From 4abc004a17e0f2f66b1fb4fca7af16d3dda87df6 Mon Sep 17 00:00:00 2001 From: eric-intuitem <71850047+eric-intuitem@users.noreply.github.com> Date: Thu, 9 May 2024 20:50:51 +0200 Subject: [PATCH] add SecNumCloud 3.2 ss --- .../library/libraries/secnumcloud-3.2.yaml | 5056 +++++++++++++++++ tools/anssi/secnumcloud-3.2.xlsx | Bin 0 -> 62710 bytes 2 files changed, 5056 insertions(+) create mode 100644 backend/library/libraries/secnumcloud-3.2.yaml create mode 100644 tools/anssi/secnumcloud-3.2.xlsx diff --git a/backend/library/libraries/secnumcloud-3.2.yaml b/backend/library/libraries/secnumcloud-3.2.yaml new file mode 100644 index 000000000..6b74722c6 --- /dev/null +++ b/backend/library/libraries/secnumcloud-3.2.yaml @@ -0,0 +1,5056 @@ +urn: urn:intuitem:risk:library:secnumcloud-3.2 +locale: fr +ref_id: SecNumCloud v3.2 +name: "Prestataires de services d\u2019informatique en nuage (SecNumCloud) - r\xE9\ + f\xE9rentiel d\u2019exigences" +description: "Premier ministre\nAgence nationale de la s\xE9curit\xE9 des syst\xE8\ + mes d\u2019information\nPrestataires de services d\u2019informatique en nuage (SecNumCloud)\n\ + r\xE9f\xE9rentiel d\u2019exigences\nVersion 3.2 du 8 mars 202" +copyright: ANSSI +version: 1 +provider: ANSSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:secnumcloud-3.2 + ref_id: SecNumCloud v3.2 + name: "Prestataires de services d\u2019informatique en nuage (SecNumCloud) - r\xE9\ + f\xE9rentiel d\u2019exigences" + description: "Premier ministre\nAgence nationale de la s\xE9curit\xE9 des syst\xE8\ + mes d\u2019information\nPrestataires de services d\u2019informatique en nuage\ + \ (SecNumCloud)\nr\xE9f\xE9rentiel d\u2019exigences\nVersion 3.2 du 8 mars 202" + requirement_nodes: + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1 + assessable: false + depth: 1 + ref_id: '1' + name: Introduction + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1 + ref_id: '1.3' + name: "Acronymes et d\xE9finitions" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3 + ref_id: 1.3.1 + name: Acronymes + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node5 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.1 + name: 'ANSSI ' + description: "Agence nationale de la s\xE9curit\xE9 des syst\xE8mes d\u2019\ + information" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node6 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.1 + name: 'CaaS ' + description: 'Container as a service ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node7 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.1 + name: 'CNIL ' + description: "Commission nationale de l\u2019informatique et des libert\xE9s" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node8 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.1 + name: 'EBIOS ' + description: "Expression des besoins et identification des objectifs de s\xE9\ + curit\xE9" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node9 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.1 + name: 'IaaS ' + description: 'Infrastructure as a service ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node10 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.1 + name: 'PaaS ' + description: 'Platform as a service ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node11 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.1 + name: 'PASSI ' + description: "Prestataire d\u2019audit de la s\xE9curit\xE9 des syst\xE8mes\ + \ d\u2019information" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node12 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.1 + name: 'PDIS ' + description: "Prestataire de d\xE9tection des incidents de s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node13 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.1 + name: 'PRIS ' + description: "Prestataire de r\xE9ponse aux incidents de s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node14 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.1 + name: 'SaaS ' + description: 'Software as a service ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node15 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.1 + name: 'SDN ' + description: 'Software Defined Network ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3 + ref_id: 1.3.2 + name: "D\xE9finitions" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node17 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: "Actions d\u2019administration" + description: "Ensemble des actions d\u2019installation, de suppression, de modification\ + \ et de consultation de la configuration d\u2019un syst\xE8me participant\ + \ au syst\xE8me d\u2019information du service et susceptibles de modifier\ + \ le fonctionnement ou la s\xE9curit\xE9 de celui-ci. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node18 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: Audit + description: "Processus syst\xE9matique, ind\xE9pendant et document\xE9 en vue\ + \ d'obtenir des preuves et de les \xE9valuer de mani\xE8re objective pour\ + \ d\xE9terminer dans quelle mesure les exigences d\u2019un r\xE9f\xE9rentiel\ + \ sont satisfaites." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node19 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: Bien + description: "Tout \xE9l\xE9ment repr\xE9sentant de la valeur pour le service\ + \ \xE0 qualifier." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node20 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: Changement majeur + description: "Toute action planifi\xE9e par le prestataire et susceptible, par\ + \ sa nature ou sa port\xE9e, de compromettre la s\xE9curit\xE9 du service\ + \ (exemple : modification de l\u2019organisation, modification d\u2019une\ + \ proc\xE9dure, ajout, modification ou suppression d\u2019un composant de\ + \ l\u2019infrastructure technique)." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node21 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: Cloud computing (informatique en nuage) + description: "Mod\xE8le permettant un acc\xE8s ais\xE9, g\xE9n\xE9ralement \xE0\ + \ la demande, et au travers d\u2019un r\xE9seau, \xE0 un ensemble de ressources\ + \ informatiques partag\xE9es et configurables." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node22 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: Commanditaire + description: "Entit\xE9 faisant appel \xE0 un prestataire de services d\u2019\ + informatique en nuage." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node23 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: Conteneur (Container) + description: "Instance d\u2019ex\xE9cution en espace utilisateur, isol\xE9e\ + \ des autres instances par des m\xE9canismes d\u2019abstraction fournis par\ + \ le noyau d\u2019un syst\xE8me d\u2019exploitation." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node24 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: "\xC9tat de l\u2019art" + description: "Ensemble des bonnes pratiques, des technologies et des documents\ + \ de r\xE9f\xE9rence relatifs \xE0 la s\xE9curit\xE9 des syst\xE8mes d\u2019\ + information publiquement accessibles, et des informations qui en d\xE9coulent\ + \ de mani\xE8re \xE9vidente. Ces documents peuvent \xEAtre mis en ligne sur\ + \ Internet par la communaut\xE9 de la s\xE9curit\xE9 des syst\xE8mes d\u2019\ + information, diffus\xE9s par des organismes de r\xE9f\xE9rence ou encore d\u2019\ + origine r\xE9glementaire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node25 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: "H\xE9bergement externe partag\xE9" + description: "Mod\xE8le permettant un acc\xE8s ais\xE9 et au travers d\u2019\ + un r\xE9seau, \xE0 un ensemble de ressources informatiques partag\xE9es et\ + \ configurables. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node26 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: "Incident li\xE9 \xE0 la s\xE9curit\xE9 de l\u2019information" + description: "Un ou plusieurs \xE9v\xE9nement(s) li\xE9s \xE0 la s\xE9curit\xE9\ + \ de l\u2019information, ind\xE9sirable(s) ou inattendu(s) pr\xE9sentant une\ + \ probabilit\xE9 forte de compromettre les op\xE9rations li\xE9es \xE0 l\u2019\ + activit\xE9 de l\u2019organisme ou de menacer la s\xE9curit\xE9 de l\u2019\ + information." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node27 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: Infrastructure technique + description: "Ensemble des composants mat\xE9riels et logiciels n\xE9cessaires\ + \ \xE0 la fourniture d\u2019un service d\u2019informatique en nuage (IaaS,\ + \ CaaS, PaaS, SaaS, etc.)." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node28 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: "Interface d\u2019administration" + description: "Interface logicielle permettant \xE0 une entit\xE9 disposant des\ + \ privil\xE8ges requis (un administrateur, un compte de service, un d\xE9\ + veloppeur \xAB DevOps \xBB, etc.) de r\xE9aliser des actions d\u2019administration\ + \ d\u2019un syst\xE8me d\u2019information. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node29 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: Intergiciel (Middleware) + description: "Logiciel qui se trouve entre un syst\xE8me d\u2019exploitation\ + \ et les applications qui s\u2019ex\xE9cutent sur celui-ci, afin de faciliter\ + \ les interactions entre elles." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node30 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: Menace + description: "Cause potentielle d\u2019un incident ind\xE9sirable pouvant nuire\ + \ \xE0 un syst\xE8me ou \xE0 un organisme." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node31 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: "Mesure de s\xE9curit\xE9" + description: "Mesure qui modifie la vraisemblance ou la gravit\xE9 d\u2019un\ + \ risque. Elle comprend la politique, les proc\xE9dures, les lignes directrices,\ + \ et les pratiques ou structures organisationnelles, et peut \xEAtre de nature\ + \ administrative, technique, manag\xE9riale ou juridique." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node32 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: Politique + description: "Intentions et orientations d\u2019un organisme telles que formalis\xE9\ + es par sa direction." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node33 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: Prestataire + description: "Organisme proposant un service d\u2019informatique en nuage et\ + \ visant la qualification. Prestataire d\u2019audit de la s\xE9curit\xE9\ + \ des syst\xE8mes d\u2019information \u2013 organisme r\xE9alisant des prestations\ + \ d\u2019audit de la s\xE9curit\xE9 des syst\xE8mes d\u2019information. Il\ + \ est dit qualifi\xE9 si un organisme de qualification a attest\xE9 de sa\ + \ conformit\xE9 au R\xE9f\xE9rentiel d\u2019exigences des prestataires d\u2019\ + audit de la s\xE9curit\xE9 des syst\xE8mes d\u2019information." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node34 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: "Ressources virtualis\xE9es" + description: "Abstraction des ressources mat\xE9rielles d\u2019un syst\xE8me\ + \ (CPU, RAM, etc.) qui sont mises \xE0 disposition par l\u2019infrastructure\ + \ technique." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node35 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: Risque + description: "Effet de l\u2019incertitude sur l\u2019atteinte des objectifs.\ + \ Il est exprim\xE9 en termes de combinaison des cons\xE9quences d\u2019un\ + \ \xE9v\xE9nement et de sa vraisemblance. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node36 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: "S\xE9curit\xE9 d\u2019un syst\xE8me d\u2019information" + description: "Ensemble des moyens techniques et non-techniques de protection\ + \ permettant \xE0 un syst\xE8me d\u2019information d\u2019assurer la disponibilit\xE9\ + , l\u2019int\xE9grit\xE9 et la confidentialit\xE9 des donn\xE9es, trait\xE9\ + es ou transmises, et des services connexes que ces syst\xE8mes offrent ou\ + \ rendent accessibles. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node37 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: Supervision + description: "Surveillance du bon fonctionnement d\u2019un syst\xE8me d\u2019\ + information ou d\u2019un service. Elle concerne la collecte de donn\xE9es\ + \ (mesures, alarmes, etc.) mais elle ne permet pas d\u2019agir sur l\u2019\ + \xE9l\xE9ment surveill\xE9 (ce qui rel\xE8ve des t\xE2ches d\u2019administration). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node38 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: Support (technique) + description: "Ensemble des actions de diagnostic ayant pour finalit\xE9 la r\xE9\ + solution des probl\xE8mes rencontr\xE9s par les commanditaires. Par d\xE9\ + faut, aucun acc\xE8s aux donn\xE9es des commanditaires n\u2019est autoris\xE9\ + \ dans le cadre de ces t\xE2ches. Si la r\xE9solution du probl\xE8me n\xE9\ + cessite une action de la part du prestataire, cette derni\xE8re rel\xE8ve\ + \ d\xE8s lors de l\u2019administration et doit \xEAtre effectu\xE9e dans les\ + \ conditions idoines." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node39 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: "Syst\xE8me d\u2019information" + description: "Ensemble organis\xE9 de ressources (mat\xE9riels, logiciels, personnels,\ + \ donn\xE9es et proc\xE9dures) permettant de traiter et de diffuser de l\u2019\ + information." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node40 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.2 + name: "Vuln\xE9rabilit\xE9" + description: "Faiblesse d\u2019un bien ou d\u2019une mesure pouvant \xEAtre\ + \ exploit\xE9e par une menace ou un groupe de menaces." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3 + ref_id: 1.3.3 + name: "R\xF4les" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node42 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.3 + name: Administrateur + description: "Utilisateur disposant de droits privil\xE9gi\xE9s lui permettant\ + \ de r\xE9aliser les t\xE2ches d\u2019administration qui lui sont attribu\xE9\ + es." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node43 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.3 + name: "Administrateur d\u2019infrastructure" + description: "Administrateur en charge de la gestion et du maintien en conditions\ + \ op\xE9rationnelles et en condition de s\xE9curit\xE9 de l\u2019infrastructure\ + \ technique du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node44 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.3 + name: Utilisateur + description: "Toute personne disposant d\u2019un compte dans le p\xE9rim\xE8\ + tre du service. Ce terme g\xE9n\xE9rique englobe les utilisateurs finaux et\ + \ les administrateurs. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node45 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.3 + name: Utilisateur final + description: "Personne jouissant in fine du service mis en \u0153uvre. Il peut\ + \ s\u2019agir du personnel du commanditaire dans le cas d\u2019un service\ + \ interne, ou de ses propres commanditaires dans le cas d\u2019un service\ + \ propos\xE9 \xE0 l\u2019ext\xE9rieur. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node46 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.3 + description: "Le r\xF4le d\u2019administrateur d\u2019infrastructure est toujours\ + \ sous la responsabilit\xE9 du prestataire." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node47 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:1.3.3 + description: "Selon le mode de partage des responsabilit\xE9s entre le prestataire\ + \ et le commanditaire d\xE9crit dans la convention de service, des r\xF4les\ + \ d\u2019administrateur de s\xE9curit\xE9, d\u2019administrateur syst\xE8\ + me, d\u2019administrateur r\xE9seau... peuvent se trouver sous la responsabilit\xE9\ + \ du prestataire ou celle du commanditaire." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:2 + assessable: false + depth: 1 + ref_id: '2' + name: "Activit\xE9s vis\xE9es par le r\xE9f\xE9rentiel" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:2.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:2 + ref_id: '2.1' + name: Fourniture de services SaaS + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node50 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:2.1 + description: "Ce service concerne la mise \xE0 disposition par le prestataire\ + \ d\u2019applications h\xE9berg\xE9es sur une plateforme d\u2019informatique\ + \ en nuage. Le commanditaire n\u2019a pas la ma\xEEtrise de la plateforme\ + \ en nuage sous-jacente. Le prestataire g\xE8re de fa\xE7on transparente pour\ + \ le commanditaire l\u2019ensemble des aspects techniques requ\xE9rant des\ + \ comp\xE9tences informatiques. Le commanditaire garde la possibilit\xE9 d\u2019\ + effectuer quelques param\xE9trages m\xE9tier dans l\u2019application.\nExemples\ + \ : \xAB CRM \xBB, outils collaboratifs, messagerie, Business Intelligence,\ + \ \xAB ERP \xBB, etc." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:2.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:2 + ref_id: '2.2' + name: Fourniture de services PaaS + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node52 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:2.2 + description: "Ce service concerne la mise \xE0 disposition par le prestataire\ + \ de plateformes d\u2019h\xE9bergement d\u2019applications. Le commanditaire\ + \ n\u2019a pas la ma\xEEtrise de l\u2019infrastructure technique sous-jacente,\ + \ g\xE9r\xE9e et contr\xF4l\xE9e par le prestataire (r\xE9seau, serveurs,\ + \ OS, stockage, etc.). Le commanditaire a cependant la ma\xEEtrise des applications\ + \ d\xE9ploy\xE9es sur cette plateforme. Il peut aussi avoir la ma\xEEtrise\ + \ de certains services composant cette plateforme ou de certains \xE9l\xE9\ + ments de configuration suivant la r\xE9partition des r\xF4les d\xE9finie dans\ + \ le service.\nExemple : framework de type Apache, Tomcat, PHP et MySQL permettant\ + \ de d\xE9velopper des applications web." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:2.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:2 + ref_id: '2.3' + name: Fourniture de services CaaS + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node54 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:2.3 + description: "Ce service concerne la mise \xE0 disposition d\u2019outils permettant\ + \ le d\xE9ploiement et l\u2019orchestration de conteneurs. Le commanditaire\ + \ n\u2019a pas la ma\xEEtrise de l\u2019infrastructure technique sous-jacente\ + \ (r\xE9seau, stockage, serveurs, syst\xE8me d\u2019exploitation), g\xE9r\xE9\ + e et contr\xF4l\xE9e par le prestataire. Le commanditaire a cependant la ma\xEE\ + trise des outils syst\xE8mes, biblioth\xE8ques, intergiciels, et du code de\ + \ l\u2019application." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:2.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:2 + ref_id: '2.4' + name: Fourniture de services IaaS + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node56 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:2.4 + description: "Ce service concerne la mise \xE0 disposition de ressources informatiques\ + \ abstraites (puissance CPU, m\xE9moire, stockage etc.). Le mod\xE8le IaaS\ + \ permet au commanditaire de disposer de ressources externalis\xE9es, potentiellement\ + \ virtualis\xE9es. Ce dernier garde le contr\xF4le sur le syst\xE8me d\u2019\ + exploitation (OS), le stockage, les applications d\xE9ploy\xE9es ainsi que\ + \ sur certains composants r\xE9seau (pare-feu, par exemple)." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3 + assessable: false + depth: 1 + ref_id: '3' + name: "Qualification des prestataires de services d\u2019informatique en nuage" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3 + ref_id: '3.1' + name: "Modalit\xE9s de la qualification " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node59 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.1 + description: "Le r\xE9f\xE9rentiel contient les exigences et les recommandations\ + \ \xE0 destination des prestataires de services d\u2019informatique en nuage. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node60 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.1 + description: "La qualification d\u2019un prestataire est r\xE9alis\xE9e conform\xE9\ + ment au processus de qualification d\u2019un prestataire de services de confiance\ + \ [PROCESS_QUALIF] et permet d\u2019attester de la conformit\xE9 du prestataire\ + \ aux exigences du r\xE9f\xE9rentiel." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node61 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.1 + description: "Les exigences doivent \xEAtre respect\xE9es par les prestataires\ + \ pour obtenir la qualification." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node62 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.1 + description: "Les recommandations sont donn\xE9es \xE0 titre de bonnes pratiques\ + \ et ne font pas l\u2019objet de v\xE9rification pour obtenir la qualification." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3 + ref_id: '3.2' + name: "Port\xE9e de la qualification" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node64 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.2 + description: "Pour \xEAtre qualifi\xE9, un prestataire doit r\xE9pondre \xE0\ + \ toutes les exigences du pr\xE9sent r\xE9f\xE9rentiel sur la port\xE9e choisie.\ + \ La port\xE9e est d\xE9finie par tout ou partie des activit\xE9s d\xE9crites\ + \ au chapitre 2. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node65 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.2 + description: "Les prestataires qualifi\xE9s gardent la facult\xE9 de r\xE9aliser\ + \ des prestations en dehors du p\xE9rim\xE8tre pour lequel ils sont qualifi\xE9\ + s, mais ne peuvent, dans ce cas, se pr\xE9valoir de la qualification sur ces\ + \ prestations." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node66 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.2 + description: "Une prestation de services d\u2019informatique en nuage qualifi\xE9\ + e peut \xEAtre associ\xE9e \xE0 la r\xE9alisation d\u2019autres prestations\ + \ compl\xE9mentaires (d\xE9veloppement, int\xE9gration de produits de s\xE9\ + curit\xE9, etc.) sans perdre le b\xE9n\xE9fice de la qualification. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3 + ref_id: '3.3' + name: Avertissements + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.3.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.3 + ref_id: 3.3.1 + name: "Risques li\xE9s \xE0 l\u2019absence de qualification" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node69 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.3.1 + description: "Une prestation de services d\u2019informatique en nuage non qualifi\xE9\ + e peut potentiellement augmenter l\u2019exposition du commanditaire \xE0 certains\ + \ risques et notamment la fuite d\u2019informations confidentielles, la compromission,\ + \ la perte ou l\u2019indisponibilit\xE9 de son syst\xE8me d\u2019information. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node70 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.3.1 + description: "Ainsi, dans le cas d\u2019une prestation non qualifi\xE9e, il\ + \ est recommand\xE9 au commanditaire d\u2019exiger de la part de son prestataire\ + \ un document listant l\u2019ensemble des exigences de ce r\xE9f\xE9rentiel\ + \ non couvertes dans le cadre de sa prestation, afin de conna\xEEtre les risques\ + \ auxquels il s\u2019expose." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.3.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.3 + ref_id: 3.3.2 + name: "Risques li\xE9s \xE0 la protection des informations" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node72 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.3.2 + description: "La conformit\xE9 au r\xE9f\xE9rentiel SecNumCloud ne se substitue\ + \ pas aux exigences l\xE9gales ou r\xE9glementaires applicables \xE0 certaines\ + \ donn\xE9es sp\xE9cifiques telles que les donn\xE9es de niveau Diffusion\ + \ Restreinte ou les donn\xE9es de sant\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node73 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.3.2 + description: "Les clauses de ce r\xE9f\xE9rentiel faisant r\xE9f\xE9rence \xE0\ + \ des produits qualifi\xE9s sont applicables dans la mesure o\xF9 ces produits\ + \ existent." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node74 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.3.2 + description: "Par ailleurs, ce r\xE9f\xE9rentiel repose sur un objectif de protection\ + \ des donn\xE9es du commanditaire, mais n\u2019apporte pas de garanties techniques\ + \ fortes contre un acc\xE8s du prestataire aux donn\xE9es trait\xE9es sur\ + \ le syst\xE8me d\u2019information du service, uniquement des engagements\ + \ contractuels. Les commanditaires souhaitant assurer la protection, sur le\ + \ plan technique, de leurs donn\xE9es contre un acc\xE8s par le prestataire,\ + \ devront par cons\xE9quent mettre en \u0153uvre des moyens compl\xE9mentaires\ + \ de chiffrement, sous leur ma\xEEtrise, de leurs donn\xE9es." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node75 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:3.3.2 + description: "Enfin, il est rappel\xE9 que la virtualisation g\xE9n\xE9ralement\ + \ utilis\xE9e dans les services d\u2019informatique en nuage ne doit pas \xEA\ + tre consid\xE9r\xE9e comme un m\xE9canisme de cloisonnement \xE9quivalent\ + \ \xE0 une s\xE9paration physique. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:4 + assessable: false + depth: 1 + ref_id: '4' + name: "Niveau de s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node77 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:4 + description: "Le respect des exigences du r\xE9f\xE9rentiel SecNumCloud a pour\ + \ objectif l\u2019atteinte d\u2019un niveau de s\xE9curit\xE9 permettant le\ + \ stockage et le traitement de donn\xE9es pour lesquelles un incident de s\xE9\ + curit\xE9 aurait une cons\xE9quence significative pour le commanditaire. Il\ + \ assure notamment le respect des bonnes pratiques de s\xE9curit\xE9 relevant\ + \ de l\u2019hygi\xE8ne informatique, telles que d\xE9crites dans le guide\ + \ [HYGIENE] de l\u2019ANSSI. La conformit\xE9 d\u2019un service d\u2019informatique\ + \ en nuage \xE0 ce r\xE9f\xE9rentiel n\u2019atteste pas de sa conformit\xE9\ + \ \xE0 la Politique de s\xE9curit\xE9 des syst\xE8mes d\u2019information de\ + \ l\u2019\xC9tat [PSSIE]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node78 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:4 + description: "Le recours, par le commanditaire, \xE0 un service qualifi\xE9\ + \ SecNumCloud pour l\u2019h\xE9bergement de donn\xE9es soumises \xE0 des exigences\ + \ l\xE9gales ou r\xE9glementaires (telles que les donn\xE9es de niveau Diffusion\ + \ Restreinte, les donn\xE9es de sant\xE9, etc.) n\xE9cessite le respect d\u2019\ + exigences compl\xE9mentaires, qui doivent \xEAtre d\xE9termin\xE9es dans le\ + \ cadre d\u2019une d\xE9marche d\u2019homologation comprenant notamment une\ + \ appr\xE9ciation des risques (voir chapitre 3.3.2)." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5 + assessable: false + depth: 1 + ref_id: '5' + name: "Politiques de s\xE9curit\xE9 de l\u2019information et gestion du risque " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5 + ref_id: '5.1' + name: 'Principes ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.1.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.1 + ref_id: 5.1.a + description: "Le prestataire doit op\xE9rer la prestation \xE0 l\u2019\xE9tat\ + \ de l\u2019art pour le type d\u2019activit\xE9 retenu : utiliser des logiciels\ + \ stables b\xE9n\xE9ficiant d\u2019un suivi des correctifs de s\xE9curit\xE9\ + \ et param\xE9tr\xE9s de fa\xE7on \xE0 obtenir un niveau de s\xE9curit\xE9\ + \ optimal. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.1.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.1 + ref_id: 5.1.b + description: "Le prestataire doit appliquer le guide d\u2019hygi\xE8ne informatique\ + \ de l\u2019ANSSI [HYGIENE], niveau renforc\xE9, au syst\xE8me d\u2019information\ + \ du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5 + ref_id: '5.2' + name: "Politique de s\xE9curit\xE9 de l\u2019information" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.2.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.2 + ref_id: 5.2.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une politique\ + \ de s\xE9curit\xE9 de l\u2019information relative au service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.2.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.2 + ref_id: 5.2.b + description: "La politique de s\xE9curit\xE9 de l\u2019information doit identifier\ + \ les engagements du prestataire quant au respect de la l\xE9gislation et\ + \ r\xE9glementation nationale en vigueur selon la nature des informations\ + \ qui pourraient \xEAtre confi\xE9es par le commanditaire au prestataire ;\ + \ il revient en revanche in fine au commanditaire de s\u2019assurer du respect\ + \ des contraintes l\xE9gales et r\xE9glementaires applicables aux donn\xE9\ + es qu\u2019il confie effectivement au prestataire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.2.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.2 + ref_id: 5.2.c + description: "La politique de s\xE9curit\xE9 de l\u2019information doit notamment\ + \ couvrir les th\xE8mes abord\xE9s aux chapitres 6 \xE0 19 du pr\xE9sent r\xE9\ + f\xE9rentiel. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5;2.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.2 + ref_id: 5;2.d + description: "La direction du prestataire doit approuver formellement la politique\ + \ de s\xE9curit\xE9 de l\u2019information. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.2.e + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.2 + ref_id: 5.2.e + description: "Le prestataire doit r\xE9viser annuellement la politique de s\xE9\ + curit\xE9 de l\u2019information et \xE0 chaque changement majeur pouvant avoir\ + \ un impact sur le service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5 + ref_id: '5.3' + name: "Appr\xE9ciation des risques" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3 + ref_id: 5.3.a + description: "Le prestataire doit documenter une appr\xE9ciation des risques\ + \ couvrant l\u2019ensemble du p\xE9rim\xE8tre du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3 + ref_id: 5.3.b + description: "Le prestataire doit r\xE9aliser son appr\xE9ciation de risques\ + \ en utilisant une m\xE9thode document\xE9e garantissant la reproductibilit\xE9\ + \ et comparabilit\xE9 de la d\xE9marche. