distincts des serveurs physiques\ + \ utilis\xE9s pour le SI interne." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3 + ref_id: 4.3.2 + name: "Limiter les acc\xE8s Internet en conformit\xE9 avec la Charte d\u2019\ + Utilisation des Ressources Informatiques" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2 + ref_id: 4.3.2.1 + description: "Le dispositif relai \xAB proxy web \xBB qui permet l\u2019acc\xE8\ + s \xE0 Internet aux utilisateurs internes du SI pour la navigation web, voire\ + \ pour le transfert de fichiers, doit assurer l\u2019authentification de tout\ + \ utilisateur avant de lui permettre cet acc\xE8s s\u2019il y est autoris\xE9\ + ." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2 + ref_id: 4.3.2.2 + description: "Le dispositif relai \xAB proxy web \xBB doit int\xE9grer une cat\xE9\ + gorisation des sites web d\u2019Internet et \xEAtre param\xE9tr\xE9 pour n\u2019\ + autoriser l\u2019acc\xE8s qu\u2019aux sites appartenant \xE0 des cat\xE9gories\ + \ l\xE9gitimes au regard de la Charte d\u2019Utilisation des Ressources Informatiques\ + \ et non risqu\xE9es du point de vue SSI. \n\nLa cat\xE9gorisation des sites\ + \ web doit \xEAtre publi\xE9e r\xE9guli\xE8rement par le fournisseur (ou l\u2019\ + \xE9diteur) du dispositif relai et mise \xE0 jour automatiquement.\n\nUne\ + \ attribution de droits d\u2019acc\xE8s diff\xE9renci\xE9s aux cat\xE9gories\ + \ de sites web doit \xEAtre possible pour certains utilisateurs. C'est le\ + \ cas, par exemple, pour les exploitants informatiques ou pour les personnes\ + \ en charge de la s\xE9curit\xE9 du SI, qui doivent pouvoir acc\xE9der \xE0\ + \ certains sites d\u2019information sur la SSI souvent cat\xE9goris\xE9s comme\ + \ \xAB risqu\xE9s \xBB dans les dispositifs de filtrage web du fait des sujets\ + \ trait\xE9s (protections mais aussi m\xE9thodes de piratage informatiques\u2026\ + )." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2 + ref_id: 4.3.2.3 + description: "Le dispositif relai \xAB proxy web \xBB doit bloquer toute communication\ + \ web en mode \xAB s\xE9curis\xE9 \xBB (SSL/TLS) vers les sites ne faisant\ + \ pas partie d\u2019une liste blanche de sites web auxquels l\u2019acc\xE8\ + s est n\xE9cessaire \xE0 l\u2019activit\xE9 de la structure. \n\nUn site web\ + \ ne doit \xEAtre ajout\xE9 \xE0 cette liste blanche qu\u2019apr\xE8s v\xE9\ + rification que la demande d\u2019acc\xE8s est justifi\xE9e et valid\xE9e par\ + \ un responsable m\xE9tier et que le site lui-m\xEAme ne pr\xE9sente pas de\ + \ risque pour la s\xE9curit\xE9 (pas de possibilit\xE9 de rebond vers un autre\ + \ site ou d\u2019acc\xE8s \xE0 des contenus interdits par la Charte, pas de\ + \ mise en \u0153uvre de logiciels qui s\u2019installent dans le navigateur\ + \ de l\u2019utilisateur,\u2026). Une recherche sur Internet ou sur le site\ + \ de l\u2019\xE9diteur du \xAB proxy web \xBB peut donner ce type de renseignements.\n\ + \nIl est souhaitable qu\u2019une attribution de droits d\u2019acc\xE8s diff\xE9\ + renci\xE9s aux sites web en mode s\xE9curis\xE9 soit possible afin de pouvoir\ + \ g\xE9rer de mani\xE8re souple les in\xE9vitables besoins de d\xE9rogation\ + \ sans devoir \xE9tendre cette possibilit\xE9 d\u2019acc\xE8s \xE0 l\u2019\ + ensemble des utilisateurs." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2 + ref_id: 4.3.2.4 + description: "Une proc\xE9dure de demande d\u2019ouverture de flux vers Internet\ + \ pour d\u2019autres protocoles que web et de d\xE9cision d\u2019autorisation\ + \ ou de refus, doit \xEAtre d\xE9finie." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2 + ref_id: 4.3.2.5 + description: "Cette proc\xE9dure doit imposer, pour chaque autorisation d\u2019\ + ouverture de flux, de restreindre autant que possible, outre le protocole\ + \ utilis\xE9, aussi bien la destination (externe) de la connexion autoris\xE9\ + e que son origine (interne) et le cas \xE9chant de la limiter \xE0 certaines\ + \ plages horaires (si le dispositif de filtrage supporte cette fonctionnalit\xE9\ + ).\n\nSi le dispositif de filtrage permet une authentification pr\xE9alable\ + \ de l\u2019utilisateur pour ce protocole, cette fonctionnalit\xE9 doit \xEA\ + tre mise en \u0153uvre." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2 + ref_id: 4.3.2.6 + description: "Les autorisations d\u2019ouverture de flux doivent \xEAtre donn\xE9\ + es pour une dur\xE9e limit\xE9e et doivent faire l\u2019objet d\u2019un revalidation\ + \ r\xE9guli\xE8re du besoin aupr\xE8s du responsable m\xE9tier concern\xE9\ + , selon une p\xE9riodicit\xE9 au moins annuelle." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3 + ref_id: 4.3.3 + name: Conserver une trace des connexions Internet + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3 + ref_id: 4.3.3.1 + description: "Les dispositifs relais \xAB proxy web \xBB doivent \xEAtre param\xE9\ + tr\xE9s pour g\xE9n\xE9rer une trace de toute connexion qu\u2019ils traitent.\ + \ Cette trace doit comporter au minimum les informations suivantes : \n\n\ + - Date et heure de l\u2019\xE9v\xE8nement \n- Identification de l\u2019utilisateur\ + \ \n- Etat d\u2019authentification de l\u2019utilisateur \n- Equipement \xE0\ + \ l\u2019origine de la requ\xEAte : adresse IP, port TCP \n- Requ\xEAte HTTP\ + \ : commande, url demand\xE9e, volume transmis \n- Etat d\u2019autorisation\ + \ de la requ\xEAte par le proxy \n- Raison du refus \xE9ventuel de la requ\xEA\ + te (ex : cat\xE9gorie de site interdite) \n- Destination de la connexion :\ + \ adresse IP et port TCP \n- Statut de la r\xE9ponse \xE0 la requ\xEAte \n\ + - Volume transf\xE9r\xE9 dans chaque sens \n- Dur\xE9e de la connexion \n\ + - Raison du blocage \xE9ventuel de la r\xE9ponse par le proxy (ex : nature\ + \ du contenu malveillant d\xE9tect\xE9, site web n\u2019appartenant pas \xE0\ + \ une cat\xE9gorie de sites autoris\xE9e\u2026)" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3 + ref_id: 4.3.3.2 + description: "Les \xE9quipements de filtrage r\xE9seau doivent \xEAtre param\xE9\ + tr\xE9s pour g\xE9n\xE9rer une trace pour tout flux autoris\xE9 vers ou depuis\ + \ Internet. Cette trace doit comporter au minimum les informations suivantes\ + \ : \n\n- Date et heure de l\u2019\xE9v\xE8nement \n- Equipement \xE0 l\u2019\ + origine du flux : adresse IP \n- Equipement destinataire du flux : adresse\ + \ IP \n- Protocole r\xE9seau : TCP, UDP, ICMP, \u2026 \n- Port ou service\ + \ source, Port ou service destination \n- Etat d\u2019autorisation par l\u2019\ + \xE9quipement de filtrage (autoris\xE9 ou bloqu\xE9) \n- Volume transf\xE9\ + r\xE9 dans chaque sens \n- Dur\xE9e de la connexion (quand applicable)" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3 + ref_id: 4.3.3.3 + description: "Les \xE9quipements de filtrage r\xE9seau doivent \xEAtre param\xE9\ + tr\xE9s pour g\xE9n\xE9rer une trace, sur le m\xEAme mod\xE8le, pour tout\ + \ flux, autoris\xE9 ou bloqu\xE9, issu d\u2019une DMZ." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3 + ref_id: 4.3.3.4 + description: "Il est recommand\xE9 que les \xE9quipements de filtrage r\xE9\ + seau g\xE9n\xE8rent \xE9galement une trace, sur le m\xEAme mod\xE8le, pour\ + \ tout flux bloqu\xE9 issus du SI interne et \xE0 destination d\u2019Internet\ + \ ou des DMZ." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3 + ref_id: 4.3.3.5 + description: "Les traces g\xE9n\xE9r\xE9es doivent \xEAtre g\xE9r\xE9es conform\xE9\ + ment aux r\xE8gles de la th\xE9matique 7-2.2." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3 + ref_id: 4.3.3.6 + description: "Les utilisateurs du SI doivent \xEAtre inform\xE9s que les acc\xE8\ + s \xE0 Internet sont trac\xE9s \xE0 des fins de s\xE9curit\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4 + ref_id: '4.4' + name: "G\xE9rer les connexions sans fil" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4 + ref_id: 4.4.1 + name: "S\xE9curiser la mise en place d\u2019un point d\u2019acc\xE8s Wifi" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.1 + description: "Seul le personnel ou les soci\xE9t\xE9s d\xE9sign\xE9es par le\ + \ responsable du SIS, ou leurs d\xE9l\xE9gataires en charge de la gestion\ + \ des r\xE9seaux informatiques, peuvent mettre en place et g\xE9rer un point\ + \ d\u2019acc\xE8s Wifi. Une proc\xE9dure d'installation et de s\xE9curisation\ + \ des points d'acc\xE8s doit \xEAtre formalis\xE9e. Elle doit \xEAtre mise\ + \ en \u0153uvre lors de chaque installation d'un nouvel \xE9quipement." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.2 + description: "Le point d\u2019acc\xE8s Wifi doit \xEAtre compatible avec la\ + \ norme IEEE 802.11. Le choix des canaux de Les r\xE8gles de s\xE9curit\xE9\ + \ propos\xE9es pour cette th\xE9matique sont issues du \xAB Guide pratique\ + \ sp\xE9cifique pour la mise en place d\u2019un acc\xE8s Wifi \xBB [R\xE9\ + f. n\xB017] du corpus documentaire PGSSI-S. Ce guide peut \xEAtre utilement\ + \ consult\xE9 pour plus d\u2019informations sur le sujet Wifi. transmission\ + \ du Wifi doit \xEAtre effectu\xE9 de mani\xE8re \xE0 ne pas cr\xE9er d\u2019\ + interf\xE9rences avec d\u2019autres \xE9quipements ou entre les diff\xE9rents\ + \ r\xE9seaux wifi mis en \u0153uvre (acc\xE8s PS, acc\xE8s technique et acc\xE8\ + s invit\xE9)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.3 + description: "Pour pr\xE9venir toute interf\xE9rence potentielle, les recommandations\ + \ des fournisseurs d\u2019\xE9quipements de sant\xE9 install\xE9s \xE0 port\xE9\ + e du point d\u2019acc\xE8s Wifi doivent \xEAtre respect\xE9es. Une \xE9tude\ + \ doit \xEAtre men\xE9e dans ce sens avant toute mise en \u0153uvre de point\ + \ d\u2019acc\xE8s Wifi." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.4 + description: "Le nombre de bornes, leur positionnement ainsi que la puissance\ + \ du signal Wifi doivent \xEAtre adapt\xE9s \xE0 la superficie de la zone\ + \ \xE0 couvrir." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.5 + description: "Il convient de pr\xE9voir, pour les \xE9quipements connect\xE9\ + s par Wifi, un mode d\xE9grad\xE9 permettant de garantir la continuit\xE9\ + \ des activit\xE9s en cas de dysfonctionnement des communications Wifi." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.6 + description: "Comme tous les \xE9quipements connect\xE9s au r\xE9seau, les \xE9\ + quipements Wifi (bornes, c\xE2bles d\u2019acc\xE8s\u2026) doivent, autant\ + \ que faire se peut, \xEAtre prot\xE9g\xE9s et non accessibles au public afin\ + \ d\u2019\xE9viter : \n\n- un acc\xE8s direct au r\xE9seau interne du SIS,\ + \ par exemple en d\xE9connectant le c\xE2ble de connexion et en l\u2019utilisant\ + \ directement sur son mat\xE9riel ; \n- ou une r\xE9initialisation non contr\xF4\ + l\xE9e de l\u2019\xE9quipement. Cette protection peut \xEAtre mise en \u0153\ + uvre par une combinaison de dispositions physiques et de configuration du\ + \ mat\xE9riel par exemple routeur wifi dans une boite ferm\xE9e \xE0 clef,\ + \ routeur wifi positionn\xE9 dans le champ de vision du personnel, d\xE9sactivation\ + \ des connecteurs RJ45 femelles non utilis\xE9s, authentification du routeur\ + \ sur le r\xE9seau filaire\u2026" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.7 + description: "L'identifiant du r\xE9seau Wifi (SSID) doit \xEAtre anonymis\xE9\ + \ afin d\u2019\xE9viter de faire apparaitre le nom de l'op\xE9rateur internet\ + \ et de donner toute information qui permettrait \xE0 une personne mal intentionn\xE9\ + e de se connecter au r\xE9seau. Il peut \xE9galement \xEAtre rendu invisible,\ + \ n\xE9cessitant ainsi, lors de sa premi\xE8re connexion, que l'utilisateur\ + \ entre manuellement les informations du SSID au lieu de la s\xE9lectionner\ + \ dans la liste des r\xE9seaux. Il est cependant \xE0 noter que cette mesure\ + \ n\u2019est pas suffisante pour s\xE9curiser l\u2019acc\xE8s au wifi bien\ + \ qu\u2019elle permette de r\xE9duire le nombre de tentatives de connexions\ + \ frauduleuses." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.8 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.8 + description: "Un contr\xF4le d\u2019acc\xE8s des \xE9quipements connect\xE9\ + s au r\xE9seau interne du SI via le Wifi doit \xEAtre effectu\xE9. Il doit\ + \ \xEAtre r\xE9alis\xE9 en priorit\xE9 par l\u2019utilisation du protocole\ + \ 802.1X. Les r\xE9seaux Wifi et internes du SI doivent \xEAtre s\xE9par\xE9\ + s au moyen d\u2019un dispositif de filtrage (firewall) n\u2019autorisant que\ + \ les services, les protocoles et les ports de communication n\xE9cessaires\ + \ aux flux m\xE9tiers pr\xE9vus." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.9 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.9 + description: "Les \xE9quipements utilis\xE9s pour se connecter (terminaux professionnels\ + \ et \xE9quipements de sant\xE9) doivent \xEAtre configur\xE9s, lors de leur\ + \ installation, pour restreindre l\u2019association automatique aux seuls\ + \ r\xE9seaux Wifi l\xE9gitimes et exigeant une authentification 802.1X dans\ + \ le but d\u2019\xE9viter une connexion involontaire \xE0 un r\xE9seau malveillant\ + \ qui se ferait passer pour un r\xE9seau l\xE9gitime." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.10 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.10 + description: "Le mot de passe par d\xE9faut du compte administrateur de la borne\ + \ Wifi doit \xEAtre modifi\xE9. Un mot de passe fort de 10 caract\xE8res au\ + \ minimum (recours \xE0 la fois de caract\xE8res alphab\xE9tiques, num\xE9\ + riques, sp\xE9ciaux et non triviaux) doit \xEAtre utilis\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.11 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.11 + description: "Seuls les services, les protocoles et les ports de communication\ + \ n\xE9cessaires au fonctionnement et \xE0 l'utilisation de la borne Wifi\ + \ doivent \xEAtre activ\xE9s. Par exemple, le protocole DNS-SD doit notamment\ + \ \xEAtre d\xE9sactiv\xE9 quand le parc d\u2019\xE9quipement ne n\xE9cessite\ + \ pas de reconfiguration fr\xE9quente." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.12 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.12 + description: "L\u2019authentification des utilisateurs et la confidentialit\xE9\ + \ des donn\xE9es doivent \xEAtre assur\xE9es par la mise en place de m\xE9\ + canismes s\u2019appuyant sur la norme WPA2-entreprise (standard 802.1X et\ + \ protocole EAP, id\xE9alement EAP-TLS) avec utilisation de l\u2019algorithme\ + \ de chiffrement AES-CCMP.\n\nLe site de l\u2019ANSSI d\xE9crit ces diff\xE9\ + rents m\xE9canismes : (http://www.ssi.gouv.fr/fr/bonnes- pratiques/recommandations-et-guides/securite-des-\ + \ liaisons-sans-fil/recommandations-de-securite- relatives-aux-reseaux-wifi.html\ + \ ).\n\nA d\xE9faut, le protocole PEAP/EAP-MSCHAPv2 peut \xEAtre utilis\xE9\ + \ en lieu et place du protocole EAP-TLS." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.13 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.13 + description: "Le certificat serveur pr\xE9sent\xE9 par le point d\u2019acc\xE8\ + s Wifi configur\xE9 en WPA2-Entreprise doit \xEAtre sign\xE9 par une autorit\xE9\ + \ de certification de confiance pour les postes clients." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.14 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.14 + description: "Lorsque des m\xE9canismes d\u2019authentification robustes (802.1X)\ + \ ne peuvent \xEAtre utilis\xE9s, l\u2019authentification des utilisateurs\ + \ et la confidentialit\xE9 des donn\xE9es doivent \xEAtre assur\xE9es par\ + \ le mode WPA2-PSK (WPA2-Personnel) avec utilisation de l\u2019algorithme\ + \ de chiffrement AES-CCMP. La cl\xE9 de s\xE9curit\xE9 pour WPA2 doit \xEA\ + tre conforme aux r\xE8gles d\u2019\xE9laboration de mots de passe non triviaux\ + \ et chang\xE9e d\xE8s l\u2019installation, puis r\xE9guli\xE8rement." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.15 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.15 + description: "Les fonctions de simplification de l\u2019authentification de\ + \ type WPS (Wifi Protected Setup) doivent \xEAtre d\xE9sactiv\xE9es." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.16 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1 + ref_id: 4.4.1.16 + description: "Un filtrage de l\u2019acc\xE8s aux sites web doit \xEAtre mis\ + \ en place conform\xE9ment \xE0 la charte d\u2019utilisation d\u2019acc\xE8\ + s et d\u2019usage du SI de la structure." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4 + ref_id: 4.4.2 + name: "Assurer l\u2019exploitation d\u2019un point d\u2019acc\xE8s Wifi" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2 + ref_id: 4.4.2.1 + description: "L\u2019administration d\u2019un point d\u2019acc\xE8s Wifi doit\ + \ \xEAtre r\xE9alis\xE9e depuis le r\xE9seau filaire interne du SIS, de pr\xE9\ + f\xE9rence \xE0 partir d\u2019un r\xE9seau d\u2019administration logiquement\ + \ s\xE9par\xE9 et en utilisant un protocole s\xE9curis\xE9 (ex : HTTPS, SSH,\ + \ \u2026). \n\nLes interfaces d\u2019administration du point d\u2019acc\xE8\ + s ne doivent pas \xEAtre disponibles depuis le r\xE9seau Wifi." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2 + ref_id: 4.4.2.2 + description: "Le micrologiciel de chaque point d\u2019acc\xE8s Wifi doit \xEA\ + tre maintenu et mis \xE0 jour r\xE9guli\xE8rement." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2 + ref_id: 4.4.2.3 + description: "Pour s'assurer de la compatibilit\xE9 des mat\xE9riels utilis\xE9\ + s pour la mise en \u0153uvre d\u2019un point d\u2019acc\xE8s Wifi, des tests\ + \ pr\xE9alables doivent \xEAtre r\xE9alis\xE9s." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2 + ref_id: 4.4.2.4 + description: "La gestion des traces doit \xEAtre activ\xE9e sur les points d\u2019\ + acc\xE8s Wifi. Les traces doivent \xEAtre centralis\xE9es et analys\xE9es\ + \ r\xE9guli\xE8rement pour identifier des anomalies potentielles dans les\ + \ acc\xE8s effectu\xE9s (heures d\u2019acc\xE8s, volumes de donn\xE9es \xE9\ + chang\xE9es\u2026)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2 + ref_id: 4.4.2.5 + description: "Les traces g\xE9n\xE9r\xE9es par les points d\u2019acc\xE8s Wifi\ + \ doivent \xEAtre g\xE9r\xE9es conform\xE9ment aux r\xE8gles de la th\xE9\ + matique 7-2.2." