diff --git a/.dockerignore b/.dockerignore
index 22b5ea72b..cb5fe31b0 100644
--- a/.dockerignore
+++ b/.dockerignore
@@ -5,3 +5,5 @@
.git*
.pytest*
.idea*
+venv/
+env/
diff --git a/CODE_OF_CONDUCT.md b/CODE_OF_CONDUCT.md
index 76cd35826..ec2486122 100644
--- a/CODE_OF_CONDUCT.md
+++ b/CODE_OF_CONDUCT.md
@@ -60,7 +60,7 @@ representative at an online or offline event.
Instances of abusive, harassing, or otherwise unacceptable behavior may be
reported to the community leaders responsible for enforcement at
-contact@intuitem.com.
+contact@intuitem.com or our [Discord](https://discord.gg/qvkaMdQ8da).
All complaints will be reviewed and investigated promptly and fairly.
All community leaders are obligated to respect the privacy and security of the
diff --git a/README.md b/README.md
index b164d3578..2a7a8450b 100644
--- a/README.md
+++ b/README.md
@@ -104,8 +104,14 @@ Check out the online documentation on https://intuitem.gitbook.io/ciso-assistant
32. ANSSI : recommandations de sécurité pour un système d'IA générative 🇫🇷🤖
33. NIST SP 800-218: Secure Software Development Framework (SSDF) 🖥️
34. GSA FedRAMP rev5 ☁️🇺🇸
-35. Cadre Conformité Cyber France (3CF) ✈️🇫🇷
-36. ANSSI : SecNumCloud ☁️🇫🇷
+35. Cadre Conformité Cyber France (3CF) v1 (2021) ✈️🇫🇷
+36. ANSSI : SecNumCloud ☁️🇫🇷
+37. Cadre Conformité Cyber France (3CF) v2 (2024) ✈️🇫🇷
+
+### Community contrib
+
+1. ISO 27001:2022, version Française 🇫🇷🌐
+2. PGSSI-S (Politique Générale de Sécurité des Systèmes d'Information de Santé) 🇫🇷
diff --git a/backend/library/libraries/3cf-v2.yaml b/backend/library/libraries/3cf-v2.yaml
new file mode 100644
index 000000000..4ed3e381b
--- /dev/null
+++ b/backend/library/libraries/3cf-v2.yaml
@@ -0,0 +1,4839 @@
+urn: urn:intuitem:risk:library:3cf-v2
+locale: fr
+ref_id: 3CF-v2
+name: "Cadre de Conformit\xE9 Cyber France (3CF) pour l'aviation civile - v2"
+description: "Ce document, \xE9tabli par la direction de la s\xE9curit\xE9 de l'aviation\
+ \ civile (DSAC), pr\xE9sente le Cadre de Conformit\xE9 Cyber France (3CF) pour l'aviation\
+ \ civile.\nversion 2 du 30 avril 2024\nhttps://meteor.dsac.aviation-civile.gouv.fr/meteor-externe/api/file/attachment/12d47db0-e8a9-4be4-b243-50bd8cc835f1"
+copyright: "Ce document peut \xEAtre utilis\xE9 librement, sous r\xE9serve de mentionner\
+ \ sa paternit\xE9."
+version: 1
+provider: "Direction de la s\xE9curit\xE9 de l'aviation civile"
+packager: intuitem
+objects:
+ framework:
+ urn: urn:intuitem:risk:framework:c3cf-v2
+ ref_id: 3CF-v2
+ name: "Cadre de Conformit\xE9 Cyber France (3CF) pour l'aviation civile - v2"
+ description: "Ce document, \xE9tabli par la direction de la s\xE9curit\xE9 de\
+ \ l'aviation civile (DSAC), pr\xE9sente le Cadre de Conformit\xE9 Cyber France\
+ \ (3CF) pour l'aviation civile.\nversion 2 du 30 avril 2024\nhttps://meteor.dsac.aviation-civile.gouv.fr/meteor-externe/api/file/attachment/12d47db0-e8a9-4be4-b243-50bd8cc835f1"
+ implementation_groups_definition:
+ - ref_id: sec
+ name: "s\xE9curit\xE9 a\xE9rienne"
+ description: "\xC9tat dans lequel les risques li\xE9s aux activit\xE9s a\xE9\
+ ronautiques concernant, ou appuyant directement, l\u2019exploitation des a\xE9\
+ ronefs sont r\xE9duits et ma\xEEtris\xE9s \xE0 un niveau acceptable "
+ - ref_id: sur
+ name: "suret\xE9 a\xE9rienne"
+ description: "Combinaison des mesures ainsi que des moyens humains et mat\xE9\
+ riels visant \xE0 prot\xE9ger l\u2019aviation civile contre les actes d\u2019\
+ interventions illicites."
+ requirement_nodes:
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:3
+ assessable: false
+ depth: 1
+ ref_id: '3'
+ name: Gouvernance
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:3.1
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3
+ ref_id: '3.1'
+ name: Engagement du Dirigeant Responsable
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node4
+ assessable: true
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.1
+ description: "Le Dirigeant Responsable de l\u2019organisme s\u2019engage \xE0\
+ \ mettre en \u0153uvre des moyens adapt\xE9s de protection contre l\u2019\
+ atteinte \xE0 la confidentialit\xE9, l\u2019int\xE9grit\xE9, la disponibilit\xE9\
+ \ et l\u2019authenticit\xE9 des informations qui pourraient entrainer des\
+ \ probl\xE8mes de s\xE9curit\xE9 a\xE9rienne. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node5
+ assessable: true
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.1
+ description: "Pour ce faire, le Dirigeant Responsable s\u2019engage \xE0 mettre\
+ \ en place un Syst\xE8me de Management de la S\xE9curit\xE9 de l\u2019Information\
+ \ (SMSI) visant \xE0 \xE9tablir, mettre en \u0153uvre, exploiter, surveiller,\
+ \ r\xE9examiner, tenir \xE0 jour et am\xE9liorer la gestion des risques li\xE9\
+ s \xE0 la s\xE9curit\xE9 de l\u2019information sur la s\xFBret\xE9 et ou s\xE9\
+ curit\xE9 a\xE9rienne. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node6
+ assessable: true
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.1
+ description: "La lettre formalisant cet engagement du Dirigeant Responsable\
+ \ est int\xE9gr\xE9e ou r\xE9f\xE9renc\xE9e dans : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node7
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node6
+ description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\
+ \ l\u2019information, ou ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node8
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node6
+ description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:3.2
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3
+ ref_id: '3.2'
+ name: "Politique de s\xE9curit\xE9 de l\u2019information"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2
+ ref_id: 3.2.1
+ name: "Strat\xE9gie et objectifs de s\xE9curit\xE9 de l\u2019information"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node11
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.1
+ description: "Le Dirigeant Responsable d\xE9finit et approuve une politique\
+ \ de s\xE9curit\xE9 de l\u2019information dont d\xE9coule : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node12
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node11
+ description: "une strat\xE9gie qui d\xE9crit les intentions et l\u2019orientation\
+ \ en mati\xE8re de s\xE9curit\xE9 de l\u2019information relative \xE0 la s\xE9\
+ curit\xE9 a\xE9rienne ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node13
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node11
+ description: "les objectifs de s\xE9curit\xE9 de l\u2019information qu\u2019\
+ il s\u2019est fix\xE9 afin de mettre en \u0153uvre cette strat\xE9gie ; -\
+ \ les \xE9tapes et le plan d\u2019actions pour atteindre ces objectifs. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2
+ ref_id: 3.2.2
+ name: "Coh\xE9rence de la strat\xE9gie et des objectifs"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node15
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.2
+ description: "Le Dirigeant Responsable s\u2019assure de la coh\xE9rence entre\
+ \ : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node16
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node15
+ description: "la strat\xE9gie et les objectifs de s\xE9curit\xE9 de l\u2019\
+ information d\u2019une part et ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node17
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node15
+ description: "la strat\xE9gie et les objectifs globaux de l\u2019organisme et\
+ \ ceux plus sp\xE9cifiques \xE0 la s\xE9curit\xE9 a\xE9rienne d\u2019autre\
+ \ part. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2
+ ref_id: 3.2.3
+ name: "Int\xE9gration ou articulation entre les syst\xE8mes de gestion "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node19
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.3
+ description: "Le Dirigeant Responsable pr\xE9cise l\u2019int\xE9gration ou l\u2019\
+ articulation entre le SMSI et le(s) syst\xE8me(s) de gestion existant(s) de\
+ \ l\u2019organisation. Notamment : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node20
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node19
+ description: "le Syst\xE8me de Gestion de la S\xE9curit\xE9 a\xE9rienne (SGS\
+ \ ou en anglais SMS Safety Management System) ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node21
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node19
+ description: "le cas \xE9ch\xE9ant d\u2019autres Syst\xE8mes de Management de\
+ \ la S\xE9curit\xE9 de l'Information, en interaction avec le SMSI a\xE9ronautique\
+ \ objet de ce document, tel qu\u2019un SMSI mutualis\xE9 au sein d\u2019un\
+ \ groupe de soci\xE9t\xE9s, r\xE9pondant \xE0 d'autres objectifs r\xE9glementaires,\
+ \ et/ou internes et/ou \xE9conomiques. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.4
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2
+ ref_id: 3.2.4
+ name: "Communication de la politique de s\xE9curit\xE9 de l\u2019information"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node23
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.2.4
+ description: "Le Dirigeant Responsable s\u2019assure que la politique de s\xE9\
+ curit\xE9 de l\u2019information est :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node24
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node23
+ description: " diffus\xE9e et promue de mani\xE8re appropri\xE9e :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node25
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node24
+ description: 'au sein de son organisation ; '
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node26
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node24
+ description: "aupr\xE8s de ses partenaires, notamment ses sous-traitants, ses\
+ \ prestataires de services et ses fournisseurs d\u2019\xE9quipement. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node27
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node23
+ description: "formalis\xE9e et int\xE9gr\xE9e ou r\xE9f\xE9renc\xE9e dans : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node28
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node27
+ description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\
+ \ l\u2019information, ou ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node29
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node27
+ description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:3.3
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3
+ ref_id: '3.3'
+ name: "Gestion des ressources, r\xF4les et responsabilit\xE9s "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node31
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.3
+ description: 'Le Dirigeant Responsable : '
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node32
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node31
+ description: "est capable de d\xE9montrer sa connaissance du r\xE8glement Part-IS\
+ \ ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node33
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node31
+ description: "s\u2019assure que les ressources financi\xE8res, mat\xE9rielles\
+ \ et humaines n\xE9cessaires pour assurer la gestion des risques li\xE9s \xE0\
+ \ la s\xE9curit\xE9 de l\u2019information relative \xE0 la s\xE9curit\xE9\
+ \ a\xE9rienne sont disponibles et suffisantes ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node34
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node31
+ description: "d\xE9finit et attribue les r\xF4les et les responsabilit\xE9s\
+ \ en mati\xE8re de gestion de l\u2019information relative \xE0 la s\xE9curit\xE9\
+ \ a\xE9rienne. Notamment, il veille \xE0 : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node35
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node34
+ description: "d\xE9signer une personne ou un groupe de personnes responsables\
+ \ : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node36
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node35
+ description: "de la mise en \u0153uvre du r\xE8glement Part-IS, qui : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node37
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node36
+ description: "a un acc\xE8s direct au Dirigeant Responsable ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node38
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node36
+ description: "dispose de l\u2019autorit\xE9 et des comp\xE9tences suffisantes\
+ \ pour exercer ses fonctions et ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node39
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node36
+ description: "pour lequel une ou des personnes assurant l\u2019int\xE9rim sont\
+ \ pr\xE9vues en cas d\u2019absence."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node40
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node35
+ description: "de la conformit\xE9 au r\xE8glement Part-IS, qui : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node41
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node40
+ description: "est ind\xE9pendant vis-\xE0-vis de la personne ou du groupe de\
+ \ personnes responsables de la mise en \u0153uvre du r\xE8glement Part-IS. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node42
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node34
+ description: "formaliser la d\xE9signation de ces personnes ou groupes de personnes,\
+ \ en pr\xE9cisant : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node43
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node42
+ description: 'leur(s) titre(s), leur(s) nom(s) et leurs missions ; '
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node44
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node42
+ description: "leur lien direct avec le Dirigeant Responsable, leurs responsabilit\xE9\
+ s, leurs pouvoirs et leurs moyens, au travers d\u2019un organigramme ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node45
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node42
+ description: 'leurs obligations de rendre compte. '
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node46
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node31
+ description: "s\u2019assure que les r\xF4les et responsabilit\xE9s sont communiqu\xE9\
+ s et connus \xE0 tous les niveaux de l\u2019organisation, aussi bien par le\
+ \ personnel interne que par les partenaires ext\xE9rieurs concern\xE9s. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node47
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:3.3
+ description: "Les \xE9l\xE9ments relatifs \xE0 la gestion des ressources, aux\
+ \ r\xF4les et responsabilit\xE9s sont : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node48
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node47
+ description: "formalis\xE9s ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node49
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node47
+ description: "int\xE9gr\xE9s ou r\xE9f\xE9renc\xE9s dans :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node50
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node49
+ description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\
+ \ l\u2019information, ou ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node51
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node49
+ description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4
+ assessable: false
+ depth: 1
+ ref_id: '4'
+ name: "Gestion des risques de s\xE9curit\xE9 de l\u2019information "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node53
+ assessable: true
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4
+ description: "Dans le cadre des activit\xE9s de la gestion des risques de s\xE9\
+ curit\xE9 de l\u2019information relative \xE0 la s\xFBret\xE9 et/ou \xE0 la\
+ \ s\xE9curit\xE9 a\xE9rienne, l\u2019organisme : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node54
+ assessable: true
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node53
+ description: "d\xE9finit les responsabilit\xE9s des diff\xE9rents participants\
+ \ internes et externes ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node55
+ assessable: true
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node53
+ description: "d\xE9finit l\u2019articulation avec l\u2019organisation d\xE9\
+ j\xE0 en place pour la gestion des risques relatifs \xE0 la s\xFBret\xE9 et/ou\
+ \ \xE0 la s\xE9curit\xE9 a\xE9rienne ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node56
+ assessable: true
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node53
+ description: "pr\xE9cise la m\xE9thodologie ou le standard utilis\xE9e pour\
+ \ mener \xE0 bien ces activit\xE9s :"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node57
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node56
+ description: "Il est recommand\xE9 de mettre en \u0153uvre une des normes ou\
+ \ m\xE9thodes suivantes : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node58
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node57
+ description: "ISO/CEI 27005 [15], Norme relative \xE0 la Gestion des risques\
+ \ li\xE9s \xE0 la s\xE9curit\xE9 de l\u2019information ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node59
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node57
+ description: "EBIOS Risk Manager [16] m\xE9thode d'appr\xE9ciation et de traitement\
+ \ des risques num\xE9riques publi\xE9e par l\u2019ANSSI ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node60
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node57
+ description: "toute autre m\xE9thode conforme \xE0 la norme ISO/CEI 31000 [17],\
+ \ norme relative \xE0 la gestion des risques. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node61
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node56
+ description: "Dans le cas o\xF9 l\u2019organisme met en \u0153uvre une autre\
+ \ m\xE9thodologie ou standard, il apporte la preuve que celle ou celui-ci\
+ \ : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node62
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node61
+ description: "produit des r\xE9sultats : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node63
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node62
+ description: "reproductibles sur la base d\u2019\xE9l\xE9ments d\u2019entr\xE9\
+ e similaires ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node64
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node62
+ description: comparables dans le temps.
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node65
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node61
+ description: "prend en consid\xE9ration des \xE9l\xE9ments d\u2019entr\xE9e\
+ \ pertinents et valides ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node66
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node61
+ description: "permet un affinement des r\xE9sultats it\xE9ratifs au fil du temps\
+ \ et des \xE9l\xE9ments d\u2019entr\xE9e disponibles. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node67
+ assessable: true
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node53
+ description: "formalise les proc\xE9dures relatives \xE0 la gestion des risques,\
+ \ notamment \xE0 :"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node68
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node67
+ description: "l\u2019appr\xE9ciation et au traitement des risques ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node69
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node67
+ description: "la gestion des incidents de s\xE9curit\xE9 de l\u2019information\
+ \ ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node70
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node67
+ description: 'la gestion des organismes en interface ; '
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node71
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node67
+ description: "la gestion des sous-traitants r\xE9alisant une ou des activit\xE9\
+ s du SMSI."
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node72
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node53
+ description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 ces proc\xE9dures dans\
+ \ :"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node73
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node72
+ description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\
+ \ l\u2019information, ou ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node74
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node72
+ description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9, et/ou ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node75
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node72
+ description: "le programme de s\xFBret\xE9. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node76
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4
+ description: "Pour la suite, l\u2019organisme s\u2019appuie sur la m\xE9thodologie\
+ \ de gestion des risques qu\u2019il a choisie pour aboutir aux conclusions. "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node77
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4
+ description: "N\xE9anmoins, sont pr\xE9cis\xE9es ci-apr\xE8s les diff\xE9rentes\
+ \ \xE9tapes et documents attendus pour \xEAtre conformes aux r\xE8glements. "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.1
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4
+ ref_id: '4.1'
+ name: "\xC9tablissement du contexte "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node79
+ assessable: true
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.1
+ description: "Afin de d\xE9finir le p\xE9rim\xE8tre de son analyse de risques\
+ \ et/ou de son SMSI, l\u2019organisme identifie la liste des fonctions relatives\
+ \ \xE0 ses missions de s\xFBret\xE9 et/ou de s\xE9curit\xE9 a\xE9rienne. Pour\
+ \ y parvenir, il peut s\u2019appuyer sur : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node80
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node79
+ description: "les listes de fonctions relatives \xE0 la s\xFBret\xE9 et/ou s\xE9\
+ curit\xE9 a\xE9rienne disponibles en annexe ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node81
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node79
+ description: "une pr\xE9-\xE9valuation des risques qui identifie les fonctions\
+ \ les plus critiques \xE0 prendre en compte au regard de la distance et de\
+ \ la vraisemblance de propagation jusqu\u2019\xE0 l\u2019impact sur la s\xFB\
+ ret\xE9 et/ou s\xE9curit\xE9 a\xE9rienne dont on cherche \xE0 se pr\xE9munir"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node82
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.1
+ description: "De plus, l\u2019organisme d\xE9finit des \xE9chelles : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node83
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node82
+ description: "de gravit\xE9 relative aux cons\xE9quences en mati\xE8re de s\xFB\
+ ret\xE9 et/ou de s\xE9curit\xE9 a\xE9rienne ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node84
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node82
+ description: "de probabilit\xE9 d\u2019occurrence (ou vraisemblance) du risque\
+ \ ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node85
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node82
+ description: "les crit\xE8res d\u2019acceptation du risque propre \xE0 l\u2019\
+ organisme. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.2
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4
+ ref_id: '4.2'
+ name: "Appr\xE9ciation des risques"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2
+ ref_id: 4.2.1
+ name: Identification des risques
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node88
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.1
+ description: "Sur la base de la liste des fonctions relatives \xE0 la s\xFB\
+ ret\xE9 et/ou s\xE9curit\xE9 a\xE9rienne de l\u2019organisation, l\u2019organisme\
+ \ identifie :"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node89
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node88
+ description: 'les fonctions : '
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node90
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node89
+ description: "dont il a la responsabilit\xE9 et qui sont r\xE9alis\xE9es par\
+ \ lui-m\xEAme et pour son propre compte et/ou ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node91
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node89
+ description: "qu\u2019il met en \u0153uvre pour le compte d\u2019un partenaire\
+ \ ext\xE9rieur (interface) et/ou; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node92
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node89
+ description: "dont il a la responsabilit\xE9 et qui sont r\xE9alis\xE9es par\
+ \ un partenaire ext\xE9rieur pour le compte de l\u2019organisme consid\xE9\
+ r\xE9 (interface). "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node93
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node88
+ description: "les \xE9l\xE9ments qui contribuent \xE0 la r\xE9alisation de chacune\
+ \ des fonctions identifi\xE9es pr\xE9c\xE9demment, notamment les \xE9quipements,\
+ \ syst\xE8mes, donn\xE9es et informations. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node94
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.1
+ description: "Puis, pour chaque fonction et chaque \xE9l\xE9ment identifi\xE9\
+ s pr\xE9c\xE9demment, l\u2019organisme : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node95
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node94
+ description: 'associe une description ; '
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node96
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node94
+ description: "identifie une ou des personnes et/ou entit\xE9s responsables,\
+ \ qui peuvent aussi bien \xEAtre internes qu\u2019externes ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node97
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node94
+ description: "pr\xE9cise le cas \xE9ch\xE9ant si celui-ci dispose d\u2019une\
+ \ interface avec un tiers ainsi que la nature de cette derni\xE8re : \no \
+ \ prestation de service ; \no sous-traitance ; \no fourniture d\u2019\xE9\
+ quipements ; \no prestation autre, \xE0 pr\xE9ciser. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node98
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.1
+ description: "L\u2019organisme dispose d\u2019une interface avec un autre organisme,\
+ \ lorsque la r\xE9alisation d\u2019une des fonctions n\xE9cessite : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node99
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node98
+ description: "d\u2019\xE9changer des donn\xE9es et/ou des informations avec\
+ \ ce tiers ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node100
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node98
+ description: "de fournir et/ou de mettre \xE0 disposition un syst\xE8me, un\
+ \ \xE9quipement et/ou un service num\xE9rique pour ce tiers ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node101
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node98
+ description: "d\u2019utiliser un syst\xE8me d\u2019information, un \xE9quipement\
+ \ et/ou un service num\xE9rique fourni par ce tiers. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node102
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.1
+ description: "Enfin, l\u2019organisme : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node103
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node102
+ description: "d\xE9termine pour chaque fonction identifi\xE9e, seul ou en lien\
+ \ avec le ou les organismes en interface concern\xE9s :"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node104
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node103
+ description: "les \xE9v\xE9nements redout\xE9s, notamment les effets n\xE9fastes\
+ \ sur la s\xFBret\xE9 et/ou s\xE9curit\xE9 a\xE9rienne cons\xE9cutifs \xE0\
+ \ une atteinte \xE0 la disponibilit\xE9, l\u2019int\xE9grit\xE9, la confidentialit\xE9\
+ \ et l\u2019authenticit\xE9 de la fonction ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node105
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node103
+ description: "les impacts en mati\xE8re de s\xFBret\xE9 et/ou de s\xE9curit\xE9\
+ \ a\xE9rienne associ\xE9s \xE0 ces \xE9v\xE9nements redout\xE9s. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node106
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node102
+ description: "\xE9tablit la liste des organismes en interface pr\xE9c\xE9demment\
+ \ identifi\xE9s. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2
+ ref_id: 4.2.2
+ name: 'Analyse de risques '
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node108
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.2
+ description: "Ensuite, l\u2019organisme : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node109
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node108
+ description: "d\xE9finit une \xE9chelle de vraisemblance (ou de probabilit\xE9\
+ \ d\u2019occurrence) prenant en compte : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node110
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node109
+ description: "la vraisemblance de r\xE9alisation de l\u2019\xE9v\xE9nement redout\xE9\
+ \ au niveau de l\u2019\xE9l\xE9ment du ou des syst\xE8mes d\u2019information\
+ \ concern\xE9(s) ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node111
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node109
+ description: "l\u2019efficacit\xE9 des processus m\xE9tier de s\xFBret\xE9 et/ou\
+ \ s\xE9curit\xE9 a\xE9rienne mis en place au sein de l\u2019organisme et pouvant\
+ \ bloquer, limiter ou favoriser la r\xE9alisation de l\u2019\xE9v\xE9nement\
+ \ redout\xE9. Par exemple, les barri\xE8res de protection d\xE9j\xE0 mises\
+ \ en place vis-\xE0-vis de l\u2019\xE9v\xE9nement redout\xE9. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node112
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node108
+ description: "identifie ses risques sur la base de l\u2019analyse d\u2019impacts\
+ \ en associant aux \xE9v\xE8nements redout\xE9s :"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node113
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node112
+ description: "un niveau de gravit\xE9 selon l\u2019\xE9chelle pr\xE9d\xE9finie\
+ \ ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node114
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node112
+ description: "un niveau de vraisemblance selon l\u2019\xE9chelle pr\xE9d\xE9\
+ finie ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node115
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node112
+ description: "une ou des personnes et/ou entit\xE9s responsables qui peuvent\
+ \ \xEAtre au sein de l\u2019organisme ou bien un partenaire ext\xE9rieur,\
+ \ notamment pour les fonctions qu\u2019il re\xE7oit. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2
+ ref_id: 4.2.3
+ name: "\xC9valuation des risques"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node117
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.3
+ description: "Enfin, l\u2019organisme : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node118
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node117
+ description: "associe \xE0 chaque risque identifi\xE9 son niveau de risque selon\
+ \ l\u2019\xE9chelle pr\xE9d\xE9finie sur la base : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node119
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node118
+ description: "des r\xE9sultats de son analyse de risques ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node120
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node118
+ description: "des informations d\u2019analyse de risques transmises dans le\
+ \ cadre d\u2019une fonction r\xE9alis\xE9e par un tiers. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node121
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node117
+ description: "\xE9tablit la liste des organismes en interface pr\xE9sentant\
+ \ un risque pour la s\xFBret\xE9 et/ou la s\xE9curit\xE9 a\xE9rienne. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.4
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2
+ ref_id: 4.2.4
+ name: "R\xE9sultats de l\u2019appr\xE9ciation des risques"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node123
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.2.4
+ description: "L\u2019organisme : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node124
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node123
+ description: 'formalise :'
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node125
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node124
+ description: "la liste des risques relatifs \xE0 la s\xFBret\xE9 et/ou \xE0\
+ \ la s\xE9curit\xE9 a\xE9rienne identifi\xE9s en pr\xE9cisant pour chacun\
+ \ d\u2019entre eux : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node126
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node125
+ description: "la fonction associ\xE9e et la ou les \xE9ventuelles interfaces\
+ \ ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node127
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node125
+ description: "les \xE9quipements, syst\xE8mes, donn\xE9es et informations qui\
+ \ contribuent \xE0 la r\xE9alisation de la fonction associ\xE9e ainsi que\
+ \ la ou les \xE9ventuelles interfaces ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node128
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node125
+ description: "l\u2019\xE9v\xE9nement redout\xE9 associ\xE9 ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node129
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node125
+ description: "une ou des personnes et/ou entit\xE9s responsables ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node130
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node125
+ description: le niveau de risque.
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node131
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node124
+ description: "la liste des organismes en interface pr\xE9sentant un risque pour\
+ \ la s\xFBret\xE9 et/ou la s\xE9curit\xE9 a\xE9rienne ; o le cas \xE9ch\xE9\
+ ant, la liste des syst\xE8mes d\u2019information critiques au regard de la\
+ \ s\xFBret\xE9. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node132
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node123
+ description: "fait approuver la liste des risques relatifs \xE0 la s\xFBret\xE9\
+ \ et/ou la s\xE9curit\xE9 a\xE9rienne identifi\xE9s par son Dirigeant Responsable\
+ \ et/ou ses responsables des risques identifi\xE9s selon son organisation\
+ \ de gestion des risques ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node133
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node123
+ description: "conserve des informations document\xE9es comme preuves des r\xE9\
+ sultats d\u2019appr\xE9ciation des risques. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.3
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4
+ ref_id: '4.3'
+ name: Traitement des risques
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3
+ ref_id: 4.3.1
+ name: Mesures pour le traitement du risque
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node136
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.1
+ description: "Sur la base des r\xE9sultats de l\u2019appr\xE9ciation des risques,\
+ \ l\u2019organisme : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node137
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node136
+ description: "d\xE9finit et justifie pour chacun des risques relatifs \xE0 la\
+ \ s\xFBret\xE9 et/ou \xE0 la s\xE9curit\xE9 a\xE9rienne s\u2019il :\n- maintient\
+ \ le risque \xE0 condition qu\u2019il soit acceptable en l\u2019\xE9tat ;\n\
+ - r\xE9duit le niveau de risque par l\u2019introduction, la suppression ou\
+ \ la modification des mesures de s\xE9curit\xE9 de l\u2019information ;\n\
+ - refuse le risque en \xE9vitant l\u2019activit\xE9 ou la situation qui donne\
+ \ lieu \xE0 un risque ; \n- partage le risque avec une autre partie capable\
+ \ de g\xE9rer de mani\xE8re plus efficace le risque."
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node138
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node136
+ description: "d\xE9termine la ou les mesures permettant de traiter le risque\
+ \ conform\xE9ment \xE0 l\u2019action choisie et s\u2019assure que celle ou\
+ \ celles-ci n\u2019entrainent pas de nouveaux risques ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node139
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node136
+ description: "met en \u0153uvre en temps utile et v\xE9rifie l\u2019efficacit\xE9\
+ \ de ces mesures conform\xE9ment aux \xA76.1. et \xA76.2.3. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node140
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.1
+ description: "Pour d\xE9finir les mesures de s\xE9curit\xE9 de l\u2019information,\
+ \ l\u2019organisme peut notamment s\u2019appuyer sur les r\xE9f\xE9rentiels\
+ \ suivants : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node141
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node140
+ description: "Guide d\u2019hygi\xE8ne informatique de l\u2019ANSSI [21] ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node142
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node140
+ description: Norme internationale ISO/IEC 27002:2022 [22] ;
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node143
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node140
+ description: 'Norme internationale ISO/ISA/IEC 62443 [23]. '
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3
+ ref_id: 4.3.2
+ name: "\xC9laboration du plan de traitement des risques"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node145
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.2
+ description: "L\u2019organisme \xE9labore un plan de traitement des risques\
+ \ relatifs \xE0 la s\xFBret\xE9 et/ou \xE0 la s\xE9curit\xE9 a\xE9rienne permettant\
+ \ d\u2019identifier pour chaque mesure de s\xE9curit\xE9 de l\u2019information\
+ \ d\xE9termin\xE9e supra : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node146
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node145
+ description: "le ou les risques qu\u2019elle traite ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node147
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node145
+ description: "la priorit\xE9 de mise en \u0153uvre; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node148
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node145
+ description: "le d\xE9lai de mise en \u0153uvre recommand\xE9 ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node149
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node145
+ description: "le cas \xE9ch\xE9ant, les raisons ne permettant pas de les mettre\
+ \ en \u0153uvre. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3
+ ref_id: 4.3.3
+ name: "\xC9valuation des risques r\xE9siduels"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node151
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.3
+ description: "L\u2019organisme \xE9value les risques r\xE9siduels, apr\xE8s\
+ \ l\u2019application des mesures de s\xE9curit\xE9 de l\u2019information d\xE9\
+ finies dans le plan de traitement des risques. Si un risque r\xE9siduel demeure\
+ \ non acceptable, l\u2019organisme le traite \xE0 nouveau, conform\xE9ment\
+ \ au \xA74.3.1, jusqu\u2019\xE0 ce que celui-ci soit acceptable. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.4
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3
+ ref_id: 4.3.4
+ name: "R\xE9sultats du traitement des risques"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node153
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.3.4
+ description: "L\u2019organisme : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node154
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node153
+ description: 'formalise :'
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node155
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node154
+ description: "le plan de traitement des risques relatifs \xE0 la s\xFBret\xE9\
+ \ et/ou \xE0 la s\xE9curit\xE9 a\xE9rienne ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node156
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node154
+ description: "la liste des risques r\xE9siduels apr\xE8s application du plan\
+ \ de traitement des risques relatifs \xE0 la s\xFBret\xE9 et/ou \xE0 la s\xE9\
+ curit\xE9 a\xE9rienne. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node157
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node153
+ description: "fait approuver ces documents par le Dirigeant Responsable et/ou\
+ \ la (ou les) personne()s et/ou entit\xE9(s) responsable(s) des risques selon\
+ \ son organisation de gestion des risques ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node158
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node153
+ description: "conserve des informations document\xE9es comme preuves des r\xE9\
+ sultats d\u2019appr\xE9ciation des risques. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4
+ ref_id: '4.4'
+ name: "Gestion des incidents de s\xE9curit\xE9 de l\u2019information"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node160
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4
+ description: "L\u2019organisme d\xE9finit et met en \u0153uvre des mesures techniques\
+ \ et organisationnelles visant \xE0 : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node161
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node160
+ description: "d\xE9tecter les types d\u2019incidents de s\xE9curit\xE9 de l\u2019\
+ information et identifier ceux ayant un potentiel impact sur la s\xFBret\xE9\
+ \ et /ou la s\xE9curit\xE9 a\xE9rienne ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node162
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node160
+ description: "r\xE9agir \xE0 la suite d\u2019un incident de s\xE9curit\xE9 de\
+ \ l\u2019information ayant un potentiel impact sur la s\xFBret\xE9 et /ou\
+ \ la s\xE9curit\xE9 a\xE9rienne d\xE9tect\xE9 ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node163
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node160
+ description: "se r\xE9tablir \xE0 la suite d\u2019un incident de s\xE9curit\xE9\
+ \ de l\u2019information ayant un potentiel impact sur la s\xFBret\xE9 et /ou\
+ \ la s\xE9curit\xE9 a\xE9rienne. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node164
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4
+ description: "Pour y parvenir, l\u2019organisme peut s\u2019appuyer, par exemple\
+ \ sur : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node165
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node164
+ description: "les guides et bonnes pratiques publi\xE9s par l\u2019ANSSI ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node166
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node164
+ description: "les mesures pr\xE9cis\xE9es dans la norme ISO/CEI 27002 [22]. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node167
+ assessable: true
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4
+ description: "De plus dans le cadre de la gestion des incidents de s\xE9curit\xE9\
+ \ de l\u2019information relatifs \xE0 la s\xE9curit\xE9 a\xE9rienne, l\u2019\
+ organisme prend en compte les dispositions pr\xE9cis\xE9es ci-apr\xE8s. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4
+ ref_id: 4.4.1
+ name: "D\xE9tection des incidents de s\xE9curit\xE9 de l\u2019information"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.1
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1
+ ref_id: 4.4.1.1
+ name: "Identification des incidents redout\xE9s de s\xE9curit\xE9 de l\u2019\
+ information"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node170
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.1
+ description: "L\u2019organisme identifie la liste des types d\u2019incidents\
+ \ redout\xE9s de s\xE9curit\xE9 de l\u2019information ayant un potentiel impact\
+ \ sur la s\xE9curit\xE9 a\xE9rienne et des impacts et cons\xE9quences associ\xE9\
+ s sur la base des r\xE9sultats de l\u2019appr\xE9ciation et du traitement\
+ \ des risques r\xE9alis\xE9s au \xA74.2. et \xA74.3. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node171
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.1
+ description: "L\u2019organisme peut \xE9galement s\u2019appuyer sur un ou plusieurs\
+ \ r\xE9f\xE9rentiels, tels que : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node172
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node171
+ description: "Prestataires de d\xE9tection des incidents de s\xE9curit\xE9,\
+ \ s\xE9curit\xE9 - R\xE9f\xE9rentiel d\u2019exigences [24] - IV.2.1. b) ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node173
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node171
+ description: "5 standards sur la d\xE9tection des incidents de s\xE9curit\xE9\
+ \ [25] ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node174
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node171
+ description: Annexe B de la norme internationale ISO/IEC 27035:2022 [26] ;
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node175
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node171
+ description: "ED Decision 2023/009/R - Appendix I \u2014 Examples of threat\
+ \ scenarios with a potential harmful impact on safety [27]. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1
+ ref_id: 4.4.1.2.
+ name: "Collecte des \xE9v\xE9nements"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.1
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.
+ ref_id: 4.4.1.2.1
+ name: "Strat\xE9gie de collecte "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node178
+ assessable: false
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.1
+ description: "Sur la base des incidents redout\xE9s de s\xE9curit\xE9 de l\u2019\
+ information ayant un potentiel impact sur la s\xE9curit\xE9 a\xE9rienne, l\u2019\
+ organisme : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node179
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node178
+ description: "identifie les sources de collecte pertinentes au sein de son syst\xE8\
+ me d\u2019information ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node180
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node178
+ description: "met en place une veille sur les vuln\xE9rabilit\xE9s pouvant affecter\
+ \ son syst\xE8me d\u2019information ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node181
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node178
+ description: "journalise les \xE9v\xE9nements pertinents \xE0 la d\xE9tection\
+ \ parmi les sources de collecte identifi\xE9es et la veille sur les vuln\xE9\
+ rabilit\xE9s. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node182
+ assessable: false
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.1
+ description: "Pour y parvenir, l\u2019organisme peut s\u2019appuyer sur : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node183
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node182
+ description: "les sections IV.2.2. c) & d) du r\xE9f\xE9rentiel d\u2019exigences\
+ \ Prestataires de d\xE9tection des incidents de s\xE9curit\xE9 [24] ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node184
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node182
+ description: "sur l\u2019annexe A des Recommandations de s\xE9curit\xE9 pour\
+ \ la mise en \u0153uvre d\u2019un syst\xE8me de journalisation [28]. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.2
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.
+ ref_id: 4.4.1.2.2
+ name: "Notification interne d\u2019\xE9v\xE9nements "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node186
+ assessable: false
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.2
+ description: "L\u2019organisme : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node187
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node186
+ description: "met en place une proc\xE9dure de collecte des \xE9v\xE9nements\
+ \ qui peuvent lui \xEAtre notifi\xE9s et qui satisfait aux exigences du r\xE8\
+ glement (UE) 376/2014 [29] ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node188
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node186
+ description: "en pr\xE9cise le fonctionnement, notamment :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node189
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node188
+ description: "les \xE9v\xE9nements qui doivent \xEAtre notifi\xE9s, \xE0 savoir\
+ \ les \xE9v\xE9nements de s\xE9curit\xE9 de l\u2019information ayant un potentiel\
+ \ impact sur la s\xE9curit\xE9 a\xE9rienne ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node190
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node188
+ description: "les moyens mis \xE0 disposition pour notifier un \xE9v\xE9nement\
+ \ ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node191
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node188
+ description: "les d\xE9lais de notification ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node192
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node188
+ description: "les conditions d\u2019archivage, notamment au moins 5 ans."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node193
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node186
+ description: "rend cette proc\xE9dure et les moyens de notification associ\xE9\
+ s accessibles aux personnes ayant besoin d\u2019en connaitre parmi : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node194
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node193
+ description: son personnel interne ;
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node195
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node193
+ description: "les tiers pertinents dans le contexte, identifi\xE9s au \xA74.2.4\
+ \ ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node196
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node193
+ description: tous les interlocuteurs pertinents.