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3 + ref_id: 5.3.c + description: "Le prestataire doit prendre en compte dans l\u2019appr\xE9ciation\ + \ des risques : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node93 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.c + description: "la gestion d\u2019informations du commanditaire ayant des besoins\ + \ de s\xE9curit\xE9 diff\xE9rents ;" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node94 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.c + description: "les risques ayant des impacts sur les droits et libert\xE9s des\ + \ personnes concern\xE9es en cas d\u2019acc\xE8s non autoris\xE9, de modification\ + \ non d\xE9sir\xE9e et de disparition de donn\xE9es \xE0 caract\xE8re personnel\ + \ ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node95 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.c + description: "les risques de d\xE9faillance des m\xE9canismes de cloisonnement\ + \ des ressources de l\u2019infrastructure technique (m\xE9moire, calcul, stockage,\ + \ r\xE9seau) partag\xE9es entre les commanditaires ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node96 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.c + description: "les risques li\xE9s \xE0 l\u2019effacement incomplet ou non s\xE9\ + curis\xE9 des donn\xE9es stock\xE9es sur les espaces de m\xE9moire ou de stockage\ + \ partag\xE9s entre commanditaires, en particulier lors des r\xE9allocations\ + \ des espaces de m\xE9moire et de stockage ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node97 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.c + description: "les risques li\xE9s \xE0 l\u2019exposition des interfaces d\u2019\ + administration sur un r\xE9seau public ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node98 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.c + description: "les risques d\u2019atteinte \xE0 la confidentialit\xE9 des donn\xE9\ + es des commanditaires par des tiers impliqu\xE9s dans la fourniture du service\ + \ (fournisseurs, sous-traitants, etc.) : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node99 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.c + description: "les risques li\xE9s aux \xE9v\xE8nements naturels et sinistres\ + \ physiques ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node100 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.c + description: "les risques li\xE9s \xE0 la s\xE9paration des t\xE2ches (voir\ + \ 6.2.a) ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node101 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.c + description: "les risques li\xE9s aux environnements de d\xE9veloppement (voir\ + \ 14.4.b). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3 + ref_id: 5.3.d + description: "Le prestataire doit lister, dans un document sp\xE9cifique, les\ + \ risques r\xE9siduels li\xE9s \xE0 l\u2019existence de lois extra-europ\xE9\ + ennes ayant pour objectif la collecte de donn\xE9es ou m\xE9tadonn\xE9es des\ + \ commanditaires sans leur consentement pr\xE9alable. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.e + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3 + ref_id: 5.3.e + description: "Le prestataire doit mettre \xE0 la disposition du commanditaire,\ + \ sur demande de celui-ci, les \xE9l\xE9ments d\u2019appr\xE9ciation des risques\ + \ li\xE9s \xE0 la soumission des donn\xE9es du commanditaire au droit d\u2019\ + un \xE9tat non-membre de l\u2019Union Europ\xE9enne. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.f + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3 + ref_id: 5.3.f + description: "Lorsqu\u2019il existe des exigences l\xE9gales, r\xE9glementaires\ + \ ou sectorielles sp\xE9cifiques li\xE9es aux types d\u2019informations confi\xE9\ + es par le commanditaire au prestataire, ce dernier doit les prendre en compte\ + \ dans son appr\xE9ciation des risques en s\u2019assurant de respecter l\u2019\ + ensemble des exigences du pr\xE9sent r\xE9f\xE9rentiel d\u2019une part et\ + \ de ne pas abaisser le niveau de s\xE9curit\xE9 \xE9tabli par le respect\ + \ des exigences du pr\xE9sent r\xE9f\xE9rentiel d\u2019autre part. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.g + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3 + ref_id: 5.3.g + description: "La direction du prestataire doit accepter formellement les risques\ + \ r\xE9siduels identifi\xE9s dans l\u2019appr\xE9ciation des risques. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3.h + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:5.3 + ref_id: 5.3.h + description: "Le prestataire doit r\xE9viser annuellement l\u2019appr\xE9ciation\ + \ des risques et \xE0 chaque changement majeur pouvant avoir un impact sur\ + \ le service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6 + assessable: false + depth: 1 + ref_id: '6' + name: "Organisation de la s\xE9curit\xE9 de l\u2019information " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6 + ref_id: '6.1' + name: "Fonctions et responsabilit\xE9s li\xE9es \xE0 la s\xE9curit\xE9 de l\u2019\ + information" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1 + ref_id: 6.1.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une organisation\ + \ interne de la s\xE9curit\xE9 pour assurer la d\xE9finition, la mise en place\ + \ et le suivi du fonctionnement op\xE9rationnel de la s\xE9curit\xE9 de l\u2019\ + information au sein de son organisation. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1 + ref_id: 6.1.b + description: "Le prestataire doit d\xE9signer un responsable de la s\xE9curit\xE9\ + \ des syst\xE8mes d\u2019information et un responsable de la s\xE9curit\xE9\ + \ physique. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1 + ref_id: 6.1.c + description: "Le prestataire doit d\xE9finir et attribuer les responsabilit\xE9\ + s en mati\xE8re de s\xE9curit\xE9 de l\u2019information pour le personnel\ + \ impliqu\xE9 dans la fourniture du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1 + ref_id: 6.1.d + description: "Le prestataire doit s\u2019assurer apr\xE8s tout changement majeur\ + \ pouvant avoir un impact sur le service que l\u2019attribution des responsabilit\xE9\ + s en mati\xE8re de s\xE9curit\xE9 de l\u2019information est toujours pertinente.\ + \ " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1.e + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1 + ref_id: 6.1.e + description: "Le prestataire doit d\xE9finir et attribuer les responsabilit\xE9\ + s en mati\xE8re de protection de donn\xE9es \xE0 caract\xE8re personnel, en\ + \ coh\xE9rence avec son r\xF4le dans les traitements de donn\xE9es \xE0 caract\xE8\ + re personnel (responsable de traitement, sous-traitant ou co-responsable).\ + \ " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1.f + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1 + ref_id: 6.1.f + description: "Le prestataire doit, lorsqu\u2019il traite un grand nombre de\ + \ donn\xE9es parmi lesquelles figurent des cat\xE9gories particuli\xE8res\ + \ de donn\xE9es \xE0 caract\xE8re personnel telles que d\xE9finies dans [RGPD],\ + \ d\xE9signer un d\xE9l\xE9gu\xE9 \xE0 la protection des donn\xE9es. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1.g + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1 + ref_id: 6.1.g + description: "Il est recommand\xE9 que le prestataire, quel que soit le volume\ + \ de donn\xE9es \xE0 caract\xE8re personnel qu\u2019il traite, d\xE9signe\ + \ un d\xE9l\xE9gu\xE9 \xE0 la protection des donn\xE9es. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1.h + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.1 + ref_id: 6.1.h + description: "Le prestataire doit r\xE9aliser ou contribuer \xE0 la r\xE9alisation\ + \ d\u2019une analyse d\u2019impact relative \xE0 la protection des donn\xE9\ + es \xE0 caract\xE8re personnel lorsque le traitement est susceptible d\u2019\ + engendrer un risque \xE9lev\xE9 pour les droits et libert\xE9s des personnes\ + \ concern\xE9es (traitement de cat\xE9gories particuli\xE8res de donn\xE9\ + es \xE0 caract\xE8re personnel telles que d\xE9finies dans [RGPD], traitement\ + \ de donn\xE9es \xE0 grande \xE9chelle, etc.). Cette analyse doit comporter\ + \ une \xE9valuation juridique du respect des principes et droits fondamentaux,\ + \ ainsi qu\u2019une \xE9tude plus technique des mesures techniques mises en\ + \ \u0153uvre pour prot\xE9ger les personnes des risques pour leur vie priv\xE9\ + e. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6 + ref_id: '6.2' + name: "S\xE9paration des t\xE2ches" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.2.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.2 + ref_id: 6.2.a + description: "Le prestataire doit identifier les risques associ\xE9s \xE0 des\ + \ cumuls de responsabilit\xE9s ou de t\xE2ches, les prendre en compte dans\ + \ l\u2019appr\xE9ciation des risques et mettre en \u0153uvre des mesures de\ + \ r\xE9duction de ces risques. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6 + ref_id: '6.3' + name: "Relations avec les autorit\xE9s " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.3 + ref_id: 6.3.a + description: "Il est recommand\xE9 que le prestataire mette en place des relations\ + \ appropri\xE9es avec les autorit\xE9s comp\xE9tentes en mati\xE8re de s\xE9\ + curit\xE9 de l\u2019information et de donn\xE9es \xE0 caract\xE8re personnel\ + \ et, le cas \xE9ch\xE9ant, avec les autorit\xE9s sectorielles selon la nature\ + \ des informations confi\xE9es par le commanditaire au prestataire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6 + ref_id: '6.4' + name: "Relations avec les groupes de travail sp\xE9cialis\xE9s " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.4.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.4 + ref_id: 6.4.a + description: "Il est recommand\xE9 que le prestataire entretienne des contacts\ + \ appropri\xE9s avec des groupes de sp\xE9cialistes ou des sources reconnues,\ + \ notamment pour prendre en compte de nouvelles menaces et les mesures de\ + \ s\xE9curit\xE9 appropri\xE9es pour les contrer. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6 + ref_id: '6.5' + name: "La s\xE9curit\xE9 de l\u2019information dans la gestion de projet " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.5.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.5 + ref_id: 6.5.a + description: "Le prestataire doit documenter une estimation des risques pr\xE9\ + alablement \xE0 tout projet pouvant avoir un impact sur le service, et ce\ + \ quelle que soit la nature du projet. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.5.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:6.5 + ref_id: 6.5.b + description: "Dans la mesure o\xF9 un projet affecte ou est susceptible d\u2019\ + affecter le niveau de s\xE9curit\xE9 du service, le prestataire doit avertir\ + \ le commanditaire et l\u2019informer par \xE9crit des impacts potentiels,\ + \ des mesures mises en place pour r\xE9duire ces impacts ainsi que des risques\ + \ r\xE9siduels le concernant. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7 + assessable: false + depth: 1 + ref_id: '7' + name: "S\xE9curit\xE9 des ressources humaines " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7 + ref_id: '7.1' + name: "S\xE9lection des candidats" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.1.a + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.1 + ref_id: 7.1.a + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node129 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.1.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure de v\xE9rification des informations concernant son personnel conforme\ + \ aux lois et r\xE8glements en vigueur. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node130 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.1.a + description: "Ces v\xE9rifications s\u2019appliquent \xE0 toute personne impliqu\xE9\ + e dans la fourniture du service et doivent \xEAtre proportionnelles \xE0 la\ + \ sensibilit\xE9 ou \xE0 la sp\xE9cificit\xE9 des informations du commanditaire\ + \ confi\xE9es au prestataire ainsi qu\u2019aux risques identifi\xE9s. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.1.b + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.1 + ref_id: 7.1.b + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node132 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.1.b + description: "Pour les personnels disposant de privil\xE8ges d\u2019administration\ + \ \xE9lev\xE9s sur les composants logiciels et mat\xE9riels de l\u2019infrastructure,\ + \ le prestataire doit renforcer les v\xE9rifications destin\xE9es \xE0 v\xE9\ + rifier que les ant\xE9c\xE9dents de ceux-ci ne sont pas incompatibles avec\ + \ l\u2019exercice de leurs fonctions. I " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node133 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.1.b + description: "Il est entendu par des privil\xE8ges d\u2019administration \xE9\ + lev\xE9s, des actions permettant l\u2019\xE9l\xE9vation de privil\xE8ges ou\ + \ la possibilit\xE9 de r\xE9aliser des actions sans traces techniques ou de\ + \ d\xE9sactiver, alt\xE9rer les traces techniques. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7 + ref_id: '7.2' + name: "Conditions d\u2019embauche" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.2.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.2 + ref_id: 7.2.a + description: "Le prestataire doit disposer d\u2019une charte d\u2019\xE9thique\ + \ int\xE9gr\xE9e au r\xE8glement int\xE9rieur, pr\xE9voyant notamment que\ + \ : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node136 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.2.a + description: "les prestations sont r\xE9alis\xE9es avec loyaut\xE9, discr\xE9\ + tion et impartialit\xE9 et dans des conditions de confidentialit\xE9 des informations\ + \ trait\xE9es ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node137 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.2.a + description: "les personnels ne recourent qu\u2019aux m\xE9thodes, outils et\ + \ techniques valid\xE9s par le prestataire ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node138 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.2.a + description: "les personnels s\u2019engagent \xE0 ne pas divulguer d\u2019informations\ + \ \xE0 un tiers, m\xEAme anonymis\xE9es et d\xE9contextualis\xE9es, obtenues\ + \ ou g\xE9n\xE9r\xE9es dans le cadre de la prestation sauf autorisation formelle\ + \ et \xE9crite du commanditaire ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node139 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.2.a + description: "les personnels s\u2019engagent \xE0 signaler au prestataire tout\ + \ contenu manifestement illicite d\xE9couvert pendant la prestation ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node140 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.2.a + description: "les personnels s\u2019engagent \xE0 respecter la l\xE9gislation\ + \ et la r\xE9glementation nationale en vigueur et les bonnes pratiques li\xE9\ + es \xE0 leurs activit\xE9s. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.2.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.2 + ref_id: 7.2.b + description: "Le prestataire doit faire signer la charte d\u2019\xE9thique \xE0\ + \ l\u2019ensemble des personnes impliqu\xE9es dans la fourniture du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.2.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.2 + ref_id: 7.2.c + description: "Le prestataire doit introduire, dans le contrat de travail des\ + \ personnels disposant de privil\xE8ges d\u2019administration \xE9lev\xE9\ + s sur les composants et mat\xE9riels de l\u2019infrastructure du service,\ + \ un engagement de responsabilit\xE9 avec un renvoi aux clauses du code du\ + \ travail sur la protection du secret des affaires et de la propri\xE9t\xE9\ + \ intellectuelle. Il est entendu par des privil\xE8ges d\u2019administration\ + \ \xE9lev\xE9s, des actions permettant l\u2019\xE9l\xE9vation de privil\xE8\ + ges ou la possibilit\xE9 de r\xE9aliser des actions sans traces techniques\ + \ ou de d\xE9sactiver, alt\xE9rer les traces techniques. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.2.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.2 + ref_id: 7.2.d + description: "Le prestataire doit, sur demande d\u2019un commanditaire, lui\ + \ rendre accessible le r\xE8glement int\xE9rieur et la charte d\u2019\xE9\ + thique. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7 + ref_id: '7.3' + name: "Sensibilisation, apprentissage et formations \xE0 la s\xE9curit\xE9 de\ + \ l\u2019information " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.3 + ref_id: 7.3.a + description: "Le prestataire doit sensibiliser \xE0 la s\xE9curit\xE9 de l\u2019\ + information et aux risques li\xE9s \xE0 la protection des donn\xE9es l\u2019\ + ensemble des personnes impliqu\xE9es dans la fourniture du service. Il doit\ + \ leur communiquer les mises \xE0 jour des politiques et proc\xE9dures pertinentes\ + \ dans le cadre de leurs missions. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.3.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.3 + ref_id: 7.3.b + description: "Le prestataire doit documenter et mettre en \u0153uvre un plan\ + \ de formation concernant la s\xE9curit\xE9 de l\u2019information adapt\xE9\ + \ au service et aux missions des personnels. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.3.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.3 + ref_id: 7.3.c + description: "Le responsable de la s\xE9curit\xE9 des syst\xE8mes d\u2019information\ + \ du prestataire doit valider formellement le plan de formation concernant\ + \ la s\xE9curit\xE9 de l\u2019information. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7 + ref_id: '7.4' + name: Processus disciplinaire + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.4.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.4 + ref_id: 7.4.a + description: "Le prestataire doit documenter et mettre en \u0153uvre un processus\ + \ disciplinaire applicable \xE0 l\u2019ensemble des personnes impliqu\xE9\ + es dans la fourniture du service ayant enfreint la politique de s\xE9curit\xE9\ + . " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.4.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.4 + ref_id: 7.4.b + description: "Le prestataire doit, sur demande d\u2019un commanditaire, lui\ + \ rendre accessible les sanctions encourues en cas d\u2019infraction \xE0\ + \ la politique de s\xE9curit\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7 + ref_id: '7.5' + name: Rupture, terme ou modification du contrat de travail + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.5.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:7.5 + ref_id: 7.5.a + description: "Le prestataire doit d\xE9finir et attribuer les r\xF4les et les\ + \ responsabilit\xE9s relatives \xE0 la rupture, au terme ou \xE0 la modification\ + \ de tout contrat avec une personne impliqu\xE9e dans la fourniture du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8 + assessable: false + depth: 1 + ref_id: '8' + name: Gestion des actifs + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8 + ref_id: '8.1' + name: "Inventaire et propri\xE9t\xE9 des actifs" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.1.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.1 + ref_id: 8.1.a + description: "Le prestataire doit tenir \xE0 jour l\u2019inventaire de l\u2019\ + ensemble des \xE9quipements mettant en \u0153uvre le service. Cet inventaire\ + \ doit pr\xE9ciser pour chaque \xE9quipement : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node156 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.1.a + description: "les informations d\u2019identification de l\u2019\xE9quipement\ + \ (noms, adresses IP, adresses MAC, etc.) ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node157 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.1.a + description: "la fonction de l\u2019\xE9quipement ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node158 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.1.a + description: "le mod\xE8le de l\u2019\xE9quipement ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node159 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.1.a + description: "la localisation de l\u2019\xE9quipement ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node160 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.1.a + description: "le propri\xE9taire de l\u2019\xE9quipement ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node161 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.1.a + description: "le besoin de s\xE9curit\xE9 des informations (au sens du chapitre\ + \ 8.3). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.1.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.1 + ref_id: 8.1.b + description: "Le prestataire doit tenir \xE0 jour l\u2019inventaire de l\u2019\ + ensemble des logiciels mettant en \u0153uvre le service. Cet inventaire doit\ + \ identifier pour chaque logiciel, sa version et les \xE9quipements sur lesquels\ + \ le logiciel est install\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.1.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.1 + ref_id: 8.1.c + description: "Le prestataire doit s\u2019assurer de la validit\xE9 des licences\ + \ des logiciels tout au long de la prestation. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8 + ref_id: '8.2' + name: 'Restitution des actifs ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.2.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.2 + ref_id: 8.2.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure de restitution des actifs permettant de s\u2019assurer que chaque personne\ + \ impliqu\xE9e dans la fourniture du service restitue l\u2019ensemble des\ + \ actifs en sa possession \xE0 la fin de sa p\xE9riode d\u2019emploi ou de\ + \ son contrat. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8 + ref_id: '8.3' + name: "Identification des besoins de s\xE9curit\xE9 de l\u2019information " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.3 + ref_id: 8.3.a + description: "Le prestataire doit identifier les diff\xE9rents besoins de s\xE9\ + curit\xE9 des informations relatives au service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.3.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.3 + ref_id: 8.3.b + description: "Lorsque le commanditaire confie au prestataire des donn\xE9es\ + \ soumises \xE0 des contraintes l\xE9gales, r\xE9glementaires ou sectorielles\ + \ sp\xE9cifiques, le prestataire doit identifier les besoins de s\xE9curit\xE9\ + \ sp\xE9cifiques associ\xE9s \xE0 ces contraintes. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8 + ref_id: '8.4' + name: "Marquage et manipulation de l\u2019information " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.4.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.4 + ref_id: 8.4.a + description: "Il est recommand\xE9 que le prestataire documente et mette en\ + \ \u0153uvre une proc\xE9dure pour le marquage et la manipulation de toutes\ + \ les informations participant \xE0 la d\xE9livrance du service, conform\xE9\ + ment \xE0 son besoin de s\xE9curit\xE9 d\xE9fini au chapitre 8.3. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8 + ref_id: '8.5' + name: 'Gestion des supports amovibles ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.5.a + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.5 + ref_id: 8.5.a + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node173 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.5.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure pour la gestion des supports amovibles, conform\xE9ment au besoin de\ + \ s\xE9curit\xE9 d\xE9fini au chapitre 8.3. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node174 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:8.5.a + description: "Lorsque des supports amovibles sont utilis\xE9s sur l\u2019infrastructure\ + \ technique ou pour des t\xE2ches d\u2019administration, ces supports doivent\ + \ \xEAtre d\xE9di\xE9s \xE0 un usage. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9 + assessable: false + depth: 1 + ref_id: '9' + name: "Contr\xF4le d\u2019acc\xE8s et gestion des identit\xE9s" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node176 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9 + description: "Sauf mention explicite, ce chapitre concerne le contr\xF4le d\u2019\ + acc\xE8s et la gestion des identit\xE9s des utilisateurs : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node177 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node176 + description: "plac\xE9s sous la responsabilit\xE9 du prestataire (ses employ\xE9\ + s et \xE9ventuellement des tiers participant \xE0 la fourniture du service)\ + \ ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node178 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node176 + description: "plac\xE9s sous la responsabilit\xE9 du commanditaire, mais pour\ + \ lesquels le prestataire met en \u0153uvre les moyens de contr\xF4le d\u2019\ + acc\xE8s (en fournissant notamment au commanditaire une interface de gestion\ + \ des comptes et des droits d\u2019acc\xE8s). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node179 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9 + description: "Les utilisateurs pour lesquels le commanditaire met en \u0153\ + uvre les moyens de contr\xF4le d\u2019acc\xE8s et de gestion des identit\xE9\ + s sont hors du champ d\u2019application de ce r\xE9f\xE9rentiel. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9 + ref_id: '9.1' + name: "Politiques et contr\xF4le d\u2019acc\xE8s" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.1.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.1 + ref_id: 9.1.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une politique\ + \ de contr\xF4le d\u2019acc\xE8s sur la base du r\xE9sultat de son appr\xE9\ + ciation des risques et du partage des responsabilit\xE9s. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.1.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.1 + ref_id: 9.1.b + description: "Le prestataire doit r\xE9viser annuellement la politique de contr\xF4\ + le d\u2019acc\xE8s et \xE0 chaque changement majeur pouvant avoir un impact\ + \ sur le service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9 + ref_id: '9.2' + name: "Enregistrement et d\xE9sinscription des utilisateurs" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.2.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.2 + ref_id: 9.2.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure d\u2019enregistrement et de d\xE9sinscription des utilisateurs s\u2019\ + appuyant sur une interface de gestion des comptes et des droits d\u2019acc\xE8\ + s. Cette proc\xE9dure doit indiquer quelles donn\xE9es doivent \xEAtre supprim\xE9\ + es au d\xE9part d\u2019un utilisateur. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.2.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.2 + ref_id: 9.2.b + description: "Le prestataire doit attribuer des comptes nominatifs lors de l\u2019\ + enregistrement des utilisateurs plac\xE9s sous sa responsabilit\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.2.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.2 + ref_id: 9.2.c + description: "Le prestataire doit mettre en \u0153uvre des moyens permettant\ + \ de s\u2019assurer que la d\xE9sinscription d\u2019un utilisateur entra\xEE\ + ne la suppression de tous ses acc\xE8s aux ressources du syst\xE8me d\u2019\ + information du service, ainsi que la suppression de ses donn\xE9es conform\xE9\ + ment \xE0 la proc\xE9dure d\u2019enregistrement et de d\xE9sinscription (voir\ + \ exigence 9.2 a)). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9 + ref_id: '9.3' + name: "Gestion des droits d\u2019acc\xE8s" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3 + ref_id: 9.3.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure permettant d\u2019assurer l\u2019attribution, la modification et le retrait\ + \ de droits d\u2019acc\xE8s aux ressources du syst\xE8me d\u2019information\ + \ du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3 + ref_id: 9.3.b + description: "Le prestataire doit mettre \xE0 la disposition de ses commanditaires\ + \ les outils et les moyens qui permettent une diff\xE9renciation des r\xF4\ + les des utilisateurs du service, par exemple suivant leur r\xF4le fonctionnel. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3 + ref_id: 9.3.c + description: "Le prestataire doit tenir \xE0 jour l\u2019inventaire des utilisateurs\ + \ sous sa responsabilit\xE9 disposant de droits d\u2019administration sur\ + \ les ressources du syst\xE8me d\u2019information du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3 + ref_id: 9.3.d + description: "Le prestataire doit \xEAtre en mesure de fournir, pour une ressource\ + \ donn\xE9e mettant en \u0153uvre le service, la liste de tous les utilisateurs\ + \ y ayant acc\xE8s, qu\u2019ils soient sous la responsabilit\xE9 du prestataire\ + \ ou du commanditaire ainsi que les droits d\u2019acc\xE8s qui leurs ont \xE9\ + t\xE9 attribu\xE9s. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3.e + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3 + ref_id: 9.3.e + description: "Le prestataire doit \xEAtre en mesure de fournir, pour un utilisateur\ + \ donn\xE9, qu\u2019ils soient sous la responsabilit\xE9 du prestataire ou\ + \ du commanditaire, la liste de tous ses droits d\u2019acc\xE8s sur les diff\xE9\ + rents \xE9l\xE9ments du syst\xE8me d\u2019information du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3.f + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3 + ref_id: 9.3.f + description: "Le prestataire doit d\xE9finir une liste de droits d\u2019acc\xE8\ + s incompatibles entre eux. Il doit s\u2019assurer, lors de l\u2019attribution\ + \ de droits d\u2019acc\xE8s \xE0 un utilisateur qu\u2019il ne poss\xE8de pas\ + \ de droits d\u2019acc\xE8s incompatibles entre eux au titre de la liste pr\xE9\ + c\xE9demment \xE9tablie. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3.g + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.3 + ref_id: 9.3.g + description: "Le prestataire doit inclure dans la proc\xE9dure de gestion des\ + \ droits d\u2019acc\xE8s les actions de r\xE9vocation ou de suspension des\ + \ droits de tout utilisateur. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9 + ref_id: '9.4' + name: "Revue des droits d\u2019acc\xE8s utilisateurs" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.4.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.4 + ref_id: 9.4.a + description: "Le prestataire doit r\xE9viser annuellement les droits d\u2019\ + acc\xE8s des utilisateurs sur son p\xE9rim\xE8tre de responsabilit\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.4.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.4 + ref_id: 9.4.b + description: "Le prestataire doit mettre \xE0 disposition du commanditaire un\ + \ outil facilitant la revue des droits d\u2019acc\xE8s des utilisateurs plac\xE9\ + s sous la responsabilit\xE9 de ce dernier. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.4.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.4 + ref_id: 9.4.c + description: "Le prestataire doit r\xE9viser trimestriellement la liste des\ + \ utilisateurs sur son p\xE9rim\xE8tre de responsabilit\xE9 pouvant utiliser\ + \ les comptes techniques mentionn\xE9s dans l\u2019exigence 9.2 b). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9 + ref_id: '9.5' + name: Gestion des authentifications des utilisateurs + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.5.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.5 + ref_id: 9.5.a + description: "Le prestataire doit formaliser et mettre en \u0153uvre des proc\xE9\ + dures de gestion de l\u2019authentification des utilisateurs. En accord avec\ + \ les exigences du chapitre 10, celles-ci doivent notamment porter sur : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node201 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.5.a + description: "la gestion des moyens d\u2019authentification (\xE9mission et\ + \ r\xE9initialisation de mot de passe, mise \xE0 jour des CRL et import des\ + \ certificats racines en cas d\u2019utilisation de certificats, etc.). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node202 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.5.a + description: "la mise en place des moyens permettant une authentification \xE0\ + \ multiples facteurs afin de r\xE9pondre aux diff\xE9rents cas d\u2019usage\ + \ du r\xE9f\xE9rentiel. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node203 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.5.a + description: "les syst\xE8mes qui g\xE9n\xE8rent des mots de passe ou v\xE9\ + rifient leur robustesse, lorsqu\u2019une authentification par mot de passe\ + \ est utilis\xE9e. Ils doivent suivre les recommandations de [G_AUTH]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.5.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.5 + ref_id: 9.5.b + description: "Tout m\xE9canisme d\u2019authentification doit pr\xE9voir le blocage\ + \ d\u2019un compte apr\xE8s un nombre limit\xE9 de tentatives infructueuses. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.5.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.5 + ref_id: 9.5.c + description: "Dans le cadre d\u2019un service SaaS, le prestataire doit proposer\ + \ \xE0 ses commanditaires des moyens d\u2019authentification \xE0 multiples\ + \ facteurs pour l\u2019acc\xE8s des utilisateurs finaux. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.5.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.5 + ref_id: 9.5.d + description: "Lorsque des comptes techniques, non nominatifs, sont n\xE9cessaires,\ + \ le prestataire doit mettre en place des mesures obligeant les utilisateurs\ + \ \xE0 s\u2019authentifier avec leur compte nominatif avant de pouvoir acc\xE9\ + der \xE0 ces comptes techniques. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9 + ref_id: '9.6' + name: "Acc\xE8s aux interfaces d\u2019administration" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6 + ref_id: 9.6.a + description: "Les comptes d\u2019administration sous la responsabilit\xE9 du\ + \ prestataire doivent \xEAtre g\xE9r\xE9s \xE0 l\u2019aide d\u2019outils et\ + \ d\u2019annuaires distincts de ceux utilis\xE9s pour la gestion des comptes\ + \ utilisateurs plac\xE9s sous la responsabilit\xE9 du commanditaire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6 + ref_id: 9.6.b + description: "Les interfaces d\u2019administration mises \xE0 disposition des\ + \ commanditaires doivent \xEAtre distinctes des interfaces d\u2019administration\ + \ utilis\xE9es par le prestataire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6 + ref_id: 9.6.c + description: "Les interfaces d\u2019administration mises \xE0 disposition des\ + \ commanditaires ne doivent permettre aucune connexion avec des comptes d\u2019\ + administrateurs sous la responsabilit\xE9 du prestataire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6 + ref_id: 9.6.d + description: "Les interfaces d\u2019administration utilis\xE9es par le prestataire\ + \ ne doivent pas \xEAtre accessibles \xE0 partir d\u2019un r\xE9seau public\ + \ et ainsi ne doivent permettre aucune connexion des utilisateurs sous la\ + \ responsabilit\xE9 du commanditaire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6.e + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6 + ref_id: 9.6.e + description: "Si des interfaces d\u2019administration sont mises \xE0 disposition\ + \ des commanditaires avec un acc\xE8s via un r\xE9seau public, les flux d\u2019\ + administration doivent \xEAtre authentifi\xE9s et chiffr\xE9s avec des moyens\ + \ en accord avec les exigences du chapitre 10.2. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6.f + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6 + ref_id: 9.6.f + description: "Le prestataire doit mettre en place un syst\xE8me d\u2019authentification\ + \ multifacteur fort pour l\u2019acc\xE8s : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node214 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6.f + description: "aux interfaces d\u2019administration utilis\xE9es par le prestataire\ + \ ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node215 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6.f + description: "aux interfaces d\u2019administration d\xE9di\xE9es aux commanditaires. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6.g + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6 + ref_id: 9.6.g + description: "Dans le cadre d\u2019un service SaaS, les interfaces d\u2019administration\ + \ mises \xE0 disposition des commanditaires doivent \xEAtre diff\xE9renci\xE9\ + es des interfaces permettant l\u2019acc\xE8s des utilisateurs finaux. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6.h + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6 + ref_id: 9.6.h + description: "D\xE8s lors qu\u2019une interface d\u2019administration est accessible\ + \ depuis un r\xE9seau public, le processus d\u2019authentification doit avoir\ + \ lieu avant toute interaction entre l\u2019utilisateur et l\u2019interface\ + \ en question. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6.i + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6 + ref_id: 9.6.i + description: "Lorsque le prestataire utilise un service de type IaaS comme socle\ + \ d\u2019un autre type de service (CaaS, PaaS ou SaaS), les ressources affect\xE9\ + es \xE0 l\u2019usage du prestataire ne doivent en aucun cas \xEAtre accessibles\ + \ via l\u2019interface publique mise \xE0 disposition des autres commanditaires\ + \ du service IaaS. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6.j + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6 + ref_id: 9.6.j + description: "Lorsque le prestataire utilise un service de type CaaS comme socle\ + \ d\u2019un autre type de service (PaaS ou SaaS), les ressources affect\xE9\ + es \xE0 l\u2019usage du prestataire ne doivent en aucun cas \xEAtre accessibles\ + \ via l\u2019interface publique mise \xE0 disposition des autres commanditaires\ + \ du service CaaS. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6.k + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.6 + ref_id: 9.6.k + description: "Lorsque le prestataire utilise un service de type PaaS comme socle\ + \ d\u2019un autre type de service (typiquement SaaS), les ressources affect\xE9\ + es \xE0 l\u2019usage du prestataire ne doivent en aucun cas \xEAtre accessibles\ + \ via l\u2019interface publique mise \xE0 disposition des autres commanditaires\ + \ du service PaaS. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9 + ref_id: '9.7' + name: "Restriction des acc\xE8s \xE0 l\u2019information" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.7.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.7 + ref_id: 9.7.a + description: "Le prestataire doit mettre en \u0153uvre des mesures de cloisonnement\ + \ appropri\xE9es entre ses commanditaires. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.7.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.7 + ref_id: 9.7.b + description: "Le prestataire doit mettre en \u0153uvre des mesures de cloisonnement\ + \ appropri\xE9es entre le syst\xE8me d\u2019information du service et ses\ + \ autres syst\xE8mes d\u2019information (bureautique, informatique de gestion,\ + \ gestion technique du b\xE2timent, contr\xF4le d\u2019acc\xE8s physique,\ + \ etc.). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.7.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.7 + ref_id: 9.7.c + description: "Le prestataire doit concevoir, d\xE9velopper, configurer et d\xE9\ + ployer le syst\xE8me d\u2019information du service en assurant au moins un\ + \ cloisonnement entre d\u2019une part l\u2019infrastructure technique et d\u2019\ + autre part les \xE9quipements n\xE9cessaires \xE0 l\u2019administration des\ + \ services et des ressources qu\u2019elle h\xE9berge. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.7.d + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.7 + ref_id: 9.7.d + description: "Dans le cadre du support technique, si les actions n\xE9cessaires\ + \ au diagnostic et \xE0 la r\xE9solution d\u2019un probl\xE8me rencontr\xE9\ + \ par un commanditaire n\xE9cessitent un acc\xE8s aux donn\xE9es du commanditaire,\ + \ alors le prestataire doit : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node226 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.7.d + description: "n\u2019autoriser l\u2019acc\xE8s aux donn\xE9es du commanditaire\ + \ qu\u2019apr\xE8s consentement explicite du commanditaire ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node227 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.7.d + description: "v\xE9rifier que la personne \xE0 qui l\u2019acc\xE8s doit \xEA\ + tre autoris\xE9 a satisfait aux v\xE9rifications de l\u2019exigence 7.1.b\ + \ ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node228 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.7.d + description: "dans le cas d'une intervention r\xE9alis\xE9e \xE0 distance par\ + \ une personne localis\xE9e hors de l\u2019Union Europ\xE9enne, mettre en\ + \ \u0153uvre une passerelle s\xE9curis\xE9e (poste de rebond) par laquelle\ + \ la personne devra se connecter et permettant une supervision (autorisation\ + \ ou interdiction des actions, demandes d\u2019explications, etc..) en temps\ + \ r\xE9el, par une personne ayant elle-m\xEAme satisfait aux v\xE9rifications\ + \ de l\u2019exigence 7.1.b. La passerelle s\xE9curis\xE9e devra r\xE9pondre\ + \ aux objectifs de s\xE9curit\xE92 sp\xE9cifi\xE9s dans [G_EXT] adapt\xE9\ + s au contexte des actions du support technique ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node229 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.7.d + description: "consid\xE9rer les actions men\xE9es, une fois l\u2019acc\xE8s\ + \ autoris\xE9, comme des actions d\u2019administration et les journaliser\ + \ comme telles ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node230 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:9.7.d + description: "supprimer l\u2019autorisation d\u2019acc\xE8s aux donn\xE9es du\ + \ commanditaire au terme de ces actions. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10 + assessable: false + depth: 1 + ref_id: '10' + name: Cryptologie + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10 + ref_id: '10.1' + name: "Chiffrement des donn\xE9es stock\xE9es" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.1.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.1 + ref_id: 10.1.a + description: "Le prestataire doit d\xE9finir et mettre en \u0153uvre un m\xE9\ + canisme de chiffrement emp\xEAchant la r\xE9cup\xE9ration des donn\xE9es des\ + \ commanditaires en cas de r\xE9allocation d\u2019une ressource ou de r\xE9\ + cup\xE9ration du support physique. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node234 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.1.a + description: "Dans le cas d\u2019un service IaaS ou CaaS, cet objectif pourra\ + \ par exemple \xEAtre atteint : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node235 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.1.a + description: "par un chiffrement du disque ou du syst\xE8me de fichier, lorsque\ + \ le protocole d\u2019acc\xE8s en mode fichiers garantit que seuls des blocs\ + \ vides peuvent \xEAtre allou\xE9s (par exemple stockage de type NAS dans\ + \ lequel un bloc physique n\u2019est effectivement affect\xE9 qu\u2019au moment\ + \ de l\u2019\xE9criture), " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node236 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.1.a + description: "par un chiffrement par volume dans le cas d\u2019un acc\xE8s en\ + \ mode bloc (par exemple stockage de type SAN ou stockage local), avec au\ + \ moins une cl\xE9 par commanditaire ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node237 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.1.a + description: "Dans le cas d\u2019un service PaaS ou SaaS, cet objectif pourra\ + \ \xEAtre atteint en utilisant un chiffrement applicatif dans le p\xE9rim\xE8\ + tre du prestataire, avec au moins une cl\xE9 par commanditaire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.1.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.1 + ref_id: 10.1.b + description: "Le prestataire doit utiliser une m\xE9thode de chiffrement des\ + \ donn\xE9es respectant les r\xE8gles de [CRYPTO_B1]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.1.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.1 + ref_id: 10.1.c + description: "Il est recommand\xE9 d\u2019utiliser une m\xE9thode de chiffrement\ + \ des donn\xE9es respectant les recommandations de [CRYPTO_B1]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.1.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.1 + ref_id: 10.1.d + description: "Le prestataire doit mettre en place un chiffrement des donn\xE9\ + es sur les supports amovibles et les supports de sauvegarde amen\xE9s \xE0\ + \ quitter le p\xE9rim\xE8tre de s\xE9curit\xE9 physique du syst\xE8me d\u2019\ + information du service (au sens du chapitre 10), en fonction du besoin de\ + \ s\xE9curit\xE9 des donn\xE9es (voir chapitre 8.3). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10 + ref_id: '10.2' + name: Chiffrement des flux + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.2.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.2 + ref_id: 10.2.a + description: "Lorsque le prestataire met en \u0153uvre un m\xE9canisme de chiffrement\ + \ des flux r\xE9seau, celui-ci doit respecter les r\xE8gles de [CRYPTO_B1]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.2.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.2 + ref_id: 10.2.b + description: "Lorsque le prestataire met en \u0153uvre un m\xE9canisme de chiffrement\ + \ des flux r\xE9seau, il est recommand\xE9 que celui-ci respecte les recommandations\ + \ de [CRYPTO_B1]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.2.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.2 + ref_id: 10.2.c + description: "Si le protocole TLS est mis en \u0153uvre, le prestataire doit\ + \ appliquer les recommandations de [NT_TLS]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.2.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.2 + ref_id: 10.2.d + description: "Si le protocole IPsec est mis en \u0153uvre, le prestataire doit\ + \ appliquer les recommandations de [NT_IPSEC]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.2.e + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.2 + ref_id: 10.2.e + description: "Si le protocole SSH est mis en \u0153uvre, le prestataire doit\ + \ appliquer les recommandations de [NT_SSH]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10 + ref_id: '10.3' + name: Hachage des mots de passe + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.3 + ref_id: 10.3.a + description: "Le prestataire ne doit stocker que l\u2019empreinte des mots de\ + \ passe des utilisateurs et des comptes techniques. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.3.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.3 + ref_id: 10.3.b + description: "Le prestataire doit mettre en \u0153uvre une fonction de hachage\ + \ respectant les r\xE8gles de [CRYPTO_B1] " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.3.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.3 + ref_id: 10.3.c + description: "Il est recommand\xE9 que le prestataire mette en \u0153uvre une\ + \ fonction de hachage respectant les recommandations de [CRYPTO_B1]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.3.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.3 + ref_id: 10.3.d + description: "Le prestataire doit g\xE9n\xE9rer les empreintes des mots de passe\ + \ avec une fonction de hachage associ\xE9e \xE0 l\u2019utilisation d\u2019\ + un sel cryptographique respectant les r\xE8gles de [CRYPTO_B1]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10 + ref_id: '10.4' + name: "Non r\xE9pudiation" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.4.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.4 + ref_id: 10.4.a + description: "Lorsque le prestataire met en \u0153uvre un m\xE9canisme de signature\ + \ \xE9lectronique, celui-ci doit respecter les r\xE8gles de [CRYPTO_B1] " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.4.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.4 + ref_id: 10.4.b + description: "Lorsque le prestataire met en \u0153uvre un m\xE9canisme de signature\ + \ \xE9lectronique, il est recommand\xE9 que celui-ci respecte les recommandations\ + \ de [CRYPTO_B1]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10 + ref_id: '10.5' + name: Gestion des secrets + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.5.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.5 + ref_id: 10.5.a + description: "Le prestataire doit mettre en \u0153uvre des cl\xE9s cryptographiques\ + \ respectant les r\xE8gles de [CRYPTO_B2]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.5.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.5 + ref_id: 10.5.b + description: "Il est recommand\xE9 que le prestataire mette en \u0153uvre des\ + \ cl\xE9s cryptographiques respectant les recommandations de [CRYPTO_B2]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.5.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.5 + ref_id: 10.5.c + description: "Le prestataire doit prot\xE9ger l\u2019acc\xE8s aux cl\xE9s cryptographiques\ + \ et autres secrets utilis\xE9s pour le chiffrement des donn\xE9es par un\ + \ moyen adapt\xE9 : conteneur de s\xE9curit\xE9 (logiciel ou mat\xE9riel)\ + \ ou support disjoint. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.5.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.5 + ref_id: 10.5.d + description: "Le prestataire doit prot\xE9ger l\u2019acc\xE8s aux cl\xE9s cryptographiques\ + \ et autres secrets utilis\xE9s pour les t\xE2ches d\u2019administration par\ + \ un conteneur de s\xE9curit\xE9 adapt\xE9, logiciel ou mat\xE9riel. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10 + ref_id: '10.6' + name: Racines de confiance + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.6.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:10.6 + ref_id: 10.6.a + description: "Sur l\u2019infrastructure technique, le prestataire doit utiliser\ + \ exclusivement des certificats de cl\xE9 publique issus d\u2019une autorit\xE9\ + \ de certification d\u2019un \xC9tat membre de l\u2019Union Europ\xE9enne\ + \ (les c\xE9r\xE9monies de g\xE9n\xE9ration des cl\xE9s ma\xEEtresses doivent\ + \ avoir lieu dans un pays membre de l\u2019Union Europ\xE9enne et en pr\xE9\ + sence du prestataire). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11 + assessable: false + depth: 1 + ref_id: '11' + name: "S\xE9curit\xE9 physique et environnementale" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11 + ref_id: '11.1' + name: "P\xE9rim\xE8tres de s\xE9curit\xE9 physique" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1 + ref_id: 11.1.a + description: "Le prestataire doit documenter et mettre en \u0153uvre des p\xE9\ + rim\xE8tres de s\xE9curit\xE9, incluant le marquage des zones et les diff\xE9\ + rents moyens de limitation et de contr\xF4le des acc\xE8s. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1 + ref_id: 11.1.b + description: "Le prestataire doit distinguer des zones publiques, des zones\ + \ priv\xE9es et des zones sensibles. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1 + ref_id: 11.1.1 + name: Zones publiques + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.1.a + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.1 + ref_id: 11.1.1.a + description: "Les zones publiques sont accessibles \xE0 tous dans les limites\ + \ de la propri\xE9t\xE9 du prestataire. Le prestataire ne doit h\xE9berger\ + \ aucune ressource d\xE9volue au service ou permettant d\u2019acc\xE9der \xE0\ + \ des composantes de celui-ci dans les zones publiques. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1 + ref_id: 11.1.2 + name: "Zones priv\xE9es" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.2.a + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.2 + ref_id: 11.1.2.a + description: "Les zones priv\xE9es peuvent h\xE9berger : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node270 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.2.a + description: "les plateformes et moyens de d\xE9veloppement du service ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node271 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.2.a + description: "les postes d\u2019administration, d\u2019exploitation et de supervision\ + \ ;" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node272 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.2.a + description: "les locaux \xE0 partir desquels le prestataire op\xE8re. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.3 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.2 + ref_id: 11.1.3 + name: Zones sensibles + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.3.a + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.1.2 + ref_id: 11.1.3.a + description: "Les zones sensibles sont r\xE9serv\xE9es \xE0 l\u2019h\xE9bergement\ + \ du syst\xE8me d\u2019information de production du service hors postes d\u2019\ + administration, d\u2019exploitation et de supervision. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11 + ref_id: '11.2' + name: "Contr\xF4le d\u2019acc\xE8s physique" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2 + ref_id: 11.2.1 + name: "Zones priv\xE9es " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1.a + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1 + ref_id: 11.2.1.a + description: "Le prestataire doit prot\xE9ger les zones priv\xE9es contre les\ + \ acc\xE8s non autoris\xE9s. Pour ce faire, il doit mettre en \u0153uvre un\ + \ contr\xF4le d\u2019acc\xE8s physique reposant au moins sur un facteur personnel\ + \ : la connaissance d\u2019un secret, la d\xE9tention d\u2019un objet ou la\ + \ biom\xE9trie. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1.b + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1 + ref_id: 11.2.1.b + description: "Il est recommand\xE9 que le prestataire respecte les recommandations\ + \ de [G_CVAP] pour mettre en \u0153uvre du contr\xF4le d\u2019acc\xE8s physique. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1.c + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1 + ref_id: 11.2.1.c + description: "Le prestataire doit d\xE9finir et documenter des mesures d\u2019\ + acc\xE8s physique d\xE9rogatoires en cas d\u2019urgence. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1.d + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1 + ref_id: 11.2.1.d + description: "Le prestataire doit afficher \xE0 l\u2019entr\xE9e des zones priv\xE9\ + es un avertissement relatif aux limites et conditions d\u2019acc\xE8s \xE0\ + \ ces zones. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1.e + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1 + ref_id: 11.2.1.e + description: "Le prestataire doit d\xE9finir et documenter les plages horaires\ + \ et conditions d\u2019acc\xE8s aux zones priv\xE9es en fonction des profils\ + \ des intervenants. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1.f + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1 + ref_id: 11.2.1.f + description: "Le prestataire doit documenter et mettre en \u0153uvre les moyens\ + \ permettant de s\u2019assurer que les visiteurs sont syst\xE9matiquement\ + \ accompagn\xE9s par le prestataire lors de leurs acc\xE8s et s\xE9jours en\ + \ zone priv\xE9e. Le prestataire doit conserver une trace de l\u2019identit\xE9\ + \ des visiteurs conform\xE9ment \xE0 la l\xE9gislation et r\xE9glementation\ + \ en vigueur. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1.g + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1 + ref_id: 11.2.1.g + description: "En cas d\u2019intervention (actions de diagnostic, de maintenance,\ + \ ou d\u2019administration) en zone priv\xE9e par un tiers visiteur, le prestataire\ + \ doit faire superviser (suivre, autoriser, interdire, questionner) les actions\ + \ par un personnel ayant satisfait aux v\xE9rifications de l\u2019exigence\ + \ 7.1.b . " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1.h + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.1 + ref_id: 11.2.1.h + description: "Le prestataire doit documenter et mettre en \u0153uvre des m\xE9\ + canismes de surveillance et de d\xE9tection des acc\xE8s non autoris\xE9s\ + \ aux zones priv\xE9es. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2 + ref_id: 11.2.2 + name: Zones sensibles + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2.a + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2 + ref_id: 11.2.2.a + description: "Le prestataire doit prot\xE9ger les zones sensibles contre les\ + \ acc\xE8s non autoris\xE9s. Pour ce faire, il doit mettre en \u0153uvre un\ + \ contr\xF4le d\u2019acc\xE8s physique reposant au moins sur deux facteurs\ + \ personnels : la connaissance d\u2019un secret, la d\xE9tention d\u2019un\ + \ objet ou la biom\xE9trie. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2.b + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2 + ref_id: 11.2.2.b + description: "Il est recommand\xE9 que le prestataire respecte les recommandations\ + \ de [G_CVAP] pour la mise en \u0153uvre du contr\xF4le d\u2019acc\xE8s physique. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2.c + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2 + ref_id: 11.2.2.c + description: "Le prestataire doit d\xE9finir et documenter des mesures d\u2019\ + acc\xE8s physique d\xE9rogatoires en cas d\u2019urgence. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2.d + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2 + ref_id: 11.2.2.d + description: "Le prestataire doit afficher \xE0 l\u2019entr\xE9e des zones sensibles\ + \ un avertissement relatif aux limites et conditions d\u2019acc\xE8s \xE0\ + \ ces zones. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2.e + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2 + ref_id: 11.2.2.e + description: "Le prestataire doit d\xE9finir et documenter les plages horaires\ + \ et conditions d\u2019acc\xE8s aux zones sensibles en fonction des profils\ + \ des intervenants. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2.f + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2 + ref_id: 11.2.2.f + description: "Le prestataire doit documenter et mettre en \u0153uvre les moyens\ + \ permettant de s\u2019assurer que les visiteurs sont syst\xE9matiquement\ + \ accompagn\xE9s par le prestataire lors de leurs acc\xE8s et s\xE9jours en\ + \ zone sensible. Le prestataire doit conserver une trace de l\u2019identit\xE9\ + \ des visiteurs conform\xE9ment \xE0 la l\xE9gislation et r\xE9glementation\ + \ en vigueur. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2.g + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2 + ref_id: 11.2.2.g + description: "En cas d\u2019intervention (actions de diagnostic, de maintenance,\ + \ ou d\u2019administration) en zone sensible par un tiers visiteur, le prestataire\ + \ doit faire superviser (suivre, autoriser, interdire, questionner) les actions\ + \ par un personnel ayant satisfait aux v\xE9rifications aux v\xE9rifications\ + \ de l\u2019exigence 7.1.b . " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2.h + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2 + ref_id: 11.2.2.h + description: "Le prestataire doit documenter et mettre en \u0153uvre des m\xE9\ + canismes de surveillance et de d\xE9tection des acc\xE8s non autoris\xE9s\ + \ aux zones sensibles. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2.i + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2 + ref_id: 11.2.2.i + description: " Le prestataire doit mettre en place une journalisation des acc\xE8\ + s physiques aux zones sensibles. Il doit effectuer une revue de ces journaux\ + \ au moins mensuellement. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2.j + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.2.2 + ref_id: 11.2.2.j + description: " Le prestataire doit mettre en \u0153uvre les moyens garantissant\ + \ qu\u2019aucun acc\xE8s direct n\u2019existe entre une zone publique et une\ + \ zone sensible. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11 + ref_id: '11.3' + name: "Protection contre les menaces ext\xE9rieures et environnementales" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.3 + ref_id: 11.3.a + description: "Le prestataire doit documenter et mettre en \u0153uvre les moyens\ + \ permettant de minimiser les risques inh\xE9rents aux sinistres physiques\ + \ (incendie, d\xE9g\xE2t des eaux, etc.) et naturels (risques climatiques,\ + \ inondations, s\xE9ismes, etc.). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.3.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.3 + ref_id: 11.3.b + description: "Le prestataire doit documenter et mettre en \u0153uvre les mesures\ + \ permettant de limiter les risques de d\xE9part et de propagation de feu\ + \ ainsi que les risques de d\xE9g\xE2t des eaux. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.3.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.3 + ref_id: 11.3.c + description: "Le prestataire doit documenter et mettre en \u0153uvre les mesures\ + \ permettant de pr\xE9venir et limiter les cons\xE9quences d\u2019une coupure\ + \ d\u2019alimentation \xE9lectrique et permettre une reprise du service conform\xE9\ + ment aux exigences de disponibilit\xE9 du service d\xE9finies dans la convention\ + \ de service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.3.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.3 + ref_id: 11.3.d + description: "Le prestataire doit documenter et mettre en \u0153uvre les moyens\ + \ permettant de maintenir des conditions de temp\xE9rature et d\u2019humidit\xE9\ + \ adapt\xE9es aux \xE9quipements. De plus, il doit mettre en \u0153uvre des\ + \ mesures permettant de pr\xE9venir les pannes de climatisation et d\u2019\ + en limiter les cons\xE9quences. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.3.e + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.3 + ref_id: 11.3.e + description: "Le prestataire doit documenter et mettre en \u0153uvre des contr\xF4\ + les et tests r\xE9guliers des \xE9quipements de d\xE9tection et de protection\ + \ physique. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11 + ref_id: '11.4' + name: "Travail dans les zones priv\xE9es et sensibles" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.4.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.4 + ref_id: 11.4.a + description: "Le prestataire doit int\xE9grer les \xE9l\xE9ments de s\xE9curit\xE9\ + \ physique dans la politique de s\xE9curit\xE9 et l\u2019appr\xE9ciation des\ + \ risques conform\xE9ment au niveau de s\xE9curit\xE9 requis par la cat\xE9\ + gorie de la zone. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.4.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.4 + ref_id: 11.4.b + description: "Le prestataire doit documenter et mettre en \u0153uvre des proc\xE9\ + dures relatives au travail en zones priv\xE9es et sensibles. Il doit communiquer\ + \ ces proc\xE9dures aux intervenants concern\xE9s. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11 + ref_id: '11.5' + name: Zones de livraison et de chargement + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.5.