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2 + ref_id: 4.4.2.6 + description: "Le r\xE9seau du SI ne doit pas accueillir de bornes Wifi non g\xE9\ + r\xE9es par le responsable du SI (ex. bornes Wifi \xAB pirates \xBB). Des\ + \ contr\xF4les doivent \xEAtre men\xE9s r\xE9guli\xE8rement pour s\u2019en\ + \ assurer." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4 + ref_id: 4.4.3 + name: "S\xE9curiser la mise en place d\u2019un point d\u2019acc\xE8s Wifi invit\xE9\ + \"" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3 + ref_id: 4.4.3.1 + description: "Les r\xE8gles des th\xE9matiques pr\xE9c\xE9dentes (T4-4.1 et\ + \ T4-4.2) sont \xE9galement applicables aux points d\u2019acc\xE8s wifi \xAB\ + \ invit\xE9 \xBB, \xE0 l\u2019exception des r\xE8gles 4.4.1.8, 4.4.1.9, 4.4.1.12,\ + \ 4.4.1.13, 4.4.1.14 et 4.4.2.4 qui ne s\u2019appliquent pas dans ce cas." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3 + ref_id: 4.4.3.2 + description: "Le SI interne doit \xEAtre strictement cloisonn\xE9 du r\xE9seau\ + \ Wifi mis \xE0 disposition des invit\xE9s pour ne pas permettre l\u2019acc\xE8\ + s aux ressources du SI interne. Dans l\u2019id\xE9al, l\u2019acc\xE8s invit\xE9\ + \ doit disposer d\u2019une infrastructure d\xE9di\xE9e \xE0 cet usage et ne\ + \ donnant acc\xE8s \xE0 aucune ressource du SI interne. A d\xE9faut, un cloisonnement\ + \ logique doit \xEAtre mis en \u0153uvre." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3 + ref_id: 4.4.3.3 + description: "L\u2019acc\xE8s Wifi Invit\xE9 doit \xEAtre conditionn\xE9 soit\ + \ par un code d\u2019acc\xE8s disponible \xE0 l\u2019int\xE9rieur des locaux\ + \ et chang\xE9 r\xE9guli\xE8rement soit par un code personnel attribu\xE9\ + \ de mani\xE8re individuelle suite \xE0 une proc\xE9dure d\u2019enregistrement\ + \ (accueil par exemple) soit \xE9ventuellement apr\xE8s enregistrement aupr\xE8\ + s d\u2019un serveur/portail 802.1X ou d\u2019un portail captif." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3 + ref_id: 4.4.3.4 + description: "Dans le cas o\xF9 un code personnel est n\xE9cessaire pour l\u2019\ + acc\xE8s Wifi invit\xE9, la proc\xE9dure d\u2019enregistrement doit comporter\ + \ l\u2019approbation par l\u2019invit\xE9 des conditions d\u2019utilisation\ + \ de l\u2019acc\xE8s Wifi Invit\xE9 ou l\u2019acceptation obligatoire de ces\ + \ \xE9l\xE9ments lors de sa demande de connexion au r\xE9seau. Elle peut comporter\ + \ la v\xE9rification et la consignation de l\u2019identit\xE9 du demandeur." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3 + ref_id: 4.4.3.5 + description: "Une trace des connexions Wifi des utilisateurs doit comporter\ + \ les \xE9l\xE9ments suivants s\u2019ils sont disponibles : \n\n- les informations\ + \ permettant d'identifier l'utilisateur ; \n- les donn\xE9es relatives aux\ + \ \xE9quipements terminaux de communication utilis\xE9s (par exemple adresse\ + \ MAC, type d\u2019\xE9quipement, adresse IP attribu\xE9e\u2026) ; \n- les\ + \ caract\xE9ristiques techniques ainsi que la date, l'horaire et la dur\xE9\ + e de chaque communication (protocole utilis\xE9 http, https, \u2026) ; \n\ + - les donn\xE9es relatives aux services compl\xE9mentaires demand\xE9s ou\ + \ utilis\xE9s et leurs fournisseurs ;\n- les donn\xE9es permettant d'identifier\ + \ le ou les destinataires de la communication (par exemple adresse IP ou nom\ + \ DNS du site web consult\xE9)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3 + ref_id: 4.4.3.6 + description: "La dur\xE9e de connexion d\u2019un invit\xE9 doit \xEAtre temporaire\ + \ et sa dur\xE9e explicitement indiqu\xE9e lors de l\u2019authentification\ + \ au service. D\xE8s lors que le d\xE9lai est d\xE9pass\xE9, la connexion\ + \ wifi doit \xEAtre automatiquement interrompue." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3 + ref_id: 4.4.3.7 + description: "Des \xE9l\xE9ments de sensibilisation \xE0 la s\xE9curit\xE9 doivent\ + \ \xEAtre port\xE9s \xE0 la connaissance des \xAB invit\xE9s \xBB utilisant\ + \ le wifi notamment concernant le caract\xE8re public de l\u2019acc\xE8s mis\ + \ \xE0 disposition, le fait qu\u2019il n\u2019est pas sp\xE9cifiquement s\xE9\ + curis\xE9 par la structure h\xE9bergeant cet acc\xE8s (ex. pas d\u2019antivirus,\ + \ pas de protection anti- intrusion des terminaux se connectant \xE0 l\u2019\ + acc\xE8s wifi\u2026) et les conditions d\u2019usage (ex. engagement de sa\ + \ responsabilit\xE9 en cas de non-respect de la loi, existence \xE9ventuelle\ + \ de mesures de filtrage et de trace des acc\xE8s et des droits dont il dispose\ + \ sur ce sujet\u2026). \n\nCes \xE9l\xE9ments peuvent par exemple \xEAtre\ + \ int\xE9gr\xE9s aux supports d'informations diffus\xE9s aux utilisateurs\ + \ (ex. livret d'accueil, affiches en zone d'admission, dans les chambres et/ou\ + \ dans les espaces usagers internet, page d\u2019accueil du portail d\u2019\ + acc\xE8s au wifi\u2026)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.8 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3 + ref_id: 4.4.3.8 + description: "Un filtrage doit \xEAtre mis en place afin d\u2019interdire l\u2019\ + acc\xE8s aux sites web dont la consultation est interdite aux mineurs ou dont\ + \ le contenu est ill\xE9gal. Un filtrage plus contraignant peut \xEAtre mis\ + \ en place conform\xE9ment \xE0 la charte d\u2019utilisation d\u2019acc\xE8\ + s et d\u2019usage du SI de la structure." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4 + ref_id: '4.5' + name: "Prot\xE9ger l\u2019acc\xE8s aux syst\xE8mes" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5 + ref_id: 4.5.1 + name: "G\xE9rer les mots de passe pour qu\u2019ils pr\xE9sentent une robustesse\ + \ appropri\xE9e" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1 + ref_id: 4.5.1.1 + description: "Les r\xE8gles de constitution des mots de passe doivent \xEAtre\ + \ \xE9tablies et communiqu\xE9es aux utilisateurs. Les mots de passe doivent\ + \ : \n\n- Avoir une longueur d\u2019au moins 10 caract\xE8res ; \n- Avoir\ + \ une longueur d\u2019au plus 24 caract\xE8res ; \n- Etre constitu\xE9s de\ + \ caract\xE8res de quatre types : lettres majuscules, lettres minuscules,\ + \ chiffres et caract\xE8res \xAB sp\xE9ciaux \xBB (ponctuation, parenth\xE8\ + ses, di\xE8se, pourcent, \u2026) ; \n- Contenir au moins un caract\xE8re de\ + \ chaque type mentionn\xE9 ci-dessus ; \n- Etre diff\xE9rents des trois derniers\ + \ mots de passe utilis\xE9s. \uF040 Concernant les caract\xE8res sp\xE9ciaux,\ + \ il est souhaitable de pr\xE9ciser explicitement la liste des caract\xE8\ + res sp\xE9ciaux accept\xE9s pour les mots de passes du syst\xE8me concern\xE9\ + . \uF040 Il est utile de pr\xE9ciser la longueur maximale des mots de passe\ + \ support\xE9e par le syst\xE8me." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1 + ref_id: 4.5.1.2 + description: "Une r\xE8gle aussi peu d\xE9grad\xE9e que possible doit \xEAtre\ + \ explicitement d\xE9finie pour la constitution des mots de passe sur les\ + \ syst\xE8mes qui ne supportent pas l\u2019ensemble des r\xE8gles \xE9nonc\xE9\ + es pr\xE9c\xE9demment." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1 + ref_id: 4.5.1.3 + description: "Des actions initiales et r\xE9currentes de formation des utilisateurs\ + \ aux r\xE8gles de constitution des mots de passe doivent \xEAtre organis\xE9\ + es. Ces actions doivent \xE9galement leur proposer des moyens simples de constituer\ + \ des mots de passe robustes et conformes aux r\xE8gles." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1 + ref_id: 4.5.1.4 + description: "Les utilisateurs doivent \xEAtre form\xE9s \xE0 ne pas utiliser\ + \ d\u2019information \xAB publique \xBB pour constituer leur mots de passe,\ + \ telles que : \n\n- Mots du dictionnaire (quelle qu\u2019en soit la langue)\ + \ \n- Pr\xE9noms \n- Nom avec lesquels ils ont un lien (nom d\u2019un proche,\ + \ de leur lieu de r\xE9sidence, nom ou sigle de l\u2019\xE9tablissement, nom\ + \ du fournisseur appos\xE9 sur un \xE9quipement pr\xE9sent \xE0 c\xF4t\xE9\ + \ d\u2019eux ou sur un panneau en face de la fen\xEAtre de leur bureau, \u2026\ + ) \n- Leur date de naissance ou celle d\u2019un proche, date de mariage...\ + \ (notamment pour les codes PIN) \n- Immatriculation de leur v\xE9hicule \n\ + - Etc." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1 + ref_id: 4.5.1.5 + description: "Des r\xE8gles de renouvellement de mot de passe doivent \xEAtre\ + \ d\xE9finies et leur bonne application impos\xE9e par les syst\xE8mes, ou\ + \ \xE0 d\xE9faut v\xE9rifi\xE9e par le personnel en charge de la SSI. Ces\ + \ r\xE8gles peuvent \xEAtre modul\xE9es en fonction du contexte. Par exemple\ + \ : \n\n- Pour un syst\xE8me o\xF9 le respect de la r\xE8gle de robustesse\ + \ est assur\xE9, renouvellement trimestriel ; \n- Pour un syst\xE8me sensible\ + \ qui ne peut garantir le respect de la r\xE8gle de robustesse, renouvellement\ + \ mensuel ; \n- Pour un syst\xE8me sans sensibilit\xE9 particuli\xE8re et\ + \ pour lequel le changement de mot de passe est lourd \xE0 r\xE9aliser, renouvellement\ + \ semestriel. \n\nUne d\xE9cision doit \xEAtre prise apr\xE8s analyse des\ + \ enjeux dans le cas o\xF9 des contraintes contradictoires du point de vue\ + \ s\xE9curit\xE9 apparaissent, par exemple un syst\xE8me sensible qui ne permet\ + \ pas de garantir des mots de passe robustes et dont le changement des mots\ + \ de passe est laborieux pour les utilisateurs. Dans un tel cas, une acceptation\ + \ \xE9clair\xE9e des risques qui d\xE9coulent \xE9ventuellement de la d\xE9\ + cision doit \xEAtre formalis\xE9e par le responsable m\xE9tier concern\xE9\ + ." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1 + ref_id: 4.5.1.6 + description: "Tout dispositif qui supporte cette fonctionnalit\xE9 doit \xEA\ + tre param\xE9tr\xE9 pour que, lors du changement de mot de passe par l\u2019\ + utilisateur, tout mot de passe non conforme \xE0 la r\xE8gle de constitution\ + \ soit refus\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1 + ref_id: 4.5.1.7 + description: "Tout dispositif qui supporte cette fonctionnalit\xE9 doit \xEA\ + tre param\xE9tr\xE9 pour que, lors du changement de mot de passe par l\u2019\ + utilisateur, tout mot de passe identique \xE0 l\u2019un des trois mots de\ + \ passe pr\xE9c\xE9demment utilis\xE9s soit refus\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.8 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1 + ref_id: 4.5.1.8 + description: "Le mot de passe initial, attribu\xE9 au titulaire d\u2019un compte\ + \ nouvellement cr\xE9\xE9 sur un dispositif ou suite \xE0 l\u2019oubli ou\ + \ l\u2019annulation d\u2019un mot de passe, doit \xEAtre g\xE9n\xE9r\xE9 al\xE9\ + atoirement \xE0 chaque fois et se conformer \xE0 la r\xE8gle de constitution\ + \ des mots de passe. Ce mot de passe doit \xEAtre chang\xE9 par l\u2019utilisateur\ + \ d\xE8s sa premi\xE8re authentification." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.9 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1 + ref_id: 4.5.1.9 + description: "Une proc\xE9dure r\xE9currente, par exemple mensuelle, de v\xE9\ + rification de la qualit\xE9 des mots de passe doit \xEAtre mise en place afin\ + \ de d\xE9tecter les mots de passe trop \xAB faibles \xBB qu\u2019une personne\ + \ mal intentionn\xE9e pourrait trouver \xE0 l\u2019aide d\u2019outils sp\xE9\ + cialis\xE9s. \n\nCette proc\xE9dure doit \xEAtre ex\xE9cut\xE9e par un groupe\ + \ restreint de personnes de confiance, typiquement des membres de l\u2019\xE9\ + quipe en charge de la SSI, \xE0 l\u2019aide des m\xEAmes outils librement\ + \ disponibles que ceux utilisables par des personnes malveillantes. \n\nCes\ + \ outils doivent rechercher les mots de passe pendant une dur\xE9e donn\xE9\ + e, par exemple 24h et produire la liste des utilisateurs pour lesquels le\ + \ mot de passe a \xE9t\xE9 trouv\xE9 dans ce d\xE9lai (avec le cas \xE9ch\xE9\ + ant le d\xE9lai utilisateur par utilisateur). \n\nCette liste doit rester\ + \ strictement confidentielle et chaque utilisateur doit \xEAtre inform\xE9\ + \ individuellement et discr\xE8tement de la n\xE9cessit\xE9 de changer imm\xE9\ + diatement son mot de passe, avec p\xE9dagogie et en lui rappelant les r\xE8\ + gles et conseils associ\xE9s. \n\nA aucun moment les mots de passe trouv\xE9\ + s ne doivent \xEAtre affich\xE9s ou stock\xE9s de quelque mani\xE8re que ce\ + \ soit." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5 + ref_id: 4.5.2 + name: Verrouiller les postes de travail + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2 + ref_id: 4.5.2.1 + description: "Les utilisateurs doivent \xEAtre sensibilis\xE9s \xE0 la protection\ + \ des \xE9quipements du SI qui leur sont confi\xE9s, afin qu\u2019ils prennent\ + \ l\u2019habitude de se d\xE9connecter ou de les verrouiller quand ils s\u2019\ + absentent." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2 + ref_id: 4.5.2.2 + description: "Si un moyen mat\xE9riel (carte \xE0 puce ou autre) est utilis\xE9\ + \ pour l\u2019authentification des utilisateurs sur leur poste, son extraction\ + \ du poste doit entra\xEEner le verrouillage imm\xE9diat du poste ou la d\xE9\ + connexion logique de l\u2019utilisateur.\n\nLes utilisateurs doivent alors\ + \ prendre l\u2019habitude de toujours garder leur carte avec eux et de la\ + \ retirer du lecteur quand ils s\u2019absentent.\n\nL\u2019utilisation de\ + \ cette m\xEAme carte pour le contr\xF4le d\u2019acc\xE8s physique aux locaux\ + \ peut renforcer cette prise d\u2019habitude." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2 + ref_id: 4.5.2.3 + description: "Le verrouillage automatique des postes de travail apr\xE8s une\ + \ dur\xE9e d\u2019inactivit\xE9 compatible avec les activit\xE9s des utilisateurs,\ + \ \xE9ventuellement coupl\xE9 \xE0 une mise en veille, doit \xEAtre activ\xE9\ + . Le param\xE9trage d\u2019une dur\xE9e d\u2019inactivit\xE9 de 30 minutes\ + \ est g\xE9n\xE9ralement adapt\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2 + ref_id: 4.5.2.4 + description: "Les postes de travail doivent \xEAtre param\xE9tr\xE9s pour qu\u2019\ + \xE0 leur sortie de veille ou \xE0 la sortie de veille de leur \xE9cran, ils\ + \ soient verrouill\xE9s et imposent \xE0 l\u2019utilisateur de s\u2019authentifier\ + \ \xE0 nouveau." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5 + ref_id: 4.5.3 + name: "Assurer la protection logique des \xE9quipements informatiques" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3 + ref_id: 4.5.3.1 + description: "Tout poste de travail fixe ou mobile, ordiphone ou tablette doit\ + \ disposer d\u2019un logiciel antivirus." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3 + ref_id: 4.5.3.2 + description: "Tout serveur, quel que soit son syst\xE8me d\u2019exploitation,\ + \ qui stocke ou par lequel peuvent transiter des contenus A B ------ dans\ + \ des formats susceptible de cacher des logiciels malveillants, doit disposer\ + \ d\u2019un logiciel antivirus.\n\nLes formats susceptibles d\u2019h\xE9berger\ + \ des logiciels malveillants et pris en compte par les antivirus du march\xE9\ + \ sont notamment : \n\n- L\u2019ensemble des logiciels pour plateformes Microsoft\ + \ ; \n- L\u2019ensemble des fichiers bureautiques (traitement de texte, pr\xE9\ + sentation, tableur, \u2026); \n- Les fichiers PDF ; \n- Les fichiers images\ + \ et vid\xE9o ; \n- Les fichiers \xAB archives \xBB (.ZIP, .RAR, .TAR\u2026\ + ) \n- Les fichiers en langage de \xAB script \xBB de toutes natures (.BAT,\ + \ .JS \u2026)" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3 + ref_id: 4.5.3.3 + description: "L\u2019antivirus de chaque \xE9quipement doit \xEAtre param\xE9\ + tr\xE9 pour se mettre \xE0 jour sans intervention de l\u2019utilisateur avec\ + \ une p\xE9riodicit\xE9 au moins journali\xE8re. Les \xE9quipements qui ne\ + \ sont pas connect\xE9s en permanence au r\xE9seau doivent mettre \xE0 jour\ + \ leur antivirus d\xE8s qu\u2019ils sont connect\xE9s." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3 + ref_id: 4.5.3.4 + description: "Une proc\xE9dure et si possible un moyen automatis\xE9 tel qu\u2019\ + une plateforme de gestion centralis\xE9e, doivent garantir qu\u2019un antivirus\ + \ est effectivement install\xE9, activ\xE9 et \xE0 jour sur tout \xE9quipement\ + \ qui doit en \xEAtre dot\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3 + ref_id: 4.5.3.5 + description: "Le personnel informatique doit \xEAtre alert\xE9 en cas d\u2019\ + anomalie de pr\xE9sence, d\u2019activit\xE9 ou de mise \xE0 jour d\u2019antivirus,\ + \ ainsi qu\u2019en cas de d\xE9tection de fichier potentiellement malveillant\ + \ sur un \xE9quipement." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3 + ref_id: 4.5.3.6 + description: "L\u2019\xE9tat d\u2019activation et de mise \xE0 jour de l\u2019\ + antivirus doit \xEAtre clairement visible de l\u2019utilisateur, qui doit\ + \ pouvoir d\xE9clencher manuellement une mise \xE0 jour s\u2019il le consid\xE8\ + re n\xE9cessaire." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3 + ref_id: 4.5.3.7 + description: "Les utilisateurs doivent \xEAtre sensibilis\xE9s \xE0 l\u2019\ + importance de la pr\xE9sence d\u2019un antivirus actif et \xE0 jour sur leur\ + \ poste de travail. Ils doivent \xEAtre encourag\xE9s \xE0 en v\xE9rifier\ + \ occasionnellement l\u2019\xE9tat (et ce d\u2019autant plus si une v\xE9\ + rification centralis\xE9e automatique n\u2019est pas possible)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.8 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3 + ref_id: 4.5.3.8 + description: "Tout \xE9quipement qui supporte cette fonctionnalit\xE9 (serveur,\ + \ poste de travail, certains ordiphones, tablettes) doit disposer d\u2019\ + un syst\xE8me pare-feu activ\xE9 et param\xE9tr\xE9 pour limiter strictement\ + \ les \xE9changes r\xE9seau aux flux n\xE9cessaires. \n\nDans la plupart des\ + \ environnements, les seuls \xE9changes r\xE9seau utiles qui impliquent les\ + \ postes de travail ou les imprimantes sont r\xE9alis\xE9s avec les serveurs.