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node197
+ assessable: false
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.2.2
+ description: "L\u2019organisme : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node198
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node197
+ description: "peut int\xE9grer ce syst\xE8me de notification interne d\u2019\
+ \xE9v\xE9nements \xE0 un syst\xE8me existant ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node199
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node197
+ description: "formalise la description de ce syst\xE8me et l\u2019int\xE8gre\
+ \ ou y fait r\xE9f\xE9rence dans : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node200
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node199
+ description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\
+ \ l\u2019information, ou ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node201
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node199
+ description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.3
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1
+ ref_id: 4.4.1.3
+ name: "Strat\xE9gie de d\xE9tection"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node203
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.3
+ description: "L\u2019organisme met en place une strat\xE9gie de d\xE9tection\
+ \ qui permet de d\xE9tecter les incidents redout\xE9s de s\xE9curit\xE9 de\
+ \ l\u2019information ayant un potentiel impact sur la s\xE9curit\xE9 a\xE9\
+ rienne sur la base des sources de collecte pr\xE9c\xE9dentes. Aussi, l\u2019\
+ organisme :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node204
+ assessable: false
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node203
+ description: "d\xE9finit :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node205
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node204
+ description: "une classification par ordre de gravit\xE9 des incidents redout\xE9\
+ s de s\xE9curit\xE9 de l\u2019information ayant un potentiel impact sur la\
+ \ s\xE9curit\xE9 a\xE9rienne ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node206
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node204
+ description: "des r\xE8gles de d\xE9tection en : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node207
+ assessable: false
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node206
+ description: "s\u2019appuyant sur : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node208
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node207
+ description: "la liste des incidents de s\xE9curit\xE9 redout\xE9s de s\xE9\
+ curit\xE9 de l\u2019information ayant un potentiel impact sur la s\xE9curit\xE9\
+ \ a\xE9rienne ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node209
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node207
+ description: "des bases de connaissances acquises aupr\xE8s des partenaires\
+ \ ext\xE9rieurs ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node210
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node207
+ description: "des bases de connaissances internes (audits, tests de vuln\xE9\
+ rabilit\xE9s et d\u2019intrusion) ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node211
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node207
+ description: "une veille sur la menace et les vuln\xE9rabilit\xE9s ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node212
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node207
+ description: "l\u2019identification d\u2019\xE9cart de bon fonctionnement par\
+ \ rapport au comportement \xE0 d\xE9tecter ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node213
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node207
+ description: 'les impacts sur les performances ; '
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node214
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node207
+ description: "les incidents de s\xE9curit\xE9 de l\u2019information connus aupr\xE8\
+ s d\u2019autres organismes. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node215
+ assessable: false
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node206
+ description: "en pr\xE9cisant pour chaque r\xE8gle :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node216
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node215
+ description: "les moyens mis en \u0153uvre ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node217
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node215
+ description: 'une description ; '
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node218
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node215
+ description: "Le ou les incidents redout\xE9s associ\xE9s ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node219
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node215
+ description: "Le niveau de gravit\xE9. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node220
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node203
+ description: "assure la centralisation et la corr\xE9lation des \xE9v\xE9nements\
+ \ et des vuln\xE9rabilit\xE9s remont\xE9es ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node221
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node203
+ description: "identifie les \xE9v\xE9nements ou combinaison d\u2019\xE9v\xE8\
+ nements pouvant mener \xE0 un incident ayant un potentiel impact sur la s\xE9\
+ curit\xE9 a\xE9rienne. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.4
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1
+ ref_id: 4.4.1.4
+ name: 'Qualification '
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node223
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.4
+ description: "Lorsqu\u2019un \xE9v\xE8nement pouvant mener \xE0 un incident\
+ \ de s\xE9curit\xE9 de l\u2019information ayant un potentiel impact sur la\
+ \ s\xE9curit\xE9 a\xE9rienne est d\xE9tect\xE9, l\u2019organisme le qualifie\
+ \ en incident de s\xE9curit\xE9 de l\u2019information, notamment il : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node224
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node223
+ description: "en d\xE9termine la v\xE9racit\xE9 afin d\u2019\xE9liminer les\
+ \ faux positifs ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node225
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node223
+ description: "identifie les \xE9quipements, syst\xE8mes, donn\xE9es et informations\
+ \ concern\xE9s par l\u2019incident d\xE9tect\xE9 ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node226
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node223
+ description: "identifie les cons\xE9quences en mati\xE8re de s\xE9curit\xE9\
+ \ a\xE9rienne et en d\xE9termine :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node227
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node226
+ description: "les impacts et la gravit\xE9 de l\u2019incident d\xE9tect\xE9\
+ \ ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node228
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node226
+ description: "les causes de l\u2019incident. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node229
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node223
+ description: "identifie les \xE9ventuelles parties prenantes en interne et/ou\
+ \ les partenaires ext\xE9rieurs concern\xE9s par l\u2019incident ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node230
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node223
+ description: "formalise la qualification de la d\xE9tection ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node231
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node223
+ description: "conserve des informations document\xE9es au moins jusqu\u2019\xE0\
+ \ la prochaine qualification. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.5
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1
+ ref_id: 4.4.1.5
+ name: ' Notification'
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node233
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.1.5
+ description: "Pour chaque \xE9v\xE9nement qualifi\xE9 en incident de s\xE9curit\xE9\
+ , l\u2019organisme notifie : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node234
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node233
+ description: "les personnes pertinentes au sein de son organisation pour activer\
+ \ les r\xE9actions appropri\xE9es ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node235
+ assessable: false
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node233
+ description: "le cas \xE9ch\xE9ant :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node236
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node235
+ description: "les partenaires externes concern\xE9s selon le cadre d\xE9fini\
+ \ au \xA74.5.1;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node237
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node235
+ description: "l\u2019autorit\xE9 selon le cadre d\xE9fini au \xA74.4.5."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4
+ ref_id: 4.4.2
+ name: "R\xE9ponse aux incidents de s\xE9curit\xE9 de l\u2019information"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node239
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.2
+ description: "L\u2019organisme d\xE9finit un m\xE9canisme de r\xE9ponse \xE0\
+ \ incident qui :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node240
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node239
+ description: "pr\xE9cise : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node241
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node240
+ description: "les r\xF4les et les responsabilit\xE9s des personnes qui activent\
+ \ les r\xE9actions en cas d\u2019incident qualifi\xE9 ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node242
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node240
+ description: "les modalit\xE9s d\u2019information de ces personnes \xE0 la suite\
+ \ de la qualification d\u2019un incident, notamment les outils et les d\xE9\
+ lais."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node243
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node239
+ description: "d\xE9finit les actions imm\xE9diates \xE0 mettre en \u0153uvre,\
+ \ notamment en identifiant pour chaque type d\u2019incident redout\xE9 relatifs\
+ \ \xE0 la s\xE9curit\xE9 a\xE9rienne : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node244
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node243
+ description: "les ressources \xE0 activer au sein de l\u2019entreprise et \xE0\
+ \ l\u2019ext\xE9rieur de l\u2019entreprise, notamment dans le cadre d\u2019\
+ un contrat avec un Prestataire de R\xE9ponse \xE0 Incident de S\xE9curit\xE9\
+ \ (PRIS) ou de l\u2019adh\xE9sion \xE0 un CERT ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node245
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node243
+ description: "les mesures organisationnelles et techniques pouvant \xEAtre mises\
+ \ en \u0153uvre pour limiter la propagation d\u2019une attaque et \xE9viter\
+ \ la mat\xE9rialisation du ou des incidents redout\xE9s. Ce r\xE9f\xE9rentiel\
+ \ de mesures est tenu \xE0 jour en fonction de l\u2019\xE9volution du contexte\
+ \ ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node246
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node243
+ description: "les d\xE9lais de mise en \u0153uvre de ces mesures. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node247
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node239
+ description: "met en place une surveillance des \xE9quipements, syst\xE8mes,\
+ \ donn\xE9es et informations de son syst\xE8me d\u2019information associ\xE9\
+ s \xE0 l\u2019incident d\xE9tect\xE9, et met \xE0 jour si n\xE9cessaire ce\
+ \ p\xE9rim\xE8tre \xE0 surveiller. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4
+ ref_id: 4.4.3
+ name: "Rem\xE9diation "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node249
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.3
+ description: "L\u2019organisme d\xE9finit des plans de rem\xE9diation \xE0 actionner\
+ \ en cas d\u2019incident, qui : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node250
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node249
+ description: "pr\xE9cise les r\xF4les et les responsabilit\xE9s des personnes\
+ \ qui g\xE8rent les actions de rem\xE9diation ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node251
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node249
+ description: "d\xE9finit un ou des plans de rem\xE9diation pour chaque type\
+ \ d\u2019incident redout\xE9 relatifs \xE0 la s\xE9curit\xE9 a\xE9rienne qui\
+ \ :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node252
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node251
+ description: "identifie les ressources \xE0 activer au sein de l\u2019organisme\
+ \ et \xE0 l\u2019ext\xE9rieur de l\u2019entreprise si applicable, notamment\
+ \ dans le cadre d\u2019un contrat avec un Prestataire de R\xE9ponse \xE0 Incident\
+ \ de S\xE9curit\xE9 (PRIS) ou de l\u2019adh\xE9sion \xE0 un CERT ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node253
+ assessable: false
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node251
+ description: "pr\xE9cise les actions \xE0 mettre en \u0153uvre pour : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node254
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node253
+ description: "identifier le p\xE9rim\xE8tre du syst\xE8me d\u2019information\
+ \ impact\xE9 ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node255
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node253
+ description: "r\xE9aliser la rem\xE9diation du syst\xE8me d\u2019information\
+ \ impact\xE9 ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node256
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node253
+ description: "s\u2019assurer que le syst\xE8me d\u2019information a retrouv\xE9\
+ \ un \xE9tat s\xFBr et peut \xEAtre remis en service. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node257
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node251
+ description: "pr\xE9voit la d\xE9termination des d\xE9lais de remise en service\
+ \ en fonction du niveau de gravit\xE9, de la nature et du contexte de l\u2019\
+ incident. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node258
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node249
+ description: "produit un rapport d\u2019incident qui sera communiqu\xE9 \xE0\
+ \ l\u2019autorit\xE9 selon les modalit\xE9s d\xE9finies au \xA74.4.5. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4
+ ref_id: 4.4.4
+ name: "R\xE9sultat de la gestion des incidents de s\xE9curit\xE9 de l\u2019\
+ information"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node260
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4
+ description: "L\u2019organisme formalise la liste des mesures techniques et\
+ \ organisationnelles visant \xE0 : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node261
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node260
+ description: "d\xE9tecter les incidents de s\xE9curit\xE9 de l\u2019information\
+ \ ayant un potentiel impact sur la s\xFBret\xE9 et /ou la s\xE9curit\xE9 a\xE9\
+ rienne ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node262
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node260
+ description: "r\xE9agir \xE0 la suite d\u2019une incident de s\xE9curit\xE9\
+ \ de l\u2019information ayant un potentiel impact sur la s\xFBret\xE9 et /ou\
+ \ la s\xE9curit\xE9 a\xE9rienne d\xE9tect\xE9 ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node263
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node260
+ description: "se r\xE9tablir \xE0 la suite d\u2019un incident de s\xE9curit\xE9\
+ \ de l\u2019information ayant un potentiel impact sur la s\xFBret\xE9 et /ou\
+ \ la s\xE9curit\xE9 a\xE9rienne. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node264
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4
+ description: "De plus dans le cadre de la gestion des incidents de s\xE9curit\xE9\
+ \ relatifs \xE0 la s\xE9curit\xE9 a\xE9rienne, l\u2019organisme formalise\
+ \ : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node265
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4
+ description: "la liste des incidents redout\xE9s relatifs \xE0 la s\xE9curit\xE9\
+ \ a\xE9rienne; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node266
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4
+ description: "la liste des sources de collecte, le syst\xE8me de veille des\
+ \ vuln\xE9rabilit\xE9s et les \xE9v\xE9nements journalis\xE9s ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node267
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4
+ description: "la liste des r\xE8gles de d\xE9tection mises en \u0153uvre ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node268
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4
+ description: "les actions imm\xE9diates \xE0 mettre en \u0153uvre pour chaque\
+ \ type d\u2019incident redout\xE9 relatifs \xE0 la s\xE9curit\xE9 a\xE9rienne\
+ \ ; - les plans de rem\xE9diation. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node269
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.4
+ description: "Enfin l\u2019organisme conserve des informations document\xE9\
+ es appropri\xE9es comme preuves de la gestion des incidents de s\xE9curit\xE9\
+ \ de l\u2019information. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.5
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4
+ ref_id: 4.4.5
+ name: "Notification \xE0 l\u2019autorit\xE9 "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node271
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.4.5
+ description: 'A paraitre dans la prochaine version du 3CFv2 '
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.5
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4
+ ref_id: '4.5'
+ name: Gestions des risques induits par les tiers
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5
+ ref_id: 4.5.1
+ name: Organismes en interface
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.1
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1
+ ref_id: 4.5.1.1
+ name: "Organismes pr\xE9sentant un risque pour la s\xFBret\xE9 a\xE9rienne"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node275
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.1
+ description: "Sur la base de la liste des organismes en interface pr\xE9sentant\
+ \ un risque pour la s\xFBret\xE9 a\xE9rienne \xE9tablie au \xA74.2, l\u2019\
+ organisme d\xE9finit un cadre de travail avec ces derniers qui : "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node276
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node275
+ description: "pr\xE9voit des r\xE8gles d\u2019\xE9change d\u2019information\
+ \ visant \xE0 pr\xE9server l\u2019authenticit\xE9, la confidentialit\xE9 et\
+ \ l\u2019int\xE9grit\xE9 des informations \xE9chang\xE9es ainsi que l\u2019\
+ anonymat des interlocuteurs s\u2019ils le souhaitent ; "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node277
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node275
+ description: "pr\xE9cise les exigences \xE0 leur faire appliquer. Elles sont\
+ \ d\u2019ordre :"
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node278
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node277
+ description: "r\xE8glementaire, notamment celles en mati\xE8re de : "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node279
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node278
+ description: "v\xE9rification des ant\xE9c\xE9dents ; "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node280
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node278
+ description: "sensibilisation et de formation \xE0 la s\xE9curit\xE9 de l\u2019\
+ information. "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node281
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node277
+ description: 'contractuel, notamment : '
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node282
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node281
+ description: "la mise en \u0153uvre de mesures de s\xE9curit\xE9 de l\u2019\
+ information d\xE9finies par l\u2019organisme[1] ;"
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node283
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node281
+ description: "une surveillance adapt\xE9e au contexte des activit\xE9s du tiers.\
+ \ "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node284
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.1
+ description: "L\u2019organisme conserve des informations document\xE9es comme\
+ \ preuves de la gestion des organismes en interface pr\xE9sentant un risque\
+ \ pour la s\xFBret\xE9 a\xE9rienne. "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1
+ ref_id: 4.5.1.2
+ name: "Organismes pr\xE9sentant un risque pour la s\xE9curit\xE9 a\xE9rienne"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2.1
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2
+ ref_id: 4.5.1.2.1
+ name: "Organismes en interface d\xE9tenant un agr\xE9ment ou un certificat de\
+ \ s\xE9curit\xE9"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node287
+ assessable: false
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2.1
+ description: "Sur la base de la liste des organismes en interface pr\xE9sentant\
+ \ un risque pour la s\xE9curit\xE9 a\xE9rienne \xE9tablie au \xA74.2.4, l\u2019\
+ organisme : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node288
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node287
+ description: "identifie les tiers pr\xE9sentant un risque pour la s\xE9curit\xE9\
+ \ a\xE9rienne et devant \xEAtre conformes aux r\xE8glements Part-IS, appel\xE9\
+ es aussi contractants ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node289
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node287
+ description: "d\xE9finit un cadre de travail avec ces derniers, qui pr\xE9voit\
+ \ :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node290
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node289
+ description: "la d\xE9finition des responsabilit\xE9s pour la gestion des risques\
+ \ partag\xE9s ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node291
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node289
+ description: "un partage des hypoth\xE8ses et des objectifs de s\xE9curit\xE9\
+ \ sur les p\xE9rim\xE8tres concern\xE9s ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node292
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node289
+ description: "la notification des \xE9v\xE9nements de s\xE9curit\xE9 de l\u2019\
+ information et des vuln\xE9rabilit\xE9s ayant un potentiel impact sur la s\xE9\
+ curit\xE9 a\xE9rienne conform\xE9ment au \xA74.4.1.2.2 ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node293
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node289
+ description: "des r\xE8gles d\u2019\xE9change d\u2019information visant \xE0\
+ \ pr\xE9server l\u2019authenticit\xE9, la confidentialit\xE9 et l\u2019int\xE9\
+ grit\xE9 des informations \xE9chang\xE9es ainsi que l\u2019anonymat des interlocuteurs\
+ \ s\u2019ils le souhaitent."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node294
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2.1
+ description: "L\u2019organisme conserve des informations document\xE9es comme\
+ \ preuves de la gestion des organismes agr\xE9\xE9s ou certifi\xE9s en interfaces\
+ \ pr\xE9sentant un risque pour la s\xE9curit\xE9 a\xE9rienne. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2.2
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2
+ ref_id: 4.5.1.2.2
+ name: "Organismes en interface ne d\xE9tenant pas d\u2019agr\xE9ment ou de certificat\
+ \ de s\xE9curit\xE9"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node296
+ assessable: false
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2.2
+ description: "Sur la base de la liste des organismes en interface pr\xE9sentant\
+ \ un risque pour la s\xE9curit\xE9 a\xE9rienne \xE9tablie au \xA74.2.4, l\u2019\
+ organisme : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node297
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node296
+ description: "identifie les tiers pr\xE9sentant un risque pour la s\xE9curit\xE9\
+ \ a\xE9rienne et n\u2019ayant pas d\u2019obligation d\u2019\xEAtre conformes\
+ \ aux r\xE8glements Part-IS ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node298
+ assessable: false
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node296
+ description: "d\xE9finit :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node299
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node298
+ description: "Lorsque cela est possible, un cadre de travail avec ces derniers\
+ \ qui pr\xE9voit : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node300
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node299
+ description: "la notification d'\xE9v\xE9nements de s\xE9curit\xE9 de l\u2019\
+ information et de vuln\xE9rabilit\xE9 ayant un potentiel impact sur la s\xE9\
+ curit\xE9 a\xE9rienne conform\xE9ment au \xA74.4.1.2.2 ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node301
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node299
+ description: "des r\xE8gles d\u2019\xE9change d\u2019information visant \xE0\
+ \ pr\xE9server l\u2019authenticit\xE9, la confidentialit\xE9 et l\u2019int\xE9\
+ grit\xE9 des informations \xE9chang\xE9es ainsi que l\u2019anonymat des interlocuteurs\
+ \ s\u2019ils le souhaitent ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node302
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node299
+ description: "la mise en \u0153uvre de mesures de s\xE9curit\xE9 de l\u2019\
+ information d\xE9finies par l\u2019organisme7 ainsi qu\u2019une surveillance\
+ \ adapt\xE9e au contexte des activit\xE9s du tiers ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node303
+ assessable: true
+ depth: 9
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node299
+ description: "Le cas \xE9ch\xE9ant, un contr\xF4le de la fiabilit\xE9 du personnel\
+ \ conform\xE9ment \xE0 la politique de contr\xF4le de la fiabilit\xE9 d\xE9\
+ finie par l\u2019organisme (\xA75.2). "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node304
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node298
+ description: "Sinon, l\u2019organisme traite ce risque dans le cadre du \xA7\
+ 4.3. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node305
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.1.2.2
+ description: "L\u2019organisme conserve des informations document\xE9es comme\
+ \ preuves de la gestion des organismes non-agr\xE9\xE9s ou noncertifi\xE9\
+ s en interface pr\xE9sentant un risque pour la s\xE9curit\xE9 a\xE9rienne. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5
+ ref_id: 4.5.2
+ name: "Sous-traitance des activit\xE9s du SMSI"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node307
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.2
+ description: "L\u2019organisme identifie les sous-traitants \u0153uvrant pour\
+ \ une ou plusieurs activit\xE9s de son SMSI. Il s\u2019agit notamment des\
+ \ tiers participant aux activit\xE9s de : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node308
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node307
+ description: "gestion des risques (appr\xE9ciation, traitement des risques et\
+ \ gestion des incidents ) ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node309
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node307
+ description: fonctionnement du SMSI.
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node310
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.2
+ description: "Dans le cas o\xF9 l\u2019organisme fait appel \xE0 un sous-traitant\
+ \ qualifi\xE9 par l\u2019ANSSI[2] alors ce dernier est consid\xE9r\xE9 comme\
+ \ conforme aux exigences des r\xE8glements Part-IS (IS.OR.250) \xE0 condition\
+ \ que soient pr\xE9vues : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node311
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node310
+ description: "la possibilit\xE9 pour l\u2019autorit\xE9 comp\xE9tente d\u2019\
+ avoir acc\xE8s au sous-traitant ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node312
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node310
+ description: "la notification \xE0 l\u2019organisme d'\xE9v\xE9nements de s\xE9\
+ curit\xE9 de l\u2019information et de vuln\xE9rabilit\xE9 ayant un potentiel\
+ \ impact sur la s\xE9curit\xE9 a\xE9rienne conform\xE9ment au \xA74.4.1.2.2. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node313
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.2
+ description: "Dans le cas contraire, l\u2019organisme : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node314
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node313
+ description: "m\xE8ne une analyse de risque relative \xE0 la contractualisation\
+ \ d\u2019une ou plusieurs de ces activit\xE9s bas\xE9e sur une \xE9valuation\
+ \ : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node315
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node314
+ description: "des comp\xE9tences du sous-traitant ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node316
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node314
+ description: "de l'exp\xE9rience du sous-traitant pour la ou les activit\xE9\
+ s concern\xE9es ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node317
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node314
+ description: "la fiabilit\xE9 \xE9conomique et technique du sous-traitant."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node318
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node313
+ description: "\xE9labore un contrat pr\xE9cisant :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node319
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318
+ description: "l\u2019organisation de la prestation :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node320
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node319
+ description: "les r\xF4les et responsabilit\xE9s entre l\u2019organisme et le\
+ \ sous-traitant ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node321
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node319
+ description: "un sch\xE9ma de reporting clair entre l\u2019organisme et le sous-traitant\
+ \ ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node322
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node319
+ description: "la m\xE9thode et les outils de suivi de la prestation. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node323
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318
+ description: "le p\xE9rim\xE8tre de la prestation ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node324
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318
+ description: "les exigences applicables pour la ou les activit\xE9s du SMSI\
+ \ concern\xE9es ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node325
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318
+ description: "la gestion des autorisations d'acc\xE8s aux informations de l\u2019\
+ organisme ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node326
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318
+ description: "les clauses de confidentialit\xE9 ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node327
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318
+ description: les actions possibles en cas de non-respect du contrat ;
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node328
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318
+ description: "la possibilit\xE9 de mener des contr\xF4les par l\u2019organisme\
+ \ ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node329
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318
+ description: "la possibilit\xE9 pour l\u2019autorit\xE9 comp\xE9tente d\u2019\
+ avoir acc\xE8s au sous-traitant ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node330
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node318
+ description: "la notification \xE0 l\u2019organisme d'\xE9v\xE9nements de s\xE9\
+ curit\xE9 de l\u2019information et de vuln\xE9rabilit\xE9 ayant un potentiel\
+ \ impact sur la s\xE9curit\xE9 a\xE9rienne conform\xE9ment au \xA74.4.1.2.2. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node331
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:4.5.2
+ description: "Enfin, l\u2019organisme : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node332
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node331
+ description: "formalise la liste des sous-traitants \u0153uvrant pour une ou\
+ \ plusieurs activit\xE9s de son SMSI ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node333
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node331
+ description: "conserve des informations document\xE9es comme preuves de la gestion\
+ \ des sous-traitants des activit\xE9s du SMSI. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:5
+ assessable: false
+ depth: 1
+ ref_id: '5'
+ name: "Personnels et comp\xE9tences "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5
+ ref_id: '5.1'
+ name: "V\xE9rification des ant\xE9c\xE9dents et contr\xF4le de la fiabilit\xE9\
+ \ "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1
+ ref_id: 5.1.1
+ name: "V\xE9rification des ant\xE9c\xE9dents pour les personnels de s\xFBret\xE9\
+ \ a\xE9rienne"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1.1
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1
+ ref_id: 5.1.1.1
+ name: "Personnel de s\xFBret\xE9 a\xE9rienne"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node338
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1.1
+ description: "Sur la base de son analyse de risques, l\u2019organisme identifie\
+ \ ou fait identifier par les tiers d\xE9termin\xE9s au \xA74.2.4,les personnes\
+ \ :"
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node339
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node338
+ description: "ayant des droits d'administrateur ou un acc\xE8s non surveill\xE9\
+ \ et illimit\xE9 aux donn\xE9es et syst\xE8mes de technologies de l'information\
+ \ et de la communication critiques utilis\xE9s aux fins de la s\xFBret\xE9\
+ \ a\xE9rienne, identifi\xE9s au \xA74.2., et/ou ;"
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node340
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node338
+ description: "qui ont \xE9t\xE9 identifi\xE9es lors de l'\xE9valuation des risques\
+ \ relative \xE0 la s\xFBret\xE9 a\xE9rienne au \xA74.2."
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node341
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1.1
+ description: "Il s\u2019agit notamment : "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node342
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node341
+ description: "des \xE9quipes manag\xE9riales, \xE0 savoir les personnes organisant,\
+ \ pilotant, contr\xF4lant ou participant \xE0 la gestion des risques de s\xE9\
+ curit\xE9 de l\u2019information pouvant affecter la s\xFBret\xE9 a\xE9rienne;\
+ \ (RSSI, DSI, Auditeur interne, responsable s\xFBret\xE9, etc.) ;"
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node343
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node341
+ description: "des \xE9quipes op\xE9rationnelles, \xE0 savoir les personnes d\xE9\
+ finissant, planifiant et mettant en \u0153uvre les mesures de s\xE9curit\xE9\
+ \ de l\u2019information d\xE9finies au \xA74.3. sur les syst\xE8mes d\u2019\
+ information critiques \xE0 la s\xFBret\xE9 identifi\xE9s au \xA74.2 ; "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node344
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node341
+ description: "des administrateurs des syst\xE8mes d\u2019information critiques\
+ \ \xE0 la s\xFBret\xE9 identifi\xE9s au \xA74.2 "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node345
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node341
+ description: "des utilisateurs ayant un acc\xE8s non surveill\xE9 et illimit\xE9\
+ \ aux donn\xE9es et syst\xE8mes d\u2019information critiques \xE0 la s\xFB\
+ ret\xE9 identifi\xE9s au \xA74.2 ; "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node346
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node341
+ description: "Le cas \xE9ch\xE9ant, des personnes et/ou entit\xE9s responsables\
+ \ des risques relatifs \xE0 la s\xFBret\xE9 a\xE9rienne identifi\xE9es au\
+ \ \xA74.2. "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node347
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1.1
+ description: "L\u2019organisme conserve des informations document\xE9es appropri\xE9\
+ es comme preuves de l\u2019identification des personnels de s\xFBret\xE9 a\xE9\
+ rienne. "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1.2
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1
+ ref_id: 5.1.1.2
+ name: "V\xE9rification renforc\xE9e des ant\xE9c\xE9dents pour les personnels\
+ \ de s\xFBret\xE9 a\xE9rienne "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node349
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1.2
+ description: "L\u2019organisme applique ou fait appliquer par les tiers identifi\xE9\
+ s au \xA74.2.4., une v\xE9rification renforc\xE9e des ant\xE9c\xE9dents des\
+ \ personnels de s\xFBret\xE9 a\xE9rienne identifi\xE9s pr\xE9c\xE9demment.\
+ \ Ainsi, il met en \u0153uvre les actions suivantes, ou s\u2019assure de cette\
+ \ mise en \u0153uvre par les tiers. L\u2019organisme : "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node350
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node349
+ description: "s\u2019assure que ces personnes disposent d\u2019une habilitation\
+ \ pr\xE9fectorale pr\xE9vue par l\u2019article L6342-3 du code des transports,\
+ \ \xE0 savoir : "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node351
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node350
+ description: "qu\u2019ils disposent d\u2019un titre d\u2019acc\xE8s en zone\
+ \ de s\xFBret\xE9 \xE0 acc\xE8s r\xE9glement\xE9 valide dont la d\xE9livrance\
+ \ n\xE9cessite la d\xE9tention de l\u2019habilitation pr\xE9fectorale susmentionn\xE9\
+ e, ou bien ; "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node352
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node350
+ description: "qu\u2019ils disposent d\u2019une habilitation sans badge valide. "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node353
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node349
+ description: "prend en consid\xE9ration les emplois, \xE9tudes et interruptions[3]\
+ \ \xE9ventuelles de ces personnes dans les \xC9tats o\xF9 elles ont r\xE9\
+ sid\xE99 au cours des 5 derni\xE8res ann\xE9es ; "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node354
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node349
+ description: "renouvelle ces v\xE9rifications \xE0 intervalles r\xE9guliers\
+ \ ne d\xE9passant pas 12 mois ; "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node355
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node349
+ description: "porte une vigilance particuli\xE8re sur les interruptions6 injustifi\xE9\
+ es de ces personnes en leur demandant des explications ou justificatifs et\
+ \ trace le fait que cette v\xE9rification a bien \xE9t\xE9 effectu\xE9e. "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node356
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.1.2
+ description: "L\u2019organisme : "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node357
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node356
+ description: "tient \xE0 jour une liste des personnels de s\xFBret\xE9 ayant\
+ \ fait l\u2019objet d\u2019une v\xE9rification d\u2019identit\xE9 et d\xE9\
+ tenant une habilitation valide ; "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node358
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node356
+ description: "formalise sa proc\xE9dure de v\xE9rification des ant\xE9c\xE9\
+ dents pour les personnels de s\xFBret\xE9 ; "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node359
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node356
+ description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette proc\xE9dure dans\
+ \ le programme de s\xFBret\xE9; "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node360
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node356
+ description: "conserve des informations document\xE9es appropri\xE9es comme\
+ \ preuves de la v\xE9rification des ant\xE9c\xE9dents. "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1
+ ref_id: 5.1.2
+ name: "Contr\xF4le de la fiabilit\xE9 des personnels de s\xE9curit\xE9 a\xE9\
+ rienne"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node362
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.2
+ description: "Sur la base de son analyse de risques, l\u2019organisme d\xE9\
+ finit sa politique de contr\xF4le de la fiabilit\xE9 des personnes, dans laquelle\
+ \ le contr\xF4le auquel est soumis chaque personne est proportionnel \xE0\
+ \ l\u2019impact qu\u2019elle pourrait avoir sur la s\xE9curit\xE9 a\xE9rienne\
+ \ par compromission de l\u2019int\xE9grit\xE9, de la confidentialit\xE9 ou\
+ \ de la disponibilit\xE9 des donn\xE9es. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node363
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.2
+ description: 'Cette politique identifie : '
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node364
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node363
+ description: "des cat\xE9gories de personnes en fonction du risque pour la s\xE9\
+ curit\xE9 a\xE9rienne ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node365
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node363
+ description: "des mesures de contr\xF4le de la fiabilit\xE9 qui :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node366
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node365
+ description: "\xE9tablissent a minima l\u2019identit\xE9 de la personne au travers\
+ \ de la v\xE9rification d\u2019un document d\u2019identit\xE9 ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node367
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node365
+ description: "peuvent, selon les cat\xE9gories pr\xE9c\xE9demment identifi\xE9\
+ es et leur niveau de risque pour la s\xE9curit\xE9 a\xE9rienne : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node368
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node367
+ description: "prendre en consid\xE9ration les emplois, \xE9tudes et interruptions\
+ \ \xE9ventuelles de ces personnes dans les \xC9tats o\xF9 elles ont r\xE9\
+ sid\xE9 au cours des 5 derni\xE8res ann\xE9es ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node369
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node367
+ description: "amener \xE0 r\xE9aliser une v\xE9rification des ant\xE9c\xE9dents\
+ \ selon des modalit\xE9s \xE0 pr\xE9ciser, telles que : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node370
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node369
+ description: "l\u2019habilitation pr\xE9fectorale vis\xE9es supra ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node371
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node369
+ description: "la fourniture de l\u2019extrait de casier judiciaire (bulletin\
+ \ num\xE9ro 3) ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node372
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node369
+ description: "le dispositif de protection des secrets de D\xE9fense Nationale\
+ \ ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node373
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node369
+ description: "tout autre dispositif existant et r\xE9pondant aux objectifs de\
+ \ v\xE9rification des ant\xE9c\xE9dents. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node374
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.2
+ description: "L\u2019organisme : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node375
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node374
+ description: "applique ou fait appliquer par les tiers identifi\xE9s au \xA7\
+ 4.2.4, sa politique de contr\xF4le de la fiabilit\xE9 des personnes ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node376
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node374
+ description: "tient \xE0 jour une liste des personnels de s\xE9curit\xE9 a\xE9\
+ rienne ayant fait l\u2019objet d\u2019une v\xE9rification d\u2019identit\xE9\
+ \ et d\u2019un contr\xF4le de leur fiabilit\xE9, en pr\xE9cisant duquel il\
+ \ s\u2019agit en fonction des risques sur la s\xE9curit\xE9 a\xE9rienne ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node377
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node374
+ description: "formalise la politique de contr\xF4le de la fiabilit\xE9 du personnel\
+ \ ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node378
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node374
+ description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette politique dans :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node379
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node378
+ description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\
+ \ l\u2019information, ou ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node380
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node378
+ description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node381
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node374
+ description: "conserve des informations document\xE9es appropri\xE9es comme\
+ \ preuves du contr\xF4le de la fiabilit\xE9 du personnel :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node382
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node381
+ description: "tant que le personnel concern\xE9 doit faire l'objet d'une v\xE9\
+ rification d'ant\xE9c\xE9dent, et ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node383
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node381
+ description: "un an apr\xE8s la fin de l\u2019activit\xE9 justifiant le contr\xF4\
+ le de la fiabilit\xE9."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1
+ ref_id: 5.1.3
+ name: 'Cas particuliers '
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.3.1
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.3
+ ref_id: 5.1.3.1
+ name: "Personnels soumis aux exigences de s\xFBret\xE9 et de s\xE9curit\xE9\
+ \ "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node386
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.3.1
+ description: "Dans le cas o\xF9 une personne est soumise aux exigences de v\xE9\
+ rification des ant\xE9c\xE9dents pour la s\xFBret\xE9 et la s\xE9curit\xE9\
+ \ a\xE9rienne, alors il doit se soumettre au dispositif le plus exigeant,\
+ \ \xE0 savoir celui de la s\xFBret\xE9. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.3.2
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.3
+ ref_id: 5.1.3.2
+ name: "Personnels \xE0 l\u2019\xE9tranger"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node388
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.1.3.2
+ description: "Dans le cas o\xF9 l\u2019organisme emploie du personnel de nationalit\xE9\
+ \ \xE9trang\xE8re ne r\xE9sidant pas en France pour lequel il documente qu\u2019\
+ il ne lui est pas l\xE9galement possible de r\xE9aliser une v\xE9rification\
+ \ des ant\xE9c\xE9dents, alors l\u2019organisme : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node389
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node388
+ description: "\xE9tablit l\u2019identit\xE9 de ces personnes au travers de la\
+ \ v\xE9rification d\u2019un document d\u2019identit\xE9 ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node390
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node388
+ description: "exige de ces personnes un engagement sign\xE9 de bonne conduite\
+ \ lors de la r\xE9alisation de missions pour le compte de l\u2019organisme\
+ \ ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node391
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node388
+ description: "tient \xE0 jour une liste des personnels \xE9trangers pour lesquels\
+ \ la v\xE9rification des ant\xE9c\xE9dents n\u2019a pu \xEAtre r\xE9alis\xE9\
+ e. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:5.2
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5
+ ref_id: '5.2'
+ name: 'Sensibilisation '
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node393
+ assessable: true
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.2
+ description: "L\u2019organisme met en \u0153uvre une campagne de sensibilisation\
+ \ ou s\u2019assure de cette mise en \u0153uvre par les tiers identifi\xE9\
+ s au \xA74.2.4., notamment il :"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node394
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node393
+ description: "pr\xE9cise :"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node395
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node394
+ description: "les moyens et ressources mis en \u0153uvre ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node396
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node394
+ description: "la fr\xE9quence de renouvellement de la campagne de sensibilisation. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node397
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node393
+ description: "s\u2019assure que les personnes identifi\xE9es au \xA75.1.1.1.et\
+ \ au travers de l\u2019analyse de risques relatifs \xE0 la s\xE9curit\xE9\
+ \ a\xE9rienne (\xA74.2.4) sont sensibilis\xE9es \xE0 la s\xE9curit\xE9 de\
+ \ l\u2019information ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node398
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node393
+ description: "formalise le suivi de la sensibilisation et la proc\xE9dure associ\xE9\
+ e ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node399
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node393
+ description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette proc\xE9dure dans\
+ \ :"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node400
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node399
+ description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\
+ \ l\u2019information, ou ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node401
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node399
+ description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9, et/ou ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node402
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node399
+ description: "le programme de s\xFBret\xE9. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node403
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node393
+ description: "conserve des informations document\xE9es appropri\xE9es comme\
+ \ preuves suivi de la sensibilisation de son personnel. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:5.3
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5
+ ref_id: '5.3'
+ name: 'Formation '
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node405
+ assessable: true
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:5.3
+ description: "L\u2019organisme met en \u0153uvre un programme de formation ou\
+ \ s\u2019assure de cette mise en \u0153uvre par les tiers identifi\xE9s au\
+ \ \xA74.2.4., notamment il : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node406
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node405
+ description: 'identifie les besoins au sein de son entreprise, notamment que
+ :'
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node407
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node406
+ description: " les \xE9quipes manag\xE9riales soient form\xE9es \xE0 la gestion\
+ \ de la s\xE9curit\xE9 de l\u2019information en coh\xE9rence avec les t\xE2\
+ ches qui leur sont confi\xE9es ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node408
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node406
+ description: "les \xE9quipes op\xE9rationnelles soient form\xE9es \xE0 la mise\
+ \ en \u0153uvre des mesures de s\xE9curit\xE9 de l\u2019information \xE0 l\u2019\
+ \xE9tat de l\u2019art, en coh\xE9rence avec les t\xE2ches qui leur sont confi\xE9\
+ es . "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node409
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node405
+ description: "pr\xE9cise les moyens et ressources mis en \u0153uvre ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node410
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node405
+ description: "formalise le suivi des comp\xE9tences et la proc\xE9dure associ\xE9\
+ e ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node411
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node405
+ description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette proc\xE9dure dans\
+ \ :"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node412
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node411
+ description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\
+ \ l\u2019information, ou ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node413
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node411
+ description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9, et/ou ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node414
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node411
+ description: "le programme de s\xFBret\xE9."
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node415
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node405
+ description: "conserve des informations document\xE9es appropri\xE9es comme\
+ \ preuves de suivi de la formation de son personnel. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6
+ assessable: false
+ depth: 1
+ ref_id: '6'
+ name: "D\xE9finition et fonctionnement du SMSI "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.1
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6
+ ref_id: '6.1'
+ name: 'Suivi de la gestion des risques '
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.1.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.1
+ ref_id: 6.1.1
+ name: 'Organisation du suivi de la gestion des risques '
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node419
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.1.1
+ description: "L\u2019organisme d\xE9finit l\u2019organisation du suivi de la\
+ \ gestion des risques et en pr\xE9cise : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node420
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node419
+ description: 'la structure et le positionnement ; '
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node421
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node419
+ description: "les responsabilit\xE9s des diff\xE9rents participants ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node422
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node419
+ description: "l\u2019articulation avec l\u2019organisation d\xE9j\xE0 en place\
+ \ pour le suivi de la gestion des risques relatifs \xE0 la s\xFBret\xE9 et/ou\
+ \ \xE0 la s\xE9curit\xE9 a\xE9rienne ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node423
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node419
+ description: "la p\xE9riodicit\xE9 et/ou les \xE9v\xE9nements significatifs\
+ \ activant cette organisation, notamment lorsque : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node424
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node423
+ description: "il y a un changement dans les \xE9l\xE9ments expos\xE9s \xE0 des\
+ \ risques li\xE9s \xE0 la s\xE9curit\xE9 de l\u2019information ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node425
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node423
+ description: "il y a un changement dans les interfaces entre l\u2019organisme\
+ \ et d\u2019autres organismes, ou dans les risques communiqu\xE9s par les\
+ \ autres organismes ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node426
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node423
+ description: "il y a un changement dans les informations ou connaissances utilis\xE9\
+ es pour le recensement, l\u2019analyse et la classification des risques ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node427
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node423
+ description: "l\u2019analyse des incidents de s\xE9curit\xE9 de l\u2019information\
+ \ a permis de tirer des enseignements. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.1.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.1
+ ref_id: 6.1.2
+ name: Missions du suivi de la gestion des risques
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node429
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.1.2
+ description: "P\xE9riodiquement et/ou lors des \xE9v\xE9nements significatifs,\
+ \ l\u2019organisme : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node430
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node429
+ description: "planifie, met en \u0153uvre, contr\xF4le :"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node431
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node430
+ description: "les activit\xE9s de gestion des risques : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node432
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node431
+ description: "appr\xE9ciation des risques (\xA74.2) ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node433
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node431
+ description: "traitement des risques (\xA74.3) ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node434
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node431
+ description: "gestion des incidents de s\xE9curit\xE9 de l\u2019information\
+ \ (\xA74.4) ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node435
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node431
+ description: "gestion des risques induits par les tiers (\xA74.5). "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node436
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node430
+ description: "la gestion des personnels et des comp\xE9tences (\xA75) ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node437
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node430
+ description: "la mise en \u0153uvre des mesures techniques et organisationnelles\
+ \ : "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node438
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node437
+ description: 'du plan de traitement des risques ; '
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node439
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node437
+ description: "de d\xE9tection, de r\xE9action et de r\xE9ponse \xE0 un incident\
+ \ de s\xE9curit\xE9 ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node440
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node437
+ description: "notifi\xE9es par l\u2019autorit\xE9 comp\xE9tente. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node441
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node429
+ description: "assure le suivi des \xE9v\xE9nements et incidents de s\xE9curit\xE9\
+ \ de l\u2019information. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.1.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.1
+ ref_id: 6.1.3
+ name: "R\xE9sultats du suivi de la gestion des risques"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node443
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.1.3
+ description: "L\u2019organisme: "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node444
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node443
+ description: "produit et tient \xE0 jour des tableaux de bord de suivi :"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node445
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node444
+ description: "des activit\xE9s de gestion des risques ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node446
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node444
+ description: "des personnels et des comp\xE9tences ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node447
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node444
+ description: "d\u2019avancement de mise en \u0153uvre des mesures techniques\
+ \ et organisationnelles ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node448
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node444
+ description: "des \xE9v\xE9nements et incidents de s\xE9curit\xE9 de l\u2019\
+ information."
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node449
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node443
+ description: "informe le Dirigeant Responsable et les personnes ou entit\xE9\
+ s responsables de risques des conclusions du suivi de la gestion des risques\
+ \ ; "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node450
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node443
+ description: "formalise la proc\xE9dure relative au suivi de la gestion des\
+ \ risques ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node451
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node443
+ description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette proc\xE9dure dans\
+ \ :"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node452
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node451
+ description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\
+ \ l\u2019information, ou ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node453
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node451
+ description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9, et/ou ;"
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node454
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node451
+ description: "le programme de s\xFBret\xE9."
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node455
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node443
+ description: "conserve des informations document\xE9es comme preuves du suivi\
+ \ de la gestion des risques. "
+ implementation_groups:
+ - sec
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6
+ ref_id: '6.2'
+ name: "\xC9valuation du SMSI "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2
+ ref_id: 6.2.1
+ name: "\xC9valuation de la conformit\xE9 du SMSI"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1.1
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1
+ ref_id: 6.2.1.1
+ name: "Organisation de l\u2019\xE9valuation de la conformit\xE9 du SMSI"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node459
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1.1
+ description: "L\u2019organisme d\xE9finit l\u2019organisation en charge de l\u2019\
+ \xE9valuation de la conformit\xE9 et en pr\xE9cise : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node460
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node459
+ description: 'la structure et le positionnement ; '
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node461
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node459
+ description: "les responsabilit\xE9s des diff\xE9rents participants ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node462
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node459
+ description: "l\u2019articulation avec l\u2019organisation d\xE9j\xE0 en place\
+ \ pour l\u2019\xE9valuation de la conformit\xE9 relative \xE0 la s\xE9curit\xE9\
+ \ a\xE9rienne ; - la p\xE9riodicit\xE9 et/ou les \xE9v\xE9nements significatifs\
+ \ activant cette organisation. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1.2
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1
+ ref_id: 6.2.1.2
+ name: "Missions de l\u2019\xE9valuation de la conformit\xE9 du SMSI"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node464
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1.2
+ description: "P\xE9riodiquement et/ou lors des \xE9v\xE9nements significatifs\
+ \ et en s\u2019appuyant sur les r\xE9sultats : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node465
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node464
+ description: 'des audits internes ; '
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node466
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node464
+ description: "des audits des autorit\xE9s comp\xE9tentes. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node467
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1.2
+ description: "l\u2019organisme : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node468
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node467
+ description: "\xE9value la conformit\xE9 et ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node469
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node467
+ description: "identifie les \xE9carts de son SMSI par rapport aux dispositions\
+ \ du pr\xE9sent document ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node470
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node467
+ description: "corrige ces \xE9carts afin de se mettre en conformit\xE9 avec\
+ \ les exigences de la Part-IS. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1.3
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1
+ ref_id: 6.2.1.3
+ name: "R\xE9sultats de l\u2019\xE9valuation de la conformit\xE9 du SMSI"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node472
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.1.3
+ description: "L\u2019organisme : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node473
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node472
+ description: "produit et tient \xE0 jour un tableau de bord de suivi de la conformit\xE9\
+ \ et les \xE9ventuels \xE9carts associ\xE9s ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node474
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node472
+ description: "informe le Dirigeant Responsable et les personnes ou entit\xE9\
+ s responsables des risques des conclusions de l\u2019\xE9valuation de la conformit\xE9\
+ \ du SMSI ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node475
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node472
+ description: "formalise la proc\xE9dure relative \xE0 l\u2019\xE9valuation de\
+ \ la conformit\xE9 du SMSI ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node476
+ assessable: false
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node472
+ description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette proc\xE9dure dans\
+ \ :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node477
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node476
+ description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\
+ \ l\u2019information, ou ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node478
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node476
+ description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node479
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node472
+ description: "conserve des informations document\xE9es comme preuves des r\xE9\
+ sultats d\u2019\xE9valuation de la conformit\xE9 du SMSI. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2
+ ref_id: 6.2.2
+ name: "R\xE9ponse aux constatations notifi\xE9es par l\u2019autorit\xE9 comp\xE9\
+ tente"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node481
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.2
+ description: "L\u2019organisme r\xE9agit aux constatations notifi\xE9es par\
+ \ l\u2019autorit\xE9 comp\xE9tente au travers du processus de traitement des\
+ \ constatations pr\xE9vus dans le cadre de son certificat/agr\xE9ment. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2
+ ref_id: 6.2.3
+ name: "\xC9valuation de l\u2019efficacit\xE9 et de la maturit\xE9 du SMSI"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.1
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3
+ ref_id: 6.2.3.1
+ name: "Organisation de l\u2019\xE9valuation de l\u2019efficacit\xE9 et de la\
+ \ maturit\xE9 du SMSI "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node484
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.1
+ description: "L\u2019organisme d\xE9finit l\u2019organisation en charge de l\u2019\
+ \xE9valuation de l\u2019efficacit\xE9 et de la maturit\xE9 du SMSI et en pr\xE9\
+ cise : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node485
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node484
+ description: la structure et le positionnement ;
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node486
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node484
+ description: "les responsabilit\xE9s des diff\xE9rents participants ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node487
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node484
+ description: "l\u2019articulation avec l\u2019organisation d\xE9j\xE0 en place\
+ \ pour l\u2019\xE9valuation du syst\xE8me de gestion de la s\xE9curit\xE9\
+ \ a\xE9rienne ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node488
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node484
+ description: "la p\xE9riodicit\xE9 et/ou les \xE9v\xE9nements significatifs\
+ \ activant cette organisation ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node489
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node484
+ description: "les indicateurs d\u2019efficacit\xE9 associ\xE9s aux objectifs\
+ \ de s\xE9curit\xE9 d\xE9finis dans la politique de s\xE9curit\xE9 de l\u2019\
+ information ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node490
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node484
+ description: "le mod\xE8le de maturit\xE9 du SMSI vis\xE9."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.2
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3
+ ref_id: 6.2.3.2
+ name: "Missions de l\u2019\xE9valuation de l\u2019efficacit\xE9 et de la maturit\xE9\
+ \ du SMSI"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node492
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.2
+ description: "P\xE9riodiquement et/ou lors des \xE9v\xE9nements significatifs\
+ \ et en s\u2019appuyant sur : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node493
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node492
+ description: "la politique de s\xE9curit\xE9 de l\u2019information ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node494
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node492
+ description: "les \xE9l\xE9ments relatifs \xE0 la gestion des ressources, aux\
+ \ r\xF4les et responsabilit\xE9s ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node495
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node492
+ description: "les tableaux de bord de suivi des activit\xE9s de gestion des\
+ \ risques, des personnels et des comp\xE9tences, et des \xE9v\xE9nements et\
+ \ incidents de s\xE9curit\xE9 de l\u2019information ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node496
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node492
+ description: "des \xE9ventuels audits techniques et organisationnels ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node497
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node492
+ description: "son retour d\u2019exp\xE9rience, aliment\xE9 notamment par la\
+ \ gestion des incidents. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node498
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.2
+ description: "L\u2019organisme :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node499
+ assessable: false
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node498
+ description: "\xE9value :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node500
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node499
+ description: "l\u2019efficacit\xE9 de son SMSI par rapport aux objectifs de\
+ \ s\xE9curit\xE9 d\xE9finis dans la politique de s\xE9curit\xE9 de l\u2019\
+ information ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node501
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node499
+ description: "la maturit\xE9 de son SMSI par rapport au mod\xE8le de maturit\xE9\
+ \ vis\xE9.Lors de ces \xE9valuations, l\u2019organisme porte une attention\
+ \ particuli\xE8re aux processus relatifs : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node502
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node501
+ description: "\xE0 la gouvernance (\xA73) ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node503
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node501
+ description: "aux activit\xE9s de gestion des risques ( \xA74) ainsi que leur\
+ \ suivi (\xA76.1) ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node504
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node501
+ description: "\xE0 la gestion des personnels et des comp\xE9tences (\xA75) ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node505
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node501
+ description: "\xE0 l\u2019\xE9valuation de la conformit\xE9, de l\u2019efficacit\xE9\
+ \ et de la maturit\xE9 du SMSI (\xA76.2) ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node506
+ assessable: true
+ depth: 8
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node501
+ description: "Au pilotage de l\u2019am\xE9lioration continue (\xA76.3)."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node507
+ assessable: false
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node498
+ description: 'identifie :'
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node508
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node507
+ description: "les \xE9carts et/ou les manques par rapport aux objectifs de s\xE9\
+ curit\xE9 ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node509
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node507
+ description: "les axes d\u2019am\xE9lioration \xE9ventuels afin d\u2019atteindre\
+ \ les niveaux de maturit\xE9 du mod\xE8le vis\xE9."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.3
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3
+ ref_id: 6.2.3.3
+ name: "R\xE9sultats de l\u2019\xE9valuation de l\u2019efficacit\xE9 et de la\
+ \ maturit\xE9 du SMSI"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node511
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.3
+ description: "L\u2019organisme : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node512
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node511
+ description: "produit et tient \xE0 jour des tableaux de bord de suivi de : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node513
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node512
+ description: "l\u2019efficacit\xE9 de son SMSI et des \xE9carts associ\xE9s\
+ \ ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node514
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node512
+ description: "la maturit\xE9 de son SMSI et des \xE9ventuels axes d\u2019am\xE9\
+ lioration associ\xE9s. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node515
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node511
+ description: "informe le Dirigeant Responsable et les personnes ou entit\xE9\
+ s responsables des risques des conclusions de l\u2019\xE9valuation de l\u2019\
+ efficacit\xE9 et de la maturit\xE9 du SMSI ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node516
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node511
+ description: "formalise la proc\xE9dure relative \xE0 l\u2019\xE9valuation de\
+ \ l\u2019efficacit\xE9 et de la maturit\xE9 du SMSI ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node517
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node511
+ description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette proc\xE9dure dans\
+ \ : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node518
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node517
+ description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\
+ \ l\u2019information, ou ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node519
+ assessable: true
+ depth: 7
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node517
+ description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node520
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node511
+ description: "conserve des informations document\xE9es comme preuves des r\xE9\
+ sultats de l\u2019\xE9valuation de l\u2019efficacit\xE9 et de la maturit\xE9\
+ \ du SMSI. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node521
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.2.3.3
+ description: "Les mod\xE8les de maturit\xE9 suivants peuvent \xEAtre pris pour\
+ \ r\xE9f\xE9rence : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node522
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node521
+ description: 'Cybersecurity Capability Maturity Model (C2M2), version 1.1 '
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node523
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node521
+ description: "Systems Security Engineering \u2013 Capability Maturity Model\
+ \ (SSE-CMM) "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node524
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node521
+ description: 'NIST Cybersecurity Framework (NIST CSF), version 1.1 - ATM Cybersecurity
+ Maturity Model, edition 1 '
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.3
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6
+ ref_id: '6.3'
+ name: "Am\xE9lioration continue du SMSI "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.3.1.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.3
+ ref_id: 6.3.1.1
+ name: "Organisation du pilotage de l\u2019am\xE9lioration continue du SMSI "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node527
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.3.1.1
+ description: "L\u2019organisme d\xE9finit l\u2019organisation du pilotage de\
+ \ l\u2019am\xE9lioration continue et en pr\xE9cise : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node528
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node527
+ description: 'la structure et le positionnement ; '
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node529
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node527
+ description: "les responsabilit\xE9s des diff\xE9rents participants ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node530
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node527
+ description: "l\u2019articulation avec l\u2019organisation d\xE9j\xE0 en place\
+ \ pour le pilotage de l\u2019am\xE9lioration continue du syst\xE8me de gestion\
+ \ de la s\xE9curit\xE9 a\xE9rienne ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node531
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node527
+ description: "la p\xE9riodicit\xE9 et/ou les \xE9v\xE9nements significatifs\
+ \ activant cette organisation, notamment : o au moins 1 fois entre 2 audits\
+ \ de l\u2019autorit\xE9, et/ou ; o les \xE9v\xE9nements significatifs d\xE9\
+ clenchant la revue de direction (incident, changement de contexte etc.). "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.3.1.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.3
+ ref_id: 6.3.1.2
+ name: "Missions du pilotage de l\u2019am\xE9lioration continue du SMSI "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node533
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.3.1.2
+ description: "P\xE9riodiquement et/ou lors des \xE9v\xE9nements significatifs\
+ \ et sur la base : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node534
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node533
+ description: "des changements de contexte de l\u2019organisme, notamment :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node535
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node534
+ description: "l\u2019\xE9volution de la menace ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node536
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node534
+ description: "un changement dans l\u2019organisation."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node537
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node533
+ description: 'des tableaux de bord de suivi :'
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node538
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node537
+ description: "de la conformit\xE9 du SMSI et des \xE9carts associ\xE9s ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node539
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node537
+ description: "de l\u2019efficacit\xE9 du SMSI et des \xE9carts associ\xE9s ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node540
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node537
+ description: "de la maturit\xE9 du SMSI et des \xE9ventuels axes d\u2019am\xE9\
+ lioration associ\xE9s ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node541
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node537
+ description: "des non-conformit\xE9s notifi\xE9es par l\u2019autorit\xE9 et\
+ \ des actions correctives associ\xE9es ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node542
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node537
+ description: "des actions issues du pilotage de l\u2019am\xE9lioration continue."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node543
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.3.1.2
+ description: "L\u2019organisme : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node544
+ assessable: false
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node543
+ description: 'identifie :'
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node545
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node544
+ description: "les modifications \xE0 apporter au SMSI : organisation, processus,\
+ \ etc. ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node546
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node544
+ description: "les actions correctives et pr\xE9ventives \xE0 mettre en \u0153\
+ uvre ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node547
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node544
+ description: "des opportunit\xE9s d\u2019am\xE9lioration continue."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node548
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node543
+ description: "d\xE9cide de les mettre en \u0153uvre ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node549
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node543
+ description: "pr\xE9cise les d\xE9lais de mises en \u0153uvre. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.3.1.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.3
+ ref_id: 6.3.1.3
+ name: "Conclusions du pilotage de l\u2019am\xE9lioration continue du SMSI "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node551
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.3.1.3
+ description: "L\u2019organisme : "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node552
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node551
+ description: "produit et tient \xE0 jour un tableau de bord de suivi des actions\
+ \ issues du pilotage de l\u2019am\xE9lioration continue ; "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node553
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node551
+ description: "formalise la proc\xE9dure relative \xE0 l\u2019am\xE9lioration\
+ \ continue ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node554
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node551
+ description: "int\xE8gre ou fait r\xE9f\xE9rence \xE0 cette proc\xE9dure dans\
+ \ :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node555
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node554
+ description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\
+ \ l\u2019information, ou ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node556
+ assessable: true
+ depth: 6
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node554
+ description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node557
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node551
+ description: "conserve des informations document\xE9es comme preuves du pilotage\
+ \ de l\u2019am\xE9lioration continue. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:6.4
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6
+ ref_id: '6.4'
+ name: "Modification du syst\xE8me de management de la s\xE9curit\xE9 de l\u2019\
+ information "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node559
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:6.4
+ description: 'A paraitre dans la prochaine version du 3CFv2 '
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:7
+ assessable: false
+ depth: 1
+ ref_id: '7'
+ name: 'Documentation '
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:7.1
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7
+ ref_id: '7.1'
+ name: 'Gestion documentaire '
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node562
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.1
+ description: 'A paraitre dans la prochaine version du 3CFv2 '
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:7.2
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7
+ ref_id: '7.2'
+ name: "Manuel du syst\xE8me de gestion de la s\xE9curit\xE9 de l\u2019information "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2
+ ref_id: 7.2.1
+ name: 'Gestion du manuel SMSI '
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node565
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.1
+ description: 'A paraitre dans la prochaine version du 3CFv2 '
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2
+ ref_id: 7.2.2
+ name: "\xC9l\xE9ments du manuel"
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node567
+ assessable: false
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "L\u2019organisme int\xE8gre ou fait r\xE9f\xE9rence aux \xE9l\xE9\
+ ments suivants dans :"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node568
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node567
+ description: "le manuel du syst\xE8me de management de la s\xE9curit\xE9 de\
+ \ l\u2019information, ou ;"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node569
+ assessable: true
+ depth: 5
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node567
+ description: "le manuel de l\u2019organisme approuv\xE9/certifi\xE9."