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.5 + ref_id: 11.5.a + description: "Les zones de livraison et de chargement et les autres points par\ + \ lesquels des personnes non autoris\xE9es peuvent p\xE9n\xE9trer dans les\ + \ locaux sans \xEAtre accompagn\xE9es sont consid\xE9r\xE9es comme des zones\ + \ publiques. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.5.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.5 + ref_id: 11.5.b + description: "Le prestataire doit isoler les points d\u2019acc\xE8s de ces zones\ + \ vers les zones priv\xE9es et sensibles, de fa\xE7on \xE0 \xE9viter les acc\xE8\ + s non autoris\xE9s, ou \xE0 d\xE9faut, impl\xE9menter des mesures compensatoires\ + \ permettant d\u2019assurer le m\xEAme niveau de s\xE9curit\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11 + ref_id: '11.6' + name: "S\xE9curit\xE9 du c\xE2blage" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.6.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.6 + ref_id: 11.6.a + description: "Le prestataire doit documenter et mettre en \u0153uvre des mesures\ + \ permettant de prot\xE9ger le c\xE2blage \xE9lectrique et de t\xE9l\xE9communication\ + \ des dommages physiques et des possibilit\xE9s d\u2019interception. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.6.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.6 + ref_id: 11.6.b + description: "Le prestataire doit \xE9tablir et tenir \xE0 jour un plan de c\xE2\ + blage. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.6.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.6 + ref_id: 11.6.c + description: "Il est recommand\xE9 que le prestataire mette en \u0153uvre des\ + \ mesures permettant d\u2019identifier les c\xE2bles (par exemple code couleur,\ + \ \xE9tiquette, etc.) afin d'en faciliter l'exploitation et limiter les erreurs\ + \ de manipulation. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11 + ref_id: '11.7' + name: "Maintenance des mat\xE9riels" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.7.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.7 + ref_id: 11.7.a + description: "Le prestataire doit documenter et mettre en \u0153uvre des mesures\ + \ permettant de s\u2019assurer que les conditions d\u2019installation, de\ + \ maintenance et d\u2019entretien des \xE9quipements du syst\xE8me d\u2019\ + information du service h\xE9berg\xE9s en zones priv\xE9s et sensibles sont\ + \ compatibles avec les exigences de confidentialit\xE9 et de disponibilit\xE9\ + \ du service d\xE9finies dans la convention de service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.7.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.7 + ref_id: 11.7.b + description: "Le prestataire doit souscrire des contrats de maintenance permettant\ + \ de disposer des mises \xE0 jour de s\xE9curit\xE9 des logiciels install\xE9\ + s sur les \xE9quipements du syst\xE8me d\u2019information du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.7.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.7 + ref_id: 11.7.c + description: "Le prestataire doit s\u2019assurer que les supports ne peuvent\ + \ \xEAtre retourn\xE9s \xE0 un tiers que si les donn\xE9es du commanditaire\ + \ y sont stock\xE9es chiffr\xE9es conform\xE9ment au chapitre 10.1 ou ont\ + \ pr\xE9alablement \xE9t\xE9 d\xE9truites \xE0 l\u2019aide d\u2019un m\xE9\ + canisme d\u2019effacement s\xE9curis\xE9 par r\xE9\xE9criture de motifs al\xE9\ + atoires. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.7.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.7 + ref_id: 11.7.d + description: "Le prestataire doit documenter et mettre en \u0153uvre des mesures\ + \ permettant de s\u2019assurer que les conditions d\u2019installation, de\ + \ maintenance et d\u2019entretien des \xE9quipements techniques annexes (alimentation\ + \ \xE9lectrique, climatisation, incendie, etc.) sont compatibles avec les\ + \ exigences de disponibilit\xE9 du service d\xE9finies dans la convention\ + \ de service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11 + ref_id: '11.8' + name: Sortie des actifs + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.8.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.8 + ref_id: 11.8.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure de transfert hors site de donn\xE9es du commanditaire, \xE9quipements\ + \ et logiciels. Cette proc\xE9dure doit n\xE9cessiter que la direction du\ + \ prestataire donne son autorisation \xE9crite. Dans tous les cas, le prestataire\ + \ doit mettre en \u0153uvre les moyens permettant de garantir que le niveau\ + \ de protection en confidentialit\xE9 et en int\xE9grit\xE9 des actifs durant\ + \ leur transport est \xE9quivalent \xE0 celui sur site. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11 + ref_id: '11.9' + name: "Recyclage s\xE9curis\xE9 du mat\xE9riel" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.9.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.9 + ref_id: 11.9.a + description: "Le prestataire doit documenter et mettre en \u0153uvre des moyens\ + \ permettant d\u2019effacer de mani\xE8re s\xE9curis\xE9e par r\xE9\xE9criture\ + \ de motifs al\xE9atoires tout support de donn\xE9es mis \xE0 disposition\ + \ d\u2019un commanditaire. Si l\u2019espace de stockage est chiffr\xE9 dans\ + \ le cadre de l\u2019exigence 10.1.a), l\u2019effacement peut \xEAtre r\xE9\ + alis\xE9 par un effacement s\xE9curis\xE9 de la cl\xE9 de chiffrement. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11 + ref_id: '11.10' + name: "Mat\xE9riel en attente d\u2019utilisation " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.10.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:11.10 + ref_id: 11.10.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure de protection du mat\xE9riel en attente d\u2019utilisation. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + assessable: false + depth: 1 + ref_id: '12' + name: "S\xE9curit\xE9 li\xE9e \xE0 l\u2019exploitation" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + ref_id: '12.1' + name: "Proc\xE9dures d\u2019exploitation document\xE9es" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.1.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.1 + ref_id: 12.1.a + description: "Le prestataire doit documenter les proc\xE9dures d\u2019exploitation,\ + \ les tenir \xE0 jour et les rendre accessibles au personnel concern\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + ref_id: '12.2' + name: Gestion des changements + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.2.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.2 + ref_id: 12.2.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure de gestion des changements apport\xE9s aux syst\xE8mes et moyens de traitement\ + \ de l\u2019information. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.2.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.2 + ref_id: 12.2.b + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure permettant, en cas d\u2019op\xE9rations r\xE9alis\xE9es par le prestataire\ + \ et pouvant avoir un impact sur la s\xE9curit\xE9 ou la disponibilit\xE9\ + \ du service, de communiquer au plus t\xF4t \xE0 l\u2019ensemble de ses commanditaires\ + \ les informations suivantes : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node329 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.2.b + description: " la date et l\u2019heure programm\xE9es du d\xE9but et de la fin\ + \ des op\xE9rations; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node330 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.2.b + description: " la nature des op\xE9rations ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node331 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.2.b + description: " les impacts sur la s\xE9curit\xE9 ou la disponibilit\xE9 du service\ + \ ; - le contact au sein du prestataire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.2.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.2 + ref_id: 12.2.c + description: "Dans le cadre d\u2019un service PaaS, le prestataire doit informer\ + \ au plus t\xF4t le commanditaire de toute modification \xE0 venir sur des\ + \ \xE9l\xE9ments logiciels sous sa responsabilit\xE9 d\xE8s lors que la compatibilit\xE9\ + \ compl\xE8te ne peut \xEAtre assur\xE9e. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.2.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.2 + ref_id: 12.2.d + description: "Le prestataire doit informer au plus t\xF4t le commanditaire de\ + \ toute modification \xE0 venir sur les \xE9l\xE9ments du service d\xE8s lors\ + \ qu\u2019elle est susceptible d\u2019occasionner une perte de fonctionnalit\xE9\ + \ pour le commanditaire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + ref_id: '12.3' + name: "S\xE9paration des environnements de d\xE9veloppement, de test et d\u2019\ + exploitation" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.3 + ref_id: 12.3.a + description: "Le prestataire doit documenter et mettre en \u0153uvre les mesures\ + \ permettant de s\xE9parer physiquement les environnements li\xE9s \xE0 la\ + \ production du service des autres environnements, dont les environnements\ + \ de d\xE9veloppement. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + ref_id: '12.4' + name: Mesures contre les codes malveillants + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.4.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.4 + ref_id: 12.4.a + description: "Le prestataire doit documenter et mettre en \u0153uvre les mesures\ + \ de d\xE9tection, de pr\xE9vention et de restauration pour se prot\xE9ger\ + \ des codes malveillants. Le p\xE9rim\xE8tre d\u2019application de cette exigence\ + \ sur le syst\xE8me d\u2019information du service doit n\xE9cessairement contenir\ + \ les postes utilisateurs sous la responsabilit\xE9 du prestataire et les\ + \ flux entrants sur ce m\xEAme syst\xE8me d\u2019information. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.4.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.4 + ref_id: 12.4.b + description: "Le prestataire doit documenter et mettre en \u0153uvre une sensibilisation\ + \ de ses employ\xE9s aux risques li\xE9s aux codes malveillants et aux bonnes\ + \ pratiques pour r\xE9duire l\u2019impact d\u2019une infection. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + ref_id: '12.5' + name: Sauvegarde des informations + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.5.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.5 + ref_id: 12.5.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une politique\ + \ de sauvegarde et de restauration des donn\xE9es sous sa responsabilit\xE9\ + \ dans le cadre du service. Cette politique doit pr\xE9voir une sauvegarde\ + \ quotidienne de l\u2019ensemble des donn\xE9es (informations, logiciels,\ + \ configurations, etc.) sous la responsabilit\xE9 du prestataire dans le\ + \ cadre du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.5.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.5 + ref_id: 12.5.b + description: "Le prestataire doit documenter et mettre en \u0153uvre des mesures\ + \ de protection des sauvegardes conform\xE9ment \xE0 la politique de contr\xF4\ + le d\u2019acc\xE8s (voir chapitre 9). Cette politique doit pr\xE9voir une\ + \ revue mensuelle des traces d\u2019acc\xE8s aux sauvegardes. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.5.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.5 + ref_id: 12.5.c + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure permettant de tester r\xE9guli\xE8rement la restauration des sauvegardes. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.5.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.5 + ref_id: 12.5.d + description: "Le prestataire doit localiser les sauvegardes \xE0 une distance\ + \ suffisante des \xE9quipements principaux en coh\xE9rence avec les r\xE9\ + sultats de l\u2019appr\xE9ciation de risques et permettant de faire face \xE0\ + \ des sinistres majeurs. Les sauvegardes sont assujetties aux m\xEAmes exigences\ + \ de localisation que les donn\xE9es op\xE9rationnelles. Le ou les sites de\ + \ sauvegarde sont assujettis aux m\xEAmes exigences de s\xE9curit\xE9 que\ + \ le site principal, en particulier celles list\xE9es aux chapitres 8 et 11.\ + \ Les communications entre site principal et site de sauvegarde doivent \xEA\ + tre prot\xE9g\xE9es par chiffrement, conform\xE9ment aux exigences du chapitre\ + \ 10. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + ref_id: '12.6' + name: "Journalisation des \xE9v\xE9nements" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6 + ref_id: 12.6.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une politique\ + \ de journalisation incluant au minimum les \xE9l\xE9ments suivants : - la\ + \ liste des sources de collecte ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node346 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.a + description: " la liste des \xE9v\xE9nements \xE0 journaliser par source ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node347 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.a + description: " l\u2019objet de la journalisation par \xE9v\xE9nement ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node348 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.a + description: " la fr\xE9quence de la collecte et base de temps utilis\xE9e ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node349 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.a + description: " la dur\xE9e de r\xE9tention locale et centralis\xE9e ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node350 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.a + description: ' les mesures de protection des journaux (dont chiffrement et duplication) + ; - la localisation des journaux. ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6 + ref_id: 12.6.b + description: "Le prestataire doit g\xE9n\xE9rer et collecter les \xE9v\xE9nements\ + \ suivants : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node352 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.b + description: " les activit\xE9s des utilisateurs li\xE9es \xE0 la s\xE9curit\xE9\ + \ de l\u2019information ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node353 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.b + description: " la modification des droits d\u2019acc\xE8s dans le p\xE9rim\xE8\ + tre de sa responsabilit\xE9 ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node354 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.b + description: " les \xE9v\xE9nements issus des m\xE9canismes de lutte contre\ + \ les codes malveillants (voir chapitre 12.4);" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node355 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.b + description: ' les exceptions ; ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node356 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.b + description: " les d\xE9faillances ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node357 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.b + description: " tout autre \xE9v\xE9nement li\xE9 \xE0 la s\xE9curit\xE9 de l\u2019\ + information. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6 + ref_id: 12.6.c + description: "Le prestataire doit conserver les \xE9v\xE9nements issus de la\ + \ journalisation pendant une dur\xE9e minimale de six mois sous r\xE9serve\ + \ du respect des exigences l\xE9gales et r\xE9glementaires. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6 + ref_id: 12.6.d + description: "Le prestataire doit fournir, sur demande d\u2019un commanditaire,\ + \ l\u2019ensemble des \xE9v\xE9nements le concernant. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6.e + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.6 + ref_id: 12.6.e + description: "Il est recommand\xE9 que le syst\xE8me de journalisation mis en\ + \ place par le prestataire respecte les recommandations de [NT_JOURNAL]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + ref_id: '12.7' + name: "Protection de l\u2019information journalis\xE9e" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.7.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.7 + ref_id: 12.7.a + description: "Le prestataire doit prot\xE9ger les \xE9quipements de journalisation\ + \ et les \xE9v\xE9nements journalis\xE9s contre les atteintes \xE0 leur disponibilit\xE9\ + , int\xE9grit\xE9 ou confidentialit\xE9, conform\xE9ment au chapitre 3.2 de\ + \ [NT_JOURNAL]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.7.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.7 + ref_id: 12.7.b + description: "Le prestataire doit g\xE9rer le dimensionnement de l\u2019espace\ + \ de stockage de l\u2019ensemble des \xE9quipements h\xE9bergeant une ou plusieurs\ + \ sources de collecte afin de permettre la conservation locale des \xE9v\xE9\ + nements journalis\xE9s pr\xE9vue par la politique de journalisation des \xE9\ + v\xE9nements. Cette gestion du dimensionnement doit prendre en compte les\ + \ \xE9volutions du syst\xE8me d\u2019information. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.7.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.7 + ref_id: 12.7.c + description: "Le prestataire doit transf\xE9rer les \xE9v\xE9nements journalis\xE9\ + s en assurant leur protection en confidentialit\xE9 et en int\xE9grit\xE9\ + , sur un ou plusieurs serveurs centraux d\xE9di\xE9s et doit les stocker sur\ + \ une machine physique distincte de celle qui les a g\xE9n\xE9r\xE9s. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.7.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.7 + ref_id: 12.7.d + description: "Le prestataire doit mettre en place une sauvegarde des \xE9v\xE9\ + nements collect\xE9s suivant une politique adapt\xE9e. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.7.e + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.7 + ref_id: 12.7.e + description: "Le prestataire doit ex\xE9cuter les processus de journalisation\ + \ et de collecte des \xE9v\xE8nements avec des comptes disposant de privil\xE8\ + ges n\xE9cessaires et suffisants et doit limiter l\u2019acc\xE8s aux \xE9\ + v\xE9nements journalis\xE9s conform\xE9ment \xE0 la politique de contr\xF4\ + le d\u2019acc\xE8s (voir chapitre 9.1). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + ref_id: '12.8' + name: Synchronisation des horloges + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.8.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.8 + ref_id: 12.8.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une synchronisation\ + \ des horloges de l\u2019ensemble des \xE9quipements sur une ou plusieurs\ + \ sources de temps internes coh\xE9rentes entre elles. Ces sources pourront\ + \ elles-m\xEAmes \xEAtre synchronis\xE9es sur plusieurs sources fiables externes,\ + \ sauf pour les r\xE9seaux isol\xE9s. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.8.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.8 + ref_id: 12.8.b + description: "Le prestataire doit mettre en place l\u2019horodatage de chaque\ + \ \xE9v\xE9nement journalis\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + ref_id: '12.9' + name: "Analyse et corr\xE9lation des \xE9v\xE9nements" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.9.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.9 + ref_id: 12.9.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une infrastructure\ + \ permettant l\u2019analyse et la corr\xE9lation des \xE9v\xE9nements enregistr\xE9\ + s par le syst\xE8me de journalisation afin de d\xE9tecter les \xE9v\xE9nements\ + \ susceptibles d\u2019affecter la s\xE9curit\xE9 du syst\xE8me d\u2019information\ + \ du service, en temps r\xE9el ou a posteriori pour des \xE9v\xE9nements remontant\ + \ jusqu\u2019\xE0 six mois. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.9.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.9 + ref_id: 12.9.b + description: "Il est recommand\xE9 de s\u2019appuyer sur le r\xE9f\xE9rentiel\ + \ d\u2019exigences des prestataires de d\xE9tection d\u2019incidents de s\xE9\ + curit\xE9 [PDIS] pour la mise en place et l\u2019exploitation de l\u2019infrastructure\ + \ d\u2019analyse et de corr\xE9lation des \xE9v\xE9nements. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.9.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.9 + ref_id: 12.9.c + description: "Le prestataire doit acquitter les alarmes remont\xE9es par l\u2019\ + infrastructure d\u2019analyse et de corr\xE9lation des \xE9v\xE9nements au\ + \ moins quotidiennement. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + ref_id: '12.10' + name: "Installation de logiciels sur des syst\xE8mes en exploitation" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.10.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.10 + ref_id: 12.10.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure permettant de contr\xF4ler l\u2019installation de logiciels sur les \xE9\ + quipements du syst\xE8me d\u2019information du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.10.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.10 + ref_id: 12.10.b + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure de gestion de la configuration des environnements logiciels mis \xE0\ + \ la disposition du commanditaire, notamment pour leur maintien en condition\ + \ de s\xE9curit\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.10.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.10 + ref_id: 12.10.c + description: "Le prestataire doit fournir une capacit\xE9 d'inspection et de\ + \ suppression, si n\xE9cessaire, des entrants (contr\xF4le de l\u2019authenticit\xE9\ + \ et de l'innocuit\xE9 des mises \xE0 jour, contr\xF4le de l\u2019innocuit\xE9\ + \ des outils fournis, etc.) relatifs au p\xE9rim\xE8tre de l\u2019infrastructure\ + \ technique : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node378 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.10.c + description: "cette capacit\xE9 d'inspection et de suppression doit g\xE9n\xE9\ + rer des journaux d'activit\xE9 et doit pouvoir faire l'objet d'un audit de\ + \ code, " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node379 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.10.c + description: "les entrants doivent \xEAtre trait\xE9s sur des dispositifs sp\xE9\ + cifiques op\xE9r\xE9s et maintenus par le prestataire et h\xE9berg\xE9s dans\ + \ une zone cloisonn\xE9e du reste de l\u2019infrastructure (du type zone d\xE9\ + militaris\xE9e telle que d\xE9finie dans [G_INT]). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + ref_id: '12.11' + name: "Gestion des vuln\xE9rabilit\xE9s techniques" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.11.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.11 + ref_id: 12.11.a + description: "Le prestataire doit documenter et mettre en \u0153uvre un processus\ + \ de veille permettant de g\xE9rer les vuln\xE9rabilit\xE9s techniques des\ + \ logiciels et des syst\xE8mes utilis\xE9s dans le syst\xE8me d\u2019information\ + \ du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.11.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.11 + ref_id: 12.11.b + description: "Le prestataire doit \xE9valuer son exposition \xE0 ces vuln\xE9\ + rabilit\xE9s en les incluant dans l\u2019appr\xE9ciation des risques et appliquer\ + \ les mesures de traitement du risque adapt\xE9es. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + ref_id: '12.12' + name: Administration + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.12.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.12 + ref_id: 12.12.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure obligeant les administrateurs sous sa responsabilit\xE9 \xE0 utiliser\ + \ des terminaux d\xE9di\xE9s pour la r\xE9alisation exclusive des t\xE2ches\ + \ d\u2019administration, en accord avec le chapitre 4.1 intitul\xE9 \xAB poste\ + \ et r\xE9seau d\u2019administration \xBB de [NT_ADMIN]. Il doit les ma\xEE\ + triser et les maintenir \xE0 jour. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.12.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.12 + ref_id: 12.12.b + description: "Le prestataire doit mettre en place des mesures de durcissement\ + \ de la configuration des terminaux utilis\xE9s pour les t\xE2ches d\u2019\ + administration, notamment celles du chapitre 4.2 intitul\xE9 \xAB s\xE9curisation\ + \ du socle \xBB de [NT_ADMIN]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.12.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.12 + ref_id: 12.12.c + description: "Lorsque le prestataire autorise une situation de mobilit\xE9 pour\ + \ les administrateurs sous sa responsabilit\xE9, il doit l\u2019encadrer par\ + \ une politique document\xE9e. La solution mise en \u0153uvre doit assurer\ + \ que le niveau de s\xE9curit\xE9 de cette situation de mobilit\xE9 est au\ + \ moins \xE9quivalent au niveau de s\xE9curit\xE9 hors situation de mobilit\xE9\ + \ (voir chapitres 9.6 et 9.7). Cette solution doit notamment inclure : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node387 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.12.c + description: "l\u2019utilisation d\u2019un tunnel chiffr\xE9, non d\xE9brayable\ + \ et non contournable, pour l\u2019ensemble des flux (voir chapitre 10.2)\ + \ ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node388 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.12.c + description: "le chiffrement int\xE9gral du disque (voir chapitre 10.1). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + ref_id: '12.13' + name: "T\xE9l\xE9diagnostic et t\xE9l\xE9maintenance des composants de l\u2019\ + infrastructure" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.13.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.13 + ref_id: 12.13.a + description: "Dans le cadre du t\xE9l\xE9diagnostic ou de la t\xE9l\xE9maintenance\ + \ de composants de l\u2019infrastructure, consid\xE9rant les risques d\u2019\ + atteinte \xE0 la confidentialit\xE9 des donn\xE9es des commanditaires, le\ + \ prestataire doit : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node391 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.13.a + description: "v\xE9rifier que la personne \xE0 qui l\u2019acc\xE8s doit \xEA\ + tre autoris\xE9 a satisfait aux v\xE9rifications de l\u2019exigence 7.1.b\ + \ ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node392 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.13.a + description: "dans le cas d'une intervention r\xE9alis\xE9e par une personne\ + \ n\u2019ayant pas satisfait aux v\xE9rifications de l\u2019exigence 7.1.b,\ + \ mettre en \u0153uvre une passerelle s\xE9curis\xE9e (poste de rebond) par\ + \ laquelle la personne devra se connecter et permettant une supervision des\ + \ actions (autorisation ou interdiction des actions, demande d\u2019explications,\ + \ etc..) en temps r\xE9el, par une personne ayant elle-m\xEAme satisfait aux\ + \ v\xE9rifications de l\u2019exigence 7.1.b . La passerelle s\xE9curis\xE9\ + e devra r\xE9pondre aux objectifs de s\xE9curit\xE94 sp\xE9cifi\xE9s dans\ + \ [G_EXT] ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node393 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.13.a + description: "consid\xE9rer les actions men\xE9es, une fois l\u2019acc\xE8s\ + \ autoris\xE9, comme des actions d\u2019administration et les journaliser\ + \ comme telles ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node394 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.13.a + description: "supprimer l\u2019autorisation d\u2019acc\xE8s \xE0 l\u2019issue\ + \ de l\u2019intervention. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12 + ref_id: '12.14' + name: "Surveillance des flux sortants de l\u2019infrastructure" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.14.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.14 + ref_id: 12.14.a + description: "Le prestataire doit fournir une capacit\xE9 d'inspection et de\ + \ suppression des sortants de l\u2019infrastructure technique relatifs au\ + \ p\xE9rim\xE8tre du service (informations de facturation, les \xE9ventuels\ + \ journaux n\xE9cessaires au traitement d'incidents, etc.) : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node397 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.14.a + description: "les sortants doivent pouvoir \xEAtre expurg\xE9s des donn\xE9\ + es pouvant porter atteinte \xE0 la confidentialit\xE9 des donn\xE9es des commanditaires\ + \ ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node398 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.14.a + description: "cette capacit\xE9 d'inspection et de suppression doit g\xE9n\xE9\ + rer des journaux d'activit\xE9 et doit pouvoir faire l'objet d'un audit de\ + \ code ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node399 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:12.14.a + description: "les sortants sont trait\xE9s sur des dispositifs sp\xE9cifiques\ + \ op\xE9r\xE9s et maintenus par le prestataire, et h\xE9berg\xE9s dans une\ + \ zone cloisonn\xE9e du reste de l\u2019infrastructure (du type zone d\xE9\ + militaris\xE9e telle que d\xE9finie dans [G_INT]). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13 + assessable: false + depth: 1 + ref_id: '13' + name: "S\xE9curit\xE9 des communications" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13 + ref_id: '13.1' + name: "Cartographie du syst\xE8me d'information" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1 + ref_id: 13.1.a + description: "Le prestataire doit \xE9tablir et tenir \xE0 jour une cartographie\ + \ du syst\xE8me d\u2019information du service, en lien avec l\u2019inventaire\ + \ des actifs (voir chapitre 8.1), comprenant au minimum les \xE9l\xE9ments\ + \ suivants : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node403 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1.a + description: "la liste des ressources mat\xE9rielles ou virtualis\xE9es ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node404 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1.a + description: 'les noms et fonctions des applications, supportant le service + ; ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node405 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1.a + description: "le sch\xE9ma d\u2019architecture r\xE9seau au niveau 3 du mod\xE8\ + le OSI sur lequel les points n\xE9vralgiques sont identifi\xE9s : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node406 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1.a + description: "les points d\u2019interconnexions, notamment avec les r\xE9seaux\ + \ tiers et publics, " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node407 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1.a + description: "les r\xE9seaux, sous-r\xE9seaux, notamment les r\xE9seaux d\u2019\ + administration, " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node408 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1.a + description: "les \xE9quipements assurant des fonctions de s\xE9curit\xE9 (filtrage,\ + \ authentification, chiffrement, etc.), " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node409 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1.a + description: "les serveurs h\xE9bergeant des donn\xE9es ou assurant des fonctions\ + \ sensibles ; - la matrice des flux r\xE9seau autoris\xE9s en pr\xE9cisant\ + \ : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node410 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1.a + description: 'leur description technique (services, protocoles et ports) ; ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node411 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1.a + description: "la justification m\xE9tier ou d\u2019infrastructure technique\ + \ ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node412 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1.a + description: "le cas \xE9ch\xE9ant, lorsque des services, protocoles ou ports\ + \ r\xE9put\xE9s non s\xFBrs sont utilis\xE9s, les mesures compensatoires mises\ + \ en place, dans la logique de d\xE9fense en profondeur. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.1 + ref_id: 13.1.b + description: "Le prestataire doit r\xE9viser au moins annuellement la cartographie. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13 + ref_id: '13.2' + name: "Cloisonnement des r\xE9seaux" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.2.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.2 + ref_id: 13.2.a + description: "Le prestataire doit documenter et mettre en \u0153uvre, pour le\ + \ syst\xE8me d\u2019information du service, les mesures de cloisonnement (logique,\ + \ physique ou par chiffrement) pour s\xE9parer les flux r\xE9seau selon : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node416 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.2.a + description: " la sensibilit\xE9 des informations transmises ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node417 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.2.a + description: ' la nature des flux (production, administration, supervision, + etc.) ; ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node418 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.2.a + description: " le domaine d\u2019appartenance des flux (des commanditaires \u2013\ + \ avec distinction par commanditaire ou ensemble de commanditaires, du prestataire,\ + \ des tiers, etc.) ; - le domaine technique (traitement, stockage, etc.). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.2.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.2 + ref_id: 13.2.b + description: "Le prestataire doit cloisonner, physiquement ou par chiffrement,\ + \ tous les flux de donn\xE9es internes au syst\xE8me d\u2019information du\ + \ service vis-\xE0-vis de tout autre syst\xE8me d\u2019information. Lorsque\ + \ ce cloisonnement est r\xE9alis\xE9 par chiffrement, il est r\xE9alis\xE9\ + \ en accord avec les exigences du chapitre 10.2. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.2.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.2 + ref_id: 13.2.c + description: "Dans le cas o\xF9 le r\xE9seau d\u2019administration de l\u2019\ + infrastructure technique ne fait pas l\u2019objet d\u2019un cloisonnement\ + \ physique, les flux d\u2019administration doivent transiter dans un tunnel\ + \ chiffr\xE9, en accord avec les exigences du chapitre 10.2. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.2.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.2 + ref_id: 13.2.d + description: "Le prestataire doit mettre en place et configurer un pare-feu\ + \ applicatif pour prot\xE9ger les interfaces d\u2019administration destin\xE9\ + es \xE0 ses commanditaires et expos\xE9es sur un r\xE9seau public. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.2.e + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.2 + ref_id: 13.2.e + description: "Le prestataire doit mettre en \u0153uvre sur l\u2019ensemble des\ + \ interfaces d\u2019administration et de supervision de l\u2019infrastructure\ + \ technique du service un m\xE9canisme de filtrage n\u2019autorisant que les\ + \ connexions l\xE9gitimes identifi\xE9es dans la matrice des flux autoris\xE9\ + s. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13 + ref_id: '13.3' + name: "Surveillance des r\xE9seaux" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:13.3 + ref_id: 13.3.a + description: "Le prestataire doit disposer une ou plusieurs sondes de d\xE9\ + tection d\u2019incidents de s\xE9curit\xE9 sur le syst\xE8me d\u2019information\ + \ du service. Ces sondes doivent notamment permettre la supervision de chacune\ + \ des interconnexions du syst\xE8me d\u2019information du service avec des\ + \ syst\xE8mes d\u2019information tiers et des r\xE9seaux publics. Ces sondes\ + \ doivent \xEAtre des sources de collecte pour l\u2019infrastructure d\u2019\ + analyse et de corr\xE9lation des \xE9v\xE9nements (voir chapitre 12.9). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14 + assessable: false + depth: 1 + ref_id: '14' + name: "Acquisition, d\xE9veloppement et maintenance des syst\xE8mes d\u2019\ + information" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14 + ref_id: '14.1' + name: "Politique de d\xE9veloppement s\xE9curis\xE9" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.1.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.1 + ref_id: 14.1.a + description: "Le prestataire doit documenter et mettre en \u0153uvre des r\xE8\ + gles de d\xE9veloppement s\xE9curis\xE9 des logiciels et des syst\xE8mes,\ + \ et les appliquer aux d\xE9veloppements internes. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.1.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.1 + ref_id: 14.1.b + description: "Le prestataire doit documenter et mettre en \u0153uvre une formation\ + \ adapt\xE9e en d\xE9veloppement s\xE9curis\xE9 aux employ\xE9s concern\xE9\ + s. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14 + ref_id: '14.2' + name: "Proc\xE9dures de contr\xF4le des changements de syst\xE8me" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.2.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.2 + ref_id: 14.2.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure de contr\xF4le des changements apport\xE9s au syst\xE8me d\u2019information\ + \ du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.2.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.2 + ref_id: 14.2.b + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure de validation des changements apport\xE9s au syst\xE8me d\u2019information\ + \ du service sur un environnement de pr\xE9-production avant leur mise en\ + \ production. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.2.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.2 + ref_id: 14.2.c + description: "Le prestataire doit conserver un historique des versions des logiciels\ + \ et des syst\xE8mes (d\xE9veloppements internes ou externes, produits commerciaux)\ + \ mis en \u0153uvre pour permettre de reconstituer, le cas \xE9ch\xE9ant dans\ + \ un environnement de test, un environnement complet tel qu\u2019il \xE9tait\ + \ mis en \u0153uvre \xE0 une date donn\xE9e. La dur\xE9e de conservation de\ + \ cet historique doit \xEAtre en accord avec celle des sauvegardes (voir chapitre\ + \ 12.5). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14 + ref_id: '14.3' + name: "Revue technique des applications apr\xE8s changement apport\xE9 \xE0\ + \ la plateforme d\u2019exploitation" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.3 + ref_id: 14.3.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure permettant de tester, pr\xE9alablement \xE0 leur mise en production,\ + \ l\u2019ensemble des applications afin de v\xE9rifier l\u2019absence de tout\ + \ effet ind\xE9sirable sur l\u2019activit\xE9 ou sur la s\xE9curit\xE9 du\ + \ service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14 + ref_id: '14.4' + name: "Environnement de d\xE9veloppement s\xE9curis\xE9" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.4.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.4 + ref_id: 14.4.a + description: "Le prestataire doit mettre en \u0153uvre un environnement s\xE9\ + curis\xE9 de d\xE9veloppement permettant de g\xE9rer l\u2019int\xE9gralit\xE9\ + \ du cycle de d\xE9veloppement du syst\xE8me d\u2019information du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.4.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.4 + ref_id: 14.4.b + description: "Le prestataire doit prendre en compte les environnements de d\xE9\ + veloppement dans l\u2019appr\xE9ciation des risques et en assurer la protection\ + \ conform\xE9ment au pr\xE9sent r\xE9f\xE9rentiel. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14 + ref_id: '14.5' + name: "D\xE9veloppement externalis\xE9" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.5.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.5 + ref_id: 14.5.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure permettant de superviser et de contr\xF4ler l\u2019activit\xE9 de d\xE9\ + veloppement externalis\xE9 des logiciels et des syst\xE8mes. Cette proc\xE9\ + dure doit s\u2019assurer que l\u2019activit\xE9 de d\xE9veloppement externalis\xE9\ + \ soit conforme \xE0 la politique de d\xE9veloppement s\xE9curis\xE9 du prestataire\ + \ et permette d\u2019atteindre un niveau de s\xE9curit\xE9 du d\xE9veloppement\ + \ externe \xE9quivalent \xE0 celui d\u2019un d\xE9veloppement interne (voir\ + \ exigence 14.1 a). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14 + ref_id: '14.6' + name: "Test de la s\xE9curit\xE9 et conformit\xE9 du syst\xE8me" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.6.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.6 + ref_id: 14.6.a + description: "Le prestataire doit soumettre les syst\xE8mes d\u2019information,\ + \ nouveaux ou mis \xE0 jour, \xE0 des tests de conformit\xE9 et de fonctionnalit\xE9\ + \ de s\xE9curit\xE9 pendant le d\xE9veloppement. Il doit documenter et mettre\ + \ en \u0153uvre une proc\xE9dure de test qui identifie : - les t\xE2ches \xE0\ + \ r\xE9aliser ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node442 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.6.a + description: "les donn\xE9es d\u2019entr\xE9e ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node443 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.6.a + description: "les r\xE9sultats attendus en sortie. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14 + ref_id: '14.7' + name: "Protection des donn\xE9es de test" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.7.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.7 + ref_id: 14.7.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure permettant d\u2019assurer l\u2019int\xE9grit\xE9 des donn\xE9es de tests\ + \ utilis\xE9s en pr\xE9-production. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.7.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:14.7 + ref_id: 14.7.b + description: "Si le prestataire souhaite utiliser des donn\xE9es du commanditaire\ + \ issues de la production pour r\xE9aliser des tests, le prestataire doit\ + \ pr\xE9alablement obtenir l\u2019accord du commanditaire et les anonymiser.\ + \ Le prestataire doit assurer la confidentialit\xE9 des donn\xE9es lors de\ + \ leur anonymisation. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15 + assessable: false + depth: 1 + ref_id: '15' + name: Relations avec les tiers + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15 + ref_id: '15.1' + name: Identification des tiers + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.1.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.1 + ref_id: 15.1.a + description: "Le prestataire doit tenir \xE0 jour une liste exhaustive des tiers\ + \ participant \xE0 la mise en \u0153uvre du service (h\xE9bergeur, d\xE9veloppeur,\ + \ int\xE9grateur, archiveur, sous-traitant op\xE9rant sur site ou \xE0 distance,\ + \ fournisseurs de climatisation, etc.). Cette liste doit pr\xE9ciser la contribution\ + \ du tiers au service et au traitement des donn\xE9es \xE0 caract\xE8re personnel.\ + \ Elle doit tenir compte des cas de soustraitance \xE0 plusieurs niveaux. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.1.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.1 + ref_id: 15.1.b + description: "Le prestataire doit tenir \xE0 disposition du commanditaire la\ + \ liste de l\u2019ensemble des tiers qui peuvent acc\xE9der aux donn\xE9es\ + \ et l\u2019informer de tout changement de sous-traitants au sens de l\u2019\ + article 28 du [RGPD] afin que le commanditaire puisse \xE9mettre des objections\ + \ \xE0 cet \xE9gard. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15 + ref_id: '15.2' + name: "La s\xE9curit\xE9 dans les accords conclus avec les tiers" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.2.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.2 + ref_id: 15.2.a + description: "Le prestataire doit exiger des tiers participant \xE0 la mise\ + \ en \u0153uvre du service, dans leur contribution au service, un niveau de\ + \ s\xE9curit\xE9 au moins \xE9quivalent \xE0 celui qu\u2019il s\u2019engage\ + \ \xE0 maintenir dans sa propre politique de s\xE9curit\xE9. Il doit le faire\ + \ au travers d\u2019exigences, adapt\xE9es \xE0 chaque tiers et \xE0 sa contribution\ + \ au service, dans les cahiers des charges ou dans les clauses de s\xE9curit\xE9\ + \ des accords de partenariat. Le prestataire doit inclure ces exigences dans\ + \ les contrats conclus avec les tiers. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.2.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.2 + ref_id: 15.2.b + description: "Le prestataire doit contractualiser, avec chacun des tiers participant\ + \ \xE0 la mise en \u0153uvre du service, des clauses d\u2019audit permettant\ + \ \xE0 un organisme de qualification de v\xE9rifier que ces tiers respectent\ + \ les exigences du pr\xE9sent r\xE9f\xE9rentiel. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.2.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.2 + ref_id: 15.2.c + description: "Le prestataire doit d\xE9finir et attribuer les r\xF4les et les\ + \ responsabilit\xE9s relatives \xE0 la modification ou \xE0 la fin du contrat\ + \ le liant \xE0 un tiers participant \xE0 la mise en \u0153uvre du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15 + ref_id: '15.3' + name: Surveillance et revue des services des tiers + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.3 + ref_id: 15.3.a + description: "a) Le prestataire doit documenter et mettre en \u0153uvre une\ + \ proc\xE9dure permettant de contr\xF4ler r\xE9guli\xE8rement les mesures\ + \ mises en place par les tiers participant \xE0 la mise en \u0153uvre du service\ + \ pour respecter les exigences du pr\xE9sent r\xE9f\xE9rentiel, conform\xE9\ + ment au chapitre 18.3. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15 + ref_id: '15.4' + name: "Gestion des changements apport\xE9s dans les services des tiers" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.4.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.4 + ref_id: 15.4.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure de suivi des changements apport\xE9s par les tiers participant \xE0 la\ + \ mise en \u0153uvre du service susceptibles d\u2019affecter le niveau de\ + \ s\xE9curit\xE9 du syst\xE8me d\u2019information du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.4.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.4 + ref_id: 15.4.b + description: "Dans la mesure o\xF9 un changement de tiers participant \xE0 la\ + \ mise en \u0153uvre du service affecte le niveau de s\xE9curit\xE9 du service,\ + \ le prestataire doit en informer l\u2019ensemble des commanditaires sans\ + \ d\xE9lais conform\xE9ment au chapitre 12.2 et mettre en \u0153uvre les mesures\ + \ permettant de r\xE9tablir le niveau de s\xE9curit\xE9 pr\xE9c\xE9dent. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15 + ref_id: '15.5' + name: "Engagements de confidentialit\xE9" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.5.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:15.5 + ref_id: 15.5.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure permettant de r\xE9viser au moins annuellement les exigences en mati\xE8\ + re d\u2019engagements de confidentialit\xE9 ou de non-divulgation vis-\xE0\ + -vis des tiers participant \xE0 la mise en \u0153uvre du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16 + assessable: false + depth: 1 + ref_id: '16' + name: "Gestion des incidents li\xE9s \xE0 la s\xE9curit\xE9 de l\u2019information" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16 + ref_id: '16.1' + name: "Responsabilit\xE9s et proc\xE9dures" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.1.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.1 + ref_id: 16.1.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure permettant d\u2019apporter des r\xE9ponses rapides et efficaces aux incidents\ + \ de s\xE9curit\xE9. Ces proc\xE9dures doivent d\xE9finir les moyens et d\xE9\ + lais de communication des incidents de s\xE9curit\xE9 \xE0 l\u2019ensemble\ + \ des commanditaires concern\xE9s ainsi que le niveau de confidentialit\xE9\ + \ exig\xE9 pour cette communication. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.1.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.1 + ref_id: 16.1.b + description: "Le prestataire doit informer ses employ\xE9s et l\u2019ensemble\ + \ des tiers participant \xE0 la mise en \u0153uvre du service de cette proc\xE9\ + dure. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.1.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.1 + ref_id: 16.1.c + description: "Le prestataire doit documenter toute violation de donn\xE9es \xE0\ + \ caract\xE8re personnel et en informer son commanditaire. La violation doit\ + \ \xEAtre notifi\xE9e \xE0 la CNIL5 si elle pr\xE9sente un risque pour les\ + \ droits et libert\xE9s des personnes concern\xE9es. Elle doit faire l\u2019\ + objet d\u2019une information aupr\xE8s des personnes concern\xE9es lorsque\ + \ le risque pour leur vie priv\xE9e est \xE9lev\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16 + ref_id: '16.2' + name: "Signalements li\xE9s \xE0 la s\xE9curit\xE9 de l\u2019information" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.2.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.2 + ref_id: 16.2.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure exigeant de ses employ\xE9s et des tiers participant \xE0 la mise en\ + \ \u0153uvre du service qu\u2019ils lui rendent compte de tout incident de\ + \ s\xE9curit\xE9, av\xE9r\xE9 ou suspect\xE9 ainsi que de toute faille de\ + \ s\xE9curit\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.2.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.2 + ref_id: 16.2.b + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure permettant \xE0 l\u2019ensemble des commanditaires de signaler tout incident\ + \ de s\xE9curit\xE9, av\xE9r\xE9 ou suspect\xE9 et toute faille de s\xE9curit\xE9\ + . " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.2.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.2 + ref_id: 16.2.c + description: "Le prestataire doit communiquer sans d\xE9lai aux commanditaires\ + \ les incidents de s\xE9curit\xE9 et les pr\xE9conisations associ\xE9es pour\ + \ en limiter les impacts. Il doit permettre au commanditaire de choisir les\ + \ niveaux de gravit\xE9 des incidents pour lesquels il souhaite \xEAtre inform\xE9\ + . " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.2.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.2 + ref_id: 16.2.d + description: "Le prestataire doit communiquer les incidents de s\xE9curit\xE9\ + \ aux autorit\xE9s comp\xE9tentes conform\xE9ment aux exigences l\xE9gales\ + \ et r\xE9glementaires en vigueur. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16 + ref_id: '16.3' + name: "Appr\xE9ciation des \xE9v\xE9nements li\xE9s \xE0 la s\xE9curit\xE9 de\ + \ l\u2019information et prise de d\xE9cision" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.3 + ref_id: 16.3.a + description: "Le prestataire doit appr\xE9cier les \xE9v\xE9nements li\xE9s\ + \ \xE0 la s\xE9curit\xE9 de l\u2019information et d\xE9cider s\u2019il faut\ + \ les qualifier en incidents de s\xE9curit\xE9. Pour l\u2019appr\xE9ciation,\ + \ il doit s\u2019appuyer sur une ou plusieurs \xE9chelles (estimation, \xE9\ + valuation, etc.) partag\xE9es avec le commanditaire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.3.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.3 + ref_id: 16.3.b + description: "Le prestataire doit utiliser une classification permettant d\u2019\ + identifier clairement les incidents de s\xE9curit\xE9 touchant des donn\xE9\ + es relatives aux commanditaires, conform\xE9ment aux r\xE9sultats de l\u2019\ + appr\xE9ciation des risques. Cette classification doit inclure les violations\ + \ de donn\xE9es \xE0 caract\xE8re personnel. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16 + ref_id: '16.4' + name: "R\xE9ponse aux incidents li\xE9s \xE0 la s\xE9curit\xE9 de l\u2019information" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.4.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.4 + ref_id: 16.4.a + description: "Le prestataire doit traiter les incidents de s\xE9curit\xE9 jusqu\u2019\ + \xE0 leur r\xE9solution et doit informer les commanditaires conform\xE9ment\ + \ aux proc\xE9dures. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.4.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.4 + ref_id: 16.4.b + description: "Le prestataire doit archiver les documents d\xE9taillant les incidents\ + \ de s\xE9curit\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.4.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.4 + ref_id: 16.4.c + description: "Il est recommand\xE9 que le prestataire fasse appel \xE0 un prestataire\ + \ de r\xE9ponse aux incidents de s\xE9curit\xE9 [PRIS] qualifi\xE9 pour traiter\ + \ les incidents de s\xE9curit\xE9 n\xE9cessitant une expertise suppl\xE9mentaire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16 + ref_id: '16.5' + name: "Tirer des enseignements des incidents li\xE9s \xE0 la s\xE9curit\xE9\ + \ de l\u2019information" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.5.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.5 + ref_id: 16.5.a + description: "Le prestataire doit documenter et mettre en \u0153uvre un processus\ + \ d\u2019am\xE9lioration continue afin de diminuer l\u2019occurrence et l\u2019\ + impact de types d\u2019incidents de s\xE9curit\xE9 d\xE9j\xE0 trait\xE9s. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16 + ref_id: '16.6' + name: Recueil de preuves + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.6.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:16.6 + ref_id: 16.6.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure permettant d\u2019enregistrer les informations relatives aux incidents\ + \ de s\xE9curit\xE9 et pouvant servir d\u2019\xE9l\xE9ments de preuve. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17 + assessable: false + depth: 1 + ref_id: '17' + name: "Continuit\xE9 d\u2019activit\xE9" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17 + ref_id: '17.1' + name: "Organisation de la continuit\xE9 d\u2019activit\xE9" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.1.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.1 + ref_id: 17.1.a + description: "Le prestataire doit documenter et mettre \u0153uvre un plan de\ + \ continuit\xE9 d\u2019activit\xE9 prenant en compte la s\xE9curit\xE9 de\ + \ l\u2019information. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.1.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.1 + ref_id: 17.1.b + description: "Le prestataire doit r\xE9viser annuellement le plan de continuit\xE9\ + \ d\u2019activit\xE9 du service et \xE0 chaque changement majeur pouvant avoir\ + \ un impact sur le service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17 + ref_id: '17.2' + name: "Mise en \u0153uvre de la continuit\xE9 d\u2019activit\xE9" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.2.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.2 + ref_id: 17.2.a + description: "Le prestataire doit documenter et mettre en \u0153uvre des proc\xE9\ + dures permettant de maintenir ou de restaurer l\u2019exploitation du service\ + \ et d\u2019assurer la disponibilit\xE9 des informations au niveau et dans\ + \ les d\xE9lais pour lesquels le prestataire s\u2019est engag\xE9 vis-\xE0\ + -vis du commanditaire dans la convention de service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17 + ref_id: '17.3' + name: "V\xE9rifier, revoir et \xE9valuer la continuit\xE9 d\u2019activit\xE9" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.3 + ref_id: 17.3.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure permettant de tester le plan de continuit\xE9 d\u2019activit\xE9s afin\ + \ de s\u2019assurer qu\u2019il est pertinent et efficace en situation de crise. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17 + ref_id: '17.4' + name: "Disponibilit\xE9 des moyens de traitement de l\u2019information" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.4.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.4 + ref_id: 17.4.a + description: "Le prestataire doit documenter et mettre en \u0153uvre les mesures\ + \ qui lui permettent de r\xE9pondre au besoin de disponibilit\xE9 du service\ + \ d\xE9fini dans la convention de service (voir chapitre 19.1). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17 + ref_id: '17.5' + name: "Sauvegarde de la configuration de l\u2019infrastructure technique" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.5.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.5 + ref_id: 17.5.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une proc\xE9\ + dure de sauvegarde hors-ligne de la configuration de l\u2019infrastructure\ + \ technique. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17 + ref_id: '17.6' + name: "Mise \xE0 disposition d\u2019un dispositif de sauvegarde des donn\xE9\ + es du commanditaire" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.6.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:17.6 + ref_id: 17.6.a + description: "Le prestataire doit documenter et mettre \xE0 disposition du commanditaire\ + \ un service de sauvegarde de ses donn\xE9es." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18 + assessable: false + depth: 1 + ref_id: '18' + name: "Conformit\xE9" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18 + ref_id: '18.1' + name: "Identification de la l\xE9gislation et des exigences contractuelles applicables" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1 + ref_id: 18.1.a + description: "Le prestataire doit identifier les exigences l\xE9gales, r\xE9\ + glementaires et contractuelles en vigueur applicables au service. En France,\ + \ le prestataire doit consid\xE9rer au minimum les textes suivants : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node500 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1.a + description: "les donn\xE9es \xE0 caract\xE8re personnel [LOI_IL], [RGPD] ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node501 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1.a + description: "le secret professionnel [CP_ART_226_13], le cas \xE9ch\xE9ant\ + \ sans pr\xE9judice de l\u2019application de l\u2019article 40 alin\xE9a 2\ + \ du Code de proc\xE9dure p\xE9nale relatif au signalement \xE0 une autorit\xE9\ + \ judiciaire ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node502 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1.a + description: "l\u2019abus de confiance [CP_ART_314-1] ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node503 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1.a + description: "le secret des correspondances priv\xE9es [CP_ART_226-15] ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node504 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1.a + description: "l\u2019atteinte \xE0 la vie priv\xE9e [CP_ART_226-1] ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node505 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1.a + description: "l\u2019acc\xE8s ou le maintien frauduleux \xE0 un syst\xE8me d\u2019\ + information [CP_ART_323-1]. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1 + ref_id: 18.1.b + description: "Le prestataire doit, selon son r\xF4le dans les traitements de\ + \ donn\xE9es \xE0 caract\xE8re personnel (responsable de traitement, sous-traitant\ + \ ou co-responsable) justifier et documenter les choix de mesures techniques\ + \ et organisationnelles r\xE9alis\xE9s en vue de r\xE9pondre aux exigences\ + \ de protection des donn\xE9es \xE0 caract\xE8re personnel du pr\xE9sent r\xE9\ + f\xE9rentiel (voir partie 19.5). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1 + ref_id: 18.1.c + description: "Le prestataire doit documenter et mettre en \u0153uvre les proc\xE9\ + dures permettant de respecter les exigences l\xE9gales, r\xE9glementaires\ + \ et contractuelles en vigueur applicables au service, ainsi que les besoins\ + \ de s\xE9curit\xE9 sp\xE9cifiques (voir exigence 8.3b)). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1 + ref_id: 18.1.d + description: "Le prestataire doit, sur demande d\u2019un commanditaire, lui\ + \ rendre accessible l\u2019ensemble de ces proc\xE9dures. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1.e + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.1 + ref_id: 18.1.e + description: "Le prestataire doit documenter et mettre en \u0153uvre un processus\ + \ de veille actif des exigences l\xE9gales, r\xE9glementaires et contractuelles\ + \ en vigueur applicables au service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18 + ref_id: '18.2' + name: "Revue ind\xE9pendante de la s\xE9curit\xE9 de l\u2019information" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2 + ref_id: 18.2.1 + name: Revue continue + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.1.a + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.1 + ref_id: 18.2.1.a + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node513 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.1.a + description: "Le prestataire doit documenter et mettre en \u0153uvre un programme\ + \ d\u2019audit sur trois ans d\xE9finissant le p\xE9rim\xE8tre et la fr\xE9\ + quence des audits en accord avec la gestion du changement, les politiques,\ + \ et les r\xE9sultats de l\u2019appr\xE9ciation des risques. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node514 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.1.a + description: "Le prestataire doit inclure dans le programme d\u2019audit un\ + \ audit qualifi\xE9 par an r\xE9alis\xE9 par un prestataire d\u2019audit\ + \ de la s\xE9curit\xE9 des syst\xE8mes d\u2019information [PASSI] qualifi\xE9\ + . L\u2019ensemble du programme d\u2019audit doit notamment couvrir : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node515 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node514 + description: "l\u2019audit de la configuration de l\u2019infrastructure technique\ + \ du service. Cet audit est r\xE9alis\xE9 par \xE9chantillonnage et doit inclure\ + \ tous types d\u2019\xE9quipements et de serveurs pr\xE9sents dans le syst\xE8\ + me d\u2019information du service ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node516 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node514 + description: "le test d\u2019intrusion des interfaces d'administration expos\xE9\ + es sur un r\xE9seau public ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node517 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node514 + description: 'le test d''intrusion de l''interface utilisateur pour les services + SaaS ; ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node518 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node514 + description: "si le service b\xE9n\xE9ficie de d\xE9veloppements internes, l\u2019\ + audit de code source portant sur les fonctionnalit\xE9s de s\xE9curit\xE9\ + \ impl\xE9ment\xE9es (l'approche en continue doit \xEAtre privil\xE9gi\xE9\ + e). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.1.b + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.1 + ref_id: 18.2.1.b + description: "Il est recommand\xE9 que le prestataire mette en \u0153uvre des\ + \ m\xE9canismes automatis\xE9s d'audit de la configuration adapt\xE9s \xE0\ + \ l\u2019infrastructure technique du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2 + ref_id: 18.2.2 + name: Revue initiale + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.2.a + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.2 + ref_id: 18.2.2.a + description: "Pr\xE9alablement \xE0 l\u2019\xE9valuation pour qualification\ + \ du service, le prestataire doit faire r\xE9aliser une revue ind\xE9pendante\ + \ initiale de la s\xE9curit\xE9 de l\u2019information par un prestataire d\u2019\ + audit de la s\xE9curit\xE9 des syst\xE8mes d\u2019information [PASSI] qualifi\xE9\ + . Cette revue initiale doit notamment couvrir : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node522 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.2.a + description: "pour les services autres que IaaS (CaaS, PaaS, SaaS, etc.), un\ + \ audit de la configuration des ressources virtuelles ou physiques, des syst\xE8\ + mes d'exploitation et logiciels de base (OS, middlewares, bases de donn\xE9\ + es,...) dans le p\xE9rim\xE8tre du service ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node523 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.2.a + description: "un test d\u2019intrusion portant sur les interfaces d'administration\ + \ du service mises \xE0 disposition des commanditaires; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node524 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.2.a + description: "pour un service de type SaaS, un test d'intrusion portant sur\ + \ l'interface mise \xE0 disposition des utilisateurs finaux ainsi qu'un audit\ + \ du code source portant sur les fonctionnalit\xE9s de s\xE9curit\xE9 impl\xE9\ + ment\xE9es (authentification, gestion des sessions, gestion du cloisonnement\ + \ en cas de mode multi-tenant). Si le SaaS rend un service de s\xE9curit\xE9\ + \ de l'information, une certification7 produit d\xE9di\xE9e est n\xE9cessaire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2 + ref_id: 18.2.3 + name: Revue des changements majeurs + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.3.a + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.3 + ref_id: 18.2.3.a + description: "En cas de changement majeur pouvant affecter le service, le prestataire\ + \ doit faire r\xE9aliser une revue ind\xE9pendante de changement par un prestataire\ + \ d\u2019audit de la s\xE9curit\xE9 des syst\xE8mes d\u2019information [PASSI]\ + \ qualifi\xE9. Cette revue ind\xE9pendante de changement doit couvrir en particulier\ + \ les activit\xE9s d\u2019audit suivantes : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node527 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.3.a + description: "audit d\u2019architecture ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node528 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.3.a + description: 'audit organisationnel et physique ; ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node529 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.3.a + description: "audit de la configuration de l\u2019infrastructure technique du\ + \ service ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node530 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.3.a + description: "un test d\u2019intrusion portant sur les interfaces d'administration\ + \ du service mises \xE0 disposition des commanditaires; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node531 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.2.3.a + description: "pour un service de type SaaS, un test d'intrusion portant sur\ + \ l'interface mise \xE0 disposition des utilisateurs finaux dans le cadre\ + \ du catalogue de services, ainsi qu'un audit du code source portant sur les\ + \ fonctionnalit\xE9s de s\xE9curit\xE9 impl\xE9ment\xE9es (authentification,\ + \ gestion des sessions, gestion du cloisonnement en cas de mode multi-tenant).\ + \ Si le SaaS rend un service de s\xE9curit\xE9 de l'information, une certification\ + \ produit d\xE9di\xE9e est n\xE9cessaire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18 + ref_id: '18.3' + name: "Conformit\xE9 avec les politiques et les normes de s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.3 + ref_id: 18.3.a + description: "Le prestataire via le responsable de la s\xE9curit\xE9 de l\u2019\ + information doit s\u2019assurer r\xE9guli\xE8rement de l\u2019ex\xE9cution\ + \ correcte de l\u2019ensemble des proc\xE9dures de s\xE9curit\xE9 plac\xE9\ + es sous sa responsabilit\xE9 en vue de garantir leur conformit\xE9 avec les\ + \ politiques et normes de s\xE9curit\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18 + ref_id: '18.4' + name: "Examen de la conformit\xE9 technique" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.4.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:18.4 + ref_id: 18.4.a + description: "Le prestataire doit documenter et mettre en \u0153uvre une politique\ + \ permettant de v\xE9rifier la conformit\xE9 technique du service aux exigences\ + \ du pr\xE9sent r\xE9f\xE9rentiel. Cette politique doit d\xE9finir les objectifs,\ + \ m\xE9thodes, fr\xE9quences, r\xE9sultats attendus et mesures correctrices. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19 + assessable: false + depth: 1 + ref_id: '19' + name: "Exigences suppl\xE9mentaires" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19 + ref_id: '19.1' + name: Convention de service + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.a + description: "Le prestataire doit \xE9tablir une convention de service avec\ + \ chacun des commanditaires du service. Toute modification de la convention\ + \ de service doit \xEAtre soumise \xE0 acceptation du commanditaire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.b + description: 'Le prestataire doit identifier dans la convention de service : ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node540 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.b + description: "les obligations, droits et responsabilit\xE9s de chacune des parties\ + \ : prestataire et tiers impliqu\xE9s dans la fourniture du service, commanditaires,\ + \ etc. ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node541 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.b + description: "les \xE9l\xE9ments explicitement exclus des responsabilit\xE9\ + s du prestataire dans la limite de ce que pr\xE9voient les exigences l\xE9\ + gales et r\xE9glementaires en vigueur, notamment l\u2019article 28 du [RGPD]\ + \ ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node542 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.b + description: "la localisation du service. La localisation du support doit \xEA\ + tre pr\xE9cis\xE9e lorsqu\u2019il est r\xE9alis\xE9 depuis un \xC9tat hors\ + \ l\u2019Union Europ\xE9enne, comme le permet l\u2019exigence 19.2.e. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.c + description: "Le prestataire doit proposer une convention de service appliquant\ + \ le droit d\u2019un \xC9tat membre de l\u2019Union Europ\xE9enne. Le droit\ + \ applicable doit \xEAtre identifi\xE9 dans la convention de service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.d + description: "La convention de service doit indiquer que la collecte, la manipulation,\ + \ le stockage, et plus g\xE9n\xE9ralement le traitement des donn\xE9es faits\ + \ dans le cadre de l\u2019avant-vente, de la mise en \u0153uvre, de la maintenance\ + \ et l\u2019arr\xEAt du service sont r\xE9alis\xE9s conform\xE9ment aux exigences\ + \ \xE9dict\xE9es par la l\xE9gislation en vigueur. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.e + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.e + description: "La convention de service doit indiquer que le prestataire doit\ + \ mettre \xE0 la disposition du commanditaire, sur demande de celui-ci, les\ + \ \xE9l\xE9ments d\u2019appr\xE9ciation des risques li\xE9s \xE0 la soumission\ + \ des donn\xE9es du commanditaire au droit d\u2019un \xE9tat non-membre de\ + \ l\u2019Union Europ\xE9enne (voir 5.3.e). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.f + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.f + description: "Le prestataire doit d\xE9crire dans la convention de service les\ + \ moyens techniques et organisationnels qu\u2019il met en \u0153uvre pour\ + \ assurer le respect du droit applicable. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.g + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.g + description: "Le prestataire doit inclure dans la convention de service une\ + \ clause de r\xE9vision de la convention pr\xE9voyant notamment une r\xE9\ + siliation sans p\xE9nalit\xE9 pour le commanditaire en cas de perte de la\ + \ qualification octroy\xE9e au service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.h + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.h + description: "Le prestataire doit inclure dans la convention de service une\ + \ clause de r\xE9versibilit\xE9 permettant au commanditaire de r\xE9cup\xE9\ + rer l\u2019ensemble de ses donn\xE9es (fournies directement par le commanditaire\ + \ ou produites dans le cadre du service \xE0 partir des donn\xE9es ou des\ + \ actions du commanditaire). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.i + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.i + description: " Le prestataire doit assurer cette r\xE9versibilit\xE9 via l\u2019\ + une des modalit\xE9s techniques suivantes : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node550 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.i + description: "la mise \xE0 disposition de fichiers suivant un ou plusieurs formats\ + \ document\xE9s et exploitables en dehors du service fourni par le prestataire\ + \ ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node551 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.i + description: "la mise en place d\u2019interfaces techniques permettant l\u2019\ + acc\xE8s aux donn\xE9es suivant un sch\xE9ma document\xE9 et exploitable (API,\ + \ format pivot, etc.). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node552 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.i + description: "Les modalit\xE9s techniques de la r\xE9versibilit\xE9 figurent\ + \ dans la convention de service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.j + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.j + description: " Le prestataire doit indiquer dans la convention de service le\ + \ niveau de disponibilit\xE9 du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.k + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.k + description: "Le prestataire doit indiquer dans la convention de service qu\u2019\ + il ne peut disposer des donn\xE9es transmises et g\xE9n\xE9r\xE9es par le\ + \ commanditaire, leur disposition \xE9tant r\xE9serv\xE9e au commanditaire.\ + \ " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.l + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.l + description: "Le prestataire doit indiquer dans la convention de service qu\u2019\ + il ne divulgue aucune information relative \xE0 la prestation \xE0 des tiers,\ + \ sauf autorisation formelle et \xE9crite du commanditaire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.m + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.m + description: "Le prestataire doit indiquer dans la convention de service si\ + \ les donn\xE9es du commanditaire sont automatiquement sauvegard\xE9es ou\ + \ non. Dans la n\xE9gative, le prestataire doit sensibiliser le commanditaire\ + \ aux risques encourus et clairement indiquer les op\xE9rations \xE0 mener\ + \ par le commanditaire pour que ses donn\xE9es soient sauvegard\xE9es. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.n + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.n + description: "Le prestataire doit indiquer dans la convention de service s\u2019\ + il autorise l\u2019acc\xE8s distant pour des actions d\u2019administration\ + \ ou de support au syst\xE8me d\u2019information du service. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.o + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.o + description: "Le prestataire doit pr\xE9ciser dans la convention de service\ + \ que : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node559 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.o + description: "le service est qualifi\xE9 et inclure l\u2019attestation de qualification\ + \ ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node560 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.o + description: "le commanditaire peut d\xE9poser une r\xE9clamation relative au\ + \ service qualifi\xE9 aupr\xE8s de l\u2019ANSSI ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node561 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.o + description: "le commanditaire autorise l\u2019ANSSI et l\u2019organisme de\ + \ qualification \xE0 auditer le service et son syst\xE8me d\u2019information\ + \ du service afin de v\xE9rifier qu\u2019ils respectent les exigences du pr\xE9\ + sent r\xE9f\xE9rentiel. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.p + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.p + description: "Le prestataire doit pr\xE9ciser dans la convention de service\ + \ que le commanditaire autorise, conform\xE9ment au pr\xE9sent r\xE9f\xE9\ + rentiel (voir chapitre 18.2, un prestataire d\u2019audit de la s\xE9curit\xE9\ + \ des syst\xE8mes d\u2019information [PASSI] qualifi\xE9 mandat\xE9 par le\ + \ prestataire \xE0 auditer le service et son syst\xE8me d\u2019information\ + \ dans le cadre du plan de contr\xF4le. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.q + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.q + description: "Le prestataire doit pr\xE9ciser dans la convention de service\ + \ qu\u2019il s\u2019engage \xE0 mettre \xE0 disposition toutes les informations\ + \ n\xE9cessaires \xE0 la r\xE9alisation d\u2019audits de conformit\xE9 aux\ + \ dispositions de l\u2019article 28 du [RGPD], men\xE9s par le commanditaire\ + \ ou un tiers mandat\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1.r + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.1 + ref_id: 19.1.r + description: "Il est recommand\xE9 que le tiers mandat\xE9 pour les audits soit\ + \ un prestataire d\u2019audit de la s\xE9curit\xE9 des syst\xE8mes d\u2019\ + information [PASSI] qualifi\xE9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19 + ref_id: '19.2' + name: "Localisation des donn\xE9es" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.2.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.2 + ref_id: 19.2.a + description: "Le prestataire doit documenter et communiquer au commanditaire\ + \ la localisation du stockage et du traitement des donn\xE9es de ce dernier. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.2.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.2 + ref_id: 19.2.b + description: "Le prestataire doit stocker et traiter les donn\xE9es du commanditaire\ + \ au sein de l\u2019Union Europ\xE9enne. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.2.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.2 + ref_id: 19.2.c + description: "Les op\xE9rations d\u2019administration et de supervision du service\ + \ doivent \xEAtre r\xE9alis\xE9es depuis l\u2019Union Europ\xE9enne. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.2.d + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.2 + ref_id: 19.2.d + description: "Le prestataire doit stocker et traiter les donn\xE9es techniques\ + \ (identit\xE9s des b\xE9n\xE9ficiaires et des administrateurs de l\u2019\ + infrastructure technique, donn\xE9es manipul\xE9es par le Software Defined\ + \ Network, journaux de l\u2019infrastructure technique, annuaire, certificats,\ + \ configuration des acc\xE8s, etc.) au sein de l\u2019Union Europ\xE9enne. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.2.e + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.2 + ref_id: 19.2.e + description: "Le prestataire peut r\xE9aliser des op\xE9rations de support aux\ + \ commanditaires depuis un \xC9tat hors de l\u2019Union Europ\xE9enne. Il\ + \ doit documenter la liste des op\xE9rations qui peuvent \xEAtre effectu\xE9\ + es par le support au commanditaire depuis un \xC9tat hors de l\u2019Union\ + \ Europ\xE9enne, et les m\xE9canismes permettant d\u2019en assurer le contr\xF4\ + le d\u2019acc\xE8s et la supervision depuis l\u2019Union Europ\xE9enne. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19 + ref_id: '19.3' + name: "R\xE9gionalisation" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.3.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.3 + ref_id: 19.3.a + description: "Le prestataire doit s\u2019assurer que les interfaces du service\ + \ accessibles au commanditaire soient au moins disponibles en langue fran\xE7\ + aise. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.3.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.3 + ref_id: 19.3.b + description: "Le prestataire doit fournir un support de premier niveau en langue\ + \ fran\xE7aise. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19 + ref_id: '19.4' + name: Fin de contrat + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.4.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.4 + ref_id: 19.4.a + description: "\xC0 la fin du contrat liant le prestataire et le commanditaire,\ + \ que le contrat soit arriv\xE9 \xE0 son terme ou pour toute autre cause,\ + \ le prestataire doit assurer un effacement s\xE9curis\xE9 de l\u2019int\xE9\ + gralit\xE9 des donn\xE9es du commanditaire. Cet effacement doit faire l\u2019\ + objet d\u2019un pr\xE9avis formel au commanditaire de la part du prestataire\ + \ respectant un d\xE9lai de vingt et un jours calendaires. L\u2019effacement\ + \ peut \xEAtre r\xE9alis\xE9 suivant l\u2019une des m\xE9thodes suivantes,\ + \ et ce dans un d\xE9lai pr\xE9cis\xE9 dans la convention de service : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node576 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.4.a + description: "effacement par r\xE9\xE9criture compl\xE8te de tout support ayant\ + \ h\xE9berg\xE9 ces donn\xE9es ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node577 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.4.a + description: "effacement des cl\xE9s utilis\xE9es pour le chiffrement des espaces\ + \ de stockage du commanditaire d\xE9crit au chapitre 10.1 ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node578 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.4.a + description: "recyclage s\xE9curis\xE9, dans les conditions \xE9nonc\xE9es au\ + \ chapitre 11.9. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.4.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.4 + ref_id: 19.4.b + description: "\xC0 la fin du contrat, le prestataire doit supprimer les donn\xE9\ + es techniques relatives au commanditaire (annuaire, certificats, configuration\ + \ des acc\xE8s, etc.). " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19 + ref_id: '19.5' + name: "Protection des donn\xE9es \xE0 caract\xE8re personnel" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5 + ref_id: 19.5.a + description: "Le prestataire doit justifier du respect des principes de protection\ + \ des donn\xE9es pour les traitements de donn\xE9es \xE0 caract\xE8re personnel\ + \ mis en \u0153uvre pour son propre compte. Il doit justifier au minimum les\ + \ points suivants : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node582 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5.a + description: "les finalit\xE9s des traitements d\xE9termin\xE9es, explicites\ + \ et l\xE9gitimes ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node583 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5.a + description: "la tra\xE7abilit\xE9 des activit\xE9s de traitement pour son compte\ + \ et celui de son commanditaire ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node584 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5.a + description: 'le fondement licite des traitements ; ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node585 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5.a + description: "l\u2019interdiction du d\xE9tournement de finalit\xE9 des traitements\ + \ ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node586 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5.a + description: "les donn\xE9es utilis\xE9es respectent le principe du minimum\ + \ n\xE9cessaire et suffisant pour les traitements ; ainsi sont ad\xE9quates,\ + \ pertinentes et limit\xE9es ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node587 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5.a + description: "la qualit\xE9 des donn\xE9es utilis\xE9es pour les traitements\ + \ maintenue : donn\xE9es exactes et tenues \xE0 jour ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node588 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5.a + description: "les dur\xE9es de conservation d\xE9finies et limit\xE9es. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5.b + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5 + ref_id: 19.5.b + description: "Le prestataire doit justifier, pour les traitements de donn\xE9\ + es \xE0 caract\xE8re personnel mis en \u0153uvre pour son propre compte, du\ + \ respect des droits des personnes concern\xE9es. Il doit justifier au minimum\ + \ les points suivants : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node590 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5.b + description: "l\u2019information des usagers via un traitement loyal et transparent\ + \ ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node591 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5.b + description: "le recueil du consentement des usagers : expr\xE8s, d\xE9montrable\ + \ et retirable ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node592 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5.b + description: "la possibilit\xE9 pour les usagers d\u2019exercer les droits d\u2019\ + acc\xE8s, de rectification et d\u2019effacement ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node593 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5.b + description: "la possibilit\xE9 pour les usagers d\u2019exercer les droits de\ + \ limitation du traitement, de portabilit\xE9 et d\u2019opposition. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5.c + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.5 + ref_id: 19.5.c + description: "Lorsqu\u2019il agit en qualit\xE9 de sous-traitant au sens de\ + \ l\u2019article 28 de [RGPD], le prestataire doit apporter assistance et\ + \ conseil au commanditaire en l\u2019informant si une instruction de ce dernier\ + \ constitue une violation des r\xE8gles de protection des donn\xE9es. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19 + ref_id: '19.6' + name: "Protection vis-\xE0-vis du droit extra-europ\xE9en" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6.a + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6 + ref_id: 19.6.a + description: "Le si\xE8ge statutaire, administration centrale et principal \xE9\ + tablissement du prestataire doivent \xEAtre \xE9tablis au sein d'un \xC9tat\ + \ membre de l'Union Europ\xE9enne. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6.b + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6 + ref_id: 19.6.b + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node598 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6.b + description: "Le capital social et les droits de vote dans la soci\xE9t\xE9\ + \ du prestataire ne doivent pas \xEAtre, directement ou indirectement : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node599 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node598 + description: "individuellement d\xE9tenus \xE0 plus de 24% ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node600 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node598 + description: "et collectivement d\xE9tenus \xE0 plus de 39% ; par des entit\xE9\ + s tierces poss\xE9dant leur si\xE8ge statutaire, administration centrale ou\ + \ principal \xE9tablissement au sein d\u2019un \xC9tat non membre de l\u2019\ + Union europ\xE9enne. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node601 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6.b + description: "Si le capital d\xE9tenu par ces entit\xE9s tierces se pr\xE9sente\ + \ sous la forme d\u2019actions admises aux n\xE9gociations sur un march\xE9\ + \ r\xE9glement\xE9, ces susdites entit\xE9s tierces sont celles d\xE9clar\xE9\ + es conform\xE9ment au I de l\u2019article L.233-7 du code de commerce. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node602 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6.b + description: "Ces entit\xE9s tierces susmentionn\xE9es ne peuvent pas individuellement\ + \ ou collectivement : " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node603 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node602 + description: "en vertu d\u2019un contrat ou de clauses statutaires, disposer\ + \ d\u2019un droit de v\xE9to ; " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node604 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node602 + description: "en vertu d\u2019un contrat ou de clauses statutaires, d\xE9signer\ + \ la majorit\xE9 des membres des organes d\u2019administration, de direction\ + \ ou de surveillance du prestataire. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6.c + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6 + ref_id: 19.6.c + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node606 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6.c + description: "En cas de recours par le prestataire, dans le cadre des services\ + \ fournis au commanditaire, aux services d\u2019une soci\xE9t\xE9 tierce -\ + \ y compris un sous-traitant - poss\xE9dant son si\xE8ge statutaire, administration\ + \ centrale ou principal \xE9tablissement au sein d'un \xC9tat non membre de\ + \ l'Union Europ\xE9enne ou appartenant ou \xE9tant contr\xF4l\xE9e par une\ + \ soci\xE9t\xE9 tierce domicili\xE9e en dehors l'Union Europ\xE9enne, cette\ + \ susdite soci\xE9t\xE9 tierce ne doit pas avoir la possibilit\xE9 technique\ + \ d\u2019obtenir les donn\xE9es op\xE9r\xE9es au travers du service. Ces donn\xE9\ + es vis\xE9es sont celles qui sont confi\xE9es au prestataire par les commanditaires\ + \ ainsi que toutes donn\xE9es techniques (identit\xE9s des b\xE9n\xE9ficiaires\ + \ et des administrateurs de l\u2019infrastructure technique, donn\xE9es manipul\xE9\ + es par le Software Defined Network, journaux de l\u2019infrastructure technique,\ + \ annuaire, certificats, configuration des acc\xE8s, etc.) comprenant des\ + \ informations sur les commanditaires. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node607 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6.c + description: "Pour les besoins du pr\xE9sent article, la notion de contr\xF4\ + le est entendue comme \xE9tant celle mentionn\xE9e au II de l\u2019article\ + \ L233-3 du code de commerce. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6.d + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6 + ref_id: 19.6.d + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node609 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6.d + description: "Dans le cadre de l\u2019exigence 19.6.c, toute soci\xE9t\xE9 tierce\ + \ \xE0 laquelle le prestataire recourt pour fournir tout ou partie du service\ + \ rendu au commanditaire, doit garantir au prestataire une autonomie d\u2019\ + exploitation continue dans la fourniture des services d\u2019informatique\ + \ en nuage qu\u2019il op\xE8re ou doit \xEAtre qualifi\xE9 SecNumCloud. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node610 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6.d + description: "Pour les besoins du pr\xE9sent article, la notion d\u2019autonomie\ + \ d\u2019exploitation est entendue comme \xE9tant la capacit\xE9 de maintenir\ + \ la fourniture du service d\u2019informatique en nuage en faisant appel aux\ + \ comp\xE9tences propres du prestataire ou en recourant \xE0 des prestations\ + \ disponibles aupr\xE8s d\u2019au moins deux soci\xE9t\xE9s tierces. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6.e + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6 + ref_id: 19.6.e + description: "Le service fourni par le prestataire doit respecter la l\xE9gislation\ + \ en vigueur en mati\xE8re de droits fondamentaux et les valeurs de l\u2019\ + Union relatives au respect de la dignit\xE9 humaine, \xE0 la libert\xE9, \xE0\ + \ l\u2019\xE9galit\xE9, \xE0 la d\xE9mocratie et \xE0 l\u2019\xC9tat de droit.\ + \ Il peut \xEAtre pris en consid\xE9ration pour l\u2019appr\xE9ciation de\ + \ la conformit\xE9 susmentionn\xE9e, le fait que le prestataire entretienne\ + \ des liens avec un gouvernement ou un organisme public \xE9trangers. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6.f + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:19.6 + ref_id: 19.6.f + description: "Le prestataire doit informer formellement le commanditaire, et\ + \ dans un d\xE9lai d\u2019un mois, de tout changement juridique, organisationnel\ + \ ou technique pouvant avoir un impact sur la conformit\xE9 de la prestation\ + \ aux exigences du chapitre 19.6. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-1 + assessable: false + depth: 1 + ref_id: Annexe 1 + name: "R\xE9f\xE9rences documentaires " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.i + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-1 + ref_id: A1.I + name: "Codes, textes l\xE9gislatifs et r\xE9glementaires " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node615 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.i + name: '[LOI_IL]' + description: "Loi du 6 janvier 1978 relative \xE0 l'informatique, aux fichiers\ + \ et aux libert\xE9s. Disponible sur http://www.legifrance.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node616 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.i + name: '[RGPD]' + description: "R\xE8glement (UE) 2016/679 du parlement europ\xE9en et du conseil\ + \ du 27 avril 2016 relatif \xE0 la protection des personnes physiques \xE0\ + \ l\u2019\xE9gard du traitement des donn\xE9es \xE0 caract\xE8re personnel\ + \ et \xE0 la libre circulation de ces donn\xE9es. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node617 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.i + description: 'Disponible sur https://eur-lex.europa.eu ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node618 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.i + name: '[CP_ART_314-1]' + description: "Article 334-1 du Code p\xE9nal relatif \xE0 l\u2019abus de confiance.\ + \ Disponible sur http://www.legifrance.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node619 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.i + name: '[CP_ART_226-1]' + description: "Article 226-1 du Code p\xE9nal relatif \xE0 l\u2019atteinte \xE0\ + \ la vie priv\xE9e. Disponible sur http://www.legifrance.