From 6e65598438d4a86ed8de7578a3cdc1f7bc908d7c Mon Sep 17 00:00:00 2001 From: eric-intuitem <71850047+eric-intuitem@users.noreply.github.com> Date: Sun, 7 Apr 2024 17:38:36 +0200 Subject: [PATCH 1/2] Add RGS Add RGS v2.0 Improve error detection in convert_framework --- backend/library/libraries/rgs-v2.0.yaml | 2015 +++++++++++++++++++++++ tools/RGS/rgs-v2.0.xlsx | Bin 0 -> 34788 bytes tools/convert_framework.py | 1 + 3 files changed, 2016 insertions(+) create mode 100644 backend/library/libraries/rgs-v2.0.yaml create mode 100644 tools/RGS/rgs-v2.0.xlsx diff --git a/backend/library/libraries/rgs-v2.0.yaml b/backend/library/libraries/rgs-v2.0.yaml new file mode 100644 index 000000000..f6e32ae79 --- /dev/null +++ b/backend/library/libraries/rgs-v2.0.yaml @@ -0,0 +1,2015 @@ +urn: urn:intuitem:risk:library:rgs-v2.0 +locale: fr +ref_id: RGS-v2.0 +name: "R\xE9f\xE9rentiel G\xE9n\xE9ral de S\xE9curit\xE9 version 2.0" +description: "R\xE9f\xE9rentiel G\xE9n\xE9ral de S\xE9curit\xE9 version 2.0 selon\ + \ l'Arr\xEAt\xE9 du 13 juin 2014 portant approbation du r\xE9f\xE9rentiel g\xE9\ + n\xE9ral de s\xE9curit\xE9 et pr\xE9cisant les modalit\xE9s de mise en \u0153uvre\ + \ de la proc\xE9dure de validation des certificats \xE9lectroniques\nhttps://www.legifrance.gouv.fr/loda/id/JORFTEXT000029122964" +copyright: "Loi fran\xE7aise" +version: 1 +provider: ANSSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:rgs-v2.0 + ref_id: RGS-v2.0 + name: "R\xE9f\xE9rentiel G\xE9n\xE9ral de S\xE9curit\xE9 version 2.0" + description: "R\xE9f\xE9rentiel G\xE9n\xE9ral de S\xE9curit\xE9 version 2.0 selon\ + \ l'Arr\xEAt\xE9 du 13 juin 2014 portant approbation du r\xE9f\xE9rentiel g\xE9\ + n\xE9ral de s\xE9curit\xE9 et pr\xE9cisant les modalit\xE9s de mise en \u0153\ + uvre de la proc\xE9dure de validation des certificats \xE9lectroniques\nhttps://www.legifrance.gouv.fr/loda/id/JORFTEXT000029122964" + requirement_nodes: + - urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-1 + assessable: false + depth: 1 + ref_id: Chapitre 1 + name: "Mise en conformit\xE9 avec les exigences du \xAB d\xE9cret RGS \xBB " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node3 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-1 + description: "Le r\xE9f\xE9rentiel g\xE9n\xE9ral de s\xE9curit\xE9 (RGS) vise\ + \ \xE0 renforcer la confiance des usagers dans les services \xE9lectroniques\ + \ propos\xE9s par les autorit\xE9s administratives, notamment lorsque ceux-ci\ + \ traitent des donn\xE9es personnelles. Il s\u2019applique aux syst\xE8mes\ + \ d\u2019information mis en \u0153uvre par les autorit\xE9s administratives\ + \ dans leurs relations entre elles et avec les usagers. Il peut aussi \xEA\ + tre consid\xE9r\xE9 comme un recueil de bonnes pratiques pour tous les autres\ + \ organismes." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node4 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-1 + description: "Afin de mettre leur syst\xE8me d\u2019information en conformit\xE9\ + \ avec le RGS, les autorit\xE9s administratives doivent adopter une d\xE9\ + marche en cinq \xE9tapes, pr\xE9vue par le d\xE9cret n\xB0 2010-112 du 2 f\xE9\ + vrier 2010 (d\xE9cret RGS) :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node4 + description: "1. r\xE9alisation d\u2019une analyse des risques (art. 3 al. 1)\ + \ ; " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node4 + description: "2. d\xE9finition des objectifs de s\xE9curit\xE9 (art. 3 al. 2)\ + \ ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node4 + description: "3. choix et mise en \u0153uvre des mesures appropri\xE9es de protection\ + \ et de d\xE9fense du SI (art. 3 al. 3) ; " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node4 + description: "4. homologation de s\xE9curit\xE9 du syst\xE8me d\u2019information\ + \ (art. 5) ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node4 + description: "5. suivi op\xE9rationnel de la s\xE9curit\xE9 du SI." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node10 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-1 + description: "Dans l\u2019\xE9ventualit\xE9 o\xF9 le syst\xE8me d\u2019information\ + \ serait d\xE9j\xE0 en service sans avoir fait l\u2019objet de cette d\xE9\ + marche, ou bien a \xE9t\xE9 modifi\xE9, la proc\xE9dure simplifi\xE9e suivante\ + \ peut \xEAtre mise en oeuvre :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node10 + description: "1. r\xE9alisation d\u2019un audit de la s\xE9curit\xE9 du syst\xE8\ + me d\u2019information en interne ou externalis\xE9 aupr\xE8s d\u2019un prestataire\ + \ ; " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node10 + description: "2. r\xE9alisation d\u2019une analyse des risques simplifi\xE9\ + e ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node10 + description: "3. mise en \u0153uvre des mesures correctives fix\xE9es dans le\ + \ rapport d\u2019audit ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node10 + description: "4. d\xE9cision d\u2019homologation de s\xE9curit\xE9 du syst\xE8\ + me d\u2019information ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node15 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node10 + description: "5. suivi op\xE9rationnel de la s\xE9curit\xE9 du SI." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-1 + description: "Au-del\xE0 des mesures techniques et organisationnelles, les autorit\xE9\ + s administratives doivent veiller :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node17 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node16 + description: "- aux clauses relatives \xE0 la s\xE9curit\xE9 des contrats qu\u2019\ + elles passent avec des prestataires charg\xE9s de les assister dans leur d\xE9\ + marche de s\xE9curisation de leurs syst\xE8mes. Ces services peuvent \xEA\ + tre de nature intellectuelle (audit de la s\xE9curit\xE9 du syst\xE8me d\u2019\ + information, traitement d\u2019incident de s\xE9curit\xE9, notamment) ou technique\ + \ (m\xE9canisme de d\xE9tection, externalisation, infog\xE9rance, mise dans\ + \ le nuage de tout ou partie du syst\xE8me d\u2019information, tierce maintenance\ + \ applicative, etc.) ; " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node18 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node16 + description: "- au facteur humain : la sensibilisation du personnel aux questions\ + \ de s\xE9curit\xE9 est primordiale, ainsi que la formation de ceux qui interviennent\ + \ plus sp\xE9cifiquement dans la mise en \u0153uvre et le suivi op\xE9rationnel\ + \ de la s\xE9curit\xE9 du syst\xE8me d\u2019information (surveillance, d\xE9\ + tection, pr\xE9vention). " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node19 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-1 + description: "D\u2019une mani\xE8re g\xE9n\xE9rale, il est recommand\xE9 de\ + \ s\u2019appuyer sur les guides et sur la documentation produits par l\u2019\ + ANSSI. " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-2 + assessable: false + depth: 1 + ref_id: Chapitre 2 + name: "Description des \xE9tapes de la mise en conformit\xE9 " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:2.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-2 + ref_id: '2.1' + name: Analyse des risques + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node22 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.1 + description: "L\u2019analyse de risques pr\xE9cise les besoins de s\xE9curit\xE9\ + \ du syst\xE8me d\u2019information en fonction de la menace et des enjeux.\ + \ " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node23 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.1 + description: "La d\xE9marche d\u2019analyse de risques consiste \xE0 identifier\ + \ les \xE9v\xE8nements qui peuvent affecter la s\xE9curit\xE9 du syst\xE8\ + me, d\u2019en estimer les cons\xE9quences et les impacts potentiels puis de\ + \ d\xE9cider des actions \xE0 r\xE9aliser afin de r\xE9duire le risque \xE0\ + \ un niveau acceptable. " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node24 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.1 + description: "Les menaces \xE0 prendre en compte sont celles qui p\xE8sent r\xE9\ + ellement sur le syst\xE8me et sur les informations qu\u2019il traite, transmet\ + \ et stocke, dans l\u2019environnement dans lequel il se situe." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node25 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.1 + description: "Lorsque le syst\xE8me d\u2019information int\xE8gre des certificats\ + \ \xE9lectroniques ou de l\u2019horodatage \xE9lectronique, l\u2019analyse\ + \ des risques doit permettre de d\xE9cider des usages (signature, authentification,\ + \ confidentialit\xE9, etc.) et des niveaux de s\xE9curit\xE9 (*, ** ou ***)\ + \ qui seront mis en \u0153uvre." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node26 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.1 + description: "Il est recommand\xE9 de s\u2019appuyer sur la norme ISO 27005,\ + \ qui fixe un cadre th\xE9orique de la gestion des risques." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node27 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.1 + description: "Sa mise en \u0153uvre pratique peut \xEAtre facilit\xE9e par les\ + \ explications et les outils, notamment logiciels, propos\xE9s par la m\xE9\ + thode Expression des besoins et indentification des objectifs de s\xE9curit\xE9\ + \ (EBIOS). " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:2.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-2 + ref_id: '2.2' + name: "D\xE9finition des objectifs de s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node29 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.2 + description: "Une fois les risques appr\xE9ci\xE9s, l\u2019autorit\xE9 administrative\ + \ doit \xE9noncer les objectifs de s\xE9curit\xE9 \xE0 satisfaire. Aux trois\ + \ grands domaines traditionnels (disponibilit\xE9 et int\xE9grit\xE9 des donn\xE9\ + es et du syst\xE8me, confidentialit\xE9 des donn\xE9es et des \xE9l\xE9ments\ + \ critiques du syst\xE8me) peuvent s\u2019ajouter deux domaines compl\xE9\ + mentaires :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node30 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node29 + description: "- l\u2019authentification, afin de garantir que la personne identifi\xE9\ + e est effectivement celle qu\u2019elle pr\xE9tend \xEAtre ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node31 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node29 + description: "- la tra\xE7abilit\xE9, afin de pouvoir associer les actions sur\ + \ les donn\xE9es et les processus aux personnes effectivement connect\xE9\ + es au syst\xE8me et ainsi permettre de d\xE9celer toute action ou tentative\ + \ d\u2019action ill\xE9gitime." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node32 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.2 + description: "Les objectifs de s\xE9curit\xE9 doivent \xEAtre exprim\xE9s aussi\ + \ bien en termes de protection que de d\xE9fense des syst\xE8mes d\u2019information. " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node33 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.2 + description: "Les autorit\xE9s administratives peuvent s\u2019appuyer sur le\ + \ guide m\xE9thodologique EBIOS 2010, afin de formuler pr\xE9cis\xE9ment ces\ + \ objectifs de s\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:2.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-2 + ref_id: '2.3' + name: "Choix et mise en \u0153uvre des mesures de s\xE9curit\xE9 adapt\xE9es" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node35 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.3 + description: "L\u2019expression des objectifs de s\xE9curit\xE9 permet d\u2019\ + appr\xE9cier les fonctions de s\xE9curit\xE9 qui peuvent \xEAtre mises en\ + \ \u0153uvre pour les atteindre (art. 3, al. 3 du d\xE9cret RGS). Ces fonctions\ + \ de s\xE9curit\xE9 sont mat\xE9rialis\xE9es par le choix de moyens et de\ + \ mesures de nature :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node36 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node35 + description: "- technique : produits de s\xE9curit\xE9 (mat\xE9riels ou logiciels),\ + \ prestations de services de confiance informatiques ou autres dispositifs\ + \ de s\xE9curit\xE9 (blindage, d\xE9tecteur d\u2019intrusion...) ; " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node37 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node35 + description: "- organisationnelle : organisation des responsabilit\xE9s (habilitation\ + \ du personnel, contr\xF4le des acc\xE8s, protection physique des \xE9l\xE9\ + ments sensibles...), gestion des ressources humaines (affectation d\u2019\ + agents responsables de la gestion du syst\xE8me d\u2019information, formation\ + \ du personnel sp\xE9cialis\xE9, sensibilisation des utilisateurs)." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node38 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.3 + description: "Ces mesures de s\xE9curit\xE9 peuvent \xEAtre s\xE9lectionn\xE9\ + es au sein des r\xE9f\xE9rentiels et normes existants." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node39 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.3 + description: "Elles peuvent \xE9galement en \xEAtre adapt\xE9es ou bien \xEA\ + tre cr\xE9\xE9es ex nihilo." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:2.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-2 + ref_id: '2.4' + name: "Homologation de s\xE9curit\xE9 du syst\xE8me d\u2019information" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node41 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.4 + description: "Les syst\xE8mes d\u2019information qui entrent dans le champ de\ + \ l\u2019ordonnance du 8 d\xE9cembre 2005 doivent faire l\u2019objet, avant\ + \ leur mise en service op\xE9rationnelle, d\u2019une d\xE9cision d\u2019homologation\ + \ de s\xE9curit\xE9. Egalement d\xE9nomm\xE9e \xAB attestation formelle \xBB\ + \ (art. 5, al. 1 du d\xE9cret RGS), elle est prononc\xE9e par une autorit\xE9\ + \ d\u2019homologation, d\xE9sign\xE9e par la ou les autorit\xE9s administratives\ + \ charg\xE9es du syst\xE8me d\u2019information." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node42 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.4 + description: "La d\xE9cision d\u2019homologation atteste, au nom de l\u2019\ + autorit\xE9 administrative, que le syst\xE8me d\u2019information est prot\xE9\ + g\xE9 conform\xE9ment aux objectifs de s\xE9curit\xE9 fix\xE9s et que les\ + \ risques r\xE9siduels sont accept\xE9s. La d\xE9cision d\u2019homologation\ + \ s\u2019appuie sur un dossier d\u2019homologation. Lorsqu\u2019elle concerne\ + \ un t\xE9l\xE9service, cette d\xE9cision est rendue accessible aux usagers." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node43 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.4 + description: "Il est recommand\xE9 que les syst\xE8mes d\u2019information homologu\xE9\ + s fassent l\u2019objet d\u2019une revue p\xE9riodique. " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node44 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.4 + description: "Afin d\u2019homologuer leurs syst\xE8mes d\u2019information, les\ + \ autorit\xE9s administratives peuvent utiliser les recommandations d\xE9\ + crites dans le guide publi\xE9 par l\u2019ANSSI [Guide homologation]. " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:2.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-2 + ref_id: '2.5' + name: "Suivi op\xE9rationnel de la s\xE9curit\xE9 du syst\xE8me d\u2019information" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node46 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.5 + description: "Les mesures de protection d\u2019un syst\xE8me d\u2019information\ + \ doivent \xEAtre accompagn\xE9es d\u2019un suivi op\xE9rationnel quotidien\ + \ ainsi que de mesures de surveillance et de d\xE9tection, afin de r\xE9agir\ + \ au plus vite aux incidents de s\xE9curit\xE9 et de les traiter au mieux." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node47 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.5 + description: "Le suivi op\xE9rationnel consiste\_:" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node48 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47 + description: "- \xE0 collecter et \xE0 analyser les journaux d\u2019\xE9v\xE8\ + nements et les alarmes," + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node49 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47 + description: "- \xE0 mener des audits r\xE9guliers," + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node50 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47 + description: "- \xE0 appliquer des mesures correctives apr\xE8s un audit ou\ + \ un incident," + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node51 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47 + description: "- \xE0 mettre en \u0153uvre une cha\xEEne d\u2019alerte en cas\ + \ d\u2019intrusion suppos\xE9e ou av\xE9r\xE9e sur le syst\xE8me," + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node52 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47 + description: "- \xE0 g\xE9rer les droits d\u2019acc\xE8s des utilisateurs," + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node53 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47 + description: "- \xE0 assurer une veille sur les menaces et les vuln\xE9rabilit\xE9\ + s," + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node54 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47 + description: "- \xE0 entretenir des plans de continuit\xE9 et de reprise d\u2019\ + activit\xE9," + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node55 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47 + description: "- \xE0 sensibiliser le personnel et" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node56 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47 + description: "- \xE0 g\xE9rer les crises lorsqu\u2019elles surviennent." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3 + assessable: false + depth: 1 + ref_id: Chapitre 3 + name: "R\xE8gles relatives \xE0 la cryptographie et \xE0 la protection des \xE9\ + changes \xE9lectroniques" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node58 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3 + description: "Les r\xE8gles techniques impos\xE9es par le RGS portent uniquement\ + \ sur la s\xE9curisation des infrastructures utilis\xE9es pour proc\xE9der\ + \ aux \xE9changes \xE9lectroniques entre les autorit\xE9s administratives\ + \ et les usagers ainsi qu\u2019entre les autorit\xE9s administratives elles-m\xEA\ + mes." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node59 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3 + description: "Le RGS n\u2019impose aucune technologie particuli\xE8re et laisse\ + \ aux autorit\xE9s administratives le choix des mesures \xE0 mettre en \u0153\ + uvre. Il fixe cependant des exigences relatives \xE0 certaines fonctions de\ + \ s\xE9curit\xE9, notamment la certification, l\u2019horodatage et l\u2019\ + audit." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node60 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3 + description: "En fonction de leur besoin de s\xE9curit\xE9, issu de l\u2019\ + analyse de risques, il appartient aux autorit\xE9s administratives de d\xE9\ + terminer les fonctions de s\xE9curit\xE9 ainsi que les niveaux de s\xE9curit\xE9\ + \ associ\xE9s, en s\u2019appuyant sur les m\xE9thodes, les outils et les bonnes\ + \ pratiques propos\xE9s aux chapitres 2 et 7." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node61 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3 + description: "Lorsqu\u2019elles choisissent de mettre en \u0153uvre des fonctions\ + \ de s\xE9curit\xE9 trait\xE9es dans le pr\xE9sent chapitre, les autorit\xE9\ + s administratives choisissent le niveau de s\xE9curit\xE9 adapt\xE9 \xE0 leur\ + \ besoin et appliquent les r\xE8gles correspondantes d\xE9crites dans ce r\xE9\ + f\xE9rentiel." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node62 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3 + description: "Dans tous les cas, le Premier ministre recommande l\u2019usage\ + \ de produits qualifi\xE9s quand ils existent." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:3.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3 + ref_id: '3.1' + name: "R\xE8gles relatives \xE0 la cryptographie" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node64 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.1 + description: "Lorsqu\u2019elles mettent en place des mesures de s\xE9curit\xE9\ + \ comprenant des m\xE9canismes cryptographiques, les autorit\xE9s administratives\ + \ doivent respecter les r\xE8gles, et si possible les recommandations, indiqu\xE9\ + es dans les annexes [RGS_B1] et [RGS_B2], communs \xE0 tous les m\xE9canismes\ + \ cryptographiques, ainsi que l\u2019annexe [RGS_B3], d\xE9di\xE9 aux m\xE9\ + canismes d\u2019authentification." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3 + ref_id: '3.2' + name: "R\xE8gles relatives \xE0 la protection des \xE9changes \xE9lectroniques" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node66 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2 + description: "Les r\xE8gles de s\xE9curit\xE9 \xE0 respecter pour les fonctions\ + \ de s\xE9curit\xE9 d\u2019authentification, de signature \xE9lectronique,\ + \ de confidentialit\xE9 et d\u2019horodatage, reposent sur l\u2019emploi de\ + \ contremarques de temps dans le cas de l\u2019horodatage \xE9lectronique\ + \ et de certificats \xE9lectroniques pour toutes les autres fonctions." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2 + ref_id: 3.2.a + name: "R\xE8gles relatives aux certificats \xE9lectroniques" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node68 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a + description: "Les exigences concernant le composant \xAB certificat \xE9lectronique\ + \ \xBB sont d\xE9crites dans deux annexes du RGS appel\xE9es respectivement\ + \ \xAB Politique de certification type - Personne physique \xBB ([RGS_A2])\ + \ et \xAB Politique de certification type - Services applicatifs \xBB ([RGS_A3]).\ + \ Elles portent sur le contenu des certificats et sur les conditions dans\ + \ lesquelles il est \xE9mis par un prestataire de services de certification\ + \ \xE9lectronique (PSCE), ainsi que sur le dispositif de stockage de la cl\xE9\ + \ priv\xE9e." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node69 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a + description: "Le RGS offre la possibilit\xE9 de disposer :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node70 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node69 + description: "- des certificats mono-usage \xE0 usage d\u2019authentification\ + \ de personne physique ou de serveur, de signature, de cachet et de confidentialit\xE9\ + \ pour des niveaux une \xE9toile (*), deux \xE9toiles (**) et trois \xE9toiles\ + \ (***) (cf. [RGS_A2] et [RGS_A3]) ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node71 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node69 + description: "- d\u2019un certificat \xE9lectronique unique, dit \xAB \xE0 double\ + \ usage \xBB, pour les fonctions d\u2019authentification de personne physique\ + \ et de signature \xE9lectronique. Ce certificat ne peut \xEAtre pr\xE9vu\ + \ qu\u2019aux niveaux (*) et (**) (cf. [RGS_A2]). " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.1 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a + ref_id: 3.2.a.1 + name: "L\u2019authentification d\u2019une entit\xE9 par certificat \xE9lectronique" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node73 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.1 + description: "L\u2019authentification a pour but de v\xE9rifier l\u2019identit\xE9\ + \ dont se r\xE9clame une personne ou une machine. La mise en \u0153uvre par\ + \ une autorit\xE9 administrative des fonctions de s\xE9curit\xE9 \xAB Authentification\ + \ \xBB ou \xAB Authentification serveur \xBB peut se faire selon trois niveaux\ + \ de s\xE9curit\xE9 aux exigences croissantes : (*), (**) et (***)." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node74 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.1 + description: "Ces exigences, d\xE9crites dans les annexes [RGS_A1], couvrent,\ + \ pour les trois niveaux de s\xE9curit\xE9, l\u2019ensemble des composants\ + \ n\xE9cessaires \xE0 la mise en \u0153uvre de cette fonction de s\xE9curit\xE9\ + , \xE0 savoir : " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node75 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node74 + description: "- la bi-cl\xE9 et le certificat \xE9lectronique dont l\u2019usage\ + \ est l\u2019authentification ; " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node76 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node74 + description: "- le dispositif d\u2019authentification ; " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node77 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node74 + description: "- le module de v\xE9rification d\u2019authentification ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node78 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node74 + description: "- l\u2019application d\u2019authentification." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.2 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a + ref_id: 3.2.a.2 + name: "La signature et le cachet \xE9lectroniques" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node80 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.2 + description: "La signature \xE9lectronique d\u2019une personne permet de garantir\ + \ l\u2019identit\xE9 du signataire, l\u2019int\xE9grit\xE9 du document sign\xE9\ + \ et le lien entre le document sign\xE9 et la signature. Elle traduit ainsi\ + \ la manifestation du consentement du signataire quant au contenu des informations\ + \ sign\xE9es." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node81 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.2 + description: "Dans le cas des \xE9changes d\xE9mat\xE9rialis\xE9s faisant intervenir\ + \ des services applicatifs, la fonction de \xAB cachet \xBB permet de garantir\ + \ l\u2019int\xE9grit\xE9 des informations \xE9chang\xE9es et l\u2019identification\ + \ du service ayant \xAB cachet\xE9 \xBB ces informations. Cette fonction de\ + \ \xAB cachet \xBB est, pour une machine, l\u2019\xE9quivalent de la fonction\ + \ signature pour une personne." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node82 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.2 + description: "La mise en \u0153uvre par une autorit\xE9 administrative des fonctions\ + \ de s\xE9curit\xE9 \xAB Signature \xE9lectronique \xBB ou \xAB cachet \xBB\ + \ peut se faire selon trois niveaux de s\xE9curit\xE9 aux exigences croissantes\ + \ : (*), (**) et (***)." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node83 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.2 + description: "Ces exigences, d\xE9crites dans l\u2019annexe [RGS_A1], couvrent,\ + \ pour les trois niveaux de s\xE9curit\xE9, l\u2019ensemble des composants\ + \ n\xE9cessaires \xE0 la mise en \u0153uvre de cette fonction de s\xE9curit\xE9\ + , \xE0 savoir\_:" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node84 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node83 + description: "- la bi-cl\xE9 et le certificat \xE9lectronique dont l\u2019usage\ + \ est la signature \xE9lectronique ou le cachet ; " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node85 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node83 + description: "- le dispositif de cr\xE9ation de signature \xE9lectronique ou\ + \ de cachet ; " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node86 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node83 + description: "- l\u2019application de cr\xE9ation de signature \xE9lectronique\ + \ ou de cachet ; " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node87 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node83 + description: "- le module de v\xE9rification de signature \xE9lectronique ou\ + \ de cachet." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node88 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.2 + description: "Cas particulier de la signature des actes administratifs au sens\ + \ de l\u2019ordonnance du 8 d\xE9cembre 2005" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node89 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node88 + description: "Conform\xE9ment \xE0 l\u2019article 8 de l\u2019ordonnance du\ + \ 8 d\xE9cembre 2005, les autorit\xE9s administratives doivent respecter les\ + \ exigences du RGS lorsqu\u2019elles mettent en \u0153uvre, pour la signature\ + \ de leurs actes administratifs, des syst\xE8mes d\u2019information utilisant\ + \ des fonctions de s\xE9curit\xE9 d\xE9crites dans le RGS (certificats \xE9\ + lectroniques, audit, etc.)." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node90 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node88 + description: "L\u2019autorit\xE9 administrative d\xE9termine le niveau de s\xE9\ + curit\xE9, de une \xE9toile (*) \xE0 trois \xE9toiles (***), requis pour l\u2019\ + usage de la signature \xE9lectronique des actes administratifs qu\u2019elle\ + \ \xE9met. Elle doit respecter les r\xE8gles d\xE9finies au pr\xE9sent chapitre." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node91 + assessable: false + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.2 + description: "Cas particulier de la signature \xAB pr\xE9sum\xE9e fiable \xBB\ + \ au sens de l\u2019article 1316-4 du Code civil :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node92 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node91 + description: "Les exigences techniques d\xE9finies en annexe de l\u2019arr\xEA\ + t\xE9 du 26 juillet 2004, et portant sur la d\xE9livrance de certificats \xE9\ + lectroniques dits \xAB qualifi\xE9s \xBB au sens du d\xE9cret n\xB0 2001-272\ + \ du 30 mars 2001, sont requises pour la g\xE9n\xE9ration de signatures \xE9\ + lectroniques \xAB pr\xE9sum\xE9es fiables \xBB au sens de ce d\xE9cret." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node93 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node91 + description: "Ces exigences constituent un sous-ensemble de celles contenues\ + \ dans le document [RGS_A2] pour le niveau de s\xE9curit\xE9 (***) de la fonction\ + \ signature \xE9lectronique, qui pr\xE9voit des exigences suppl\xE9mentaires,\ + \ essentiellement en mati\xE8re de format et de variables de temps." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node94 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node91 + description: "De ce fait, une signature \xE9lectronique s\xE9curis\xE9e au sens\ + \ de l\u2019article 1er du d\xE9cret n\xB0 2001-272 du 30 mars 2001, \xE9\ + tablie avec un dispositif s\xE9curis\xE9 de cr\xE9ation de signature certifi\xE9\ + \ conforme dans les conditions de l\u2019article 3 et mettant en \u0153uvre\ + \ des certificats de signature \xE9lectronique conformes au niveau de s\xE9\ + curit\xE9 (***) de [RGS_A2], est de facto \xAB pr\xE9sum\xE9e fiable \xBB\ + \ selon ce d\xE9cret et donc au sens de l\u2019article 1316-4 du code civil." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.3 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a + ref_id: 3.2.a.3 + name: "La confidentialit\xE9" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node96 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.3 + description: "Le chiffrement constitue le m\xE9canisme essentiel de protection\ + \ de la confidentialit\xE9. Cependant, la confidentialit\xE9 des informations\ + \ peut aussi \xEAtre prot\xE9g\xE9e par des mesures compl\xE9mentaires de\ + \ gestion des droits d\u2019acc\xE8s de chacun (en lecture, en \xE9criture\ + \ ou en modification) aux donn\xE9es contenues dans le syst\xE8me d\u2019\ + information. \xC0 cet effet, il est recommand\xE9 de mettre en place des m\xE9\ + canismes techniques afin de s\u2019assurer que seules les personnes autoris\xE9\ + es puissent acc\xE9der aux donn\xE9es en fonction de leur besoin d\u2019en\ + \ conna\xEEtre. Ces m\xE9canismes doivent \xEAtre robustes et impl\xE9ment\xE9\ + s au plus pr\xE8s du lieu de stockage des donn\xE9es." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node97 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.3 + description: "La mise en \u0153uvre par une autorit\xE9 administrative de la\ + \ fonction de s\xE9curit\xE9 \xAB Confidentialit\xE9 \xBB peut se faire selon\ + \ trois niveaux de s\xE9curit\xE9 aux exigences croissantes : (*), (**) et\ + \ (***)." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node98 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.3 + description: "Ces exigences, d\xE9crites dans l\u2019annexe [RGS_A1], couvrent,\ + \ pour les trois niveaux de s\xE9curit\xE9, l\u2019ensemble des composants\ + \ n\xE9cessaires \xE0 la mise en \u0153uvre de cette fonction de s\xE9curit\xE9\ + , \xE0 savoir :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node99 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node98 + description: "- la bi-cl\xE9 et le certificat \xE9lectronique dont l\u2019usage\ + \ est le chiffrement ; " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node100 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node98 + description: '- le dispositif de chiffrement ; ' + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node101 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node98 + description: '- le module de chiffrement ;' + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node102 + assessable: true + depth: 6 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node98 + description: "- le module de d\xE9chiffrement." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.b + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2 + ref_id: 3.2.b + name: "R\xE8gles relatives \xE0 l\u2019horodatage \xE9lectronique" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node104 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.b + description: "Les exigences concernant le composant \xAB contremarque de temps\ + \ \xBB sont d\xE9crites dans l\u2019annexe du RGS\xAB Politique d\u2019horodatage\ + \ type \xBB ([RGS_A5]). Elles portent sur le contenu des contremarques de\ + \ temps et sur les conditions dans lesquelles il est \xE9mis par un prestataire\ + \ de services d\u2019horodatage \xE9lectronique (PSHE)." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node105 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.b + description: "Une fonction d\u2019horodatage permet d\u2019attester qu\u2019\ + une donn\xE9e sous forme \xE9lectronique existe \xE0 un instant donn\xE9.