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node570
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La lettre d\u2019engagement du Dirigeant Responsable "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node571
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La politique de s\xE9curit\xE9 de l\u2019information "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node572
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "le(s) titre(s), le(s) nom(s), les missions, les obligations de\
+ \ rendre compte, les responsabilit\xE9s et les pouvoirs des personnes vis\xE9\
+ es au 3.3. "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node573
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "un organigramme montrant les rapports hi\xE9rarchiques en mati\xE8\
+ re d\u2019obligation de rendre compte et de responsabilit\xE9 entre les personnes\
+ \ vis\xE9es aux 3.3 "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node574
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "une description g\xE9n\xE9rale des ressources humaines, en termes\
+ \ d\u2019effectifs et de cat\xE9gories, et du syst\xE8me qui est en place\
+ \ pour planifier la mise \xE0 disposition du personnel "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node575
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La description du sch\xE9ma de notification interne "
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node576
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La proc\xE9dure de gestion des incidents de s\xE9curit\xE9 de\
+ \ l\u2019information / Mis \xE0 disposition"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node577
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La proc\xE9dure de notification \xE0 l\u2019autorit\xE9 (\xE0\
+ \ venir) / Mis \xE0 disposition"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node578
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La proc\xE9dure de gestion des organismes en interface / Mis \xE0\
+ \ disposition"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node579
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La proc\xE9dure de gestion des sous-traitants r\xE9alisant des\
+ \ activit\xE9s du SMSI / Mis \xE0 disposition"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node580
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La politique de contr\xF4le de fiabilit\xE9 du personnel / Mis\
+ \ \xE0 disposition"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node581
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La proc\xE9dure de suivi de la sensibilisation / Mis \xE0 disposition"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node582
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La proc\xE9dure de suivi de la formation / Mis \xE0 disposition"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node583
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La proc\xE9dure d\u2019\xE9valuation de la conformit\xE9 du SMSI\
+ \ / Mis \xE0 disposition"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node584
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La proc\xE9dure d\u2019\xE9valuation de l\u2019efficacit\xE9 et\
+ \ de la maturit\xE9 du SMSI / Mis \xE0 disposition"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node585
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La proc\xE9dure d\u2019am\xE9lioration continue / Mis \xE0 disposition"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node586
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La proc\xE9dure de gestion des changements du SMSI (\xE0 venir)\
+ \ / Approuv\xE9"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node587
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La proc\xE9dure de gestion documentaire / Mis \xE0 disposition"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node588
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.2.2
+ description: "La proc\xE9dure de modification du manuel SMSI (\xE0 venir) /\
+ \ Mis \xE0 disposition"
+ implementation_groups:
+ - sec
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:7.3
+ assessable: false
+ depth: 2
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7
+ ref_id: '7.3'
+ name: "Programme de s\xFBret\xE9 "
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node590
+ assessable: false
+ depth: 3
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:7.3
+ description: "L\u2019organisme int\xE8gre ou fait r\xE9f\xE9rence dans son programme\
+ \ de s\xFBret\xE9 aux \xE9l\xE9ments suivants : "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node591
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590
+ description: "La liste des risques au regard de la s\xFBret\xE9 "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node592
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590
+ description: "La liste des syst\xE8mes d\u2019information critiques \xE0 la\
+ \ s\xFBret\xE9 "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node593
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590
+ description: 'Le plan de traitement des risques '
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node594
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590
+ description: "La liste des organismes en interface pr\xE9sentant un risque pour\
+ \ la s\xFBret\xE9 "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node595
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590
+ description: "La liste des mesures techniques et organisationnelles visant \xE0\
+ \ d\xE9tecter, r\xE9agir et se r\xE9tablir \xE0 la suite d\u2019un incident\
+ \ de s\xE9curit\xE9 de l\u2019information "
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node596
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590
+ description: "La proc\xE9dure de gestion des risques (appr\xE9ciation, traitement\
+ \ et suivi des risques)"
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node597
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590
+ description: "La proc\xE9dure de gestion des organismes en interface"
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node598
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590
+ description: "La proc\xE9dure de v\xE9rification des ant\xE9c\xE9dents"
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node599
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590
+ description: "La proc\xE9dure de suivi de la sensibilisation"
+ implementation_groups:
+ - sur
+ - urn: urn:intuitem:risk:req_node:c3cf-v2:node600
+ assessable: true
+ depth: 4
+ parent_urn: urn:intuitem:risk:req_node:c3cf-v2:node590
+ description: "La proc\xE9dure de suivi de la formation "
+ implementation_groups:
+ - sur
diff --git a/backend/library/libraries/matrice-des-risques-critiques-3x3.yaml b/backend/library/libraries/matrice-des-risques-critiques-3x3.yaml
new file mode 100644
index 000000000..64d7b0323
--- /dev/null
+++ b/backend/library/libraries/matrice-des-risques-critiques-3x3.yaml
@@ -0,0 +1,57 @@
+urn: urn:protocolpaladin:risk:library:matrice-des-risques-critiques-3x3
+locale: fr
+ref_id: matrice-des-risques-critiques-3x3
+name: Matrice des risques critiques 3x3
+description: Matrice des risques critiques 3x3
+version: 1
+provider: intuitem
+packager: protocolpaladin
+objects:
+ risk_matrix:
+ - urn: urn:protocolpaladin:risk:matrix:matrice-des-risques-critiques-3x3
+ ref_id: matrice-des-risques-critiques-3x3
+ name: Matrice des risques critiques 3x3
+ description: Matrice des risques critiques 3x3
+ probability:
+ - abbreviation: F
+ name: Faible
+ description: Événement peu fréquent
+ - abbreviation: M
+ name: Moyen
+ description: Événement occasionnel
+ - abbreviation: E
+ name: Élevé
+ description: Événement fréquent
+ impact:
+ - abbreviation: F
+ name: Faible
+ description: Impact faible
+ - abbreviation: M
+ name: Moyen
+ description: Impact moyen
+ - abbreviation: E
+ name: Élevé
+ description: Impact élevé
+ risk:
+ - abbreviation: F
+ name: Faible
+ description: Risque acceptable
+ hexcolor: "#00FF00"
+ - abbreviation: M
+ name: Moyen
+ description: Risque nécessitant une atténuation dans les 2 ans
+ hexcolor: "#FFFF00"
+ - abbreviation: E
+ name: Élevé
+ description: Risque inacceptable
+ hexcolor: "#FF0000"
+ grid:
+ - - 0
+ - 1
+ - 1
+ - - 1
+ - 1
+ - 2
+ - - 1
+ - 2
+ - 2
diff --git a/backend/library/libraries/matrice-des-risques-critiques-5x5.yaml b/backend/library/libraries/matrice-des-risques-critiques-5x5.yaml
new file mode 100644
index 000000000..61aa35815
--- /dev/null
+++ b/backend/library/libraries/matrice-des-risques-critiques-5x5.yaml
@@ -0,0 +1,93 @@
+urn: urn:protocolpaladin:risk:library:matrice-des-risques-critiques-5x5
+locale: fr
+ref_id: matrice-des-risques-critiques-5x5
+name: Matrice des risques critiques 5x5
+description: Matrice des risques critiques 5x5
+version: 1
+provider: intuitem
+packager: protocolpaladin
+objects:
+ risk_matrix:
+ - urn: urn:protocolpaladin:risk:matrix:matrice-des-risques-critiques-5x5
+ ref_id: matrice-des-risques-critiques-5x5
+ name: Matrice des risques critiques 5x5
+ description: Matrice des risques critiques 5x5
+ probability:
+ - abbreviation: TF
+ name: Très faible
+ description: Événement très peu fréquent
+ - abbreviation: F
+ name: Faible
+ description: Événement peu fréquent
+ - abbreviation: M
+ name: Moyen
+ description: Événement occasionnel
+ - abbreviation: E
+ name: Élevé
+ description: Événement fréquent
+ - abbreviation: TE
+ name: Très élevé
+ description: Événement très fréquent
+ impact:
+ - abbreviation: TF
+ name: Très faible
+ description: Impact très faible
+ - abbreviation: F
+ name: Faible
+ description: Impact faible
+ - abbreviation: M
+ name: Moyen
+ description: Impact moyen
+ - abbreviation: E
+ name: Élevé
+ description: Impact élevé
+ - abbreviation: TE
+ name: Très élevé
+ description: Impact très élevé
+ risk:
+ - abbreviation: TF
+ name: Très faible
+ description: Risque négligeable
+ hexcolor: "#BBF7D0"
+ - abbreviation: F
+ name: Faible
+ description: Risque acceptable
+ hexcolor: "#BEF264"
+ - abbreviation: M
+ name: Moyen
+ description: Risque nécessitant une atténuation dans les 2 ans
+ hexcolor: "#FEF08A"
+ - abbreviation: E
+ name: Élevé
+ description: Risque nécessitant une atténuation dans les 6 mois
+ hexcolor: "#FBBF24"
+ - abbreviation: TE
+ name: Très élevé
+ description: Risque inacceptable
+ hexcolor: "#F87171"
+ grid:
+ - - 0
+ - 0
+ - 1
+ - 1
+ - 2
+ - - 0
+ - 1
+ - 1
+ - 2
+ - 2
+ - - 1
+ - 1
+ - 2
+ - 2
+ - 3
+ - - 1
+ - 2
+ - 2
+ - 3
+ - 4
+ - - 2
+ - 2
+ - 3
+ - 4
+ - 4
diff --git a/backend/library/libraries/pgssi-s-1.0.yaml b/backend/library/libraries/pgssi-s-1.0.yaml
new file mode 100644
index 000000000..1dea53c7d
--- /dev/null
+++ b/backend/library/libraries/pgssi-s-1.0.yaml
@@ -0,0 +1,4774 @@
+urn: urn:ackwa:risk:library:pgssi-s-1.0
+locale: fr
+ref_id: pgssi-s-1.0
+name: PGSSI-S v1.0
+description: PGSSI-S - Canevas de PSSI
+copyright: "Agence du Num\xE9rique en Sant\xE9"
+version: 1
+provider: ANS
+packager: Ackwa.fr
+objects:
+ framework:
+ urn: urn:ackwa:risk:framework:pgssi-s-1.0
+ ref_id: pgssi-s-1.0
+ name: PGSSI-S v1.0
+ description: PGSSI-S - Canevas de PSSI
+ requirement_nodes:
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1
+ assessable: false
+ depth: 1
+ ref_id: '1'
+ name: "R\xE9pondre aux obligations l\xE9gales"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1
+ ref_id: '1.1'
+ name: "Respecter les principes de la protection des donn\xE9es \xE0 caract\xE8\
+ re personnel"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1
+ ref_id: 1.1.1
+ name: "Les proc\xE9dures pr\xE9alables devant la CNIL (d\xE9claration ou autorisation\
+ \ des traitements de donn\xE9es \xE0 caract\xE8re personnel)"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.1
+ ref_id: 1.1.1.1
+ description: "La mise en \u0153uvre de toute nouvelle fonctionnalit\xE9 (i.e.\
+ \ nouvelle application, nouvelle fonctionnalit\xE9 d\u2019une application\
+ \ existante\u2026) doit \xEAtre analys\xE9e pour d\xE9terminer si elle n\xE9\
+ cessite une modification de la d\xE9claration ou de la demande d\u2019autorisation\
+ \ de la structure.\n\nLe cas \xE9ch\xE9ant, la d\xE9claration ou la demande\
+ \ d\u2019autorisation de la structure doit \xEAtre mise \xE0 jour pour int\xE9\
+ grer cette \xE9volution des traitements de donn\xE9es \xE0 caract\xE8re personnel\
+ \ mise en \u0153uvre par la structure."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.1
+ ref_id: 1.1.1.2
+ description: "La d\xE9claration ou la demande d\u2019autorisation de la structure\
+ \ doit \xEAtre r\xE9guli\xE8rement revue pour v\xE9rifier qu\u2019elle d\xE9\
+ crit correctement les traitements de donn\xE9es \xE0 caract\xE8re personnel\
+ \ mis en \u0153uvre au sein de la structure.\n\nLe cas \xE9ch\xE9ant, la d\xE9\
+ claration ou la demande d\u2019autorisation doit \xEAtre mise \xE0 jour pour\
+ \ refl\xE9ter l\u2019ensemble des traitements de donn\xE9es \xE0 caract\xE8\
+ re personnel.\n\nLors de la premi\xE8re mise en \u0153uvre de la PSSI, la\
+ \ r\xE8gle 1.1.1.2 doit \xEAtre mise en application imm\xE9diatement afin\
+ \ de s\u2019assurer que l\u2019ensemble des traitements existants a fait l\u2019\
+ objet des formalit\xE9s pr\xE9alables adapt\xE9es aux caract\xE9ristiques\
+ \ du traitement."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1
+ ref_id: 1.1.2
+ name: "Sensibiliser le personnel aux enjeux concernant les donn\xE9es \xE0 caract\xE8\
+ re personnel"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.2
+ ref_id: 1.1.2.1
+ description: "Toute personne amen\xE9e \xE0 avoir acc\xE8s \xE0 des donn\xE9\
+ es \xE0 caract\xE8re personnel doit \xEAtre sensibilis\xE9e \xE0 la protection\
+ \ de ces donn\xE9es et en particulier \xE0 leur confidentialit\xE9. \n\nCette\
+ \ sensibilisation doit intervenir dans les 6 mois de la prise de fonction\
+ \ de la personne et peut \xEAtre rafraichie r\xE9guli\xE8rement par des \xAB\
+ \ piqures de rappel \xBB.\n\nCette sensibilisation peut prendre la forme d\u2019\
+ une courte session de sensibilisation, de la diffusion d\u2019une documentation\
+ \ didactique, de la diffusion d\u2019une note de service rappelant les enjeux\
+ \ de la protection des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel\
+ \ et/ou \xEAtre int\xE9gr\xE9e dans la description des proc\xE9dures d\u2019\
+ achat de prestations de service.\n\nLa PSSI doit indiquer la/les forme(s)\
+ \ que prend cette sensibilisation en compl\xE9tant la r\xE8gle 1.1.2.1."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.2
+ ref_id: 1.1.2.2
+ description: "L\u2019ensemble du personnel doit \xEAtre inform\xE9 de la collecte\
+ \ de traces, par le SI, de tout acc\xE8s \xE0 des donn\xE9es \xE0 caract\xE8\
+ re personnel et de la possible mise en \u0153uvre de contr\xF4les a posteriori\
+ \ sur les acc\xE8s trac\xE9s et sur leur bien fond\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.2
+ ref_id: 1.1.2.3
+ description: "Toute personne en charge de l\u2019achat des applications, de\
+ \ la d\xE9finition du param\xE9trage des applications et/ou de la d\xE9finition\
+ \ des sp\xE9cifications fonctionnelles des applications doit \xEAtre sensibilis\xE9\
+ e aux notions de pertinence et de proportionnalit\xE9 des donn\xE9es pour\
+ \ qu\u2019elle pense \xE0 limiter les donn\xE9es collect\xE9es aux donn\xE9\
+ es strictement n\xE9cessaires aux traitements mis en \u0153uvre.\n\nCette\
+ \ sensibilisation doit intervenir dans les 6 mois de la prise de fonction\
+ \ de la personne et peut \xEAtre rafraichie r\xE9guli\xE8rement par des \xAB\
+ \ piqures de rappel \xBB.\n\nCette sensibilisation peut prendre la forme d\u2019\
+ une courte session de sensibilisation, de la diffusion d\u2019une documentation\
+ \ didactique, de la diffusion d\u2019une note de service rappelant les enjeux\
+ \ de la protection des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel\
+ \ et/ou \xEAtre int\xE9gr\xE9e dans la description des proc\xE9dures d\u2019\
+ achat, de param\xE9trage et de sp\xE9cification fonctionnelle des applications.\n\
+ \nLa PSSI doit indiquer la/les forme(s) que prend cette sensibilisation en\
+ \ compl\xE9tant la r\xE8gle 1.1.2.2."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1
+ ref_id: 1.1.3
+ name: Respecter les droits des personnes
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3
+ ref_id: 1.1.3.1
+ description: "Des proc\xE9dures doivent \xEAtre mises en \u0153uvre pour permettre,\
+ \ pour les donn\xE9es \xE0 caract\xE8re personnel trait\xE9es par la structure\
+ \ :\n\n- l\u2019opposition d\u2019une personne \xE0 la collecte de donn\xE9\
+ es \xE0 caract\xE8re personnel la concernant ;\n- l\u2019acc\xE8s d\u2019\
+ une personne aux donn\xE9es \xE0 caract\xE8re personnel la concernant ;\n\
+ - la rectification par une personne des donn\xE9es \xE0 caract\xE8re personnel\
+ \ la concernant."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3
+ ref_id: 1.1.3.2
+ description: "Tout personnel amen\xE9 \xE0 \xEAtre en contact avec des personnes\
+ \ dont des donn\xE9es \xE0 caract\xE8re personnel sont trait\xE9es par la\
+ \ structure doit \xEAtre inform\xE9 des proc\xE9dures mentionn\xE9es dans\
+ \ la r\xE8gle 1.1.3.1."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3
+ ref_id: 1.1.3.3
+ description: "Des \xE9l\xE9ments d\u2019information \xE0 destination des personnes\
+ \ concern\xE9es sur leurs droits d\u2019opposition, d\u2019acc\xE8s et de\
+ \ rectification et la mani\xE8re d\u2019exercer ces droits doivent \xEAtre\
+ \ r\xE9dig\xE9s et maintenus \xE0 jour."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.1.3
+ ref_id: 1.1.3.4
+ description: "Les proc\xE9dures internes impliquant la collecte et le traitement\
+ \ de donn\xE9es \xE0 caract\xE8re personnel doivent pr\xE9voir une \xE9tape\
+ \ d\u2019information des personnes concern\xE9es bas\xE9e sur les \xE9l\xE9\
+ ments d\u2019information mentionn\xE9s dans la r\xE8gle 1.1.3.3.\n\nL\u2019\
+ information peut \xEAtre r\xE9alis\xE9e oralement, par la diffusion d\u2019\
+ une documentation dans laquelle le sujet est abord\xE9 (ex. livret d\u2019\
+ accueil usager) et/ou par indication de la pr\xE9sence d\u2019\xE9l\xE9ments\
+ \ explicatifs sur le site web de la structure.\n\nLa PSSI doit indiquer la/les\
+ \ formes(s) que prend cette information en compl\xE9tant la r\xE8gle 1.1.3.4."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1
+ ref_id: '1.2'
+ name: "Respecter les r\xE8gles d\u2019\xE9change et de partage de donn\xE9es\
+ \ de sant\xE9 \xE0 caract\xE8re personnel"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2
+ ref_id: 1.2.1
+ name: "Informer l\u2019usager et recueillir son consentement"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.1
+ ref_id: 1.2.1.1
+ description: "Des \xE9l\xE9ments d\u2019information \xE0 destination des usagers\
+ \ sur les conditions de partage et d\u2019\xE9change de leurs donn\xE9es de\
+ \ sant\xE9 \xE0 caract\xE8re personnel dans le cadre de leur prise en charge\
+ \ doivent \xEAtre r\xE9dig\xE9s et maintenus \xE0 jour."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.1
+ ref_id: 1.2.1.2
+ description: "La proc\xE9dure de prise en charge des usagers doit \xEAtre formalis\xE9\
+ e et document\xE9e et int\xE9grer une \xE9tape d\u2019information de l\u2019\
+ usager fond\xE9e sur les \xE9l\xE9ments d\u2019information des r\xE8gles 1.2.1.1\
+ \ et 1.1.3.3 ainsi qu\u2019une \xE9tape de recueil du consentement de l\u2019\
+ usager quel qu\u2019en soit le moyen (\xE9crit ou d\xE9mat\xE9rialis\xE9).\n\
+ \nL\u2019information peut \xEAtre r\xE9alis\xE9e oralement ou par la diffusion\
+ \ d\u2019une documentation dans laquelle le sujet est abord\xE9. Elle peut\
+ \ \xE9ventuellement \xEAtre compl\xE9t\xE9e par des affiches d\u2019information\
+ \ dans les locaux.\n\nEn particulier, pour les \xE9tablissements de sant\xE9\
+ , ces \xE9l\xE9ments doivent figurer dans le livret d\u2019accueil tel que\
+ \ d\xE9crit dans l\u2019article R1112-9 du code de la sant\xE9 publique.\n\
+ \nLa PSSI doit indiquer la/les forme(s) que prend cette sensibilisation en\
+ \ compl\xE9tant la r\xE8gle 1.2.1.2."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2
+ ref_id: 1.2.2
+ name: "Limiter l\u2019acc\xE8s aux donn\xE9es de sant\xE9 \xE0 caract\xE8re\
+ \ personnel aux personnes participant \xE0 la prise en charge"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.2
+ ref_id: 1.2.2.1
+ description: "Les personnels participant \xE0 la prise en charge sanitaire des\
+ \ usagers doivent \xEAtre form\xE9s aux conditions de partage et d\u2019\xE9\
+ change des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel en particulier\
+ \ avec l\u2019ext\xE9rieur.\n\nCette formation peut prendre la forme d\u2019\
+ une courte session de formation et/ou de la diffusion d\u2019une documentation\
+ \ didactique d\u2019auto-formation, bas\xE9es sur les \xE9l\xE9ments d\u2019\
+ information d\xE9finis pour ce sujet.\n\nLa PSSI doit indiquer la forme que\
+ \ prend cette formation en compl\xE9tant la r\xE8gle 1.2.3.1."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.2.2
+ ref_id: 1.2.2.2
+ description: "Une liste de professionnels de sant\xE9 d\xFBment habilit\xE9\
+ s \xE0 intervenir de fa\xE7on exceptionnelle sur des donn\xE9es de sant\xE9\
+ \ \xE0 caract\xE8re personnel en dehors de la prise en charge sanitaire de\
+ \ l\u2019usager (par exemple dans le cadre de la r\xE9solution d\u2019incident)\
+ \ doit \xEAtre \xE9labor\xE9e et maintenue \xE0 jour."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1
+ ref_id: '1.3'
+ name: "R\xE9pondre aux obligations de conservation et de restitution des donn\xE9\
+ es"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3
+ ref_id: 1.3.1
+ name: "Fixer une dur\xE9e de conservation des donn\xE9es \xE0 caract\xE8re personnel"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.1
+ ref_id: 1.3.1.1
+ description: "Pour chaque type de donn\xE9e \xE0 caract\xE8re personnel trait\xE9\
+ e, une dur\xE9e de conservation doit \xEAtre clairement \xE9tablie, document\xE9\
+ e dans une annexe de la PSSI (annexe 6) et indiqu\xE9e dans les d\xE9clarations\
+ \ CNIL correspondantes (cf. exigence T1-1.1)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.1
+ ref_id: 1.3.1.2
+ description: "Les r\xE8gles et proc\xE9dures de gestion et d\u2019archivage\
+ \ des donn\xE9es doivent tenir compte de la dur\xE9e de conservation des donn\xE9\
+ es \xE0 caract\xE8re personnel."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3
+ ref_id: 1.3.2
+ name: "Respecter les r\xE8gles relatives \xE0 l\u2019h\xE9bergement de donn\xE9\
+ es de sant\xE9 \xE0 caract\xE8re personnel"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.2
+ ref_id: 1.3.2.1
+ description: "Tout transfert de donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel\
+ \ \xE0 un organisme tiers est soumis \xE0 une contractualisation pr\xE9alable\
+ \ avec ce tiers pour l\u2019h\xE9bergement de ces donn\xE9es. Cat\xE9gorie\
+ \ de personne "
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.3.2
+ ref_id: 1.3.2.2
+ description: "Toute contractualisation avec un tiers pour l\u2019h\xE9bergement\
+ \ de donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel requiert que ce tiers\
+ \ d\xE9tienne un agr\xE9ment reconnu par l\u2019Etat Fran\xE7ais en tant qu'h\xE9\
+ bergeur de donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel, valide \xE0\
+ \ la date de signature du contrat. Le tiers doit transmettre toute r\xE9f\xE9\
+ rence utile permettant la v\xE9rification de la validit\xE9 et de la date\
+ \ d\u2019expiration de cet agr\xE9ment. Le contrat doit int\xE9grer des dispositions\
+ \ \xE0 activer en cas de non renouvellement de l\u2019agr\xE9ment pendant\
+ \ la dur\xE9e du contrat"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.4
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1
+ ref_id: '1.4'
+ name: "Veille r\xE9glementaire"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.4.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.4
+ ref_id: 1.4.1
+ name: "Assurer une veille r\xE9glementaire des dispositions applicables \xE0\
+ \ la structure en mati\xE8re de SSI"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.4.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:1.4.1
+ ref_id: 1.4.1.1
+ description: "Une veille r\xE8glementaire doit \xEAtre r\xE9alis\xE9e avec une\
+ \ fr\xE9quence mensuelle au minimum. Elle concerne les th\xE9matiques relatives\
+ \ \xE0 la s\xE9curit\xE9 des syst\xE8mes d\u2019information de sant\xE9, qui\
+ \ couvre au moins : o La s\xE9curit\xE9 des syst\xE8mes d\u2019information\
+ \ ;\n\n- Le traitement des donn\xE9es \xE0 caract\xE8re personnel ;\n- Les\
+ \ conditions d\u2019\xE9changes et de partage de donn\xE9es de sant\xE9 \xE0\
+ \ caract\xE8re personnel ;\n- Les conditions de conservation des donn\xE9\
+ es de sant\xE9 \xE0 caract\xE8re personnel ; \n\nLes r\xE9f\xE9rentiels de\
+ \ s\xE9curit\xE9 des SI applicables aux secteurs sanitaire et m\xE9dico-social\
+ \ en particulier ceux vis\xE9s par l\u2019article R. 1110-1 du code de la\
+ \ sant\xE9 publique issu du d\xE9cret no 2007-960 du 15 mai 2007.\n\nCette\
+ \ veille peut \xEAtre r\xE9alis\xE9e par des ressources internes \xE0 la structure\
+ \ ou par l\u2019interm\xE9diaire d\u2019une f\xE9d\xE9ration \xE0 laquelle\
+ \ est rattach\xE9e la structure, aupr\xE8s de laquelle se tiennent r\xE9guli\xE8\
+ rement inform\xE9es les personnes concern\xE9es de la structure. La PSSI doit\
+ \ indiquer la forme que prend cette veille en compl\xE9tant la r\xE8gle 1.4.1.1."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2
+ assessable: false
+ depth: 1
+ ref_id: '2'
+ name: "Promouvoir et organiser la s\xE9curit\xE9"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2
+ ref_id: '2.1'
+ name: "D\xE9finir une organisation pour la mise en \u0153uvre de la SSI au sein\
+ \ de la structure"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1
+ ref_id: 2.1.1
+ name: "Identifier les acteurs de la politique de s\xE9curit\xE9 de la structure\
+ \ et leurs activit\xE9s"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1
+ ref_id: 2.1.1.1
+ description: "Un r\xE9f\xE9rent SSI doit \xEAtre d\xE9sign\xE9. Le r\xE9f\xE9\
+ rent SSI est responsable de l\u2019\xE9laboration de la PSSI, de l\u2019organisation\
+ \ de sa mise en \u0153uvre via le Plan d\u2019action SSI et du suivi de son\
+ \ application. \n\nLa fonction de r\xE9f\xE9rent SSI n\u2019est pas exclusive,\
+ \ elle peut \xEAtre combin\xE9e avec d\u2019autres fonctions, notamment des\
+ \ fonctions sans rapport avec la s\xE9curit\xE9 des syst\xE8mes d\u2019information\
+ \ si les ressources humaines disponibles n\xE9cessitent un cumul de fonction.\
+ \ \n\nEn particulier, elle peut \xEAtre combin\xE9e avec la fonction de CIL\
+ \ si la structure dispose de ce type de fonction et/ou avec la fonction de\
+ \ r\xE9f\xE9rent incident SSI identifi\xE9e dans la r\xE8gle 2.1.1.7. \n\n\
+ Le nom du r\xE9f\xE9rent s\xE9curit\xE9 doit \xEAtre indiqu\xE9 dans le tableau\
+ \ de l\u2019annexe 1. Il est souhaitable que cette fonction soit assum\xE9\
+ e par un employ\xE9 de la structure et non par un prestataire. \n\nLa personne\
+ \ qui assume le r\xF4le de r\xE9f\xE9rent SSI doit \xEAtre form\xE9e \xE0\
+ \ la s\xE9curit\xE9 des syst\xE8mes d\u2019information. Au minimum, elle doit\
+ \ suivre le module d\u2019autoformation \xAB Principes essentiels de la s\xE9\
+ curit\xE9 informatique \xBB et effectuer le test associ\xE9, propos\xE9s sur\
+ \ le site d\xE9di\xE9 de l\u2019Agence Nationale de la S\xE9curit\xE9 des\
+ \ Syst\xE8mes d\u2019Information, www.securite-informatique.gouv.fr"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1
+ ref_id: 2.1.1.2
+ description: "Le r\xE9f\xE9rent SSI doit piloter la r\xE9daction et maintenir\
+ \ \xE0 jour la PSSI de la structure. En particulier, il doit int\xE9grer les\
+ \ nouvelles mesures de s\xE9curit\xE9 \xE9ventuelles valid\xE9es dans le cadre\
+ \ de la r\xE8gle 2.1.2.2"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1
+ ref_id: 2.1.1.3
+ description: "Le r\xE9f\xE9rent SSI doit coordonner l\u2019\xE9laboration des\
+ \ Plan d\u2019action SSI successifs de la structure selon les principes d\xE9\
+ crits dans le guide d\u2019\xE9laboration et de mise en \u0153uvre d\u2019\
+ une PSSI [R\xE9f. n\xB09]. En particulier, il doit int\xE9grer les \xE9ventuelles\
+ \ nouvelles mesures de s\xE9curit\xE9 valid\xE9es dans le cadre de la r\xE8\
+ gle 2.1.2.2 et identifi\xE9es comme devant \xEAtre mises en \u0153uvre dans\
+ \ le Plan d\u2019action SSI courant."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1
+ ref_id: 2.1.1.4
+ description: "Le r\xE9f\xE9rent SSI doit suivre la mise en \u0153uvre des Plan\
+ \ d\u2019action SSI successifs et en pr\xE9senter l\u2019avancement lors des\
+ \ r\xE9unions identifi\xE9es dans le th\xE8me T2-1.2."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1
+ ref_id: 2.1.1.5
+ description: "Le r\xE9f\xE9rent SSI doit r\xE9guli\xE8rement contr\xF4ler que\
+ \ les r\xE8gles mises en \u0153uvre dans le cadre des Plan d\u2019action SSI\
+ \ successifs sont toujours respect\xE9es."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1
+ ref_id: 2.1.1.6
+ description: "Le r\xE9f\xE9rent SSI doit piloter les actions de sensibilisation\
+ \ et de formation \xE0 la s\xE9curit\xE9 d\xE9crites dans le th\xE8me T2-2"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1
+ ref_id: 2.1.1.7
+ description: "Un r\xE9f\xE9rent incident SSI doit \xEAtre d\xE9sign\xE9. Le\
+ \ r\xE9f\xE9rent incident SSI est responsable de la gestion des incidents\
+ \ qui mettent \xE0 mal la s\xE9curit\xE9 du SI ou qui r\xE9v\xE8lent une d\xE9\
+ faillance des mesures SSI, de leur r\xE9solution ainsi que des retours d\u2019\
+ exp\xE9rience qui peuvent en \xEAtre d\xE9duits. Les t\xE2ches du r\xE9f\xE9\
+ rent incident SSI sont sp\xE9cifi\xE9es par les r\xE8gles du th\xE8me 7-3.\n\
+ \nLa fonction de r\xE9f\xE9rent incident SSI n\u2019est pas exclusive, elle\
+ \ peut \xEAtre combin\xE9e avec d\u2019autres fonctions. \n\nEn particulier,\
+ \ elle peut \xEAtre combin\xE9e avec la fonction de r\xE9f\xE9rent SSI identifi\xE9\
+ \ dans la r\xE8gle 2.1.1.1. \n\nLe nom du r\xE9f\xE9rent incident SSI doit\
+ \ \xEAtre indiqu\xE9 dans le tableau de l\u2019annexe 1. \n\nIl est souhaitable\
+ \ que la fonction r\xE9f\xE9rent incident SSI soit assum\xE9e par une personne\
+ \ avec des connaissances en syst\xE8me d\u2019information. Par ailleurs, cette\
+ \ personne doit \xEAtre sensibilis\xE9e et, si possible, form\xE9e \xE0 la\
+ \ s\xE9curit\xE9 des syst\xE8mes d\u2019information. \n\nAu minimum, elle\
+ \ doit suivre le module d\u2019autoformation \xAB Principes essentiels de\
+ \ la s\xE9curit\xE9 informatique \xBB et effectuer le test associ\xE9, propos\xE9\
+ s sur le site d\xE9di\xE9 de l\u2019Agence Nationale de la S\xE9curit\xE9\
+ \ des Syst\xE8mes d\u2019Information, www.securite-informatique.gouv.fr \n\
+ \nLa fonction r\xE9f\xE9rent incident SSI peut \xEAtre sous- trait\xE9e \xE0\
+ \ un prestataire \xE0 condition que les modalit\xE9s de la prestation permettent\
+ \ la r\xE9solution des incidents de s\xE9curit\xE9 dans un d\xE9lai suffisamment\
+ \ bref pour en limiter les impacts."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1.8
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.1
+ ref_id: 2.1.1.8
+ description: "A chaque r\xE9union identifi\xE9e dans le th\xE8me T2-1.2, le\
+ \ r\xE9f\xE9rent incident SSI doit pr\xE9senter une synth\xE8se des \xE9ventuels\
+ \ incidents qui ont eu lieu depuis la r\xE9union pr\xE9c\xE9dente ainsi que\
+ \ les propositions de mesures \xE9labor\xE9es dans le cadre de la r\xE8gle\
+ \ 7.3.3.2."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1
+ ref_id: 2.1.2
+ name: "Formaliser les remont\xE9es d\u2019informations sur la s\xE9curit\xE9\
+ \ \xE0 la direction"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.2
+ ref_id: 2.1.2.1
+ description: "La s\xE9curit\xE9 doit \xEAtre inscrite \xE0 l\u2019ordre du jour\
+ \ d\u2019une r\xE9union de pilotage r\xE9currente \xE0 laquelle participe\
+ \ la direction de la structure. \n\nLa r\xE9union doit se tenir avec une fr\xE9\
+ quence bimestrielle au minimum. Si c\u2019est adapt\xE9 pour la structure,\
+ \ id\xE9alement, la r\xE9union est la m\xEAme que celle o\xF9 est pr\xE9sent\xE9\
+ \ le suivi des vigilances sanitaires, la d\xE9marche de traitement et les\
+ \ \xE9l\xE9ments pr\xE9sent\xE9s \xE9tant proches. La PSSI doit indiquer la\
+ \ r\xE9union \xE0 l\u2019ordre du jour de laquelle la s\xE9curit\xE9 est inscrite\
+ \ en compl\xE9tant la r\xE8gle 2.1.2.1."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.1.2
+ ref_id: 2.1.2.2
+ description: "Lors des r\xE9unions identifi\xE9es dans la r\xE8gle 2.1.2.1,\
+ \ les \xE9l\xE9ments suivants sont pr\xE9sent\xE9s : \n\n- au lancement d\u2019\
+ un Plan d\u2019action SSI, p\xE9rim\xE8tre du projet ;\n- suivi de la mise\
+ \ en \u0153uvre du Plan d\u2019action SSI ; \n- synth\xE8se des incidents\
+ \ sur la p\xE9riode ; \n- \xE9ventuellement, recommandations de nouvelles\
+ \ mesures de s\xE9curit\xE9, suite au retour d\u2019exp\xE9rience sur les\
+ \ incidents.\n\nLe cas \xE9ch\xE9ant, les d\xE9cisions suivantes sont prises\
+ \ : \n\n- validation du p\xE9rim\xE8tre du Plan d\u2019action SSI lors de\
+ \ son lancement ; \n- d\xE9cision de mise en \u0153uvre ou non des recommandations\
+ \ de nouvelles mesures de s\xE9curit\xE9 et d\u2019int\xE9gration dans le\
+ \ Plan d\u2019action SSI courant ou de planification de mise en \u0153uvre\
+ \ dans un Plan d\u2019action SSI ult\xE9rieur."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2
+ ref_id: '2.2'
+ name: "Faire conna\xEEtre les principes essentiels de s\xE9curit\xE9 informatique"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2
+ ref_id: 2.2.1
+ name: Sensibiliser, former et responsabiliser le personnel
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.1
+ ref_id: 2.2.1.1
+ description: "Une charte d\u2019utilisation des ressources informatiques doit\
+ \ \xEAtre \xE9labor\xE9e et diffus\xE9e \xE0 tout utilisateur du syst\xE8\
+ me d\u2019information.\n\nUn mod\xE8le de charte type d\u2019acc\xE8s et d\u2019\
+ usage du syst\xE8me d\u2019information est disponible dans le document DGOS\
+ \ Programme H\xF4pital Num\xE9rique \u2013 bo\xEEte \xE0 outils pour l\u2019\
+ atteinte des pr\xE9requis [R\xE9f. n\xB03]\n\nDeux autres mod\xE8les de charte\
+ \ sont \xE9galement propos\xE9s dans le corpus documentaire PGSSI- S : l\u2019\
+ un \xE0 destination des utilisateurs [R\xE9f. n\xB013], l\u2019autre sp\xE9\
+ cifiquement \xE0 destination du personnel en charge du SI [R\xE9f. n\xB014]."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.1
+ ref_id: 2.2.1.2
+ description: "Les \xE9l\xE9ments s\xE9curit\xE9 pr\xE9sent\xE9s dans la charte\
+ \ d\u2019utilisation doivent faire l\u2019objet de tr\xE8s courts rappels\
+ \ des r\xE8gles et bonnes pratiques abordant au minimum : \n\n- les principes\
+ \ de s\xE9curisation des mots de passe tels que pr\xE9sent\xE9s dans le th\xE8\
+ me 4-5.1 ; \n- les principes de protection de l\u2019acc\xE8s aux postes de\
+ \ travail tels que pr\xE9sent\xE9s dans le th\xE8me 4-5.2 ; \n- les principes\
+ \ d\u2019alerte du r\xE9f\xE9rent en cas d\u2019incident tels que pr\xE9sent\xE9\
+ s dans le th\xE8me 7-3.2 ; \n- les r\xE8gles d\u2019acc\xE8s aux informations\
+ \ de sant\xE9 \xE0 caract\xE8re personnel telles que pr\xE9sent\xE9es dans\
+ \ le th\xE8me 5-1.1 et en particulier les r\xE8gles d\u2019acc\xE8s aux donn\xE9\
+ es m\xE9dicales \xE0 caract\xE8re personnel. Ces sensibilisations sont int\xE9\
+ gr\xE9es \xE0 des r\xE9unions de type r\xE9union de service avec une fr\xE9\
+ quence biannuelle."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2
+ ref_id: 2.2.2
+ name: "D\xE9cliner les r\xE8gles du guide dans les proc\xE9dures op\xE9rationnelles"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2
+ ref_id: 2.2.2.1
+ description: "Les aspects s\xE9curit\xE9 du SI doivent \xEAtre int\xE9gr\xE9\
+ s aux proc\xE9dures de la structure en tant qu\u2019\xE9tape fonctionnelle\
+ \ au m\xEAme titre que les aspects m\xE9tiers. Une revue initiale des proc\xE9\
+ dures existantes, puis de toute nouvelle proc\xE9dure, doit \xEAtre men\xE9\
+ e dans ce sens."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2
+ ref_id: 2.2.2.2
+ description: "La proc\xE9dure d\u2019embauche doit int\xE9grer les \xE9tapes\
+ \ s\xE9curit\xE9 suivantes : \n\n- remise de la charte d\u2019utilisation\
+ \ des ressources informatiques ; \n- le cas \xE9ch\xE9ant, remise de mat\xE9\
+ riel informatique et signature du registre de prise en charge de mat\xE9riel\
+ \ ; \n- le cas \xE9ch\xE9ant, remise de moyen(s) d\u2019authentification li\xE9\
+ \ \xE0 la/aux fonction(s) (ex. CDE) et des consignes d\u2019utilisation. (ex.\
+ \ notice explicative relative aux conditions g\xE9n\xE9rales d\u2019utilisation\
+ \ des cartes de la famille CPx accessible sur le site esante.gouv.fr) ; \n\
+ - sensibilisation aux probl\xE9matiques et enjeux de la SSI ; \n- formation\
+ \ aux r\xE8gles de gestion des mots de passe et de la s\xE9curit\xE9 des postes\
+ \ de travail telles que pr\xE9sent\xE9es dans les th\xE8mes 4-5.1 et 4-5.2\
+ \ et coordonn\xE9es des personnes \xE0 contacter en cas d\u2019oubli du mot\
+ \ de passe ; \n- pr\xE9sentation des r\xE8gles d\u2019alerte en cas d\u2019\
+ incident telles que pr\xE9sent\xE9es dans le th\xE8me 7-3.2 et des coordonn\xE9\
+ es des personnes \xE0 contacter en cas d\u2019incident ; \n- d\xE9termination\
+ \ du/des profil(s) utilisateur(s) du/de la nouvel(le) embauch\xE9(e) correspondant\
+ \ \xE0 sa/ses fonction(s) tel que pr\xE9sent\xE9 dans le th\xE8me 5-1.1 ;\
+ \ \n- cr\xE9ation du/des compte(s) nominatif(s)8 du/de la nouvel(le) embauch\xE9\
+ (e) dans le syst\xE8me d\u2019information et attribution des droits d\u2019\
+ acc\xE8s correspondant \xE0 son/ses profil(s) utilisateur(s) ; \n- sensibilisation\
+ \ aux aspects s\xE9curit\xE9 telle que pr\xE9sent\xE9e \xE0 la r\xE8gle 2.2.1.2."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2
+ ref_id: 2.2.2.3
+ description: "La proc\xE9dure de prise de fonction lors d\u2019un mouvement\
+ \ interne doit int\xE9grer les \xE9tapes s\xE9curit\xE9 suivantes : \n\n-\
+ \ le cas \xE9ch\xE9ant, restitution et/ou remise de mat\xE9riel informatique\
+ \ et signature du registre de prise en charge de mat\xE9riel ; \n- le cas\
+ \ \xE9ch\xE9ant, restitution et/ou remise de moyen(s) d\u2019authentification\
+ \ li\xE9 \xE0 la/aux fonction(s) (ex. CDE) et des consignes d\u2019utilisation.\
+ \ (ex. notice explicative relative aux conditions g\xE9n\xE9rales d\u2019\
+ utilisation des cartes de la famille CPx accessible sur le site esante.gouv.fr)\
+ \ ; \n- rappel des r\xE8gles de gestion des mots de passe et de la s\xE9curit\xE9\
+ \ des postes de travail telles que pr\xE9sent\xE9es dans les th\xE8mes 4-5.1\
+ \ et 4-5.2 ; \n- rappel des contacts s\xE9curit\xE9 en cas d\u2019incident\
+ \ ; \n- d\xE9termination du/des profil(s) utilisateur(s) correspondant \xE0\
+ \ la/aux fonction(s) prise(s) tel que pr\xE9sent\xE9 dans le th\xE8me 5-1.1\
+ \ ; \n- attribution des droits d\u2019acc\xE8s correspondant au profil(s)\
+ \ utilisateur(s) identifi\xE9(s) ; \n- le cas \xE9ch\xE9ant, cl\xF4ture d\u2019\
+ un compte si les conditions d\u2019attribution de plusieurs comptes pr\xE9\
+ sent\xE9es dans la r\xE8gle 5.2.1.4 ne sont plus remplies suite au mouvement\
+ \ interne."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.2
+ ref_id: 2.2.2.4
+ description: "La proc\xE9dure de d\xE9part (que ce soit d\xE9finitif ou pour\
+ \ mouvement interne) doit int\xE9grer les \xE9tapes s\xE9curit\xE9 suivantes\
+ \ : \n\n- le cas \xE9ch\xE9ant, restitution du mat\xE9riel informatique mis\
+ \ \xE0 disposition et signature du registre de remise de mat\xE9riel ; \n\