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node620 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.i + name: '[CP_ART_226-13]' + description: "Article 226-13 du Code p\xE9nal relatif au secret professionnel.\ + \ Disponible sur http://www.legifrance.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node621 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.i + name: '[CP_ART_226-15]' + description: "Article 226-15 du Code p\xE9nal relatif au secret des correspondances.\ + \ Disponible sur http://www.legifrance.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node622 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.i + name: '[CP_ART_323-1]' + description: "Article 323-1 du Code p\xE9nal relatif \xE0 l\u2019acc\xE8s ou\ + \ au maintien frauduleux dans un syst\xE8me de traitement automatis\xE9 de\ + \ donn\xE9es. Disponible sur http://www.legifrance.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node623 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.i + name: '[IGI_1300]' + description: "Instruction g\xE9n\xE9rale interminist\xE9rielle n\xB0 1300/SGDSN/PSE/PSD\ + \ du 9 ao\xFBt 2021 sur la protection du secret de la d\xE9fense nationale. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node624 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.i + description: 'Disponible sur http://www.legifrance.gouv.fr ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node625 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.i + name: '[II_910]' + description: "Instruction interminist\xE9rielle relative aux articles contr\xF4\ + l\xE9s de la s\xE9curit\xE9 des syst\xE8mes d\u2019information (ACSSI), n\xB0\ + 910/SGDSN/ANSSI, 22 octobre 2013." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node626 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.i + description: 'Disponible sur http://www.legifrance.gouv.fr ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node627 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.i + name: '[PSSIE]' + description: "Politique de s\xE9curit\xE9 des syst\xE8mes d\u2019information\ + \ de l\u2019\xC9tat (PSSIE), port\xE9e par la circulaire du Premier ministre\ + \ n\xB05725/SG du 17 juillet 2014. Disponible sur http://www.legifrance.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-1 + ref_id: A1.II + name: 'Normes et documents techniques ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node629 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[AUTHENTIFICATION]' + description: "Recommandations relatives \xE0 l\u2019authentification multifacteur\ + \ et aux mots de passe, Guide ANSSI n\xB0 ANSSI-PG-078 du 08 f\xE9vrier 2021,\ + \ ANSSI." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node630 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[CRYPTO_B1]' + description: "R\xE8gles et recommandations concernant le choix et le dimensionnement\ + \ des m\xE9canismes cryptographiques, ANSSI, version en vigueur. Disponible\ + \ sur http://www.ssi.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node631 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[CRYPTO_B2]' + description: "R\xE8gles et recommandations concernant la gestion des cl\xE9\ + s utilis\xE9es dans des m\xE9canismes cryptographiques, ANSSI, version en\ + \ vigueur." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node632 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[HOMOLOGATION]' + description: "L\u2019homologation de s\xE9curit\xE9 en neuf \xE9tapes simples,\ + \ ANSSI, version en vigueur." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node633 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[HYGIENE]' + description: "Guide d\u2019Hygi\xE8ne Informatique, ANSSI, version en vigueur.\ + \ Disponible sur http://www.ssi.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node634 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[INTERNET]' + description: "Recommandations relatives \xE0 l\u2019interconnexion d\u2019un\ + \ syst\xE8me d\u2019information \xE0 Internet, Guide ANSSI n\xB0 ANSSI-PA-066\ + \ du 19 juin 2020, ANSSI." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node635 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[NT_IPSEC]' + description: "Recommandations de s\xE9curit\xE9 relatives \xE0 IPsec, note technique\ + \ n\xB0 DAT-NT003/ANSSI/SDE/NP du 3 ao\xFBt 2015, ANSSI. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node636 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[NT_TLS]' + description: "Recommandations de s\xE9curit\xE9 relatives \xE0 TLS, note technique\ + \ n\xB0 SDE-NT-35/ANSSI/SDE/NP du 19 ao\xFBt 2016, ANSSI." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node637 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[NT_SSH]' + description: "Recommandations pour un usage s\xE9curis\xE9 d\u2019(Open)SSH,\ + \ note technique n\xB0 DAT-NT-007/ANSSI/SDE/NP du 17 ao\xFBt 2015, ANSSI.\ + \ Disponible sur http://www.ssi.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node638 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[NT_JOURNAL]' + description: "Recommandations de s\xE9curit\xE9 pour la mise en \u0153uvre d\u2019\ + un syst\xE8me de journalisation, note technique n\xB0 DAT-NT-012/ANSSI/SDE/NP\ + \ du 2 d\xE9cembre 2013, ANSSI. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node639 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[NT_ADMIN]' + description: "Recommandations relatives \xE0 l\u2019administration s\xE9curis\xE9\ + e des syst\xE8mes d\u2019information, Guide ANSSI n\xB0 ANSSI-PA-022 du 11\ + \ mai 2021, ANSSI Disponible sur http://www.ssi.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node640 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[G_AUTH]' + description: "Recommandations relatives \xE0 l\u2019authentification multifacteur\ + \ et aux mots de" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node641 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + description: "passe, Guide ANSSI n\xB0 ANSSI-PG-078 du 8 octobre 2021, ANSSI\ + \ Disponible sur http://www.ssi.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node642 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[G_CVAP]' + description: "Recommandations sur la s\xE9curisation des syst\xE8mes de contr\xF4\ + le d\u2019acc\xE8s physique et de vid\xE9oprotection, Guide ANSSI n\xB0 ANSSI-PA-72\ + \ du 04 mars 2020, ANSSI" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node643 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[G_EXT]' + description: "Guide de l\u2019externalisation, Guide ANSSI du 03 d\xE9cembre\ + \ 2010, ANSSI Disponible sur http://www.ssi.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node644 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[G_INT]' + description: "Recommandations relatives \xE0 l\u2019interconnexion d\u2019un\ + \ syst\xE8me d\u2019information sur Internet, Guide ANSSI n\xB0ANSSI-PA-066\ + \ du 16 juin 2020, ANSSI Disponible sur http://www.ssi.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node645 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[PASSI]' + description: "R\xE9f\xE9rentiel d\u2019exigences applicables \xE0 un prestataire\ + \ d\u2019audit de la s\xE9curit\xE9 des syst\xE8mes d\u2019information, ANSSI,\ + \ version en vigueur Disponible sur http://www.ssi.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node646 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[PDIS]' + description: "R\xE9f\xE9rentiel d\u2019exigences applicables \xE0 un prestataire\ + \ de d\xE9tection des incidents de s\xE9curit\xE9, ANSSI, version en vigueur\ + \ Disponible sur http://www.ssi.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node647 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[PRIS]' + description: "R\xE9f\xE9rentiel d\u2019exigences applicables \xE0 un prestataire\ + \ de r\xE9ponse aux incidents de s\xE9curit\xE9, ANSSI, version en vigueur\ + \ Disponible sur http://www.ssi.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node648 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.ii + name: '[ISO27001]' + description: "Norme internationale ISO/IEC 27001:2013 : Technologies de l'information\ + \ \u2013 Techniques de s\xE9curit\xE9 \u2013 Syst\xE8mes de management de\ + \ la s\xE9curit\xE9 de l'information \u2013 Exigences." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.iii + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-1 + ref_id: A1.III + name: "Autres r\xE9f\xE9rences documentaires " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node650 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.iii + name: '[PROCESS_QUALIF]' + description: "Processus de qualification d\u2019un service, version en vigueur.\ + \ Disponible sur http://www.ssi.gouv.fr " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node651 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.iii + name: '[GUIDE_ACHAT]' + description: "Guide d\u2019achat de produits de s\xE9curit\xE9 et de services\ + \ de confiance qualifi\xE9s, version en vigueur." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node652 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:a1.iii + name: '[GUIDE_CNIL]' + description: "Recommandations pour les entreprises qui envisagent de souscrire\ + \ \xE0 des services de cloud computing. " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-2 + assessable: false + depth: 1 + ref_id: Annexe 2 + name: 'Recommandations aux commanditaires ' + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node654 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-2 + description: "Cette annexe liste les recommandations de l\u2019ANSSI aux commanditaires\ + \ de prestations d\u2019informatique en nuage." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node655 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-2 + description: "a)\_\_\_\_ Le commanditaire peut, lorsqu\u2019il est une autorit\xE9\ + \ administrative ou un op\xE9rateur d\u2019importance vitale, demander \xE0\ + \ l\u2019ANSSI de participer \xE0 la d\xE9finition du cahier des charges faisant\ + \ l\u2019objet d\u2019un appel d\u2019offres ou d\u2019un contrat." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node656 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-2 + description: "b)\_\_\_ Il est recommand\xE9 que le commanditaire choisisse son\ + \ prestataire dans le catalogue des prestataires qualifi\xE9s publi\xE9 sur\ + \ le site de l\u2019ANSSI, la qualification d\u2019un prestataire d\u2019\ + informatique en nuage attestant de sa conformit\xE9 \xE0 l\u2019ensemble des\ + \ exigences du pr\xE9sent r\xE9f\xE9rentiel." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node657 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-2 + description: "c)\_\_\_\_ Pour b\xE9n\xE9ficier d\u2019une prestation qualifi\xE9\ + e, c\u2019est-\xE0-dire conforme \xE0 l\u2019ensemble des exigences du pr\xE9\ + sent r\xE9f\xE9rentiel, le commanditaire doit :" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node658 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node657 + description: "-\_\_\_\_\_\_\_ choisir le prestataire dans le catalogue des prestataires\ + \ qualifi\xE9s publi\xE9 sur le site de l\u2019ANSSI ;" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node659 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node657 + description: "-\_\_\_\_\_\_\_ exiger du prestataire de stipuler dans la convention\ + \ de service que la prestation r\xE9alis\xE9e est une prestation qualifi\xE9\ + e." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node660 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-2 + description: "En effet, un prestataire qualifi\xE9 garde la facult\xE9 de r\xE9\ + aliser des prestations non qualifi\xE9es. Le recours \xE0 un prestataire issu\ + \ du catalogue des prestataires qualifi\xE9s est donc une condition n\xE9\ + cessaire mais pas suffisante pour b\xE9n\xE9ficier d\u2019une prestation qualifi\xE9\ + e, le commanditaire doit donc \xE9galement exiger une prestation qualifi\xE9\ + e." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node661 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-2 + description: "d)\_\_\_ Il est recommand\xE9 que le commanditaire utilise le\ + \ guide d\u2019achat des produits de s\xE9curit\xE9 et des services de confiance\ + \ [GUIDE_ACHAT] qui a pour vocation \xE0 accompagner la fonction achat des\ + \ commanditaires lors des appels d\u2019offres." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node662 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-2 + description: "e)\_\_\_\_ Le commanditaire peut, conform\xE9ment au processus\ + \ de qualification des prestataires de service de confiance [PROCESS_QUALIF],\ + \ d\xE9poser aupr\xE8s de l\u2019ANSSI une r\xE9clamation contre un prestataire\ + \ qualifi\xE9 pour lequel il estime que ce dernier n\u2019a pas respect\xE9\ + \ une ou plusieurs exigences du pr\xE9sent r\xE9f\xE9rentiel dans le cadre\ + \ d\u2019une prestation qualifi\xE9e." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node663 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-2 + description: "S\u2019il s\u2019av\xE8re apr\xE8s instruction de la r\xE9clamation\ + \ que le prestataire n\u2019a pas respect\xE9 une ou plusieurs exigences du\ + \ pr\xE9sent r\xE9f\xE9rentiel dans le cadre d\u2019une prestation qualifi\xE9\ + e, et selon la gravit\xE9, la qualification du prestataire peut \xEAtre suspendue,\ + \ retir\xE9e ou sa port\xE9e de qualification r\xE9duite." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node664 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-2 + description: "f)\_\_\_\_\_ La qualification d\u2019un prestataire n\u2019atteste\ + \ pas de sa capacit\xE9 \xE0 acc\xE9der ou \xE0 d\xE9tenir des informations\ + \ classifi\xE9es de d\xE9fense [IGI_1300]" + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node665 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-2 + description: "g)\_\_\_\_ La qualification d\u2019un prestataire n\u2019atteste\ + \ pas de sa capacit\xE9 \xE0 acc\xE9der ou \xE0 d\xE9tenir des articles contr\xF4\ + l\xE9s de la s\xE9curit\xE9 des syst\xE8mes d\u2019information (ACSSI) [II_910]." + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node666 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-2 + description: "h)\_\_\_ La conformit\xE9 du service du prestataire au r\xE9f\xE9\ + rentiel SecNumCloud ne se substitue pas aux exigences l\xE9gales ou r\xE9\ + glementaires applicables \xE0 certaines donn\xE9es sp\xE9cifiques telles que\ + \ les donn\xE9es de niveau Diffusion Restreinte ou les donn\xE9es de sant\xE9\ + . " + - urn: urn:intuitem:risk:req_node:secnumcloud-3.2:node667 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:secnumcloud-3.2:annexe-2 + description: "i)\_\_\_\_\_ Pour l\u2019acc\xE8s aux interfaces de gestion du\ + \ service, il est recommand\xE9 que le commanditaire utilise des moyens (terminaux,\ + \ serveurs) d\xE9di\xE9s aux t\xE2ches d\u2019administration et conformes\ + \ aux recommandations du guide [NT_ADMIN]." diff --git a/tools/anssi/secnumcloud-3.2.xlsx b/tools/anssi/secnumcloud-3.2.xlsx new file mode 100644 index 0000000000000000000000000000000000000000..fd47582772274fb464399af52c2a52f31be0bfa7 GIT binary patch literal 62710 zcmeFXQUm;t429lb_)v z>j6;?=bxADJ0Sfq&A6yVWKeF3hblru4fcWAchcY2$PZT8Qw3C@S-?5Yo^4Hzas3Ok zG+`OAcn73uXiVg+e!57)^%acaH~Us9Q7A#IC`F_x)ntDi$KBvS%}Ow;Wcsj25E>Tq zx8FDQQ(q^F!$pNy72`7+a?nrc&E)$;lf1T3lm%j!im zBSkS=PkHxp0~AV%eGTGXyd>U)WBU0V5O%rZ&OLl65~ktwdu?PJRPCZ8xYbQF||IGhCl>Zl#_`htuDnUkWkRB%F zR{Se;>~(oN4na`LO+dVpK-tGnVhg@Gx{w%qyO#_HK^ZF$Sj@NE=WAkfn>+eqjNs*f zxhfI~g^Q@gtvV$2!@&idlGHIp)S+sB2+?)OwxngwL6xwvaKv%YJ8VSbn#xe z9$}VN4GR*v7$*dcC*5CjL`GxB@T~@LSy1V^I;5_ZE$6j7x~+ZMmB3qk&qebjd50NlqB!j zSF?%velpu*hz)YEa_nwAAQG=^=bumg?~q8Aml%BfI}tHp001li2taphy8q$C&Cb!v z(9X{4KOXk~G6VR}$o~E1|L)P1Fl{+R4-<47+!Hw8?U3*zKf(EzBDlL{6P&&tDOASV zsGQH^Gb8DSwXP_2u8^4dkzva8ljG?Cm&j#@g1i9-q+=sw5rc#XG1hWX_2T! ztWIz?uw6PKqiq;J#Iu<%V*dLXy;zcD(tJ@L8iD+mbe5aRXN32&shsLETw+*+sb!p^ zg=XcbU~hVG?T2$RE8m7fCNn^_z`*D;o#J!x{kAu|I@n7a;@%vPzi`C0{Fzcv{FtP& zoD-F5#m|JoScXOV7+8^N+&o`$#94;`{SaX}iR}fAAYoKL>^R}nn)0E=GPTMQjOI?h=^U;`UT9UHP2;RiCL|C-4E zT&FDKRFS-XsT3f(rD*q9j-K#H29ovG${r^nmiX_1Dg0}d@tc6^{vRqYP@=cgc?j{! zMM;q1Pkha~)02%;Gb!Er&T40x4o&a;=JoQ47Rm}|P5bGHdLF-W^+q=61|1Tb+CIrT zv9RcwSI3?d)&7*G>L-|>t-)9u^v*vcBgjFBY8m4pmaK@;V7NCAA1c!>Yl(_}1J&3s za+4&1BS78)HS`PI1<)=sE*8xVSes{+0Y`|5+_mPNd2=2}&(-;Jx!S(A=;Wu8?8+3j z9qQQSt2Rc)HNj;l1+Zyz{we35Bk%B*CG8Z50a!MVYdyYtbmC&7-G;TzO?%&lo{*ic zQn~u@0u;kF!*o-m9*?A{i0QrV0x3hrdmKOb(zpj7L}Vj{{!Gq|aUkiD$b8>m<74y_ zpf)b;iJ|^~HhInWv(F=JJ)!#*CL`6b=-gjV(@x!l>^@DASi$#k&8(g&iJ6*NU%M!V zIwsHBec}1VRyvrr9tBg4Hlag)e6E=e;YsRT>hT5$r&)XrnL7M9F+OVc*<19&u%*Ak z+3XqZ0&sUlOG+<_)+FIskll)niozH`sEYK9!{WX+Y_ z^w^A#fh3}ftP+RjE=xD(%>ujK_HADq&xHoY9KcdZ2MXQ=uEz{`DX~1Cb03z}mMAZR zs!ToE$X0IVz#8j46zHF1G|al~|FVb6i909c1P$>Bfsf&LwJHEohMus-$|?y3Y{wgn zvwkR^-#~f~%UF2hz~7Cz*9rJwH7=PyZQ9@8Dq zcuK|N_6jZg%uv|2;f}jGiN|c*zVLBq*IBc<%S0ybNY4;<)%%^gM{B5Ei=SEFj*m&C zQ){dw@}^r{|KjCZ;pmYpxxfFppO*Q0rT(sj_xDksyAH{$Po%goar~kCNB{rsEVc{o z=AZxKgE1-q0PO$72PbC_YZIscILeZ`mfZn6ijSVfZ{YDOb1D)Vf`PImQ8cqwbxT!K zEh+mFSC4Rv#bDG+?`=IYez!Ch%zH$1VmQjTNZR$D=Y7w^*X!0G2 znkE9UQup1Ypb{h9H9`M3IYdVfzVrc>0e*uHKghgZYH%ur0>Yqa6jP(4I!3tlod-cO zDHB|kszIo68B`~yV6rZHD5CH|j(i3b$q7oSkd{1?Ynx0OiA%QANg`I7M;>S?naUgn35YGR{*(|)A} z)}^&gYt6wx*Zq?eGg_v{iFwfK+@C20s&oUo%jYG&xSHIQ0tf0%UU7 zhC~fmyfbsFo1U$&w#vqb_!Lk3*J{OkVzcJ+9d8VReN&1J-k~<#A`Q}?gJHaa2XKGm z)qQ~7vVT~E+*)p)6{pH%x4En?1v)>JGLL3Nw_=YzGh3Vt?YO7zWv90ji9Pi5y2yIP zBCe4^XY1`sbMfqNki2V!JES)1dTHvYRx|2$J1R6;WL&nV}DEhM0 zHi4#>pGQ~=wa;7ffm}ASPK?K=ogW$cH}7wqXHtM}LQGfju4FO6}!U86JwP@;ru?%Yh z!6k^VU?kyen6@D{>3th@r0lH}8*eYz^gE~j@?C(TJ7BngPpr7ooQ}nAMePM2`{kd~S(!TfYrrvA%Jy>O zxu2|aBrcH@qB~>Huh>b20tj`wB;^leF)!u6<4GO?X6^^peiX}~PbBjj#_cGYu^$o9 z{llMN=tjr1bj$N|(mguL7VGqySecd&O-Ot!u?l_j_J?phYSyCR%2ST?P;yg9ao;!w zQ%-zU3;EpJ@%AwG<^UKqJ`F!k?g;S4GhXprpqbK)KI#}ZCjrDq%O24PwAD}}8`=xf z(?}K8yH_KcL54eN4`Yc}llm+wFI@F}dy^cGp-m=f37Cm=rpeM!0^{n7dk&&K1(iy`vR(0yp*rPT{^k40Y~@a;)-ZTGg3@1ODMzEn)X8I@$H%!Tij>9cq91bW z)xc^WV0}w;Hp|Q3YF^;JMoeytk>V;QbLMZ?G$X0JtA+f|MJP+wo}%8CL5?%#PlN3R zJO1>aj~k{Ku0n&s0c`mYyQ{swK5Ms2)LnokZzpg)ycf*_@xg3)Ve>~`=-bxKo6|Vm z!PM+r&I4T2CA(NBcR--?bz?EVu4{ zCwZz{22<$%yjQB}`943;`M&+&>2Wr_g5;#^BV!?l%Z`zFP8qrL8$o6ArAK5+NE1ra zK;rn@hF-)+Q16XnF`?JUStIkJ#+hjMeO8*Gtu~5Rp}0(a(MQniF`QP-1}_4@KWmdf z%c+hp@U*KZJH#^d*iZBHg&*(DQwBdt>QI6s)|=-rW|4OhLn?^>j?6+jaBrI>X}a>1 zF!ht@kw0OIcuQxKrq7k5iU-dTMEBEKp$phIn`9oAmd&PLmWLhOLO$qo2rkRX< zx)89eJtfe`h&mA#OP$2~ozif86NC(%IDax|jj}3| zd)_Q~1aZ(2g?@PjnHO;I(+Lmapx$w3at@w(8TJ1sYP z40sBJXqX^y09^sL9Pc~5VGplgD}4v)vJJjb z?lW|jcONo6HQ9pVgjR#rF^2h*_k&|R0ZTsnG0h0RR zp$`Pzin2C_-@j~E7BNGZCFn~|uQOFVr9wv{*&fsqkIDM2>?qS}!CQS`#5=o@UDA7G zMw+CKdgud;CAZGrRG}PV+wveVZ6~x{r<0+28RD1H4H>>*%o?5%C~U>_hK1DO^x~uL zj6=Pl`8}e-RRUnCRonNMEui(eX0^;LDvt=9UANk z#n}~_f>#P{MlbqpGq9Oh&%blF;GHC+A=y2OU7V@`>x`|I(J|utcldk$7C)hOo!FLx#DfzZP#^=Pwh$y)yt@C zy@jTQh+XE5^~b*JJ5r?~db7Go`={s3wRHk6NQG0T`)hZvaCO>LK?&yVi9vSLqeAA! z-zo^nPC2L8?Uu}-MI^h<=fJJ!vSqHJk~(I8JGhxivrVrLn1oRTSwuBzu4_}st@H&( z9@LRmC0@PLRB6+2(#LjM$wuX$G-`xwJ(un|6^@h8Q4f|rB>v0{bk#N0IgRV}0MEur zkw(x?)R~DjtLF-uuH-eGM%!Q+t9cPE9UIvtmug$n6}ZWqjUodhinfhr!lrT1kOdB| zscA>LqjaidwGI1V)d1J--H&KpZv<8_)ZT3jm5b&MJqtF^X35(5GSEWNJ^0W4Q+_!S zhqPEJ~V#rrO|V*f{@$8!%zFaK8#F#l^NVEm8K|EFExWNu>O>_qq9 z&wt%MD^VkM6CWjbm+F}he+So21BYscT&gf;DYW8}sehFL3Ily?Md9}^-3%kqF$vZ< zD@NvR7If(NqJl&NxKXez6xJ)DWZr%U%5+H{pKnz_6w;--5@R_w`57d&cZSawJ%@Q? zGm9UQxVg1})#(N|3{9;7!{#Cl^IP$PC_`wiDe}e&09B`iWQYU`tkAHq&}`5a_rRPA z2|G2*E`|9PrXfFL=#LGJ=HFt99|&27#_eXn)e4azP4RtM+$5yo$5WX?SS_ilPmEVg zGO<9l05{L%^O4)6q&-nBo%TNogN>)352O3+#$TcxwZ8I4`ID?m2J)ybxb4*t4AhKS=iUcb~!+uhGl4fQp84#ge|3HN8)#>~t4KExq(tHSNBq z%$Sk#LqH+7#6sz#g9?kJ?g;C6Y$Q z{SsKzTao@qK<;XkE~~r^a4OZk#2l>d2}%@(G8mkm|4&-@U&$mT8~o>rB)C@b7{E#g z2qj4s>yS`IEnLsK0Cm%rk4u`tqfh)N`Qd^0Y7L$Zcf?`m)oHhVaa7I05;ooN<0=-J z&j!8ZjdT-!^ELOI9rn<{R_0kTa|V{s+k~b!{q3<`tNmfC-SO?ymW+3YhWx@LE(r#D zh%<0(W3Lsg;0;2-2X=xMuEWX*l4Y1%1K!NK|vlAvVytTw7 z8Tz;xP&y@lq=8ipmz*j#QoUO1RY>eFm#~-Ux~HAbfU9Acb@yx7Gz;l2ja9OSP`4pS zwGX|l3|K;Qgf@U;)IwY)46zkz`J=~q6~?f*XI-wc3B5?wT&6q%Rh}m9^BFG%Rd`Kd z7(Hf}%Ek*qk;1~q7y%8|;D8n>ErNg`^b^>%JTo7Yy*Y3wA`}{wdCv+mFk#;3{|}f;~bNkBKd^$tY5v<19V?O zi6oT7I|<2qJH4)`rJFLeljiklc&~=IaL$>PV_BxlJzJeENVPd z{1D-+A~(y7Maz}W#>99KdF#=GtoJ>=d0y0EjyCDa`}wi5bJMM*!h}6NdVTeDsm1qm z_i&S_wd|-eJMwJIYt_^9T%)n`kr_D4_i5R#t@3tl{r+6txP0+7N!OzuGm~M_y_KEI z#`JY;+>^FK^>upi6nXq!P(C`@SfU|Argyd5`Fa*v#wsiLW^rGPIRjqN^kXJWWGNHHiFW=|D zydm%3P`Qc>6_%ba`-K_JALdVxFIP9a!`eo^EI~5n<*Jj$e;HI;IjKu?*B8Ae-Ny1U zxVF0Lq}$~3@!uY=FFW5~z0GtAKd(te8?ScmS}}RDIp|4Khxsi|cimMnmD^$L8?Wz+ z&7W-W+0#Xf&LXr+Sf)QvO_8KvLPHlHi}Vi^q6Ghc6|V3Y0v>lOv+*iXZ?V6)Q(`!j(;QI0CLmSc@6CAzU%VWZQv z`}=IQ4;qp?F@V}W>JEf;@>xx;tP9586HPch?{AlAsdzI4zcMPdySkSqVu7oB<~|J{ zO402#si>@wL!HAXm`!tHyInKHnOZE1*t^>Gt+^JiHs~vd6v};$&2jjqpBVvjz3y#k zvG~hYt@(U?VT;te{Z|Ip`kSNA*2Ol=c-7^2_1~EqF8x1 z!N{gk{|XkYOu>-f$AIn^J49WsZZlKlrQ+1=`AS(81n&#kX9o{@7h0ko)`7RbD61(I zj~@LQXjfCA|E(H2IYtGuU(I5FaBH4sGUEactSY1Sei{QO8S5vEAofHFil?)xeuMRzGq8H39QK4~cZtABI7$cGJ2ujllLU-r($3oIz_Pc-eW z(P%Thlv~B(Bs^0XNQ(4jxX1uZ)PC;F2nK0MgRa^ds`FYAvP?vZOm~mczUh}4a5clQ zuoGqZ2|?Bx`Wom=jR0+`cA!eMTY6gTNn_%Rb9Y{BdL*t4iter?;_LAqsBtP6Bw?jQ z`Rpvg1Z#piggLkMv8SnO3+#v;EE!E^y&BWU-JD?4)U?)yjfMWzrf5prfUjKJ6oSIl z(=iUVzh2C{wvgA``U{A6!w>zi5;@k+-s-3_6X_UP8uiz>)V=i&+~TyGk#2Y9-iRY_ zx{)Y*hV@eFFR1U_$sirWe4z4Kr0u$X!f7L>TKGlm<*;`>^L&QfNon<}Y?@T*lyPVP zZ+{d`2BZ&6qYWYR(rNk3>L_xL(gFB-Q6YbQ++F%HG#pa0wiF4}acG#iAS_Cy_?Zmm zxM{1W>?>u|a~2jFo8AxdD?1K8ukk{Tq1r%Y^&SsvBxaD#M$t)5W{sJ;f`|2Hn|)f_ z%aL((?JY=OIaoE{$@r!I6s9Y8p!lin6rvk{_G66FX3UeYE0fS`<|O>xcvg$`j^&v_ zAgtzRELBMF)XXgJb@HQQ9c$W00I|fXt!p~GPnLt?EZL<=Brc^C6e!vLhQ`i{Q6$oa zZ%yODq$+0w->{KZ8baFjea0{DCQs>h?4=PoxCL1nI>pdZ3qR@U=~7Ds3p1AH-!pAn z?Xn3ZnpkF^vp|PVQH*G)kmM=5{aN2svG5d9g{$P|;@W5NcprhjST- zEP@UpE68b=dFhin%{i{$555Y!jL6&B)aBkEy4UuGf>gXcvVApEb=Hn@5h+BQ7;P7? z%N1Eqlo{RtQ*u!sO6NHh*3b{X9Ez#yArY&RsMPHIqJUynT$V(azivwdlLFe)@B@|( zM)IyEg!gu)0Og_YmYy~3M0eRBJ#@vhmn@<_yrZ&3*ixf|FeUKuQ-E$-skUdJJh_;Q zC^HHWC8(Jj+M#)cPGpiE@IE4D3m-xsGdKATjJxtaN5eq8P&z~&DDJ4NHx$|wn}@8X zNBni@u9fIta1_vI=sWJbqd^+n{T!EGVi=;jarXh?gJRLD&>*s=^w+v(!^fANVu%%F zjtXWO4(saT1#D4o;-@5|_j8~){d*<@X4Pg-M`$$2IBylXaT^#;Me9qrA9iQ6=x+FE z@b{$0P_D7}f#0oKlXZXGnM?xbWk~n{u!U@iWms@LGW`I;TIof(gTOPmeM!A+V&34~qWX9#&KvxHyi!D$|vZpTF1{!BcU!sdl z(=y#02T;&K6zTlF{eHVjn2ky&uKJ1yNX%rd#e1$)Yf0@r5PJ#T76*ch2Z!7f^{6Cx zLRf-+t=1vgpVIiN5WP<6ap#!j;+JV>VGrZL2m85_bGZ&_XF^XU? zK<3QAN9~6x_ST%{@L&|{olpa(QxbCaFhbwJX445cn`H(-&lsZ~6Oltcy?}mFZwbR|mLs-7?pXxi3k%$xOkkN(ZgnnUhHsu8Iq{CQZqLz6ef0|2g_? z#$0vviF^U=SO$4p=_-0*gJCXhVG6by=#tdVyV@j9P67Ks53SgOAOIv^1KW3FQ2_!t zJyj-6PjiqjBrNRB?FHE;t>-iXm>J@=p~I8@Xq zynr>R1r*RHw>x`t$}UjA#s>of@3iT(sq|cWn$(jAYT!`rnqeQdiX!jF+6 zf=zs z3}UHc{jHLG{JUvBt!;~rAtkngYgy~Dy*hG9PYxgDblG%PB71iYTO-^d{x>fcV+@|F z6Vq2(#pGU!F_D&t(7uoiT*0*-v<&r=?Y*NgwyG5#PVaQ;g;R`V|1!l|K354W>+%`z z+7W1Cg#hH=eG~;!VSr4YYz>HNr#^~5vIWrlAx|K_w3{(|_Va&~njYl-rbMkuDWD|7 zF0^!)>MMwvu`mKAc(JFhaVohcU33e(E_mG#kq~T73J8TawG|f_l&LQ zYa@zI(w{w2k6yY7b~)-$CQ3+t`@Z9@r;N3q2uT9T! z8dYz(K~o`IOZJ8r9ul+Ua2nsSmkIYr`W)BB&{WiftxWe*b4TuGY+VX0_=Z4U1R_XB zSJWW47<464FmIe0jn&q7k^aIZ-H)9_ptB*PmVrb5a17r_X}}r(7^;_%SVb`~j-r_; zXj%M1;Bv}BLIsO|W*x@;R)hCuiV7Sp#Kl#vT$J6$*7dlFA=%u8gO4qRZW-N7Hh`BS z=8pptI`cBbjtSL|0!fNzcW0-RzdR`u$nBje*fe_TpLmYcA~N=M=?3}|au7Un_GMx}&+I{>!4y z=`VhqN{4g#4vTo`NNX@NR2IIXGn!Z#n*nU}CoCO>`2$kXo+;@Y)m_S{2;yisG;ch} z-=>}~voz!leY{SaxjyZmPCf#>5q#Ux@CjVM_!FRly=k;rB1{a9iR>tGBte6 z$xzM%G;RE#pm{l(X6pQSBVL_jsZCqGa=Lw?SB{1iCB*HpDZ*2KN1S9YL5Cxd#@ziQ zG#Ll~wQxBcT- z+~ly5P$+C`<}%EDe65ZTA*hi+Asm1CbRRCI_~C9T$f6Y(>oKMVqBd3=w)Md{0M+lC zfM(atZYtHP-FhGx|DyS~FJZ7C@^A;DQ_ybzd`gvIt<(uYO>LGbiZ+JZQ!oNL;|P}H z{tA!>fHUb|c0%<|OSWkAs>EgZBx|1{-0xw>=Qfx(=p_}!g84$8gQ8vJk(3+wqbYhq zmzRjBCGFa(gKmxG?*nHUWqU2t`^G*RI>di6L|)sMBw(=wAWDLC;egG3xfbA1lSiin z`PcbVe?Y+fyOT)+?C--#$7YY&bzMEvFi=C0gW6}P8>?RBl$AFXh|VQd z8(8QLA2%=ZOgfI&0=W(E2TY>-Qq$y}#sQ#^?=Nn4evZIj!jaLloc!1m1LXW7BRBsb z-|D-C3m(&1!FAt!7uQFla_{hPjAQ2n1*5TFti~)vbHTu&>b-UjCb{rgp-Z-X>f#WOWtQnb56Z(w2YnP zs=X+$Vs?X!@Bdy(cu=I}yQ*NBz=WBCQ z=2f(v1y2MtCb=?a6pLf6L<30-CTDOnW>)emdapLO;AKZ~SFb|XAa$989Rs>&K9Lm@ zFB~#vxL;e0(iXxOCJ&U}?1&N&S4ILfHI=rf(JM73)bVLOhWv6Q;Nyn{v4`h(@@ao` zL^t7#G;mBmsT2y%hquQ(5mP@0@CL5H(l1bIB?OZ~-WNQDOQv4(HU}!(h`)tE!?Qd> zDdtweyvu^{M4IRxI<)8G6gY|cKsiRb@B|s8N>Wpb$%kghr~|PMF8dkytF4}f7#6}In++BvolJ5=-7}|_QHCE< zpK$Z_;7eJF+eCI^Gk##Adlhu5S%_p9uSyyRAUP12+U@WD$(gx;QqJs5@urKv7mW)$ zzyS@@l9op8{+LD^&{QCa*3gUM&GA-o&9$YMArem=q~?lRs>mF-)G4?Tt1HuIr;rtI zA+#c*xw{kd0pW%GxMtR$E(-wUAI zWn3=QNSPFvHW>;H3|r*7mE2dle~QF#SQcc?lMtbngU3u33FPTVOtJ?vZhXXrNy*za*i)+F4Cg~ z)hRv&(A-q_Xo2T8hf#vU<+qgZBM=Ebu%mz(*AQGoga);qYsIoVa~1I39j0ee$aaPw zfM7l9E^QU9N{gn5eH)5d^oCP8yZJP1 z@K9MmKRX*x-Q*01dc3khZI5kV0f-$ozIyxL*KU8mx?-B_TmF5YTWisC19@?5{W4q2PfpqE$vaMyG3!N`;FXR5_T$O48LJ3P{XsFGfGDSVVF1+Cp+)LAmzyf)|Cg!DJ%wm+w?0 zu9DZ`^;y2Zh#zW#dgQ|%&u}8|W@n7tLNOnq?^Ygvq-9XrXE&6uHa>sg=1Ra(MPE6~H2jRhJ4D z>x;@=O#a3IfX_U^@DK&*2?V9VPgzDz;0}3XG%r+#uLy4pC5970Sf)5nMX|7D`;pQ;piPS%N8a{EK&h zH_4|K7SgwBf4hPXu4lkEg}!|7^meI5r?)fs+wCL5y>~{NCMZ5Jmt# zpoD-knjpK2yj6RK0B340C!VWIWbel%$+SX39LK9!z%`B9obO3-z32TJ+Fa7 zYv|fQsrliVM~=;b+9vJf`~sKP_KG2GtrhkQFJP-i_`o}Ijzw!1b*VI&Lq>`z|9@>YS?Ras=h#vbN4 zTC5?&wO8QZ*&0%6^3Fq{MVRA_{RfIzQYW+kHwr1DM-~l{scFKrU^b~+5VJ9ax#RU) z-ThKq9U`mtTF4(Y`4C6vWzlm%j#<0BtFc@W226zleZ46hXd!|2Apz$!;-`>2JCMsZ z!S@HYqrc;~c?(KdVoW#+BEe6K6<u!}NOYJFxT_BE1k2iGKGKlQT{ z(+15qhryI*3h=s3+4J>#q4O4fCps5>$Gi9KW;;>4bbFVFMrX>sJFhjssm9o1DI`~= zy;>{yIM-dPdTKH(>|oF%+-MN5;i8{`@^C-@87Y5gwX09jQ)PaV0CQM~Z1%_y zITA|vZBj(D&<^KnHBt+xkDyqoIb8EmKu47urYd>?8g)tICXRdB;%Zr<5^|yJkhj6O z-~GI(%t55%n@R44Z3EQ7QTHRajjf;xXnY9iG6Tjm3;S>30rC~(hxzuGC0M)01O71B z8Xg)uE`G=zazARa38dz3FtW)2Q08I?7SZL>uEl_WN^#GUIAG?7zPVxWFyrsDW< zA{ZR#h=JTLC+plCmE*FwUY`i>?S z4(wb&Bt>E$!<&*7`T(gy5? zfY+pdmv;iU!8=DiVh=*1B>mnnK(Q(Z{)7ec0AkKg98L6mu-;PRpED`(i`8$0xTlEj z6ckknKT8;Ob`VPt$1#>!46qDi>CTTgF#w`=Jn{XUSJb;Hbc6(PmSau%1(_j+a42bF z`!jk0x@hni&egpxVG&BP&*dv&xJ4i-gyg#-BXwupBa6Y&P*vC5ij6T`#7Rz+J0 z3Kf;eN`M5JS$aSiI{>a4T^m}4A;Ca0WXT;LI$1F9y9OQg*b~MPR-Wk@aUc{!rc|Bq z7c#~}wQBZ-9Qc+Lz_XT8@eUj_X~QEBt@*`By_aEdWB4z^*zMy=ez0Gwr}Zr1GB~FO zb_4ALAwW#c>8O*0JVvWG6wF-t9U{Tx%@x9_g(N3^RE$^}*omZ%g5XbzAbCZ=VQnIA zoYJ@LI~_8&tQQx>Qv{~Y$J$TX3BG|~q38c{ALlv=unzEbyo1QZBe3|tIT1BQpYZ2& z&1$N925rG8A(W|e0l2)zGI?&(bu430?)IhpI!u#;v8zk6JB8XR1Njd@1!Shs z+@=7@0K|T&Q`)|vOK+`h3A1yA?ni5#Eu8#W#uwxR&D>(3cWz@E7kZp5->pNGf+~Sd zud`Zam6Xq3hT{nf+o3TvL{3W)i8pNYCrN_f6n5%)?;Pqwmh*%`;YDRroE;`cOhu;A zi%H58Vwz9C;gqZKYNWsOe2v!Ny3_Z|E4RBUsAF0{$|-AkG_F+)WU~XQRqpVWD160X zq0(QsC~h^i@lGBo90zU?y@XvBd5fJADzd|SJLG5olo_14ba?L2i1*+klR%qgrlG2O zx@y`8k0gLW1qE;0mMgTkUE0>T4zifAMfyxDwyn&*-MDvOhy!W$-HmR~(sgX+QF6Ae z6%4hcG-xx9K!g!UU+Ey^?b5-LjQQkMjGORxwq8w3gP!w5g6M2Az3S`O7;T3xA0xz! z&;yE&NK=?Ukv9nkfZFhy*FFPuXZt~2N6N$SHuEk|W+WG}TzgZ(Rn91alm`Sv$@QsA zyTLIO=Ww(9(O>Bbo;S-&RKIcCZID-7X)eguFk_?>rG>^;G-lF!aL^aZd1;P2z{segLXSvQq|Rq!^tS> zR?;`|r%|$mLw>={*&8J*sjm+!6JMJ^f*z{sj_m{*K5W(K54#i%BG67LuPP|lz)>fu z;NS$({m729=`?APp)pX(n+9s;iZ@hQkQ1@5N@@+v7{W1l6nC7DEcel+`{2ZJz;kk4 zy{!lR!_{MX9V^oFg1TMq zQ1p>%C|s_3zk^JqIfprg22sTFm-47z%;AEF)BEC#JIzHWgxD$3X5CDN6m(AJ$X3|6 z(Z;m+3R{#qcC~J$#+D+CjD6TTaLY&c{c60x{{bDjb=5sW0&2*J0_kOqAx$5UNZ~%3 z0nmjw%gzI1Yi@kMKSiH}ERbRHsZpbFzE_x>g#uETV)+%<=y~mV4NrsYSDVSFVt0}U zaxT>Wf<(TSsfXv|X3cs=_pS-t7ESB@y}1ompt+0}>#oY$}}!0;V`jllbyqqQG( za3mDpWJ{IMRzR*?;O06E33;LqU@NwaANMj(WeQ!R{Li+OQI>l!^}q*B-=7#_QGJpa zp{=GPyW0$&;tt$Zv#ov0X;1o_8WSa5*x^5#W9<^SF#M>FtNABectPc1xce^6aa%Ke zWR~XuK~2SqJ7k3ep8M|n?Cfw5px}%um*-f|5>+xM7xDC{-q@;2Ol2>I=wv)7MtV_6_g#mcsImc1-*%tQD)C-RK8>VrH@)nFx;xLE?8qm-6MEzW-R-SI&!P+-5C?~w($?`5}hd6gsc6!wh-&2kAb3q?iiC$Yy0Et2UlQ&MPX(_>sD zvGSzo{3XgM5Nt2ynL3i>;QD{!R}{1@!!h%Hl=GGtIXw<2#e^^B z2MG5-bTC)WqpB8yg<02$Ks-Ylke&n?Y#VqAw)okYKT=k%4?Az2e1@XeyDJ-EbF%RF z8kUA7z>2Jf(rWh3o;V>(FsKpVP>KgS4U?Y#Vyhs2lD)Zl)zTlSrK*Trhtv(x-^cf^ zm_RPa`;)<;EZO0d5EEMQtKWdBP<@+*R^`DK-43_$+0kk`y8~Qr;WSYOWD2UG9}@$d z&{qcyVN@rSEJ@CwAh`tqV)_y_V^3w6s1i#p408AKlTmTNXp7aM)hcUmC`$p(+sU&6 zmnNN_5Nm6$@vC~xQShwn(q&WtI9$r}-ig%;zt2I7cPuUkMj>cTjm8**w3DC+bh@%w z8>P}aDH9d;CFdw_FiIPiVl8f2T{+YHUfS3zA7Zj=wN-zEJQI3CrIcMIqf% zb(*}wo-K(mbjD9a&9&-CfOL?%Spf`fN9C8OoNv-nl!uQhzKdzn06@xfxbOQ|> zu_nx;f@0~e{u+RjAthO`B)ryyQQHluh=55h=ePdBC3BxJ;F4LxR#J+1HwGV%wGrT*pW(ya66hBtTa7x2kpzsxTVj@aL_l zi9@tVPloHOJ$!3E9Y}2ElfylDKRNbD1Wn%^0d{=6{t^HY{iL+?c z30_$Ph~lUo8}%qO&cjegxDgpXal1hfE1iONR` zup6O~oh66l@sR0-s8LXgtjI?&h)ju`r4zD8avkD|rul4e2%nK`;@8+ch;;MO;~ZkYs6MT%Tjd`|a$8j$PA ziHr`>EKa*>RvZ`|r4nD_uIJ_%L)c7<2weu=fqdAxRR(C0+bo*|lc6BBaK)Ve3aB}? zg|7rvIBhTsj0-wpzwX=VWY8}O5G1ILFcw$m=41a!orCRCzw?Ez)(yqw0;G12RE5H6 zZyuY&j&*7Sp-slIdjdLwq8gOv-kD}VIc8yhaLC|$P18VFbIh^#4@AdbQyHi4t72702(xcY;??Dq~kQh96DQe;&N6QWxR~vPT(+N8+G^}b8$+)| zmB1H64tMis$WuO7EsRYUp$m(qqgxQkX$f+G-0$9{JCC}RA8>Ve>}XLn`qRMr<{p;d zGPOl9oEkq(E6Z`j@AO9&SymizU@08pLoN=&tz}2}?Bn=zAr-y=C;4QY`UO}t{Omrc zRrkYPV=x{It1d>Hx5uy7-@tSBUKtYTX76{RXwJ;`;_Q2p4XhG?{qyTz~cyX zm?c@pi+44qg~E!#_+n@^^diWI@Wn4SxrZ%MS{)*uaB6@%{WaT$M^##gLC5j7BB8+2 z%7CIFel6<@gBNn$*qU6V=D$Jk+l#_Cl|D2dqMD|w_~<;$vpl%m6!FA&jZ9<-=#2oc z60+WYQtet3k-=o9qaWPs*MBS6HitJ%0&U2OxM){}*M>xaH|E1JUj;00zRt0o?FUj$ z+05DlON)I1&QMs4sQV65UX_1W<($%^+t%;W7HVj?iS_DBJ2f7D&uOy<#Wre#YyFUqpxxRtK)Kt+Y1@~a(S zU6BuGbcaqm&}SY-|MA_k=bkovXgZZV4CW3~Thac+wqS5lHk@E~jfWs%3wjOo@NWG0 z;ll~m+z1S=^JQgS-e0{Pg{>@~q}qKbDRP zrw?P?8%Aeh#N+1I7a{$Fi6{mPwMWaZ!1t*s(uBZ$N-ok4UW>$F$zRcT`0rnRa&vpy!}KG;8+} zUS<9c9%{^vDH4wUXG8RWWLzP8iLrshW@R-Lpy!oh52v50lP+S33J1_CmDp$Y92kD_ zon03XPjy$(4Tyi&5r7$28Cp}$(A}4;NwdvHMx0l^Mpa7-5_%DeA4>E`ynw<^ha)+d z!6%22oz1{TDV?;%xZLfUz%W$(-LHTD?8hH|^Sgl`$(g&FAt;REIyKXezXrJp#>tp- z-kUNk4g40JfoccLGlkE6WNvTLXqiEMtafZoMR0375(OS|>MD^vzJsCsJ3S18&f7xt z3grUHrbI=9RF=@rPzj`BI6Z(He2LnGr8P6eggZjaxUeh1V}=f{JI@2M^^2hK`~k%s zCO~H(=_oD4)RfdDgX0V^Q41E6o8ipZ7Rcq@J10lap}stzuf$9m4ObF7et zqUu@^s(9Zcmht((*%Fy!cN){0_dM66xH03hj70Y)EMkflWZ8 z<R?OzgoHyj>0nU{4ji)nfsF%4^8*i= zjt>kh1;lphps=taLadJIhXOa^^p#B?YSrQjK;g~xdrw+Bc?*lc4hj)UDygJDfz^yCwlw)taG9J0` z*5G?&gLZ7c3@I21B%EL9*vo&0`$l*~cK{wg0w0C=neki~gfRiRmCEg!JWH?8Ij)|7 zAT6kbK4yn_am~jA%(Ri8deu}R{a@9$ufu}+k#b$Hk}73{W8!++Jq7W{Mk95DJ-7AN zGkp!I55^5P8QoO)XH5Sof<-x`sq-_)sDpeTy>5(f-L6cIfWqUM=$1KtI4$B} zCR=L^3veitdVj{@QC;KMIJg&COPAV_9Dpp>eVTx)GJNG!msy4`lacubNQEI78N7HO zql50wFjd1scSKy8ka6d}>Zni`Xd@$q772F}%?vY72cE42N;SHSY0vm7n>Wn*UPC+u zk>FW-;%9I?$M_E_3^0zdZHW#$B4}jBC1Jx3+Qj#Hf<)-<=^VO}ybme4y4gZAN=lxD z{=PEegd;I~M;>@O;6|Vs74Y5ZuI5%a1XeE?7W~DZHl=7Jp?FuuODPwBp6$@-jo>x; zCS-4{3@v2RPHz)ZBOY&g>vX<`wJpj@Iagy2?#I(cCl|t&Bq{{oF0&PUPb{8miiUD= z9sumV4F`X6T$b!ORGB`T2^JG3k zO3!Alp{mGX%DkI#(bl5ZvV#aJBeXZ7gOdpf_wv+H>ezR+7gr^-cmIY!m75C!;C1hGBIM|MnQHi25T2VfjY_-HHR=-MNu2 z6`G*F+#V13JpV%#n%r5|mmdbo=o{kXR?uDvR_y&uZ@402KpFx|m6Qr{><8J|P;<89 zgu>w)eGDVrF$nXuaExVCW{k@%pt?WZuy(wdag-8VM&@X65RF^fCbfB4D3)Mc@(4bc zu!H!!GPmrL?b2q}erTI4DW~=Cl9mxRoAqg@Q0a(L$U@<1)J8Nf);o~RN6dl3swi6U zc|?>}8uwWOY3~D)5iZ;qC z8Xu?MO;H7>T%v(G>4iw1ZIK=JFtwNOu`zjsK(WHJVPq_D!nBJpgr=6R_m0Dj(Pa6gieAjM8{uXpxgEOG`3!4ttfQvx+%NwG zLsS=!mX|_c)^qdlu2#5g)K9s4 ztPU=yDw1xGUj2$fm2UHX-0`f-YF`=54xGrFO3d||k6h7-%0p%z;Fyg^!CeXT zy0Hx7)o?P}7+00%&USDp9JT?sT7)jp3i3~kRs&MRA{p7ftu5{%+&TO6|RiJkMb1_mg;c)Q1uFx4F|PC zm_)K}t9;nuId-%(9Y~<)00Z24u0qHme*~k%vdC?BOjcLpGnzb4=)~|y?T`KQa5LoKa+bFW%-#=evk2z2RtWMht?b zKp5`5TjEq>0yul=k!TMhry-<(?bXdkXY3rqr^b%vqTcDU7To`xSA8eA*P%X4jdOhY zk6%k(IbZ=a~-A1c7877lTxoC zdTa+bHM0SHY$S3KS+}KH^!3VR`*SI~a~K>$C_dlA)R{uv>f}vSpv0woj-Ufd&-evK9s(%OesGv-~bjV*%Dg_$}xE6p2RHli^NS){&YB z&pS3TL7Vx8^%4l7;=38u8x)QM9ZhQdS{WQ=8N1%$S0SqADb)D9Z+G|a-@p6VYJ!Z9 ziH=8bi%%MA>kd7WWXP0eB7c>C0LOp-FFJlJyU&^ZGiAm84gx4Xb0}_%CSoAm1i=R&X+f>xMxA0nemBs!fp|G?$|z)Poa--x?z# zf9a1_yHn>tdC&hp#6OmQu0V71 z^{u^oJaS|-heoLur^jF4dinC6{*RZV(+Qp}KqT2eu4F$tuB4m}-ulFpdm7J89*a;) z`E17;o0h6V?Uor)oPz>JDfF2+j-ZYVTfZXGce`{vDjq(@ihhk65)tXWW#e zPY|Qxx+vz2NNN2kmVHQ zANunX!w>>=|6uQ4Kcn}2@$P&Dopst~EDRAY!Mlm{)tcEwyI|9qjwG36Kik{uzhf^u z>@a$?xIzP`R%Cp#r(|S-J>UdwJ(%HKuUhu=j2>k#W82uvC^_PEDNklG7Utx{=Bv2c zvO#1tAkX1Fw6nFDQ9&M8SXUUL?57!V4}MCQtax+AjPfF!8q8WE&S=u=kxesu(Y>4o zW$#|jFoJ8@ir`v4&G#}I8pvVJezLb$c<)}}y?cfC?iJpON z`_iz%w=uXU`g~2RK)qR(5qhudiLgLvO%#AU2dfW~L>70|lZ&REfL0K_CI)8jj5Ox- z_AhgFQdp(?g;ly=SfvMr-##e(_CfKt`4)LlSm6hS6@E}y;fIB>JS>dmVPPx}3)1$m zFqXo3wR?r*cX2J3g2LIfxUZml3*TEfAz`m@@Byyn?