\ + \ \n\nD\xE8s lors, si le r\xE9seau est correctement structur\xE9, il est possible\ + \ d\u2019interdire, \xE0 l\u2019aide du pare-feu du poste, tout flux entre\ + \ le poste et les adresses r\xE9seau qui ne sont pas susceptibles d\u2019\ + appartenir \xE0 un serveur. \n\nCette mesure restreint consid\xE9rablement\ + \ les possibilit\xE9s de propagation d\u2019activit\xE9s malveillantes ou\ + \ non pr\xE9vues entre les postes de travail, tout en facilitant la d\xE9\ + tection de flux anormaux entre deux points qui ne devraient pas \xEAtre en\ + \ mesure de communiquer (r\xE9v\xE9lant par exemple un poste connect\xE9 illicitement,\ + \ voire en train de r\xE9aliser une exploration du r\xE9seau pour pr\xE9parer\ + \ une action malveillante)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.9 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3 + ref_id: 4.5.3.9 + description: "Les serveurs de messagerie, postes de travail, ordiphones et tablettes\ + \ doivent disposer d\u2019une fonction anti-spam activ\xE9e et mise \xE0 jour\ + \ selon les m\xEAmes principes que pour l\u2019antivirus.\n\nLa fonctionnalit\xE9\ + \ anti-spam est parfois int\xE9gr\xE9e au logiciel antivirus." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.10 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3 + ref_id: 4.5.3.10 + description: "Seuls les logiciels et services effectivement n\xE9cessaires au\ + \ bon fonctionnement des \xE9quipements et \xE0 l\u2019activit\xE9 pr\xE9\ + vue doivent \xEAtre install\xE9s et activ\xE9s. Les autres doivent \xEAtre\ + \ d\xE9sinstall\xE9s si c\u2019est possible (et de pr\xE9f\xE9rence ne jamais\ + \ \xEAtre install\xE9s), ou \xE0 d\xE9faut \xEAtre d\xE9sactiv\xE9s." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.11 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3 + ref_id: 4.5.3.11 + description: "L\u2019usage de privil\xE8ges \xAB administrateur \xBB sur les\ + \ \xE9quipements (postes de travail notamment) doit \xEAtre limit\xE9 au strict\ + \ n\xE9cessaire.\n\nSur les syst\xE8mes informatiques o\xF9 le changement\ + \ fr\xE9quent de niveau de privil\xE8ge n\u2019est pas possible ou se fait\ + \ de mani\xE8re peu naturelle (certains syst\xE8mes Windows par exemple),\ + \ seuls les administrateurs syst\xE8mes \xE0 plein temps doivent pouvoir disposer\ + \ d\u2019un compte principal qui poss\xE8de le privil\xE8ge \xAB administrateur\ + \ \xBB ;\n\nSur les syst\xE8mes informatiques o\xF9 le changement de niveau\ + \ de privil\xE8ge est simple (syst\xE8mes de la famille Unix, Linux\u2026\ + \ par exemple), ou pour une utilisation qui ne n\xE9cessite que ponctuellement\ + \ le privil\xE8ge \xAB administrateur \xBB (ex. : utilisateur assurant ponctuellement\ + \ des fonctions d\u2019administration syst\xE8me, d\xE9veloppeur, \u2026),\ + \ il convient de favoriser l\u2019utilisation d\u2019un compte principal sans\ + \ privil\xE8ge particulier et d\u2019un compte secondaire privil\xE9gi\xE9\ + \ qui permet de lancer ponctuellement des commandes en mode administrateur\ + \ \xE0 l\u2019aide de fonctionnalit\xE9s telles que \xAB ex\xE9cuter en tant\ + \ que\u2026 \xBB.\n\nLe p\xE9rim\xE8tre d\u2019action des privil\xE8ges administrateurs\ + \ doit \xEAtre restreint au strict n\xE9cessaire (ex. : dans le cas du compte\ + \ secondaire privil\xE9gi\xE9 d\u2019un d\xE9veloppeur, le p\xE9rim\xE8tre\ + \ des droits administrateur doit se limiter \xE0 son seul poste de travail\ + \ et non pas s\u2019\xE9tendre \xE0 l\u2019ensemble du SI)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5 + ref_id: 4.5.4 + name: "V\xE9rifier l\u2019authenticit\xE9 des logiciels" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4 + ref_id: 4.5.4.1 + description: "L\u2019installation de logiciels doit se faire \xE0 l\u2019aide\ + \ des supports originaux (CD, DVD) tels qu\u2019obtenus du fournisseur, \xE0\ + \ l\u2019exclusion de toute copie et pr\xE9sentant les caract\xE9ristiques\ + \ visuelles attendues quand l\u2019\xE9diteur pr\xE9voit une telle disposition\ + \ (ex. : image holographique pour les supports des logiciels Microsoft)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4 + ref_id: 4.5.4.2 + description: "Quand le logiciel est t\xE9l\xE9charg\xE9 depuis Internet, qu\u2019\ + il ait \xE9t\xE9 achet\xE9 ou qu\u2019il soit gratuit, l\u2019authenticit\xE9\ + \ du site d\u2019obtention et de t\xE9l\xE9chargement doit \xEAtre v\xE9rifi\xE9\ + e : l\u2019acc\xE8s doit utiliser le protocole HTTPS et le certificat de s\xE9\ + curit\xE9 pr\xE9sent\xE9 par le site web doit \xEAtre valide et coh\xE9rent\ + \ avec les attentes (nom du titulaire du certificat, autorit\xE9 de certification\ + \ connue\u2026)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4 + ref_id: 4.5.4.3 + description: "Quand le logiciel est t\xE9l\xE9charg\xE9 depuis Internet, des\ + \ sommes de contr\xF4le (MD5, SHA) sont parfois publi\xE9es (g\xE9n\xE9ralement\ + \ pour les logiciels libres) et doivent alors \xEAtre utilis\xE9es pour v\xE9\ + rifier l\u2019int\xE9grit\xE9 des logiciels obtenus." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4 + ref_id: 4.5.4.4 + description: "Certains syst\xE8mes d\u2019exploitation (versions r\xE9centes\ + \ des syst\xE8mes Microsoft, nombreuses distributions Linux) mettent en \u0153\ + uvre des dispositifs de v\xE9rification automatique et syst\xE9matique de\ + \ l\u2019authenticit\xE9 des logiciels au moment de leur installation via\ + \ les outils pr\xE9vus par le syst\xE8me ou lors de leur mise \xE0 jour. Une\ + \ alerte de d\xE9faut d\u2019authenticit\xE9 doit \xEAtre r\xE9dhibitoire\ + \ pour l\u2019installation. Une alerte d\u2019absence de possibilit\xE9 de\ + \ v\xE9rification doit \xEAtre prise en compte avec le plus grand s\xE9rieux\ + \ et, dans le doute, aboutir \xE0 l\u2019abandon de l\u2019installation du\ + \ logiciel." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4 + ref_id: 4.5.4.5 + description: "Si des logiciels destin\xE9s \xE0 \xEAtre install\xE9s sont stock\xE9\ + s sur un \xAB serveur d\u2019installation \xBB, un dispositif de contr\xF4\ + le d\u2019int\xE9grit\xE9 de ces logiciels doit \xEAtre mis en \u0153uvre\ + \ afin de garantir qu\u2019ils ne sont pas modifi\xE9s entre le moment o\xF9\ + \ ils sont d\xE9pos\xE9s sur le serveur et celui o\xF9 ils sont utilis\xE9\ + s pour des installation effectives." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5 + ref_id: 4.5.5 + name: "Proc\xE9der \xE0 une mise \xE0 niveau r\xE9guli\xE8re des moyens informatiques" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5 + ref_id: 4.5.5.1 + description: "Une proc\xE9dure qui garantit la mise \xE0 jour r\xE9guli\xE8\ + re de chaque logiciel du parc informatique doit \xEAtre mise en place. Dans\ + \ les environnements informatiques simples, pour les \xE9quipements qui disposent\ + \ d\u2019une configuration de logiciels standard, une mise \xE0 jour automatis\xE9\ + e doit \xEAtre favoris\xE9e chaque fois que possible. Dans les cas de parcs\ + \ informatiques importants ou d\u2019\xE9quipements qui h\xE9bergent des logiciels\ + \ multiples et h\xE9t\xE9rog\xE8nes et notamment si des risques d\u2019incompatibilit\xE9\ + s entre logiciels sont identifi\xE9s, il est recommand\xE9 que la mise \xE0\ + \ jour soit r\xE9alis\xE9e sur une plateforme de validation avant d\xE9ploiement\ + \ en environnement de production." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5 + ref_id: 4.5.5.2 + description: "Les correctifs de s\xE9curit\xE9 doivent imp\xE9rativement \xEA\ + tre appliqu\xE9s, \xE0 moins : \n\n- qu\u2019il ne soit d\xE9montr\xE9 que\ + \ les vuln\xE9rabilit\xE9s corrig\xE9es par ce correctif ne peuvent \xEAtre\ + \ exploit\xE9es d\u2019aucune fa\xE7on dans ce contexte particulier ; \n-\ + \ ou que le responsable m\xE9tier de l\u2019\xE9quipement concern\xE9 comprenne\ + \ pleinement et accepte les risques induits par l\u2019existence des vuln\xE9\ + rabilit\xE9s qui devaient \xEAtre trait\xE9es par le correctif et que le responsable\ + \ de la SSI v\xE9rifie que la persistance de ces vuln\xE9rabilit\xE9s non\ + \ corrig\xE9es sur l\u2019\xE9quipement ne peut en aucun cas induire des risques\ + \ suppl\xE9mentaires pour le reste du SI." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5 + ref_id: 4.5.5.3 + description: "Une attention particuli\xE8re doit \xEAtre port\xE9e \xE0 l\u2019\ + identification de la date de fin de maintenance d\u2019un logiciel ou d\u2019\ + un \xE9quipement par l\u2019industriel. Le composant doit \xEAtre remplac\xE9\ + \ par un autre maintenu par un industriel avant cette \xE9ch\xE9ance." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5 + ref_id: 4.5.5.4 + description: "L\u2019absence de mise \xE0 disposition r\xE9guli\xE8re de correctif\ + \ ou mise \xE0 niveau des logiciels d\u2019un \xE9quipement informatis\xE9\ + \ de quelque type que ce soit doit d\xE9clencher une action \xE0 l\u2019\xE9\ + gard de ce fournisseur, soit pour obtenir les derni\xE8res mises \xE0 jour,\ + \ soit pour envisager de changer de fournisseur." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5 + ref_id: 4.5.6 + name: "Assurer la protection logique des supports informatiques et \xE9quipements\ + \ mobiles qui contiennent des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6 + ref_id: 4.5.6.1 + description: "Un \xE9quipement mobile (ordiphones, tablettes, ordinateur portable)\ + \ ne doit \xEAtre autoris\xE9 \xE0 stocker des donn\xE9es de sant\xE9 \xE0\ + \ caract\xE8re personnel ou \xE0 se connecter au SI que s\u2019il int\xE8\ + gre les fonctions de s\xE9curit\xE9 suivantes, de fa\xE7on native ou gr\xE2\ + ce \xE0 des logiciels additionnels : \n\n- antivirus ; \n- ma\xEEtrise par\ + \ les services informatiques de la configuration de l\u2019\xE9quipement et\ + \ des logiciels install\xE9s ; \n- pare-feu." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6 + ref_id: 4.5.6.2 + description: "Un \xE9quipement mobile ne doit \xEAtre autoris\xE9 \xE0 stocker\ + \ des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel que si : \n\n- il\ + \ int\xE8gre une fonction de chiffrement des donn\xE9es, de fa\xE7on native\ + \ ou gr\xE2ce \xE0 un logiciel additionnel ; \n- cette fonction est effectivement\ + \ appliqu\xE9e aux donn\xE9es sensibles." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6 + ref_id: 4.5.6.3 + description: "Tout service ou fonction qui n\u2019est pas n\xE9cessaire \xE0\ + \ l\u2019activit\xE9 pr\xE9vue sur l\u2019\xE9quipement mobile doit \xEAtre\ + \ d\xE9sinstall\xE9, ou \xE0 d\xE9faut d\xE9sactiv\xE9, ou si ce n\u2019est\ + \ pas possible, bloqu\xE9 par le pare-feu." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6 + ref_id: 4.5.6.4 + description: "Les donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel stock\xE9\ + es sur un support de donn\xE9es mobile (cl\xE9s USB, disque dur externe ou\ + \ amovible\u2026) doivent \xEAtre chiffr\xE9es.\n\nDes cl\xE9s USB qui int\xE8\ + grent des m\xE9canismes de s\xE9curit\xE9 (contr\xF4le d\u2019acc\xE8s par\ + \ mot de passe et chiffrement) sont disponibles sur le march\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6 + ref_id: 4.5.6.5 + description: "Le choix d\u2019outils de s\xE9curit\xE9 qui b\xE9n\xE9ficient\ + \ d\u2019un r\xE9f\xE9rencement sur le site de l\u2019ANSSI (www.ssi.gouv.fr)\ + \ doit \xEAtre favoris\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6 + ref_id: 4.5.6.6 + description: "Sauf d\xE9rogation, il doit \xEAtre interdit de transporter des\ + \ donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel \xE0 l\u2019ext\xE9rieur\ + \ de l\u2019\xE9tablissement." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6 + ref_id: 4.5.6.7 + description: "Une proc\xE9dure doit d\xE9finir les modalit\xE9s de d\xE9livrance\ + \ des autorisations d\xE9rogatoires de transport des donn\xE9es de sant\xE9\ + \ \xE0 caract\xE8re personnel \xE0 l\u2019ext\xE9rieur de l\u2019\xE9tablissement,\ + \ les conditions \xE0 respecter, le responsable qui les d\xE9livre et la revue\ + \ au moins annuelle de ces d\xE9rogations." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.8 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6 + ref_id: 4.5.6.8 + description: "L\u2019autorisation d\xE9rogatoire de transport des donn\xE9es\ + \ de sant\xE9 \xE0 caract\xE8re personnel \xE0 l\u2019ext\xE9rieur de l\u2019\ + \xE9tablissement doit \xEAtre donn\xE9e sous condition d\u2019utilisation\ + \ de supports de donn\xE9es s\xE9curis\xE9s, explicitement identifi\xE9s et\ + \ attribu\xE9s nominativement au b\xE9n\xE9ficiaire de l\u2019autorisation\ + \ qui doit en assumer la responsabilit\xE9 de la protection. Ces supports\ + \ doivent \xEAtre retourn\xE9s au responsable \xE0 l\u2019\xE9ch\xE9ance de\ + \ la d\xE9rogation." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.9 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6 + ref_id: 4.5.6.9 + description: "Les utilisateurs du SI doivent \xEAtre inform\xE9s des r\xE8gles\ + \ relatives aux transports de donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel\ + \ \xE0 l\u2019ext\xE9rieur de l\u2019\xE9tablissement." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5 + assessable: false + depth: 1 + ref_id: '5' + name: "Ma\xEEtriser les acc\xE8s aux informations" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5 + ref_id: '5.1' + name: "Accorder les acc\xE8s aux informations aux seules personnes d\xFBment\ + \ autoris\xE9es" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1 + ref_id: 5.1.1 + name: "Formaliser des r\xE8gles d\u2019acc\xE8s aux informations" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1 + ref_id: 5.1.1.1 + description: "Chaque application identifi\xE9e dans l\u2019inventaire des moyens\ + \ du SI doit mettre en \u0153uvre des droits d\u2019acc\xE8s aux fonctionnalit\xE9\ + s applicatives et aux donn\xE9es bas\xE9es sur le type d\u2019utilisateur\ + \ Equipements d\u2019infrastructure syst\xE8me et r\xE9seaux - logiciels" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1 + ref_id: 5.1.1.2 + description: "Chaque application a au moins deux types d\u2019utilisateur, qu\u2019\ + elle distingue \xE0 l\u2019aide de profils applicatifs : \n\n- administrateur\ + \ technique de l\u2019application ; \n- utilisateur m\xE9tier de l\u2019application.\n\ + \nSelon les fonctionnalit\xE9s de l\u2019application et la n\xE9cessit\xE9\ + \ de restreindre l\u2019acc\xE8s aux informations, il peut y avoir plus d\u2019\ + un profil applicatif pour les utilisateurs m\xE9tiers (ex. pour un logiciel\ + \ m\xE9dical, un type d\u2019utilisateur \xAB administratif \xBB qui n\u2019\ + a pas acc\xE8s aux donn\xE9es m\xE9dicales \xE0 caract\xE8re personnel et\ + \ un type d\u2019utilisateur \xAB professionnel de sant\xE9 \xBB qui a acc\xE8\ + s aux donn\xE9es m\xE9dicales \xE0 caract\xE8re personnel). \n\nLes utilisateurs\ + \ doivent, autant que possible, \xEAtre associ\xE9s aux profils applicatifs\ + \ pr\xE9conis\xE9s par les industriels en fonction de leur activit\xE9 pour\ + \ les logiciels concern\xE9s. Equipements d\u2019infrastructure syst\xE8me\ + \ et r\xE9seaux - logiciels" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1 + ref_id: 5.1.1.3 + description: "Une liste doit \xEAtre \xE9labor\xE9e et tenue \xE0 jour pour\ + \ chaque logiciel et \xE9num\xE9rer chaque profil applicatif d\xE9fini dans\ + \ le logiciel avec les donn\xE9es et les fonctions auxquelles il peut acc\xE9\ + der." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1 + ref_id: 5.1.1.4 + description: "Des profils utilisateurs doivent \xEAtre \xE9labor\xE9s et correspondre\ + \ aux types de fonctions m\xE9tier assur\xE9es par les personnels de la structure\ + \ et les personnes ext\xE9rieures ayant vocation \xE0 acc\xE9der au syst\xE8\ + me d\u2019information (ex. prestataire). \n\nUn profil utilisateur liste,\ + \ pour un type de fonction m\xE9tier donn\xE9, l\u2019ensemble des applications\ + \ auxquelles la personne remplissant cette fonction a acc\xE8s et les profils\ + \ applicatifs associ\xE9s \xE0 cette fonction m\xE9tier dans chaque application.\ + \ \n\nLa logique d\u2019\xE9laboration d\u2019un profil utilisateur est :\ + \ \n\n- de ne donner l\u2019acc\xE8s qu\u2019aux applications n\xE9cessaires\ + \ \xE0 l\u2019ex\xE9cution des t\xE2ches associ\xE9es \xE0 la fonction ; \n\ + - d\u2019y associer le profil applicatif disposant le moins de droits d\u2019\ + acc\xE8s possibles mais suffisamment pour r\xE9aliser les t\xE2ches associ\xE9\ + es \xE0 la fonction ; \n- de ne pas mixer des droits de type administrateur\ + \ technique et des droits de type utilisateur m\xE9tier ; \n- si la taille\ + \ de la structure le permet, d\u2019interdire qu\u2019un m\xEAme profil utilisateur\ + \ ait, via les profils applicatifs qui lui sont associ\xE9s, tous les droits\ + \ de type administrateur technique sur tous les logiciels. Il est n\xE9cessaire\ + \ de diff\xE9rencier autant que possible les logiciels qui traitent d\u2019\ + informations sensibles (donn\xE9es \xE0 caract\xE8re personnel\u2026) des\ + \ autres logiciels." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1 + ref_id: 5.1.1.5 + description: "Une liste des profils utilisateurs avec les types de fonctions\ + \ m\xE9tier ainsi que les logiciels auxquels ils peuvent acc\xE9der et les\ + \ profils applicatifs associ\xE9s doit \xEAtre \xE9labor\xE9e et tenue \xE0\ + \ jour." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1 + ref_id: 5.1.1.6 + description: "Les attributions de droits d\u2019acc\xE8s aux utilisateurs en\ + \ accord avec le(s) profil(s) correspondant \xE0 leur(s) fonction(s) doivent\ + \ \xEAtre trac\xE9es. Ces traces doivent \xEAtre ais\xE9ment accessibles et\ + \ compr\xE9hensibles sans expertise ou formation pr\xE9alable particuli\xE8\ + re." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1 + ref_id: 5.1.1.7 + description: "En fonctionnement nominal, seuls les personnels participant \xE0\ + \ la prise en charge sanitaire d\u2019un usager peuvent avoir acc\xE8s \xE0\ + \ ses informations de sant\xE9 \xE0 caract\xE8re personnel." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.8 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1 + ref_id: 5.1.1.8 + description: "De mani\xE8re exceptionnelle, lorsqu\u2019il est n\xE9cessaire\ + \ d\u2019acc\xE9der aux donn\xE9es au niveau technique (par exemple dans le\ + \ cadre de la r\xE9solution d\u2019un incident), l\u2019acc\xE8s \xE0 des\ + \ informations de sant\xE9 \xE0 caract\xE8re personnel doit se faire sous\ + \ la responsabilit\xE9 des personnes habilit\xE9es \xE0 intervenir sur les\ + \ donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel en dehors de la prise\ + \ en charge des usagers. Cet acc\xE8s ne doit \xEAtre accord\xE9 que de mani\xE8\ + re temporaire. Les raisons de cet acc\xE8s exceptionnel, ainsi que les personnes\ + \ en ayant b\xE9n\xE9fici\xE9 et la personne sous la responsabilit\xE9 de\ + \ laquelle il a \xE9t\xE9 r\xE9alis\xE9 doivent \xEAtre enregistr\xE9s et\ + \ conserv\xE9s au m\xEAme titre que les autres \xE9l\xE9ments de tra\xE7abilit\xE9\ + \ mis en \u0153uvre par le syst\xE8me d\u2019information tels que d\xE9crit\ + \ dans le th\xE8me 7-2." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1 + ref_id: 5.1.2 + name: "G\xE9rer les acc\xE8s aux informations" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.2 + ref_id: 5.1.2.1 + description: "Chaque compte nominatif sur le syst\xE8me d\u2019information doit\ + \ mettre en \u0153uvre un/des profil(s) utilisateur(s) d\xE9finissant les\ + \ applications auxquelles l\u2019utilisateur \xE0 acc\xE8s ainsi que les fonctionnalit\xE9\ + s applicatives qu\u2019il peut utiliser et les donn\xE9es auxquelles il a\ + \ acc\xE8s. Cette association se fait \xE0 la prise de fonction de l\u2019\ + utilisateur tel que d\xE9crit dans le th\xE8me 2-2.2" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.2 + ref_id: 5.1.2.2 + description: "Chaque logiciel le permettant doit \xEAtre configur\xE9 pour restreindre\ + \ l\u2019acc\xE8s aux donn\xE9es m\xE9dicales \xE0 caract\xE8re personnel\ + \ d\u2019un usager aux seuls professionnels prenant en charge cet usager." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1 + ref_id: 5.1.3 + name: "Contr\xF4ler r\xE9guli\xE8rement les droits d\u2019acc\xE8s" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.3 + ref_id: 5.1.3.1 + description: "Le contr\xF4le des droits d\u2019acc\xE8s, tel que d\xE9crit dans\ + \ le th\xE8me 2-2.3, doit v\xE9rifier la coh\xE9rence des quatre \xE9l\xE9\ + ments suivants :\n\n- la liste des types de fonctions avec les profils utilisateurs\ + \ et les droits d\u2019acc\xE8s qui y sont associ\xE9s ; \n- la liste des\ + \ utilisateurs et le/les profil(s) qui leur sont attribu\xE9s ; \n- la liste\ + \ des utilisateurs et des fonctions qu\u2019ils occupent ; \n- la liste des\ + \ droits effectivement mis en \u0153uvre pour chaque utilisateur." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.3.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.3 + ref_id: 5.1.3.2 + description: "Chaque contr\xF4le des droits d\u2019acc\xE8s doit porter sur\ + \ : \n\n- l\u2019ensemble des droits de type administrateur technique et des\ + \ utilisateurs qui b\xE9n\xE9ficient de ces droits ; \n- un \xE9chantillon\ + \ des droits de type utilisateur m\xE9tier \xE0 changer \xE0 chaque contr\xF4\ + le." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5 + ref_id: '5.2' + name: "Adopter les bonnes pratiques en mati\xE8re d\u2019authentification des\ + \ utilisateurs" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2 + ref_id: 5.2.1 + name: "Cr\xE9er des comptes qui respectent les bons usages" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1 + ref_id: 5.2.1.1 + description: "Chaque compte utilisateur doit \xEAtre nominatif et uniquement\ + \ utilis\xE9 par l\u2019utilisateur auquel il est associ\xE9" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1 + ref_id: 5.2.1.2 + description: "Si une personne est amen\xE9e \xE0 remplacer une autre personne\ + \ et qu\u2019elle a besoin de droits d\u2019acc\xE8s compl\xE9mentaires pour\ + \ ce faire, les profils utilisateurs en question doivent \xEAtre temporairement\ + \ attribu\xE9s \xE0 son compte nominatif personnel. \n\nElle ne doit en aucun\ + \ cas utiliser le compte nominatif personnel de la personne remplac\xE9e." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1 + ref_id: 5.2.1.3 + description: "Les comptes administrateurs techniques g\xE9n\xE9riques par d\xE9\ + faut des logiciels et des mat\xE9riels ne doivent pas \xEAtre utilis\xE9s\ + \ en fonctionnement nominal. \n\nLes droits administrateurs doivent \xEAtre\ + \ associ\xE9s au compte nominatif des utilisateurs en charge de la fonction\ + \ d\u2019administrateur technique." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1 + ref_id: 5.2.1.4 + description: "Les comptes ayant des droits de type administrateur technique\ + \ doivent \xEAtre disjoints des comptes ayant des droits de type utilisateur\ + \ m\xE9tiers. \n\nSi une personne doit, selon les r\xE8gles d\u2019acc\xE8\ + s aux donn\xE9es telles que pr\xE9sent\xE9es dans l'exigence T5-1.1, b\xE9\ + n\xE9ficier de profils de type administrateur technique et de profils de type\ + \ utilisateur m\xE9tier, elle doit avoir deux comptes utilisateur distincts,\ + \ chacun nominatif et personnel. \n\nLa multiplication des comptes nominatifs\ + \ pour une m\xEAme personne doit \xEAtre restreinte au maximum. Aucune personne\ + \ ne doit avoir plus de deux comptes nominatifs." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1 + ref_id: 5.2.1.5 + description: "Chaque compte doit \xEAtre associ\xE9 \xE0 un dispositif d\u2019\ + authentification diffus\xE9 exclusivement et personnellement au titulaire\ + \ du compte.\n\nEn particulier, si le dispositif d\u2019authentification n\u2019\ + int\xE8gre pas l\u2019identit\xE9 de l\u2019utilisateur auquel il a \xE9t\xE9\ + \ attribu\xE9 (ex. calculette d\u2019acc\xE8s ou carte CPE), il convient,\ + \ lors de sa diffusion, de rappeler \xE0 l\u2019utilisateur que le dispositif\ + \ est personnel et ne doit en aucun cas \xEAtre laiss\xE9 pour un usage \xAB\ + \ en libre-service \xBB.\n\nLa liste des comptes, de leur titulaire et du\ + \ dispositif d\u2019authentification associ\xE9 doit \xEAtre \xE9labor\xE9\ + e et tenue \xE0 jour." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2 + ref_id: 5.2.2 + name: "Utiliser les dispositifs d\u2019authentification en respectant les consignes\ + \ de s\xE9curit\xE9" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.2 + ref_id: 5.2.2.1 + description: "Les parties confidentielles des dispositifs d\u2019authentification\ + \ (mot de passe initial, code d\u2019activation d\u2019un dispositif d\u2019\ + authentification diffus\xE9 par la structure, code PIN d\u2019une carte CPS)\ + \ doivent \xEAtre diffus\xE9es directement aux utilisateurs auxquels ces dispositifs\ + \ ont \xE9t\xE9 attribu\xE9s de mani\xE8re \xE0 en assurer la confidentialit\xE9\ + \ (ex. enveloppe cachet\xE9e).\n\nIl est de la responsabilit\xE9 de l\u2019\ + utilisateur du dispositif d\u2019authentification de garder secret ces \xE9\ + l\xE9ments." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.2 + ref_id: 5.2.2.2 + description: "En p\xE9riode d\u2019utilisation, les dispositifs d\u2019authentification\ + \ doivent \xEAtre maintenus sous le contr\xF4le des utilisateurs auxquels\ + \ ils ont \xE9t\xE9 attribu\xE9s. Hors p\xE9riode d\u2019utilisation, s\u2019\ + ils ne peuvent pas rester sous le contr\xF4le exclusif des utilisateurs auxquels\ + \ ils ont \xE9t\xE9 attribu\xE9s, ils doivent \xEAtre conserv\xE9s dans un\ + \ lieu s\xFBr (pour \xE9viter la perte et le vol)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.2 + ref_id: 5.2.2.3 + description: "Dans le cas des cartes de la famille CPx, le code PUK doit \xEA\ + tre conserv\xE9 en lieu s\xFBr, soit par le porteur de la carte (en particulier\ + \ pour des professionnels de sant\xE9 pour des CPS comportant de multiples\ + \ situations d\u2019exercice notamment en dehors de la structure), soit par\ + \ la structure (pour les cartes comportant exclusivement des situations d\u2019\ + exercice dans la structure)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2 + ref_id: 5.2.3 + name: "Prot\xE9ger les comptes contre les tentatives d\u2019usurpation d\u2019\ + identit\xE9" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.3 + ref_id: 5.2.3.1 + description: "Un verrouillage de compte pendant 1 minute minimum doit \xEAtre\ + \ mis en place apr\xE8s trois essais de connexion infructueux." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.3.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.3 + ref_id: 5.2.3.2 + description: "Les verrouillages de compte apr\xE8s trois essais de connexion\ + \ infructueux doivent \xEAtre trac\xE9s et conserv\xE9s au m\xEAme titre que\ + \ les autres \xE9l\xE9ments de tra\xE7abilit\xE9 mis en \u0153uvre par le\ + \ syst\xE8me d\u2019information tels que d\xE9crits dans le th\xE8me 7-2." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.3.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.3 + ref_id: 5.2.3.3 + description: "Le r\xE9f\xE9rent incident doit \xEAtre alert\xE9 au bout de trois\ + \ verrouillages de compte successifs dans la m\xEAme journ\xE9e. Il doit contacter\ + \ le titulaire du compte pour v\xE9rifier que les tentatives ont bien \xE9\ + t\xE9 r\xE9alis\xE9es par celui-ci. Dans le cas contraire, la tentative d\u2019\ + usurpation du compte doit \xEAtre consid\xE9r\xE9e comme un incident de s\xE9\ + curit\xE9 et g\xE9r\xE9e selon les modalit\xE9s d\xE9crites dans le th\xE8\ + me 7-3." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.4 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2 + ref_id: 5.2.4 + name: "Prot\xE9ger les comptes administrateurs techniques par d\xE9faut" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.4.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.4 + ref_id: 5.2.4.1 + description: "Les mots de passe des comptes administrateurs techniques par d\xE9\ + faut doivent \xEAtre conserv\xE9s sous enveloppe cachet\xE9e et stock\xE9\ + s dans un endroit s\xFBr (ex. coffre-fort, armoire fermant \xE0 cl\xE9\u2026\ + )" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.4.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.4 + ref_id: 5.2.4.2 + description: "Si l\u2019enveloppe contenant un mot de passe d\u2019un compte\ + \ administrateur technique par d\xE9faut est trouv\xE9e d\xE9cachet\xE9e,\ + \ le r\xE9f\xE9rent incident doit en \xEAtre inform\xE9. Cette perte de confidentialit\xE9\ + \ d\u2019un mot de passe d\u2019un compte administrateur technique par d\xE9\ + faut doit \xEAtre consid\xE9r\xE9e comme un incident de s\xE9curit\xE9 et\ + \ g\xE9r\xE9e selon les modalit\xE9s d\xE9crites dans le th\xE8me 7-3." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.4.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.4 + ref_id: 5.2.4.3 + description: "Si, dans le cadre d\u2019un acc\xE8s exceptionnel, un utilisateur\ + \ a d\xFB utiliser un compte administrateur technique par d\xE9faut, le mot\ + \ de passe de ce compte doit \xEAtre chang\xE9 et la conservation du nouveau\ + \ mot de passe doit respecter la r\xE8gle 5.2.4.1." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5 + ref_id: '5.3' + name: "Lutter contre les acc\xE8s non autoris\xE9s" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3 + ref_id: 5.3.1 + name: "Utiliser des moyens garantissant la s\xE9curit\xE9 des \xE9changes" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3.1 + ref_id: 5.3.1.1 + description: "Tout acc\xE8s \xE0 un logiciel ou un mat\xE9riel contenant des\ + \ informations sensibles et en particulier des informations \xE0 caract\xE8\ + re personnel doit se faire via une authentification sur un compte utilisateur\ + \ mettant en \u0153uvre des droits d\u2019acc\xE8s selon les r\xE8gles \xE9\ + nonc\xE9es dans les th\xE8mes 5-1 et 5-2." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3.1 + ref_id: 5.3.1.2 + description: "Tout \xE9change d\u2019informations sensibles entre deux logiciels\ + \ ou mat\xE9riels doit de pr\xE9f\xE9rence se faire sur un r\xE9seau auquel\ + \ l\u2019acc\xE8s est maitris\xE9 selon les r\xE8gles \xE9nonc\xE9es dans\ + \ le th\xE8me 4-2." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3.1 + ref_id: 5.3.1.3 + description: "Si un \xE9change d\u2019information ne peut pas \xEAtre r\xE9\ + alis\xE9 sur un r\xE9seau ma\xEEtris\xE9, le flux d\u2019\xE9change doit \xEA\ + tre prot\xE9g\xE9 en confidentialit\xE9, soit par l\u2019utilisation de logiciel\ + \ s\xE9curis\xE9 (ex. messagerie s\xE9curis\xE9e), soit par le chiffrement\ + \ du flux (ex. TLS)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6 + assessable: false + depth: 1 + ref_id: '6' + name: "Acqu\xE9rir des \xE9quipements, logiciels et services" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6 + ref_id: '6.1' + name: "Mettre en \u0153uvre des prestations de t\xE9l\xE9surveillance, t\xE9\ + l\xE9maintenance ou t\xE9l\xE9assistance" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1 + ref_id: 6.1.1 + name: "Encadrer la prestation par un contrat conforme aux r\xE8gles du guide\ + \ pratique PGSSI-R\xE8gles d\u2019intervention \xE0 distance" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1 + ref_id: 6.1.1.1 + description: "Tout fournisseur r\xE9alisant des interventions \xE0 distance\ + \ doit s\u2019engager par contrat au respect des r\xE8gles du guide pratique\ + \ PGSSI-R\xE8gles d\u2019intervention \xE0 distance [R\xE9f. N\xB08]. Il doit\ + \ pr\xE9ciser le niveau de palier de r\xE8gles qu\u2019il atteint (palier\ + \ interm\xE9diaire : palier 1 ou palier sup\xE9rieur : palier 2)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1 + ref_id: 6.1.1.2 + description: "Les documents contractuels principaux sign\xE9s par les parties\ + \ doivent \xEAtre fournis en version papier au responsable du SI. \n\nLes\ + \ autres documents, en particulier les annexes, peuvent \xEAtre mis \xE0 disposition\ + \ via internet sur l\u2019espace client du site du fournisseur." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1 + ref_id: 6.1.1.3 + description: "Le fournisseur doit \xE9tablir un plan d\u2019assurance s\xE9\ + curit\xE9 qui d\xE9crit les dispositions de s\xE9curit\xE9 qu\u2019il met\ + \ en \u0153uvre pour sa prestation (ou fait r\xE9f\xE9rence \xE0 une documentation\ + \ de ces dispositions consultable par le responsable du SI).\n\nLe plan d\u2019\ + assurance s\xE9curit\xE9 peut \xEAtre un sous-ensemble du plan d\u2019assurance\ + \ qualit\xE9 (PAQ). \n\nA la signature du contrat, le responsable du SI doit\ + \ pouvoir indiquer s\u2019il accepte le plan d\u2019assurance s\xE9curit\xE9\ + \ type du fournisseur ou si un cycle de validation du plan d\u2019assurance\ + \ s\xE9curit\xE9 est n\xE9cessaire. \n\nLe plan d\u2019assurance s\xE9curit\xE9\ + \ fait partie des documents applicables du contrat disponibles via internet\ + \ sur l\u2019espace client du site du fournisseur. \n\nLe plan d\u2019assurance\ + \ s\xE9curit\xE9 doit traiter au minimum les th\xE8mes suivants :\n\n- crit\xE8\ + res de s\xE9curit\xE9 utilis\xE9s dans la d\xE9signation des personnes charg\xE9\ + es de l\u2019intervention \xE0 distance, engagement de s\xE9curit\xE9, information\ + \ de ces personnes sur la s\xE9curit\xE9 de la prestation et sensibilisation\ + \ ; \n- r\xE8gles de protection des informations relatives au SI ou \xE0 l\u2019\ + intervention et d\xE9tenues par le fournisseur (copie, diffusion, conservation,\ + \ destruction, transmission) ; \n- d\xE9signation des sites d\u2019ex\xE9\ + cution de la prestation, protection et acc\xE8s physiques des locaux utilis\xE9\ + s, s\xE9paration vis-\xE0-vis d\u2019autres prestations ; \n- architecture\ + \ g\xE9n\xE9rale de la plateforme utilis\xE9e pour l\u2019intervention \xE0\ + \ distance, cloisonnement technique vis-\xE0-vis d\u2019autres prestations,\ + \ fonctions de s\xE9curit\xE9 activ\xE9es dans la plateforme ; \n- acc\xE8\ + s logique des intervenants \xE0 la plateforme, identification et authentification,\ + \ mise en veille et d\xE9connexion automatiques, s\xE9paration des t\xE2ches,\ + \ gestion des droits, tra\xE7abilit\xE9 des actions ; \n- dispositions prises\ + \ pour continuer \xE0 assurer les activit\xE9s de la prestation \xE0 la suite\ + \ d\u2019un sinistre majeur ; \n- assurance et contr\xF4le de la s\xE9curit\xE9\ + \ des services d\u2019intervention fournis." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1 + ref_id: 6.1.1.4 + description: "Le fournisseur et le responsable du SI doivent d\xE9finir les\ + \ modalit\xE9s pratiques permettant la bonne r\xE9alisation de l\u2019intervention\ + \ \xE0 distance (convention de service). \n\nLes modalit\xE9s pratiques doivent\ + \ \xEAtre port\xE9es \xE0 la connaissance des personnes concern\xE9es. Elles\ + \ doivent pr\xE9ciser la prestation : \n\n- objectifs et p\xE9rim\xE8tre des\ + \ interventions \xE0 distances pr\xE9vues ; \n- obligations r\xE9ciproques\ + \ du fournisseur et du responsable du SI ; \n- moyens mis en \u0153uvre ;\ + \ \n- proc\xE9dures, ou r\xE9f\xE9rence aux documents de proc\xE9dures ; \n\ + - r\xE8gles de s\xE9curit\xE9 particuli\xE8res." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1 + ref_id: 6.1.1.5 + description: "A ce titre, les dispositions organisationnelles de s\xE9curit\xE9\ + \ suivantes doivent au minimum \xEAtre prises en compte : \n\n- toute intervention\ + \ de t\xE9l\xE9maintenance doit faire l\u2019objet d\u2019un rapport transmis\ + \ \xE0 son b\xE9n\xE9ficiaire par le fournisseur, dans les meilleurs d\xE9\ + lais ; \n- les interventions de t\xE9l\xE9assistance s\u2019effectuent sous\ + \ le contr\xF4le de leur b\xE9n\xE9ficiaire. Il appartient \xE0 chaque b\xE9\ + n\xE9ficiaire : \n - d\u2019autoriser explicitement la prise de main ou\ + \ le suivi \xE0 distance de son poste de travail (affichage d\u2019une demande\ + \ d\u2019action d\u2019autorisation sur le poste par exemple), \n - d\u2019\ + exiger, s\u2019il le souhaite, de moduler l\u2019acc\xE8s aux donn\xE9es ;\ + \ \n- tout b\xE9n\xE9ficiaire doit avoir la possibilit\xE9 technique d\u2019\ + interrompre \xE0 tout moment la t\xE9l\xE9assistance en cours et doit avoir\ + \ \xE9t\xE9 form\xE9 sur la mise en \u0153uvre de cette fonctionnalit\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1 + ref_id: 6.1.2 + name: "Mettre en \u0153uvre des dispositions techniques de s\xE9curit\xE9 sp\xE9\ + cifiques dans le SI" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2 + ref_id: 6.1.2.1 + description: "Dans la mesure du possible, l\u2019acc\xE8s aux \xE9quipements\ + \ objets de l\u2019intervention \xE0 distance doit \xEAtre r\xE9alis\xE9 \xE0\ + \ travers un point d\u2019acc\xE8s distant (ou passerelle) mis en place \xE0\ + \ cet effet. Dans ce cas : \n\n- si les \xE9quipements concern\xE9s n\u2019\ + ont pas besoin de communiquer avec le reste du SI, ou s\u2019ils disposent\ + \ d\u2019une interface r\xE9seau d\xE9di\xE9e \xE0 l\u2019administration,\ + \ ou encore s\u2019ils peuvent \xEAtre rattach\xE9s \xE0 plusieurs VPN, ils\ + \ doivent \xEAtre reli\xE9s \xE0 ce point d\u2019acc\xE8s de pr\xE9f\xE9rence\ + \ par un r\xE9seau d\u2019administration d\xE9di\xE9 (r\xE9seau physique s\xE9\ + par\xE9 ou VPN) ; \n- le point d\u2019acc\xE8s distant doit \xEAtre prot\xE9\ + g\xE9 contre les attaques logiques en provenance des r\xE9seaux externes (fournisseur,\ + \ Internet,\u2026) et son contournement en vue d\u2019acc\xE9der au r\xE9\ + seau du SI ne doit pas \xEAtre possible dans la pratique ; \n- Le point d\u2019\ + acc\xE8s distant ne doit autoriser les communications internes au SI qu\u2019\ + avec les \xE9quipements pr\xE9vus et les \xE9quipements permettant l\u2019\ + administration du point d\u2019acc\xE8s lui-m\xEAme." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2 + ref_id: 6.1.2.2 + description: "Si la mise en \u0153uvre d\u2019un point d\u2019acc\xE8s distant\ + \ n\u2019est pas possible, la connexion directe du t\xE9l\xE9-mainteneur sur\ + \ des \xE9quipements contenant des applications ou des informations \xE0 caract\xE8\ + re personnel peut \xEAtre envisag\xE9e.\n\nIl appartient alors au responsable\ + \ du SI de d\xE9cider, sur recommandation du fournisseur, de la solution et\ + \ du protocole utilis\xE9s pour l\u2019\xE9change entre les \xE9quipements\ + \ objets de l\u2019intervention et la plateforme. Dans ce cas :\n\n- les \xE9\ + changes doivent \xEAtre prot\xE9g\xE9s de bout en bout par des fonctions de\ + \ chiffrement et d\u2019authentification mutuelle ; ces fonctions doivent\ + \ \xEAtre de pr\xE9f\xE9rence conformes au R\xE9f\xE9rentiel G\xE9n\xE9ral\ + \ de S\xE9curit\xE912 ; \n- un dispositif de filtrage doit autoriser uniquement\ + \ les flux n\xE9cessaires \xE0 l\u2019intervention \xE0 distance. Ce dispositif\ + \ peut \xEAtre \xE0 base de filtrage d\u2019adresse IP ou de liste blanche\ + \ de certificat par exemple." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2 + ref_id: 6.1.2.3 + description: "Chaque \xE9quipement objet d\u2019une t\xE9l\xE9surveillance ou\ + \ d\u2019une t\xE9l\xE9maintenance doit disposer d\u2019un compte r\xE9serv\xE9\ + \ \xE0 cet usage et dont les param\xE8tres d\u2019identification et d\u2019\ + authentification sont sp\xE9cifiques \xE0 l\u2019\xE9quipement (i.e. diff\xE9\ + rents de ceux utilis\xE9s pour tout autre \xE9quipement)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2 + ref_id: 6.1.2.4 + description: "Le responsable du SI (ou le r\xE9f\xE9rent SSI) doit disposer\ + \ d\u2019un espace de stockage dans lequel les traces des acc\xE8s et des\ + \ op\xE9rations effectu\xE9es \xE0 distance sont centralis\xE9es et conserv\xE9\ + es sous son contr\xF4le, en vue d\u2019\xEAtre exploit\xE9es \xE0 fin de v\xE9\ + rification et en cas de litige ou d\u2019incident." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6 + ref_id: '6.2' + name: "Acqu\xE9rir des dispositifs connect\xE9s" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2 + ref_id: 6.2.1 + name: "Demander aux industriels et fournisseurs un engagement de conformit\xE9\ + \ au guide pratique PGSSI- Dispositifs connect\xE9s" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.1 + ref_id: 6.2.1.1 + description: "Tout fournisseur d\u2019un \xE9quipement connect\xE9, quel que\ + \ soit le cadre de l\u2019obtention de l\u2019\xE9quipement par la structure\ + \ (pr\xEAt, location, achat, exp\xE9rimentation ou d\xE9veloppement en collaboration,\ + \ etc.), doit s\u2019engager sur la conformit\xE9 de ses pratiques et du dispositif\ + \ fourni \xE0 chacune des r\xE8gles du guide [R\xE9f. n\xB015]. Il doit \xE9\ + galement indiquer le niveau de palier globalement atteint (palier interm\xE9\ + diaire : palier 1 ou palier sup\xE9rieur : palier 2)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2 + ref_id: 6.2.2 + name: "Obtenir un acc\xE8s aux documentations requises par le guide pratique\ + \ PGSSI-Dispositifs connect\xE9s" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2 + ref_id: 6.2.2.1 + description: "Le fournisseur et/ou le fabricant doit identifier dans la documentation,\ + \ fournie ou accessible \xE0 la structure (par exemple au travers d\u2019\ + un espace client sur Internet), l\u2019ensemble des composants mat\xE9riels\ + \ (serveurs, p\xE9riph\xE9riques, \u2026) et logiciels (versions des logiciels,\ + \ syst\xE8mes d\u2019exploitation, bases de donn\xE9es, \u2026) informatiques\ + \ standards constituant le dispositif connect\xE9 ainsi que leurs principales\ + \ caract\xE9ristiques." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2 + ref_id: 6.2.2.2 + description: "Le fournisseur et/ou le fabricant doit identifier, dans la documentation\ + \ qu\u2019il met \xE0 disposition, l\u2019ensemble des sp\xE9cifications portant\ + \ sur le poste d\u2019administration/utilisation du dispositif connect\xE9\ + \ (caract\xE9ristiques mat\xE9rielles du poste, version du syst\xE8me d\u2019\ + exploitation, middleware et pilotes, services activ\xE9s, p\xE9riph\xE9riques,\ + \ \u2026)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2 + ref_id: 6.2.2.3 + description: "Le fournisseur et/ou le fabricant doit identifier, dans la documentation\ + \ qu\u2019il met \xE0 disposition, l\u2019ensemble des mesures de s\xE9curit\xE9\ + \ physique (s\xE9curit\xE9 des locaux, cl\xE9s du coffret prot\xE9geant le\ + \ dispositif connect\xE9, contraintes d\u2019environnement notamment compatibilit\xE9\ + \ \xE9lectromagn\xE9tique (r\xE9seau Wifi, t\xE9l\xE9phone mobile), s\xE9\ + curit\xE9 des c\xE2blages\u2026) pr\xE9conis\xE9es pour la mise en \u0153\ + uvre du dispositif connect\xE9 au sein du SI." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2 + ref_id: 6.2.2.4 + description: "Le fournisseur et/ou le fabricant doit indiquer, dans la documentation\ + \ qu\u2019il met \xE0 disposition, la m\xE9thode d\u2019analyse de risques\ + \ qu\u2019il a appliqu\xE9e pour l\u2019analyse de risques de son \xE9quipement,\ + \ les risques couverts par les mesures qu\u2019il a mises en application et\ + \ les risques r\xE9siduels port\xE9s par le client (si il les accepte)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2 + ref_id: 6.2.3 + name: "Identifier les solutions de r\xE9versibilit\xE9 permettant une reprise\ + \ des donn\xE9es" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.3 + ref_id: 6.2.3.1 + description: "Le fournisseur et/ou le fabricant doit proposer des solutions\ + \ de r\xE9versibilit\xE9 permettant une reprise des donn\xE9es dans un format\ + \ r\xE9utilisable par le client, notamment en cas de changement d\u2019\xE9\ + quipement." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6 + ref_id: '6.3' + name: "Acqu\xE9rir des progiciels \xAB sur \xE9tag\xE8re \xBB" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3 + ref_id: 6.3.1 + name: "Demander aux industriels et fournisseurs un engagement de conformit\xE9\ + \ au guide pratique \xAB Acc\xE8s Tiers \xBB en cas d\u2019applicabilit\xE9" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.1 + ref_id: 6.3.1.1 + description: "Les industriels et fournisseurs de progiciels \xAB sur \xE9tag\xE8\ + re \xBB doivent s\u2019engager formellement \xE0 respecter les bonnes pratiques\ + \ de d\xE9veloppement logiciel, et notamment en ce qui concerne la s\xE9curit\xE9\ + \ : \n\n- si les progiciels qu\u2019ils proposent sont de type \xAB application\ + \ ou service web \xBB, ils doivent s\u2019engager \xE0 respecter le guide\ + \ pratique \xAB R\xE8gles pour la mise en place d\u2019un acc\xE8s web au\ + \ SI pour des tiers \xBB [R\xE9f. N\xB016] du corpus documentaire PGSSI-S\ + \ et en particulier les bonnes pratiques en mati\xE8re de d\xE9veloppement\ + \ publi\xE9es par l\u2019OWASP et l\u2019ANSSI. \n- dans les autres cas, ils\ + \ doivent communiquer les r\xE9f\xE9rentiels de bonne pratique qu\u2019ils\ + \ appliquent en mati\xE8re de prise en compte de la SSI dans leurs d\xE9veloppements." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3 + ref_id: 6.3.2 + name: "V\xE9rifier les fonctionnalit\xE9s de s\xE9curit\xE9 au regard de la\ + \ PSSI" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.2 + ref_id: 6.3.2.1 + description: "Si le progiciel propose une m\xE9thode d\u2019authentification\ + \ des utilisateurs par mot de passe, il convient de v\xE9rifier, pr\xE9alablement\ + \ \xE0 son acquisition : \n\n- que cette m\xE9thode est suffisante au regard\ + \ des r\xE9f\xE9rentiels d\u2019authentification du corpus documentaire PGSSI-S\ + \ [R\xE9f. n\xB06] ; \n- que le progiciel propose l\u2019ensemble des fonctions\ + \ de gestion des mots de passe r\xE9pondant aux r\xE8gles de la th\xE9matique\ + \ 4-5.1 (longueur des mots de passe, renouvellement, \u2026)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.2 + ref_id: 6.3.2.2 + description: "Il convient de v\xE9rifier, pr\xE9alablement \xE0 l\u2019acquisition\ + \ du progiciel, qu\u2019il int\xE8gre les fonctions de gestion des acc\xE8\ + s aux informations conforme aux r\xE8gles de la th\xE9matique 5-1 (gestion\ + \ de r\xF4les, fonctions d\u2019affectation/retrait/contr\xF4le des droits,\ + \ comptes administrateurs,\u2026)" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6 + ref_id: '6.4' + name: "Acqu\xE9rir des \xE9quipements informatiques" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4 + ref_id: 6.4.1 + name: "Demander aux industriels et fournisseurs un engagement de conformit\xE9\ + \ au guide pratique destruction de donn\xE9es lors de transferts de mat\xE9\ + riels informatiques" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1 + ref_id: 6.4.1.1 + description: "Les industriels et fournisseurs susceptibles d\u2019\xEAtre destinataires\ + \ de supports de donn\xE9es (par exemple dans le cadre d\u2019un contrat de\ + \ maintenance, de garantie du mat\xE9riel, de location ou de pr\xEAt) doivent\ + \ s\u2019engager \xE0 mettre en \u0153uvre les modalit\xE9s de destruction\ + \ des donn\xE9es \xE9nonc\xE9es \xE0 la th\xE9matique 3-1.4 de la PSSI. \n\ + \nCes r\xE8gles peuvent \xE9galement \xEAtre consult\xE9es via le Guide pratique\ + \ sp\xE9cifique \xE0 la destruction de donn\xE9es lors du transfert de mat\xE9\ + riels informatiques des Syst\xE8mes d\u2019Information de Sant\xE9 [R\xE9\ + f. n\xB018]." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1 + ref_id: 6.4.1.2 + description: "Les fournisseurs doivent mettre \xE0 disposition de la structure\ + \ les proc\xE9dures : \n\n- d\u2019effacement des donn\xE9es ; \n- de r\xE9\ + initialisation en configuration d\u2019usine. pour ces terminaux." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1 + ref_id: 6.4.1.3 + description: "Les clauses g\xE9n\xE9rales suivantes doivent figurer aux contrats\ + \ : \n\n- le fournisseur est tenu de d\xE9clarer tout changement relatif \xE0\ + \ sa situation administrative ; \n- le fournisseur doit soumettre toute sous-traitance\ + \ de prestation \xE0 l\u2019autorisation du responsable du SI ; \n- en cas\ + \ de recours \xE0 la sous-traitance, le fournisseur doit r\xE9percuter les\ + \ exigences qui lui sont applicables vers le sous-traitant." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1 + ref_id: 6.4.1.4 + description: "Les clauses de s\xE9curit\xE9 suivantes doivent figurer aux contrats\ + \ : \n\n- le fournisseur doit s\u2019engager vis-\xE0-vis de la confidentialit\xE9\ + \ des informations auxquelles son personnel peut avoir acc\xE8s. Chaque personne\ + \ concern\xE9e doit avoir sign\xE9 un engagement individuel de confidentialit\xE9\ + \ rappelant les dispositions de la loi Informatique & Libert\xE9s et les sanctions\ + \ applicables ; \n- le responsable du SI a la possibilit\xE9 de faire r\xE9\ + aliser des audits de s\xE9curit\xE9 des dispositions prises par le fournisseur\ + \ pour la r\xE9alisation de sa prestation." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1 + ref_id: 6.4.1.5 + description: "Les exigences de s\xE9curit\xE9 suivantes doivent figurer au contrat\ + \ : \n\n- le fournisseur doit mettre en \u0153uvre des moyens et des proc\xE9\ + dures conformes aux r\xE8gles de l\u2019art, pour lutter contre les incidents\ + \ pouvant affecter la confidentialit\xE9 des donn\xE9es lors de transferts\ + \ de mat\xE9riel." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1 + ref_id: 6.4.1.6 + description: "Les \xE9quipements fournis doivent pr\xE9senter des caract\xE9\ + ristiques compatibles avec les r\xE8gles de la PSSI. Par exemple, la structure,\ + \ ou \xE0 d\xE9faut le fournisseur, doit :\n\n- avoir la capacit\xE9 d\u2019\ + effacement des supports de stockage de dispositifs connect\xE9s ; \n- pouvoir\ + \ remettre en configuration d\u2019usine les mat\xE9riels de type \xAB ordiphone\ + \ \xBB, avec effacement de l\u2019ensemble des donn\xE9es." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6 + ref_id: '6.5' + name: "Encadrer les d\xE9veloppements sp\xE9cifiques et les acquisitions de\ + \ logiciels, d\u2019\xE9quipements du SI et d\u2019\xE9quipements connect\xE9\ + s" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5 + ref_id: 6.5.1 + name: "Int\xE9grer la SSI dans les cahiers des charges" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1 + ref_id: 6.5.1.1 + description: "Toute modification technique ou applicative du SI doit faire l\u2019\ + objet d\u2019une sp\xE9cification formalis\xE9e dans un cahier des charges,\ + \ qui prenne en compte les aspects SSI li\xE9s au p\xE9rim\xE8tre concern\xE9\ + \ du SI, sans omettre les points relatifs \xE0 la sauvegarde des donn\xE9\ + es et \xE0 la continuit\xE9 de fonctionnement." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1 + ref_id: 6.5.1.2 + description: "Les modifications techniques et applicatives du SI doivent \xE9\ + viter autant que possible toute adaptation sp\xE9cifique de composants sur\ + \ \xE9tag\xE8re (logiciels notamment)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1 + ref_id: 6.5.1.3 + description: "En cas de remplacement d\u2019une application qui traite des donn\xE9\ + es d\u2019usagers, l\u2019op\xE9ration doit pr\xE9voir la migration des donn\xE9\ + es existantes afin de respecter les exigences quant \xE0 la dur\xE9e de conservation\ + \ de ces donn\xE9es. A d\xE9faut, l\u2019ancienne application doit \xEAtre\ + \ conserv\xE9e pour permettre au moins l\u2019acc\xE8s aux donn\xE9es existantes." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1 + ref_id: 6.5.1.4 + description: "Les modifications ou mises en place d\u2019acc\xE8s web par des\ + \ tiers au SI doivent se conformer aux r\xE8gles \xE9nonc\xE9es par le guide\ + \ pratique \xAB R\xE8gles pour la mise en place d\u2019un acc\xE8s web au\ + \ SI pour des tiers \xBB [R\xE9f. n\xB016] du corpus documentaire PGSSI-S." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1 + ref_id: 6.5.1.5 + description: "Le cahier des charges doit \xEAtre soumis \xE0 l\u2019approbation\ + \ du responsable du SSI et du r\xE9f\xE9rent SSI avant tout d\xE9marrage des\ + \ travaux." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1 + ref_id: 6.5.1.6 + description: "La structure peut pr\xE9voir une proc\xE9dure de changement en\ + \ urgence, qui, sur autorisation du responsable du SI pour des circonstances\ + \ exceptionnelles, permet une r\xE9alisation de modifications du SI, le cas\ + \ \xE9ch\xE9ant directement en production, document\xE9e a posteriori. La\ + \ proc\xE9dure doit pr\xE9voir l\u2019information du responsable du SI sur\ + \ les risques induits par la modification mis en regard des enjeux justifiant\ + \ la proc\xE9dure d\u2019urgence. Le r\xE9f\xE9rent SSI doit \xEAtre consult\xE9\ + \ sur le sujet." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5 + ref_id: 6.5.2 + name: Valider les nouveaux composants du SI avant leur mise en production + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2 + ref_id: 6.5.2.1 + description: "Toute modification technique ou applicative du SI (y compris \xE9\ + volution de version) doit faire, pr\xE9alablement \xE0 toute mise en production,\ + \ l\u2019objet d\u2019un processus de recette, formalis\xE9 par une proc\xE9\ + dure \xE9tablie par la structure, qui v\xE9rifie la conformit\xE9 des composants\ + \ concern\xE9s au cahier des charges tant du point de vue du SI que de celui\ + \ des utilisateurs. \n\nLes modalit\xE9s de sauvegarde de configurations et\ + \ de donn\xE9es, ainsi que celle li\xE9es \xE0 la continuit\xE9 de fonctionnement\ + \ des composants concern\xE9s doivent \xEAtre document\xE9es et test\xE9es\ + \ avant mise en production." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2 + ref_id: 6.5.2.2 + description: "Si les composants concern\xE9s participent \xE0 l\u2019acc\xE8\ + s web par des tiers au SI, des tests sp\xE9cifiques (notamment des tests de\ + \ vuln\xE9rabilit\xE9 et d\u2019intrusion) doivent \xEAtre men\xE9s, comme\ + \ sp\xE9cifi\xE9 dans le guide pratique \xAB R\xE8gles pour la mise en place\ + \ d\u2019un acc\xE8s web au SI pour des tiers \xBB [R\xE9f. n\xB016] du corpus\ + \ documentaire PGSSI-S." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2 + ref_id: 6.5.2.3 + description: "Il est recommand\xE9 de proc\xE9der, au cours de la recette, \xE0\ + \ un test de vuln\xE9rabilit\xE9 des composants concern\xE9s une fois int\xE9\ + gr\xE9s au SI (environnement de test), afin de d\xE9tecter les \xE9ventuelles\ + \ failles connues et de les corriger avant la mise en production." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2 + ref_id: 6.5.2.4 + description: "Le processus de recette doit \xEAtre r\xE9alis\xE9 dans un environnement\ + \ d\xE9di\xE9 aux tests, distinct de l\u2019environnement de production." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2 + ref_id: 6.5.2.5 + description: "Les donn\xE9es utilis\xE9es pour les tests ne doivent en aucun\ + \ cas comporter de donn\xE9es nominatives r\xE9elles." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2 + ref_id: 6.5.2.6 + description: "En cas de mise en \u0153uvre de la proc\xE9dure de changement\ + \ en urgence, des mesures de contr\xF4le du bon fonctionnement des modifications\ + \ effectu\xE9es et de l\u2019absence d\u2019effet de bord doivent \xEAtre\ + \ pr\xE9vues et appliqu\xE9es. Le responsable du SI doit \xEAtre inform\xE9\ + \ des conclusions de ces contr\xF4les et la documentation des changements\ + \ effectu\xE9s doit lui \xEAtre communiqu\xE9e." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2 + ref_id: 6.5.2.7 + description: "La mise en production de composants nouveaux ou modifi\xE9s ne\ + \ doit \xEAtre effectu\xE9e que sur autorisation du responsable du SI, dont\ + \ la d\xE9cision est prise sur la base du rapport de recette et apr\xE8s avis\ + \ du r\xE9f\xE9rent SSI." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5 + ref_id: 6.5.3 + name: Assurer la formation aux nouveaux composants du SI + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.3 + ref_id: 6.5.3.1 + description: "Les personnels en charge de l\u2019administration et de l\u2019\ + exploitation des infrastructures et des applications du SI doivent \xEAtre\ + \ form\xE9s \xE0 la r\xE9alisation des t\xE2ches qui leur incombent, pour\ + \ chacun des composants nouveaux ou modifi\xE9s dont ils ont la charge, et\ + \ notamment : \n\n- installation et r\xE9installation ; \n- exploitation r\xE9\ + guli\xE8re ; \n- sauvegarde et restauration des configurations et des donn\xE9\ + es ; \n- d\xE9tection des anomalies d\u2019exploitation et de s\xE9curit\xE9\ + \ ; \n- traitement des incidents d\u2019exploitation et de s\xE9curit\xE9\ + \ ; \n- proc\xE9dures de continuit\xE9 de fonctionnement." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.3.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.3 + ref_id: 6.5.3.2 + description: "Les utilisateurs du SI doivent \xEAtre form\xE9s \xE0 l\u2019\ + utilisation des \xE9quipements et applications du SI qui leur sont destin\xE9\ + s. Outre les aspects fonctionnels m\xE9tiers de ces composants, ils doivent\ + \ \xEAtre form\xE9s : \n\n- aux proc\xE9dures d\u2019authentification et de\ + \ gestion de leurs moyens d\u2019authentification ; \uF0B7 \xE0 la vigilance\ + \ vis-\xE0-vis d\u2019anomalies qui pourraient r\xE9v\xE9ler un probl\xE8\ + me de s\xE9curit\xE9 du SI ; \n- aux modalit\xE9s d\u2019acc\xE8s et de protection\ + \ des donn\xE9es sensibles ; \n- aux \xE9ventuelles proc\xE9dures de fonctionnement\ + \ d\xE9grad\xE9 en cas d\u2019activation du PCA." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.3.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.3 + ref_id: 6.5.3.3 + description: "Les op\xE9rations de formation doivent \xEAtre r\xE9alis\xE9es\ + \ sur un environnement de formation d\xE9di\xE9 (au moins temporairement)\ + \ \xE0 cet usage (i.e. elles ne doivent pas \xEAtre effectu\xE9es sur les\ + \ postes de travail et \xE9quipements utilis\xE9s pour la production)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6 + ref_id: '6.6' + name: "D\xE9finir l\u2019objet des prestations et les limites d\u2019engagement\ + \ dans les relations contractuelles avec des tiers fournisseurs de service" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6 + ref_id: 6.6.1 + name: "D\xE9finir pr\xE9cis\xE9ment dans les contrats le contenu des prestations\ + \ confi\xE9es aux tiers fournisseurs de service pour r\xE9pondre aux obligations\ + \ de s\xE9curit\xE9" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.1 + ref_id: 6.6.1.1 + description: "Le contrat d\u2019externalisation doit contenir \xE0 minima les\ + \ clauses list\xE9es \xE0 l\u2019article R 1111-13 du code de la sant\xE9\ + \ publique." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.1 + ref_id: 6.6.1.2 + description: "Le contrat doit pr\xE9senter les caract\xE9ristiques suivantes\ + \ : \n\n- l\u2019objet du contrat doit \xEAtre pr\xE9cis ; \n- les r\xF4les\ + \ et responsabilit\xE9s des parties doivent \xEAtre clairement d\xE9finis\ + \ ; \n- le fournisseur est tenu d\u2019effectuer toutes les activit\xE9s li\xE9\ + es aux donn\xE9es \xE0 caract\xE8re personnel et en particulier de sant\xE9\ + \ au sein de l\u2019Union Europ\xE9enne ou conform\xE9ment aux r\xE8gles d\xE9\ + finies par la CNIL pour les interventions hors Union Europ\xE9enne ; \n- le\ + \ fournisseur garantit la disponibilit\xE9, l\u2019int\xE9grit\xE9, la confidentialit\xE9\ + , l\u2019auditabilit\xE9, la p\xE9rennit\xE9 des donn\xE9es. Ce qui se traduira\ + \ par des mesures techniques et d\u2019organisation interne ; \n- le fournisseur\ + \ doit s\u2019engager vis-\xE0-vis de la confidentialit\xE9 des informations\ + \ auxquelles son personnel peut avoir acc\xE8s. Chaque personne concern\xE9\ + e doit avoir \xE9t\xE9 sensibilis\xE9e \xE0 la confidentialit\xE9 des donn\xE9\ + es et avoir sign\xE9 un engagement individuel de confidentialit\xE9 rappelant\ + \ les dispositions de la loi Informatique & Libert\xE9s et les sanctions applicables\ + \ ; \n- le fournisseur doit s\u2019engager vis-\xE0-vis des actions que le\ + \ personnel peut effectuer. Chaque personne concern\xE9e doit avoir sign\xE9\ + \ un engagement individuel de limitation de ses actions au seul besoin des\ + \ interventions ; \n- le fournisseur est tenu de d\xE9clarer tout changement\ + \ relatif \xE0 sa situation administrative ; \n- le fournisseur doit soumettre\ + \ toute sous-traitance de prestation \xE0 l\u2019autorisation du responsable\ + \ du SI ; \n- en cas de recours \xE0 la sous-traitance, le fournisseur doit\ + \ r\xE9percuter les exigences qui lui sont applicables vers le sous-traitant\ + \ ; \n- des mesures de contr\xF4le et d\u2019audit r\xE9alis\xE9es par le\ + \ responsable du SI peuvent \xEAtre pr\xE9vues dans le contrat." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.1 + ref_id: 6.6.1.3 + description: "Le contrat doit pr\xE9voir que le tiers fournisseur de service\ + \ s\u2019engage \xE0 respecter les r\xE8gles de la PSSI et les r\xE9f\xE9\ + rentiels cit\xE9s en r\xE9f\xE9rence qui le concernent." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6 + ref_id: 6.6.2 + name: "S\u2019assurer de la capacit\xE9 de restitution des donn\xE9es de sant\xE9\ + \ \xE0 caract\xE8re personnel sous une forme r\xE9utilisable par la structure" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2 + ref_id: 6.6.2.1 + description: "Tout contrat de prestation qui inclut un h\xE9bergement de donn\xE9\ + es de sant\xE9 \xE0 caract\xE8re personnel doit engager le prestataire, sans\ + \ autre condition que la fin de sa prestation d\u2019h\xE9bergement de donn\xE9\ + es et quelle qu\u2019en soit la cause, sur les modalit\xE9s de restitution\ + \ et d\u2019effacement des donn\xE9es qui lui ont \xE9t\xE9 confi\xE9es." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2 + ref_id: 6.6.2.2 + description: "Le prestataire doit s\u2019engager \xE0 restituer, \xE0 l\u2019\ + issue de sa prestation d\u2019h\xE9bergement de donn\xE9es, l\u2019int\xE9\ + gralit\xE9 des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel qui lui\ + \ ont \xE9t\xE9 confi\xE9es." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2 + ref_id: 6.6.2.3 + description: "Le prestataire doit s\u2019engager \xE0 restituer les donn\xE9\ + es qui lui ont \xE9t\xE9 confi\xE9es dans le format sp\xE9cifi\xE9 en annexe\ + \ du contrat (ex. : format XML), support, scellement, chiffrement, transfert\ + \ physique." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2 + ref_id: 6.6.2.4 + description: "Le prestataire doit s\u2019engager \xE0 fournir l\u2019ensemble\ + \ des documentations et programmes \xE9ventuels n\xE9cessaires \xE0 l\u2019\ + exploitation des donn\xE9es restitu\xE9es." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2 + ref_id: 6.6.2.5 + description: "A r\xE9ception des donn\xE9es restitu\xE9es par le prestataire,\ + \ le responsable du traitement fait proc\xE9der \xE0 la v\xE9rification de\ + \ l\u2019int\xE9grit\xE9 des donn\xE9es et \xE0 leur int\xE9gration dans le\ + \ syst\xE8me de stockage cible.\n\nIl fait confirmer que l\u2019ensemble des\ + \ donn\xE9es attendues ont \xE9t\xE9 int\xE9gr\xE9es et qu\u2019elles sont\ + \ exploitables. \n\nD\xE8s lors qu\u2019il est v\xE9rifi\xE9 que les donn\xE9\ + es ont \xE9t\xE9 sauvegard\xE9es avec succ\xE8s selon la politique de sauvegarde\ + \ du syst\xE8me cible, le responsable du traitement notifie le prestataire\ + \ de la bonne int\xE9gration des donn\xE9es et lui demande de proc\xE9der\ + \ \xE0 l\u2019effacement d\xE9finitif des donn\xE9es qu\u2019il d\xE9tient." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2 + ref_id: 6.6.2.6 + description: "Le prestataire doit s\u2019engager \xE0 proc\xE9der \xE0 l\u2019\ + effacement de tout enregistrement, copie ou sauvegarde des donn\xE9es restitu\xE9\ + es, quand le responsable du traitement le lui demande \xE0 l\u2019issue de\ + \ la prestation qu\u2019il fournit. \n\nCet effacement doit \xEAtre r\xE9\ + alis\xE9 en conformit\xE9 avec les r\xE8gles de destruction des donn\xE9es.\ + \ (cf. r\xE8gles de la th\xE9matique 3-1.4)" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2 + ref_id: 6.6.2.7 + description: "Le prestataire doit s\u2019engager \xE0 fournir l\u2019assistance\ + \ n\xE9cessaire durant la p\xE9riode de migration des donn\xE9es afin de faciliter\ + \ leur transfert ainsi que la reprise de leur exploitation par la structure\ + \ ou par toute autre organisation qu\u2019elle aura d\xE9sign\xE9e." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6 + ref_id: 6.6.3 + name: "Clauses de s\xE9curit\xE9 en cas d\u2019externalisation de la destruction\ + \ des donn\xE9es" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.3 + ref_id: 6.6.3.1 + description: "Les clauses g\xE9n\xE9rales suivantes doivent figurer au contrat\ + \ : \n\n- le fournisseur est tenu d\u2019effectuer toutes les activit\xE9\ + s li\xE9es \xE0 ce type d\u2019intervention au sein de l\u2019Union Europ\xE9\ + enne ou conform\xE9ment aux r\xE8gles d\xE9finies par la CNIL pour les interventions\ + \ r\xE9alis\xE9es hors Union Europ\xE9enne; \n- le fournisseur est tenu de\ + \ d\xE9clarer tout changement relatif \xE0 sa situation administrative ; \n\ + - le fournisseur doit soumettre toute sous-traitance de prestation \xE0 l\u2019\ + autorisation du responsable du SI ; \n- en cas de recours \xE0 la sous-traitance,\ + \ le fournisseur doit r\xE9percuter les exigences qui lui sont applicables\ + \ vers le sous-traitant." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.3.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.3 + ref_id: 6.6.3.2 + description: "Les clauses de s\xE9curit\xE9 suivantes doivent figurer au contrat\ + \ : \n\n- le fournisseur doit s\u2019engager vis-\xE0-vis de la confidentialit\xE9\ + \ des informations auxquelles son personnel peut avoir acc\xE8s. Chaque personne\ + \ concern\xE9e doit avoir sign\xE9 un engagement individuel de confidentialit\xE9\ + \ rappelant les dispositions de la loi Informatique & Libert\xE9s et les sanctions\ + \ applicables ; \n- le responsable du SI a la possibilit\xE9 de faire r\xE9\ + aliser des audits de s\xE9curit\xE9 des dispositions prises par le fournisseur\ + \ pour la r\xE9alisation de sa prestation." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.3.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.3 + ref_id: 6.6.3.3 + description: "L\u2019exigence de s\xE9curit\xE9 suivante doit figurer au contrat\ + \ : \n\n- le fournisseur doit mettre en \u0153uvre des moyens et des proc\xE9\ + dures conformes aux r\xE8gles de l\u2019art, pour lutter contre les incidents\ + \ pouvant affecter la confidentialit\xE9 des donn\xE9es lors de transferts\ + \ de mat\xE9riel." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7 + assessable: false + depth: 1 + ref_id: '7' + name: "Limiter la survenue et les cons\xE9quences d\u2019incidents de s\xE9\ + curit\xE9" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7 + ref_id: '7.1' + name: "V\xE9rifier le niveau de s\xE9curit\xE9 des moyens informatiques" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1 + ref_id: 7.1.1 + name: "Proc\xE9der \xE0 un contr\xF4le r\xE9gulier de la bonne mise en \u0153\ + uvre des r\xE8gles de la PSSI" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.1 + ref_id: 7.1.1.1 + description: "Le RSSI doit v\xE9rifier r\xE9guli\xE8rement la mise en \u0153\ + uvre effective des r\xE8gles de s\xE9curit\xE9 qui doivent \xEAtre appliqu\xE9\ + es conform\xE9ment aux objectifs fix\xE9s par les Plans d\u2019Action SSI\ + \ successifs. Il peut pour cela : \n\n- demander aux responsables en charge\ + \ de parties du SI d\u2019effectuer une auto-\xE9valuation ; \n- proc\xE9\ + der \xE0 ce contr\xF4le lui-m\xEAme ; \n- mandater un prestataire externe\ + \ pour cette t\xE2che. Un bilan annuel de l\u2019ensemble du p\xE9rim\xE8\ + tre des r\xE8gles applicables est recommand\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.1 + ref_id: 7.1.1.2 + description: "Si la conformit\xE9 de mise en \u0153uvre des r\xE8gles est effectu\xE9\ + e par auto-\xE9valuation par les personnes en charge de l\u2019application\ + \ des r\xE8gles, le p\xE9rim\xE8tre complet doit \xEAtre \xE9galement contr\xF4\ + l\xE9 par le RSSI ou par une personne externe mandat\xE9e par lui, mais sur\ + \ une p\xE9riode plus longue. \n\nUn contr\xF4le complet par le RSSI sur une\ + \ p\xE9riode de 3 ans est recommand\xE9 (par exemple, par contr\xF4le d\u2019\ + un tiers du p\xE9rim\xE8tre chaque ann\xE9e)" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.1 + ref_id: 7.1.1.3 + description: "La v\xE9rification ne doit pas omettre les parties externalis\xE9\ + es du SI. Les prestataires doivent fournir une attestation de bonne mise en\ + \ \u0153uvre des r\xE8gles qui leur incombent (\xE9quivalent de l\u2019auto-\xE9\ + valuation) et, dans le cadre du contr\xF4le effectu\xE9 par le RSSI, soit\ + \ permettre une v\xE9rification par le RSSI lui-m\xEAme, soit faire r\xE9\ + aliser le contr\xF4le par un tiers, selon les modalit\xE9s pr\xE9vues par\ + \ le contrat d\u2019externalisation." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1 + ref_id: 7.1.2 + name: "Proc\xE9der \xE0 un audit r\xE9gulier des vuln\xE9rabilit\xE9s du SI" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2 + ref_id: 7.1.2.1 + description: "Le RSSI doit faire r\xE9aliser r\xE9guli\xE8rement un audit des\ + \ vuln\xE9rabilit\xE9s du SI sur les aspects : \n\n- techniques : architecture,\ + \ syst\xE8mes, applications, r\xE9seaux dont r\xE9seaux sans fils, s\xE9curit\xE9\ + \ physique ; \n- organisationnel : proc\xE9dures li\xE9es \xE0 la s\xE9curit\xE9\ + , suivi de la s\xE9curit\xE9 dans les contrats, en production, connaissance\ + \ et application des r\xE8gles les utilisateurs, \u2026" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2 + ref_id: 7.1.2.2 + description: "Les services accessibles \xE0 des tiers, notamment via Internet,\ + \ doivent faire l\u2019objet de tests de vuln\xE9rabilit\xE9s logiques fr\xE9\ + quents. \n\nL\u2019utilisation de services de d\xE9tection automatis\xE9e\ + \ de vuln\xE9rabilit\xE9s logiques peut constituer une solution pour mener\ + \ une surveillance quasi continue des vuln\xE9rabilit\xE9s de ces services\ + \ web. \n\nIls ne se substituent cependant pas \xE0 une recherche de vuln\xE9\ + rabilit\xE9 men\xE9e par des experts de mani\xE8re plus espac\xE9e." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2 + ref_id: 7.1.2.3 + description: "La fr\xE9quence d\u2019audit des vuln\xE9rabilit\xE9s des diff\xE9\ + rentes parties du SI doit \xEAtre d\xE9finie en fonction des enjeux identifi\xE9\ + s par l\u2019analyse de risques." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2 + ref_id: 7.1.2.4 + description: "L\u2019audit des vuln\xE9rabilit\xE9s des parties externalis\xE9\ + es peut \xEAtre r\xE9alis\xE9 soit par les m\xEAmes moyens, soit d\xE9l\xE9\ + gu\xE9 \xE0 une tierce partie habilit\xE9e \xE0 intervenir par le prestataire.\ + \ \n\nTout test de vuln\xE9rabilit\xE9 d\u2019une partie h\xE9berg\xE9e du\ + \ SI ne doit \xEAtre r\xE9alis\xE9 qu\u2019en totale conformit\xE9 avec les\ + \ modalit\xE9s pr\xE9vues au contrat avec le prestataire." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1 + ref_id: 7.1.3 + name: "Assurer un suivi de la disponibilit\xE9 des ressources informatiques" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.3 + ref_id: 7.1.3.1 + description: "Un suivi de la disponibilit\xE9 des ressources du SI doit \xEA\ + tre mis en place. Il doit porter en priorit\xE9 sur : \n\n- le r\xE9seau local\ + \ interne et l\u2019acc\xE8s Internet ; \n- les composants syst\xE8mes critiques\ + \ du point de vue de leur disponibilit\xE9, identifi\xE9s suite \xE0 l\u2019\ + analyse de risques." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.3.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.3 + ref_id: 7.1.3.2 + description: "Le suivi doit permettre de : \n\n- v\xE9rifier r\xE9guli\xE8rement\ + \ la conformit\xE9 par rapport \xE0 la disponibilit\xE9 attendue et d\u2019\ + identifier les \xE9carts \xE9ventuels ; \n- prendre les actions correctives\ + \ n\xE9cessaires." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.3.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.3 + ref_id: 7.1.3.3 + description: "Les capacit\xE9s des ressources du SI doivent \xEAtre g\xE9r\xE9\ + es. Leur taux d\u2019utilisation doit \xEAtre suivi et les besoins d\u2019\ + extension de la capacit\xE9 doivent \xEAtre anticip\xE9s dans le cadre de\ + \ l\u2019utilisation habituelle du SI comme \xE0 l\u2019occasion d\u2019introduction\ + \ de nouveaux composants et de l\u2019\xE9volution du nombre d\u2019utilisateurs.\ + \ La gestion des ressources du SI doit notamment porter sur : \n\n- les capacit\xE9\ + s des syst\xE8mes de stockage de donn\xE9es ; \n- les capacit\xE9s de traitement,\ + \ notamment des serveurs ; \n- les d\xE9bits r\xE9seau (interne, acc\xE8s\ + \ Internet\u2026) \n- le nombre de licences d\xE9tenues (un nombre insuffisant\ + \ de licences pouvant interdire l\u2019usage d\u2019applications \xE0 certains\ + \ utilisateurs et les rendre indisponible pour eux)" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7 + ref_id: '7.2' + name: Conserver les traces informatiques + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2 + ref_id: 7.2.1 + name: "Tracer sp\xE9cifiquement les actions r\xE9alis\xE9es sur les donn\xE9\ + es de sant\xE9 \xE0 caract\xE8re personnel" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.1 + ref_id: 7.2.1.1 + description: "La g\xE9n\xE9ration de traces doit \xEAtre mise en place et activ\xE9\ + e pour toute application m\xE9tier qui traite de donn\xE9es de sant\xE9 \xE0\ + \ caract\xE8re personnel, conform\xE9ment aux guides d\u2019utilisation et\ + \ d\u2019administration mis \xE0 disposition par les \xE9diteurs des logiciels." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.1 + ref_id: 7.2.1.2 + description: "Sauf sp\xE9cificit\xE9s mentionn\xE9es ici, les traces doivent\ + \ \xEAtre g\xE9n\xE9r\xE9es et g\xE9r\xE9es conform\xE9ment aux r\xE8gles\ + \ de la th\xE9matique" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2" + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2 + ref_id: 7.2.2" + name: "Tracer les \xE9v\xE8nements informatiques" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2" + ref_id: 7.2.2.1 + description: "Les fonctions de journalisation des \xE9v\xE8nements syst\xE8\ + mes ou s\xE9curit\xE9 doivent \xEAtre activ\xE9es sur les diff\xE9rents composants\ + \ d\u2019infrastructure : serveurs, \xE9quipements r\xE9seau y compris Wifi,\ + \ pare-feu, syst\xE8mes d\u2019exploitation, application d\u2019infrastructure\ + \ (services DHCP, DNS, annuaire\u2026), anti-virus, \u2026" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2" + ref_id: 7.2.2.2 + description: "Les traces doivent comporter au minimum les informations suivantes\ + \ : \n\n- date et heure de l\u2019\xE9v\xE8nement ; \uF0B7 \xE9quipement source\ + \ de la trace (nom et adresse IP) ; \n- application source de la trace ; \n\ + - toute autre information n\xE9cessaire \xE0 la description de l\u2019\xE9\ + v\xE8nement." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2" + ref_id: 7.2.2.3 + description: "Les horloges des diff\xE9rents \xE9quipements susceptibles de\ + \ g\xE9n\xE9rer des traces doivent \xEAtre synchronis\xE9es, par exemple \xE0\ + \ l\u2019aide du protocole NTP." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2" + ref_id: 7.2.2.4 + description: "Les traces collect\xE9es constituent des informations \xE0 caract\xE8\ + re personnel. Elles sont exclusivement destin\xE9es au suivi de la s\xE9curit\xE9\ + \ du SI et ne peuvent servir au contr\xF4le de l\u2019activit\xE9 professionnelle\ + \ ou extra-professionnelle des utilisateurs. Elles doivent \xEAtre conserv\xE9\ + es de fa\xE7on s\xE9curis\xE9e et n\u2019\xEAtre accessibles qu\u2019\xE0\ + \ un nombre restreint de personnes explicitement habilit\xE9es (typiquement\ + \ le responsable de la s\xE9curit\xE9 du SI). Il est recommand\xE9 qu\u2019\ + elles soient h\xE9berg\xE9es sur un serveur de stockage d\xE9di\xE9 \xE0 cet\ + \ usage." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2" + ref_id: 7.2.2.5 + description: "Sauf cas particulier (qui doit alors \xEAtre document\xE9 et justifi\xE9\ + ), les traces collect\xE9es doivent \xEAtre conserv\xE9es pendant 6 mois,\ + \ puis \xEAtre effac\xE9es." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2" + ref_id: 7.2.2.6 + description: "Les traces doivent \xEAtre prises en compte dans le plan de sauvegarde\ + \ afin qu\u2019elles soient pr\xE9serv\xE9es en cas de sinistre." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2" + ref_id: 7.2.2.7 + description: "Les traces peuvent \xEAtre utilis\xE9es pour d\xE9tecter et analyser\ + \ les incidents de s\xE9curit\xE9. Elles peuvent accessoirement \xEAtre utilis\xE9\ + es pour \xE9tablir des statistiques qui doivent alors obligatoirement \xEA\ + tre anonymes (directement et indirectement) et pour d\xE9tecter les flux anormaux\ + \ sur le r\xE9seau." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.8 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2" + ref_id: 7.2.2.8 + description: "Les utilisateurs du SI doivent \xEAtre inform\xE9s de la g\xE9\ + n\xE9ration de traces \xE0 des fins d\u2019exploitation du SI et de s\xE9\ + curit\xE9. Ils doivent \xEAtre inform\xE9s de leurs droits relatifs \xE0 ce\ + \ traitement d\u2019informations \xE0 caract\xE8re personnel. Cette information\ + \ est typiquement r\xE9alis\xE9e via la Charte d\u2019Utilisation des Ressources\ + \ Informatiques. \n\nLa mise en place de la collecte de trace doit \xEAtre\ + \ effectu\xE9e en conformit\xE9 avec les obligations l\xE9gales et r\xE9glementaires,\ + \ notamment en ce qui concerne la loi \xAB Informatique et Libert\xE9s \xBB\ + \ et le droit du travail (information des instances de repr\xE9sentation du\ + \ personnel\u2026)" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7 + ref_id: '7.3' + name: "Faire face \xE0 un incident de s\xE9curit\xE9" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3 + ref_id: 7.3.1 + name: "Anticiper la survenue d\u2019un incident de s\xE9curit\xE9" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1 + ref_id: 7.3.1.1 + description: "Le r\xE9f\xE9rent incident SSI d\xE9sign\xE9 en application de\ + \ la r\xE8gle 2.1.1.7 assure la coordination des actions li\xE9es aux incidents\ + \ de s\xE9curit\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1 + ref_id: 7.3.1.2 + description: "Le r\xE9f\xE9rent incident SSI doit identifier les experts techniques\ + \ auxquels il peut recourir en cas d\u2019incident de s\xE9curit\xE9 suspect\xE9\ + \ ou av\xE9r\xE9, qu\u2019il s\u2019agisse de personnel interne (informaticien,\ + \ juriste, \u2026) ou de prestataire externe." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1 + ref_id: 7.3.1.3 + description: "Le r\xE9f\xE9rent incident SSI doit \xE9tablir, en coordination\ + \ avec le RSSI, le processus d\u2019escalade de l\u2019alerte afin de mobiliser\ + \ les niveaux hi\xE9rarchiques ad\xE9quats de la structure et si n\xE9cessaire\ + \ d\u2019activer la cellule de crise." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1 + ref_id: 7.3.1.4 + description: "Le r\xE9f\xE9rent incident SSI doit v\xE9rifier r\xE9guli\xE8\ + rement l\u2019efficacit\xE9 des proc\xE9dures de d\xE9tection et de r\xE9\ + solution d\u2019incidents \xE9labor\xE9es dans le cadre des r\xE8gles 7.3.2.1\ + \ et 7.3.3.1. dans le cadre de tests techniques unitaires et d\u2019exercices\ + \ de mise en \u0153uvre (simulation d\u2019incident)" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3 + ref_id: 7.3.2 + name: "D\xE9tecter un incident de s\xE9curit\xE9" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2 + ref_id: 7.3.2.1 + description: "Le r\xE9f\xE9rent incident SSI doit coordonner la r\xE9daction\ + \ de proc\xE9dures de d\xE9tection d\u2019incidents de s\xE9curit\xE9 par\ + \ les personnes comp\xE9tentes." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2 + ref_id: 7.3.2.2 + description: "Les utilisateurs du SI doivent \xEAtre sensibilis\xE9s \xE0 la\ + \ survenance potentielle d\u2019incidents de s\xE9curit\xE9, aux sympt\xF4\ + mes qu\u2019ils sont susceptibles d\u2019identifier dans leur utilisation\ + \ du SI et \xE0 la proc\xE9dure d\u2019alerte qu\u2019ils doivent mettre en\ + \ \u0153uvre dans ce cas (proc\xE9dure qui doit \xEAtre aussi simple que possible)." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2 + ref_id: 7.3.2.3 + description: "Le r\xE9f\xE9rent incident SSI doit \xEAtre inform\xE9 de tout\ + \ incident de production et de sa bonne r\xE9solution. L\u2019acc\xE8s doit\ + \ \xEAtre mis sur les incidents de production inhabituels ou dont les causes\ + \ sont suspectes." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2 + ref_id: 7.3.2.4 + description: "Il est recommand\xE9 que des moyens de d\xE9tection d\u2019anomalie\ + \ de s\xE9curit\xE9 soient mis en \u0153uvre afin d\u2019alerter au plus vite\ + \ le r\xE9f\xE9rent incident SSI : \n\n- console antivirus centralis\xE9e\ + \ ; \n- dispositifs de contr\xF4le d\u2019int\xE9grit\xE9 des syst\xE8mes\ + \ ; \n- dispositifs d\u2019analyse automatique des traces ; \n- dispositif\ + \ de d\xE9tection d\u2019intrusion r\xE9seau ; \n- console de suivi des sauvegardes\ + \ ; \n- etc." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3 + ref_id: 7.3.3 + name: "Prendre les mesures pour g\xE9rer les incidents de s\xE9curit\xE9" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.3 + ref_id: 7.3.3.1 + description: "Le r\xE9f\xE9rent incident SSI doit coordonner la r\xE9daction\ + \ de proc\xE9dures de r\xE9solution d\u2019incidents par les personnes comp\xE9\ + tentes. Des \xAB fiches reflexe \xBB peuvent \xE9galement \xEAtre \xE9labor\xE9\ + es pour des proc\xE9dures tr\xE8s cadr\xE9es aux conditions de d\xE9clenchement\ + \ claires et sans ambig\xFCit\xE9." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.3.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.3 + ref_id: 7.3.3.2 + description: "Le r\xE9f\xE9rent incident SSI doit participer \xE0 la r\xE9solution\ + \ des incidents, en tirer des retours d\u2019exp\xE9rience, et le cas \xE9\ + ch\xE9ant \xE9tablir avec le RSSI des propositions de mesures \xE0 mettre\ + \ en \u0153uvre pour \xE9viter qu\u2019ils se r\xE9p\xE8tent ou pour en limiter\ + \ les impacts." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7 + ref_id: '7.4' + name: "Sauvegarder les donn\xE9es" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4 + ref_id: 7.4.1 + name: Organisation et Plan de sauvegarde + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1 + ref_id: 7.4.1.1 + description: "Le plan de sauvegarde doit identifier les besoins op\xE9rationnels\ + \ m\xE9tiers et d\u2019infrastructure de sauvegarde et de restauration au\ + \ minimum sur les points suivants : \n\n- d\xE9finition du p\xE9rim\xE8tre\ + \ (syst\xE8mes, applications, donn\xE9es techniques, donn\xE9es de configuration,\ + \ donn\xE9es m\xE9tiers, documentation) \xE0 sauvegarder ; \n- d\xE9finition\ + \ du degr\xE9 de confidentialit\xE9 des sauvegardes ; \n- dur\xE9e maximale\ + \ admissible de restauration des donn\xE9es (DMARD) qui correspond au temps\ + \ entre la demande de restauration et la restauration effective des donn\xE9\ + es14 ; \n- perte de donn\xE9es maximale admissible (PDMA) qui correspond au\ + \ laps de temps maximal et admissible entre deux sauvegardes (perte des donn\xE9\ + es modifi\xE9es pendant cette dur\xE9e) ; \n- dur\xE9e de conservation maximale\ + \ des sauvegardes.\n\nLa conservation des sauvegardes sur des longues p\xE9\ + riodes, au-del\xE0 de 2 ans, n\xE9cessite des pr\xE9cautions pour permettre\ + \ une restauration en cas de besoin : r\xE9g\xE9n\xE9ration des sauvegardes\ + \ pour s\u2019affranchir de l\u2019obsolescence des supports et du mat\xE9\ + riel de sauvegarde, et le cas \xE9ch\xE9ant conservation de l\u2019environnement\ + \ mat\xE9riel et logiciel." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1 + ref_id: 7.4.1.2 + description: "Le plan de sauvegarde doit identifier, en conformit\xE9 avec le\ + \ p\xE9rim\xE8tre de sauvegarde d\xE9fini (r\xE8gle 7.4.1.1), l\u2019ensemble\ + \ des composants informatiques du SI \xE0 inclure dans les processus de sauvegardes\ + \ (ex. donn\xE9es, bases de donn\xE9es, applications et syst\xE8me d\u2019\ + exploitation des serveurs, des mat\xE9riels m\xE9dicotechniques, des \xE9\ + quipements r\xE9seaux, serveurs, baies de stockage, serveurs de fichiers et\ + \ postes de travail\u2026).\n\nLe plan de sauvegarde doit prendre en compte\ + \ les liens entre les composants afin d\u2019assurer la synchronisation et\ + \ la coh\xE9rence des donn\xE9es lors des sauvegardes et restaurations. En\ + \ particulier, lors des mont\xE9es de versions de logiciel, il est important\ + \ de sauvegarder la version pr\xE9c\xE9dente du logiciel afin de s\u2019assurer\ + \ du bon acc\xE8s aux donn\xE9es en cas de restauration. Cette prise en compte\ + \ peut notamment \xEAtre r\xE9alis\xE9e par la sauvegarde de briques d\u2019\ + infrastructure compl\xE8tes \xE9ventuellement associ\xE9es \xE0 des plans\ + \ de virtualisation du SI." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1 + ref_id: 7.4.1.3 + description: "Pour chaque composant informatique identifi\xE9, le plan de sauvegarde\ + \ d\xE9crit les proc\xE9dures de sauvegarde \xE0 mettre en \u0153uvre : \n\ + \n- type de sauvegarde : sauvegarde compl\xE8te, sauvegarde partielle, sauvegarde\ + \ diff\xE9rentielle, sauvegarde incr\xE9mentale ; \n- p\xE9riodicit\xE9 de\ + \ la sauvegarde (journali\xE8re, hebdomadaire, mensuelle\u2026), p\xE9riodicit\xE9\ + \ de rotation des sauvegardes (exemple pour un SI : sauvegarde diff\xE9rentielle\ + \ en semaine, sauvegarde compl\xE8te le weekend, \u2026) ; \n- contraintes\ + \ de sauvegarde : sauvegarde \xE0 chaud, sauvegarde \xE0 froid, d\xE9finition\ + \ de la plage horaire de sauvegarde, ordonnancement des sauvegardes notamment\ + \ entre les composants ayant des liens entre eux\u2026" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1 + ref_id: 7.4.1.4 + description: "Le plan de sauvegarde doit identifier, pour chaque composant informatique,\ + \ les proc\xE9dures et les pr\xE9requis \xE0 la restauration. Les pr\xE9requis\ + \ incluent les points suivants : \n\n- environnement de restauration (r\xE9\ + seau, mat\xE9riel de sauvegarde, serveur de restauration, ..) ; \n- caract\xE9\ + ristiques des composants informatiques du mat\xE9riel cible de la restauration\ + \ ; \n- configurations logicielles (syst\xE8me d\u2019exploitation, applications,\ + \ \u2026). Les proc\xE9dures de restauration formalisent les points suivants\ + \ : \n- diagnostic de la perte de donn\xE9es et d\xE9termination des donn\xE9\ + es \xE0 r\xE9cup\xE9rer en fonction des donn\xE9es perdues et des sauvegardes\ + \ disponibles ; \n- mode de mise en \u0153uvre de la r\xE9cup\xE9ration de\ + \ donn\xE9es ; \n- modalit\xE9s d\u2019information des utilisateurs." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1 + ref_id: 7.4.1.5 + description: "Le plan de sauvegarde doit pr\xE9voir le test des dispositions\ + \ mises en \u0153uvre pour assurer la sauvegarde. En pratique, les r\xE8gles\ + \ techniques concernant les sauvegardes, leur fr\xE9quence, leur restauration\ + \ et la s\xE9curit\xE9 associ\xE9e (r\xE8gles des th\xE9matiques 7-4.2 \xE0\ + \ 7-4.5) doivent \xEAtre test\xE9es r\xE9guli\xE8rement. Une campagne de test\ + \ annuelle est recommand\xE9e." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1 + ref_id: 7.4.1.6 + description: "Toute mise en production d\u2019un nouveau syst\xE8me, d\u2019\ + une nouvelle application ou espace de donn\xE9es doit faire l\u2019objet d\u2019\ + une r\xE9flexion pr\xE9alable sur sa sauvegarde et d\u2019un ajout au plan\ + \ de sauvegarde, valid\xE9 par le responsable du SIS." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1 + ref_id: 7.4.1.7 + description: "Seul le personnel ou les soci\xE9t\xE9s d\xE9sign\xE9es par le\ + \ responsable du SI peuvent intervenir sur les processus de sauvegarde et\ + \ de restauration des applications et des donn\xE9es." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.8 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1 + ref_id: 7.4.1.8 + description: "Lorsque cela est permis par la charte utilisateur \xE9tablie par\ + \ l\u2019\xE9tablissement ou, au cas par cas, par le responsable du SI, les\ + \ utilisateurs du SI sont autoris\xE9s \xE0 effectuer, sous leur propre responsabilit\xE9\ + , des sauvegardes et restaurations des donn\xE9es de leur poste de travail\ + \ dans le respect de la PSSI et de la charte informatique de la structure." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4 + ref_id: 7.4.2 + name: "R\xE8gles techniques pour la sauvegarde des serveurs" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2 + ref_id: 7.4.2.1 + description: "Une sauvegarde compl\xE8te doit \xEAtre effectu\xE9e avant chaque\ + \ modification majeure d\u2019un composant mat\xE9riel ou logiciel (syst\xE8\ + me ou application) et avant chaque changement majeur de configuration. Une\ + \ sauvegarde compl\xE8te doit \xEAtre \xE9galement effectu\xE9e apr\xE8s la\ + \ modification si elle n\u2019est pas d\xE9j\xE0 pr\xE9vue dans le plan de\ + \ sauvegarde." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2 + ref_id: 7.4.2.2 + description: "Pour chaque serveur de production, l\u2019ensemble du param\xE9\ + trage des syst\xE8mes d\u2019exploitation et des applications (comptes et\ + \ droits utilisateurs, param\xE8tres m\xE9tier, \u2026) doit \xEAtre sauvegard\xE9\ + \ selon les besoins de disponibilit\xE9 d\xE9finis par les responsables de\ + \ traitement \xE0 une fr\xE9quence minimum d\xE9termin\xE9e en fonction des\ + \ besoins et contraintes. A titre indicatif, une sauvegarde quotidienne est\ + \ recommand\xE9e pour ce type d\u2019\xE9l\xE9ments." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2 + ref_id: 7.4.2.3 + description: "Pour chaque serveur de production, l\u2019ensemble des donn\xE9\ + es des applications m\xE9tier doit \xEAtre sauvegard\xE9 selon les besoins\ + \ de disponibilit\xE9 d\xE9finis par les responsables de traitement \xE0 une\ + \ fr\xE9quence minimum d\xE9termin\xE9e en fonction des besoins et contraintes.\ + \ A titre indicatif, une sauvegarde quotidienne est recommand\xE9e pour ce\ + \ type d\u2019\xE9l\xE9ment." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2 + ref_id: 7.4.2.4 + description: "Pour chaque serveur de production, les diff\xE9rentes versions\ + \ des programmes (syst\xE8mes, bases de donn\xE9es et applications) doivent\ + \ \xEAtre sauvegard\xE9es et les supports conserv\xE9s, tant que les donn\xE9\ + es de l\u2019application sont susceptibles d\u2019\xEAtre restaur\xE9es. \n\ + \nEn effet, si des donn\xE9es un peu anciennes sont restaur\xE9es, il est\ + \ possible qu\u2019il soit n\xE9cessaire de restaurer ces donn\xE9es dans\ + \ un environnement n\xE9cessitant des versions des logiciels et syst\xE8mes\ + \ ant\xE9rieures aux versions actuelles de production." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2 + ref_id: 7.4.2.5 + description: "Une v\xE9rification syst\xE9matique des sauvegardes est r\xE9\ + alis\xE9e en fin de proc\xE9dure. Pour les bases de donn\xE9es, une op\xE9\ + ration de restauration \xE0 blanc peut \xEAtre planifi\xE9e en plus des tests\ + \ pr\xE9vus dans le cadre de la r\xE8gle 7.4.5.2." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2 + ref_id: 7.4.2.6 + description: "L\u2019ensemble des op\xE9rations de sauvegarde est journalis\xE9\ + . Les journaux sont conserv\xE9s avec les supports de sauvegardes. Ces derniers\ + \ comportent au minimum les informations suivantes : \n\n- r\xE9f\xE9rences\ + \ du dispositif de sauvegarde ; \n- p\xE9rim\xE8tre ou composants concern\xE9\ + s ; \n- type de sauvegarde ; \n- fichiers sauvegard\xE9s ; \n- date de la\ + \ sauvegarde ; \n- statut de la sauvegarde." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4 + ref_id: 7.4.3 + name: "R\xE8gles techniques pour la sauvegarde des postes de travail" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.3 + ref_id: 7.4.3.1 + description: "Dans le cas d\u2019une utilisation monoposte, une sauvegarde compl\xE8\ + te doit \xEAtre effectu\xE9e avant chaque modification majeure d\u2019un composant\ + \ mat\xE9riel ou logiciel (syst\xE8me ou application) et avant chaque changement\ + \ majeur de configuration. Une sauvegarde compl\xE8te doit \xEAtre \xE9galement\ + \ effectu\xE9e apr\xE8s la modification si elle n\u2019est pas d\xE9j\xE0\ + \ pr\xE9vue dans le plan de sauvegarde." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.3.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.3 + ref_id: 7.4.3.2 + description: "Dans le cas d\u2019un exercice individuel ou si la charte utilisateur\ + \ de l\u2019\xE9tablissement permet le stockage de donn\xE9es m\xE9tiers sur\ + \ les postes de travail, la sauvegarde de l\u2019ensemble des donn\xE9es des\ + \ applications m\xE9tier doit \xEAtre planifi\xE9e en fonction des besoins\ + \ de disponibilit\xE9 des donn\xE9es d\xE9finis par les responsables de traitement.\ + \ A titre indicatif, une sauvegarde quotidienne est recommand\xE9e pour ce\ + \ type d\u2019\xE9l\xE9ments." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.3.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.3 + ref_id: 7.4.3.3 + description: "Une v\xE9rification syst\xE9matique des sauvegardes doit \xEA\ + tre r\xE9alis\xE9e en fin de proc\xE9dure." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4 + ref_id: 7.4.4 + name: "R\xE8gles techniques g\xE9n\xE9rales pour la sauvegarde" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4 + ref_id: 7.4.4.1 + description: "Les dispositifs de sauvegarde doivent faire l\u2019objet d\u2019\ + un contrat de maintenance mat\xE9rielle et logicielle adapt\xE9 aux besoins\ + \ de disponibilit\xE9 du SI." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4 + ref_id: 7.4.4.2 + description: "Chaque support amovible de sauvegarde doit \xEAtre identifi\xE9\ + \ et \xE9tiquet\xE9 avec a minima son identifiant, sa date de mise en premi\xE8\ + re circulation et sa date de p\xE9remption." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4 + ref_id: 7.4.4.3 + description: "Un jeu de supports, correspondant \xE0 une sauvegarde compl\xE8\ + te, doit r\xE9guli\xE8rement \xEAtre stock\xE9 dans un espace prot\xE9g\xE9\ + \ contre les menaces physiques et environnementales (vols, saccages, incendies,\ + \ d\xE9g\xE2ts des eaux, perturbations magn\xE9tiques, \u2026) et physiquement\ + \ \xE9loign\xE9 des composants du SI sauvegard\xE9s. \n\nCet \xE9loignement\ + \ physique doit garantir qu\u2019un m\xEAme sinistre ne peut affecter \xE0\ + \ la fois les composants sauvegard\xE9s et leur sauvegarde. \n\nLe lieu de\ + \ \xAB stockage \xE9loign\xE9 \xBB devra \xEAtre appropri\xE9 au type de structure.\ + \ Ce lieu pourra \xEAtre, par exemple, un site secondaire de l\u2019organisme,\ + \ un coffre de banque, etc. \n\nIl est recommand\xE9 qu\u2019une sauvegarde\ + \ hebdomadaire soit stock\xE9e sur un lieu distant." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4 + ref_id: 7.4.4.4 + description: "Les supports de sauvegarde doivent \xEAtre prot\xE9g\xE9s en conformit\xE9\ + \ avec les r\xE8gles de la th\xE9matiques T3-1.3. \n\nLe niveau de protection\ + \ des sauvegardes doit \xEAtre au moins identique \xE0 celui des \xE9l\xE9\ + ments sauvegard\xE9s. \n\nEn particulier, l\u2019acc\xE8s aux sauvegardes\ + \ doit faire l\u2019objet d\u2019un contr\xF4le et d\u2019une restriction\ + \ d\u2019acc\xE8s aux seuls intervenants autoris\xE9s par le responsable de\ + \ traitement que ce soit lors de leur manipulation, au cours des sauvegardes-restaurations,\ + \ sur les lieux de stockage ou pendant les op\xE9rations de transport. \n\n\ + A cet effet, il est possible de mettre en \u0153uvre des solutions de chiffrement\ + \ des donn\xE9es afin de r\xE9duire les risques d\u2019acc\xE8s aux donn\xE9\ + es par des personnes non autoris\xE9es notamment en cas de perte de supports\ + \ de stockage. Il est alors essentiel que les cl\xE9s n\xE9cessaires au d\xE9\ + chiffrement des sauvegardes soient \xE9galement sauvegard\xE9es et que ces\ + \ sauvegardes soient prot\xE9g\xE9es et conserv\xE9es s\xE9par\xE9ment par\ + \ une personne autoris\xE9e. \n\nLe lecteur pourra se r\xE9f\xE9rer au R\xE9\ + f\xE9rentiel G\xE9n\xE9ral de S\xE9curit\xE9 (RGS) qui comporte une annexe\ + \ d\xE9crivant les exigences relatives \xE0 la fonction de s\xE9curit\xE9\ + \ \xAB confidentialit\xE9 \xBB15" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4.5 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4 + ref_id: 7.4.4.5 + description: "Tous les supports de sauvegarde doivent, avant leur r\xE9utilisation\ + \ dans un autre contexte ou leur mise au rebut, faire l\u2019objet d\u2019\ + une campagne syst\xE9matique d\u2019effacement physique ou, \xE0 d\xE9faut,\ + \ \xEAtre physiquement d\xE9truits. La destruction des donn\xE9es stock\xE9\ + es sur les supports de sauvegarde doit \xEAtre r\xE9alis\xE9e en conformit\xE9\ + \ avec les r\xE8gles de la th\xE9matique T3-1.4." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4.6 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4 + ref_id: 7.4.4.6 + description: "Si la sauvegarde de donn\xE9es sensibles (donn\xE9es \xE0 caract\xE8\ + re personnel, param\xE9trages d\u2019\xE9quipement parmi lesquels peuvent\ + \ se trouver des mots de passe\u2026) est r\xE9alis\xE9e via le r\xE9seau,\ + \ ces donn\xE9es ne doivent transiter par le r\xE9seau que sous forme chiffr\xE9\ + e." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4.7 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4 + ref_id: 7.4.4.7 + description: "Quand les besoins m\xE9tiers le n\xE9cessitent, un m\xE9canisme\ + \ de contr\xF4le d\u2019int\xE9grit\xE9 des donn\xE9es sauvegard\xE9es peut\ + \ \xEAtre mis en place. Si ce contr\xF4le d\u2019int\xE9grit\xE9 vise \xE0\ + \ d\xE9tecter une \xE9ventuelle falsification des donn\xE9es, il est recommand\xE9\ + \ d\u2019utiliser la fonction de hachage SHA-256 pour r\xE9aliser une empreinte\ + \ des donn\xE9es sauvegard\xE9e, voire une signature \xE9lectronique. Ces\ + \ empreintes devront \xEAtre prot\xE9g\xE9es et conserv\xE9es s\xE9par\xE9\ + ment des sauvegardes." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4 + ref_id: 7.4.5 + name: "R\xE8gles relatives \xE0 la restauration et au contr\xF4le des sauvegardes" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5 + ref_id: 7.4.5.1 + description: "Tous les supports de sauvegarde doivent faire l'objet d'une surveillance\ + \ p\xE9riodique pour garantir leur efficacit\xE9 physique, que ce soit par\ + \ \xE9chantillonnage et test de restauration \xE0 blanc de sauvegardes anciennes,\ + \ ou par suivi des param\xE8tres techniques de bas niveau (erreurs de lecture,\ + \ corrig\xE9es ou non) \xE0 l\u2019occasion d\u2019op\xE9rations de restauration.\ + \ En cas d'incident li\xE9 \xE0 la qualit\xE9 du support lors d'une op\xE9\ + ration de sauvegarde ou de restauration, comme en cas de suspicion de d\xE9\ + faut, le support incrimin\xE9 doit \xEAtre mis au rebut." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5 + ref_id: 7.4.5.2 + description: "Des tests de restauration sont men\xE9s de mani\xE8re r\xE9guli\xE8\ + re. Une fr\xE9quence de test annuelle est recommand\xE9e." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5.3 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5 + ref_id: 7.4.5.3 + description: "Chaque op\xE9ration de restauration doit donner lieu \xE0 une\ + \ v\xE9rification du bon fonctionnement du composant restaur\xE9 et de la\ + \ s\xE9curit\xE9. En particulier, le contr\xF4le d\u2019acc\xE8s aux \xE9\ + l\xE9ments restaur\xE9s doit \xEAtre coh\xE9rent avec celui mis en \u0153\ + uvre pour les \xE9l\xE9ments initiaux sauvegard\xE9s. Le r\xE9sultat de cette\ + \ v\xE9rification est consign\xE9 dans une fiche de restauration qui comporte\ + \ les informations suivantes : \n\n- op\xE9rateur de sauvegarde ; \n- demandeur\ + \ de la restauration ; \n- fichiers restaur\xE9s ; \n- date de la sauvegarde\ + \ ; \n- date de restauration ; \n- statut des v\xE9rifications effectu\xE9\ + es." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5.4 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5 + ref_id: 7.4.5.4 + description: "En fonctionnement habituel, les exploitants doivent utiliser leur\ + \ compte nominatif pour effectuer des op\xE9rations de restauration ou de\ + \ contr\xF4le des sauvegardes. Toutefois, il peut exister un compte administrateur\ + \ du syst\xE8me de sauvegarde. Ce compte ne doit pas \xEAtre un compte par\ + \ d\xE9faut du syst\xE8me. L\u2019identifiant et le mot de passe durci associ\xE9\ + s \xE0 ce compte doivent \xEAtre consign\xE9s dans un coffre-fort (physique\ + \ ou \xE9lectronique) \xE0 mots de passe. Il ne doit \xEAtre utilis\xE9 qu\u2019\ + en cas de force majeure (indisponibilit\xE9 des exploitants usuels notamment),\ + \ sous le contr\xF4le du responsable du SI." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.6 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4 + ref_id: 7.4.6 + name: "R\xE8gles relatives aux contrats d\u2019externalisation des sauvegardes" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.6.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.6 + ref_id: 7.4.6.1 + description: "Un contrat d\u2019externalisation des op\xE9rations ou des supports\ + \ de sauvegarde ne doit \xEAtre sign\xE9 avec un prestataire que s\u2019il\ + \ est agr\xE9\xE9 pour l\u2019h\xE9bergement des donn\xE9es de sant\xE9 \xE0\ + \ caract\xE8re personnel, pour ce type de service." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.6.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.6 + ref_id: 7.4.6.2 + description: "Le contrat d\u2019externalisation des op\xE9rations ou des supports\ + \ de sauvegarde doit se conformer aux r\xE8gles 6.6.6.1 et 6.6.6.2." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5 + assessable: false + depth: 2 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7 + ref_id: '7.5' + name: "Mettre en place un Plan de Continuit\xE9 Informatique" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.1 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5 + ref_id: 7.5.1 + name: "D\xE9finir l\u2019organisation n\xE9cessaire au Plan de Continuit\xE9\ + \ Informatique" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.1.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.1 + ref_id: 7.5.1.1 + description: "L\u2019\xE9laboration, la maintenance et les tests du Plan de\ + \ Continuit\xE9 Informatique doivent \xEAtre pilot\xE9s par une personne en\ + \ charge de la fonction \xAB Responsable Plan de continuit\xE9 du SI \xBB" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.2 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5 + ref_id: 7.5.2 + name: "Elaborer le Plan de Continuit\xE9 Informatique" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.2.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.2 + ref_id: 7.5.2.1 + description: "Un Plan de Continuit\xE9 Informatique doit \xEAtre \xE9tabli afin\ + \ de r\xE9pondre aux exigences de continuit\xE9 \xE9tablies par le Plan de\ + \ Continuit\xE9 d\u2019Activit\xE9 (PCA) de la structure en cas de r\xE9alisation\ + \ de l\u2019un des sinistres envisag\xE9s dans ce PCA." + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.2.2 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.2 + ref_id: 7.5.2.2 + description: "Le Plan de Continuit\xE9 Informatique doit \xEAtre \xE9labor\xE9\ + \ en coh\xE9rence avec le PCA afin de : \n\n- tenir compte des diff\xE9rents\ + \ modes de fonctionnement d\xE9grad\xE9s et de secours envisag\xE9s par les\ + \ m\xE9tiers;\n- v\xE9rifier que le PCA prend bien en compte les pr\xE9requis\ + \ sp\xE9cifiques au r\xE9tablissement du fonctionnement du SI attendu (locaux\ + \ de repli, personnel n\xE9cessaire, logistique, \u2026). " + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.3 + assessable: false + depth: 3 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5 + ref_id: 7.5.3 + name: "Tester le Plan de Continuit\xE9 Informatique" + - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.3.1 + assessable: true + depth: 4 + parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.3 + ref_id: 7.5.3.1 + description: "La pertinence et l\u2019efficacit\xE9 du Plan de Continuit\xE9\ + \ Informatique et de sa mise en \u0153uvre effective doivent \xEAtre r\xE9\ + guli\xE8rement test\xE9es dans le cadre : \n\n- de tests internes au SI ;\ + \ \n- d\u2019exercices de mise en \u0153uvre du PCA de la structure." diff --git a/backend/library/libraries/risk-matrix-4x4-pgssi-s-1.0.yaml b/backend/library/libraries/risk-matrix-4x4-pgssi-s-1.0.yaml new file mode 100644 index 000000000..3ab7926d0 --- /dev/null +++ b/backend/library/libraries/risk-matrix-4x4-pgssi-s-1.0.yaml @@ -0,0 +1,72 @@ +urn: urn:ackwa:risk:library:risk-matrix-4x4-pgssi-s-1.0 +locale: fr +ref_id: risk-matrix-4x4-pgssi-s-1.0 +name: Matrice de risques 4x4 PGSSI-S v1.0 +description: Matrice de risques 4x4 PGSSI-S v1.0 +copyright: Agence du Numérique en Santé +annotation: https://esante.gouv.fr/produits-services/pgssi-s +version: 1 +provider: ANS +packager: Ackwa.fr +objects: + risk_matrix: + - urn: urn:ackwa:risk:matrix:risk-matrix-4x4-pgssi-s-1.0 + ref_id: risk-matrix-4x4-pgssi-s-1.0 + name: Matrice de risques 4x4 PGSSI-S v1.0 + description: Matrice de risques 4x4 PGSSI-S v1.0 + probability: + - abbreviation: 1 + name: Exceptionnel + description: Evènement Exceptionnel + - abbreviation: 2 + name: Peu probable + description: Evènement Peu probable + - abbreviation: 3 + name: Possible + description: Evènement Possible + - abbreviation: 4 + name: Quasi certain + description: Evènement Quasi certain + impact: + - abbreviation: 1 + name: Mineure + description: Gravité Mineure + - abbreviation: 2 + name: Significatif + description: Gravité Significative + - abbreviation: 3 + name: Importante + description: Gravité Importante + - abbreviation: 4 + name: Critique + description: Gravité Critique + risk: + - abbreviation: 1 + name: Limité + description: Risque Limité + hexcolor: "#92d051" + - abbreviation: 2 + name: Modéré + description: Risque Modéré + hexcolor: "#ffc100" + - abbreviation: 3 + name: Fort + description: Risque Fort + hexcolor: "#ff5d5d" + grid: + - - 0 + - 0 + - 0 + - 1 + - - 0 + - 1 + - 1 + - 2 + - - 0 + - 1 + - 1 + - 2 + - - 0 + - 1 + - 2 + - 2 diff --git a/frontend/messages/fr.json b/frontend/messages/fr.json index 8b01061f9..3a51e832e 100644 --- a/frontend/messages/fr.json +++ b/frontend/messages/fr.json @@ -78,7 +78,7 @@ "parentDomain": "Domaine parent", "ref": "Réf", "refId": "ID de référence", - "businessValue": "Valeur commerciale", + "businessValue": "Valeur métier", "email": "E-mail", "firstName": "Prénom", "lastName": "Nom de famille", diff --git a/frontend/src/lib/components/Forms/AutocompleteSelect.svelte b/frontend/src/lib/components/Forms/AutocompleteSelect.svelte index 271454898..c426a332d 100644 --- a/frontend/src/lib/components/Forms/AutocompleteSelect.svelte +++ b/frontend/src/lib/components/Forms/AutocompleteSelect.svelte @@ -12,6 +12,7 @@ export let nullable = false; export let hide = false; + export let translateOptions = true; const { value, errors, constraints } = formFieldProxy(form, field); @@ -88,7 +89,7 @@ {#if option.suggested} {option.label} (suggested) - {:else if localItems(languageTag())[toCamelCase(option.label)]} + {:else if translateOptions && localItems(languageTag())[toCamelCase(option.label)]} {localItems(languageTag())[toCamelCase(option.label)]} {:else} {option.label} diff --git a/frontend/src/lib/components/Forms/ModelForm.svelte b/frontend/src/lib/components/Forms/ModelForm.svelte index aaa5c6133..ba5ab88c1 100644 --- a/frontend/src/lib/components/Forms/ModelForm.svelte +++ b/frontend/src/lib/components/Forms/ModelForm.svelte @@ -350,6 +350,7 @@ {#if model.selectOptions['selected_implementation_groups'] && model.selectOptions['selected_implementation_groups'].length}