+ - le cas \xE9ch\xE9ant, restitution des moyen(s) d\u2019authentification li\xE9\
+ \ \xE0 la/aux fonction(s) (ex. CDE) ; \n- r\xE9siliation des droits d\u2019\
+ acc\xE8s correspondant au/aux profil(s) utilisateur(s) ; \n- en cas de d\xE9\
+ part de la structure, cl\xF4ture du/des compte(s) nominatif(s) du partant.\
+ \ 8 Voir r\xE8gle 5.2.1.4 sur les conditions d\u2019attribution de plusieurs\
+ \ comptes \xE0 un utilisateur."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2
+ ref_id: 2.2.3
+ name: "V\xE9rifier la bonne mise en \u0153uvre des r\xE8gles"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.3
+ ref_id: 2.2.3.1
+ description: "Le r\xE9f\xE9rent SSI doit r\xE9guli\xE8rement s\u2019assurer\
+ \ de l\u2019application des r\xE8gles qui ont \xE9t\xE9 mises en place dans\
+ \ le cadre des Plan d\u2019action SSI successifs. \n\nCette v\xE9rification\
+ \ se d\xE9roule sous la forme de contr\xF4les ponctuels organis\xE9s tous\
+ \ les deux mois et portant un \xE9chantillon des r\xE8gles mises en \u0153\
+ uvre dans le cadre des Plan d\u2019action SSI mis en \u0153uvre. Les r\xE8\
+ gles objet du contr\xF4le sont \xE0 choisir en fonction : \n\n- du d\xE9lai\
+ \ \xE9coul\xE9 depuis leur mise en \u0153uvre ou leur derni\xE8re v\xE9rification\
+ \ ; \n- du niveau de priorit\xE9 attribu\xE9 lors de leur mise en \u0153uvre\
+ \ ; \n- d\u2019\xE9ventuels incidents qui pourraient indiquer un d\xE9faut\
+ \ dans leur application."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.3.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.3
+ ref_id: 2.2.3.2
+ description: "Pour chaque r\xE8gle, le contr\xF4le s\u2019axe sur les aspects\
+ \ suivants : \n\n- l\u2019int\xE9gration des \xE9l\xE9ments de la r\xE8gle\
+ \ dans les proc\xE9dures document\xE9es dans le domaine ; \n- le cas \xE9\
+ ch\xE9ant, le r\xE9sultat de l\u2019application de la r\xE8gle (ex. analyse\
+ \ des contrats de t\xE9l\xE9maintenance pour les r\xE8gles du th\xE8me 6-1,\
+ \ pr\xE9sence effective et efficacit\xE9 du cloisonnement r\xE9seau pour les\
+ \ r\xE8gles du th\xE8me 4-2\u2026)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.3.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:2.2.3
+ ref_id: 2.2.3.3
+ description: "La revue des droits d\u2019acc\xE8s mis en \u0153uvre selon les\
+ \ principes pr\xE9sent\xE9s dans le th\xE8me 5-1.3 doit \xEAtre int\xE9gr\xE9\
+ e au programme d\u2019au moins une revue sur trois (i.e. les droits mis en\
+ \ \u0153uvre doivent \xEAtre v\xE9rifi\xE9s au moins deux fois par an)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3
+ assessable: false
+ depth: 1
+ ref_id: '3'
+ name: "Assurer la s\xE9curit\xE9 physique des \xE9quipements informatiques du\
+ \ SI"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3
+ ref_id: '3.1'
+ name: "Ma\xEEtriser l\u2019acc\xE8s aux \xE9quipements du SI qui sont n\xE9\
+ cessaires \xE0 l\u2019activit\xE9 de la structure"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1
+ ref_id: 3.1.1
+ name: "Assurer la protection physique des \xE9quipements informatiques d\u2019\
+ infrastructure du SI, qui contiennent des donn\xE9es de sant\xE9 \xE0 caract\xE8\
+ re personnel"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1
+ ref_id: 3.1.1.1
+ description: "Les dispositifs qui participent au traitement de donn\xE9es de\
+ \ sant\xE9 \xE0 caract\xE8re personnel : \n\n- serveurs, \n- syst\xE8mes de\
+ \ stockage de donn\xE9es, \n- syst\xE8mes de sauvegarde\n\nou qui fournissent\
+ \ les infrastructures r\xE9seau et s\xE9curit\xE9 utilis\xE9es par ces dispositifs\
+ \ : \n\n- routeurs, commutateurs, hubs, \u2026 \n- pare-feux, proxies, passerelles\
+ \ antivirus\u2026 \n- serveur de s\xE9curit\xE9 (authentification\u2026)\n\
+ \ndoivent \xEAtre h\xE9berg\xE9s : \n\n- soit dans des locaux dont l\u2019\
+ acc\xE8s est s\xE9curis\xE9 ; \n- soit dans des baies informatiques dont l\u2019\
+ acc\xE8s est s\xE9curis\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1
+ ref_id: 3.1.1.2
+ description: "La s\xE9curisation de l\u2019acc\xE8s \xE0 un local informatique\
+ \ doit s\u2019appuyer sur : \n\n- le choix d\u2019un local pr\xE9sentant le\
+ \ moins d\u2019ouvertures possibles sur l\u2019ext\xE9rieur ; \n- la mise\
+ \ en place de barreaux aux fen\xEAtres et selon la localisation de la salle\
+ \ (cas notamment des salles en rez-de-chauss\xE9e avec fen\xEAtre sur lieu\
+ \ public), l\u2019utilisation de grilles de protection ou de verre renforc\xE9\
+ \ contre les projectiles (pierres, \u2026); \n- la mise en \u0153uvre d\u2019\
+ un contr\xF4le d\u2019acc\xE8s au local adapt\xE9 \xE0 la fr\xE9quence des\
+ \ interventions du personnel (par exemple, fermeture par cl\xE9 des locaux\
+ \ techniques d\u2019\xE9tage, porte \xE0 lecteur de badge, ou \xE0 d\xE9faut\
+ \ \xE0 code, pour le local informatique plus fr\xE9quemment visit\xE9) ; \n\
+ - la mise en place d\u2019alarme, voire d\u2019enregistreur vid\xE9o, selon\
+ \ les enjeux identifi\xE9s par l\u2019analyse de risque."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1
+ ref_id: 3.1.1.3
+ description: "La s\xE9curisation d\u2019une baie informatique doit s\u2019appuyer\
+ \ sur : \n\n- l\u2019utilisation d\u2019une baie informatique professionnelle\
+ \ pouvant \xEAtre int\xE9gralement ferm\xE9e et pouvant \xEAtre ouverte en\
+ \ face avant comme en face arri\xE8re ; \n- l\u2019int\xE9gration dans la\
+ \ m\xEAme baie de tout \xE9cran, clavier, souris ou autre p\xE9riph\xE9rique\
+ \ n\xE9cessaire \xE0 l\u2019administration des \xE9quipements \xE0 s\xE9curiser\
+ \ ; \n- la mise en \u0153uvre d\u2019un syst\xE8me de fermeture command\xE9\
+ \ par lecteur de badge, ou \xE0 d\xE9faut \xE0 code ou \xE0 cl\xE9 ; \n- si\
+ \ la baie est assez l\xE9g\xE8re pour \xEAtre vol\xE9e, une fixation fiable\
+ \ de la baie au mur ou au sol ; \n- la mise en place d\u2019alarme, recommand\xE9\
+ e, voire d\u2019enregistreur vid\xE9o, selon les enjeux identifi\xE9s par\
+ \ l\u2019analyse des risques."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1
+ ref_id: 3.1.1.4
+ description: "Une gestion stricte des personnes autoris\xE9es \xE0 acc\xE9der\
+ \ au local ou \xE0 la baie s\xE9curis\xE9e doit \xEAtre organis\xE9e : \n\n\
+ - la liste des personnes autoris\xE9es doit \xEAtre \xE9tablie, maintenue\
+ \ \xE0 jour et valid\xE9e par les responsables des traitements concern\xE9\
+ s ; Elle doit \xEAtre revue au minimum une fois par an ; \n- les moyens d\u2019\
+ acc\xE8s utilis\xE9s doivent \xEAtre contr\xF4l\xE9s (attribution nominative\
+ \ des cl\xE9s, des codes de porte) et g\xE9r\xE9s (renouvellement au moins\
+ \ semestriel des codes, ainsi que lors de sortie de personnels de la liste\
+ \ des personnes autoris\xE9es) ; \n- une proc\xE9dure pour l\u2019acc\xE8\
+ s accompagn\xE9 et ponctuel de personnes sans autorisation permanente (prestataire\
+ \ externe, personnel des services g\xE9n\xE9raux\u2026) doit \xEAtre \xE9\
+ tablie ;"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1
+ ref_id: 3.1.1.5
+ description: "Le local s\xE9curis\xE9, ou le local qui h\xE9berge les baies\
+ \ s\xE9curis\xE9es, doit \xEAtre choisi ou am\xE9nag\xE9 pour respecter les\
+ \ conditions n\xE9cessaires au bon fonctionnement des \xE9quipements : \n\n\
+ - temp\xE9rature (par a\xE9ration et/ou mise en \u0153uvre de climatisation);\
+ \ \n- hygrom\xE9trie ; \n- absence de poussi\xE8re excessive ; \n- absence\
+ \ de risque d\u2019inondation ou d\u2019incendie induit par le passage de\
+ \ conduites ou aggrav\xE9 par la proximit\xE9 avec d\u2019autres locaux qui\
+ \ pr\xE9sentent ces risques ; \n- absence de rayonnements \xE9lectromagn\xE9\
+ tiques provoqu\xE9s par la proximit\xE9 de machines \xE9lectriques puissantes\
+ \ ou de certains \xE9quipements m\xE9dicaux."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1
+ ref_id: 3.1.1.6
+ description: "Le local s\xE9curis\xE9, ou le local qui h\xE9berge les baies\
+ \ s\xE9curis\xE9es, doit disposer d\u2019une alimentation \xE9lectrique :\
+ \ \n\n- aux normes en ce qui concerne la protection des personnes et des \xE9\
+ quipements ; \n- de capacit\xE9 suffisante au regard des \xE9quipements connect\xE9\
+ s ; Un inventaire des consommations doit \xEAtre maintenu et v\xE9rifi\xE9\
+ \ avant ajout ou remplacement d\u2019\xE9quipement ; \n- r\xE9gul\xE9e et\
+ \ prot\xE9g\xE9e contre les surtensions ; Un soin particulier doit \xEAtre\
+ \ apport\xE9 \xE0 ce point dans les zones g\xE9ographiques o\xF9 les orages\
+ \ sont fr\xE9quents ; \n- maintenue en cas de coupure de l\u2019alimentation\
+ \ secteur \xE0 l\u2019aide d\u2019onduleurs, voire de g\xE9n\xE9rateur \xE9\
+ lectrique, au minimum le temps n\xE9cessaire \xE0 l\u2019arr\xEAt des \xE9\
+ quipements (qui doit \xEAtre automatis\xE9), voire plus selon les exigences\
+ \ de disponibilit\xE9 des syst\xE8mes h\xE9berg\xE9s. Le bon fonctionnement\
+ \ de ces \xE9quipements de secours et de leur activation en cas de coupure\
+ \ de l\u2019alimentation secteur doit \xEAtre v\xE9rifi\xE9 r\xE9guli\xE8\
+ rement et donner lieu \xE0 un suivi formalis\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.1
+ ref_id: 3.1.1.7
+ description: "Dans la mesure du possible, cette alimentation \xE9lectrique secourue\
+ \ doit \xEAtre constitu\xE9e d\u2019au moins un circuit \xE9lectrique sp\xE9\
+ cifique, distinct de celui \xE9ventuellement utilis\xE9 pour les postes de\
+ \ travail et sur lequel n\u2019est connect\xE9 aucun \xE9quipement non informatique\
+ \ fortement consommateur (radiateur \xE9lectrique, bouilloire\u2026) ou susceptible\
+ \ de provoquer des perturbations \xE9lectriques. De tels \xE9quipements ne\
+ \ doivent pas \xEAtre branch\xE9s sur le circuit \xE9lectrique r\xE9gul\xE9\
+ \ et secouru, quand ce circuit est disponible."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1
+ ref_id: 3.1.2
+ name: "Assurer la protection physique des postes de travail, qui contiennent\
+ \ des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2
+ ref_id: 3.1.2.1
+ description: "Les postes de travail doivent, autant que possible, \xEAtre situ\xE9\
+ s hors de la zone de circulation du public. Dans tous les cas, ils doivent\
+ \ \xEAtre positionn\xE9s afin d\u2019interdire un acc\xE8s direct au poste\
+ \ par le public (usager, accompagnant\u2026)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2
+ ref_id: 3.1.2.2
+ description: "Les \xE9crans des postes de travail doivent \xEAtre orient\xE9\
+ s de telle sorte que les personnes non autoris\xE9es ne puissent pas lire\
+ \ ce qu\u2019ils affichent. Les possibilit\xE9s de visibilit\xE9 depuis l\u2019\
+ arri\xE8re de l\u2019utilisateur (fen\xEAtres, cloisons transparentes,\u2026\
+ ) doivent \xEAtre prises en compte. Si n\xE9cessaire, des filtres installables\
+ \ sur l\u2019\xE9cran doivent \xEAtre mis en place afin d\u2019en r\xE9duire\
+ \ l\u2019angle de visibilit\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2
+ ref_id: 3.1.2.3
+ description: "Les ordinateurs portables et autres terminaux l\xE9gers (tablettes)\
+ \ doivent \xEAtre attach\xE9s \xE0 un point fixe ou lourd (bureau) en l\u2019\
+ absence de leur utilisateur. Il doit \xEAtre pris soin de choisir un point\
+ \ d\u2019accroche fiable, duquel l\u2019attache ne peut \xEAtre retir\xE9\
+ e simplement. A d\xE9faut, ils doivent \xEAtre syst\xE9matiquement rang\xE9\
+ s dans un placard ou un coffre, ferm\xE9 \xE0 cl\xE9 en l\u2019absence de\
+ \ leur utilisateur."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2
+ ref_id: 3.1.2.4
+ description: "Les postes de travail doivent disposer d\u2019une alimentation\
+ \ \xE9lectrique : \n\n- aux normes en ce qui concerne la protection des personnes\
+ \ et des \xE9quipements ; \n- de capacit\xE9 suffisante au regard des \xE9\
+ quipements connect\xE9s. Un inventaire des consommations doit \xEAtre maintenu\
+ \ et v\xE9rifi\xE9 avant ajout ou remplacement d\u2019\xE9quipement sur le\
+ \ m\xEAme circuit ; \n- r\xE9gul\xE9e et prot\xE9g\xE9e contre les surtensions\
+ \ ; un soin particulier doit \xEAtre apport\xE9 \xE0 ce point dans les zones\
+ \ g\xE9ographiques o\xF9 les orages sont fr\xE9quents ; \n- maintenue en cas\
+ \ de coupure de l\u2019alimentation secteur \xE0 l\u2019aide d\u2019onduleurs\
+ \ voire de g\xE9n\xE9rateur \xE9lectrique, au minimum le temps n\xE9cessaire\
+ \ \xE0 l\u2019arr\xEAt des postes, voire plus selon les exigences de disponibilit\xE9\
+ \ de l\u2019activit\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2
+ ref_id: 3.1.2.5
+ description: "Dans la mesure du possible, les postes de travail doivent \xEA\
+ tre aliment\xE9s par un circuit \xE9lectrique sp\xE9cifique et sur lequel\
+ \ n\u2019est connect\xE9 aucun \xE9quipement fortement consommateur (radiateur\
+ \ \xE9lectrique, bouilloire\u2026) ou susceptible de provoquer des perturbations\
+ \ \xE9lectriques. De tels \xE9quipements ne doivent pas \xEAtre branch\xE9\
+ s sur le circuit \xE9lectrique r\xE9gul\xE9 et secouru, quand ce circuit est\
+ \ disponible."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.2
+ ref_id: 3.1.2.6
+ description: "Les locaux qui h\xE9bergent les postes de travail ne doivent pas\
+ \ pr\xE9senter de risque particulier du point de vue de l\u2019environnement\
+ \ de travail, qu\u2019il s\u2019agisse de risque de d\xE9g\xE2ts des eaux,\
+ \ d\u2019incendie ou de pollution, d\xE9coulant de leur propre configuration\
+ \ ou de la proximit\xE9 d\u2019autres locaux qui pr\xE9senteraient ces risques."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1
+ ref_id: 3.1.3
+ name: "Assurer la protection physique des \xE9quipements amovibles qui contiennent\
+ \ des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.3
+ ref_id: 3.1.3.1
+ description: "En l\u2019absence de son utilisateur, tout support amovible (disque\
+ \ dur externe, cl\xE9 USB, CD, DVD) de donn\xE9es de sant\xE9 \xE0 caract\xE8\
+ re personnel doit \xEAtre rang\xE9 dans un placard ou coffre ferm\xE9 \xE0\
+ \ cl\xE9 (ou \xE0 code)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.3.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.3
+ ref_id: 3.1.3.2
+ description: "Il est recommand\xE9 de ranger tout support amovible (disque dur\
+ \ externe, cl\xE9 USB, CD, DVD) de donn\xE9es de sant\xE9 \xE0 caract\xE8\
+ re personnel d\xE8s lors qu\u2019il n\u2019est plus utilis\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1
+ ref_id: 3.1.4
+ name: "Assurer la destruction de donn\xE9es lors du transfert de mat\xE9riels\
+ \ informatiques"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.1
+ description: "La destruction de donn\xE9es doit \xEAtre r\xE9alis\xE9e sous\
+ \ la responsabilit\xE9 du responsable du SIS, soit par le personnel de la\
+ \ structure soit par des prestataires techniques externes dans le cadre de\
+ \ contrats.\n\nLes aspects contractuels \xE0 pr\xE9voir en cas de recours\
+ \ \xE0 un prestataire de service pour la destruction des donn\xE9es sont sp\xE9\
+ cifi\xE9s dans la th\xE9matique 6-6.3."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.2
+ description: "Afin de d\xE9finir les responsabilit\xE9s des acteurs impliqu\xE9\
+ s dans le processus de destruction de donn\xE9es, les r\xE8gles de ce guide\
+ \ doivent \xEAtre reprises dans les documents propres \xE0 l\u2019organisation\
+ \ du SI (politique de s\xE9curit\xE9, charte informatique, notes d\u2019organisation,\
+ \ fiches de poste, contrats d\u2019externalisation,\u2026). A titre d\u2019\
+ exemple, les utilisateurs de supports de stockage amovibles sont charg\xE9\
+ s de l\u2019application des r\xE8gles d\u2019effacement lors du transfert\
+ \ de mat\xE9riels, conform\xE9ment \xE0 la charte informatique de la structure."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.3
+ description: "Les interventions techniques doivent \xEAtre r\xE9alis\xE9es selon\
+ \ le type de mat\xE9riel consid\xE9r\xE9. Dans le cas d\u2019un \xE9quipement\
+ \ (ordinateur portable ou fixe, serveur, photocopieur, ordiphone \u2026) comportant\
+ \ plusieurs composants (disque dur, cl\xE9 USB, carte SD, \u2026), chaque\
+ \ composant devra \xEAtre trait\xE9 ind\xE9pendamment selon les r\xE8gles\
+ \ applicables."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.4
+ description: "Les proc\xE9dures de destruction de donn\xE9es lors du transfert\
+ \ de mat\xE9riel informatique doivent \xEAtre formalis\xE9es."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.5
+ description: "Les proc\xE9dures de gestion du cycle de vie des supports de donn\xE9\
+ es num\xE9riques doivent \xEAtre formalis\xE9es et int\xE9grer le traitement\
+ \ des donn\xE9es et leur destruction."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.6
+ description: "Avant toute op\xE9ration d\u2019effacement ou de destruction,\
+ \ il est pr\xE9conis\xE9 de contr\xF4ler que les supports ne contiennent aucune\
+ \ donn\xE9e utile et non sauvegard\xE9e par ailleurs. Dans le cas contraire,\
+ \ il convient de proc\xE9der \xE0 la sauvegarde des donn\xE9es qui sont n\xE9\
+ cessaires."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.7
+ description: "Une fois l'effacement termin\xE9, Il est n\xE9cessaire de v\xE9\
+ rifier que le support ne contient plus de donn\xE9es."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.8
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.8
+ description: "Une fiche d'intervention \xE0 destination du responsable de la\
+ \ gestion des mat\xE9riels, vis\xE9e par le personnel en charge de l'op\xE9\
+ ration, doit permettre de garder une trace des informations suivantes pour\
+ \ les mat\xE9riels du SI : \n- Identification du mat\xE9riel (num\xE9ro de\
+ \ s\xE9rie, adresse MAC \u2026) \n- ancien propri\xE9taire (entit\xE9, ou\
+ \ \xE0 d\xE9faut identit\xE9 personne physique) ; \n- nouveau propri\xE9taire\
+ \ (entit\xE9, identit\xE9 personne physique) ; \n- date de transfert de l\u2019\
+ \xE9quipement ; \n- date et nature de l\u2019intervention d'effacement ou\
+ \ de destruction effectu\xE9e; \n- statut des op\xE9rations r\xE9alis\xE9\
+ es (op\xE9rateur, date, type d\u2019effacement, contr\xF4le de l\u2019effacement,\
+ \ \u2026)"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.9
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.9
+ description: "Les proc\xE9dures de traitement du mat\xE9riel en fin de vie,\
+ \ notamment quand elles impliquent un transfert externe du mat\xE9riel, doivent\
+ \ pr\xE9voir la gestion des supports de donn\xE9es num\xE9riques qui peuvent\
+ \ \xEAtre contenus dans ces mat\xE9riels."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.10
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.10
+ description: "Dans le cas d\u2019un recyclage interne uniquement, un formatage\
+ \ complet doit \xEAtre r\xE9alis\xE9. Ce formatage complet (dit aussi formatage\
+ \ bas niveau ou \xE0 z\xE9ro10) doit \xEAtre appliqu\xE9 sur la totalit\xE9\
+ \ de la ou des partitions du support consid\xE9r\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.11
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.11
+ description: "Dans les autres cas, un effacement renforc\xE9 doit \xEAtre r\xE9\
+ alis\xE9 avec un logiciel utilisant l\u2019algorithme conforme au \xABNISP\
+ \ Operating Manual (DOD 5220.22-M) \xBB, de pr\xE9f\xE9rence un produit qualifi\xE9\
+ \ par l\u2019ANSSI. Cet effacement doit \xEAtre appliqu\xE9 sur la totalit\xE9\
+ \ de la ou des partitions du support consid\xE9r\xE9. La complexit\xE9 de\
+ \ l\u2019effacement sera de : \uF0B7 3 passes minimum pour les supports du\
+ \ type disque dur \uF0B7 1 passe pour les supports flash"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.12
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.12
+ description: "Il est envisageable, en alternative \xE0 la r\xE8gle 3.1.4.11,\
+ \ de proc\xE9der : \n\n- \xE0 la d\xE9magn\xE9tisation des disques durs, ou\
+ \ \xE0 leur destruction physique (broyage, incin\xE9ration \u2026) ;\n- \xE0\
+ \ la destruction physique des supports flash (broyage ou incin\xE9ration)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.13
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.13
+ description: "Les disques optiques doivent \xEAtre d\xE9truits par destruction\
+ \ physique (broyage, incin\xE9ration ou meulage)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.14
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.14
+ description: "Les cartes \xE0 microcircuits (carte SIM, CPS, \u2026) doivent\
+ \ \xEAtre d\xE9truites par broyage du circuit ou incin\xE9ration."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.15
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.15
+ description: "Les donn\xE9es stock\xE9es sur des ordiphones (\xAB smartphones\
+ \ \xBB), t\xE9l\xE9phones portables et tablettes doivent \xEAtre effac\xE9\
+ es \xE0 l\u2019aide des fonctions d\u2019utilisation puis par application\
+ \ de la proc\xE9dure pr\xE9vue par le constructeur pour remise de l\u2019\
+ appareil en configuration de sortie d\u2019usine."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4.16
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:3.1.4
+ ref_id: 3.1.4.16
+ description: "Les donn\xE9es des mat\xE9riels stockant des informations sur\
+ \ des supports autres que ceux-sp\xE9cifi\xE9s ci-dessus (par exemple, dispositifs\
+ \ biom\xE9dicaux, \u2026) doivent \xEAtre effac\xE9es \xE0 l\u2019aide des\
+ \ fonctions d\u2019utilisation puis par application de la proc\xE9dure pr\xE9\
+ vue par le constructeur pour remise de l\u2019appareil en configuration de\
+ \ sortie d\u2019usine."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4
+ assessable: false
+ depth: 1
+ ref_id: '4'
+ name: "Prot\xE9ger les infrastructures informatiques"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4
+ ref_id: '4.1'
+ name: "Ma\xEEtriser le parc informatique"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1
+ ref_id: 4.1.1
+ name: "Identifier physiquement chaque \xE9quipement informatique ou dispositif\
+ \ m\xE9dical connect\xE9 d\xE9tenu par la structure"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1
+ ref_id: 4.1.1.1
+ description: "Un inventaire doit \xEAtre \xE9tabli et comprendre : \n\n- l\u2019\
+ ensemble des \xE9quipements informatiques (serveurs, \xE9quipements r\xE9\
+ seau, postes de travail, tablettes, ordiphones/smartphones, imprimantes, modems,\
+ \ t\xE9l\xE9phones IP et tout autre dispositif connect\xE9 au r\xE9seau :\
+ \ fax, syst\xE8me t\xE9l\xE9phonique, syst\xE8me de visioconf\xE9rence, webcams/cam\xE9\
+ ras vid\xE9o, lecteur de badges, syst\xE8mes d\u2019alarme, dispositifs de\
+ \ gestion technique de b\xE2timent\u2026) ;\n- les dispositifs m\xE9dicaux\
+ \ d\xE9tenus par la structure. \n\nL\u2019inventaire doit inclure les \xE9\
+ quipements appartenant \xE0 la structure, ainsi que ceux qui lui sont lou\xE9\
+ s ou pr\xEAt\xE9s. L\u2019utilisation d\u2019un outil d\u2019inventaire du\
+ \ SI facilite l\u2019\xE9laboration, la maintenance et l\u2019exploitation\
+ \ de l\u2019inventaire."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1
+ ref_id: 4.1.1.2
+ description: "Un identifiant num\xE9rique unique doit \xEAtre attribu\xE9 \xE0\
+ \ chaque \xE9quipement inventori\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1
+ ref_id: 4.1.1.3
+ description: "Chaque \xE9quipement doit \xEAtre marqu\xE9 avec une \xE9tiquette\
+ \ reconnaissable (pour la distinguer d\u2019autres \xE9tiquettes \xE9ventuellement\
+ \ pr\xE9sentes, par exemple par indication du nom ou logo de la structure)\
+ \ qui comporte l\u2019identifiant attribu\xE9 \xE0 l\u2019\xE9quipement dans\
+ \ l\u2019inventaire sous forme alphanum\xE9rique et sous forme de code barre\
+ \ (ou de code barre 2D) pour faciliter les op\xE9rations d\u2019inventaire."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1
+ ref_id: 4.1.1.4
+ description: "Pour chaque \xE9quipement, l\u2019inventaire doit \xE9galement\
+ \ enregistrer au minimum les informations suivantes : \n\n- Identifiant \n\
+ - D\xE9signation \n- Cat\xE9gorie d\u2019\xE9quipement \n- Fournisseur \n\
+ - R\xE9f\xE9rence du mod\xE8le \n- Caract\xE9ristiques principales \n- Localisation\
+ \ \n- Utilisateur ou responsable de l\u2019\xE9quipement \n- Type de d\xE9\
+ tention : propri\xE9t\xE9, location, pr\xEAt \n- Propri\xE9taire de l\u2019\
+ \xE9quipement \n- Supports de donn\xE9es pr\xE9sents dans l\u2019\xE9quipement\
+ \ (ex. : aucun / int\xE9gr\xE9 et inamovible / 2 disques durs / 1 disque dur\
+ \ SSD\u2026)"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.1
+ ref_id: 4.1.1.5
+ description: "L\u2019inventaire doit \xEAtre mis \xE0 jour pour tout d\xE9but\
+ \ ou fin de d\xE9tention d\u2019\xE9quipement qui entre dans le p\xE9rim\xE8\
+ tre de l\u2019inventaire. L\u2019\xE9tiquetage doit \xEAtre r\xE9alis\xE9\
+ \ conjointement \xE0 cette mise \xE0 jour."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1
+ ref_id: 4.1.2
+ name: Identifier les composants logiciels du SI
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.2
+ ref_id: 4.1.2.1
+ description: "Il doit \xEAtre \xE9tabli un inventaire de tout syst\xE8me d\u2019\
+ exploitation et de toute application install\xE9s sur les \xE9quipements r\xE9\
+ f\xE9renc\xE9s dans l\u2019inventaire des \xE9quipements informatiques.\n\n\
+ Chaque structure doit fixer la granularit\xE9 qu\u2019elle souhaite pour cet\
+ \ inventaire, sachant que la gestion d\u2019un inventaire au plus fin de chaque\
+ \ composant logiciel (librairies logicielles notamment) est d\u2019une complexit\xE9\
+ \ \xE9lev\xE9e sans toujours apporter une r\xE9elle plus-value. \n\nUn compl\xE9\
+ ment \xE0 la r\xE8gle de base est propos\xE9 ci-apr\xE8s. La granularit\xE9\
+ \ retenue pour cet inventaire est : \n\n- celle des ensembles logiciels dont\
+ \ le service informatique g\xE8re unitairement l\u2019installation et le maintien\
+ \ \xE0 jour ; \n- celle de l\u2019\xE9quipement lui-m\xEAme quand il s\u2019\
+ agit d\u2019un logiciel embarqu\xE9 et int\xE9gr\xE9 qui assure l\u2019essentiel\
+ \ des fonctions de l\u2019\xE9quipement. \uF040 A titre d\u2019exemples d\u2019\
+ ensembles logiciels qui peuvent \xEAtre consid\xE9r\xE9s unitairement, on\
+ \ peut citer : \n- le syst\xE8me d\u2019exploitation d\u2019un poste de travail\
+ \ ou d\u2019un serveur et les \xE9ventuelles applications install\xE9es par\
+ \ d\xE9faut avec lui ; \n- la suite bureautique dans son ensemble, m\xEAme\
+ \ si celle-ci int\xE8gre plusieurs applications diff\xE9rentes ; \n- le logiciel\
+ \ anti-virus du poste de travail ; \n- le syst\xE8me de base de donn\xE9es\
+ \ et l\u2019application \xE0 laquelle il est d\xE9di\xE9 ; \n- le syst\xE8\
+ me de base de donn\xE9es lui- m\xEAme, s\u2019il est utilis\xE9 de mani\xE8\
+ re ind\xE9pendante par plusieurs applications ; \n- l\u2019ensemble logiciel\
+ \ d\u2019un \xE9quipement m\xE9dical connect\xE9 ; \n- l\u2019ensemble logiciel\
+ \ d\u2019un t\xE9l\xE9phone IP, ou d\u2019une imprimante. \n\nCette appr\xE9\
+ ciation du \xAB bon niveau \xBB de granularit\xE9 reste d\xE9pendante du contexte\
+ \ et rel\xE8ve d\u2019un compromis entre niveau de d\xE9tail et lourdeur de\
+ \ gestion. Dans un premier temps, le choix se positionne g\xE9n\xE9ralement,\
+ \ de mani\xE8re pragmatique, sur la granularit\xE9 de gestion des installations\
+ \ de logiciels et de leur mise \xE0 jour que permettent les industriels."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.2
+ ref_id: 4.1.2.2
+ description: "Pour chaque entr\xE9e de l\u2019inventaire des logiciels, les\
+ \ informations suivantes (au minimum) doivent \xE9galement \xEAtre renseign\xE9\
+ es : \n\n- D\xE9signation \n- Cat\xE9gorie de logiciel \n- Fournisseur \n\
+ - Applications ou composants principaux \n- Caract\xE9ristiques principales\
+ \ \n- Responsable du logiciel \n- Type de d\xE9tention : propri\xE9t\xE9,\
+ \ location, pr\xEAt \n- Propri\xE9taire du logiciel \n- Version \n- Niveau\
+ \ de support assur\xE9 par l\u2019\xE9diteur (ex. pour Windows XP ou Office\
+ \ 2003 : correctifs jusqu\u2019au 8 avril 2014, aucun ensuite) \n- Licence\
+ \ : nombre d\u2019utilisateur, de postes, processeurs,\u2026 autoris\xE9s\
+ \ \n- Date de fin de validit\xE9 de la licence \n- Liste des identifiants\
+ \ d\u2019\xE9quipements sur lesquels l\u2019ensemble logiciel est install\xE9\
+ \n\nCet inventaire peut \xE9galement \xEAtre le bon support pour noter et\
+ \ suivre la date de derni\xE8re v\xE9rification de disponibilit\xE9 de mise\
+ \ \xE0 jour pour chaque logiciel."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1
+ ref_id: 4.1.3
+ name: Identifier les services d'infrastructure du SI
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.3
+ ref_id: 4.1.3.1
+ description: "Les services techniques n\xE9cessaires au bon fonctionnement et\
+ \ \xE0 la s\xE9curit\xE9 du SI doivent \xEAtre identifi\xE9s et document\xE9\
+ s : \n\n- Alimentation \xE9lectrique des \xE9quipements informatiques ; \n\
+ - Climatisation des locaux informatiques ; \n- Dispositifs anti-incendie des\
+ \ locaux informatiques ; \n- Moyens de t\xE9l\xE9communications externes (lignes\
+ \ ou liens d\u2019acc\xE8s aux r\xE9seaux t\xE9l\xE9phoniques, liens d\u2019\
+ acc\xE8s Internet, liaisons de t\xE9l\xE9communications sp\xE9cifiques filaires,\
+ \ radio, laser ou satellitaires\u2026) ; \n- Infrastructure de c\xE2blage\
+ \ t\xE9l\xE9phonique ; \n- Infrastructure de contr\xF4le d\u2019acc\xE8s et\
+ \ d\u2019alarme des locaux informatiques."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.3.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.3
+ ref_id: 4.1.3.2
+ description: "Les services informatiques d\u2019infrastructure n\xE9cessaires\
+ \ au bon fonctionnement et \xE0 la s\xE9curit\xE9 du SI doivent \xEAtre identifi\xE9\
+ s et document\xE9s : \n\n- Infrastructure r\xE9seau physique : c\xE2blage,\
+ \ \xE9quipements r\xE9seau (routeurs, commutateurs, hubs, ponts, points d\u2019\
+ acc\xE8s Wifi et zones de couverture associ\xE9es\u2026) ; \n- Infrastructure\
+ \ r\xE9seau logique : plan d\u2019adressage, routage, VLAN, pare-feux, passerelles\
+ \ ; \n- Services d\u2019infrastructure r\xE9seau : DHCP, DNS, NTP\u2026 \n\
+ - Services de s\xE9curit\xE9 : services d\u2019authentification, service de\
+ \ domaine, d\xE9tection d\u2019intrusion r\xE9seau, passerelles anti-virus,\
+ \ service d\u2019enregistrement et de gestion de traces, annuaires utilisateurs\
+ \ utilis\xE9s pour le contr\xF4le d\u2019acc\xE8s, services li\xE9s \xE0 la\
+ \ mise en \u0153uvre de certificats \xE9lectroniques, service de sauvegarde,\
+ \ services d\u2019administration des services de s\xE9curit\xE9\u2026 \n-\
+ \ Services de t\xE9l\xE9phonie IP ; \n- Services d\u2019administration du\
+ \ SI."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1
+ ref_id: 4.1.4
+ name: "V\xE9rifier r\xE9guli\xE8rement la compl\xE9tude du recensement et les\
+ \ licences"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4
+ ref_id: 4.1.4.1
+ description: "Les proc\xE9dures de gestion du parc informatique doivent pr\xE9\
+ voir la mise \xE0 jour de l\u2019inventaire et des informations associ\xE9\
+ es \xE0 l\u2019occasion de toute entr\xE9e ou sortie du parc informatique,\
+ \ quel que soit le statut de l\u2019\xE9l\xE9ment concern\xE9 (en propri\xE9\
+ t\xE9 ou non de la structure)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4
+ ref_id: 4.1.4.2
+ description: "Une op\xE9ration annuelle d\u2019inventaire des composants du\
+ \ parc informatique, mat\xE9riels comme logiciels, effectivement d\xE9ploy\xE9\
+ s ou stock\xE9s doit \xEAtre organis\xE9e."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4
+ ref_id: 4.1.4.3
+ description: "Lorsque l\u2019inventaire annuel fait apparaitre des disparitions\
+ \ au regard de l\u2019inventaire attendu, une investigation doit \xEAtre men\xE9\
+ e pour chaque \xE9l\xE9ment manquant afin, au-del\xE0 du recouvrement des\
+ \ biens, d\u2019en identifier les \xE9ventuels impacts sur la s\xE9curit\xE9\
+ \ du SI. En particulier, il doit \xEAtre d\xE9termin\xE9 si les \xE9l\xE9\
+ ments manquants participaient \xE0 la s\xE9curit\xE9 du SI, ou s\u2019ils\
+ \ \xE9taient susceptible de stocker des informations \xE0 caract\xE8re personnel,\
+ \ auquel cas le processus de gestion des \xE9v\xE8nements de s\xE9curit\xE9\
+ \ doit \xEAtre activ\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4
+ ref_id: 4.1.4.4
+ description: "Lorsque l\u2019inventaire annuel fait apparaitre des \xE9l\xE9\
+ ments impr\xE9vus au regard de l\u2019inventaire attendu, une investigation\
+ \ doit \xEAtre men\xE9e pour chaque \xE9l\xE9ment concern\xE9 afin d\u2019\
+ en identifier l\u2019origine et les \xE9ventuels impacts sur la s\xE9curit\xE9\
+ \ du SI. Il doit \xEAtre port\xE9 un soin particulier \xE0 la d\xE9tection\
+ \ des logiciels et \xE9quipements (borne Wifi, modem, composant USB inconnu\
+ \ rajout\xE9 sur le branchement du clavier...) install\xE9s ill\xE9gitimement\
+ \ et susceptibles de permettre des communications non ma\xEEtris\xE9es ou\
+ \ des atteintes \xE0 la s\xE9curit\xE9 du SI. Le processus de gestion des\
+ \ \xE9v\xE8nements de s\xE9curit\xE9 doit \xEAtre activ\xE9 dans ce type de\
+ \ situation.\n\nUne autre raison pour laquelle la d\xE9tection de bornes Wifi\
+ \ ill\xE9gitimes est indispensable est que ces bornes sont dispos\xE9es sans\
+ \ \xE9tude pr\xE9alable de localisation ni de puissance. Elles sont de ce\
+ \ fait susceptibles de perturber les \xE9quipements m\xE9dicaux, voire de\
+ \ porter atteinte \xE0 la sant\xE9 des usagers."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4
+ ref_id: 4.1.4.5
+ description: "Outre l\u2019inventaire annuel, une op\xE9ration de recherche\
+ \ doit \xEAtre men\xE9e au moins semestriellement afin de d\xE9tecter les\
+ \ logiciels et \xE9quipements non g\xE9r\xE9s par le responsable du SI et\
+ \ susceptibles de porter atteinte \xE0 la s\xE9curit\xE9 du SI, tels que :\
+ \ \n\n- Logiciels destin\xE9s \xE0 l\u2019intrusion dans les SI ou \xE0 la\
+ \ recherche de mots de passe ; \n- Logiciels destin\xE9s \xE0 \xE9tablir des\
+ \ tunnels de communication avec l\u2019ext\xE9rieur ou de mani\xE8re g\xE9\
+ n\xE9rale \xE0 contourner les dispositifs de s\xE9curit\xE9 du SI ; \n- Logiciels\
+ \ cryptographiques (chiffrement\u2026) ; \n- Logiciels de communication instantan\xE9\
+ e ou d\u2019\xE9change de donn\xE9es ; \n- Bornes Wifi ; \n- Adaptateurs Wifi\
+ \ ou Bluetooth sur port USB ; \n- Modems ; \n- Tout composant inconnu connect\xE9\
+ \ \xE0 un port USB ou rajout\xE9 au branchement du clavier. Le processus de\
+ \ gestion des \xE9v\xE8nements de s\xE9curit\xE9 doit \xEAtre activ\xE9 en\
+ \ cas de d\xE9tection.\n\nLa d\xE9tection des logiciels ill\xE9gitimes peut\
+ \ \xEAtre r\xE9alis\xE9e, par exemple, \xE0 l\u2019aide d\u2019un logiciel\
+ \ centralis\xE9 d\u2019inventaire logiciel, qui peut \xE9galement identifier\
+ \ automatiquement les logiciels potentiellement n\xE9fastes.\n\nLa d\xE9tection\
+ \ des adaptateurs Wifi sur USB et des modems ill\xE9gitimes peut \xEAtre r\xE9\
+ alis\xE9e \xE0 l\u2019aide d\u2019un logiciel centralis\xE9 qui examine la\
+ \ configuration des p\xE9riph\xE9riques de chaque \xE9quipement. Certains\
+ \ logiciels utilisables pour d\xE9tecter les logiciels ill\xE9gitimes disposent\
+ \ aussi de cette fonction. L\u2019utilisation temporaire d\u2019adaptateur\
+ \ Wifi peut parfois \xEAtre d\xE9tect\xE9e par ce moyen, m\xEAme si l\u2019\
+ adaptateur n\u2019est plus connect\xE9 au moment du contr\xF4le. \n\nLes mesures\
+ \ de d\xE9tection des p\xE9riph\xE9riques ill\xE9gitimes, l\u2019identification/authentification\
+ \ des \xE9quipements connect\xE9s au SI et la recherche de flux anormaux sur\
+ \ le r\xE9seau constituent un premier niveau pour d\xE9tecter ou interdire\
+ \ la mise en place d\u2019acc\xE8s Wifi ill\xE9gitimes.\n\nLa d\xE9tection\
+ \ et la localisation de bornes Wifi ill\xE9gitimes peut \xEAtre effectu\xE9\
+ e avec la meilleure fiabilit\xE9 en utilisant des dispositifs qui s\u2019\
+ appuient sur la d\xE9tection radio de ces bornes, que ce soit \xE0 l\u2019\
+ aide d\u2019un \xE9quipement d\xE9di\xE9, ou d\u2019un logiciel sp\xE9cifique\
+ \ install\xE9 sur un portable standard disposant d\u2019une carte Wifi (ce\
+ \ sont souvent les m\xEAmes outils que ceux utilis\xE9s pour choisir le bon\
+ \ positionnement des bornes l\xE9gitimes). \n\nIl convient de souligner que\
+ \ des points d\u2019acc\xE8s Wifi peuvent tr\xE8s bien \xEAtre d\xE9tect\xE9\
+ s dans une structure sans que la s\xE9curit\xE9 du SI soit impact\xE9e. C\u2019\
+ est notamment le cas de structure qui accueillent du public, o\xF9 certains\
+ \ visiteurs non malveillants peuvent avoir activ\xE9 le mode \xAB point d\u2019\
+ acc\xE8s Wifi \xBB sur leur t\xE9l\xE9phone mobile. Cette innocuit\xE9 envers\
+ \ le SI n\u2019enl\xE8ve toutefois rien aux risques de perturbation des \xE9\
+ quipements m\xE9dicaux."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.1.4
+ ref_id: 4.1.4.6
+ description: "L\u2019inventaire annuel doit comptabiliser les utilisations qui\
+ \ sont faites des logiciels soumis \xE0 licence. La v\xE9rification que les\
+ \ licences d\xE9tenues suffisent \xE0 r\xE9pondre \xE0 cet usage doit alors\
+ \ \xEAtre effectu\xE9e. En cas d\u2019insuffisance, il devra \xEAtre proc\xE9\
+ d\xE9 \xE0 la d\xE9sinstallation des exemplaires surnum\xE9raires des logiciels\
+ \ concern\xE9s, ou de l\u2019acquisition rapide des licences suppl\xE9mentaires\
+ \ n\xE9cessaires."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4
+ ref_id: '4.2'
+ name: "G\xE9rer le r\xE9seau local"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2
+ ref_id: 4.2.1
+ name: "Identifier ou authentifier chaque \xE9quipement connect\xE9 au SI"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1
+ ref_id: 4.2.1.1
+ description: "Tout \xE9quipement connect\xE9 au SI doit pr\xE9alablement avoir\
+ \ \xE9t\xE9 r\xE9pertori\xE9 dans l\u2019inventaire et avoir \xE9t\xE9 explicitement\
+ \ autoris\xE9 \xE0 \xEAtre connect\xE9 au SI."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1
+ ref_id: 4.2.1.2
+ description: "L\u2019infrastructure r\xE9seau du SI doit v\xE9rifier que tout\
+ \ \xE9quipement que l\u2019on raccorde est effectivement autoris\xE9 \xE0\
+ \ \xEAtre connect\xE9 au SI. Au minimum, une autorisation d\u2019acc\xE8s\
+ \ au r\xE9seau bas\xE9e sur le contr\xF4le des adresses MAC doit \xEAtre effectu\xE9\
+ e par l\u2019infrastructure r\xE9seau. Si possible et afin de simplifier la\
+ \ gestion du r\xE9seau, l\u2019autorisation d\u2019acc\xE8s au r\xE9seau doit\
+ \ se baser sur l\u2019identification et l\u2019authentification des \xE9quipements\
+ \ \xE0 l\u2019aide du protocole 802.1x pour tous les \xE9quipements qui le\
+ \ supportent. Les \xE9quipements qui ne supportent pas 802.1x peuvent \xEA\
+ tre identifi\xE9s par leur seule adresse MAC (\xAB MAC Authentication Bypass\
+ \ \xBB par exemple), mais doivent alors \xEAtre trait\xE9s sp\xE9cifiquement\
+ \ en \xE9tant affect\xE9s \xE0 un r\xE9seau virtuel distinct (voir r\xE8gles\
+ \ T4-2.2)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1
+ ref_id: 4.2.1.3
+ description: "Si un \xE9quipement est raccord\xE9 au r\xE9seau mais qu\u2019\
+ il n\u2019est pas autoris\xE9 (ou ni m\xEAme connu), l\u2019une des deux options\
+ \ suivantes doit \xEAtre appliqu\xE9e : \n\n- Soit l\u2019\xE9quipement est\
+ \ automatiquement raccord\xE9 \xE0 un r\xE9seau \xAB invit\xE9 \xBB consid\xE9\
+ r\xE9 comme non s\xFBr, qui peut offrir un ensemble de services restreints\
+ \ ; \n- Soit toute communication r\xE9seau entre l\u2019\xE9quipement et le\
+ \ reste de l\u2019infrastructure est interdite."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1
+ ref_id: 4.2.1.4
+ description: "Les mesures d\u2019authentification des \xE9quipements, de contr\xF4\
+ le d\u2019acc\xE8s au r\xE9seau et de cloisonnement du r\xE9seau doivent permettre\