=6tL;=cU7j|=ZDu$S$D+$-0~ zh4&&&klj~cmf91sxCM01dn|LAJz zxdkdI-CKTc?ohzc6yH`Lo}y98$%b^b^tJ+d6irypVT7v%rYK!4eQ|*+O81t=P+*Iq zSt)!mujX&#)m%&K>V{|Ja?HC+E6VG+MCxks*(J-zCzrp5*Gu2S>$xP_bMhIq>jgJd z@6Bk$Ft>bu#w6yhXGeAGdTGXB(KpONfltkzvf-<8TKfZcfBCESbJ{O=fBCESbMh~D zf5!jiu4fcrxL(?Wyjohp(jMf!rPV9&zu|4Aoyn`Ex0QA#oWJ6|<=s{wXTul@>}TWN{lY8BsBns&Ib z8}2QQtiXx~ud_glhpVL};?>eTl$MD1mgeDcPQphAyEr>fif=2g+tUsAmgWI=q|O6u zc<;q$;BxUHC4~&NSklM1TvBwpT$)haU3_I(i1tcSbiZgYcr||^T=v3*@M`(qd~Cco zUu|B^)h`_X!rOQ?e;WdV;=QGj@!ou72p@`1C@H)LMU}~`rID5PBZ7Dv&H6z?s4F`rw0TRxL~ZhkL9n8Mq5wR~^>Tm(kNCzQSofl%?@(ziW= zX3MuZ-&Pt~Np^T|F4YLoiccudPJuBMAyjG3ibvEjR4aT%@r)1LTbiBH$r=Z^w=_E? ze(3{*ZKc&L@-OS&e9m}pt_jHXoV(q+TKHzWp06FR?-#<#vMuM`xjU|_#dnsZuvo=L zKv`PVB8jl>&36Lt&F79+^SR^I+%f0X+=1oQ+$rbP+KQ8PmInU!v9RPI1Q zXp3&qVaroQjUrP=8SoUHISR;Dh<9*M)VF~e2|vK;%{6+GfY-3&fEzpW9L;c`g26$w zs8En$)CxroOE{U#*X-ooNg7h{sy~Q3#z7%pKRfbAj?+M-KY}z#zh@goPnZg<()x7IiG|Zk{yetH1Q< z*=w%I($9d%95FsMRY$A_cnu0AhLS;TiA}b43c^5IJ=R;%m8)Z&2;e+J(@Iy}HAFB( z~q3oE}7w1k(c1(5AVMKP0u18d` zgMnv2bO?`MR(C7mj8N19*4Iub;^!o&je$5x&R$2O0xGetI^a%$@RWy?57*u_c&4x% zB#ab$FkTcG6b<*nCq{1^K7Cj|)Z?*#fLake2{4(ts5WIf9t>xN@DE0 zTDFv)eCeilFlCFxusbv|YfFJ#1bp?!PRrV2@AOXbDfOOt{iD|A>E(OZQ&pfY+Gg&X zx1&aMiOa2)44MP5DHgp5ksA6!$GgRm$0E)t9dZoZz}-7iw{8Rx`vn?Q2)uDe>Jq^i zQ)iL1(H-v!ZW0=?Aa>(l1W}Nd)afja&BV?xoczM=Wf1y0n2fN0V_@}$Ssh`4xN~&K zazYX5j_f65(FPX4_9wXJPFQE7f+<|bpW*Ou>mq+NwvFSU3CvCG)A;io|L{yY+T`E| z-woz# zClJ>)*9q}xz}(du2#|?W1_X7I1&5|=0qS1@X7G)?#7eE$X>rYQz+{I4ilU@nv_*+& zFws7tt&vu8M@kdu8a%N4@q0sO;4i>uT_Uu;c}DAurCHqJB4Q<^XnTt0e?RQjR2ZIN zd3&bozb?^rbwfmJh-zX2XZ?ynKBhpOhO>*e;ffhn14WO?tQMsO_%5}BBJzxJH z_P(w+uI$S0uM`Xf%?3nDqWVkiu>g*wmN`&Mj3^s%1VboMMX@?$m4+W`X`cL==lKJ{ zyu|GQgFNIV@SF8d=9grxwf8w^pL1^&FIl9zlT6@@EwWhm-gD2#-fOSD)-g^6Yvjx{ zetw8-Uz$2l{R)f_l8^oLl3ItvLfo%ieZNVl!zB+&FhBU<{DquoL$`%$cqK`8^#>Wd zM*c54$znbcq#}>TNMlUCQ7-eKHx>i>iwrj%hs?q^`DSWcDh_>6eRm}flY+>Ng~R=N zPWBKv93ihHSMV689@>2r45XG| zQfNnj%E{pywii)=4GSx&%y8um?6M7CXiQ?POsquHM8tE?=BH#dli^Q2F@D_d_`Nf^ zF_lcW44)o^6vXeqz@kfKJ$+@oUUjLi5ZVPUR%uIR8AQJ0B;_HBT1c4J_NRwfc5e{+ zv<=RPOhe4#{Z|*b8TS831S6>#n$92YAZ>NX))(BQSwC}NEMuok4x8$@o#SDs7+0o~ zI}*qyhpjMs)~GRfURcze1>sA38myVrR*UzYkuS4s#=d?sJorQQ4#SyZ8wAE6djkZz zS@&JP>g4c6N3;nKj*-S77s!r-)%y%`P{lKF6yKhytAw%e$;ZE<*-R@erT%z!iO+cQ zO)*AL&c~-vYGh8X?kXUF>Y0a%>^6QqFqKkwR6(IExW}!%M%ID^f-Y^-OaP1?jWKp$9Ld0=DR!;(aOML4b&q zn+&sG$FWHC7y^ePFK9A_tCikHbt|C5b2#pkc1D;@K|4@!6k6A`&`+=g2TQ?7rYG$> z6kY^Ey@&Q!f}P2PeDvb+)9shrkN_LsxIop)LX-|v7jygk;}*57)u zFEvP?a5Dwn5T-yC7RV|(pw8ei_MVYG#T*tjS?9spyo13SnvXP{QpzKslw6rCHV91B zYn?lCX(w#WTGF_~bP^t`?S;n(%QvXW%w{gBryioz1SSP}qB>UKsA3L-tMkd98dLE} zFN+LmJ0E`Rp*`1xnehUS&$9ATRQ~y_H6(fukt)q8?*LA5goSn&SoC&rpoZnrqeK4F z#C$3lVG|4wr?I3taIs;hh+5TiEdB~BoPgOL0W%yMm`BfE zl5QC|>+zgDv%YKf9H%F>(HU<6*^Aw;h(wBGs5m;LkMnvlw4M z)~UFCb(6iD7e$>omzKqQ&p*ZGD;E}=45|j>q~L8yH)>rm;3-yy2_JBbaAeP3HyS`; z5wc#5F_I~e#i^3@&jz4~55Hyz@*2H*+!W;7C=t^jZ87kuvBRO0!VjDX_Sf^{H;^_p zJ3q!l43G{!oG352&=>K+yDK{By7s3|Rn2!`UEk&3Kkf7_d;$1COITqH0gU+@LoQ45 zh8P2la z8rCWDp*Ts8X5I#Nk;&=a#^AWXx)S|prdEJEqnh2_duUx6Fx`EcTBRbV?X+Q1 zP=RcOhb{v+m@*I*tHlU-v?HYu8bWCV%P!3P0{h)NICvn-uTU=Gfu@79`3+}!PO}E0 zX|1bxrgf-1Q9F(o#h)rD5jeyIH2eNeUFSK+z(rr~<9|igY3`|vqn~3< zTHD&$zTuBPdOLkL2kOP8Gq`A6H1n846wL~ZTuO8lJ|lZPajhAgL;g9JeZ2raSFy9e zelusAIgN>UiW9Xw90TJd$dgP#jh$q|e&q(oNg~Ds3b&p>m*N6hON}16-2D zLlEExAp?UuHo!hpAzR05#CZU&MPv(3jT^Uz&Il+IeZb6va=u5J_^$-x;@U`~Kq-_= z5t7dN3?LJJN;l$zF_gLxv7jU8?gi?p4BB&w2`Ca41fZJXP2xGp7K2)ZyAS8XOlOQz zNeacWA~5*8pbg%CA1A#s)w%%jO1(nkS}t#IffLvbiZGp_i3P27B@+5^#jhM%0b*(m zyK0@F?pls#h|fLvc~mOE5M@hjQ8Pteu?yf<^Y|Ll8-{oAW#SYMvcT2KB!mXB5$Ka* zT@oxmIy*`NcY+eR8=UR$TO}r=AN6BfNULhY7%v}N9QIn2TA0zyC{t!{-mD=n_Tsf& zrg}j}prgoff*Rs2B}&u;VO{>C$$LP>b}N*m!~b$}=Y^s)BSj|2lwrLi6V809A9bi0 zTx)H?87?hXgaz)n6s9koj^j3rwvBqOkDN0+=gve1Yz|g_%?%S zOPxZ9|HI11YV-_aN!&KFpM~lyVIDyZ%WVX5%#Q1lYCb`+f9Pm3hrvFC9o8-&Jr`sH zru2^!la{pMDLCKd%}8#j{fQYk^7UrMMZiM&4_?{f`>^4#EKngG zcXwuDO^K5@GAg>peob};sNXwzw?mM>ytxbO!8kDF?$~4EURey+tVvMPKmJ9<3D;uX zJIfsintY|ysL&-eM5tuwARI!!F^U@=!`sV>1|;_MjL75HmxMBbSgWZiq3fXcFK!${BxRddUHa zo97V(EX8Qk9GjbcHYl3NV08u+uL~V)ihJE`v?PVsI)GddR^vA(Itap3yt07 z=X$SOH(PcPSxeRqDvECpjMwDxm2H$HW^`ZU=Fm#vC3G+aYLR7TJp-0@i@eHVn5b|~ zcqbOm3D11x$0JQ$AYS6?<53afu#(lcJB2&vE^1}q3~L`xaNJ2GHaX9Fkuljs6t=;) zj%m*zD~ms2_1}&S;}S^1*UsChHf>!5*5&kSIwz3`yucM4h5AOWkgxQ#Kj+X%`ql@J zU4zHS7Entd?rJ50pLzJs5tkKn3hu?Ed6?UYao{Xv0^Vm~EBYZsZJf@4G%zY>iVewM zBOzhl<`U&-4eJn9qAB=#m>q8*o^D|mKA#vpSYo#GVVKs^SMMPLMf}Oja4jPzO_(#7=|!Hl_oTI3Pec83?FO%x`2(2Z7wWH(Ry!6#K8BogYoej3r>0C+-*!Z-&w4> z{)8`D)#EaoL2!-x5np$bQB|QIn-^kA<4@2yWlwX1|ISVvI9efAZ>$D&z|B!C!u%lD zN(Rb;@zP$M%sEzaB6DOGw}z+fJ?B!tUOn^UhBMmx_%E*nKKU7~+Mo?5-V)BqN-@=A zJcM;9wT3mJKOl})Qbh}LRR#CPwH5Zra~8RU+1Tjy=8ltzEGHq42%3?n&`B>NBWgxN zMka&?IV~ zgUp2vI@D6P+&2ogcQDvHTikc+K|dpeEAR@qM0nG9abloj5uZtgtzE2IWZuUrqG+A@ z=xUrwL=#XIZUsW-a$)}Zrdnj;GGilR>YP>lQ^h*(x3w1{A^JoR6M7=wgcK}USg!dS z)JaiI!*`WXF!5FoUAS1ZKeIY@$zJCX4VsFItO6lH**xP6lji3dg6RhStKxbLv|IO$ zSILr41RkXf!4O^@ef$e{!9}a(`reslUNi(h8AJO38VPt~J#UF`BbxTI>#b{{mqiAg zG!U76C}V^ZRlTTI#kEpXxcon!!6O2(1VSpl)K1%Dz7Iqld3KXmmRL}15r{;q6hvf4 zj;8S3x+8SR4;S+cx$Hg=-$v6{pVJ(wEI6*+RN1{w$r#j|$z@i_7iT^Gj`Dg_{lF?w z-?P-gdA;#ZT15b#`;`nqemG^E1Yi2~O6v^`vmE+-+u|mRf%L0&uFWZvP(j z9&tIbZ1+>CFmxs%041Doz1vsADQ;`|sOWuQe+Qyo(zK4T+hq4`#w$S=BbzmILRv%| zw&c#7PK9DW=yGNez7aM(itsdCLN+D-VpwQo&kc%{kVBDQN$m^9&WD^8a*)Ssm?CMg zH^8M{Jr?A2C@6v#jz%B38q#%p`kn?Z*ZgjRgY81^5{pktps7WXnXHKfe2KvFI;R~; zUdhW57&?*Y#Iw;zGlXNdY$^1+vqJn;;fv z&4FI?jzD~8;sEo&WjkBZ#rWJ=80bkvaoQGk)$4hJK8M-RhTltq-~o8Yu@gEg0z*ct zWAT=vu5%$k?BoLC0|@}&dG*)1p)U^iPqvrvtz<7aC4UR@-XWRX3U}QHtXHNz^-wnh z*FdT15HNNOgVv;~0G1NCO-gN=H#rP8`DE`U9^3&ka!cJDhgYc~-X*eRq_^exA`KHe z?0RWsUEvA3`=CjkP2L}%_6-u19}(zdRwM^v@ANIVEQ)UwUTD|jY%R5elO9~&3;&g5 zaZW`YmUsX=$h~!5mtG!6*w;ghsD2gsP z{H-gvr92tU;}$z=rA#4wCru%cHuR)O3sZjp4kG-kLV`l-zM#u=WAu=5j8G68V&|J_ zIZ`tayDfwQ{9%DxID5mmz6Nl=U*Ww9$Mc}zqVFyf1Bs|`BT2(kM&$VasD%EtLIszvU)N1L_Q^0 z>Lg9#W_k}7FN0jd9C1meH|d{pzwm8dK(hzv*tg%JXoF!xpecz|OhRzffVuLeGkhrS zZq;Nm7^~WNVdPrZi9Tmk<@OJ4`2l| z`_!yNv?;tAVTDonh?^1hOG(Cb^`dBz_sI@mZHiu++Sm9R?&jFk_fZK|Mbx_(n8nQ&&u7sw)O-;uzlE2fvfA6XXCHV4%$yE- z#};;L?_EQPq@$m*9*E}0;ILS!P0b=qKu*V)f?Q&z`cu#9E8jW`-wTQ>m|*s$-9Og_WnIsN^rdl>1Vr*9~Uxb)Od}G`X74ce3FwonI`Yv0!9H#2hps z{F#lu1O1p$TGMo-lMY{Km22fp6$F1e0T`Owpa$zcU8+dHIHTim%ei)X3`7s6w%9(6 z$4K%HCwEmbGbpqY+T|XORtgajE8t{YH4f)9)AH$D$Wdj5(#3}Tx*&>!+Y1>ISAmHL z0_ih$w-tj^9!-&U;MeCtX~EqXJ=cEK$k#fBr)wD>g#-``r^Yx88$@U`i@G{~uI#9A z#(^j8^={Br4#vbztvNhd7pDVU=-jE1mQ03YKV@^iszt z@Q1ibTG~sjMFBam9|DIHZPpL?h@=uoyC-Rw9 z8Jor{MqLWfQd60BFBkj8spoRPM(JZ#K7NONgGE%C$2YHo>lnEW4x_e08d#xRWeVMR zyYHs6HPg&(d_{EIswK{O!89H>lvEk6zLSjEte>eA&@}%V=7Y_hX=z;u7y~=64 zFwI?VdgUHmXpQpf%NQN2fORgK#t2z5!xU%MU8d$EOP;{}bl!Rekn}bkVdU~FU67%( z4>vHgjWuCC=gd6qBrb_&xyhzt?6j{~Egp)~UZ6(;lW<{=M6Lam(*m0Zsh`4{Oxa06 zWdZA>2t5>^b-JEc*lBY~g42!MRZca+h$Cc@dFq<8lRJINxR)w;tV+>e#8k%a4KTpKtH}t5^Z_xI0VH#1cMY4Tmm1B5 zwERy$kf<+7{i=C&-PwUm3uj_NGMV@eWAHC|+p978B?yQE+F(4V^PQnP%ILk^1{)5% z7d`E#neI1mDGwW{b7%Uam-m0awev^I_PdNx4;ZW~pv$fQ8Sk|p&tBRIaDB){qyW|h zfAtu8`j%+l++I~pOZF|qPseYvV%+`&{03K+F=|l#mleVM`W}iiHX>L_0YRpopN5EUKanQ%(=KBH1y)FOULCYU@WpEE$?Hbb*Myak|k; z>B44An&(Zrtv=<`kN?Zch^hsl;g@b5#JszhGnZ22rlzC@KOQLmd`S*z7A4M{L)~5h zj)~Z(z0|-{{)D=8m|%fzO}v!9dBw&i?tW5*<32jtwy+9Z-{1D!fn@!Xd8Tw{Gl zce~JcsZfcv&O$Ga6@jb9p5F7a;lJEP`;k>;mob=+C+`qqgE$U*2NhE>ZbTuOIF!J_ zx?~d7dKHpIas9!&N@iKMAy+KGkm_BUk&`KHsAlsCQGA|daSsu+r3$0v5d85v)a{DQ z7X{dtQC+hUSmIs!Cdv7yVrbE=a6hjO6S86)t093ZV%B<9O^1ee-F{J;2SHS^Gay#7 z2k3$O3m7@30Y%FWRk_EMSWNs}W#N17Ep$1xw1rjb&z_Cw;_5q z#}>3+^3=-Ywx%s9QeptynZamgTdeS0?V4*&Cur<|z2gEQ2B}uvDOv}G30sI$1u9%Z zcrE@Q0Cyy?5LB?>j$Tt<6S$nK6(@62(Yh?xOP>_%=@C~cgZSeao3=mThv`SXd1YHLQN0FglL$KC`M+9A=L{pNLRvxWD&j_U^It< z!7Pz0JZuZ)JoElw)_+PRgZoz1+0MtM;#Pgm4}7U6F&*vc?oe&}u62Wd))!U)6JStldncQsGs|FMS`?xPsQqRp z0vjS0Ne5Dm&Fv;>btwcT1tapu5fK5wSfX``8DG0= zGRw3(xi+cN2VPJ$*lslc_`i9R^&7tMV2sQLy{ebl`+c_415WnC8lvflPbp=qf*IhYr|z_KUv?LBiyo z7tH&U9nS&xWb#r&Y#mM~b4@c3GO|S`?bW#o7i$k?kwEWt5EZLBGS)X}E+on-|7<|* zKx@MXfuvb*Y}rn4#)~^Pjk)UFh!qLKcu`xf+YD{)bc0D+26;6PQW3woAl^;q)>doz z`#E-2D@-VFyl_cP7kUxl4gG60^ENW)LO${pq%>6~gLQH)S2FlL@G#1R{;+F87?Fqm zQv8}Avjn#uvw~#7BL8%>|Zk#)ubZ8z?;>Hkv#a|m~ozbzfj*=m1XX|C< zEPB+1^4{Jesbe2%(|0$%1V%h;U%z~TAKa8ZdY4dcnnH1u&cacNHSn1`qa;K$fJKgQ z7$`)zeg^(r@j~x+;=23+B_91gZ6wblU|s$cOuCQU$fa4E_Jo;Z zl83CPOBJW2&aO0Ya>Oz4P=H9*6>=B*BOzWMI*DGB%}G;OLsk8{IxI$OL}_>sQNt#W|p;Fxi1vl+4q`C_SZq8 z+oM1|go6RRO-=S%pdI+zRt$z^1RmT&ZGH%mCE1MVN)822Q$STa4ISvkoukw*rE)!s zJws3we*jsSL94oFds1mH_3dApBzF}ovjiE;QDg$SVf6g*uGmr)IdTEpw!(!mP!=o| z&YPrR@P$KVVJ^3ibNGf(;I5047sPw&qT~YhnCid~=%HgT-9%$&uLIPvSKd}w3IYjf zB1cq{R{{!A0cXv1GGo-kK)&=JsvDm^cBGDEck$1y;Ye+1Y^MEz_S>r@CPC>r1Rxb^ z-z9nx+eGt4au{ZTgl(}TDWkg*aOU-;N{iD@RWhYeMgT@GNp=*nUxl?+^_04VD*=?V zw^04Fax^|pAZfr;Lj9O!t7@_sf&E~%+=|Fd z)l-~l7x-+@;)1Z;f))$bIJKx6^wp0$DhR_ckVSKY1IEaTlNND_gImvp&^*C+hD@N? z=`gQ=upHz~#-K*|LLNBChJE3^kELv<)`Z+~zXOxR{xc`TH3&cphe(qsWa_DqBqPQG z8Q{V3l0ar+t-**0*;1`=y%tIByoT9@?8K~ng**w9&om_>{nN~aY(AvPAjlf8@8>{% z@P-J}W5KYe?+pATSYfBKVI>;L;RrOJ)$m>B)*dxi#2Ho>QgNZ-g@CV!80}O&p5~!q zJ%Mz%7C2=ZTP8TD8VN4Z_KS3z8C{Ghwll6m20?N(I}!b&hZa;(Vp7E?7pp?i$G89; zVO0UI2u)3mk8boj>ubF_j;y+XBztLMGc*7-`F%2FxWA@+E_KZwp)CMbJ4KU+5*omD z7#XXH0i(>C1pgL&ijpJdAg=;0?cocti#wt9aEy*9+I~?$O`Dm>Lf!QFf(#P2wLp9g zMUNnI$r--Ft(Odx`x8iy@=t#aPgeD4Qzt|`d%Pheh-L(j*ENmCNLG``+N5iN6=x}P za+|d;x9_9v>kJ5vT@S-mF;ta1o;uW&#AvIJ1B0cvnyaFu^V1FDRUWG3UbCQWKYTHi zSlQnnk{#!y+z5@Z%tb$%cYJ;Z%AJ+gaKp28cmU~BP+WoMB8Fl!-Ukj!tn8{cvLqo1ITG_MQYN z3kGN;!K(S)IyQQGrKv~dDq5V*7nL2knqbn3cDdffSm4~QS-iAZA!hZXY0$@h8@{r< zRS@eCi_?_X2I~Hk?Z;p8*c7=t5nn)6K|RH|gqg2b{F)D^uYjfsqF)R*7U`}2M(s)L zCBVLoYa_Pjs_n%u-9%U=_4>{bp}m7xq+8GkIAi9I8tE!gX6%&+6?PS0ngYDjIeQD7 zL@@YBWOioJWJCcc27>Ze?0X@U9&%@EJ_wj?*n5@$>AIC_^wR-M@rq1}DiRe{BdEzHvK_*-t7uF14aeQES! z=NSpo#h+Kt600SPB$ZqQA0V~oH(=_rA^-%40i>s(EEQZY;uRb3>aM87aIx2TO_DI+ z4pa?@uO`raFtSoWEKd-j?qQpdPmXQz>3&AvY}|SE`6|XWY>LcQ%vcjWiX={Ub|nk9 z_A_*%(=(4B_Y}TRnz27C$~aNyBoP(P6I2*H7ZAB+cRX*5siUZztFYqD03`yCNkgm= zjlgPle{=?NmoD!qHDHc+I2yk}$bh{jIJPR8&-67DDClReL1q5gqn!tTTv&*JlLt;~ z5=2ZIlJT-aHD0;hwz%V2;tA>{-!#r3W-09QJ3h<3^hL)-U!{;rpNj`(W#ATa{75Pp z_$nVd0&X!Jll*RDURGvIz!{T$V>0Btuk*lId32ddA4`2@r548U15dj?`XCewXB-dV znt8BJb!RM8p)@@8uiD_V$Wk=+o?U4Q#>rS+rlv@tQ1rzjCYA6Sv}i!aV3d*4!p?KP zo*#i($YwqD6TO}&89VG=hoxI3eP<`&6Jop0)k7b#Ly)2z)JvFEHsZRe-k@V1jI1#7);}ss=?~*j2WdVci9x?7H}u zT90$#VSF@yXTnb&>*e1NGA;HqV_*Ybj3}U7ZT(Y~4U2QzuojLr(LuO%hgO-}w;*wj zt+v!=&qj9UH$}>df7cO8zcci}Z!6i`JE*T-Z7q9yXZPX#RZLDwhbiOb?5=9L2Wlw- z$IV_Si}7yZuruEo93#Agp{u$jwvf)@Rf#j$SEuK42m(#2M`^^uv2z5t3)$cifz>! zID}MeT;doTxej%1RTu?I#&IYqwnpPxkSb5N)8yh6>EQa3!^Jm${l77hYWfo6{+JuNE>%tW;x;3tnS^A_!}1^3V5x z4NG{yv~`I}s34e*Y&3FfZDd+fM1NM8j}jHguDB7@O(=3o<4(@7(^7fW_SQ=6AnD<; z5t1OJ`E?hqsW2xtX?>pLGyCraMbZ#ec8oV4LFPAWO7x= z!h(v|tnmt50UU4M0Zr=!Pf*Yk;XSb@qi?uv-M($Z;Gm^-XC%wC`s?{|{iMG88iMc; zA}0eO8t&`ASlF&Rket~^r1ko*Rp4Jw*dmviGEL8aj~++xEE6w9jk%b?E3B8cA6_NZ z65bn?C0y6_Jxs1>s)kwqNzvsCWtV?&y6rutC8{iy*MCDgN zZn(^Pu`4_pcnSdHKpelxyrD-Jh~)?hA6QOoj0w?0ND!h_-rh=77RlyIBX}9o&Q)&p zZY9aAnbENoyH=~0Q}<6K$?YDN3b(X(5U4;Zefb9%G=p8Xp3NOuNx1D7!$wdEw++1| ziODR|eI}b)L#w@rA2laUgzNB?3A{a_eo22>o=c*Bc`^ltkoS5m^k`vK8q=#bQ*{~! zSI0VUkxuLC_DF5z#u3Ort^Jz0@F7_Y*fgT4+K96N!Sa_+f403qg&B`H9i}I4sdyFd zKl6ZC!0qen`2QE>xuOP^hQ?@fDiELL zmH0@~#xOAs1Q&7MQM&+;XajT;Vgu-oer?Qgq(s~j1188LfxFfWaHyScmB0@fOYkdT zNgv1#OV~17Qud^9DB{T(CF5Gg)J5wHRA>`n0PzfXhfKb8Lsn}jm9*W--jlPV`-k(h zp?&2o*0a0&+bctQ=x2-XTgl6|pAfGE@KC1qK%6sp+MoIJq-ez>Bba6z@;>=q22&QX z%T+SPE4}jqDpWY&HQjn?eZ+Rx)t$Ao*!XioT*!El%L0k9$=j(lUk>tFR!0jpo&=Mw zT&*rjHyvkOC)t<|SC3HRxoW&uZ=42%qw8t~Sl?{>CMky=IrP%b(rf%o< zD+bOSy=8!8S{mXe8IxiP7B%g)f_c2&SIz|k*EJCr3SwsHO$dftZ|o~jFNAyNl|;_Y zLKLpgL_L}=MYD%4Gp?tmdk&j3G@BqekA#1)_NIpj53pg+cqJSOr~vYXq{I|E6rdSl zlZsJbwZq8WJ5v>Ur$YiwM#ocCPF)(xzwVm7tEI4zr{p^`5tjF=cE@XTxfw<`yFeIR zhXGOa-AGf*CFrcN!4p;yyU(WUdsAasMzDzQ8Qf)ZEfOCOTcKE2IP1kHx9gcLi?If{ zSQq(ZFu17M5-7-?j!?>74=w|JTmoI+Ai9}9Y5OM-^dvsmg(P0l^+Dk}0Yl^$?o z*@`x{v^ULIIE1r)5<9M}RBoZ4D^9bH2)gtc{xWezCc2B2Xdqc_!DGli#bHhLKtx)Y z4l%rBpT0s$0yEa>3(WF0>zt=bv5oph^GWXmEB9aZY?n4>KKE-#pa}3pSpexCGD2Gf ziF9cH#w4Z)lAzJ_34{qp^F69bs9@Pe|scLh9O@M}6x)qiSn~;>J^s-r? zNwyNC72PDxUp_AZT+AmW$)aEPP~g~yFu}cH8`tWfWwjs0m|kz7^i0li68poCic*q+ zDCAcli+F=D=^9mt)t5Q{z(#9V4^VsPxQ`yMKZCB)b7N5O7g^+nxF$x&F0vV%KhR`IzdRC`)fB# zO-pJhy%IR!vQ@R8clc8l@&Ca1t9O$9!b`1`!ZKK@*TSABBiGf|HUbU8PMmRVf^EVrDt8?dO|wa7`+F}y$i+`9k#&i$H+4-XdQ2QeinkfT$E1L%r*spjKBQ-;63-nhN-YV^w(%e09k z%E&K%Ft2)i`wCsDTWtAuBx6X~TXO;@^t2bWH`_Y%e|dR~`TK|1Gn6ip%sMzM-{hLc}XX-Ii3 zCl7!T|De~&MY~T8?p-sx#0 zyJq0F;HV<`<3VHH^g;k0^8co#(A1O)2Ll;^3h9=O7OpRjV9g3Y9~#7dX#U%)joVix z?r~r68JWOKV+(W)!%~{-39CxFB&NF}9P5Gh-70;03pR}`vNHM5JYlKMuko+B=ft=E zZi?(sEJsUc&~j(#7|4Q?y@Q!`k7Q@dp%yXcjH;t`Av*KQidh3I78{?@B-e-7#G(YM z;Y@@K19mmagK$f<#KOJYxOLyZk;<9GjFg zDx0RlNvHaPwZvnF&q$O zAX^C+PDOS1_(&dzN8^wGO3f-VFcM$K8y=>xmP-Nt+wlj87Qo0!rd(R19SDt+9oek+ zdlD+H%96t&z)ZDGj)+db3Vz7gg=JLW+ccp~U?=vZCd3X9rcV#9lWV3TC7S7QKza@B24y#6wxGu%Ep#D2KWbYGpV}gO#97K1YpHorp+Y;U*XGy4Z5zVqL zwDVQ73Z{+=r^Vj}C&i?Vg+n-cQ#zjN@iB%G`9Cg|}M93UtIa#%SEpSDj-l z?ij&ht98`9c#iQrE5^^Ca&^Xr%pia$wGcG+iB`0_?ccz`zQYy zg$%^WDO6hU>*J{o^ZwuF!@o0xeU-!oH!^yEboi~dsNejG2N$(;es$09&M!ZZy6tqT z(}@6Rou$%6HQ1FY=MszS`*5ZG?Ysr}E=rhGr{ZCRQ>8c{tq2B`|=BU4u^? z4x*EGIG($YaT~#>p_YsX%SV@EcB2V}Qq@ippnc|75qke70Y@uWtLP z?*n~R(|Bx8b=bLuT^zOK13FBx-}%6^$=(Ne7=SJk#36C%tS>u=6!Cq!fhC)9XCm-b zdGKX)@!FEGsD5>BIK8m<8HF~HY3CjIo~p{bO|q^}Z0C+@ zo_}mdZa?}DBxq8-zubS6U+nB6W!gJ(AHLkt9ef$0`_4UmnC%_FD=}UP;V&ewx-)vK zxIymCmsmlz*Vs18<*XJJ1UeDzX#;h0ITg|4L})%ximy$l)>8TlU*zRdf#2Bt9{u`sJG^1iX7G>??MMs zi3-sYOI%KfU}??hU)~|c_ffb(#1$Inl!o6dwnr!Zya!mN;OYEMDZ`y$M?yNV%J3~| z^AYkkROZnp-qQOC1U~DzSJwHd(Mxn8vU1>XFeHEeNDs z4?fP@`un4vzDapb4XObkYL*NT6EJk){-6$&Y`@2wB@)`TOY}4^(oX9Ufc6GAmEw#h zUeYUsFQRx_*2)sWDZLR`m)=rUCq zkj~QPU)g&%_ghDV5t+iH`)qZ>p-vQvf1_a1E0K!X(K{NnC{5>Ak)QL>?`Af<3oLdy)mQVaKJ5 zG{|@?{?oC+upbuML^R}y$VF~Qv9ZWRZ?SpRwrw|=p(|`-dDdf8>{%|h`QYn$GZK!@ z_G_rMt=o`bDEOZp{GXG58sTmI=2y3G{p#kuze8`p9D?L;Uj61*-+gyW|BpXD{*KMl z`rOtroLu;`{qfQC@PqwulRvnr?>p_^Pd%|);lj^FY=1KOar6vcP_yP{)46iJ6GDzQSmrrg~^u8td7l^ z2j!>ICoeKgC&+KO4XO4U1jiQMz=CXx=c^7-OyG1=MV5?1*Y`9JXK#>f=JULbJ%5%x z-B>VquUYiDHsvN%kPSR4!m?NhOCLyma_GeXb^i4f`3fvjh#6Hr*~y#Kn)Rn|T}qaX zv(%Nu6_dhsV8(PKAe2UDCu1j52;B&%WoJT|L8QHisz)HqwcLe5X+7R|C#&kT9aI(p zgTI&gmfNUkLxUrH&()swOM71S?uW;5Lxe%$hNZ%H3eXrMC!uog=sbIi6>BG{N+%Kx zdnr4CGb6mcF8$)(b5Q;)b!Mj#-ez7@lsVgT5!ve>n{$tu*v-Re1w9RiQ*=yf9pt`L z^MxV9@`!z^7ED3Ym>^x1Mb;jsi=LJ1#|gCBgE2Gk#j#09y-0Y* zZgBoI&~iOk^4DT)+ZbZD8^HI?1|`g5=wDyi@bc)26`DGeatH@K(}t?JRZ3!!#p-iy zNGhzPIK8)&8eFt`Q^g&C>pdNbn1!&gb$Mn)6l@U(b)jwzV^}ZTk*6b4(s(>{befmZ z&AV^+_r$yDIC+DFuQ^5mcZXei3~~deo4VQ98h-A({*-C2#^*fySj0S@($-lKw}eC0 zm!-@+<9^1fP_8do4;n zQRv4rqTDBW9_xoZJWH@X~ z-E0@k=&AOkc8?$rqN5Cj>>f0vuD)16l|kbRXW`#{*QEa!$inZv*xB0M-Tvdski*KE ze{lv#K%6Da#M{6pA)WCqvMviktvt4(t3pw>qzto;Y`b~nwQKhZj z(bbTwC^9YX)utULSGd~0&#P4trN#3KVPf3y!l)~AOcRV;TU2|ddnW0}h#jgki1|Z`v$S6 zMDm^u?;#3Fo#DBtb*%wXuH4nRQz#ZGQ{cg%Od*uoO8v9bhnakU7?{dw5gqQ6!(7}b zW*KcL6Eidu zC}7gHKD>to(3P^g^au~^&F6Mb;YowGvRVGWLtJBPdtU?cPe72ujK`jDF z-Mg0Ki6$%=_bZZm9r&2%+Tx<@Oo;0guzcz8&k?cKAyRc}g9eNjI{k zt(QXL4ctT^$$*q~bd~=QZ6LzP9taiY7x_zxqmc7rBg-UZVqXYParc)~3!EX*`r2&MTC~ z(fON=P5JRv6PIIunV8(eJ%vuNSmxn*E zQC1VY0>R{Xybgv9&wxp%;6-D~jdA;(`su6QpYHYk^mXT_cc7Tne(wc08wX=zD@m8T$&e zLonijT2+M^%cOZ3Iks~+Y;N4`HcH;ZkGAH z5?BVs!-dRh31|Qox5wjMPRINBZ`p5+QdqCCJchj%f-3k#(3W;&gU?VNQ)1{@zvSvW ze)ZjjSFf*#?8|$HWbIg4H)SRrz*|2VsYKv?8%@_M^jSDLGn>FPH~e&NI+Oz5 z+h5)M>g&6j5#wXmQOd`O8ViWTvt*CL^Vw+gYfP47{BQmxDs)`n`#JHO=N%i5oQ^d7 zFK^g_X9(z^LZQ*R`I_HX6{Z4>d%@|bL=oRX(L?rm?@f;ZEoGj*y+X@sx-;s<{hgOv z&z`@$bNh?++uc$0-)?Sxb>469EdS##7ykOr=AFLp-hQY%mJStnb+d;Z&pPo8gow|#%>`S#N%olApBVF|Zp4*MQChd`)E6BHTL0p$%@ zf>j7|1mtE)dOXR@xDgI)<(YP4^ymyEmXXGU!({(!edp2ot*;e%-}+{RjRuPcanI(h z&D%HZ6W!su|LhMt&!4{h`@T8qzuN3R5_F5z3yHm@c{;pzC_K#6)I1)cO{URTuv4Tc z>8f-bM0*+|H$Ykb;@xvT+C_BU#c!W}|Mc60UEAEH4?~Z;rLq35Ca%qo9R%GaW(a2TSyu(0O^95axy>I zdcOYT`K?=bY|-D`eem$+lO5jiozZyy@vo;``d_9y?v&c8YybT5?zv;V!=f*6)1Txit)CzPGQIjV2}cJ2N+kmtVm+n~hbMB8e4HO`cYSeaYKczjb@F^URwJ zp!ZA#g}d?6SF-is`|a-T_~Ow^?x5GZYj%eF(aZb4-`Y9%qIDxj=r#<8*8+Xv>?~@G z^>=JIo0l&AC5!WGjOy9w))z=cAo&{BX3tYR{7>C21tW^>raQ%A{W!#PI}hOY-uY^I zz;}MSz58_Y>szbv@^`;#?m{_ zp5A}ByZiD#{%-5>_IKUUe)PNT2M=Fv-T&=Y_r2LBt~46RfH(@S%GT5#U6wD<%*C5k zUwwf?ai9%3N$rmAKj~%w{X^9TIc}uq_GqFnQ^a+O;~U5l-Wt+KzTNrR2`VuN=Dd1S z-93F$)X#~aVfLm+13{kE=BDVvi&IhS z2&zc0D@#q>YDywNxf^4t;g#>{4EAn;yT|VYV|v?SV`h(Z4daXIm9g^O+Mz;vW&WV& zbirV}mJT>r`R(=BYFneN<>P{b-~>VqGv-2Xpq#)`u^hlUtf*KB2{P)CK_?A@YQfYv z$5RT=JfRUgn>AI}ufGhRk$z)mG#y=NP_)GaugCK#XWCbzAI4a~m;|@)BGIUdv1PZF zpfML3y@O>q<4H`Cmj}R@7^L1qX-CcQhNhLMR0pT0Z@;~H^T!{5+&Bced>@VAdy@@{ z!*A>#U-V9Hsnsj=bgfRX%D0dks20DNpK%=fPXZ3^2}T#W>-yp3{f6+JG5+fp(6m-= z;s3CAHal%YK@@%!FF`7zKoM0JmMT%H-Lw%by9#LnSyWUBLG9bHs%&X695_jOH?b`eL9y)>nU90igosb|1g|M-PiC;w z6zg@+O~W*FordCck`X^_9&v$biTY8afr^YUUg5Y8XHIjuT z*1%Y81P=vx4;;!0)FiM9>mlLy%JV804h;hx%GZ$N2!@?S{e7cezLccbpKgA!qinmY znT@FK!AvC!DOR5toqpLJogQ=c%S_<@o-+dp4I0%F&$1R|JE>F6iquJb)qRoSU;a9y zj65*n2^i~jMJY=nsNwXM6q!(=au+Wln*af8g^>9SEQ1m7NnVw7-Qa6jF^5O{hgdL@ zeLrIM9ThZ5XMY&N$j}9&*@7Y!&7ZWZPEo#bIsYr_Y0*~Gsxa_;@;l6RsY}H{&PA`c z+wyXYsOy#9YRjbO*MH}*8V0%b&AD|+b|GC9d?^v;>mB^sTrN_NE9PwjD@1*Z)ftVv_VL;mp)c116pI)lrAR&%3wKpkMXRJ8)U;~ ztnmQublpZaeu;!{6YufSqhbo$V;KESN8jE<&O4r9MS*dLlfsfMvLSvs+%XlyG;BHz zjR;joN``g)Bqk%F#m=atWKi^oD4AhKH=a>n^Ju1`b5w;{V)rZ%SQdUHnZ_EBYnaYw zoX${uA({tg&=uex!~FRkkq^EdC-9AjZ%1dWgZvdsz6leqVfLPI_Sh=`B^IqqMl^vT zf7%kFmi-w{zt*SUgFIe0<^kg9rv_oF5(8KHc>C@~|FCglh~$te0eb?2Cnvin9YhAE z?78PlpRa{9!JF9B-_mc8Kn@K5X;}~FFz_sZ{@5mhDo&(5O@5)+70c`)rJX16F%Tl4M>avE%h`>! zzDjIU7Y@C?vF$YKX6`|+3aRqkvYu5wSkv*$Flb4joEnK{inGq3z$imRYU`%JFk~vR3+=jv2lK!A z|C~2~``h+N%-laTBwCeTK8jswiUN6j=rQ;l#4ApsTG(g2vlFuvlHgpluD{_G!G%2{ zV%4U(Tlm=kKJXlPkg@0EYO&nrDf3Gjh4T5XZHB~1VKojn92Xw58!DW+Vm;-`0<3-y zA;=Sb`QG#Fl-=d>D*q1v0RR6308mQ<1QY-U00;m803iTXCROR-L;wJN_yGVI0001Z zY%h0ja%*#FWo2}8FLP*RWppwwcx`N)lwEJyFcgOGC+$C2zK6v5f*@#BTB23jq-ov9 zwQ(Gk&;mo$3>*5Xz_tCF>hh$rV)(aXtq(jbq9#yk~;8j*P^pMO|iG&6gBso zZosta0I?KOxP5?Pq}b$k)oMeR66)TOj54${a3%0d`!wPEStccz(N;HZ2;}JC`Mmrx zDkI8Hr1SdUgdtgE_=E5p_=HN{XNlw|R`LW(-w7*DFyAgS*@$|E|Kw$r&P%cwRP&q+ zszo*$%t!O9!D3!!SLHaruFCu`zL*z9N%F zQH=abko**UYo9$MN0)b8a^^UsCm1>1eddk3=2C*XNWt8r*6NN?ztJ$382RB|YJKln zx1fr>pTO{GDRbh1AM`gxp2G?G9jt^G@DZJiJb&&@RpCfLWlL)LwU)m`?bhH7^47ee z8|l93?I$i)YX@I_>-_9Z>irG342B-;3`y?mWm*Ch?nnuLdSPhkF2rrm9FEf@PD$cT zy1g$jJt_|x*yf;t_=<)kFGS!eh#($C;a?))M;I-+b(QeuF=89*wCYQILCKC3h(}7E z4M~y3#WT0C_zD853PvFI?vwEu18ly+DEh7y>G;VCiT~5NC^Y>a00030{{R30|No?& zTdpiOuBNAA>;be_Tr;y^8#vx;4a9I6aKF@Pl#M#wvu|aHjMPu^S4gRcDi~WzE-EDP zCdC&&{q^S`fBgOV+uy(a^3%Wn`+t7;_s`#^Z$JF?e}4PdU+KU8v3>jD&%e`utlxh4 zztj5L@BjGc|NH#ouiyXpSNg|~|21vje);M5=WqV&`JKc=TvDw-Z@zoO3{or;>L_&qn?OJ(lnLFX=@ z@5AV;U97%ocKY>w{^-=#ES>MUvD9~YP3p1!K695+-^H#B?PB#!KkC=_`J+=`yN+|? z{agA=S-boXrFPS5)$@Ip*Sx`k*xyn3`6H@uZY&he{{WBEOv;zzh_uzrN2OQGIh`p>O^N(D(K5jz#koba|N!SP+kQ^nLz_ z>YE!2ee*wnzQ$yH`7YCgC_H_h@krdoQ;l7w&EL6TFdp}UETV!W7%}buRv*Hn^O$;&XcbC zzeDEF-%6#ucUx`zBfo-$|9I_JeAI9GzzLk7jWVRQ3^P_67D*p?u+F5YXS9LF^zwtV zM%HusbJfWD*W*`wCpu3k{Yw=$6D@rOeWqgNlJD&9ME4n_UwNP6A1)j9EA5kA-KjxQH z?0C}0uej3ADN6rR>G{L1>Y&p`0+9LT6nnIW^w0X2Lnc@~`4@Q9HfoCc5TiH0oMMmC zRi}8!M5Tk&@563I`B^!#o#ojtuXt*`rUzNKdUMq)N^7~Qy;t0w(m@|$KjxQL?0M8x zuXxDBNA11hZtaKs3Z68xA1|laV?U~y;p|dF`4>>g*$#h#9ZP?|XM4!T~ z$!-?!J_4 z5#?7f46+f|x6;JpSA2Ommni)~A-fTyK4c@VZ+XPyS6pd5H#`fz(jSzz8!_lJ6{QA< z^VYy6UdMUIuejFEB})HN>&a#0VJEg11E+W$eyr6*QCiDoUDQEySz7wwKu8F^zU2dt zU-3ulilx$jJCAC=&VMPc7<>>vy#_9?;W>iKvzG`CnNOGZyhCBHKS(1!KxZn{MLKKt z);Zw{381}7AgyK5eEKl){HJt6wVkn02k6e{gTultt*v?iX@d;VdJbtVR;&C=u@cUI zDOSQtZ0`2f(ctl`bG6z>E3Now?SX`J!bfXO+S$oH+Td*PmLA;2qXqxw9<59Hw&G?> zHU#Itl#iCArQ2Iafyb}-qxCmnrpaC@5fSicCwFUu-GbSI!@%os`1lo#cciskwZ)|t zd9*&EnAzv}ht@hkpl)qNFHJK3O2MBt;fQQ6tat=i!5ui?>F5C5J9CBZq)xLG-WrGyXx&~>@uE9N0pUq8^Ev$%y!^lA(v%Nf7&q@GK=Ioaq@|7#W zSpCoA599IrG}+S1*~zVhw>;Vg9?jV=m%d5=(lz*GZJNlb%^tX~XN>sg|NiGc|M*wh zM^{%X4*__$(zyIzrHkB4v?G$%Vr|R66eBwSrI;*sxVjT(*FGYDNz;u8YN2jK?tt*n z>A8+H*8e*Hr5MpnGV1-UJ2JaA_5gfw?qS1Ih!c{Q$&E;_8#=t*~zILxXOkVQ9b?JovW08DOW_`DvPVx z5QRKb4|`SdTF2v8H0PJr!VJs56gr;&Qmh(w`TF)&rg!{`?tW#?#UY>`DM=TJlzgzWGP+H3oxs*}*;E2e1>y0?S_7P<-R&(da-{2eCxk~9@ zuDZZgE~N5&3tZ)O5%2ibsiV!*q%~)1W|4hLBR+0hvN=1sjU0H*>uT5y5=)z@No%=C zG@CrbY3T!67ndE;jt4ICnV`2XlI#zwi=>)+-qfLGpVblXT~aDVG4KYRR* zbC5QImsS{LaU)jr53)tXghGC9M}15v7A%*iw2BFW&sz z4*~TJFI~unmsT8-JwlL9_}q!le~cE24*?fLl0tF3ltcgy$(}q*Cma&V79OKM{}6C7 zq^i#s0XQW0E^d%^-^l^RV>InP1Y8U$du~~Hb}x$nn1JFYGrsFQT2FplyL#!uv<Cg|EhAAjQvqnx%u{rJY-dLQ+@k89s6 zUD!$p-0F=Pj#0PzxOS`3g=rh)yEkSNh{tSS3E4f?;+hBeSGN*^x-q+%p6=(xFEKZ( znp~yPN}vgrsJ>BEK8fw z`FW;8;Qflb%lLZpN8tXtO!Ra}xLP~l0B!cDB4Av_dtCBXzx*MXuLqs4z)^N3kkiMt zr_??qqSR&_mwT^U{t%9fB$3lc;8MGC{Vd^XzN)FQiokK%L{fX4UiG3+ln~vr|!9V9!#2{&qVmefGYowk8+y!fh4z8jJyW z>p*w@Ahgd*=^ZMLmTiA63i% zTlx$K)IKo5_*7ks;)CK$G2Q<>ZUEwh+3Z()J^4Guz}VVn#GsCWHF$X?46%V_5jZdh zUr`}AFp?;w8>R6{eaFBWf&qmPv4Q#O_xxcq;jC&hBseezri#ErebImbgX&AM9u0^H zoG};WNG~%m%B~vCn1R6?cft(t4{Po~}6O z7aQY>xHhAvwj{2-a0XapP#}@crP61P1!Yv-1By^0R!f?3TrM(DA-D%vWKdv}diH>F zlgJE6GiqwDKTgsMXMlP7f|T^`3^aIpp&+p|QkrpG&eN+9oB`(P3z|~b41nu)VZVTp zP*Z!@JxMQ|0p__6*iisvZg+5kORDdIy5|-VFs|Y@y%Z>v+JrN}Ja++EdUt6xcy0kG z(WR9|;J}>cRv|DjPTVA^{6)$uWF^tmrM%J%np#}tXS!{D*ywU;E$oiLbbyk2S>M0r zpK(tt_$5@--hxvhs3`RV#uHyX$?Ey?^zd&^Gc8Ulbmy3%O!Gw#3&cJXTT1ZFrfkE2o z7mYNd%B(PYP>P1^v2c#+DyPT%#JVu!Ce5fab7%!E>D{f_kXi}}iK;Aa5>;j?OTkKl zt=S%j3J0nFlp)9T3qzVwWtO}Yq@*`h779{TWhE<-g`v%;GD}MePSU$7r$1!A#bRHW zOkbZU*Rm_}OEcJ&&Dj+d0s|`mrs#|gf|1#zedm$FK&sD0_3qRpB5+`?vZ??l92hg0 z1#juy8Ef#e%4Z_sjWol+-2LOk_|DUg17iVL!DQ<3#R_F2H414)O;dF~`!319Md+6@mj}Dg1kksYxMI z#2iaAYHAS>Dg>4my^VL!orac{@S*B6Q1|pA0>|ZUvPdsHkt=w!7{a`VqMDRNm1n@! z^`sdzwIJ3{6@oLs%xeUnYWVzx(x=!`2~KbC7DzUU5LA?zOGcn-&nbiwRbMJ~&n+Tw z0$fn2*elqq4AD9rtf(<7)Npt!L@JiwX>+Oa!kE<40f!n>xxptZ;)*0o+Kei*l$2qs zI+jmE7A^QG`jmq#dSRfz>3~U%J>`blu_CV6Qx3A|rT8Edn!Si%)pz5v0bw;M!-}Y^ z&A2dF5HO6WngkzJwJXwxEevf&m6>~w7*u@~dZ9_xRjzwY5do&KxM3{Ed-TX#|+-SGH~ zxmkv+>X?FtlU7AsJ--Uu0|n3 za0=-59?p1$NLAkjlJT-BkY=0$SENwJ7EHm;>R$(PYAD9P!_Ot^-)Lh!|Yi~Gd@eVoQ1db@Tb+oEUl>l zrlo!20O#iW{Ln=4MBl2uSktR zn#%>d*zX^H=D+>(w=|s7!7lDY0op5CH19c6WnqPzEq!Y=I?JV3k`B&Pzs*&^RT%yy z9mMg0(V_Py4pvm)(XRG%?bcD!A<7f!{et(1Q4o7jtJEI2rlBNJfKT;3Q@{5sB5(#=f}(IL+%t4wPmek_ zu!edrvZ&liwlw3wT(+P>aL=$aq+uS_)BvQ?KFk;dNUCLWNA!xd!m=H6pb?d-&logd zsV3<|2bOd-SI`&t-HTHQ&KRrmMQp0hfi=9UBm5~kF#l5SQhXXi{E`a68DnW+M5yW< zSgsCNjfYUE=)kfF*kk?;7!`su#;TVGXlf|GZJ=3Ah_iCWLz;15?yiCg!GX~kBay^~ zUlQ6C^Gniq*v*eR`vnEDMDWLr3nJGsxPhj4J#3WGvHpbRdN>kC2GD&WYAs` zY`|kp$j9PwJ`khjUPzQ?+%vA)EWL2gkf3vpXj@(8I7_G#c(e~O$J&fb%f@o25Zp7wfzHEF zt}NkdVA=JPQ)3kYSCSU?DW*B1a&_6SEa6J!>RU-F!l+E*uY?C4y!)9YT&WD_!8XlO z5k_T_KPGU`u*%mgt^8Lg2tb>0#oHkN6oQcz!P+Ns&+x#m4~Fw!sSGU0_-7mBpF(h8 zBrTgGnpUTcy3Y9XU#SetA0scbeU0K2f&(KVrMLB`){a<4P~xsKt|W*C_J7}O~QBP(X*hA~`o z1BOfcFuxvPxR!z>lOwBB2<{mY3(paTt8Xa^9jg}P=fA>@fr!8vvqAnT1ZRv{x%3dn zicj+);lhr>SHv&s|%Dg5F>gNUoO7T>gnbYwnY zRU_$0mT)x%)gx*ZVWJtjYKEP@fUN4<0WMwpr!38|gEzW^$;otcHaj=4u(S_d=z%*g zzGbGSDJbBtA1vjFSXiB=Dd*VrxyXI!z=AY=agpVrssZV(1#i#ni(&UK;H&z;>h3>a zXDy41ETtFhp7n#2w&nwZHB#`;60SD99Ms3xSyco&6Bk)3uM3<>!P~T3%s_%51JbQeZ5%;_`iR(mufh^@NH;Pk!9(u^vzr1yYfnWx-EZ$2~}W~u0eR(rnkslC9t&MfPR_+2fELh0Kcugn7EDlOV-ZEsRE3n>+S@I?^R z$NQY+!Tq`jFr^RkDbieyYjdRLS%s8K<;K29F*CMTyV(;$S9L=o3e0UtZ7x+#?^iJ+ z5@EhNC!?W2u7s}m-N!isc-?4%a^Say9AX2&YnDFDRBJP=44Qfj1H9%2fS2~6DhCcR zeMy2HokRq$PFvkj-$sI$i)p19x2cP1RY*A*_aebJPH5O~HgLXX=|k;L_M12`7t^W` z7#PDh%n=Q&Z!b5{!17<=A+U(Rf!Qk&r;u`B4_ZWG%&?1K9U)-OwFMBc)$wL$>4mP1 z1q%@atZ&aWFu-QTcahpjzyRAO=O-ct*zLg%yM`HHv!J=EuC2}hQxUkd+?9xk0d_Bn zVrUE)1FYR=3(2cKuqu3d4v=BnD)VFvGMDGv5I-Y;)IJPa$CCXaIkJxcbX@%J0f=T6!xdULW4HEEp;ILrt?t zK{H3!R#5xyTw4vH0W!l}Xb>>NHg^$sRv{R{vsz084eK0O!_l|$zSyP-LIZaZcaET8 z_l1==hM{3|12jzguuT&{!?xK4a}hM`&R(aS88ocjehVP1YQK>&=9Xf>7~6`^u}Mi; zg<#CX60-<0){xFC@QYXjZANS0s`}CmtpSS-7&WY83UXn)J_YsScK{jNW*2rUsSK?F ztEe!_SjWH`Zp9&#%&#q9{NCJ6+*yTS21M7^TesI|C4{lHB`4mvw%jEvk%DWB8RTKi z*er~&`r4{qUsn+jcNSh;w|8(ZetWP3|6v%}EF`h|!0PAXA_52I;?4+Jc4yxPnImLb zUlJ-fviiX4=i(v)2j9sWdnhh)dyBT7Z(vYFn2DlbTsfZv^d4^XBXME z0?UXs&}Os-_G11l-Ow5^gB(%M`qowh^=wA!nKQ`Jj8ouF@FOh0Z?3Gg% zLp8Egd&uBtz}N2AnVBudI=fmc;=I{fk!D;g_Qj`J=w-N8sHVeL+J!(?-LA+w^J^t= z-u@P=3c;v^9j->Kv%VZfKxOrTRgt2zh=5JtZ?P&74Ge5?B>_t@2X3rC|3%c9p8|iW zZ7V*ADCuv2I(zJN2A*DZ=!R4S>TFg>S$JmhU7K+RT)-QV&K~q-n}~GQVutF@SeRs} zsi{YP&e97vH%n*V1DDMRE;A~mM;avF{{Ev10q450+(0SQK6G4>D|I1##4>wqETn&r zWi~6zj6^fqjM0q6i>MTs0(uyGFvj|QBa+LUZ}-z>qu=HR^qcl!_E<#V zQgrcWgnoO_>@q^X_2u^s=(kz=(1H2ay*7JZ_H_z@8KYNDBJ^A5z#2;ANQ(1IF^j+% zb3u#>fq~I#UxbS5vx*Ia!6l?or(LK&yB_-1;4Eo&7dTGfsi4 z$VjiY;OwBT4JD((ZL3?k+V$}7bAW!^R#%o(ejL_0Sk!so*M_e73BavBuzDmBkm9!0 zMG}ge!#W2`2_sZo=bmYZB$V<-B8dPMw-vlt-7^8;_sS{SVH$Kg@5W ztGc?ny1VM?p6bj^tTuv`eLi#&H)ots#e&j~{T?|?QNuJNypLNu=-N35vmh3!K}Rs7 z0y^o3t*2-X$Tkk-Btk;@TaEZn^i(fIvN zb~v}drL7noN%EzwlHcf1TW)#^Y1QJQfLXImkzQs{VsRmJdiS~fOAbH}caTM)x7{#4 zys;KE35C&`ISV^Yv5s-xwBdZ)s}HXT(c#*w z00fNRX(YpQU}S_xZ0_xI@;_A8Hy6bE2fF_;ubufW zdz9OSQ>nEUT_)ut3idwwp#OwuZN8IB_e@CV?qPDwXGgSpyG9D3_)g?xNoP03UKLq^ z!1m3=9Hu~z@7L}+9YvMGM9wey94M~>{eR02(Kaye=#P_AFJ4yNZeO#l&?*6@03K#V z6~Y}!Pe)-D60}%w{=VI*FQ0o$9sSnA7v1hW20uZlK^6E4cF$hiOmx|Uc?wQ3BN~?BK`!@$H(|GpA6}TS0B?% z-}M0z%%=T*f*6U$aXmjTWH^r5`&}qS)N!81G3QDr(XOJwQ_}<8ioIR>&PiJCWO3yx zC@K?VUC`5+i+*yUl|ZCmewCuhiK2Mk>JbEnUGGy<&u^jq#S1GIpUVj3t{Z|S^UQQ2hYkLNQI06vCJQ-&&tNMWGS@4=6U z_e<6zO*S(_<5Nl)q`t1^YDES&V~9o!SZIWV9kTYDG-7mY@w2<}U(VKd}G`}IkXmko32L5)=%9S)40+#DbHxNn|J zgVh}`DN4y&!Kf3#Y%Xk%@sv!*$P~m|x_Bd`miAFlOb+41^vLMC&-UtV3d!b8$i3}E zGVEnjZ_)3d_iUeD0b|Xy`i^LG{rHf9ZPbErD5--Y?MFu;?2ny+J|vy+u_eT$^*{CHw2AtheZ0}uMcuU zA`kVYoGU4*rna7PlIjBPKKUkpV2dk1aK9vU6)yeusLGIlLfjBRHnn|>W7@>sz5+JF zcXf5Ld&$Si;Vq)-w>fPd#AFV?};YPj1|-Rq7W zx_j4yY&qV)YOX=2w_{VpFJA(~7meV7tny(tT%e4GpiE?7i|SzF#0A2w&GLPt-bpv#WJ_Ke{B{ItPi&qa46M4tF4^4F@ZHxOrU@ zT~K7is_`cq4!St3UWtBHF1&&j^~ohrx6*oJRbC3lX-B6|gC+*)EY5Mn`#}P0@}L&X zP3Z9xMvAg?{{_YFWPO zmb_SRPJ1KLi7B;k`3D_O=Rx_se!$cE;fmItR7tPBSnU~z9MQqfY1!^rA>I}-nw;z_0y4>-6p8E~obsF0 z{G1=s-``)vs-)2q-bPgs=y<7KdBHkrG$!!mykbvs)|ScxiQ0z9%LYw(U1ejHB@;!A34B+Cczj#e_>Ip3z7J%Mmx{Vqrs1k z@X8O=J*555ue3>N9>FpLRn4BDM*`}{mW?)b;DGU!E8F+N!jTW4qoKdb4RF9AiA|Nj zWdA5{KCD5Ykvn`=2cqxf&XXGUE@E|Ymw6tgQJ~n(%gZyhmrhiT2Goz(nuxeo1V@@( zCOA$6*ne=t@A5dc!u@NB?QgSEe zT=|uRofT|me{`iA$oCQ~KBB)Xwkb3eV}jq4wu&q92%6?n#GBL5&J1QTDdokk#M@8R zXk#;jQh|(?qf%b~F|r)%8bZGct_}h$$m&jXm?hg<$3~}=&5s!TPlvg4P4i}&kTjRN z0OEQuI@9=e!&0pKOA0-?{q~0CQMjVfxK79){B)%L#f$L~^fbWPb-H4{$BudR_=1RV z@ek(cT+vRPIx>j9!)1SjW-4pLetLj!0Q12=Y@%Nrouj0$T^L`()uH=w{{sirS;|vq z1rp*jXOkbZp-Wiw>(z<;Z4=2S=F}UWnK5-!vdgD~ZrcO{B*ldk*jj06wXbU2@REwz z(M6aIS8c5JV8`1LblnEXmeE$|LFELqDS;X0Pa^$+wK)xw*O06RJ)pJ|Gt8r3Ug*PO zN6njeLI$)V&kS*uiHxk@1h96JQ6BWrTPsSx?lIWvo%6GBe6!0K(mL7BP0*6?IsCCW zX{kPx{TsElUsc~hc^18uUm^>p+~HsaE-xA@YDJ!dzryz#Nv;K{`&XVP<+pfphY=?8 zA#VuC^?KKPnn=!iZ*mk+XdHAJ$+GKu0?D}U_Ir@80!z?*hA=u@o?za&p#!^|GkPoA ztes=UW&-apujksDt50;QVi4w98{osiuRWq@A8xG^ehVOn3uqG%&x3IwQg;R%D#v^e zj-LcX0t0FCAgeBKT5Q}mVpsjos%s~t)xUJjoQl(jU(SK3FwH9ZIv0ED zX`()TY<*IR68k9-sfs5u*5|h3H!fM`@B4}I+HQ_XuBxh)(L-m_0r}w?)yH4e4|Qe8 zvqNe1xr}ocSTK_=8)14B^yc9LhtAo z8g;R@v(=T;oq(=;n!0v4oTt0|cB6Y9eKH+k##j-(;R)Tt5yxKaly;bI_#pUpku%+0 zUc4H5_Q<^g>S>PDAUIGfja@_2y(Nd(bdEP)c-`!Xhvfxo6cw+ zb9j!7;0XW@!&WIU=n-4Rm3ZuKL*S+U%Bqs61GVpX%Vga)4C8teE(?&tbQYV*)tfwT z@LgKVVWRhCmi$_3r_`sX0qhsbx1V4rg=`Nb#(KDNholP+0Gu!uN9R3{xjol{O{s4D ztL8KWjUEw7LEk}(9JFeuaguL)d4l}Rr>zNy?95i%3V!w(^$={s5 z!L!c@%GCuH)CE!{5rzrK?y~*qDAqasrg|{e*H~<5d-L}Vs!#aSzkjGT!&Q2 zvFGUYh`}y6Fnfkb=w*D)FeBT;lj*rDKC4Z*JXU3pi(caQaFj4A$PArmnseDx(lB#y zL@V=fo&E@8J6+q$IVz!fxcGCPIq&}J>M_;2u4?GTAUf6u3#JwdFZk%HzkrKPVA+GbH3W6x0(Z8 zHj$dFtAiWF1Y;xGzM0KJ3i^#?zBl2!e+I6_XnkP26_5+$3GWq+yMYsNYHEW6>x?$m zMb~1XeWJC@SH-)F{iQWJn1+`}MqfHn2>o5t^)N`c*YI^YeDN=v<~2-~F+bt4|6Fr$ z1XtEbzGoh&-Y?eRC$B>fi4JT!St=2#x|j(WHTqetIDmd2CSh+HR&*s$!ABas7|Yu* zrZ<4@KS{)35oR<1#k_SpOXCj{sBIkkG7y1Rt<89YZvF&tY#gh! zXSFoN4IM-$Jgjgx#jWc-gZQ|Dvo{HaWO00pQuT<+#iZi=(_&BPY}fTx>TwpWun%!7A73r4u&ttf!uhth3gVk>;%Zwq zX0MU#fm9sYd{=Y$tCrJHe~Z8j^k%`yo<@8ncA$UG%;P4cT^u>|Idx5Z@iCg|@y3jN)2ziAJamRY7-`jr z1Xj6l6xd?z@YQ)NW3Z>e(CIF#%$T{Eufo99zPo$qYPs{`&8^v=PD;q;OgqibQSGgL zaN6*%irFzwV?JFU6ms=2)u^B7N=S-HIiV=Di<`hl}z7xj}D77MN;oUh=DA+dx6 zI?g3uN(~rqTzO(4zs|uSG%`F9`7ZjKO^5j1cZ}U0s)7|jele=pQx5;=U)pB&obeP7Aa{u)6Z>Ary#^+!o!zE2`Ut7LwbFVhzV)ddn5K3g}W zV3mndp&2B^W5OU5JG8T^*~!n-R5+|H2x1Sh>%mjXsz2ojjq*GWi%cW6I4iv!HNH#KM73RiK{w+By0}rg#Y*ie_fvIb+Fnq1OKVG)}@cn&7 ze&1N6Rj+I~)&cfYR21FyTFp`GSVke)M-B~zZ92XddS4lyib!M#2f z0GF3y${E$2=sEYt)d8EZR%esGCX29de>P$RP6Tm?0dGgU8hP-K-#4q?jDjKP1_5v$ zO^RuAU|THwYDluY0W4KF@x=GY=)&ZKMzP?>-bSlcEzC5}Jwwz-&bvJUbxU$x-A))Q zmAtk2#zqOEZdmSEy^rPExkCLsOD@|a$JX#r4XjM1JKKG}8eovlRp^uWP|0TiZbV1P zeg^|!o#i!n%Hch6B#^Vo1D;8JiHWboDx^_r%Z5X~BTbnw_2toUwL+OXp01_T;<;}- z>?9>tTx&98`XLD3ta_he^YLo_N|BipXt40tC-$=b5?w_-yladu$Ybl~)!hrfk1o2lxjxtQ^y z$}u?~Esa6J8RQ|)0-=huN?)oZ5?(wrEMp(sbP)Rlmp;1Ioh2UIXKMO}mr7+=Mn9AR zPr5XZR>fVaO?IFKe9$P)xSrpuF>;gQR+>+aec+NOKLt@&-jBv3M=u$F@_Kd*oY&HC zOS~B;MH;SFYdZg;DrV*?v~1|t9oVAdd}I}XRfg+Ks8PvfNjwRu@=17ri*O5}0Q)}H zY$_!Lm94z9`+{*m7jnkEr5`-U^C||mMKESYFb(ZZGT2OOZ!D!$mH@mYpI7$C5#uN9 z```%s<~|FG;8+FqN@Y6_!8GD29yUq9HI{ZmoAgg)N{#H!f!&J_P+X%;u-#`juajQWu!c>Oxh4`$V=>56Npp$v2%V|jm z4z{1zRf5>V48{=IfC3O_Qmzu8^)4c7g{d>{ktHJs`i8wpU+7dhr`fjWU=$UU*1Uy= z>UP>V;js!$oa-lWPj#9I2x66h}#mh)rH+-7We=1Mjx=a}35x-@HHhp1ESU5&Z&4?pTk7p4x zb@t6*QnqW|Vha`!Ydhoe$$arruZm=4?HerTO54{dt_&~hB3T%CR+RiA+?lerg9VDZ zv5!50R;@#$*Qrevy?CS$In9Y_c-*;xVv#a(4LxGgWj2@#VX0;le}3DQOK%(@{u`~G zzd1E($q)*fcOzu1Z!@e6h+&o|e9}-a)G9Qzxt|exfUW+krdBPhuuYwCkh$QUe(l1G zmatR-52i)XA^dd&%>pVtqQI0vkhafHf;`48w$?Z>PkqDivI=>(Vd615y%+YwJ-j?? zq4a5EDYZtAD8`Nn1EQnEugy1>*)&Zn7oD{A8l&T)2~1ooS+OdGH2S)zo;WO9TL`kA z^aAzxM{n0cE9BHx}Pw*Zy4>yRVoA>M2@D2eh zT!XPvl!_9M=mCc@iXaLVr!|n&6amtC#6ip`EET=q#VkWPtqOs|9XcoywW% zSqtkI>o`)qqSUGW<=>UuJ>?x3W){cuF@j<6!-z?azGzR$?Z`5u+Z{OOc8NB4onb)m6@DOiMe< z%Dl&P!=fA({k<*p!x^J-tQUv5XYsv*%PL{CedWm^?7S@kjTA;qVpf#JagMktJV*V8 z)&uw*Bmz`8L<|9XCO_E-YHze6E6h0iapVrut`SWv^*FdLXVb+LOEanX6sBgea|&rF z=+?!5YGq`H3-d8p*bo!GuXN@UIvo)N#}bxMoQ<&iaE$9;@8SAsWg)>i;S;Z@8FuBS zx|&(V5BC{O-r?c~~z` z+H+}!R6-cUcA^t30=wjU%yhWQ!+Fi|kO}>JbJC{Uu~@vvbGx_+2;rg_^XhD+kKuxL zkz+GmquHeC1LWMb1$nVvob)LIITvhhaU7g#!Y@x|7x}CS%>$U(7UYKOx?28qo)fx|scQNH1s{4$6!7{}W z_S*bTd=EZM;QyH1;JoHMJ-SF&zIQPkz#L43qvzSd>Kvym4M@^8%HgFLk^j!Zb%@*9 z0k#nj#Aoja2(S0?E{$=X&F2MS;#EqLZE1|)>9SMk2L3qrZ6EsZgx$0jK&$b;kdzav zN3u2$9dkn+V5YG^Z*mu;m&P_o~~tTOtzkbJ@M!UV`cz8{r6nLKGVN_X2t+?073 zBHCwekEHsE{yiJ9@Q3jTG0E3RHlN~Zx)ppXx->BN%1J)~xbTyRzWP_G5Cl)M#Fn9F z?y=<~GNmhE_cBhAkCVnfQ}rQ1q?3{E!KqH~b+P;GL|bbYc`opm2vfko^F9aW%9tkd zpdJM!R3clr*M*T}rUo_ziU}wUwrG{$-scqu(C6Hc>Um`B(!8(1GfSanUzC#I*L zZDqCwk}&UO3@!$Fd_Xzf+sap{+1Zfxu^K}BOq^F zULQ& ztY2V1o4b4Wy(o`PIo4djQhr&vZAlVL=JfIfW=k=?uGktjt4?~o=a*+77H$MqD({Ta z`>lh36Ya`gD|$w_T8%JEgKN&HHc#s)MV=Fvi>8qpp?ETfwoRE}tNZ%;yc7A#)Rsa> z;=X3naXKo8m2Pf_&Zp#{@44?fL5i2mv2x5Un2i)BgwpgoYXKF!a~>W1TG{8TFw_ci~2S)7tT#8q&D)={Rk)Q+JwmZUKc4co}u;pgFAF+R=kOVKeTdWlj*5!P#Y zbVhK?_TbslTTIr4BcvB%w6EEG+#CK8wKu;YeeA}P#Y9?jU$gSK3N_x6=dj?NpF8MQyH0aD027 z!zz>|Y?%3ALV7D`uw--G+V2aLML7B>z|~q_-$sk!Uflql{VOX-&Pc8KxGJ34QYfRM zc<49zOVbyM62GNmk%JbKXSktI|7C>{HYw`<=Q-j+%>%3yqv80^SqN7;-!lynFX9)EQoWkh z%qf)1Xs;y;x(X$pvBI-2Q_`eYekn)_COJ&c6A0lZ^NxPpYnTKxpSum+nJz*tq%?jr zDcZm_UwBf`*#t{Xl_9l`*34X-+x$saca;+C(fi_&onY~MFbmpcp^X`9NVvo!o{myf zi<6R*pP#H&DuR=0*ypx;4#Vj8sKifHFo-knJWx*rRUY4p4;s73w0mKMe*>y8Z^u`? zyIy$z`tA(Ka`5^AG5UbmI;xoRQtc-_g@gu=>tU=M2Zc=CVS*vW_37xjvEFa^J&pocX7ki*F;<-|n z>LCQNuKGn2wx)*Fhax*l4iF{DH)mTnK z`~#D8eDt6q$F9#FMXh+=GzUcGlT;tRhkTSXgK9DAMOzmCN!Hg@i|S?Wi!6@$l)!0@ z4gR;zwWtarp2RIZ>iBXVGH!yjmuuQjg86Vr6xAoTp1nGKw-Azu_!6Q@AyVX`a3q$y z^>!)ea%)3UkB2PuYsaR5h#z;G1dvc9J&HKv=`rvK z-jaWPU)andm@tfF?Lg?l!CGL=$heGUABOFOah$?47b&cQK`}b5-x`n5lcjANyMR4< z9;zCKsAyi%!-QUxjdV9JNvaTLRt!$I1g zrm(53@5;33hgKH616|UuZbXV9l_1Pi%U(U|zBaF?9bA4Qn8Lzj2y_Nap$WpPx8fUL z++ak%V|`4?eHExrjFVoja#5jhCGF%tcEj~iK0PDqHzeQX3RbD4dMxUsJcUnYd{(#g z87g}!cyUp%tivST3(NB2C7G3YC-!U2QY+IXcuVD?ZmK)AaBZdMNNT%3Pi|4#U-tk~=ZAW#5`QT_*EANoJiUj38y zPx32sXJ^=-y8kO53+?)>3xLO`M<5Webo}MH12Ss;D}C1gaQM3rPSZZNw*avv2?&Jy z7g7+28u$nhyLdj`(dN_U%~&H_v^oMiAI*ubd3RlzDptl-TK!D>&ZV`U~A@PWvS)iX6Iz{ zUmNoGjAQ@iQC0F^<@iVbvA=8bKNskK^8kSc4gvlCeYyTS`F~EXed568zW-~a#s literal 0 HcmV?d00001