+ \ de parer aux risques d\u2019usurpation d\u2019adresse MAC et d\u2019adresse\
+ \ r\xE9seau et, quand l\u2019authentification n\u2019est pas possible de mani\xE8\
+ re fiable, de limiter au maximum l\u2019impact d\u2019une telle usurpation\
+ \ en restreignant les flux autoris\xE9s et en surveillant l\u2019activit\xE9\
+ \ r\xE9seau."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1
+ ref_id: 4.2.1.5
+ description: "Pour ce qui concerne les terminaux mobiles susceptibles d\u2019\
+ \xEAtre directement raccord\xE9s \xE0 des environnements externes (ordinateur\
+ \ portable, ordiphone, \u2026), l\u2019autorisation d\u2019acc\xE8s au r\xE9\
+ seau interne doit \xE9galement \xEAtre conditionn\xE9e par la v\xE9rification\
+ \ de conformit\xE9 de l\u2019\xE9quipement aux r\xE8gles de la th\xE9matique\
+ \ T4-5 (notamment bon fonctionnement d\u2019un antivirus \xE0 jour) dans une\
+ \ phase interm\xE9diaire entre l\u2019authentification et l\u2019autorisation\
+ \ d\u2019acc\xE8s."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1
+ ref_id: 4.2.1.6
+ description: "Une trace doit \xEAtre conserv\xE9e de toute tentative de raccordement\
+ \ d\u2019\xE9quipement, qu\u2019elle soit autoris\xE9e ou non et de la suite\
+ \ qui lui est donn\xE9e. En cas de tentative de raccordement non autoris\xE9\
+ \ et s\u2019il n\u2019est pas pr\xE9vu d\u2019acc\xE8s \xAB invit\xE9 \xBB\
+ \ dans cette situation, une alerte de s\xE9curit\xE9 doit \xEAtre \xE9mise."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.1
+ ref_id: 4.2.1.7
+ description: "Il doit \xEAtre d\xE9fini une proc\xE9dure qui permette, \xE0\
+ \ partir des informations qui caract\xE9risent un flux observ\xE9 en un point\
+ \ du r\xE9seau informatique, d\u2019identifier et de localiser les \xE9quipements\
+ \ d\u2019extr\xE9mit\xE9 concern\xE9s. \n\nUne telle proc\xE9dure s\u2019\
+ appuie typiquement sur les adresses IP et MAC impliqu\xE9es dans le flux,\
+ \ sur l\u2019inventaire informatique, la documentation de l\u2019architecture\
+ \ r\xE9seau, les informations fournies par les \xE9quipements r\xE9seau et\
+ \ s\xE9curit\xE9. Le cas \xE9ch\xE9ant ces informations sont centralis\xE9\
+ es \xE0 l\u2019aide d\u2019une plateforme d\u2019administration du r\xE9seau."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2
+ ref_id: 4.2.2
+ name: "Cloisonner les r\xE9seaux selon les besoins de s\xE9curit\xE9"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2
+ ref_id: 4.2.2.1
+ description: "Une cartographie des \xE9changes r\xE9seaux entre les diff\xE9\
+ rents \xE9quipements connect\xE9s doit \xEAtre \xE9tablie. Elle doit permettre\
+ \ de d\xE9terminer, au sein des diff\xE9rents \xE9quipements, \xAB qui est\
+ \ cens\xE9 communiquer avec qui \xBB. Un second niveau de cartographie, plus\
+ \ d\xE9taill\xE9, est pr\xE9vu dans un deuxi\xE8me temps par la r\xE8gle 4.2.2.2."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2
+ ref_id: 4.2.2.2
+ description: "Un recensement des flux r\xE9seaux doit \xEAtre effectu\xE9 et\
+ \ maintenu \xE0 jour. Il doit pr\xE9ciser, pour chaque flux : \n\n- le responsable\
+ \ technique du flux ; \n- le responsable m\xE9tier du flux ; \n- le niveau\
+ \ d\u2019exigence en termes de disponibilit\xE9 et de confidentialit\xE9,\
+ \ ainsi que les autres contraintes (d\xE9lai de transit, stabilit\xE9 du d\xE9\
+ lai de transit\u2026) ; \n- les sp\xE9cificit\xE9s \xE9ventuelles (plage d\u2019\
+ activit\xE9, forte volum\xE9trie en continu ou par pics\u2026)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2
+ ref_id: 4.2.2.3
+ description: "Les flux identifi\xE9s doivent \xEAtre positionn\xE9s en fonction\
+ \ de leurs caract\xE9ristiques dans une ou plusieurs des cat\xE9gories suivantes\
+ \ (indiqu\xE9es pour exemple) : \n\n- Flux volumineux (ex. : imagerie m\xE9\
+ dicale, dont les flux doivent transiter dans des d\xE9lais acceptables et\
+ \ sans perturber le reste des applications) ; \n- Flux \xE0 caract\xE8re vital\
+ \ (ex : consultation de dossier m\xE9dical en zone de soins) ; \n- Flux confidentiel\
+ \ (ex. : informations \xE0 caract\xE8re personnel) ; \n- Flux Temps R\xE9\
+ el (ex. : t\xE9l\xE9phonie IP, visioconf\xE9rence) ; \n- Flux d\u2019origine\
+ \ non ma\xEEtris\xE9e (ex. : r\xE9seau \xAB invit\xE9s \xBB, wifi, Internet,\
+ \ \u2026) ; \n- Flux d\u2019administration du SI et de la s\xE9curit\xE9 ;\
+ \ \n- Flux standard (par d\xE9faut). Ces cat\xE9gories constituent une base\
+ \ essentielle pour la d\xE9finition de l\u2019architecture et le param\xE9\
+ trage du r\xE9seau et de son cloisonnement."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2
+ ref_id: 4.2.2.4
+ description: "Le cloisonnement du r\xE9seau peut s\u2019appuyer sur deux techniques,\
+ \ si n\xE9cessaire cumulables, qui seront choisies selon leur ad\xE9quation\
+ \ au besoin et leur disponibilit\xE9 sur les \xE9quipements r\xE9seau utilis\xE9\
+ s : \n\n- La mise en \u0153uvre de r\xE9seaux virtuels (\xAB VLAN \xBB) qui\
+ \ offrent un cloisonnement \xAB logique \xBB des r\xE9seaux tout en partageant\
+ \ une m\xEAme infrastructure physique et permettent une grande souplesse de\
+ \ gestion ; \n- La mise en \u0153uvre de segments r\xE9seau physique et d\u2019\
+ \xE9quipements s\xE9par\xE9s et d\xE9di\xE9s."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2
+ ref_id: 4.2.2.5
+ description: "Les flux confidentiels et les flux sensibles (flux d\u2019administration\
+ \ des syst\xE8mes et des \xE9quipements r\xE9seaux) doivent \xEAtre confin\xE9\
+ s, par la mise en \u0153uvre de cloisonnement, aux seuls \xE9quipements dont\
+ \ ils sont issus ou auxquels ils sont destin\xE9s (hors infrastructure r\xE9\
+ seau). A d\xE9faut d\u2019un tel cloisonnement, ces flux doivent utiliser\
+ \ des canaux de communication qui mettent en \u0153uvre un chiffrement et\
+ \ un contr\xF4le d\u2019int\xE9grit\xE9 des donn\xE9es (SSH, HTTPS, SSL, TLS\u2026\
+ )"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2
+ ref_id: 4.2.2.6
+ description: "Les flux d\u2019origine non ma\xEEtris\xE9e (ex. : un r\xE9seau\
+ \ \xAB invit\xE9s \xBB pour la connexion des ordinateurs portable des visiteurs)\
+ \ doivent \xEAtre confin\xE9s dans un r\xE9seau d\xE9di\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2
+ ref_id: 4.2.2.7
+ description: "Les besoins li\xE9s aux performances du r\xE9seau, par exemple\
+ \ pour les flux volumineux ou les flux Temps R\xE9el, peuvent \xEAtre trait\xE9\
+ s : \n\n- soit par param\xE9trage de la qualit\xE9 de service qui leur est\
+ \ appliqu\xE9e (ou qui est appliqu\xE9e au r\xE9seau virtuel auquel sont affect\xE9\
+ s les \xE9quipements concern\xE9s) ; \n- soit par la mise en \u0153uvre d\u2019\
+ un r\xE9seau physique d\xE9di\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.8
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2
+ ref_id: 4.2.2.8
+ description: "Les besoins de haute disponibilit\xE9 du r\xE9seau, par exemple\
+ \ pour les flux \xE0 caract\xE8re vital, sont trait\xE9s par la mise en \u0153\
+ uvre de liaisons physiques et \xE9quipements r\xE9seau qui permettent des\
+ \ chemins multiples entre l\u2019origine et la destination des flux et l\u2019\
+ activation de protocoles r\xE9seau qui permettent une reconfiguration automatiques\
+ \ des chemins emprunt\xE9s par les flux en cas de d\xE9faillance d\u2019une\
+ \ partie du r\xE9seau."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2.9
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.2.2
+ ref_id: 4.2.2.9
+ description: "L\u2019interconnexion de \xAB bulles r\xE9seau \xBB, cloisonn\xE9\
+ es pour des raisons autres que les seules performances ou disponibilit\xE9\
+ , doit \xEAtre r\xE9alis\xE9e exclusivement via des \xE9quipements de s\xE9\
+ curit\xE9 adapt\xE9s (pare-feu, passerelle\u2026) 4.2.2.10 Outre les exigences\
+ \ de cloisonnement \xE9voqu\xE9es par ailleurs, les environnements suivants\
+ \ doivent \xE9galement, sauf impossibilit\xE9 technique, \xEAtre cloisonn\xE9\
+ s : \n\n- serveurs de production ; \n- postes et \xE9quipements pour les activit\xE9\
+ s normales des utilisateurs ; \n- environnement de d\xE9veloppement ; \n-\
+ \ environnement de recette ; \n- environnement de formation ; \n- environnement\
+ \ d\u2019administration des syst\xE8mes, des r\xE9seaux et de la SSI."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4
+ ref_id: '4.3'
+ name: "G\xE9rer la connexion Internet"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3
+ ref_id: 4.3.1
+ name: "S\xE9curiser la connexion Internet"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1
+ ref_id: 4.3.1.1
+ description: "La connexion \xE0 Internet doit \xEAtre s\xE9par\xE9e du reste\
+ \ du SI par au moins un dispositif de filtrage r\xE9seau (\xAB pare- feu \xBB\
+ \ ou \xAB firewall \xBB). \n\nUne \xAB Box Internet \xBB seule, si elle fournit\
+ \ parfois certaines fonctionnalit\xE9s qui am\xE9liorent la s\xE9curit\xE9\
+ \ par rapport \xE0 une connexion directe \xE0 Internet, ne constitue g\xE9\
+ n\xE9ralement pas un dispositif de filtrage r\xE9seau suffisant pour un contexte\
+ \ d\u2019ES."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1
+ ref_id: 4.3.1.2
+ description: "Les dispositifs de filtrage r\xE9seau doivent \xEAtre param\xE9\
+ tr\xE9s sur un principe de \xAB liste blanche \xBB : tout flux qui n\u2019\
+ est pas explicitement autoris\xE9 est interdit."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1
+ ref_id: 4.3.1.3
+ description: "Les flux r\xE9seau \xAB sortants \xBB, issus du SI \xE0 destination\
+ \ d\u2019Internet, doivent transiter par des dispositifs relais ou \xAB proxy\
+ \ \xBB, qui assurent une v\xE9rification des \xE9changes du point de vue protocolaire\
+ \ et qui int\xE8grent une d\xE9tection et un blocage automatique des contenus\
+ \ potentiellement malveillants. Cette r\xE8gle doit notamment \xEAtre appliqu\xE9\
+ e aux flux de type : \n\n- Web (HTTP), par un relai \xAB proxy web \xBB \n\
+ - Transferts de fichiers (FTP) \n- Messagerie (SMTP) \n- Noms de domaines\
+ \ (DNS) \n\nOn appelle ici \xAB flux sortants \xBB les donn\xE9es \xE9chang\xE9\
+ es dans les deux sens avec Internet mais r\xE9sultant de l\u2019action d\u2019\
+ un utilisateur interne ou d\u2019un dispositif interne (ex : consultation\
+ \ web Internet, envoi de courrier \xE9lectronique)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1
+ ref_id: 4.3.1.4
+ description: "Les dispositifs relais pour les flux \xAB sortants \xBB doivent\
+ \ \xEAtre h\xE9berg\xE9s dans une DMZ d\xE9di\xE9e et ne doivent pouvoir communiquer\
+ \ avec Internet d\u2019une part et avec le reste du SI d\u2019autre part,\
+ \ qu\u2019\xE0 travers un dispositif de filtrage.\n\nSelon le trafic r\xE9\
+ seau envisag\xE9, les diff\xE9rents services relais peuvent \xEAtre regroup\xE9\
+ s sur un m\xEAme \xE9quipement. Le reste du SI doit bien entendu \xEAtre param\xE9\
+ tr\xE9 en coh\xE9rence afin que les flux sortants transitent par ces relais.\
+ \ \n\nCertains bo\xEEtiers d\u2019acc\xE8s Internet (\xAB Box Internet \xBB\
+ ) grand public permettent la mise en \u0153uvre d\u2019une telle DMZ. Si l\u2019\
+ architecture r\xE9seau ne permet pas la mise en \u0153uvre de DMZ, une solution\
+ \ d\xE9grad\xE9e et temporaire consiste \xE0 mettre en place les dispositifs\
+ \ relais sur le r\xE9seau interne du SI. Comme dans le cas g\xE9n\xE9ral,\
+ \ seuls les flux issus de ces dispositifs doivent \xEAtre autoris\xE9s \xE0\
+ \ traverser le dispositif de filtrage.\n\nCertaines \xAB Box Internet \xBB\
+ \ disposent d\u2019une fonction de \xAB contr\xF4le parental \xBB, qui peut\
+ \ constituer une solution d\xE9grad\xE9e et temporaire pour fournir un filtrage\
+ \ macroscopique des flux sortants : \xE9quipements autoris\xE9s \xE0 acc\xE9\
+ der \xE0 Internet, restriction des services permis, plages ------ horaires\
+ \ autoris\xE9es\u2026"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1
+ ref_id: 4.3.1.5
+ description: "Les services offerts par le SI et destin\xE9s \xE0 \xEAtre consult\xE9\
+ s depuis Internet doivent \xEAtre h\xE9berg\xE9s sur des \xE9quipements d\xE9\
+ di\xE9s. Ces \xE9quipements doivent \xEAtre exclusivement rattach\xE9s \xE0\
+ \ une DMZ d\xE9di\xE9e \xE0 ces acc\xE8s \xAB entrants \xBB qui ne peut communiquer\
+ \ avec Internet d\u2019une part et avec le reste du SI d\u2019autre part qu\u2019\
+ \xE0 travers un dispositif de filtrage. Exemples de services concern\xE9s\
+ \ : \n\n- Service DNS public (serveurs primaire et secondaires) ; \n- Service\
+ \ web public ; \n- Service web \xAB extranet \xBB ; \n- Service de messagerie\
+ \ entrant (SMTP) ; \n- Service de consultation de messagerie depuis Internet\
+ \ (IMAP, POP3\u2026 \xE0 mettre en \u0153uvre uniquement avec la version \xAB\
+ \ s\xE9curis\xE9e \xBB de ces protocoles)\n\nSi l\u2019architecture r\xE9\
+ seau ne permet pas de mettre en place une telle DMZ, l\u2019h\xE9bergement\
+ \ externe (chez un prestataire) de ces services doit \xEAtre envisag\xE9.\n\
+ \nDans certains cas, les enjeux de s\xE9curit\xE9 de l\u2019information li\xE9\
+ s \xE0 certains services (ex. : intranets, certains extranets) peut justifier\
+ \ qu\u2019ils soient positionn\xE9s dans une DMZ diff\xE9rente de celle qui\
+ \ h\xE9berge les services accessibles \xE0 tout public (ex. : web institutionnel\
+ \ \xAB vitrine \xBB)"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1
+ ref_id: 4.3.1.6
+ description: "Les flux r\xE9seau \xAB entrants \xBB, issus d\u2019Internet \xE0\
+ \ destination de services accessibles depuis Internet, doivent transiter par\
+ \ des dispositifs relais ou \xAB reverse proxy \xBB, qui assurent une v\xE9\
+ rification des \xE9changes du point de vue protocolaire et qui int\xE8grent\
+ \ une d\xE9tection et un blocage automatique des contenus potentiellement\
+ \ malveillants, chaque fois que ce type de dispositif de s\xE9curit\xE9 est\
+ \ disponible. Cette r\xE8gle doit notamment \xEAtre appliqu\xE9e aux flux\
+ \ de type : \n\n- Web (HTTP, HTTPS), via un \xAB reverse proxy \xBB \n- Transferts\
+ \ de fichiers (FTP) \n- Messagerie (SMTP)\n\nL\u2019utilisation d\u2019un\
+ \ \xAB reverse proxy \xBB, qui peut \xEAtre mutualis\xE9 entre plusieurs services\
+ \ ouverts sur Internet, est particuli\xE8rement importante pour d\xE9tecter\
+ \ et bloquer des vuln\xE9rabilit\xE9s \xAB g\xE9n\xE9riques \xBB potentiellement\
+ \ pr\xE9sentes dans les applications web. Elle permet aussi, en cas de vuln\xE9\
+ rabilit\xE9 identifi\xE9e, de mettre rapidement en place des mesures de protection,\
+ \ dans l\u2019attente de l\u2019installation d\u2019un correctif sp\xE9cifique\
+ \ \xE0 l\u2019application."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.1
+ ref_id: 4.3.1.7
+ description: "Quand le SI s\u2019appuie sur une architecture virtualis\xE9e,\
+ \ il est important de garantir que les machines virtuelles utilis\xE9es pour\
+ \ les DMZ en communication directe avec Internet sont positionn\xE9es sur\
+ \ un ou des serveurs physiques d\xE9di\xE9s et distincts des serveurs physiques\
+ \ utilis\xE9s pour le SI interne."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3
+ ref_id: 4.3.2
+ name: "Limiter les acc\xE8s Internet en conformit\xE9 avec la Charte d\u2019\
+ Utilisation des Ressources Informatiques"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2
+ ref_id: 4.3.2.1
+ description: "Le dispositif relai \xAB proxy web \xBB qui permet l\u2019acc\xE8\
+ s \xE0 Internet aux utilisateurs internes du SI pour la navigation web, voire\
+ \ pour le transfert de fichiers, doit assurer l\u2019authentification de tout\
+ \ utilisateur avant de lui permettre cet acc\xE8s s\u2019il y est autoris\xE9\
+ ."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2
+ ref_id: 4.3.2.2
+ description: "Le dispositif relai \xAB proxy web \xBB doit int\xE9grer une cat\xE9\
+ gorisation des sites web d\u2019Internet et \xEAtre param\xE9tr\xE9 pour n\u2019\
+ autoriser l\u2019acc\xE8s qu\u2019aux sites appartenant \xE0 des cat\xE9gories\
+ \ l\xE9gitimes au regard de la Charte d\u2019Utilisation des Ressources Informatiques\
+ \ et non risqu\xE9es du point de vue SSI. \n\nLa cat\xE9gorisation des sites\
+ \ web doit \xEAtre publi\xE9e r\xE9guli\xE8rement par le fournisseur (ou l\u2019\
+ \xE9diteur) du dispositif relai et mise \xE0 jour automatiquement.\n\nUne\
+ \ attribution de droits d\u2019acc\xE8s diff\xE9renci\xE9s aux cat\xE9gories\
+ \ de sites web doit \xEAtre possible pour certains utilisateurs. C'est le\
+ \ cas, par exemple, pour les exploitants informatiques ou pour les personnes\
+ \ en charge de la s\xE9curit\xE9 du SI, qui doivent pouvoir acc\xE9der \xE0\
+ \ certains sites d\u2019information sur la SSI souvent cat\xE9goris\xE9s comme\
+ \ \xAB risqu\xE9s \xBB dans les dispositifs de filtrage web du fait des sujets\
+ \ trait\xE9s (protections mais aussi m\xE9thodes de piratage informatiques\u2026\
+ )."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2
+ ref_id: 4.3.2.3
+ description: "Le dispositif relai \xAB proxy web \xBB doit bloquer toute communication\
+ \ web en mode \xAB s\xE9curis\xE9 \xBB (SSL/TLS) vers les sites ne faisant\
+ \ pas partie d\u2019une liste blanche de sites web auxquels l\u2019acc\xE8\
+ s est n\xE9cessaire \xE0 l\u2019activit\xE9 de la structure. \n\nUn site web\
+ \ ne doit \xEAtre ajout\xE9 \xE0 cette liste blanche qu\u2019apr\xE8s v\xE9\
+ rification que la demande d\u2019acc\xE8s est justifi\xE9e et valid\xE9e par\
+ \ un responsable m\xE9tier et que le site lui-m\xEAme ne pr\xE9sente pas de\
+ \ risque pour la s\xE9curit\xE9 (pas de possibilit\xE9 de rebond vers un autre\
+ \ site ou d\u2019acc\xE8s \xE0 des contenus interdits par la Charte, pas de\
+ \ mise en \u0153uvre de logiciels qui s\u2019installent dans le navigateur\
+ \ de l\u2019utilisateur,\u2026). Une recherche sur Internet ou sur le site\
+ \ de l\u2019\xE9diteur du \xAB proxy web \xBB peut donner ce type de renseignements.\n\
+ \nIl est souhaitable qu\u2019une attribution de droits d\u2019acc\xE8s diff\xE9\
+ renci\xE9s aux sites web en mode s\xE9curis\xE9 soit possible afin de pouvoir\
+ \ g\xE9rer de mani\xE8re souple les in\xE9vitables besoins de d\xE9rogation\
+ \ sans devoir \xE9tendre cette possibilit\xE9 d\u2019acc\xE8s \xE0 l\u2019\
+ ensemble des utilisateurs."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2
+ ref_id: 4.3.2.4
+ description: "Une proc\xE9dure de demande d\u2019ouverture de flux vers Internet\
+ \ pour d\u2019autres protocoles que web et de d\xE9cision d\u2019autorisation\
+ \ ou de refus, doit \xEAtre d\xE9finie."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2
+ ref_id: 4.3.2.5
+ description: "Cette proc\xE9dure doit imposer, pour chaque autorisation d\u2019\
+ ouverture de flux, de restreindre autant que possible, outre le protocole\
+ \ utilis\xE9, aussi bien la destination (externe) de la connexion autoris\xE9\
+ e que son origine (interne) et le cas \xE9chant de la limiter \xE0 certaines\
+ \ plages horaires (si le dispositif de filtrage supporte cette fonctionnalit\xE9\
+ ).\n\nSi le dispositif de filtrage permet une authentification pr\xE9alable\
+ \ de l\u2019utilisateur pour ce protocole, cette fonctionnalit\xE9 doit \xEA\
+ tre mise en \u0153uvre."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.2
+ ref_id: 4.3.2.6
+ description: "Les autorisations d\u2019ouverture de flux doivent \xEAtre donn\xE9\
+ es pour une dur\xE9e limit\xE9e et doivent faire l\u2019objet d\u2019un revalidation\
+ \ r\xE9guli\xE8re du besoin aupr\xE8s du responsable m\xE9tier concern\xE9\
+ , selon une p\xE9riodicit\xE9 au moins annuelle."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3
+ ref_id: 4.3.3
+ name: Conserver une trace des connexions Internet
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3
+ ref_id: 4.3.3.1
+ description: "Les dispositifs relais \xAB proxy web \xBB doivent \xEAtre param\xE9\
+ tr\xE9s pour g\xE9n\xE9rer une trace de toute connexion qu\u2019ils traitent.\
+ \ Cette trace doit comporter au minimum les informations suivantes : \n\n\
+ - Date et heure de l\u2019\xE9v\xE8nement \n- Identification de l\u2019utilisateur\
+ \ \n- Etat d\u2019authentification de l\u2019utilisateur \n- Equipement \xE0\
+ \ l\u2019origine de la requ\xEAte : adresse IP, port TCP \n- Requ\xEAte HTTP\
+ \ : commande, url demand\xE9e, volume transmis \n- Etat d\u2019autorisation\
+ \ de la requ\xEAte par le proxy \n- Raison du refus \xE9ventuel de la requ\xEA\
+ te (ex : cat\xE9gorie de site interdite) \n- Destination de la connexion :\
+ \ adresse IP et port TCP \n- Statut de la r\xE9ponse \xE0 la requ\xEAte \n\
+ - Volume transf\xE9r\xE9 dans chaque sens \n- Dur\xE9e de la connexion \n\
+ - Raison du blocage \xE9ventuel de la r\xE9ponse par le proxy (ex : nature\
+ \ du contenu malveillant d\xE9tect\xE9, site web n\u2019appartenant pas \xE0\
+ \ une cat\xE9gorie de sites autoris\xE9e\u2026)"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3
+ ref_id: 4.3.3.2
+ description: "Les \xE9quipements de filtrage r\xE9seau doivent \xEAtre param\xE9\
+ tr\xE9s pour g\xE9n\xE9rer une trace pour tout flux autoris\xE9 vers ou depuis\
+ \ Internet. Cette trace doit comporter au minimum les informations suivantes\
+ \ : \n\n- Date et heure de l\u2019\xE9v\xE8nement \n- Equipement \xE0 l\u2019\
+ origine du flux : adresse IP \n- Equipement destinataire du flux : adresse\
+ \ IP \n- Protocole r\xE9seau : TCP, UDP, ICMP, \u2026 \n- Port ou service\
+ \ source, Port ou service destination \n- Etat d\u2019autorisation par l\u2019\
+ \xE9quipement de filtrage (autoris\xE9 ou bloqu\xE9) \n- Volume transf\xE9\
+ r\xE9 dans chaque sens \n- Dur\xE9e de la connexion (quand applicable)"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3
+ ref_id: 4.3.3.3
+ description: "Les \xE9quipements de filtrage r\xE9seau doivent \xEAtre param\xE9\
+ tr\xE9s pour g\xE9n\xE9rer une trace, sur le m\xEAme mod\xE8le, pour tout\
+ \ flux, autoris\xE9 ou bloqu\xE9, issu d\u2019une DMZ."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3
+ ref_id: 4.3.3.4
+ description: "Il est recommand\xE9 que les \xE9quipements de filtrage r\xE9\
+ seau g\xE9n\xE8rent \xE9galement une trace, sur le m\xEAme mod\xE8le, pour\
+ \ tout flux bloqu\xE9 issus du SI interne et \xE0 destination d\u2019Internet\
+ \ ou des DMZ."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3
+ ref_id: 4.3.3.5
+ description: "Les traces g\xE9n\xE9r\xE9es doivent \xEAtre g\xE9r\xE9es conform\xE9\
+ ment aux r\xE8gles de la th\xE9matique 7-2.2."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.3.3
+ ref_id: 4.3.3.6
+ description: "Les utilisateurs du SI doivent \xEAtre inform\xE9s que les acc\xE8\
+ s \xE0 Internet sont trac\xE9s \xE0 des fins de s\xE9curit\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4
+ ref_id: '4.4'
+ name: "G\xE9rer les connexions sans fil"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4
+ ref_id: 4.4.1
+ name: "S\xE9curiser la mise en place d\u2019un point d\u2019acc\xE8s Wifi"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.1
+ description: "Seul le personnel ou les soci\xE9t\xE9s d\xE9sign\xE9es par le\
+ \ responsable du SIS, ou leurs d\xE9l\xE9gataires en charge de la gestion\
+ \ des r\xE9seaux informatiques, peuvent mettre en place et g\xE9rer un point\
+ \ d\u2019acc\xE8s Wifi. Une proc\xE9dure d'installation et de s\xE9curisation\
+ \ des points d'acc\xE8s doit \xEAtre formalis\xE9e. Elle doit \xEAtre mise\
+ \ en \u0153uvre lors de chaque installation d'un nouvel \xE9quipement."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.2
+ description: "Le point d\u2019acc\xE8s Wifi doit \xEAtre compatible avec la\
+ \ norme IEEE 802.11. Le choix des canaux de Les r\xE8gles de s\xE9curit\xE9\
+ \ propos\xE9es pour cette th\xE9matique sont issues du \xAB Guide pratique\
+ \ sp\xE9cifique pour la mise en place d\u2019un acc\xE8s Wifi \xBB [R\xE9\
+ f. n\xB017] du corpus documentaire PGSSI-S. Ce guide peut \xEAtre utilement\
+ \ consult\xE9 pour plus d\u2019informations sur le sujet Wifi. transmission\
+ \ du Wifi doit \xEAtre effectu\xE9 de mani\xE8re \xE0 ne pas cr\xE9er d\u2019\
+ interf\xE9rences avec d\u2019autres \xE9quipements ou entre les diff\xE9rents\
+ \ r\xE9seaux wifi mis en \u0153uvre (acc\xE8s PS, acc\xE8s technique et acc\xE8\
+ s invit\xE9)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.3
+ description: "Pour pr\xE9venir toute interf\xE9rence potentielle, les recommandations\
+ \ des fournisseurs d\u2019\xE9quipements de sant\xE9 install\xE9s \xE0 port\xE9\
+ e du point d\u2019acc\xE8s Wifi doivent \xEAtre respect\xE9es. Une \xE9tude\
+ \ doit \xEAtre men\xE9e dans ce sens avant toute mise en \u0153uvre de point\
+ \ d\u2019acc\xE8s Wifi."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.4
+ description: "Le nombre de bornes, leur positionnement ainsi que la puissance\
+ \ du signal Wifi doivent \xEAtre adapt\xE9s \xE0 la superficie de la zone\
+ \ \xE0 couvrir."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.5
+ description: "Il convient de pr\xE9voir, pour les \xE9quipements connect\xE9\
+ s par Wifi, un mode d\xE9grad\xE9 permettant de garantir la continuit\xE9\
+ \ des activit\xE9s en cas de dysfonctionnement des communications Wifi."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.6
+ description: "Comme tous les \xE9quipements connect\xE9s au r\xE9seau, les \xE9\
+ quipements Wifi (bornes, c\xE2bles d\u2019acc\xE8s\u2026) doivent, autant\
+ \ que faire se peut, \xEAtre prot\xE9g\xE9s et non accessibles au public afin\
+ \ d\u2019\xE9viter : \n\n- un acc\xE8s direct au r\xE9seau interne du SIS,\
+ \ par exemple en d\xE9connectant le c\xE2ble de connexion et en l\u2019utilisant\
+ \ directement sur son mat\xE9riel ; \n- ou une r\xE9initialisation non contr\xF4\
+ l\xE9e de l\u2019\xE9quipement. Cette protection peut \xEAtre mise en \u0153\
+ uvre par une combinaison de dispositions physiques et de configuration du\
+ \ mat\xE9riel par exemple routeur wifi dans une boite ferm\xE9e \xE0 clef,\
+ \ routeur wifi positionn\xE9 dans le champ de vision du personnel, d\xE9sactivation\
+ \ des connecteurs RJ45 femelles non utilis\xE9s, authentification du routeur\
+ \ sur le r\xE9seau filaire\u2026"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.7
+ description: "L'identifiant du r\xE9seau Wifi (SSID) doit \xEAtre anonymis\xE9\
+ \ afin d\u2019\xE9viter de faire apparaitre le nom de l'op\xE9rateur internet\
+ \ et de donner toute information qui permettrait \xE0 une personne mal intentionn\xE9\
+ e de se connecter au r\xE9seau. Il peut \xE9galement \xEAtre rendu invisible,\
+ \ n\xE9cessitant ainsi, lors de sa premi\xE8re connexion, que l'utilisateur\
+ \ entre manuellement les informations du SSID au lieu de la s\xE9lectionner\
+ \ dans la liste des r\xE9seaux. Il est cependant \xE0 noter que cette mesure\
+ \ n\u2019est pas suffisante pour s\xE9curiser l\u2019acc\xE8s au wifi bien\
+ \ qu\u2019elle permette de r\xE9duire le nombre de tentatives de connexions\
+ \ frauduleuses."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.8
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.8
+ description: "Un contr\xF4le d\u2019acc\xE8s des \xE9quipements connect\xE9\
+ s au r\xE9seau interne du SI via le Wifi doit \xEAtre effectu\xE9. Il doit\
+ \ \xEAtre r\xE9alis\xE9 en priorit\xE9 par l\u2019utilisation du protocole\
+ \ 802.1X. Les r\xE9seaux Wifi et internes du SI doivent \xEAtre s\xE9par\xE9\
+ s au moyen d\u2019un dispositif de filtrage (firewall) n\u2019autorisant que\
+ \ les services, les protocoles et les ports de communication n\xE9cessaires\
+ \ aux flux m\xE9tiers pr\xE9vus."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.9
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.9
+ description: "Les \xE9quipements utilis\xE9s pour se connecter (terminaux professionnels\
+ \ et \xE9quipements de sant\xE9) doivent \xEAtre configur\xE9s, lors de leur\
+ \ installation, pour restreindre l\u2019association automatique aux seuls\
+ \ r\xE9seaux Wifi l\xE9gitimes et exigeant une authentification 802.1X dans\
+ \ le but d\u2019\xE9viter une connexion involontaire \xE0 un r\xE9seau malveillant\
+ \ qui se ferait passer pour un r\xE9seau l\xE9gitime."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.10
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.10
+ description: "Le mot de passe par d\xE9faut du compte administrateur de la borne\
+ \ Wifi doit \xEAtre modifi\xE9. Un mot de passe fort de 10 caract\xE8res au\
+ \ minimum (recours \xE0 la fois de caract\xE8res alphab\xE9tiques, num\xE9\
+ riques, sp\xE9ciaux et non triviaux) doit \xEAtre utilis\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.11
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.11
+ description: "Seuls les services, les protocoles et les ports de communication\
+ \ n\xE9cessaires au fonctionnement et \xE0 l'utilisation de la borne Wifi\
+ \ doivent \xEAtre activ\xE9s. Par exemple, le protocole DNS-SD doit notamment\
+ \ \xEAtre d\xE9sactiv\xE9 quand le parc d\u2019\xE9quipement ne n\xE9cessite\
+ \ pas de reconfiguration fr\xE9quente."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.12
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.12
+ description: "L\u2019authentification des utilisateurs et la confidentialit\xE9\
+ \ des donn\xE9es doivent \xEAtre assur\xE9es par la mise en place de m\xE9\
+ canismes s\u2019appuyant sur la norme WPA2-entreprise (standard 802.1X et\
+ \ protocole EAP, id\xE9alement EAP-TLS) avec utilisation de l\u2019algorithme\
+ \ de chiffrement AES-CCMP.\n\nLe site de l\u2019ANSSI d\xE9crit ces diff\xE9\
+ rents m\xE9canismes : (http://www.ssi.gouv.fr/fr/bonnes- pratiques/recommandations-et-guides/securite-des-\
+ \ liaisons-sans-fil/recommandations-de-securite- relatives-aux-reseaux-wifi.html\
+ \ ).\n\nA d\xE9faut, le protocole PEAP/EAP-MSCHAPv2 peut \xEAtre utilis\xE9\
+ \ en lieu et place du protocole EAP-TLS."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.13
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.13
+ description: "Le certificat serveur pr\xE9sent\xE9 par le point d\u2019acc\xE8\
+ s Wifi configur\xE9 en WPA2-Entreprise doit \xEAtre sign\xE9 par une autorit\xE9\
+ \ de certification de confiance pour les postes clients."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.14
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.14
+ description: "Lorsque des m\xE9canismes d\u2019authentification robustes (802.1X)\
+ \ ne peuvent \xEAtre utilis\xE9s, l\u2019authentification des utilisateurs\
+ \ et la confidentialit\xE9 des donn\xE9es doivent \xEAtre assur\xE9es par\
+ \ le mode WPA2-PSK (WPA2-Personnel) avec utilisation de l\u2019algorithme\
+ \ de chiffrement AES-CCMP. La cl\xE9 de s\xE9curit\xE9 pour WPA2 doit \xEA\
+ tre conforme aux r\xE8gles d\u2019\xE9laboration de mots de passe non triviaux\
+ \ et chang\xE9e d\xE8s l\u2019installation, puis r\xE9guli\xE8rement."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.15
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.15
+ description: "Les fonctions de simplification de l\u2019authentification de\
+ \ type WPS (Wifi Protected Setup) doivent \xEAtre d\xE9sactiv\xE9es."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1.16
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.1
+ ref_id: 4.4.1.16
+ description: "Un filtrage de l\u2019acc\xE8s aux sites web doit \xEAtre mis\
+ \ en place conform\xE9ment \xE0 la charte d\u2019utilisation d\u2019acc\xE8\
+ s et d\u2019usage du SI de la structure."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4
+ ref_id: 4.4.2
+ name: "Assurer l\u2019exploitation d\u2019un point d\u2019acc\xE8s Wifi"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2
+ ref_id: 4.4.2.1
+ description: "L\u2019administration d\u2019un point d\u2019acc\xE8s Wifi doit\
+ \ \xEAtre r\xE9alis\xE9e depuis le r\xE9seau filaire interne du SIS, de pr\xE9\
+ f\xE9rence \xE0 partir d\u2019un r\xE9seau d\u2019administration logiquement\
+ \ s\xE9par\xE9 et en utilisant un protocole s\xE9curis\xE9 (ex : HTTPS, SSH,\
+ \ \u2026). \n\nLes interfaces d\u2019administration du point d\u2019acc\xE8\
+ s ne doivent pas \xEAtre disponibles depuis le r\xE9seau Wifi."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2
+ ref_id: 4.4.2.2
+ description: "Le micrologiciel de chaque point d\u2019acc\xE8s Wifi doit \xEA\
+ tre maintenu et mis \xE0 jour r\xE9guli\xE8rement."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2
+ ref_id: 4.4.2.3
+ description: "Pour s'assurer de la compatibilit\xE9 des mat\xE9riels utilis\xE9\
+ s pour la mise en \u0153uvre d\u2019un point d\u2019acc\xE8s Wifi, des tests\
+ \ pr\xE9alables doivent \xEAtre r\xE9alis\xE9s."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2
+ ref_id: 4.4.2.4
+ description: "La gestion des traces doit \xEAtre activ\xE9e sur les points d\u2019\
+ acc\xE8s Wifi. Les traces doivent \xEAtre centralis\xE9es et analys\xE9es\
+ \ r\xE9guli\xE8rement pour identifier des anomalies potentielles dans les\
+ \ acc\xE8s effectu\xE9s (heures d\u2019acc\xE8s, volumes de donn\xE9es \xE9\
+ chang\xE9es\u2026)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2
+ ref_id: 4.4.2.5
+ description: "Les traces g\xE9n\xE9r\xE9es par les points d\u2019acc\xE8s Wifi\
+ \ doivent \xEAtre g\xE9r\xE9es conform\xE9ment aux r\xE8gles de la th\xE9\
+ matique 7-2.2."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.2
+ ref_id: 4.4.2.6
+ description: "Le r\xE9seau du SI ne doit pas accueillir de bornes Wifi non g\xE9\
+ r\xE9es par le responsable du SI (ex. bornes Wifi \xAB pirates \xBB). Des\
+ \ contr\xF4les doivent \xEAtre men\xE9s r\xE9guli\xE8rement pour s\u2019en\
+ \ assurer."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4
+ ref_id: 4.4.3
+ name: "S\xE9curiser la mise en place d\u2019un point d\u2019acc\xE8s Wifi invit\xE9\
+ \""
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3
+ ref_id: 4.4.3.1
+ description: "Les r\xE8gles des th\xE9matiques pr\xE9c\xE9dentes (T4-4.1 et\
+ \ T4-4.2) sont \xE9galement applicables aux points d\u2019acc\xE8s wifi \xAB\
+ \ invit\xE9 \xBB, \xE0 l\u2019exception des r\xE8gles 4.4.1.8, 4.4.1.9, 4.4.1.12,\
+ \ 4.4.1.13, 4.4.1.14 et 4.4.2.4 qui ne s\u2019appliquent pas dans ce cas."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3
+ ref_id: 4.4.3.2
+ description: "Le SI interne doit \xEAtre strictement cloisonn\xE9 du r\xE9seau\
+ \ Wifi mis \xE0 disposition des invit\xE9s pour ne pas permettre l\u2019acc\xE8\
+ s aux ressources du SI interne. Dans l\u2019id\xE9al, l\u2019acc\xE8s invit\xE9\
+ \ doit disposer d\u2019une infrastructure d\xE9di\xE9e \xE0 cet usage et ne\
+ \ donnant acc\xE8s \xE0 aucune ressource du SI interne. A d\xE9faut, un cloisonnement\
+ \ logique doit \xEAtre mis en \u0153uvre."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3
+ ref_id: 4.4.3.3
+ description: "L\u2019acc\xE8s Wifi Invit\xE9 doit \xEAtre conditionn\xE9 soit\
+ \ par un code d\u2019acc\xE8s disponible \xE0 l\u2019int\xE9rieur des locaux\
+ \ et chang\xE9 r\xE9guli\xE8rement soit par un code personnel attribu\xE9\
+ \ de mani\xE8re individuelle suite \xE0 une proc\xE9dure d\u2019enregistrement\
+ \ (accueil par exemple) soit \xE9ventuellement apr\xE8s enregistrement aupr\xE8\
+ s d\u2019un serveur/portail 802.1X ou d\u2019un portail captif."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3
+ ref_id: 4.4.3.4
+ description: "Dans le cas o\xF9 un code personnel est n\xE9cessaire pour l\u2019\
+ acc\xE8s Wifi invit\xE9, la proc\xE9dure d\u2019enregistrement doit comporter\
+ \ l\u2019approbation par l\u2019invit\xE9 des conditions d\u2019utilisation\
+ \ de l\u2019acc\xE8s Wifi Invit\xE9 ou l\u2019acceptation obligatoire de ces\
+ \ \xE9l\xE9ments lors de sa demande de connexion au r\xE9seau. Elle peut comporter\
+ \ la v\xE9rification et la consignation de l\u2019identit\xE9 du demandeur."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3
+ ref_id: 4.4.3.5
+ description: "Une trace des connexions Wifi des utilisateurs doit comporter\
+ \ les \xE9l\xE9ments suivants s\u2019ils sont disponibles : \n\n- les informations\
+ \ permettant d'identifier l'utilisateur ; \n- les donn\xE9es relatives aux\
+ \ \xE9quipements terminaux de communication utilis\xE9s (par exemple adresse\
+ \ MAC, type d\u2019\xE9quipement, adresse IP attribu\xE9e\u2026) ; \n- les\
+ \ caract\xE9ristiques techniques ainsi que la date, l'horaire et la dur\xE9\
+ e de chaque communication (protocole utilis\xE9 http, https, \u2026) ; \n\
+ - les donn\xE9es relatives aux services compl\xE9mentaires demand\xE9s ou\
+ \ utilis\xE9s et leurs fournisseurs ;\n- les donn\xE9es permettant d'identifier\
+ \ le ou les destinataires de la communication (par exemple adresse IP ou nom\
+ \ DNS du site web consult\xE9)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3
+ ref_id: 4.4.3.6
+ description: "La dur\xE9e de connexion d\u2019un invit\xE9 doit \xEAtre temporaire\
+ \ et sa dur\xE9e explicitement indiqu\xE9e lors de l\u2019authentification\
+ \ au service. D\xE8s lors que le d\xE9lai est d\xE9pass\xE9, la connexion\
+ \ wifi doit \xEAtre automatiquement interrompue."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3
+ ref_id: 4.4.3.7
+ description: "Des \xE9l\xE9ments de sensibilisation \xE0 la s\xE9curit\xE9 doivent\
+ \ \xEAtre port\xE9s \xE0 la connaissance des \xAB invit\xE9s \xBB utilisant\
+ \ le wifi notamment concernant le caract\xE8re public de l\u2019acc\xE8s mis\
+ \ \xE0 disposition, le fait qu\u2019il n\u2019est pas sp\xE9cifiquement s\xE9\
+ curis\xE9 par la structure h\xE9bergeant cet acc\xE8s (ex. pas d\u2019antivirus,\
+ \ pas de protection anti- intrusion des terminaux se connectant \xE0 l\u2019\
+ acc\xE8s wifi\u2026) et les conditions d\u2019usage (ex. engagement de sa\
+ \ responsabilit\xE9 en cas de non-respect de la loi, existence \xE9ventuelle\
+ \ de mesures de filtrage et de trace des acc\xE8s et des droits dont il dispose\
+ \ sur ce sujet\u2026). \n\nCes \xE9l\xE9ments peuvent par exemple \xEAtre\
+ \ int\xE9gr\xE9s aux supports d'informations diffus\xE9s aux utilisateurs\
+ \ (ex. livret d'accueil, affiches en zone d'admission, dans les chambres et/ou\
+ \ dans les espaces usagers internet, page d\u2019accueil du portail d\u2019\
+ acc\xE8s au wifi\u2026)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3.8
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.4.3
+ ref_id: 4.4.3.8
+ description: "Un filtrage doit \xEAtre mis en place afin d\u2019interdire l\u2019\
+ acc\xE8s aux sites web dont la consultation est interdite aux mineurs ou dont\
+ \ le contenu est ill\xE9gal. Un filtrage plus contraignant peut \xEAtre mis\
+ \ en place conform\xE9ment \xE0 la charte d\u2019utilisation d\u2019acc\xE8\
+ s et d\u2019usage du SI de la structure."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4
+ ref_id: '4.5'
+ name: "Prot\xE9ger l\u2019acc\xE8s aux syst\xE8mes"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5
+ ref_id: 4.5.1
+ name: "G\xE9rer les mots de passe pour qu\u2019ils pr\xE9sentent une robustesse\
+ \ appropri\xE9e"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1
+ ref_id: 4.5.1.1
+ description: "Les r\xE8gles de constitution des mots de passe doivent \xEAtre\
+ \ \xE9tablies et communiqu\xE9es aux utilisateurs. Les mots de passe doivent\
+ \ : \n\n- Avoir une longueur d\u2019au moins 10 caract\xE8res ; \n- Avoir\
+ \ une longueur d\u2019au plus 24 caract\xE8res ; \n- Etre constitu\xE9s de\
+ \ caract\xE8res de quatre types : lettres majuscules, lettres minuscules,\
+ \ chiffres et caract\xE8res \xAB sp\xE9ciaux \xBB (ponctuation, parenth\xE8\
+ ses, di\xE8se, pourcent, \u2026) ; \n- Contenir au moins un caract\xE8re de\
+ \ chaque type mentionn\xE9 ci-dessus ; \n- Etre diff\xE9rents des trois derniers\
+ \ mots de passe utilis\xE9s. \uF040 Concernant les caract\xE8res sp\xE9ciaux,\
+ \ il est souhaitable de pr\xE9ciser explicitement la liste des caract\xE8\
+ res sp\xE9ciaux accept\xE9s pour les mots de passes du syst\xE8me concern\xE9\
+ . \uF040 Il est utile de pr\xE9ciser la longueur maximale des mots de passe\
+ \ support\xE9e par le syst\xE8me."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1
+ ref_id: 4.5.1.2
+ description: "Une r\xE8gle aussi peu d\xE9grad\xE9e que possible doit \xEAtre\
+ \ explicitement d\xE9finie pour la constitution des mots de passe sur les\
+ \ syst\xE8mes qui ne supportent pas l\u2019ensemble des r\xE8gles \xE9nonc\xE9\
+ es pr\xE9c\xE9demment."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1
+ ref_id: 4.5.1.3
+ description: "Des actions initiales et r\xE9currentes de formation des utilisateurs\
+ \ aux r\xE8gles de constitution des mots de passe doivent \xEAtre organis\xE9\
+ es. Ces actions doivent \xE9galement leur proposer des moyens simples de constituer\
+ \ des mots de passe robustes et conformes aux r\xE8gles."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1
+ ref_id: 4.5.1.4
+ description: "Les utilisateurs doivent \xEAtre form\xE9s \xE0 ne pas utiliser\
+ \ d\u2019information \xAB publique \xBB pour constituer leur mots de passe,\
+ \ telles que : \n\n- Mots du dictionnaire (quelle qu\u2019en soit la langue)\
+ \ \n- Pr\xE9noms \n- Nom avec lesquels ils ont un lien (nom d\u2019un proche,\
+ \ de leur lieu de r\xE9sidence, nom ou sigle de l\u2019\xE9tablissement, nom\
+ \ du fournisseur appos\xE9 sur un \xE9quipement pr\xE9sent \xE0 c\xF4t\xE9\
+ \ d\u2019eux ou sur un panneau en face de la fen\xEAtre de leur bureau, \u2026\
+ ) \n- Leur date de naissance ou celle d\u2019un proche, date de mariage...\
+ \ (notamment pour les codes PIN) \n- Immatriculation de leur v\xE9hicule \n\
+ - Etc."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1
+ ref_id: 4.5.1.5
+ description: "Des r\xE8gles de renouvellement de mot de passe doivent \xEAtre\
+ \ d\xE9finies et leur bonne application impos\xE9e par les syst\xE8mes, ou\
+ \ \xE0 d\xE9faut v\xE9rifi\xE9e par le personnel en charge de la SSI. Ces\
+ \ r\xE8gles peuvent \xEAtre modul\xE9es en fonction du contexte. Par exemple\
+ \ : \n\n- Pour un syst\xE8me o\xF9 le respect de la r\xE8gle de robustesse\
+ \ est assur\xE9, renouvellement trimestriel ; \n- Pour un syst\xE8me sensible\
+ \ qui ne peut garantir le respect de la r\xE8gle de robustesse, renouvellement\
+ \ mensuel ; \n- Pour un syst\xE8me sans sensibilit\xE9 particuli\xE8re et\
+ \ pour lequel le changement de mot de passe est lourd \xE0 r\xE9aliser, renouvellement\
+ \ semestriel. \n\nUne d\xE9cision doit \xEAtre prise apr\xE8s analyse des\
+ \ enjeux dans le cas o\xF9 des contraintes contradictoires du point de vue\
+ \ s\xE9curit\xE9 apparaissent, par exemple un syst\xE8me sensible qui ne permet\
+ \ pas de garantir des mots de passe robustes et dont le changement des mots\
+ \ de passe est laborieux pour les utilisateurs. Dans un tel cas, une acceptation\
+ \ \xE9clair\xE9e des risques qui d\xE9coulent \xE9ventuellement de la d\xE9\
+ cision doit \xEAtre formalis\xE9e par le responsable m\xE9tier concern\xE9\
+ ."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1
+ ref_id: 4.5.1.6
+ description: "Tout dispositif qui supporte cette fonctionnalit\xE9 doit \xEA\
+ tre param\xE9tr\xE9 pour que, lors du changement de mot de passe par l\u2019\
+ utilisateur, tout mot de passe non conforme \xE0 la r\xE8gle de constitution\
+ \ soit refus\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1
+ ref_id: 4.5.1.7
+ description: "Tout dispositif qui supporte cette fonctionnalit\xE9 doit \xEA\
+ tre param\xE9tr\xE9 pour que, lors du changement de mot de passe par l\u2019\
+ utilisateur, tout mot de passe identique \xE0 l\u2019un des trois mots de\
+ \ passe pr\xE9c\xE9demment utilis\xE9s soit refus\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.8
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1
+ ref_id: 4.5.1.8
+ description: "Le mot de passe initial, attribu\xE9 au titulaire d\u2019un compte\
+ \ nouvellement cr\xE9\xE9 sur un dispositif ou suite \xE0 l\u2019oubli ou\
+ \ l\u2019annulation d\u2019un mot de passe, doit \xEAtre g\xE9n\xE9r\xE9 al\xE9\
+ atoirement \xE0 chaque fois et se conformer \xE0 la r\xE8gle de constitution\
+ \ des mots de passe. Ce mot de passe doit \xEAtre chang\xE9 par l\u2019utilisateur\
+ \ d\xE8s sa premi\xE8re authentification."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1.9
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.1
+ ref_id: 4.5.1.9
+ description: "Une proc\xE9dure r\xE9currente, par exemple mensuelle, de v\xE9\
+ rification de la qualit\xE9 des mots de passe doit \xEAtre mise en place afin\
+ \ de d\xE9tecter les mots de passe trop \xAB faibles \xBB qu\u2019une personne\
+ \ mal intentionn\xE9e pourrait trouver \xE0 l\u2019aide d\u2019outils sp\xE9\
+ cialis\xE9s. \n\nCette proc\xE9dure doit \xEAtre ex\xE9cut\xE9e par un groupe\
+ \ restreint de personnes de confiance, typiquement des membres de l\u2019\xE9\
+ quipe en charge de la SSI, \xE0 l\u2019aide des m\xEAmes outils librement\
+ \ disponibles que ceux utilisables par des personnes malveillantes. \n\nCes\
+ \ outils doivent rechercher les mots de passe pendant une dur\xE9e donn\xE9\
+ e, par exemple 24h et produire la liste des utilisateurs pour lesquels le\
+ \ mot de passe a \xE9t\xE9 trouv\xE9 dans ce d\xE9lai (avec le cas \xE9ch\xE9\
+ ant le d\xE9lai utilisateur par utilisateur). \n\nCette liste doit rester\
+ \ strictement confidentielle et chaque utilisateur doit \xEAtre inform\xE9\
+ \ individuellement et discr\xE8tement de la n\xE9cessit\xE9 de changer imm\xE9\
+ diatement son mot de passe, avec p\xE9dagogie et en lui rappelant les r\xE8\
+ gles et conseils associ\xE9s. \n\nA aucun moment les mots de passe trouv\xE9\
+ s ne doivent \xEAtre affich\xE9s ou stock\xE9s de quelque mani\xE8re que ce\
+ \ soit."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5
+ ref_id: 4.5.2
+ name: Verrouiller les postes de travail
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2
+ ref_id: 4.5.2.1
+ description: "Les utilisateurs doivent \xEAtre sensibilis\xE9s \xE0 la protection\
+ \ des \xE9quipements du SI qui leur sont confi\xE9s, afin qu\u2019ils prennent\
+ \ l\u2019habitude de se d\xE9connecter ou de les verrouiller quand ils s\u2019\
+ absentent."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2
+ ref_id: 4.5.2.2
+ description: "Si un moyen mat\xE9riel (carte \xE0 puce ou autre) est utilis\xE9\
+ \ pour l\u2019authentification des utilisateurs sur leur poste, son extraction\
+ \ du poste doit entra\xEEner le verrouillage imm\xE9diat du poste ou la d\xE9\
+ connexion logique de l\u2019utilisateur.\n\nLes utilisateurs doivent alors\
+ \ prendre l\u2019habitude de toujours garder leur carte avec eux et de la\
+ \ retirer du lecteur quand ils s\u2019absentent.\n\nL\u2019utilisation de\
+ \ cette m\xEAme carte pour le contr\xF4le d\u2019acc\xE8s physique aux locaux\
+ \ peut renforcer cette prise d\u2019habitude."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2
+ ref_id: 4.5.2.3
+ description: "Le verrouillage automatique des postes de travail apr\xE8s une\
+ \ dur\xE9e d\u2019inactivit\xE9 compatible avec les activit\xE9s des utilisateurs,\
+ \ \xE9ventuellement coupl\xE9 \xE0 une mise en veille, doit \xEAtre activ\xE9\
+ . Le param\xE9trage d\u2019une dur\xE9e d\u2019inactivit\xE9 de 30 minutes\
+ \ est g\xE9n\xE9ralement adapt\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.2
+ ref_id: 4.5.2.4
+ description: "Les postes de travail doivent \xEAtre param\xE9tr\xE9s pour qu\u2019\
+ \xE0 leur sortie de veille ou \xE0 la sortie de veille de leur \xE9cran, ils\
+ \ soient verrouill\xE9s et imposent \xE0 l\u2019utilisateur de s\u2019authentifier\
+ \ \xE0 nouveau."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5
+ ref_id: 4.5.3
+ name: "Assurer la protection logique des \xE9quipements informatiques"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3
+ ref_id: 4.5.3.1
+ description: "Tout poste de travail fixe ou mobile, ordiphone ou tablette doit\
+ \ disposer d\u2019un logiciel antivirus."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3
+ ref_id: 4.5.3.2
+ description: "Tout serveur, quel que soit son syst\xE8me d\u2019exploitation,\
+ \ qui stocke ou par lequel peuvent transiter des contenus A B ------ dans\
+ \ des formats susceptible de cacher des logiciels malveillants, doit disposer\
+ \ d\u2019un logiciel antivirus.\n\nLes formats susceptibles d\u2019h\xE9berger\
+ \ des logiciels malveillants et pris en compte par les antivirus du march\xE9\
+ \ sont notamment : \n\n- L\u2019ensemble des logiciels pour plateformes Microsoft\
+ \ ; \n- L\u2019ensemble des fichiers bureautiques (traitement de texte, pr\xE9\
+ sentation, tableur, \u2026); \n- Les fichiers PDF ; \n- Les fichiers images\
+ \ et vid\xE9o ; \n- Les fichiers \xAB archives \xBB (.ZIP, .RAR, .TAR\u2026\
+ ) \n- Les fichiers en langage de \xAB script \xBB de toutes natures (.BAT,\
+ \ .JS \u2026)"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3
+ ref_id: 4.5.3.3
+ description: "L\u2019antivirus de chaque \xE9quipement doit \xEAtre param\xE9\
+ tr\xE9 pour se mettre \xE0 jour sans intervention de l\u2019utilisateur avec\
+ \ une p\xE9riodicit\xE9 au moins journali\xE8re. Les \xE9quipements qui ne\
+ \ sont pas connect\xE9s en permanence au r\xE9seau doivent mettre \xE0 jour\
+ \ leur antivirus d\xE8s qu\u2019ils sont connect\xE9s."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3
+ ref_id: 4.5.3.4
+ description: "Une proc\xE9dure et si possible un moyen automatis\xE9 tel qu\u2019\
+ une plateforme de gestion centralis\xE9e, doivent garantir qu\u2019un antivirus\
+ \ est effectivement install\xE9, activ\xE9 et \xE0 jour sur tout \xE9quipement\
+ \ qui doit en \xEAtre dot\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3
+ ref_id: 4.5.3.5
+ description: "Le personnel informatique doit \xEAtre alert\xE9 en cas d\u2019\
+ anomalie de pr\xE9sence, d\u2019activit\xE9 ou de mise \xE0 jour d\u2019antivirus,\
+ \ ainsi qu\u2019en cas de d\xE9tection de fichier potentiellement malveillant\
+ \ sur un \xE9quipement."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3
+ ref_id: 4.5.3.6
+ description: "L\u2019\xE9tat d\u2019activation et de mise \xE0 jour de l\u2019\
+ antivirus doit \xEAtre clairement visible de l\u2019utilisateur, qui doit\
+ \ pouvoir d\xE9clencher manuellement une mise \xE0 jour s\u2019il le consid\xE8\
+ re n\xE9cessaire."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3
+ ref_id: 4.5.3.7
+ description: "Les utilisateurs doivent \xEAtre sensibilis\xE9s \xE0 l\u2019\
+ importance de la pr\xE9sence d\u2019un antivirus actif et \xE0 jour sur leur\
+ \ poste de travail. Ils doivent \xEAtre encourag\xE9s \xE0 en v\xE9rifier\
+ \ occasionnellement l\u2019\xE9tat (et ce d\u2019autant plus si une v\xE9\
+ rification centralis\xE9e automatique n\u2019est pas possible)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.8
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3
+ ref_id: 4.5.3.8
+ description: "Tout \xE9quipement qui supporte cette fonctionnalit\xE9 (serveur,\
+ \ poste de travail, certains ordiphones, tablettes) doit disposer d\u2019\
+ un syst\xE8me pare-feu activ\xE9 et param\xE9tr\xE9 pour limiter strictement\
+ \ les \xE9changes r\xE9seau aux flux n\xE9cessaires. \n\nDans la plupart des\
+ \ environnements, les seuls \xE9changes r\xE9seau utiles qui impliquent les\
+ \ postes de travail ou les imprimantes sont r\xE9alis\xE9s avec les serveurs.\
+ \ \n\nD\xE8s lors, si le r\xE9seau est correctement structur\xE9, il est possible\
+ \ d\u2019interdire, \xE0 l\u2019aide du pare-feu du poste, tout flux entre\
+ \ le poste et les adresses r\xE9seau qui ne sont pas susceptibles d\u2019\
+ appartenir \xE0 un serveur. \n\nCette mesure restreint consid\xE9rablement\
+ \ les possibilit\xE9s de propagation d\u2019activit\xE9s malveillantes ou\
+ \ non pr\xE9vues entre les postes de travail, tout en facilitant la d\xE9\
+ tection de flux anormaux entre deux points qui ne devraient pas \xEAtre en\
+ \ mesure de communiquer (r\xE9v\xE9lant par exemple un poste connect\xE9 illicitement,\
+ \ voire en train de r\xE9aliser une exploration du r\xE9seau pour pr\xE9parer\
+ \ une action malveillante)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.9
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3
+ ref_id: 4.5.3.9
+ description: "Les serveurs de messagerie, postes de travail, ordiphones et tablettes\
+ \ doivent disposer d\u2019une fonction anti-spam activ\xE9e et mise \xE0 jour\
+ \ selon les m\xEAmes principes que pour l\u2019antivirus.\n\nLa fonctionnalit\xE9\
+ \ anti-spam est parfois int\xE9gr\xE9e au logiciel antivirus."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.10
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3
+ ref_id: 4.5.3.10
+ description: "Seuls les logiciels et services effectivement n\xE9cessaires au\
+ \ bon fonctionnement des \xE9quipements et \xE0 l\u2019activit\xE9 pr\xE9\
+ vue doivent \xEAtre install\xE9s et activ\xE9s. Les autres doivent \xEAtre\
+ \ d\xE9sinstall\xE9s si c\u2019est possible (et de pr\xE9f\xE9rence ne jamais\
+ \ \xEAtre install\xE9s), ou \xE0 d\xE9faut \xEAtre d\xE9sactiv\xE9s."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3.11
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.3
+ ref_id: 4.5.3.11
+ description: "L\u2019usage de privil\xE8ges \xAB administrateur \xBB sur les\
+ \ \xE9quipements (postes de travail notamment) doit \xEAtre limit\xE9 au strict\
+ \ n\xE9cessaire.\n\nSur les syst\xE8mes informatiques o\xF9 le changement\
+ \ fr\xE9quent de niveau de privil\xE8ge n\u2019est pas possible ou se fait\
+ \ de mani\xE8re peu naturelle (certains syst\xE8mes Windows par exemple),\
+ \ seuls les administrateurs syst\xE8mes \xE0 plein temps doivent pouvoir disposer\
+ \ d\u2019un compte principal qui poss\xE8de le privil\xE8ge \xAB administrateur\
+ \ \xBB ;\n\nSur les syst\xE8mes informatiques o\xF9 le changement de niveau\
+ \ de privil\xE8ge est simple (syst\xE8mes de la famille Unix, Linux\u2026\
+ \ par exemple), ou pour une utilisation qui ne n\xE9cessite que ponctuellement\
+ \ le privil\xE8ge \xAB administrateur \xBB (ex. : utilisateur assurant ponctuellement\
+ \ des fonctions d\u2019administration syst\xE8me, d\xE9veloppeur, \u2026),\
+ \ il convient de favoriser l\u2019utilisation d\u2019un compte principal sans\
+ \ privil\xE8ge particulier et d\u2019un compte secondaire privil\xE9gi\xE9\
+ \ qui permet de lancer ponctuellement des commandes en mode administrateur\
+ \ \xE0 l\u2019aide de fonctionnalit\xE9s telles que \xAB ex\xE9cuter en tant\
+ \ que\u2026 \xBB.\n\nLe p\xE9rim\xE8tre d\u2019action des privil\xE8ges administrateurs\
+ \ doit \xEAtre restreint au strict n\xE9cessaire (ex. : dans le cas du compte\
+ \ secondaire privil\xE9gi\xE9 d\u2019un d\xE9veloppeur, le p\xE9rim\xE8tre\
+ \ des droits administrateur doit se limiter \xE0 son seul poste de travail\
+ \ et non pas s\u2019\xE9tendre \xE0 l\u2019ensemble du SI)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5
+ ref_id: 4.5.4
+ name: "V\xE9rifier l\u2019authenticit\xE9 des logiciels"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4
+ ref_id: 4.5.4.1
+ description: "L\u2019installation de logiciels doit se faire \xE0 l\u2019aide\
+ \ des supports originaux (CD, DVD) tels qu\u2019obtenus du fournisseur, \xE0\
+ \ l\u2019exclusion de toute copie et pr\xE9sentant les caract\xE9ristiques\
+ \ visuelles attendues quand l\u2019\xE9diteur pr\xE9voit une telle disposition\
+ \ (ex. : image holographique pour les supports des logiciels Microsoft)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4
+ ref_id: 4.5.4.2
+ description: "Quand le logiciel est t\xE9l\xE9charg\xE9 depuis Internet, qu\u2019\
+ il ait \xE9t\xE9 achet\xE9 ou qu\u2019il soit gratuit, l\u2019authenticit\xE9\
+ \ du site d\u2019obtention et de t\xE9l\xE9chargement doit \xEAtre v\xE9rifi\xE9\
+ e : l\u2019acc\xE8s doit utiliser le protocole HTTPS et le certificat de s\xE9\
+ curit\xE9 pr\xE9sent\xE9 par le site web doit \xEAtre valide et coh\xE9rent\
+ \ avec les attentes (nom du titulaire du certificat, autorit\xE9 de certification\
+ \ connue\u2026)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4
+ ref_id: 4.5.4.3
+ description: "Quand le logiciel est t\xE9l\xE9charg\xE9 depuis Internet, des\
+ \ sommes de contr\xF4le (MD5, SHA) sont parfois publi\xE9es (g\xE9n\xE9ralement\
+ \ pour les logiciels libres) et doivent alors \xEAtre utilis\xE9es pour v\xE9\
+ rifier l\u2019int\xE9grit\xE9 des logiciels obtenus."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4
+ ref_id: 4.5.4.4
+ description: "Certains syst\xE8mes d\u2019exploitation (versions r\xE9centes\
+ \ des syst\xE8mes Microsoft, nombreuses distributions Linux) mettent en \u0153\
+ uvre des dispositifs de v\xE9rification automatique et syst\xE9matique de\
+ \ l\u2019authenticit\xE9 des logiciels au moment de leur installation via\
+ \ les outils pr\xE9vus par le syst\xE8me ou lors de leur mise \xE0 jour. Une\
+ \ alerte de d\xE9faut d\u2019authenticit\xE9 doit \xEAtre r\xE9dhibitoire\
+ \ pour l\u2019installation. Une alerte d\u2019absence de possibilit\xE9 de\
+ \ v\xE9rification doit \xEAtre prise en compte avec le plus grand s\xE9rieux\
+ \ et, dans le doute, aboutir \xE0 l\u2019abandon de l\u2019installation du\
+ \ logiciel."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.4
+ ref_id: 4.5.4.5
+ description: "Si des logiciels destin\xE9s \xE0 \xEAtre install\xE9s sont stock\xE9\
+ s sur un \xAB serveur d\u2019installation \xBB, un dispositif de contr\xF4\
+ le d\u2019int\xE9grit\xE9 de ces logiciels doit \xEAtre mis en \u0153uvre\
+ \ afin de garantir qu\u2019ils ne sont pas modifi\xE9s entre le moment o\xF9\
+ \ ils sont d\xE9pos\xE9s sur le serveur et celui o\xF9 ils sont utilis\xE9\
+ s pour des installation effectives."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5
+ ref_id: 4.5.5
+ name: "Proc\xE9der \xE0 une mise \xE0 niveau r\xE9guli\xE8re des moyens informatiques"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5
+ ref_id: 4.5.5.1
+ description: "Une proc\xE9dure qui garantit la mise \xE0 jour r\xE9guli\xE8\
+ re de chaque logiciel du parc informatique doit \xEAtre mise en place. Dans\
+ \ les environnements informatiques simples, pour les \xE9quipements qui disposent\
+ \ d\u2019une configuration de logiciels standard, une mise \xE0 jour automatis\xE9\
+ e doit \xEAtre favoris\xE9e chaque fois que possible. Dans les cas de parcs\
+ \ informatiques importants ou d\u2019\xE9quipements qui h\xE9bergent des logiciels\
+ \ multiples et h\xE9t\xE9rog\xE8nes et notamment si des risques d\u2019incompatibilit\xE9\
+ s entre logiciels sont identifi\xE9s, il est recommand\xE9 que la mise \xE0\
+ \ jour soit r\xE9alis\xE9e sur une plateforme de validation avant d\xE9ploiement\
+ \ en environnement de production."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5
+ ref_id: 4.5.5.2
+ description: "Les correctifs de s\xE9curit\xE9 doivent imp\xE9rativement \xEA\
+ tre appliqu\xE9s, \xE0 moins : \n\n- qu\u2019il ne soit d\xE9montr\xE9 que\
+ \ les vuln\xE9rabilit\xE9s corrig\xE9es par ce correctif ne peuvent \xEAtre\
+ \ exploit\xE9es d\u2019aucune fa\xE7on dans ce contexte particulier ; \n-\
+ \ ou que le responsable m\xE9tier de l\u2019\xE9quipement concern\xE9 comprenne\
+ \ pleinement et accepte les risques induits par l\u2019existence des vuln\xE9\
+ rabilit\xE9s qui devaient \xEAtre trait\xE9es par le correctif et que le responsable\
+ \ de la SSI v\xE9rifie que la persistance de ces vuln\xE9rabilit\xE9s non\
+ \ corrig\xE9es sur l\u2019\xE9quipement ne peut en aucun cas induire des risques\
+ \ suppl\xE9mentaires pour le reste du SI."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5
+ ref_id: 4.5.5.3
+ description: "Une attention particuli\xE8re doit \xEAtre port\xE9e \xE0 l\u2019\
+ identification de la date de fin de maintenance d\u2019un logiciel ou d\u2019\
+ un \xE9quipement par l\u2019industriel. Le composant doit \xEAtre remplac\xE9\
+ \ par un autre maintenu par un industriel avant cette \xE9ch\xE9ance."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.5
+ ref_id: 4.5.5.4
+ description: "L\u2019absence de mise \xE0 disposition r\xE9guli\xE8re de correctif\
+ \ ou mise \xE0 niveau des logiciels d\u2019un \xE9quipement informatis\xE9\
+ \ de quelque type que ce soit doit d\xE9clencher une action \xE0 l\u2019\xE9\
+ gard de ce fournisseur, soit pour obtenir les derni\xE8res mises \xE0 jour,\
+ \ soit pour envisager de changer de fournisseur."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5
+ ref_id: 4.5.6
+ name: "Assurer la protection logique des supports informatiques et \xE9quipements\
+ \ mobiles qui contiennent des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6
+ ref_id: 4.5.6.1
+ description: "Un \xE9quipement mobile (ordiphones, tablettes, ordinateur portable)\
+ \ ne doit \xEAtre autoris\xE9 \xE0 stocker des donn\xE9es de sant\xE9 \xE0\
+ \ caract\xE8re personnel ou \xE0 se connecter au SI que s\u2019il int\xE8\
+ gre les fonctions de s\xE9curit\xE9 suivantes, de fa\xE7on native ou gr\xE2\
+ ce \xE0 des logiciels additionnels : \n\n- antivirus ; \n- ma\xEEtrise par\
+ \ les services informatiques de la configuration de l\u2019\xE9quipement et\
+ \ des logiciels install\xE9s ; \n- pare-feu."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6
+ ref_id: 4.5.6.2
+ description: "Un \xE9quipement mobile ne doit \xEAtre autoris\xE9 \xE0 stocker\
+ \ des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel que si : \n\n- il\
+ \ int\xE8gre une fonction de chiffrement des donn\xE9es, de fa\xE7on native\
+ \ ou gr\xE2ce \xE0 un logiciel additionnel ; \n- cette fonction est effectivement\
+ \ appliqu\xE9e aux donn\xE9es sensibles."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6
+ ref_id: 4.5.6.3
+ description: "Tout service ou fonction qui n\u2019est pas n\xE9cessaire \xE0\
+ \ l\u2019activit\xE9 pr\xE9vue sur l\u2019\xE9quipement mobile doit \xEAtre\
+ \ d\xE9sinstall\xE9, ou \xE0 d\xE9faut d\xE9sactiv\xE9, ou si ce n\u2019est\
+ \ pas possible, bloqu\xE9 par le pare-feu."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6
+ ref_id: 4.5.6.4
+ description: "Les donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel stock\xE9\
+ es sur un support de donn\xE9es mobile (cl\xE9s USB, disque dur externe ou\
+ \ amovible\u2026) doivent \xEAtre chiffr\xE9es.\n\nDes cl\xE9s USB qui int\xE8\
+ grent des m\xE9canismes de s\xE9curit\xE9 (contr\xF4le d\u2019acc\xE8s par\
+ \ mot de passe et chiffrement) sont disponibles sur le march\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6
+ ref_id: 4.5.6.5
+ description: "Le choix d\u2019outils de s\xE9curit\xE9 qui b\xE9n\xE9ficient\
+ \ d\u2019un r\xE9f\xE9rencement sur le site de l\u2019ANSSI (www.ssi.gouv.fr)\
+ \ doit \xEAtre favoris\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6
+ ref_id: 4.5.6.6
+ description: "Sauf d\xE9rogation, il doit \xEAtre interdit de transporter des\
+ \ donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel \xE0 l\u2019ext\xE9rieur\
+ \ de l\u2019\xE9tablissement."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6
+ ref_id: 4.5.6.7
+ description: "Une proc\xE9dure doit d\xE9finir les modalit\xE9s de d\xE9livrance\
+ \ des autorisations d\xE9rogatoires de transport des donn\xE9es de sant\xE9\
+ \ \xE0 caract\xE8re personnel \xE0 l\u2019ext\xE9rieur de l\u2019\xE9tablissement,\
+ \ les conditions \xE0 respecter, le responsable qui les d\xE9livre et la revue\
+ \ au moins annuelle de ces d\xE9rogations."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.8
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6
+ ref_id: 4.5.6.8
+ description: "L\u2019autorisation d\xE9rogatoire de transport des donn\xE9es\
+ \ de sant\xE9 \xE0 caract\xE8re personnel \xE0 l\u2019ext\xE9rieur de l\u2019\
+ \xE9tablissement doit \xEAtre donn\xE9e sous condition d\u2019utilisation\
+ \ de supports de donn\xE9es s\xE9curis\xE9s, explicitement identifi\xE9s et\
+ \ attribu\xE9s nominativement au b\xE9n\xE9ficiaire de l\u2019autorisation\
+ \ qui doit en assumer la responsabilit\xE9 de la protection. Ces supports\
+ \ doivent \xEAtre retourn\xE9s au responsable \xE0 l\u2019\xE9ch\xE9ance de\
+ \ la d\xE9rogation."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6.9
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:4.5.6
+ ref_id: 4.5.6.9
+ description: "Les utilisateurs du SI doivent \xEAtre inform\xE9s des r\xE8gles\
+ \ relatives aux transports de donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel\
+ \ \xE0 l\u2019ext\xE9rieur de l\u2019\xE9tablissement."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5
+ assessable: false
+ depth: 1
+ ref_id: '5'
+ name: "Ma\xEEtriser les acc\xE8s aux informations"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5
+ ref_id: '5.1'
+ name: "Accorder les acc\xE8s aux informations aux seules personnes d\xFBment\
+ \ autoris\xE9es"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1
+ ref_id: 5.1.1
+ name: "Formaliser des r\xE8gles d\u2019acc\xE8s aux informations"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1
+ ref_id: 5.1.1.1
+ description: "Chaque application identifi\xE9e dans l\u2019inventaire des moyens\
+ \ du SI doit mettre en \u0153uvre des droits d\u2019acc\xE8s aux fonctionnalit\xE9\
+ s applicatives et aux donn\xE9es bas\xE9es sur le type d\u2019utilisateur\
+ \ Equipements d\u2019infrastructure syst\xE8me et r\xE9seaux - logiciels"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1
+ ref_id: 5.1.1.2
+ description: "Chaque application a au moins deux types d\u2019utilisateur, qu\u2019\
+ elle distingue \xE0 l\u2019aide de profils applicatifs : \n\n- administrateur\
+ \ technique de l\u2019application ; \n- utilisateur m\xE9tier de l\u2019application.\n\
+ \nSelon les fonctionnalit\xE9s de l\u2019application et la n\xE9cessit\xE9\
+ \ de restreindre l\u2019acc\xE8s aux informations, il peut y avoir plus d\u2019\
+ un profil applicatif pour les utilisateurs m\xE9tiers (ex. pour un logiciel\
+ \ m\xE9dical, un type d\u2019utilisateur \xAB administratif \xBB qui n\u2019\
+ a pas acc\xE8s aux donn\xE9es m\xE9dicales \xE0 caract\xE8re personnel et\
+ \ un type d\u2019utilisateur \xAB professionnel de sant\xE9 \xBB qui a acc\xE8\
+ s aux donn\xE9es m\xE9dicales \xE0 caract\xE8re personnel). \n\nLes utilisateurs\
+ \ doivent, autant que possible, \xEAtre associ\xE9s aux profils applicatifs\
+ \ pr\xE9conis\xE9s par les industriels en fonction de leur activit\xE9 pour\
+ \ les logiciels concern\xE9s. Equipements d\u2019infrastructure syst\xE8me\
+ \ et r\xE9seaux - logiciels"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1
+ ref_id: 5.1.1.3
+ description: "Une liste doit \xEAtre \xE9labor\xE9e et tenue \xE0 jour pour\
+ \ chaque logiciel et \xE9num\xE9rer chaque profil applicatif d\xE9fini dans\
+ \ le logiciel avec les donn\xE9es et les fonctions auxquelles il peut acc\xE9\
+ der."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1
+ ref_id: 5.1.1.4
+ description: "Des profils utilisateurs doivent \xEAtre \xE9labor\xE9s et correspondre\
+ \ aux types de fonctions m\xE9tier assur\xE9es par les personnels de la structure\
+ \ et les personnes ext\xE9rieures ayant vocation \xE0 acc\xE9der au syst\xE8\
+ me d\u2019information (ex. prestataire). \n\nUn profil utilisateur liste,\
+ \ pour un type de fonction m\xE9tier donn\xE9, l\u2019ensemble des applications\
+ \ auxquelles la personne remplissant cette fonction a acc\xE8s et les profils\
+ \ applicatifs associ\xE9s \xE0 cette fonction m\xE9tier dans chaque application.\
+ \ \n\nLa logique d\u2019\xE9laboration d\u2019un profil utilisateur est :\
+ \ \n\n- de ne donner l\u2019acc\xE8s qu\u2019aux applications n\xE9cessaires\
+ \ \xE0 l\u2019ex\xE9cution des t\xE2ches associ\xE9es \xE0 la fonction ; \n\
+ - d\u2019y associer le profil applicatif disposant le moins de droits d\u2019\
+ acc\xE8s possibles mais suffisamment pour r\xE9aliser les t\xE2ches associ\xE9\
+ es \xE0 la fonction ; \n- de ne pas mixer des droits de type administrateur\
+ \ technique et des droits de type utilisateur m\xE9tier ; \n- si la taille\
+ \ de la structure le permet, d\u2019interdire qu\u2019un m\xEAme profil utilisateur\
+ \ ait, via les profils applicatifs qui lui sont associ\xE9s, tous les droits\
+ \ de type administrateur technique sur tous les logiciels. Il est n\xE9cessaire\
+ \ de diff\xE9rencier autant que possible les logiciels qui traitent d\u2019\
+ informations sensibles (donn\xE9es \xE0 caract\xE8re personnel\u2026) des\
+ \ autres logiciels."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1
+ ref_id: 5.1.1.5
+ description: "Une liste des profils utilisateurs avec les types de fonctions\
+ \ m\xE9tier ainsi que les logiciels auxquels ils peuvent acc\xE9der et les\
+ \ profils applicatifs associ\xE9s doit \xEAtre \xE9labor\xE9e et tenue \xE0\
+ \ jour."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1
+ ref_id: 5.1.1.6
+ description: "Les attributions de droits d\u2019acc\xE8s aux utilisateurs en\
+ \ accord avec le(s) profil(s) correspondant \xE0 leur(s) fonction(s) doivent\
+ \ \xEAtre trac\xE9es. Ces traces doivent \xEAtre ais\xE9ment accessibles et\
+ \ compr\xE9hensibles sans expertise ou formation pr\xE9alable particuli\xE8\
+ re."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1
+ ref_id: 5.1.1.7
+ description: "En fonctionnement nominal, seuls les personnels participant \xE0\
+ \ la prise en charge sanitaire d\u2019un usager peuvent avoir acc\xE8s \xE0\
+ \ ses informations de sant\xE9 \xE0 caract\xE8re personnel."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1.8
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.1
+ ref_id: 5.1.1.8
+ description: "De mani\xE8re exceptionnelle, lorsqu\u2019il est n\xE9cessaire\
+ \ d\u2019acc\xE9der aux donn\xE9es au niveau technique (par exemple dans le\
+ \ cadre de la r\xE9solution d\u2019un incident), l\u2019acc\xE8s \xE0 des\
+ \ informations de sant\xE9 \xE0 caract\xE8re personnel doit se faire sous\
+ \ la responsabilit\xE9 des personnes habilit\xE9es \xE0 intervenir sur les\
+ \ donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel en dehors de la prise\
+ \ en charge des usagers. Cet acc\xE8s ne doit \xEAtre accord\xE9 que de mani\xE8\
+ re temporaire. Les raisons de cet acc\xE8s exceptionnel, ainsi que les personnes\
+ \ en ayant b\xE9n\xE9fici\xE9 et la personne sous la responsabilit\xE9 de\
+ \ laquelle il a \xE9t\xE9 r\xE9alis\xE9 doivent \xEAtre enregistr\xE9s et\
+ \ conserv\xE9s au m\xEAme titre que les autres \xE9l\xE9ments de tra\xE7abilit\xE9\
+ \ mis en \u0153uvre par le syst\xE8me d\u2019information tels que d\xE9crit\
+ \ dans le th\xE8me 7-2."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1
+ ref_id: 5.1.2
+ name: "G\xE9rer les acc\xE8s aux informations"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.2
+ ref_id: 5.1.2.1
+ description: "Chaque compte nominatif sur le syst\xE8me d\u2019information doit\
+ \ mettre en \u0153uvre un/des profil(s) utilisateur(s) d\xE9finissant les\
+ \ applications auxquelles l\u2019utilisateur \xE0 acc\xE8s ainsi que les fonctionnalit\xE9\
+ s applicatives qu\u2019il peut utiliser et les donn\xE9es auxquelles il a\
+ \ acc\xE8s. Cette association se fait \xE0 la prise de fonction de l\u2019\
+ utilisateur tel que d\xE9crit dans le th\xE8me 2-2.2"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.2
+ ref_id: 5.1.2.2
+ description: "Chaque logiciel le permettant doit \xEAtre configur\xE9 pour restreindre\
+ \ l\u2019acc\xE8s aux donn\xE9es m\xE9dicales \xE0 caract\xE8re personnel\
+ \ d\u2019un usager aux seuls professionnels prenant en charge cet usager."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1
+ ref_id: 5.1.3
+ name: "Contr\xF4ler r\xE9guli\xE8rement les droits d\u2019acc\xE8s"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.3
+ ref_id: 5.1.3.1
+ description: "Le contr\xF4le des droits d\u2019acc\xE8s, tel que d\xE9crit dans\
+ \ le th\xE8me 2-2.3, doit v\xE9rifier la coh\xE9rence des quatre \xE9l\xE9\
+ ments suivants :\n\n- la liste des types de fonctions avec les profils utilisateurs\
+ \ et les droits d\u2019acc\xE8s qui y sont associ\xE9s ; \n- la liste des\
+ \ utilisateurs et le/les profil(s) qui leur sont attribu\xE9s ; \n- la liste\
+ \ des utilisateurs et des fonctions qu\u2019ils occupent ; \n- la liste des\
+ \ droits effectivement mis en \u0153uvre pour chaque utilisateur."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.3.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.1.3
+ ref_id: 5.1.3.2
+ description: "Chaque contr\xF4le des droits d\u2019acc\xE8s doit porter sur\
+ \ : \n\n- l\u2019ensemble des droits de type administrateur technique et des\
+ \ utilisateurs qui b\xE9n\xE9ficient de ces droits ; \n- un \xE9chantillon\
+ \ des droits de type utilisateur m\xE9tier \xE0 changer \xE0 chaque contr\xF4\
+ le."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5
+ ref_id: '5.2'
+ name: "Adopter les bonnes pratiques en mati\xE8re d\u2019authentification des\
+ \ utilisateurs"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2
+ ref_id: 5.2.1
+ name: "Cr\xE9er des comptes qui respectent les bons usages"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1
+ ref_id: 5.2.1.1
+ description: "Chaque compte utilisateur doit \xEAtre nominatif et uniquement\
+ \ utilis\xE9 par l\u2019utilisateur auquel il est associ\xE9"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1
+ ref_id: 5.2.1.2
+ description: "Si une personne est amen\xE9e \xE0 remplacer une autre personne\
+ \ et qu\u2019elle a besoin de droits d\u2019acc\xE8s compl\xE9mentaires pour\
+ \ ce faire, les profils utilisateurs en question doivent \xEAtre temporairement\
+ \ attribu\xE9s \xE0 son compte nominatif personnel. \n\nElle ne doit en aucun\
+ \ cas utiliser le compte nominatif personnel de la personne remplac\xE9e."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1
+ ref_id: 5.2.1.3
+ description: "Les comptes administrateurs techniques g\xE9n\xE9riques par d\xE9\
+ faut des logiciels et des mat\xE9riels ne doivent pas \xEAtre utilis\xE9s\
+ \ en fonctionnement nominal. \n\nLes droits administrateurs doivent \xEAtre\
+ \ associ\xE9s au compte nominatif des utilisateurs en charge de la fonction\
+ \ d\u2019administrateur technique."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1
+ ref_id: 5.2.1.4
+ description: "Les comptes ayant des droits de type administrateur technique\
+ \ doivent \xEAtre disjoints des comptes ayant des droits de type utilisateur\
+ \ m\xE9tiers. \n\nSi une personne doit, selon les r\xE8gles d\u2019acc\xE8\
+ s aux donn\xE9es telles que pr\xE9sent\xE9es dans l'exigence T5-1.1, b\xE9\
+ n\xE9ficier de profils de type administrateur technique et de profils de type\
+ \ utilisateur m\xE9tier, elle doit avoir deux comptes utilisateur distincts,\
+ \ chacun nominatif et personnel. \n\nLa multiplication des comptes nominatifs\
+ \ pour une m\xEAme personne doit \xEAtre restreinte au maximum. Aucune personne\
+ \ ne doit avoir plus de deux comptes nominatifs."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.1
+ ref_id: 5.2.1.5
+ description: "Chaque compte doit \xEAtre associ\xE9 \xE0 un dispositif d\u2019\
+ authentification diffus\xE9 exclusivement et personnellement au titulaire\
+ \ du compte.\n\nEn particulier, si le dispositif d\u2019authentification n\u2019\
+ int\xE8gre pas l\u2019identit\xE9 de l\u2019utilisateur auquel il a \xE9t\xE9\
+ \ attribu\xE9 (ex. calculette d\u2019acc\xE8s ou carte CPE), il convient,\
+ \ lors de sa diffusion, de rappeler \xE0 l\u2019utilisateur que le dispositif\
+ \ est personnel et ne doit en aucun cas \xEAtre laiss\xE9 pour un usage \xAB\
+ \ en libre-service \xBB.\n\nLa liste des comptes, de leur titulaire et du\
+ \ dispositif d\u2019authentification associ\xE9 doit \xEAtre \xE9labor\xE9\
+ e et tenue \xE0 jour."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2
+ ref_id: 5.2.2
+ name: "Utiliser les dispositifs d\u2019authentification en respectant les consignes\
+ \ de s\xE9curit\xE9"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.2
+ ref_id: 5.2.2.1
+ description: "Les parties confidentielles des dispositifs d\u2019authentification\
+ \ (mot de passe initial, code d\u2019activation d\u2019un dispositif d\u2019\
+ authentification diffus\xE9 par la structure, code PIN d\u2019une carte CPS)\
+ \ doivent \xEAtre diffus\xE9es directement aux utilisateurs auxquels ces dispositifs\
+ \ ont \xE9t\xE9 attribu\xE9s de mani\xE8re \xE0 en assurer la confidentialit\xE9\
+ \ (ex. enveloppe cachet\xE9e).\n\nIl est de la responsabilit\xE9 de l\u2019\
+ utilisateur du dispositif d\u2019authentification de garder secret ces \xE9\
+ l\xE9ments."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.2
+ ref_id: 5.2.2.2
+ description: "En p\xE9riode d\u2019utilisation, les dispositifs d\u2019authentification\
+ \ doivent \xEAtre maintenus sous le contr\xF4le des utilisateurs auxquels\
+ \ ils ont \xE9t\xE9 attribu\xE9s. Hors p\xE9riode d\u2019utilisation, s\u2019\
+ ils ne peuvent pas rester sous le contr\xF4le exclusif des utilisateurs auxquels\
+ \ ils ont \xE9t\xE9 attribu\xE9s, ils doivent \xEAtre conserv\xE9s dans un\
+ \ lieu s\xFBr (pour \xE9viter la perte et le vol)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.2
+ ref_id: 5.2.2.3
+ description: "Dans le cas des cartes de la famille CPx, le code PUK doit \xEA\
+ tre conserv\xE9 en lieu s\xFBr, soit par le porteur de la carte (en particulier\
+ \ pour des professionnels de sant\xE9 pour des CPS comportant de multiples\
+ \ situations d\u2019exercice notamment en dehors de la structure), soit par\
+ \ la structure (pour les cartes comportant exclusivement des situations d\u2019\
+ exercice dans la structure)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2
+ ref_id: 5.2.3
+ name: "Prot\xE9ger les comptes contre les tentatives d\u2019usurpation d\u2019\
+ identit\xE9"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.3
+ ref_id: 5.2.3.1
+ description: "Un verrouillage de compte pendant 1 minute minimum doit \xEAtre\
+ \ mis en place apr\xE8s trois essais de connexion infructueux."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.3.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.3
+ ref_id: 5.2.3.2
+ description: "Les verrouillages de compte apr\xE8s trois essais de connexion\
+ \ infructueux doivent \xEAtre trac\xE9s et conserv\xE9s au m\xEAme titre que\
+ \ les autres \xE9l\xE9ments de tra\xE7abilit\xE9 mis en \u0153uvre par le\
+ \ syst\xE8me d\u2019information tels que d\xE9crits dans le th\xE8me 7-2."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.3.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.3
+ ref_id: 5.2.3.3
+ description: "Le r\xE9f\xE9rent incident doit \xEAtre alert\xE9 au bout de trois\
+ \ verrouillages de compte successifs dans la m\xEAme journ\xE9e. Il doit contacter\
+ \ le titulaire du compte pour v\xE9rifier que les tentatives ont bien \xE9\
+ t\xE9 r\xE9alis\xE9es par celui-ci. Dans le cas contraire, la tentative d\u2019\
+ usurpation du compte doit \xEAtre consid\xE9r\xE9e comme un incident de s\xE9\
+ curit\xE9 et g\xE9r\xE9e selon les modalit\xE9s d\xE9crites dans le th\xE8\
+ me 7-3."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.4
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2
+ ref_id: 5.2.4
+ name: "Prot\xE9ger les comptes administrateurs techniques par d\xE9faut"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.4.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.4
+ ref_id: 5.2.4.1
+ description: "Les mots de passe des comptes administrateurs techniques par d\xE9\
+ faut doivent \xEAtre conserv\xE9s sous enveloppe cachet\xE9e et stock\xE9\
+ s dans un endroit s\xFBr (ex. coffre-fort, armoire fermant \xE0 cl\xE9\u2026\
+ )"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.4.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.4
+ ref_id: 5.2.4.2
+ description: "Si l\u2019enveloppe contenant un mot de passe d\u2019un compte\
+ \ administrateur technique par d\xE9faut est trouv\xE9e d\xE9cachet\xE9e,\
+ \ le r\xE9f\xE9rent incident doit en \xEAtre inform\xE9. Cette perte de confidentialit\xE9\
+ \ d\u2019un mot de passe d\u2019un compte administrateur technique par d\xE9\
+ faut doit \xEAtre consid\xE9r\xE9e comme un incident de s\xE9curit\xE9 et\
+ \ g\xE9r\xE9e selon les modalit\xE9s d\xE9crites dans le th\xE8me 7-3."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.4.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.2.4
+ ref_id: 5.2.4.3
+ description: "Si, dans le cadre d\u2019un acc\xE8s exceptionnel, un utilisateur\
+ \ a d\xFB utiliser un compte administrateur technique par d\xE9faut, le mot\
+ \ de passe de ce compte doit \xEAtre chang\xE9 et la conservation du nouveau\
+ \ mot de passe doit respecter la r\xE8gle 5.2.4.1."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5
+ ref_id: '5.3'
+ name: "Lutter contre les acc\xE8s non autoris\xE9s"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3
+ ref_id: 5.3.1
+ name: "Utiliser des moyens garantissant la s\xE9curit\xE9 des \xE9changes"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3.1
+ ref_id: 5.3.1.1
+ description: "Tout acc\xE8s \xE0 un logiciel ou un mat\xE9riel contenant des\
+ \ informations sensibles et en particulier des informations \xE0 caract\xE8\
+ re personnel doit se faire via une authentification sur un compte utilisateur\
+ \ mettant en \u0153uvre des droits d\u2019acc\xE8s selon les r\xE8gles \xE9\
+ nonc\xE9es dans les th\xE8mes 5-1 et 5-2."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3.1
+ ref_id: 5.3.1.2
+ description: "Tout \xE9change d\u2019informations sensibles entre deux logiciels\
+ \ ou mat\xE9riels doit de pr\xE9f\xE9rence se faire sur un r\xE9seau auquel\
+ \ l\u2019acc\xE8s est maitris\xE9 selon les r\xE8gles \xE9nonc\xE9es dans\
+ \ le th\xE8me 4-2."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:5.3.1
+ ref_id: 5.3.1.3
+ description: "Si un \xE9change d\u2019information ne peut pas \xEAtre r\xE9\
+ alis\xE9 sur un r\xE9seau ma\xEEtris\xE9, le flux d\u2019\xE9change doit \xEA\
+ tre prot\xE9g\xE9 en confidentialit\xE9, soit par l\u2019utilisation de logiciel\
+ \ s\xE9curis\xE9 (ex. messagerie s\xE9curis\xE9e), soit par le chiffrement\
+ \ du flux (ex. TLS)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6
+ assessable: false
+ depth: 1
+ ref_id: '6'
+ name: "Acqu\xE9rir des \xE9quipements, logiciels et services"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6
+ ref_id: '6.1'
+ name: "Mettre en \u0153uvre des prestations de t\xE9l\xE9surveillance, t\xE9\
+ l\xE9maintenance ou t\xE9l\xE9assistance"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1
+ ref_id: 6.1.1
+ name: "Encadrer la prestation par un contrat conforme aux r\xE8gles du guide\
+ \ pratique PGSSI-R\xE8gles d\u2019intervention \xE0 distance"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1
+ ref_id: 6.1.1.1
+ description: "Tout fournisseur r\xE9alisant des interventions \xE0 distance\
+ \ doit s\u2019engager par contrat au respect des r\xE8gles du guide pratique\
+ \ PGSSI-R\xE8gles d\u2019intervention \xE0 distance [R\xE9f. N\xB08]. Il doit\
+ \ pr\xE9ciser le niveau de palier de r\xE8gles qu\u2019il atteint (palier\
+ \ interm\xE9diaire : palier 1 ou palier sup\xE9rieur : palier 2)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1
+ ref_id: 6.1.1.2
+ description: "Les documents contractuels principaux sign\xE9s par les parties\
+ \ doivent \xEAtre fournis en version papier au responsable du SI. \n\nLes\
+ \ autres documents, en particulier les annexes, peuvent \xEAtre mis \xE0 disposition\
+ \ via internet sur l\u2019espace client du site du fournisseur."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1
+ ref_id: 6.1.1.3
+ description: "Le fournisseur doit \xE9tablir un plan d\u2019assurance s\xE9\
+ curit\xE9 qui d\xE9crit les dispositions de s\xE9curit\xE9 qu\u2019il met\
+ \ en \u0153uvre pour sa prestation (ou fait r\xE9f\xE9rence \xE0 une documentation\
+ \ de ces dispositions consultable par le responsable du SI).\n\nLe plan d\u2019\
+ assurance s\xE9curit\xE9 peut \xEAtre un sous-ensemble du plan d\u2019assurance\
+ \ qualit\xE9 (PAQ). \n\nA la signature du contrat, le responsable du SI doit\
+ \ pouvoir indiquer s\u2019il accepte le plan d\u2019assurance s\xE9curit\xE9\
+ \ type du fournisseur ou si un cycle de validation du plan d\u2019assurance\
+ \ s\xE9curit\xE9 est n\xE9cessaire. \n\nLe plan d\u2019assurance s\xE9curit\xE9\
+ \ fait partie des documents applicables du contrat disponibles via internet\
+ \ sur l\u2019espace client du site du fournisseur. \n\nLe plan d\u2019assurance\
+ \ s\xE9curit\xE9 doit traiter au minimum les th\xE8mes suivants :\n\n- crit\xE8\
+ res de s\xE9curit\xE9 utilis\xE9s dans la d\xE9signation des personnes charg\xE9\
+ es de l\u2019intervention \xE0 distance, engagement de s\xE9curit\xE9, information\
+ \ de ces personnes sur la s\xE9curit\xE9 de la prestation et sensibilisation\
+ \ ; \n- r\xE8gles de protection des informations relatives au SI ou \xE0 l\u2019\
+ intervention et d\xE9tenues par le fournisseur (copie, diffusion, conservation,\
+ \ destruction, transmission) ; \n- d\xE9signation des sites d\u2019ex\xE9\
+ cution de la prestation, protection et acc\xE8s physiques des locaux utilis\xE9\
+ s, s\xE9paration vis-\xE0-vis d\u2019autres prestations ; \n- architecture\
+ \ g\xE9n\xE9rale de la plateforme utilis\xE9e pour l\u2019intervention \xE0\
+ \ distance, cloisonnement technique vis-\xE0-vis d\u2019autres prestations,\
+ \ fonctions de s\xE9curit\xE9 activ\xE9es dans la plateforme ; \n- acc\xE8\
+ s logique des intervenants \xE0 la plateforme, identification et authentification,\
+ \ mise en veille et d\xE9connexion automatiques, s\xE9paration des t\xE2ches,\
+ \ gestion des droits, tra\xE7abilit\xE9 des actions ; \n- dispositions prises\
+ \ pour continuer \xE0 assurer les activit\xE9s de la prestation \xE0 la suite\
+ \ d\u2019un sinistre majeur ; \n- assurance et contr\xF4le de la s\xE9curit\xE9\
+ \ des services d\u2019intervention fournis."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1
+ ref_id: 6.1.1.4
+ description: "Le fournisseur et le responsable du SI doivent d\xE9finir les\
+ \ modalit\xE9s pratiques permettant la bonne r\xE9alisation de l\u2019intervention\
+ \ \xE0 distance (convention de service). \n\nLes modalit\xE9s pratiques doivent\
+ \ \xEAtre port\xE9es \xE0 la connaissance des personnes concern\xE9es. Elles\
+ \ doivent pr\xE9ciser la prestation : \n\n- objectifs et p\xE9rim\xE8tre des\
+ \ interventions \xE0 distances pr\xE9vues ; \n- obligations r\xE9ciproques\
+ \ du fournisseur et du responsable du SI ; \n- moyens mis en \u0153uvre ;\
+ \ \n- proc\xE9dures, ou r\xE9f\xE9rence aux documents de proc\xE9dures ; \n\
+ - r\xE8gles de s\xE9curit\xE9 particuli\xE8res."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.1
+ ref_id: 6.1.1.5
+ description: "A ce titre, les dispositions organisationnelles de s\xE9curit\xE9\
+ \ suivantes doivent au minimum \xEAtre prises en compte : \n\n- toute intervention\
+ \ de t\xE9l\xE9maintenance doit faire l\u2019objet d\u2019un rapport transmis\
+ \ \xE0 son b\xE9n\xE9ficiaire par le fournisseur, dans les meilleurs d\xE9\
+ lais ; \n- les interventions de t\xE9l\xE9assistance s\u2019effectuent sous\
+ \ le contr\xF4le de leur b\xE9n\xE9ficiaire. Il appartient \xE0 chaque b\xE9\
+ n\xE9ficiaire : \n - d\u2019autoriser explicitement la prise de main ou\
+ \ le suivi \xE0 distance de son poste de travail (affichage d\u2019une demande\
+ \ d\u2019action d\u2019autorisation sur le poste par exemple), \n - d\u2019\
+ exiger, s\u2019il le souhaite, de moduler l\u2019acc\xE8s aux donn\xE9es ;\
+ \ \n- tout b\xE9n\xE9ficiaire doit avoir la possibilit\xE9 technique d\u2019\
+ interrompre \xE0 tout moment la t\xE9l\xE9assistance en cours et doit avoir\
+ \ \xE9t\xE9 form\xE9 sur la mise en \u0153uvre de cette fonctionnalit\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1
+ ref_id: 6.1.2
+ name: "Mettre en \u0153uvre des dispositions techniques de s\xE9curit\xE9 sp\xE9\
+ cifiques dans le SI"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2
+ ref_id: 6.1.2.1
+ description: "Dans la mesure du possible, l\u2019acc\xE8s aux \xE9quipements\
+ \ objets de l\u2019intervention \xE0 distance doit \xEAtre r\xE9alis\xE9 \xE0\
+ \ travers un point d\u2019acc\xE8s distant (ou passerelle) mis en place \xE0\
+ \ cet effet. Dans ce cas : \n\n- si les \xE9quipements concern\xE9s n\u2019\
+ ont pas besoin de communiquer avec le reste du SI, ou s\u2019ils disposent\
+ \ d\u2019une interface r\xE9seau d\xE9di\xE9e \xE0 l\u2019administration,\
+ \ ou encore s\u2019ils peuvent \xEAtre rattach\xE9s \xE0 plusieurs VPN, ils\
+ \ doivent \xEAtre reli\xE9s \xE0 ce point d\u2019acc\xE8s de pr\xE9f\xE9rence\
+ \ par un r\xE9seau d\u2019administration d\xE9di\xE9 (r\xE9seau physique s\xE9\
+ par\xE9 ou VPN) ; \n- le point d\u2019acc\xE8s distant doit \xEAtre prot\xE9\
+ g\xE9 contre les attaques logiques en provenance des r\xE9seaux externes (fournisseur,\
+ \ Internet,\u2026) et son contournement en vue d\u2019acc\xE9der au r\xE9\
+ seau du SI ne doit pas \xEAtre possible dans la pratique ; \n- Le point d\u2019\
+ acc\xE8s distant ne doit autoriser les communications internes au SI qu\u2019\
+ avec les \xE9quipements pr\xE9vus et les \xE9quipements permettant l\u2019\
+ administration du point d\u2019acc\xE8s lui-m\xEAme."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2
+ ref_id: 6.1.2.2
+ description: "Si la mise en \u0153uvre d\u2019un point d\u2019acc\xE8s distant\
+ \ n\u2019est pas possible, la connexion directe du t\xE9l\xE9-mainteneur sur\
+ \ des \xE9quipements contenant des applications ou des informations \xE0 caract\xE8\
+ re personnel peut \xEAtre envisag\xE9e.\n\nIl appartient alors au responsable\
+ \ du SI de d\xE9cider, sur recommandation du fournisseur, de la solution et\
+ \ du protocole utilis\xE9s pour l\u2019\xE9change entre les \xE9quipements\
+ \ objets de l\u2019intervention et la plateforme. Dans ce cas :\n\n- les \xE9\
+ changes doivent \xEAtre prot\xE9g\xE9s de bout en bout par des fonctions de\
+ \ chiffrement et d\u2019authentification mutuelle ; ces fonctions doivent\
+ \ \xEAtre de pr\xE9f\xE9rence conformes au R\xE9f\xE9rentiel G\xE9n\xE9ral\
+ \ de S\xE9curit\xE912 ; \n- un dispositif de filtrage doit autoriser uniquement\
+ \ les flux n\xE9cessaires \xE0 l\u2019intervention \xE0 distance. Ce dispositif\
+ \ peut \xEAtre \xE0 base de filtrage d\u2019adresse IP ou de liste blanche\
+ \ de certificat par exemple."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2
+ ref_id: 6.1.2.3
+ description: "Chaque \xE9quipement objet d\u2019une t\xE9l\xE9surveillance ou\
+ \ d\u2019une t\xE9l\xE9maintenance doit disposer d\u2019un compte r\xE9serv\xE9\
+ \ \xE0 cet usage et dont les param\xE8tres d\u2019identification et d\u2019\
+ authentification sont sp\xE9cifiques \xE0 l\u2019\xE9quipement (i.e. diff\xE9\
+ rents de ceux utilis\xE9s pour tout autre \xE9quipement)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.1.2
+ ref_id: 6.1.2.4
+ description: "Le responsable du SI (ou le r\xE9f\xE9rent SSI) doit disposer\
+ \ d\u2019un espace de stockage dans lequel les traces des acc\xE8s et des\
+ \ op\xE9rations effectu\xE9es \xE0 distance sont centralis\xE9es et conserv\xE9\
+ es sous son contr\xF4le, en vue d\u2019\xEAtre exploit\xE9es \xE0 fin de v\xE9\
+ rification et en cas de litige ou d\u2019incident."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6
+ ref_id: '6.2'
+ name: "Acqu\xE9rir des dispositifs connect\xE9s"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2
+ ref_id: 6.2.1
+ name: "Demander aux industriels et fournisseurs un engagement de conformit\xE9\
+ \ au guide pratique PGSSI- Dispositifs connect\xE9s"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.1
+ ref_id: 6.2.1.1
+ description: "Tout fournisseur d\u2019un \xE9quipement connect\xE9, quel que\
+ \ soit le cadre de l\u2019obtention de l\u2019\xE9quipement par la structure\
+ \ (pr\xEAt, location, achat, exp\xE9rimentation ou d\xE9veloppement en collaboration,\
+ \ etc.), doit s\u2019engager sur la conformit\xE9 de ses pratiques et du dispositif\
+ \ fourni \xE0 chacune des r\xE8gles du guide [R\xE9f. n\xB015]. Il doit \xE9\
+ galement indiquer le niveau de palier globalement atteint (palier interm\xE9\
+ diaire : palier 1 ou palier sup\xE9rieur : palier 2)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2
+ ref_id: 6.2.2
+ name: "Obtenir un acc\xE8s aux documentations requises par le guide pratique\
+ \ PGSSI-Dispositifs connect\xE9s"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2
+ ref_id: 6.2.2.1
+ description: "Le fournisseur et/ou le fabricant doit identifier dans la documentation,\
+ \ fournie ou accessible \xE0 la structure (par exemple au travers d\u2019\
+ un espace client sur Internet), l\u2019ensemble des composants mat\xE9riels\
+ \ (serveurs, p\xE9riph\xE9riques, \u2026) et logiciels (versions des logiciels,\
+ \ syst\xE8mes d\u2019exploitation, bases de donn\xE9es, \u2026) informatiques\
+ \ standards constituant le dispositif connect\xE9 ainsi que leurs principales\
+ \ caract\xE9ristiques."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2
+ ref_id: 6.2.2.2
+ description: "Le fournisseur et/ou le fabricant doit identifier, dans la documentation\
+ \ qu\u2019il met \xE0 disposition, l\u2019ensemble des sp\xE9cifications portant\
+ \ sur le poste d\u2019administration/utilisation du dispositif connect\xE9\
+ \ (caract\xE9ristiques mat\xE9rielles du poste, version du syst\xE8me d\u2019\
+ exploitation, middleware et pilotes, services activ\xE9s, p\xE9riph\xE9riques,\
+ \ \u2026)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2
+ ref_id: 6.2.2.3
+ description: "Le fournisseur et/ou le fabricant doit identifier, dans la documentation\
+ \ qu\u2019il met \xE0 disposition, l\u2019ensemble des mesures de s\xE9curit\xE9\
+ \ physique (s\xE9curit\xE9 des locaux, cl\xE9s du coffret prot\xE9geant le\
+ \ dispositif connect\xE9, contraintes d\u2019environnement notamment compatibilit\xE9\
+ \ \xE9lectromagn\xE9tique (r\xE9seau Wifi, t\xE9l\xE9phone mobile), s\xE9\
+ curit\xE9 des c\xE2blages\u2026) pr\xE9conis\xE9es pour la mise en \u0153\
+ uvre du dispositif connect\xE9 au sein du SI."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.2
+ ref_id: 6.2.2.4
+ description: "Le fournisseur et/ou le fabricant doit indiquer, dans la documentation\
+ \ qu\u2019il met \xE0 disposition, la m\xE9thode d\u2019analyse de risques\
+ \ qu\u2019il a appliqu\xE9e pour l\u2019analyse de risques de son \xE9quipement,\
+ \ les risques couverts par les mesures qu\u2019il a mises en application et\
+ \ les risques r\xE9siduels port\xE9s par le client (si il les accepte)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2
+ ref_id: 6.2.3
+ name: "Identifier les solutions de r\xE9versibilit\xE9 permettant une reprise\
+ \ des donn\xE9es"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.2.3
+ ref_id: 6.2.3.1
+ description: "Le fournisseur et/ou le fabricant doit proposer des solutions\
+ \ de r\xE9versibilit\xE9 permettant une reprise des donn\xE9es dans un format\
+ \ r\xE9utilisable par le client, notamment en cas de changement d\u2019\xE9\
+ quipement."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6
+ ref_id: '6.3'
+ name: "Acqu\xE9rir des progiciels \xAB sur \xE9tag\xE8re \xBB"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3
+ ref_id: 6.3.1
+ name: "Demander aux industriels et fournisseurs un engagement de conformit\xE9\
+ \ au guide pratique \xAB Acc\xE8s Tiers \xBB en cas d\u2019applicabilit\xE9"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.1
+ ref_id: 6.3.1.1
+ description: "Les industriels et fournisseurs de progiciels \xAB sur \xE9tag\xE8\
+ re \xBB doivent s\u2019engager formellement \xE0 respecter les bonnes pratiques\
+ \ de d\xE9veloppement logiciel, et notamment en ce qui concerne la s\xE9curit\xE9\
+ \ : \n\n- si les progiciels qu\u2019ils proposent sont de type \xAB application\
+ \ ou service web \xBB, ils doivent s\u2019engager \xE0 respecter le guide\
+ \ pratique \xAB R\xE8gles pour la mise en place d\u2019un acc\xE8s web au\
+ \ SI pour des tiers \xBB [R\xE9f. N\xB016] du corpus documentaire PGSSI-S\
+ \ et en particulier les bonnes pratiques en mati\xE8re de d\xE9veloppement\
+ \ publi\xE9es par l\u2019OWASP et l\u2019ANSSI. \n- dans les autres cas, ils\
+ \ doivent communiquer les r\xE9f\xE9rentiels de bonne pratique qu\u2019ils\
+ \ appliquent en mati\xE8re de prise en compte de la SSI dans leurs d\xE9veloppements."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3
+ ref_id: 6.3.2
+ name: "V\xE9rifier les fonctionnalit\xE9s de s\xE9curit\xE9 au regard de la\
+ \ PSSI"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.2
+ ref_id: 6.3.2.1
+ description: "Si le progiciel propose une m\xE9thode d\u2019authentification\
+ \ des utilisateurs par mot de passe, il convient de v\xE9rifier, pr\xE9alablement\
+ \ \xE0 son acquisition : \n\n- que cette m\xE9thode est suffisante au regard\
+ \ des r\xE9f\xE9rentiels d\u2019authentification du corpus documentaire PGSSI-S\
+ \ [R\xE9f. n\xB06] ; \n- que le progiciel propose l\u2019ensemble des fonctions\
+ \ de gestion des mots de passe r\xE9pondant aux r\xE8gles de la th\xE9matique\
+ \ 4-5.1 (longueur des mots de passe, renouvellement, \u2026)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.3.2
+ ref_id: 6.3.2.2
+ description: "Il convient de v\xE9rifier, pr\xE9alablement \xE0 l\u2019acquisition\
+ \ du progiciel, qu\u2019il int\xE8gre les fonctions de gestion des acc\xE8\
+ s aux informations conforme aux r\xE8gles de la th\xE9matique 5-1 (gestion\
+ \ de r\xF4les, fonctions d\u2019affectation/retrait/contr\xF4le des droits,\
+ \ comptes administrateurs,\u2026)"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6
+ ref_id: '6.4'
+ name: "Acqu\xE9rir des \xE9quipements informatiques"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4
+ ref_id: 6.4.1
+ name: "Demander aux industriels et fournisseurs un engagement de conformit\xE9\
+ \ au guide pratique destruction de donn\xE9es lors de transferts de mat\xE9\
+ riels informatiques"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1
+ ref_id: 6.4.1.1
+ description: "Les industriels et fournisseurs susceptibles d\u2019\xEAtre destinataires\
+ \ de supports de donn\xE9es (par exemple dans le cadre d\u2019un contrat de\
+ \ maintenance, de garantie du mat\xE9riel, de location ou de pr\xEAt) doivent\
+ \ s\u2019engager \xE0 mettre en \u0153uvre les modalit\xE9s de destruction\
+ \ des donn\xE9es \xE9nonc\xE9es \xE0 la th\xE9matique 3-1.4 de la PSSI. \n\
+ \nCes r\xE8gles peuvent \xE9galement \xEAtre consult\xE9es via le Guide pratique\
+ \ sp\xE9cifique \xE0 la destruction de donn\xE9es lors du transfert de mat\xE9\
+ riels informatiques des Syst\xE8mes d\u2019Information de Sant\xE9 [R\xE9\
+ f. n\xB018]."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1
+ ref_id: 6.4.1.2
+ description: "Les fournisseurs doivent mettre \xE0 disposition de la structure\
+ \ les proc\xE9dures : \n\n- d\u2019effacement des donn\xE9es ; \n- de r\xE9\
+ initialisation en configuration d\u2019usine. pour ces terminaux."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1
+ ref_id: 6.4.1.3
+ description: "Les clauses g\xE9n\xE9rales suivantes doivent figurer aux contrats\
+ \ : \n\n- le fournisseur est tenu de d\xE9clarer tout changement relatif \xE0\
+ \ sa situation administrative ; \n- le fournisseur doit soumettre toute sous-traitance\
+ \ de prestation \xE0 l\u2019autorisation du responsable du SI ; \n- en cas\
+ \ de recours \xE0 la sous-traitance, le fournisseur doit r\xE9percuter les\
+ \ exigences qui lui sont applicables vers le sous-traitant."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1
+ ref_id: 6.4.1.4
+ description: "Les clauses de s\xE9curit\xE9 suivantes doivent figurer aux contrats\
+ \ : \n\n- le fournisseur doit s\u2019engager vis-\xE0-vis de la confidentialit\xE9\
+ \ des informations auxquelles son personnel peut avoir acc\xE8s. Chaque personne\
+ \ concern\xE9e doit avoir sign\xE9 un engagement individuel de confidentialit\xE9\
+ \ rappelant les dispositions de la loi Informatique & Libert\xE9s et les sanctions\
+ \ applicables ; \n- le responsable du SI a la possibilit\xE9 de faire r\xE9\
+ aliser des audits de s\xE9curit\xE9 des dispositions prises par le fournisseur\
+ \ pour la r\xE9alisation de sa prestation."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1
+ ref_id: 6.4.1.5
+ description: "Les exigences de s\xE9curit\xE9 suivantes doivent figurer au contrat\
+ \ : \n\n- le fournisseur doit mettre en \u0153uvre des moyens et des proc\xE9\
+ dures conformes aux r\xE8gles de l\u2019art, pour lutter contre les incidents\
+ \ pouvant affecter la confidentialit\xE9 des donn\xE9es lors de transferts\
+ \ de mat\xE9riel."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.4.1
+ ref_id: 6.4.1.6
+ description: "Les \xE9quipements fournis doivent pr\xE9senter des caract\xE9\
+ ristiques compatibles avec les r\xE8gles de la PSSI. Par exemple, la structure,\
+ \ ou \xE0 d\xE9faut le fournisseur, doit :\n\n- avoir la capacit\xE9 d\u2019\
+ effacement des supports de stockage de dispositifs connect\xE9s ; \n- pouvoir\
+ \ remettre en configuration d\u2019usine les mat\xE9riels de type \xAB ordiphone\
+ \ \xBB, avec effacement de l\u2019ensemble des donn\xE9es."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6
+ ref_id: '6.5'
+ name: "Encadrer les d\xE9veloppements sp\xE9cifiques et les acquisitions de\
+ \ logiciels, d\u2019\xE9quipements du SI et d\u2019\xE9quipements connect\xE9\
+ s"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5
+ ref_id: 6.5.1
+ name: "Int\xE9grer la SSI dans les cahiers des charges"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1
+ ref_id: 6.5.1.1
+ description: "Toute modification technique ou applicative du SI doit faire l\u2019\
+ objet d\u2019une sp\xE9cification formalis\xE9e dans un cahier des charges,\
+ \ qui prenne en compte les aspects SSI li\xE9s au p\xE9rim\xE8tre concern\xE9\
+ \ du SI, sans omettre les points relatifs \xE0 la sauvegarde des donn\xE9\
+ es et \xE0 la continuit\xE9 de fonctionnement."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1
+ ref_id: 6.5.1.2
+ description: "Les modifications techniques et applicatives du SI doivent \xE9\
+ viter autant que possible toute adaptation sp\xE9cifique de composants sur\
+ \ \xE9tag\xE8re (logiciels notamment)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1
+ ref_id: 6.5.1.3
+ description: "En cas de remplacement d\u2019une application qui traite des donn\xE9\
+ es d\u2019usagers, l\u2019op\xE9ration doit pr\xE9voir la migration des donn\xE9\
+ es existantes afin de respecter les exigences quant \xE0 la dur\xE9e de conservation\
+ \ de ces donn\xE9es. A d\xE9faut, l\u2019ancienne application doit \xEAtre\
+ \ conserv\xE9e pour permettre au moins l\u2019acc\xE8s aux donn\xE9es existantes."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1
+ ref_id: 6.5.1.4
+ description: "Les modifications ou mises en place d\u2019acc\xE8s web par des\
+ \ tiers au SI doivent se conformer aux r\xE8gles \xE9nonc\xE9es par le guide\
+ \ pratique \xAB R\xE8gles pour la mise en place d\u2019un acc\xE8s web au\
+ \ SI pour des tiers \xBB [R\xE9f. n\xB016] du corpus documentaire PGSSI-S."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1
+ ref_id: 6.5.1.5
+ description: "Le cahier des charges doit \xEAtre soumis \xE0 l\u2019approbation\
+ \ du responsable du SSI et du r\xE9f\xE9rent SSI avant tout d\xE9marrage des\
+ \ travaux."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.1
+ ref_id: 6.5.1.6
+ description: "La structure peut pr\xE9voir une proc\xE9dure de changement en\
+ \ urgence, qui, sur autorisation du responsable du SI pour des circonstances\
+ \ exceptionnelles, permet une r\xE9alisation de modifications du SI, le cas\
+ \ \xE9ch\xE9ant directement en production, document\xE9e a posteriori. La\
+ \ proc\xE9dure doit pr\xE9voir l\u2019information du responsable du SI sur\
+ \ les risques induits par la modification mis en regard des enjeux justifiant\
+ \ la proc\xE9dure d\u2019urgence. Le r\xE9f\xE9rent SSI doit \xEAtre consult\xE9\
+ \ sur le sujet."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5
+ ref_id: 6.5.2
+ name: Valider les nouveaux composants du SI avant leur mise en production
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2
+ ref_id: 6.5.2.1
+ description: "Toute modification technique ou applicative du SI (y compris \xE9\
+ volution de version) doit faire, pr\xE9alablement \xE0 toute mise en production,\
+ \ l\u2019objet d\u2019un processus de recette, formalis\xE9 par une proc\xE9\
+ dure \xE9tablie par la structure, qui v\xE9rifie la conformit\xE9 des composants\
+ \ concern\xE9s au cahier des charges tant du point de vue du SI que de celui\
+ \ des utilisateurs. \n\nLes modalit\xE9s de sauvegarde de configurations et\
+ \ de donn\xE9es, ainsi que celle li\xE9es \xE0 la continuit\xE9 de fonctionnement\
+ \ des composants concern\xE9s doivent \xEAtre document\xE9es et test\xE9es\
+ \ avant mise en production."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2
+ ref_id: 6.5.2.2
+ description: "Si les composants concern\xE9s participent \xE0 l\u2019acc\xE8\
+ s web par des tiers au SI, des tests sp\xE9cifiques (notamment des tests de\
+ \ vuln\xE9rabilit\xE9 et d\u2019intrusion) doivent \xEAtre men\xE9s, comme\
+ \ sp\xE9cifi\xE9 dans le guide pratique \xAB R\xE8gles pour la mise en place\
+ \ d\u2019un acc\xE8s web au SI pour des tiers \xBB [R\xE9f. n\xB016] du corpus\
+ \ documentaire PGSSI-S."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2
+ ref_id: 6.5.2.3
+ description: "Il est recommand\xE9 de proc\xE9der, au cours de la recette, \xE0\
+ \ un test de vuln\xE9rabilit\xE9 des composants concern\xE9s une fois int\xE9\
+ gr\xE9s au SI (environnement de test), afin de d\xE9tecter les \xE9ventuelles\
+ \ failles connues et de les corriger avant la mise en production."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2
+ ref_id: 6.5.2.4
+ description: "Le processus de recette doit \xEAtre r\xE9alis\xE9 dans un environnement\
+ \ d\xE9di\xE9 aux tests, distinct de l\u2019environnement de production."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2
+ ref_id: 6.5.2.5
+ description: "Les donn\xE9es utilis\xE9es pour les tests ne doivent en aucun\
+ \ cas comporter de donn\xE9es nominatives r\xE9elles."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2
+ ref_id: 6.5.2.6
+ description: "En cas de mise en \u0153uvre de la proc\xE9dure de changement\
+ \ en urgence, des mesures de contr\xF4le du bon fonctionnement des modifications\
+ \ effectu\xE9es et de l\u2019absence d\u2019effet de bord doivent \xEAtre\
+ \ pr\xE9vues et appliqu\xE9es. Le responsable du SI doit \xEAtre inform\xE9\
+ \ des conclusions de ces contr\xF4les et la documentation des changements\
+ \ effectu\xE9s doit lui \xEAtre communiqu\xE9e."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.2
+ ref_id: 6.5.2.7
+ description: "La mise en production de composants nouveaux ou modifi\xE9s ne\
+ \ doit \xEAtre effectu\xE9e que sur autorisation du responsable du SI, dont\
+ \ la d\xE9cision est prise sur la base du rapport de recette et apr\xE8s avis\
+ \ du r\xE9f\xE9rent SSI."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5
+ ref_id: 6.5.3
+ name: Assurer la formation aux nouveaux composants du SI
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.3
+ ref_id: 6.5.3.1
+ description: "Les personnels en charge de l\u2019administration et de l\u2019\
+ exploitation des infrastructures et des applications du SI doivent \xEAtre\
+ \ form\xE9s \xE0 la r\xE9alisation des t\xE2ches qui leur incombent, pour\
+ \ chacun des composants nouveaux ou modifi\xE9s dont ils ont la charge, et\
+ \ notamment : \n\n- installation et r\xE9installation ; \n- exploitation r\xE9\
+ guli\xE8re ; \n- sauvegarde et restauration des configurations et des donn\xE9\
+ es ; \n- d\xE9tection des anomalies d\u2019exploitation et de s\xE9curit\xE9\
+ \ ; \n- traitement des incidents d\u2019exploitation et de s\xE9curit\xE9\
+ \ ; \n- proc\xE9dures de continuit\xE9 de fonctionnement."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.3.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.3
+ ref_id: 6.5.3.2
+ description: "Les utilisateurs du SI doivent \xEAtre form\xE9s \xE0 l\u2019\
+ utilisation des \xE9quipements et applications du SI qui leur sont destin\xE9\
+ s. Outre les aspects fonctionnels m\xE9tiers de ces composants, ils doivent\
+ \ \xEAtre form\xE9s : \n\n- aux proc\xE9dures d\u2019authentification et de\
+ \ gestion de leurs moyens d\u2019authentification ; \uF0B7 \xE0 la vigilance\
+ \ vis-\xE0-vis d\u2019anomalies qui pourraient r\xE9v\xE9ler un probl\xE8\
+ me de s\xE9curit\xE9 du SI ; \n- aux modalit\xE9s d\u2019acc\xE8s et de protection\
+ \ des donn\xE9es sensibles ; \n- aux \xE9ventuelles proc\xE9dures de fonctionnement\
+ \ d\xE9grad\xE9 en cas d\u2019activation du PCA."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.3.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.5.3
+ ref_id: 6.5.3.3
+ description: "Les op\xE9rations de formation doivent \xEAtre r\xE9alis\xE9es\
+ \ sur un environnement de formation d\xE9di\xE9 (au moins temporairement)\
+ \ \xE0 cet usage (i.e. elles ne doivent pas \xEAtre effectu\xE9es sur les\
+ \ postes de travail et \xE9quipements utilis\xE9s pour la production)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6
+ ref_id: '6.6'
+ name: "D\xE9finir l\u2019objet des prestations et les limites d\u2019engagement\
+ \ dans les relations contractuelles avec des tiers fournisseurs de service"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6
+ ref_id: 6.6.1
+ name: "D\xE9finir pr\xE9cis\xE9ment dans les contrats le contenu des prestations\
+ \ confi\xE9es aux tiers fournisseurs de service pour r\xE9pondre aux obligations\
+ \ de s\xE9curit\xE9"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.1
+ ref_id: 6.6.1.1
+ description: "Le contrat d\u2019externalisation doit contenir \xE0 minima les\
+ \ clauses list\xE9es \xE0 l\u2019article R 1111-13 du code de la sant\xE9\
+ \ publique."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.1
+ ref_id: 6.6.1.2
+ description: "Le contrat doit pr\xE9senter les caract\xE9ristiques suivantes\
+ \ : \n\n- l\u2019objet du contrat doit \xEAtre pr\xE9cis ; \n- les r\xF4les\
+ \ et responsabilit\xE9s des parties doivent \xEAtre clairement d\xE9finis\
+ \ ; \n- le fournisseur est tenu d\u2019effectuer toutes les activit\xE9s li\xE9\
+ es aux donn\xE9es \xE0 caract\xE8re personnel et en particulier de sant\xE9\
+ \ au sein de l\u2019Union Europ\xE9enne ou conform\xE9ment aux r\xE8gles d\xE9\
+ finies par la CNIL pour les interventions hors Union Europ\xE9enne ; \n- le\
+ \ fournisseur garantit la disponibilit\xE9, l\u2019int\xE9grit\xE9, la confidentialit\xE9\
+ , l\u2019auditabilit\xE9, la p\xE9rennit\xE9 des donn\xE9es. Ce qui se traduira\
+ \ par des mesures techniques et d\u2019organisation interne ; \n- le fournisseur\
+ \ doit s\u2019engager vis-\xE0-vis de la confidentialit\xE9 des informations\
+ \ auxquelles son personnel peut avoir acc\xE8s. Chaque personne concern\xE9\
+ e doit avoir \xE9t\xE9 sensibilis\xE9e \xE0 la confidentialit\xE9 des donn\xE9\
+ es et avoir sign\xE9 un engagement individuel de confidentialit\xE9 rappelant\
+ \ les dispositions de la loi Informatique & Libert\xE9s et les sanctions applicables\
+ \ ; \n- le fournisseur doit s\u2019engager vis-\xE0-vis des actions que le\
+ \ personnel peut effectuer. Chaque personne concern\xE9e doit avoir sign\xE9\
+ \ un engagement individuel de limitation de ses actions au seul besoin des\
+ \ interventions ; \n- le fournisseur est tenu de d\xE9clarer tout changement\
+ \ relatif \xE0 sa situation administrative ; \n- le fournisseur doit soumettre\
+ \ toute sous-traitance de prestation \xE0 l\u2019autorisation du responsable\
+ \ du SI ; \n- en cas de recours \xE0 la sous-traitance, le fournisseur doit\
+ \ r\xE9percuter les exigences qui lui sont applicables vers le sous-traitant\
+ \ ; \n- des mesures de contr\xF4le et d\u2019audit r\xE9alis\xE9es par le\
+ \ responsable du SI peuvent \xEAtre pr\xE9vues dans le contrat."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.1
+ ref_id: 6.6.1.3
+ description: "Le contrat doit pr\xE9voir que le tiers fournisseur de service\
+ \ s\u2019engage \xE0 respecter les r\xE8gles de la PSSI et les r\xE9f\xE9\
+ rentiels cit\xE9s en r\xE9f\xE9rence qui le concernent."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6
+ ref_id: 6.6.2
+ name: "S\u2019assurer de la capacit\xE9 de restitution des donn\xE9es de sant\xE9\
+ \ \xE0 caract\xE8re personnel sous une forme r\xE9utilisable par la structure"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2
+ ref_id: 6.6.2.1
+ description: "Tout contrat de prestation qui inclut un h\xE9bergement de donn\xE9\
+ es de sant\xE9 \xE0 caract\xE8re personnel doit engager le prestataire, sans\
+ \ autre condition que la fin de sa prestation d\u2019h\xE9bergement de donn\xE9\
+ es et quelle qu\u2019en soit la cause, sur les modalit\xE9s de restitution\
+ \ et d\u2019effacement des donn\xE9es qui lui ont \xE9t\xE9 confi\xE9es."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2
+ ref_id: 6.6.2.2
+ description: "Le prestataire doit s\u2019engager \xE0 restituer, \xE0 l\u2019\
+ issue de sa prestation d\u2019h\xE9bergement de donn\xE9es, l\u2019int\xE9\
+ gralit\xE9 des donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel qui lui\
+ \ ont \xE9t\xE9 confi\xE9es."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2
+ ref_id: 6.6.2.3
+ description: "Le prestataire doit s\u2019engager \xE0 restituer les donn\xE9\
+ es qui lui ont \xE9t\xE9 confi\xE9es dans le format sp\xE9cifi\xE9 en annexe\
+ \ du contrat (ex. : format XML), support, scellement, chiffrement, transfert\
+ \ physique."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2
+ ref_id: 6.6.2.4
+ description: "Le prestataire doit s\u2019engager \xE0 fournir l\u2019ensemble\
+ \ des documentations et programmes \xE9ventuels n\xE9cessaires \xE0 l\u2019\
+ exploitation des donn\xE9es restitu\xE9es."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2
+ ref_id: 6.6.2.5
+ description: "A r\xE9ception des donn\xE9es restitu\xE9es par le prestataire,\
+ \ le responsable du traitement fait proc\xE9der \xE0 la v\xE9rification de\
+ \ l\u2019int\xE9grit\xE9 des donn\xE9es et \xE0 leur int\xE9gration dans le\
+ \ syst\xE8me de stockage cible.\n\nIl fait confirmer que l\u2019ensemble des\
+ \ donn\xE9es attendues ont \xE9t\xE9 int\xE9gr\xE9es et qu\u2019elles sont\
+ \ exploitables. \n\nD\xE8s lors qu\u2019il est v\xE9rifi\xE9 que les donn\xE9\
+ es ont \xE9t\xE9 sauvegard\xE9es avec succ\xE8s selon la politique de sauvegarde\
+ \ du syst\xE8me cible, le responsable du traitement notifie le prestataire\
+ \ de la bonne int\xE9gration des donn\xE9es et lui demande de proc\xE9der\
+ \ \xE0 l\u2019effacement d\xE9finitif des donn\xE9es qu\u2019il d\xE9tient."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2
+ ref_id: 6.6.2.6
+ description: "Le prestataire doit s\u2019engager \xE0 proc\xE9der \xE0 l\u2019\
+ effacement de tout enregistrement, copie ou sauvegarde des donn\xE9es restitu\xE9\
+ es, quand le responsable du traitement le lui demande \xE0 l\u2019issue de\
+ \ la prestation qu\u2019il fournit. \n\nCet effacement doit \xEAtre r\xE9\
+ alis\xE9 en conformit\xE9 avec les r\xE8gles de destruction des donn\xE9es.\
+ \ (cf. r\xE8gles de la th\xE9matique 3-1.4)"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.2
+ ref_id: 6.6.2.7
+ description: "Le prestataire doit s\u2019engager \xE0 fournir l\u2019assistance\
+ \ n\xE9cessaire durant la p\xE9riode de migration des donn\xE9es afin de faciliter\
+ \ leur transfert ainsi que la reprise de leur exploitation par la structure\
+ \ ou par toute autre organisation qu\u2019elle aura d\xE9sign\xE9e."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6
+ ref_id: 6.6.3
+ name: "Clauses de s\xE9curit\xE9 en cas d\u2019externalisation de la destruction\
+ \ des donn\xE9es"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.3
+ ref_id: 6.6.3.1
+ description: "Les clauses g\xE9n\xE9rales suivantes doivent figurer au contrat\
+ \ : \n\n- le fournisseur est tenu d\u2019effectuer toutes les activit\xE9\
+ s li\xE9es \xE0 ce type d\u2019intervention au sein de l\u2019Union Europ\xE9\
+ enne ou conform\xE9ment aux r\xE8gles d\xE9finies par la CNIL pour les interventions\
+ \ r\xE9alis\xE9es hors Union Europ\xE9enne; \n- le fournisseur est tenu de\
+ \ d\xE9clarer tout changement relatif \xE0 sa situation administrative ; \n\
+ - le fournisseur doit soumettre toute sous-traitance de prestation \xE0 l\u2019\
+ autorisation du responsable du SI ; \n- en cas de recours \xE0 la sous-traitance,\
+ \ le fournisseur doit r\xE9percuter les exigences qui lui sont applicables\
+ \ vers le sous-traitant."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.3.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.3
+ ref_id: 6.6.3.2
+ description: "Les clauses de s\xE9curit\xE9 suivantes doivent figurer au contrat\
+ \ : \n\n- le fournisseur doit s\u2019engager vis-\xE0-vis de la confidentialit\xE9\
+ \ des informations auxquelles son personnel peut avoir acc\xE8s. Chaque personne\
+ \ concern\xE9e doit avoir sign\xE9 un engagement individuel de confidentialit\xE9\
+ \ rappelant les dispositions de la loi Informatique & Libert\xE9s et les sanctions\
+ \ applicables ; \n- le responsable du SI a la possibilit\xE9 de faire r\xE9\
+ aliser des audits de s\xE9curit\xE9 des dispositions prises par le fournisseur\
+ \ pour la r\xE9alisation de sa prestation."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.3.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:6.6.3
+ ref_id: 6.6.3.3
+ description: "L\u2019exigence de s\xE9curit\xE9 suivante doit figurer au contrat\
+ \ : \n\n- le fournisseur doit mettre en \u0153uvre des moyens et des proc\xE9\
+ dures conformes aux r\xE8gles de l\u2019art, pour lutter contre les incidents\
+ \ pouvant affecter la confidentialit\xE9 des donn\xE9es lors de transferts\
+ \ de mat\xE9riel."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7
+ assessable: false
+ depth: 1
+ ref_id: '7'
+ name: "Limiter la survenue et les cons\xE9quences d\u2019incidents de s\xE9\
+ curit\xE9"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7
+ ref_id: '7.1'
+ name: "V\xE9rifier le niveau de s\xE9curit\xE9 des moyens informatiques"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1
+ ref_id: 7.1.1
+ name: "Proc\xE9der \xE0 un contr\xF4le r\xE9gulier de la bonne mise en \u0153\
+ uvre des r\xE8gles de la PSSI"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.1
+ ref_id: 7.1.1.1
+ description: "Le RSSI doit v\xE9rifier r\xE9guli\xE8rement la mise en \u0153\
+ uvre effective des r\xE8gles de s\xE9curit\xE9 qui doivent \xEAtre appliqu\xE9\
+ es conform\xE9ment aux objectifs fix\xE9s par les Plans d\u2019Action SSI\
+ \ successifs. Il peut pour cela : \n\n- demander aux responsables en charge\
+ \ de parties du SI d\u2019effectuer une auto-\xE9valuation ; \n- proc\xE9\
+ der \xE0 ce contr\xF4le lui-m\xEAme ; \n- mandater un prestataire externe\
+ \ pour cette t\xE2che. Un bilan annuel de l\u2019ensemble du p\xE9rim\xE8\
+ tre des r\xE8gles applicables est recommand\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.1
+ ref_id: 7.1.1.2
+ description: "Si la conformit\xE9 de mise en \u0153uvre des r\xE8gles est effectu\xE9\
+ e par auto-\xE9valuation par les personnes en charge de l\u2019application\
+ \ des r\xE8gles, le p\xE9rim\xE8tre complet doit \xEAtre \xE9galement contr\xF4\
+ l\xE9 par le RSSI ou par une personne externe mandat\xE9e par lui, mais sur\
+ \ une p\xE9riode plus longue. \n\nUn contr\xF4le complet par le RSSI sur une\
+ \ p\xE9riode de 3 ans est recommand\xE9 (par exemple, par contr\xF4le d\u2019\
+ un tiers du p\xE9rim\xE8tre chaque ann\xE9e)"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.1
+ ref_id: 7.1.1.3
+ description: "La v\xE9rification ne doit pas omettre les parties externalis\xE9\
+ es du SI. Les prestataires doivent fournir une attestation de bonne mise en\
+ \ \u0153uvre des r\xE8gles qui leur incombent (\xE9quivalent de l\u2019auto-\xE9\
+ valuation) et, dans le cadre du contr\xF4le effectu\xE9 par le RSSI, soit\
+ \ permettre une v\xE9rification par le RSSI lui-m\xEAme, soit faire r\xE9\
+ aliser le contr\xF4le par un tiers, selon les modalit\xE9s pr\xE9vues par\
+ \ le contrat d\u2019externalisation."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1
+ ref_id: 7.1.2
+ name: "Proc\xE9der \xE0 un audit r\xE9gulier des vuln\xE9rabilit\xE9s du SI"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2
+ ref_id: 7.1.2.1
+ description: "Le RSSI doit faire r\xE9aliser r\xE9guli\xE8rement un audit des\
+ \ vuln\xE9rabilit\xE9s du SI sur les aspects : \n\n- techniques : architecture,\
+ \ syst\xE8mes, applications, r\xE9seaux dont r\xE9seaux sans fils, s\xE9curit\xE9\
+ \ physique ; \n- organisationnel : proc\xE9dures li\xE9es \xE0 la s\xE9curit\xE9\
+ , suivi de la s\xE9curit\xE9 dans les contrats, en production, connaissance\
+ \ et application des r\xE8gles les utilisateurs, \u2026"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2
+ ref_id: 7.1.2.2
+ description: "Les services accessibles \xE0 des tiers, notamment via Internet,\
+ \ doivent faire l\u2019objet de tests de vuln\xE9rabilit\xE9s logiques fr\xE9\
+ quents. \n\nL\u2019utilisation de services de d\xE9tection automatis\xE9e\
+ \ de vuln\xE9rabilit\xE9s logiques peut constituer une solution pour mener\
+ \ une surveillance quasi continue des vuln\xE9rabilit\xE9s de ces services\
+ \ web. \n\nIls ne se substituent cependant pas \xE0 une recherche de vuln\xE9\
+ rabilit\xE9 men\xE9e par des experts de mani\xE8re plus espac\xE9e."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2
+ ref_id: 7.1.2.3
+ description: "La fr\xE9quence d\u2019audit des vuln\xE9rabilit\xE9s des diff\xE9\
+ rentes parties du SI doit \xEAtre d\xE9finie en fonction des enjeux identifi\xE9\
+ s par l\u2019analyse de risques."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.2
+ ref_id: 7.1.2.4
+ description: "L\u2019audit des vuln\xE9rabilit\xE9s des parties externalis\xE9\
+ es peut \xEAtre r\xE9alis\xE9 soit par les m\xEAmes moyens, soit d\xE9l\xE9\
+ gu\xE9 \xE0 une tierce partie habilit\xE9e \xE0 intervenir par le prestataire.\
+ \ \n\nTout test de vuln\xE9rabilit\xE9 d\u2019une partie h\xE9berg\xE9e du\
+ \ SI ne doit \xEAtre r\xE9alis\xE9 qu\u2019en totale conformit\xE9 avec les\
+ \ modalit\xE9s pr\xE9vues au contrat avec le prestataire."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1
+ ref_id: 7.1.3
+ name: "Assurer un suivi de la disponibilit\xE9 des ressources informatiques"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.3
+ ref_id: 7.1.3.1
+ description: "Un suivi de la disponibilit\xE9 des ressources du SI doit \xEA\
+ tre mis en place. Il doit porter en priorit\xE9 sur : \n\n- le r\xE9seau local\
+ \ interne et l\u2019acc\xE8s Internet ; \n- les composants syst\xE8mes critiques\
+ \ du point de vue de leur disponibilit\xE9, identifi\xE9s suite \xE0 l\u2019\
+ analyse de risques."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.3.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.3
+ ref_id: 7.1.3.2
+ description: "Le suivi doit permettre de : \n\n- v\xE9rifier r\xE9guli\xE8rement\
+ \ la conformit\xE9 par rapport \xE0 la disponibilit\xE9 attendue et d\u2019\
+ identifier les \xE9carts \xE9ventuels ; \n- prendre les actions correctives\
+ \ n\xE9cessaires."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.3.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.1.3
+ ref_id: 7.1.3.3
+ description: "Les capacit\xE9s des ressources du SI doivent \xEAtre g\xE9r\xE9\
+ es. Leur taux d\u2019utilisation doit \xEAtre suivi et les besoins d\u2019\
+ extension de la capacit\xE9 doivent \xEAtre anticip\xE9s dans le cadre de\
+ \ l\u2019utilisation habituelle du SI comme \xE0 l\u2019occasion d\u2019introduction\
+ \ de nouveaux composants et de l\u2019\xE9volution du nombre d\u2019utilisateurs.\
+ \ La gestion des ressources du SI doit notamment porter sur : \n\n- les capacit\xE9\
+ s des syst\xE8mes de stockage de donn\xE9es ; \n- les capacit\xE9s de traitement,\
+ \ notamment des serveurs ; \n- les d\xE9bits r\xE9seau (interne, acc\xE8s\
+ \ Internet\u2026) \n- le nombre de licences d\xE9tenues (un nombre insuffisant\
+ \ de licences pouvant interdire l\u2019usage d\u2019applications \xE0 certains\
+ \ utilisateurs et les rendre indisponible pour eux)"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7
+ ref_id: '7.2'
+ name: Conserver les traces informatiques
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2
+ ref_id: 7.2.1
+ name: "Tracer sp\xE9cifiquement les actions r\xE9alis\xE9es sur les donn\xE9\
+ es de sant\xE9 \xE0 caract\xE8re personnel"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.1
+ ref_id: 7.2.1.1
+ description: "La g\xE9n\xE9ration de traces doit \xEAtre mise en place et activ\xE9\
+ e pour toute application m\xE9tier qui traite de donn\xE9es de sant\xE9 \xE0\
+ \ caract\xE8re personnel, conform\xE9ment aux guides d\u2019utilisation et\
+ \ d\u2019administration mis \xE0 disposition par les \xE9diteurs des logiciels."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.1
+ ref_id: 7.2.1.2
+ description: "Sauf sp\xE9cificit\xE9s mentionn\xE9es ici, les traces doivent\
+ \ \xEAtre g\xE9n\xE9r\xE9es et g\xE9r\xE9es conform\xE9ment aux r\xE8gles\
+ \ de la th\xE9matique"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2"
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2
+ ref_id: 7.2.2"
+ name: "Tracer les \xE9v\xE8nements informatiques"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2"
+ ref_id: 7.2.2.1
+ description: "Les fonctions de journalisation des \xE9v\xE8nements syst\xE8\
+ mes ou s\xE9curit\xE9 doivent \xEAtre activ\xE9es sur les diff\xE9rents composants\
+ \ d\u2019infrastructure : serveurs, \xE9quipements r\xE9seau y compris Wifi,\
+ \ pare-feu, syst\xE8mes d\u2019exploitation, application d\u2019infrastructure\
+ \ (services DHCP, DNS, annuaire\u2026), anti-virus, \u2026"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2"
+ ref_id: 7.2.2.2
+ description: "Les traces doivent comporter au minimum les informations suivantes\
+ \ : \n\n- date et heure de l\u2019\xE9v\xE8nement ; \uF0B7 \xE9quipement source\
+ \ de la trace (nom et adresse IP) ; \n- application source de la trace ; \n\
+ - toute autre information n\xE9cessaire \xE0 la description de l\u2019\xE9\
+ v\xE8nement."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2"
+ ref_id: 7.2.2.3
+ description: "Les horloges des diff\xE9rents \xE9quipements susceptibles de\
+ \ g\xE9n\xE9rer des traces doivent \xEAtre synchronis\xE9es, par exemple \xE0\
+ \ l\u2019aide du protocole NTP."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2"
+ ref_id: 7.2.2.4
+ description: "Les traces collect\xE9es constituent des informations \xE0 caract\xE8\
+ re personnel. Elles sont exclusivement destin\xE9es au suivi de la s\xE9curit\xE9\
+ \ du SI et ne peuvent servir au contr\xF4le de l\u2019activit\xE9 professionnelle\
+ \ ou extra-professionnelle des utilisateurs. Elles doivent \xEAtre conserv\xE9\
+ es de fa\xE7on s\xE9curis\xE9e et n\u2019\xEAtre accessibles qu\u2019\xE0\
+ \ un nombre restreint de personnes explicitement habilit\xE9es (typiquement\
+ \ le responsable de la s\xE9curit\xE9 du SI). Il est recommand\xE9 qu\u2019\
+ elles soient h\xE9berg\xE9es sur un serveur de stockage d\xE9di\xE9 \xE0 cet\
+ \ usage."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2"
+ ref_id: 7.2.2.5
+ description: "Sauf cas particulier (qui doit alors \xEAtre document\xE9 et justifi\xE9\
+ ), les traces collect\xE9es doivent \xEAtre conserv\xE9es pendant 6 mois,\
+ \ puis \xEAtre effac\xE9es."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2"
+ ref_id: 7.2.2.6
+ description: "Les traces doivent \xEAtre prises en compte dans le plan de sauvegarde\
+ \ afin qu\u2019elles soient pr\xE9serv\xE9es en cas de sinistre."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2"
+ ref_id: 7.2.2.7
+ description: "Les traces peuvent \xEAtre utilis\xE9es pour d\xE9tecter et analyser\
+ \ les incidents de s\xE9curit\xE9. Elles peuvent accessoirement \xEAtre utilis\xE9\
+ es pour \xE9tablir des statistiques qui doivent alors obligatoirement \xEA\
+ tre anonymes (directement et indirectement) et pour d\xE9tecter les flux anormaux\
+ \ sur le r\xE9seau."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2.8
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.2.2"
+ ref_id: 7.2.2.8
+ description: "Les utilisateurs du SI doivent \xEAtre inform\xE9s de la g\xE9\
+ n\xE9ration de traces \xE0 des fins d\u2019exploitation du SI et de s\xE9\
+ curit\xE9. Ils doivent \xEAtre inform\xE9s de leurs droits relatifs \xE0 ce\
+ \ traitement d\u2019informations \xE0 caract\xE8re personnel. Cette information\
+ \ est typiquement r\xE9alis\xE9e via la Charte d\u2019Utilisation des Ressources\
+ \ Informatiques. \n\nLa mise en place de la collecte de trace doit \xEAtre\
+ \ effectu\xE9e en conformit\xE9 avec les obligations l\xE9gales et r\xE9glementaires,\
+ \ notamment en ce qui concerne la loi \xAB Informatique et Libert\xE9s \xBB\
+ \ et le droit du travail (information des instances de repr\xE9sentation du\
+ \ personnel\u2026)"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7
+ ref_id: '7.3'
+ name: "Faire face \xE0 un incident de s\xE9curit\xE9"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3
+ ref_id: 7.3.1
+ name: "Anticiper la survenue d\u2019un incident de s\xE9curit\xE9"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1
+ ref_id: 7.3.1.1
+ description: "Le r\xE9f\xE9rent incident SSI d\xE9sign\xE9 en application de\
+ \ la r\xE8gle 2.1.1.7 assure la coordination des actions li\xE9es aux incidents\
+ \ de s\xE9curit\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1
+ ref_id: 7.3.1.2
+ description: "Le r\xE9f\xE9rent incident SSI doit identifier les experts techniques\
+ \ auxquels il peut recourir en cas d\u2019incident de s\xE9curit\xE9 suspect\xE9\
+ \ ou av\xE9r\xE9, qu\u2019il s\u2019agisse de personnel interne (informaticien,\
+ \ juriste, \u2026) ou de prestataire externe."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1
+ ref_id: 7.3.1.3
+ description: "Le r\xE9f\xE9rent incident SSI doit \xE9tablir, en coordination\
+ \ avec le RSSI, le processus d\u2019escalade de l\u2019alerte afin de mobiliser\
+ \ les niveaux hi\xE9rarchiques ad\xE9quats de la structure et si n\xE9cessaire\
+ \ d\u2019activer la cellule de crise."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.1
+ ref_id: 7.3.1.4
+ description: "Le r\xE9f\xE9rent incident SSI doit v\xE9rifier r\xE9guli\xE8\
+ rement l\u2019efficacit\xE9 des proc\xE9dures de d\xE9tection et de r\xE9\
+ solution d\u2019incidents \xE9labor\xE9es dans le cadre des r\xE8gles 7.3.2.1\
+ \ et 7.3.3.1. dans le cadre de tests techniques unitaires et d\u2019exercices\
+ \ de mise en \u0153uvre (simulation d\u2019incident)"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3
+ ref_id: 7.3.2
+ name: "D\xE9tecter un incident de s\xE9curit\xE9"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2
+ ref_id: 7.3.2.1
+ description: "Le r\xE9f\xE9rent incident SSI doit coordonner la r\xE9daction\
+ \ de proc\xE9dures de d\xE9tection d\u2019incidents de s\xE9curit\xE9 par\
+ \ les personnes comp\xE9tentes."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2
+ ref_id: 7.3.2.2
+ description: "Les utilisateurs du SI doivent \xEAtre sensibilis\xE9s \xE0 la\
+ \ survenance potentielle d\u2019incidents de s\xE9curit\xE9, aux sympt\xF4\
+ mes qu\u2019ils sont susceptibles d\u2019identifier dans leur utilisation\
+ \ du SI et \xE0 la proc\xE9dure d\u2019alerte qu\u2019ils doivent mettre en\
+ \ \u0153uvre dans ce cas (proc\xE9dure qui doit \xEAtre aussi simple que possible)."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2
+ ref_id: 7.3.2.3
+ description: "Le r\xE9f\xE9rent incident SSI doit \xEAtre inform\xE9 de tout\
+ \ incident de production et de sa bonne r\xE9solution. L\u2019acc\xE8s doit\
+ \ \xEAtre mis sur les incidents de production inhabituels ou dont les causes\
+ \ sont suspectes."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.2
+ ref_id: 7.3.2.4
+ description: "Il est recommand\xE9 que des moyens de d\xE9tection d\u2019anomalie\
+ \ de s\xE9curit\xE9 soient mis en \u0153uvre afin d\u2019alerter au plus vite\
+ \ le r\xE9f\xE9rent incident SSI : \n\n- console antivirus centralis\xE9e\
+ \ ; \n- dispositifs de contr\xF4le d\u2019int\xE9grit\xE9 des syst\xE8mes\
+ \ ; \n- dispositifs d\u2019analyse automatique des traces ; \n- dispositif\
+ \ de d\xE9tection d\u2019intrusion r\xE9seau ; \n- console de suivi des sauvegardes\
+ \ ; \n- etc."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3
+ ref_id: 7.3.3
+ name: "Prendre les mesures pour g\xE9rer les incidents de s\xE9curit\xE9"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.3
+ ref_id: 7.3.3.1
+ description: "Le r\xE9f\xE9rent incident SSI doit coordonner la r\xE9daction\
+ \ de proc\xE9dures de r\xE9solution d\u2019incidents par les personnes comp\xE9\
+ tentes. Des \xAB fiches reflexe \xBB peuvent \xE9galement \xEAtre \xE9labor\xE9\
+ es pour des proc\xE9dures tr\xE8s cadr\xE9es aux conditions de d\xE9clenchement\
+ \ claires et sans ambig\xFCit\xE9."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.3.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.3.3
+ ref_id: 7.3.3.2
+ description: "Le r\xE9f\xE9rent incident SSI doit participer \xE0 la r\xE9solution\
+ \ des incidents, en tirer des retours d\u2019exp\xE9rience, et le cas \xE9\
+ ch\xE9ant \xE9tablir avec le RSSI des propositions de mesures \xE0 mettre\
+ \ en \u0153uvre pour \xE9viter qu\u2019ils se r\xE9p\xE8tent ou pour en limiter\
+ \ les impacts."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7
+ ref_id: '7.4'
+ name: "Sauvegarder les donn\xE9es"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4
+ ref_id: 7.4.1
+ name: Organisation et Plan de sauvegarde
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1
+ ref_id: 7.4.1.1
+ description: "Le plan de sauvegarde doit identifier les besoins op\xE9rationnels\
+ \ m\xE9tiers et d\u2019infrastructure de sauvegarde et de restauration au\
+ \ minimum sur les points suivants : \n\n- d\xE9finition du p\xE9rim\xE8tre\
+ \ (syst\xE8mes, applications, donn\xE9es techniques, donn\xE9es de configuration,\
+ \ donn\xE9es m\xE9tiers, documentation) \xE0 sauvegarder ; \n- d\xE9finition\
+ \ du degr\xE9 de confidentialit\xE9 des sauvegardes ; \n- dur\xE9e maximale\
+ \ admissible de restauration des donn\xE9es (DMARD) qui correspond au temps\
+ \ entre la demande de restauration et la restauration effective des donn\xE9\
+ es14 ; \n- perte de donn\xE9es maximale admissible (PDMA) qui correspond au\
+ \ laps de temps maximal et admissible entre deux sauvegardes (perte des donn\xE9\
+ es modifi\xE9es pendant cette dur\xE9e) ; \n- dur\xE9e de conservation maximale\
+ \ des sauvegardes.\n\nLa conservation des sauvegardes sur des longues p\xE9\
+ riodes, au-del\xE0 de 2 ans, n\xE9cessite des pr\xE9cautions pour permettre\
+ \ une restauration en cas de besoin : r\xE9g\xE9n\xE9ration des sauvegardes\
+ \ pour s\u2019affranchir de l\u2019obsolescence des supports et du mat\xE9\
+ riel de sauvegarde, et le cas \xE9ch\xE9ant conservation de l\u2019environnement\
+ \ mat\xE9riel et logiciel."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1
+ ref_id: 7.4.1.2
+ description: "Le plan de sauvegarde doit identifier, en conformit\xE9 avec le\
+ \ p\xE9rim\xE8tre de sauvegarde d\xE9fini (r\xE8gle 7.4.1.1), l\u2019ensemble\
+ \ des composants informatiques du SI \xE0 inclure dans les processus de sauvegardes\
+ \ (ex. donn\xE9es, bases de donn\xE9es, applications et syst\xE8me d\u2019\
+ exploitation des serveurs, des mat\xE9riels m\xE9dicotechniques, des \xE9\
+ quipements r\xE9seaux, serveurs, baies de stockage, serveurs de fichiers et\
+ \ postes de travail\u2026).\n\nLe plan de sauvegarde doit prendre en compte\
+ \ les liens entre les composants afin d\u2019assurer la synchronisation et\
+ \ la coh\xE9rence des donn\xE9es lors des sauvegardes et restaurations. En\
+ \ particulier, lors des mont\xE9es de versions de logiciel, il est important\
+ \ de sauvegarder la version pr\xE9c\xE9dente du logiciel afin de s\u2019assurer\
+ \ du bon acc\xE8s aux donn\xE9es en cas de restauration. Cette prise en compte\
+ \ peut notamment \xEAtre r\xE9alis\xE9e par la sauvegarde de briques d\u2019\
+ infrastructure compl\xE8tes \xE9ventuellement associ\xE9es \xE0 des plans\
+ \ de virtualisation du SI."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1
+ ref_id: 7.4.1.3
+ description: "Pour chaque composant informatique identifi\xE9, le plan de sauvegarde\
+ \ d\xE9crit les proc\xE9dures de sauvegarde \xE0 mettre en \u0153uvre : \n\
+ \n- type de sauvegarde : sauvegarde compl\xE8te, sauvegarde partielle, sauvegarde\
+ \ diff\xE9rentielle, sauvegarde incr\xE9mentale ; \n- p\xE9riodicit\xE9 de\
+ \ la sauvegarde (journali\xE8re, hebdomadaire, mensuelle\u2026), p\xE9riodicit\xE9\
+ \ de rotation des sauvegardes (exemple pour un SI : sauvegarde diff\xE9rentielle\
+ \ en semaine, sauvegarde compl\xE8te le weekend, \u2026) ; \n- contraintes\
+ \ de sauvegarde : sauvegarde \xE0 chaud, sauvegarde \xE0 froid, d\xE9finition\
+ \ de la plage horaire de sauvegarde, ordonnancement des sauvegardes notamment\
+ \ entre les composants ayant des liens entre eux\u2026"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1
+ ref_id: 7.4.1.4
+ description: "Le plan de sauvegarde doit identifier, pour chaque composant informatique,\
+ \ les proc\xE9dures et les pr\xE9requis \xE0 la restauration. Les pr\xE9requis\
+ \ incluent les points suivants : \n\n- environnement de restauration (r\xE9\
+ seau, mat\xE9riel de sauvegarde, serveur de restauration, ..) ; \n- caract\xE9\
+ ristiques des composants informatiques du mat\xE9riel cible de la restauration\
+ \ ; \n- configurations logicielles (syst\xE8me d\u2019exploitation, applications,\
+ \ \u2026). Les proc\xE9dures de restauration formalisent les points suivants\
+ \ : \n- diagnostic de la perte de donn\xE9es et d\xE9termination des donn\xE9\
+ es \xE0 r\xE9cup\xE9rer en fonction des donn\xE9es perdues et des sauvegardes\
+ \ disponibles ; \n- mode de mise en \u0153uvre de la r\xE9cup\xE9ration de\
+ \ donn\xE9es ; \n- modalit\xE9s d\u2019information des utilisateurs."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1
+ ref_id: 7.4.1.5
+ description: "Le plan de sauvegarde doit pr\xE9voir le test des dispositions\
+ \ mises en \u0153uvre pour assurer la sauvegarde. En pratique, les r\xE8gles\
+ \ techniques concernant les sauvegardes, leur fr\xE9quence, leur restauration\
+ \ et la s\xE9curit\xE9 associ\xE9e (r\xE8gles des th\xE9matiques 7-4.2 \xE0\
+ \ 7-4.5) doivent \xEAtre test\xE9es r\xE9guli\xE8rement. Une campagne de test\
+ \ annuelle est recommand\xE9e."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1
+ ref_id: 7.4.1.6
+ description: "Toute mise en production d\u2019un nouveau syst\xE8me, d\u2019\
+ une nouvelle application ou espace de donn\xE9es doit faire l\u2019objet d\u2019\
+ une r\xE9flexion pr\xE9alable sur sa sauvegarde et d\u2019un ajout au plan\
+ \ de sauvegarde, valid\xE9 par le responsable du SIS."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1
+ ref_id: 7.4.1.7
+ description: "Seul le personnel ou les soci\xE9t\xE9s d\xE9sign\xE9es par le\
+ \ responsable du SI peuvent intervenir sur les processus de sauvegarde et\
+ \ de restauration des applications et des donn\xE9es."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1.8
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.1
+ ref_id: 7.4.1.8
+ description: "Lorsque cela est permis par la charte utilisateur \xE9tablie par\
+ \ l\u2019\xE9tablissement ou, au cas par cas, par le responsable du SI, les\
+ \ utilisateurs du SI sont autoris\xE9s \xE0 effectuer, sous leur propre responsabilit\xE9\
+ , des sauvegardes et restaurations des donn\xE9es de leur poste de travail\
+ \ dans le respect de la PSSI et de la charte informatique de la structure."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4
+ ref_id: 7.4.2
+ name: "R\xE8gles techniques pour la sauvegarde des serveurs"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2
+ ref_id: 7.4.2.1
+ description: "Une sauvegarde compl\xE8te doit \xEAtre effectu\xE9e avant chaque\
+ \ modification majeure d\u2019un composant mat\xE9riel ou logiciel (syst\xE8\
+ me ou application) et avant chaque changement majeur de configuration. Une\
+ \ sauvegarde compl\xE8te doit \xEAtre \xE9galement effectu\xE9e apr\xE8s la\
+ \ modification si elle n\u2019est pas d\xE9j\xE0 pr\xE9vue dans le plan de\
+ \ sauvegarde."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2
+ ref_id: 7.4.2.2
+ description: "Pour chaque serveur de production, l\u2019ensemble du param\xE9\
+ trage des syst\xE8mes d\u2019exploitation et des applications (comptes et\
+ \ droits utilisateurs, param\xE8tres m\xE9tier, \u2026) doit \xEAtre sauvegard\xE9\
+ \ selon les besoins de disponibilit\xE9 d\xE9finis par les responsables de\
+ \ traitement \xE0 une fr\xE9quence minimum d\xE9termin\xE9e en fonction des\
+ \ besoins et contraintes. A titre indicatif, une sauvegarde quotidienne est\
+ \ recommand\xE9e pour ce type d\u2019\xE9l\xE9ments."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2
+ ref_id: 7.4.2.3
+ description: "Pour chaque serveur de production, l\u2019ensemble des donn\xE9\
+ es des applications m\xE9tier doit \xEAtre sauvegard\xE9 selon les besoins\
+ \ de disponibilit\xE9 d\xE9finis par les responsables de traitement \xE0 une\
+ \ fr\xE9quence minimum d\xE9termin\xE9e en fonction des besoins et contraintes.\
+ \ A titre indicatif, une sauvegarde quotidienne est recommand\xE9e pour ce\
+ \ type d\u2019\xE9l\xE9ment."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2
+ ref_id: 7.4.2.4
+ description: "Pour chaque serveur de production, les diff\xE9rentes versions\
+ \ des programmes (syst\xE8mes, bases de donn\xE9es et applications) doivent\
+ \ \xEAtre sauvegard\xE9es et les supports conserv\xE9s, tant que les donn\xE9\
+ es de l\u2019application sont susceptibles d\u2019\xEAtre restaur\xE9es. \n\
+ \nEn effet, si des donn\xE9es un peu anciennes sont restaur\xE9es, il est\
+ \ possible qu\u2019il soit n\xE9cessaire de restaurer ces donn\xE9es dans\
+ \ un environnement n\xE9cessitant des versions des logiciels et syst\xE8mes\
+ \ ant\xE9rieures aux versions actuelles de production."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2
+ ref_id: 7.4.2.5
+ description: "Une v\xE9rification syst\xE9matique des sauvegardes est r\xE9\
+ alis\xE9e en fin de proc\xE9dure. Pour les bases de donn\xE9es, une op\xE9\
+ ration de restauration \xE0 blanc peut \xEAtre planifi\xE9e en plus des tests\
+ \ pr\xE9vus dans le cadre de la r\xE8gle 7.4.5.2."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.2
+ ref_id: 7.4.2.6
+ description: "L\u2019ensemble des op\xE9rations de sauvegarde est journalis\xE9\
+ . Les journaux sont conserv\xE9s avec les supports de sauvegardes. Ces derniers\
+ \ comportent au minimum les informations suivantes : \n\n- r\xE9f\xE9rences\
+ \ du dispositif de sauvegarde ; \n- p\xE9rim\xE8tre ou composants concern\xE9\
+ s ; \n- type de sauvegarde ; \n- fichiers sauvegard\xE9s ; \n- date de la\
+ \ sauvegarde ; \n- statut de la sauvegarde."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4
+ ref_id: 7.4.3
+ name: "R\xE8gles techniques pour la sauvegarde des postes de travail"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.3
+ ref_id: 7.4.3.1
+ description: "Dans le cas d\u2019une utilisation monoposte, une sauvegarde compl\xE8\
+ te doit \xEAtre effectu\xE9e avant chaque modification majeure d\u2019un composant\
+ \ mat\xE9riel ou logiciel (syst\xE8me ou application) et avant chaque changement\
+ \ majeur de configuration. Une sauvegarde compl\xE8te doit \xEAtre \xE9galement\
+ \ effectu\xE9e apr\xE8s la modification si elle n\u2019est pas d\xE9j\xE0\
+ \ pr\xE9vue dans le plan de sauvegarde."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.3.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.3
+ ref_id: 7.4.3.2
+ description: "Dans le cas d\u2019un exercice individuel ou si la charte utilisateur\
+ \ de l\u2019\xE9tablissement permet le stockage de donn\xE9es m\xE9tiers sur\
+ \ les postes de travail, la sauvegarde de l\u2019ensemble des donn\xE9es des\
+ \ applications m\xE9tier doit \xEAtre planifi\xE9e en fonction des besoins\
+ \ de disponibilit\xE9 des donn\xE9es d\xE9finis par les responsables de traitement.\
+ \ A titre indicatif, une sauvegarde quotidienne est recommand\xE9e pour ce\
+ \ type d\u2019\xE9l\xE9ments."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.3.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.3
+ ref_id: 7.4.3.3
+ description: "Une v\xE9rification syst\xE9matique des sauvegardes doit \xEA\
+ tre r\xE9alis\xE9e en fin de proc\xE9dure."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4
+ ref_id: 7.4.4
+ name: "R\xE8gles techniques g\xE9n\xE9rales pour la sauvegarde"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4
+ ref_id: 7.4.4.1
+ description: "Les dispositifs de sauvegarde doivent faire l\u2019objet d\u2019\
+ un contrat de maintenance mat\xE9rielle et logicielle adapt\xE9 aux besoins\
+ \ de disponibilit\xE9 du SI."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4
+ ref_id: 7.4.4.2
+ description: "Chaque support amovible de sauvegarde doit \xEAtre identifi\xE9\
+ \ et \xE9tiquet\xE9 avec a minima son identifiant, sa date de mise en premi\xE8\
+ re circulation et sa date de p\xE9remption."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4
+ ref_id: 7.4.4.3
+ description: "Un jeu de supports, correspondant \xE0 une sauvegarde compl\xE8\
+ te, doit r\xE9guli\xE8rement \xEAtre stock\xE9 dans un espace prot\xE9g\xE9\
+ \ contre les menaces physiques et environnementales (vols, saccages, incendies,\
+ \ d\xE9g\xE2ts des eaux, perturbations magn\xE9tiques, \u2026) et physiquement\
+ \ \xE9loign\xE9 des composants du SI sauvegard\xE9s. \n\nCet \xE9loignement\
+ \ physique doit garantir qu\u2019un m\xEAme sinistre ne peut affecter \xE0\
+ \ la fois les composants sauvegard\xE9s et leur sauvegarde. \n\nLe lieu de\
+ \ \xAB stockage \xE9loign\xE9 \xBB devra \xEAtre appropri\xE9 au type de structure.\
+ \ Ce lieu pourra \xEAtre, par exemple, un site secondaire de l\u2019organisme,\
+ \ un coffre de banque, etc. \n\nIl est recommand\xE9 qu\u2019une sauvegarde\
+ \ hebdomadaire soit stock\xE9e sur un lieu distant."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4
+ ref_id: 7.4.4.4
+ description: "Les supports de sauvegarde doivent \xEAtre prot\xE9g\xE9s en conformit\xE9\
+ \ avec les r\xE8gles de la th\xE9matiques T3-1.3. \n\nLe niveau de protection\
+ \ des sauvegardes doit \xEAtre au moins identique \xE0 celui des \xE9l\xE9\
+ ments sauvegard\xE9s. \n\nEn particulier, l\u2019acc\xE8s aux sauvegardes\
+ \ doit faire l\u2019objet d\u2019un contr\xF4le et d\u2019une restriction\
+ \ d\u2019acc\xE8s aux seuls intervenants autoris\xE9s par le responsable de\
+ \ traitement que ce soit lors de leur manipulation, au cours des sauvegardes-restaurations,\
+ \ sur les lieux de stockage ou pendant les op\xE9rations de transport. \n\n\
+ A cet effet, il est possible de mettre en \u0153uvre des solutions de chiffrement\
+ \ des donn\xE9es afin de r\xE9duire les risques d\u2019acc\xE8s aux donn\xE9\
+ es par des personnes non autoris\xE9es notamment en cas de perte de supports\
+ \ de stockage. Il est alors essentiel que les cl\xE9s n\xE9cessaires au d\xE9\
+ chiffrement des sauvegardes soient \xE9galement sauvegard\xE9es et que ces\
+ \ sauvegardes soient prot\xE9g\xE9es et conserv\xE9es s\xE9par\xE9ment par\
+ \ une personne autoris\xE9e. \n\nLe lecteur pourra se r\xE9f\xE9rer au R\xE9\
+ f\xE9rentiel G\xE9n\xE9ral de S\xE9curit\xE9 (RGS) qui comporte une annexe\
+ \ d\xE9crivant les exigences relatives \xE0 la fonction de s\xE9curit\xE9\
+ \ \xAB confidentialit\xE9 \xBB15"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4.5
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4
+ ref_id: 7.4.4.5
+ description: "Tous les supports de sauvegarde doivent, avant leur r\xE9utilisation\
+ \ dans un autre contexte ou leur mise au rebut, faire l\u2019objet d\u2019\
+ une campagne syst\xE9matique d\u2019effacement physique ou, \xE0 d\xE9faut,\
+ \ \xEAtre physiquement d\xE9truits. La destruction des donn\xE9es stock\xE9\
+ es sur les supports de sauvegarde doit \xEAtre r\xE9alis\xE9e en conformit\xE9\
+ \ avec les r\xE8gles de la th\xE9matique T3-1.4."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4.6
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4
+ ref_id: 7.4.4.6
+ description: "Si la sauvegarde de donn\xE9es sensibles (donn\xE9es \xE0 caract\xE8\
+ re personnel, param\xE9trages d\u2019\xE9quipement parmi lesquels peuvent\
+ \ se trouver des mots de passe\u2026) est r\xE9alis\xE9e via le r\xE9seau,\
+ \ ces donn\xE9es ne doivent transiter par le r\xE9seau que sous forme chiffr\xE9\
+ e."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4.7
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.4
+ ref_id: 7.4.4.7
+ description: "Quand les besoins m\xE9tiers le n\xE9cessitent, un m\xE9canisme\
+ \ de contr\xF4le d\u2019int\xE9grit\xE9 des donn\xE9es sauvegard\xE9es peut\
+ \ \xEAtre mis en place. Si ce contr\xF4le d\u2019int\xE9grit\xE9 vise \xE0\
+ \ d\xE9tecter une \xE9ventuelle falsification des donn\xE9es, il est recommand\xE9\
+ \ d\u2019utiliser la fonction de hachage SHA-256 pour r\xE9aliser une empreinte\
+ \ des donn\xE9es sauvegard\xE9e, voire une signature \xE9lectronique. Ces\
+ \ empreintes devront \xEAtre prot\xE9g\xE9es et conserv\xE9es s\xE9par\xE9\
+ ment des sauvegardes."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4
+ ref_id: 7.4.5
+ name: "R\xE8gles relatives \xE0 la restauration et au contr\xF4le des sauvegardes"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5
+ ref_id: 7.4.5.1
+ description: "Tous les supports de sauvegarde doivent faire l'objet d'une surveillance\
+ \ p\xE9riodique pour garantir leur efficacit\xE9 physique, que ce soit par\
+ \ \xE9chantillonnage et test de restauration \xE0 blanc de sauvegardes anciennes,\
+ \ ou par suivi des param\xE8tres techniques de bas niveau (erreurs de lecture,\
+ \ corrig\xE9es ou non) \xE0 l\u2019occasion d\u2019op\xE9rations de restauration.\
+ \ En cas d'incident li\xE9 \xE0 la qualit\xE9 du support lors d'une op\xE9\
+ ration de sauvegarde ou de restauration, comme en cas de suspicion de d\xE9\
+ faut, le support incrimin\xE9 doit \xEAtre mis au rebut."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5
+ ref_id: 7.4.5.2
+ description: "Des tests de restauration sont men\xE9s de mani\xE8re r\xE9guli\xE8\
+ re. Une fr\xE9quence de test annuelle est recommand\xE9e."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5.3
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5
+ ref_id: 7.4.5.3
+ description: "Chaque op\xE9ration de restauration doit donner lieu \xE0 une\
+ \ v\xE9rification du bon fonctionnement du composant restaur\xE9 et de la\
+ \ s\xE9curit\xE9. En particulier, le contr\xF4le d\u2019acc\xE8s aux \xE9\
+ l\xE9ments restaur\xE9s doit \xEAtre coh\xE9rent avec celui mis en \u0153\
+ uvre pour les \xE9l\xE9ments initiaux sauvegard\xE9s. Le r\xE9sultat de cette\
+ \ v\xE9rification est consign\xE9 dans une fiche de restauration qui comporte\
+ \ les informations suivantes : \n\n- op\xE9rateur de sauvegarde ; \n- demandeur\
+ \ de la restauration ; \n- fichiers restaur\xE9s ; \n- date de la sauvegarde\
+ \ ; \n- date de restauration ; \n- statut des v\xE9rifications effectu\xE9\
+ es."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5.4
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.5
+ ref_id: 7.4.5.4
+ description: "En fonctionnement habituel, les exploitants doivent utiliser leur\
+ \ compte nominatif pour effectuer des op\xE9rations de restauration ou de\
+ \ contr\xF4le des sauvegardes. Toutefois, il peut exister un compte administrateur\
+ \ du syst\xE8me de sauvegarde. Ce compte ne doit pas \xEAtre un compte par\
+ \ d\xE9faut du syst\xE8me. L\u2019identifiant et le mot de passe durci associ\xE9\
+ s \xE0 ce compte doivent \xEAtre consign\xE9s dans un coffre-fort (physique\
+ \ ou \xE9lectronique) \xE0 mots de passe. Il ne doit \xEAtre utilis\xE9 qu\u2019\
+ en cas de force majeure (indisponibilit\xE9 des exploitants usuels notamment),\
+ \ sous le contr\xF4le du responsable du SI."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.6
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4
+ ref_id: 7.4.6
+ name: "R\xE8gles relatives aux contrats d\u2019externalisation des sauvegardes"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.6.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.6
+ ref_id: 7.4.6.1
+ description: "Un contrat d\u2019externalisation des op\xE9rations ou des supports\
+ \ de sauvegarde ne doit \xEAtre sign\xE9 avec un prestataire que s\u2019il\
+ \ est agr\xE9\xE9 pour l\u2019h\xE9bergement des donn\xE9es de sant\xE9 \xE0\
+ \ caract\xE8re personnel, pour ce type de service."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.6.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.4.6
+ ref_id: 7.4.6.2
+ description: "Le contrat d\u2019externalisation des op\xE9rations ou des supports\
+ \ de sauvegarde doit se conformer aux r\xE8gles 6.6.6.1 et 6.6.6.2."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5
+ assessable: false
+ depth: 2
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7
+ ref_id: '7.5'
+ name: "Mettre en place un Plan de Continuit\xE9 Informatique"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.1
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5
+ ref_id: 7.5.1
+ name: "D\xE9finir l\u2019organisation n\xE9cessaire au Plan de Continuit\xE9\
+ \ Informatique"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.1.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.1
+ ref_id: 7.5.1.1
+ description: "L\u2019\xE9laboration, la maintenance et les tests du Plan de\
+ \ Continuit\xE9 Informatique doivent \xEAtre pilot\xE9s par une personne en\
+ \ charge de la fonction \xAB Responsable Plan de continuit\xE9 du SI \xBB"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.2
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5
+ ref_id: 7.5.2
+ name: "Elaborer le Plan de Continuit\xE9 Informatique"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.2.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.2
+ ref_id: 7.5.2.1
+ description: "Un Plan de Continuit\xE9 Informatique doit \xEAtre \xE9tabli afin\
+ \ de r\xE9pondre aux exigences de continuit\xE9 \xE9tablies par le Plan de\
+ \ Continuit\xE9 d\u2019Activit\xE9 (PCA) de la structure en cas de r\xE9alisation\
+ \ de l\u2019un des sinistres envisag\xE9s dans ce PCA."
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.2.2
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.2
+ ref_id: 7.5.2.2
+ description: "Le Plan de Continuit\xE9 Informatique doit \xEAtre \xE9labor\xE9\
+ \ en coh\xE9rence avec le PCA afin de : \n\n- tenir compte des diff\xE9rents\
+ \ modes de fonctionnement d\xE9grad\xE9s et de secours envisag\xE9s par les\
+ \ m\xE9tiers;\n- v\xE9rifier que le PCA prend bien en compte les pr\xE9requis\
+ \ sp\xE9cifiques au r\xE9tablissement du fonctionnement du SI attendu (locaux\
+ \ de repli, personnel n\xE9cessaire, logistique, \u2026). "
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.3
+ assessable: false
+ depth: 3
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5
+ ref_id: 7.5.3
+ name: "Tester le Plan de Continuit\xE9 Informatique"
+ - urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.3.1
+ assessable: true
+ depth: 4
+ parent_urn: urn:ackwa:risk:req_node:pgssi-s-1.0:7.5.3
+ ref_id: 7.5.3.1
+ description: "La pertinence et l\u2019efficacit\xE9 du Plan de Continuit\xE9\
+ \ Informatique et de sa mise en \u0153uvre effective doivent \xEAtre r\xE9\
+ guli\xE8rement test\xE9es dans le cadre : \n\n- de tests internes au SI ;\
+ \ \n- d\u2019exercices de mise en \u0153uvre du PCA de la structure."
diff --git a/backend/library/libraries/risk-matrix-4x4-pgssi-s-1.0.yaml b/backend/library/libraries/risk-matrix-4x4-pgssi-s-1.0.yaml
new file mode 100644
index 000000000..3ab7926d0
--- /dev/null
+++ b/backend/library/libraries/risk-matrix-4x4-pgssi-s-1.0.yaml
@@ -0,0 +1,72 @@
+urn: urn:ackwa:risk:library:risk-matrix-4x4-pgssi-s-1.0
+locale: fr
+ref_id: risk-matrix-4x4-pgssi-s-1.0
+name: Matrice de risques 4x4 PGSSI-S v1.0
+description: Matrice de risques 4x4 PGSSI-S v1.0
+copyright: Agence du Numérique en Santé
+annotation: https://esante.gouv.fr/produits-services/pgssi-s
+version: 1
+provider: ANS
+packager: Ackwa.fr
+objects:
+ risk_matrix:
+ - urn: urn:ackwa:risk:matrix:risk-matrix-4x4-pgssi-s-1.0
+ ref_id: risk-matrix-4x4-pgssi-s-1.0
+ name: Matrice de risques 4x4 PGSSI-S v1.0
+ description: Matrice de risques 4x4 PGSSI-S v1.0
+ probability:
+ - abbreviation: 1
+ name: Exceptionnel
+ description: Evènement Exceptionnel
+ - abbreviation: 2
+ name: Peu probable
+ description: Evènement Peu probable
+ - abbreviation: 3
+ name: Possible
+ description: Evènement Possible
+ - abbreviation: 4
+ name: Quasi certain
+ description: Evènement Quasi certain
+ impact:
+ - abbreviation: 1
+ name: Mineure
+ description: Gravité Mineure
+ - abbreviation: 2
+ name: Significatif
+ description: Gravité Significative
+ - abbreviation: 3
+ name: Importante
+ description: Gravité Importante
+ - abbreviation: 4
+ name: Critique
+ description: Gravité Critique
+ risk:
+ - abbreviation: 1
+ name: Limité
+ description: Risque Limité
+ hexcolor: "#92d051"
+ - abbreviation: 2
+ name: Modéré
+ description: Risque Modéré
+ hexcolor: "#ffc100"
+ - abbreviation: 3
+ name: Fort
+ description: Risque Fort
+ hexcolor: "#ff5d5d"
+ grid:
+ - - 0
+ - 0
+ - 0
+ - 1
+ - - 0
+ - 1
+ - 1
+ - 2
+ - - 0
+ - 1
+ - 1
+ - 2
+ - - 0
+ - 1
+ - 2
+ - 2
diff --git a/frontend/messages/fr.json b/frontend/messages/fr.json
index 8b01061f9..3a51e832e 100644
--- a/frontend/messages/fr.json
+++ b/frontend/messages/fr.json
@@ -78,7 +78,7 @@
"parentDomain": "Domaine parent",
"ref": "Réf",
"refId": "ID de référence",
- "businessValue": "Valeur commerciale",
+ "businessValue": "Valeur métier",
"email": "E-mail",
"firstName": "Prénom",
"lastName": "Nom de famille",
diff --git a/frontend/src/lib/components/Forms/AutocompleteSelect.svelte b/frontend/src/lib/components/Forms/AutocompleteSelect.svelte
index 271454898..c426a332d 100644
--- a/frontend/src/lib/components/Forms/AutocompleteSelect.svelte
+++ b/frontend/src/lib/components/Forms/AutocompleteSelect.svelte
@@ -12,6 +12,7 @@
export let nullable = false;
export let hide = false;
+ export let translateOptions = true;
const { value, errors, constraints } = formFieldProxy(form, field);
@@ -88,7 +89,7 @@
{#if option.suggested}
{option.label}
(suggested)
- {:else if localItems(languageTag())[toCamelCase(option.label)]}
+ {:else if translateOptions && localItems(languageTag())[toCamelCase(option.label)]}
{localItems(languageTag())[toCamelCase(option.label)]}
{:else}
{option.label}
diff --git a/frontend/src/lib/components/Forms/ModelForm.svelte b/frontend/src/lib/components/Forms/ModelForm.svelte
index aaa5c6133..ba5ab88c1 100644
--- a/frontend/src/lib/components/Forms/ModelForm.svelte
+++ b/frontend/src/lib/components/Forms/ModelForm.svelte
@@ -350,6 +350,7 @@
{#if model.selectOptions['selected_implementation_groups'] && model.selectOptions['selected_implementation_groups'].length}