\ + \ Cette fonction met en \u0153uvre une contremarque de temps g\xE9n\xE9r\xE9\ + e \xE0 l\u2019aide d\u2019un m\xE9canisme cryptographique respectant les r\xE8\ + gles et, si possible, les recommandations contenues dans les r\xE9f\xE9rentiels\ + \ [RGS_B1] et [RGS_B2]." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node106 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.b + description: "Cette contremarque, d\xE9livr\xE9e par un prestataire de services\ + \ d\u2019horodatage \xE9lectronique (PSHE),doit respecter les exigences de\ + \ l\u2019annexe [RGS_A5], appel\xE9e \xAB Politique d\u2019horodatage type\ + \ \xBB." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node107 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.b + description: "Cette annexe ne distingue qu\u2019un niveau unique de s\xE9curit\xE9\ + , auquel les autorit\xE9s administratives doivent se conformer d\xE8s lors\ + \ qu\u2019elles souhaitent mettre en \u0153uvre la fonction d\u2019horodatage\ + \ \xE9lectronique au sein de leur syst\xE8me d\u2019information." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node108 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.b + description: "Cas particulier de l\u2019horodatage \xAB pr\xE9sum\xE9 fiable\ + \ \xBB, au sens des articles 1369-7 et 1369-8 du code civil" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node109 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node108 + description: "Le prestataire qui souhaite proposer un service d\u2019horodatage\ + \ b\xE9n\xE9ficiant de la pr\xE9somption de fiabilit\xE9 des articles 1369-7\ + \ et 1369-8 du code civil doit respecter les exigences techniques d\xE9finies\ + \ dans les articles 3 et 4 du d\xE9cret n\xB0 2011-434 du 20 avril 2011." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node110 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node108 + description: "Le prestataire peut utiliser un module d\u2019horodatage qui doit\ + \ avoir \xE9t\xE9 certifi\xE9 dans les conditions pr\xE9vues dans le d\xE9\ + cret n\xB0 2002-535 du 18 avril 2002 et peut avoir \xE9t\xE9 qualifi\xE9 selon\ + \ les formes d\xE9crites dans l\u2019arr\xEAt\xE9 du 20 avril 2011 relatif\ + \ \xE0 la reconnaissance de la qualification des prestataires de services\ + \ d\u2019horodatage \xE9lectronique et \xE0 l\u2019accr\xE9ditation des organismes\ + \ qui proc\xE8dent \xE0 leur \xE9valuation." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node111 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node108 + description: "Les exigences du document [RGS_A5] constituent un sous-ensemble\ + \ de celles contenues dans le d\xE9cret 20 avril 2011, qui pr\xE9voit quelques\ + \ exigences suppl\xE9mentaires de certification des unit\xE9s d\u2019horodatage.\ + \ De ce fait, un horodatage \xAB pr\xE9sum\xE9 fiable \xBB au sens de ce d\xE9\ + cret et des articles 1369-7 et 1369-8 du code civil est de facto conforme\ + \ aux exigences du document [RGS_A5]." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.c + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2 + ref_id: 3.2.c + name: "Rattachement \xE0 l\u2019infrastructure de gestion de la confiance de\ + \ l\u2019administration (IGC/A)" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node113 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.c + description: "L\u2019ANSSI offre, parall\xE8lement au RGS, un service de certification\ + \ \xE9lectronique qui consiste \xE0 signer l\u2019autorit\xE9 de certification\ + \ (AC) racine d\u2019une autorit\xE9 administrative par l\u2019AC de l\u2019\ + infrastructure de gestion de la confiance de l\u2019administration - IGC/A." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node114 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.c + description: "Les utilisateurs qui doivent se fier \xE0 des certificats d\xE9\ + livr\xE9s par ou \xE0 cette autorit\xE9 administrative ou \xE0 ses agents\ + \ ont la garantie que ces certificats ont fait l\u2019objet d\u2019une v\xE9\ + rification de la cha\xEEne de certification jusqu\u2019au certificat de AC\ + \ \xAB IGC/A \xBB." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node115 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.c + description: "L\u2019ANSSI est l\u2019autorit\xE9 racine de l\u2019IGC/A." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node116 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.c + description: "Les r\xE8gles relatives \xE0 la mise en \u0153uvre de l\u2019\ + IGC/A sont d\xE9finies dans les politiques de certification de l\u2019IGC/A\ + \ [PC_IGC/A]." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-4 + assessable: false + depth: 1 + ref_id: Chapitre 4 + name: "R\xE8gles relatives aux accus\xE9s d\u2019enregistrement et aux accus\xE9\ + s de r\xE9ception" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node118 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-4 + description: "L\u2019article 5 de l\u2019ordonnance du 8 d\xE9cembre 2005 pr\xE9\ + voit que les accus\xE9s d\u2019enregistrement et les accus\xE9s de r\xE9ception\ + \ sont \xE9mis selon un proc\xE9d\xE9 conforme au RGS. Ces accus\xE9s ne constituent\ + \ pas en eux-m\xEAmes des fonctions de s\xE9curit\xE9. En revanche, ils peuvent\ + \ s\u2019appuyer sur des fonctions de s\xE9curit\xE9 telles que la signature,\ + \ le cachet et l\u2019horodatage." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node119 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-4 + description: "Les accus\xE9s d\u2019enregistrement et de r\xE9ception sont g\xE9\ + n\xE9r\xE9s et \xE9mis par les autorit\xE9s administratives \xE0 destination\ + \ des usagers. Les autorit\xE9s administratives doivent d\xE9terminer les\ + \ fonctions de s\xE9curit\xE9 n\xE9cessaires \xE0 la protection de ces accus\xE9\ + s ainsi que leur niveau de s\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node120 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-4 + description: "Dans le cas g\xE9n\xE9ral, il est recommand\xE9 que les accus\xE9\ + s d\u2019enregistrement et de r\xE9ception \xE9mis en application des dispositions\ + \ pr\xE9vues \xE0 l\u2019article 5 de l\u2019ordonnance du 8 d\xE9cembre 2005\ + \ :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node121 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node120 + description: "- soient horodat\xE9s avec des contremarques de temps conformes\ + \ aux exigences du document [RGS_A_5] pour le niveau de s\xE9curit\xE9 unique\ + \ pr\xE9vu par ce document ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node122 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node120 + description: "- soient sign\xE9s par un agent d\u2019une autorit\xE9 administrative\ + \ (ou cachet\xE9s par une machine d\u2019une autorit\xE9 administrative),\ + \ conform\xE9ment aux exigences des documents [RGS_A_2] et [RGS_A_3] pour\ + \ le niveau de s\xE9curit\xE9 choisi par l\u2019autorit\xE9 administrative\ + \ parmi les niveaux (*), (**) et (***) ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node123 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node120 + description: "- utilisent des m\xE9canismes cryptographiques conformes aux r\xE9\ + f\xE9rentiels [RGS_B_1] et [RGS_B_2]." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node124 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-4 + description: "Dans le cas particulier o\xF9 les accus\xE9s sont \xE9mis en application\ + \ des dispositions pr\xE9vues \xE0 l\u2019article 5.II de l\u2019ordonnance\ + \ du 8 d\xE9cembre 2005, la date figurant sur les accus\xE9s doit faire foi,\ + \ ce qui impose de garantir aux usagers un niveau de fiabilit\xE9 suppl\xE9\ + mentaire. Les autorit\xE9s administratives doivent en tenir compte dans leur\ + \ besoin de s\xE9curit\xE9 et donc dans le choix des fonctions de s\xE9curit\xE9\ + \ et des niveaux de s\xE9curit\xE9 associ\xE9s." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node125 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-4 + description: "S\u2019agissant de la gestion des accus\xE9s, la sauvegarde des\ + \ accus\xE9s d\u2019enregistrement et de r\xE9ception doit \xEAtre assur\xE9\ + e dans tous les cas, tant que peuvent survenir d\u2019\xE9ventuelles r\xE9\ + clamations de la part des usagers. " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-5 + assessable: false + depth: 1 + ref_id: Chapitre 5 + name: "Qualification des produits de s\xE9curit\xE9 et des prestataires de services\ + \ de confiance" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node127 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-5 + description: "Conform\xE9ment \xE0 l\u2019article 4 du d\xE9cret RGS, les autorit\xE9\ + s administratives qui d\xE9cident de recourir \xE0 des produits ou prestations\ + \ de services vis\xE9s par le RGS recourrent \xE0 des produits de s\xE9curit\xE9\ + \ et \xE0 des prestataires de service de confiance qualifi\xE9s ou, \xE0 d\xE9\ + faut, s\u2019assurent de la conformit\xE9 au RGS des produits de s\xE9curit\xE9\ + \ et services de confiance qu\u2019elles choisissent." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node128 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-5 + description: "Dans ce cas, elles attestent formellement de la conformit\xE9\ + \ au RGS de ces produits de s\xE9curit\xE9 et services de confiance. Elles\ + \ adressent ces attestations \xE0 l\u2019ANSSI." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:5.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-5 + ref_id: '5.1' + name: "Qualification des produits de s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node130 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.1 + description: "La qualification de produits de s\xE9curit\xE9 pr\xE9voit trois\ + \ niveaux de qualification :\n- qualification \xE9l\xE9mentaire (d\xE9crite\ + \ dans le document [QE]) ;\n- qualification standard (d\xE9crite dans le document\ + \ [QS]) ;\n- qualification renforc\xE9e (d\xE9crite dans le document [QR])." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node131 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.1 + description: "Un produit de s\xE9curit\xE9 est qualifi\xE9 s\u2019il a fait\ + \ l\u2019objet d\u2019une attestation de qualification et d\u2019un maintien\ + \ de conditions de s\xE9curit\xE9 conforme aux proc\xE9dures d\xE9crites dans\ + \ les documents [QE], [QS] et [QR]. L\u2019ANSSI instruit les demandes et\ + \ d\xE9livre les attestations de qualification. La proc\xE9dure de qualification\ + \ repose sur une certification pr\xE9alable, dans les formes pr\xE9vues par\ + \ le d\xE9cret n\xB0 2002-535 du 18 avril 2002 et par l\u2019instruction n\xB0\ + \ 1414/ANSSI/SR du 30 mai 2011 relative \xE0 la certification de s\xE9curit\xE9\ + \ de premier niveau des produits des technologies de l\u2019information (CSPN)." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node132 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.1 + description: "Le niveau \xE9l\xE9mentaire est accord\xE9 sur la base d\u2019\ + une CSPN. Les niveaux standard et renforc\xE9 le sont sur la base d\u2019\ + une certification \xAB Crit\xE8res communs \xBB. Cependant, s\u2019agissant\ + \ d\u2019un label sp\xE9cifique pour l\u2019administration, l\u2019ANSSI proc\xE8\ + de \xE0 des contr\xF4les compl\xE9mentaires. Elle valide ainsi la cible de\ + \ s\xE9curit\xE9 au regard des besoins de l\u2019administration et r\xE9alise\ + \ ou fait r\xE9aliser des tests relatifs \xE0 la cryptologie et son impl\xE9\ + mentation, sur la base des annexes B du RGS." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node133 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.1 + description: "Pour garantir la coh\xE9rence des objectifs et des exigences de\ + \ s\xE9curit\xE9, il est recommand\xE9 que la cible de s\xE9curit\xE9 soit,\ + \ autant que possible, conforme \xE0 un des profils de protection propos\xE9\ + s par l\u2019ANSSI (https://www.ssi.gouv.fr/fr/certification-qualification/cc/profils-de-protection/).\ + \ L\u2019ANSSI publie \xE9galement le catalogue des produits de s\xE9curit\xE9\ + \ qualifi\xE9s : https://www.ssi.gouv.fr/fr/produits-et-prestataires/produitsqualifies/." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-5 + ref_id: '5.2' + name: Qualification des prestataires de services de confiance (PSCO) + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node135 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2 + description: "Les prestataires de services peuvent \xE9ventuellement appartenir\ + \ \xE0 plusieurs cat\xE9gories distinctes de PSCO. Ils doivent alors obtenir\ + \ une qualification pour chaque type de prestation." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node136 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2 + description: "L\u2019attestation de qualification est d\xE9livr\xE9e par un\ + \ organisme de qualification, \xE0 l\u2019issue d\u2019une \xE9valuation de\ + \ la conformit\xE9 du PSCO aux exigences du RGS qui lui sont applicables.\ + \ Ces exigences sont pr\xE9sent\xE9es sous forme de r\xE9f\xE9rentiels annex\xE9\ + s au RGS (annexes A et C). Les organismes de qualification sont, eux-m\xEA\ + mes, accr\xE9dit\xE9s par le Comit\xE9 fran\xE7ais d\u2019accr\xE9ditation\ + \ (COFRAC) et habilit\xE9s par l\u2019ANSSI, conform\xE9ment \xE0 l\u2019\ + instruction n\xB01001/ANSSI/SR du 8 avril 2011." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node137 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2 + description: "Lorsque le PSCO est une administration de l\u2019\xC9tat, l\u2019\ + ANSSI peut proc\xE9der elle-m\xEAme \xE0 son \xE9valuation et \xE0 sa qualification." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node138 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2 + description: "Dans tous les cas, la qualification est accord\xE9e pour une dur\xE9\ + e de trois ans." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node139 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2 + description: "La liste des organismes de qualification habilit\xE9s et des PSCO\ + \ qualifi\xE9s est publi\xE9e par l\u2019ANSSI : https://www.ssi.gouv.fr/fr/produits-et-prestataires/prestataires-de-services-de-confiance-qualifies/" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node140 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2 + description: "Les cat\xE9gories de PSCO vis\xE9es dans la pr\xE9sente version\ + \ du RGS sont :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2.a + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node140 + ref_id: 5.2.a + name: "Les prestataires de services de certification \xE9lectronique " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node142 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2.a + description: "Les r\xE9f\xE9rentiels d\u2019exigences applicables aux prestataires\ + \ de services de certification \xE9lectronique (PSCE) figurent en annexes\ + \ A2 et A3, respectivement appel\xE9es \xAB politique de certification type\ + \ \u2013 certificats \xE9lectroniques de personnes \xBB et \xAB politique\ + \ de certification type \u2013 certificats \xE9lectroniques de services applicatifs\ + \ \xBB." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node143 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2.a + description: "Ces r\xE9f\xE9rentiels distinguent trois niveaux de s\xE9curit\xE9\ + , aux exigences croissantes : (*), (**) et (***). Ils visent distinctement\ + \ les usages de chiffrement, d\u2019authentification de personne, de signature\ + \ \xE9lectronique, d\u2019authentification de machine et de cachet, ainsi\ + \ que le double usage authentification et signature \xE9lectronique." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node144 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2.a + description: "Il est recommand\xE9 que les prestataires de services de certification\ + \ \xE9lectronique r\xE9alisent les d\xE9marches n\xE9cessaires \xE0 l\u2019\ + int\xE9gration de leurs certificats dans les principaux navigateurs." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node145 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2.a + description: "Les PSCE peuvent proposer des offres conformes aux diff\xE9rentes\ + \ versions du RGS. Les qualifications relatives aux offres conformes \xE0\ + \ la premi\xE8re version du RGS seront caduques \xE0 l\u2019issue de la p\xE9\ + riode de 4 ans d\u2019acceptation des certificats de ces offres pr\xE9vue\ + \ au chapitre 8 du pr\xE9sent document, relatif \xE0 la transition entre la\ + \ premi\xE8re et la deuxi\xE8me version du RGS." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2.b + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node140 + ref_id: 5.2.b + name: "Les prestataires de services d\u2019horodatage \xE9lectronique " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node147 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2.b + description: "Le r\xE9f\xE9rentiel d\u2019exigences applicable aux prestataires\ + \ de services d\u2019horodatage \xE9lectronique (PSHE), qui pr\xE9voit un\ + \ niveau de s\xE9curit\xE9 unique, figure en annexe A5, appel\xE9e \xAB politique\ + \ d\u2019horodatage type \xBB." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2.c + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node140 + ref_id: 5.2.c + name: "Les prestataires d\u2019audit de la s\xE9curit\xE9 des syst\xE8mes d\u2019\ + information" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node149 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.2.c + description: "Le r\xE9f\xE9rentiel d\u2019exigences applicables aux prestataires\ + \ d\u2019audit de la s\xE9curit\xE9 des syst\xE8mes d\u2019information figure\ + \ en annexe C du RGS. Il couvre les activit\xE9s d\u2019audit organisationnel,\ + \ de code source, de configuration et d\u2019architecture, ainsi que les tests\ + \ d\u2019intrusion." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-6 + assessable: false + depth: 1 + ref_id: Chapitre 6 + name: "Validation des certificats par l\u2019\xC9tat" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:6.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-6 + ref_id: '6.1' + name: "Champ d\u2019application" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node152 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:6.1 + description: "Les certificats \xE9lectroniques d\xE9livr\xE9s aux autorit\xE9\ + s administratives et \xE0 leurs agents doivent \xEAtre valid\xE9s par l\u2019\ + \xC9tat (art. 10 de l\u2019ordonnance du 8 d\xE9cembre 2005 et chapitre V\ + \ du d\xE9cret RGS), afin de garantir que leurs porteurs sont bien les autorit\xE9\ + s administratives ou les agents identifi\xE9s." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node153 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:6.1 + description: "La proc\xE9dure de validation est mise en \u0153uvre par l\u2019\ + ANSSI (art. 21 du d\xE9cret RGS). Elle consiste \xE0 v\xE9rifier que leur\ + \ proc\xE9dure de d\xE9livrance est conforme aux r\xE8gles fix\xE9es au \xA7\ + \ 6.2." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node154 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:6.1 + description: "Elle concerne les certificats mis en \u0153uvre dans le but d\u2019\ + assurer les fonctions de s\xE9curit\xE9 suivantes :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node155 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node154 + description: "- authentification d\u2019une personne et d\u2019un serveur ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node156 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node154 + description: "- signature \xE9lectronique et cachet ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node157 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node154 + description: "- confidentialit\xE9." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node158 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:6.1 + description: "Conform\xE9ment aux politiques de certification types (PC-Types)\ + \ mentionn\xE9es au chapitre 3, la proc\xE9dure de d\xE9livrance de certificats\ + \ recouvre les aspects suivants :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node159 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node158 + description: "- l\u2019identification et la v\xE9rification de l\u2019identit\xE9\ + \ des agents \xE0 qui seront d\xE9livr\xE9s des certificats ; " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node160 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node158 + description: '- la fabrication technique des certificats ; ' + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node161 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node158 + description: '- la remise des certificats aux porteurs ; ' + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node162 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node158 + description: "- la publication (ou mise \xE0 disposition) des certificats, de\ + \ leur statut et de la politique de certification ; " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node163 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node158 + description: "- la r\xE9vocation et le renouvellement des certificats" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node164 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:6.1 + description: "Lorsqu\u2019elle met en place une proc\xE9dure de d\xE9livrance\ + \ de certificats, une autorit\xE9 administrative s\u2019appuie sur une autorit\xE9\ + \ de certification (AC) interne ou externe, qui peut \xEAtre publique ou priv\xE9\ + e. Une AC peut elle-m\xEAme recourir \xE0 des prestataires externes pour la\ + \ mise en \u0153uvre de certaines des fonctions mentionn\xE9es. Dans tous\ + \ les cas, l\u2019autorit\xE9 administrative reste seule responsable du processus\ + \ global de d\xE9livrance." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:6.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-6 + ref_id: '6.2' + name: "R\xE8gles de s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node166 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:6.2 + description: "L\u2019autorit\xE9 de certification doit :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node167 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node166 + description: "- r\xE9diger une politique de certification (PC) par fonction\ + \ de s\xE9curit\xE9, usage (authentification, signature, chiffrement) et niveau\ + \ de s\xE9curit\xE9. Ces PC doivent \xEAtre conformes aux mod\xE8les des PC-Types\ + \ (annexes [RGS_A_2] \xE0 [RGS_A_3]) ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node168 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node166 + description: "- mettre en \u0153uvre des cl\xE9s cryptographiques d\u2019AC\ + \ sp\xE9cifiquement restreintes et d\xE9di\xE9es \xE0 la g\xE9n\xE9ration\ + \ de certificats destin\xE9s aux autorit\xE9s administratives (AA) ou \xE0\ + \ leurs agents et mentionner cette exigence dans la PC ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node169 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node166 + description: "- g\xE9n\xE9rer des certificats \xE0 destination exclusive des\ + \ AA, ou de leurs agents, et mentionner explicitement cette exigence dans\ + \ la PC ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node170 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node166 + description: "- lorsqu\u2019elle recourt \xE0 des prestataires externes pour\ + \ certaines fonctions, \xE9tablir des proc\xE9dures avec ces prestataires\ + \ permettant de garantir le respect de la PC pour ce qui les concerne ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node171 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node166 + description: "- faire approuver cette PC par l\u2019AA et en respecter les r\xE8\ + gles." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node172 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:6.2 + description: "Lorsqu\u2019elle recourt \xE0 une AC externe, l\u2019autorit\xE9\ + \ administrative doit \xE9tablir des proc\xE9dures qui lui permettent de s\u2019\ + assurer du respect, par cette AC, des r\xE8gles du pr\xE9sent paragraphe." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:6.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-6 + ref_id: '6.3' + name: "Proc\xE9dure de validation " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node174 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:6.3 + description: "Les autorit\xE9s administratives disposent d\u2019un d\xE9lai\ + \ de trois ans \xE0 compter de la publication du pr\xE9sent r\xE9f\xE9rentiel\ + \ pour obtenir la validation de leurs certificats (art. 23 du d\xE9cret RGS).\ + \ Pour les certificats d\xE9livr\xE9s apr\xE8s ce d\xE9lai, la demande de\ + \ validation devra \xEAtre faite dans un d\xE9lai de trois mois \xE0 compter\ + \ de la d\xE9livrance des certificats." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node175 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:6.3 + description: "\xC0 cet effet, l\u2019autorit\xE9 administrative adresse \xE0\ + \ l\u2019ANSSI un dossier de demande de validation qui comporte les pi\xE8\ + ces suivantes :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node176 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node175 + description: "- l\u2019identification pr\xE9cise de l\u2019AA et de l\u2019\ + AC concern\xE9es par la demande ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node177 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node175 + description: "- la PC de l\u2019AC ainsi que, le cas \xE9ch\xE9ant, une description\ + \ de la cha\xEEne de certification ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node178 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node175 + description: "- le cas \xE9ch\xE9ant, les proc\xE9dures mentionn\xE9es au \xA7\ + \ 6.2 \xE9tablies entre l\u2019AA et l\u2019AC et entre l\u2019AC et ses prestataires\ + \ externes\_;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node179 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node175 + description: "- les r\xE9sultats d\u2019un audit de conformit\xE9 de l\u2019\ + AC \xE0 sa PC, qui doit \xEAtre r\xE9alis\xE9 par l\u2019AC conform\xE9ment\ + \ aux r\xE8gles des PC-Types ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node180 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node175 + description: "- le cas \xE9ch\xE9ant, l\u2019attestation de qualification de\ + \ l\u2019AC au sens du d\xE9cret RGS ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node181 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node175 + description: "- le certificat de l\u2019AC et, le cas \xE9ch\xE9ant, une demande\ + \ de publication de ce certificat sur le site internet de l\u2019ANSSI." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node182 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:6.3 + description: "\xC0 l\u2019issue d\u2019un d\xE9lai de deux mois \xE0 compter\ + \ de la r\xE9ception du dossier complet, et sous r\xE9serve que l\u2019ANSSI\ + \ n\u2019ait pas fait part \xE0 l\u2019autorit\xE9 administrative d\u2019\ + une non-conformit\xE9 au regard des r\xE8gles du \xA7 6.2 du pr\xE9sent RGS,\ + \ l\u2019autorit\xE9 administrative est r\xE9put\xE9e avoir obtenu la validation\ + \ des certificats." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node183 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:6.3 + description: "L\u2019ANSSI peut, \xE0 tout moment, demander de v\xE9rifier sur\ + \ place les conditions de d\xE9livrance des certificats afin de s\u2019assurer\ + \ que les proc\xE9dures mises en place par l\u2019AC sont conformes au pr\xE9\ + sent r\xE9f\xE9rentiel (art. 22 du d\xE9cret RGS). En cas de non-conformit\xE9\ + \ signal\xE9e par l\u2019ANSSI, l\u2019autorit\xE9 administrative dispose\ + \ d\u2019un d\xE9lai de trois mois pour faire corriger les proc\xE9dures de\ + \ l\u2019AC. \xC0 d\xE9faut, les certificats ne sont plus consid\xE9r\xE9\ + s comme conformes au d\xE9cret RGS. L\u2019ANSSI publie le nouveau statut\ + \ de ce certificat sur son site." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node184 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:6.3 + description: "L\u2019AA doit faire une demande de renouvellement de la validation\ + \ lors de chaque modification substantielle des conditions de d\xE9livrance\ + \ des certificats, notamment lorsque le certificat de l\u2019AC est expir\xE9\ + ." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node185 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:6.3 + description: "D\xE8s que la validation a \xE9t\xE9 obtenue, le certificat de\ + \ l\u2019AC est, sur demande de l\u2019autorit\xE9 administrative, mis \xE0\ + \ disposition du public par l\u2019ANSSI sur son site Internet www.ssi.gouv.fr." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:6.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-6 + ref_id: '6.4' + name: "Liste des informations relatives \xE0 la d\xE9livrance et \xE0 la validation" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node187 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:6.4 + description: "Les autorit\xE9s administratives mettent \xE0 disposition des\ + \ usagers les informations relatives \xE0 la d\xE9livrance et \xE0 la validation\ + \ des certificats \xE9lectroniques (art. 22 du d\xE9cret RGS) :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node188 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node187 + description: "- la PC de l\u2019AC ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node189 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node187 + description: "- le certificat de l\u2019AC ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node190 + assessable: false + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node187 + description: "- la mention de l\u2019obtention de la validation des certificats\ + \ au sens des pr\xE9sentes dispositions." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + assessable: false + depth: 1 + ref_id: Chapitre 7 + name: "Recommandations relatives \xE0 l\u2019application du r\xE9f\xE9rentiel " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node192 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + description: "Au-del\xE0 de l\u2019analyse de risques et de l\u2019homologation,\ + \ l\u2019ANSSI recommande l\u2019adoption de bonnes pratiques relatives \xE0\ + \ la m\xE9thodologie, aux proc\xE9dures et \xE0 l\u2019organisation." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + ref_id: '7.1' + name: "Organiser la s\xE9curit\xE9 des syst\xE8mes d\u2019information" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.1.a + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.1 + ref_id: 7.1.a + name: "Organiser les responsabilit\xE9s li\xE9es \xE0 la s\xE9curit\xE9 des\ + \ syst\xE8mes d\u2019information" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node195 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.1.a + description: "Les autorit\xE9s administratives doivent mettre en \u0153uvre\ + \ une organisation qui endosse les responsabilit\xE9s li\xE9es \xE0 la s\xE9\ + curit\xE9 des syst\xE8mes d\u2019information." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node196 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.1.a + description: "Elle peut \xEAtre mutualis\xE9e avec celle requise pour la protection\ + \ des informations classifi\xE9es de d\xE9fense, telle que d\xE9finie dans\ + \ l\u2019instruction g\xE9n\xE9rale interminist\xE9rielle sur la protection\ + \ du secret de la d\xE9fense nationale n\xB0 1300/SGDSN/PSE/PSD." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node197 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.1.a + description: "De pr\xE9f\xE9rence dirig\xE9e par un repr\xE9sentant de l\u2019\ + autorit\xE9 administrative, cette organisation doit disposer des moyens mat\xE9\ + riels n\xE9cessaires \xE0 la r\xE9alisation de ses missions et de la capacit\xE9\ + \ \xE0 g\xE9rer les risques, les crises ou les incidents qui pourraient en\ + \ r\xE9sulter." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node198 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.1.a + description: "Le cas \xE9chant, elle s\u2019appuie sur une cha\xEEne fonctionnelle\ + \ SSI charg\xE9e de l\u2019assister dans le pilotage, la gestion et le suivi\ + \ des moyens SSI : le responsable de la s\xE9curit\xE9 des syst\xE8mes d\u2019\ + information (RSSI), l\u2019officier de la s\xE9curit\xE9 des syst\xE8mes d\u2019\ + information (OSSI), le correspondants SSI, etc." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node199 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.1.a + description: "\xC9ventuellement \xE0 l\u2019aide de la cha\xEEne fonctionnelle\ + \ SSI, l\u2019organisation mise en place par l\u2019autorit\xE9 administrative\ + \ peut assurer les missions suivantes :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node200 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node199 + description: "coordination des actions permettant l\u2019int\xE9gration des\ + \ clauses li\xE9es \xE0 la SSI dans les contrats ou les conventions impliquant\ + \ un acc\xE8s par des tiers \xE0 des informations ou \xE0 des ressources informatiques\ + \ ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node201 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node199 + description: "formalisation de la r\xE9partition des responsabilit\xE9s li\xE9\ + es \xE0 la SSI (d\xE9finition des p\xE9rim\xE8tres de responsabilit\xE9, des\ + \ d\xE9l\xE9gations de comp\xE9tences, etc.) ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node202 + assessable: true + depth: 5 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node199 + description: "\xE9tablissement des relations n\xE9cessaires avec les autorit\xE9\ + s externes de d\xE9fense des syst\xE8mes d\u2019information, notamment pour\ + \ la gestion des intrusions et des attaques sur les syst\xE8mes." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.1.b + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.1 + ref_id: 7.1.b + name: "Mettre en place un syst\xE8me de management de la s\xE9curit\xE9 des\ + \ syst\xE8mes d\u2019information" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node204 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.1.b + description: "Il est recommand\xE9 de mettre en \u0153uvre des processus permettant\ + \ de rechercher une am\xE9lioration constante de la SSI. Par exemple, la mise\ + \ en place d\u2019un syst\xE8me de management de la s\xE9curit\xE9 de l\u2019\ + information, tel que d\xE9fini dans la norme ISO 27001, permet non seulement\ + \ de planifier et de mettre en \u0153uvre les mesures de protection du syst\xE8\ + me d\u2019information, mais \xE9galement d\u2019en v\xE9rifier la pertinence\ + \ et la conformit\xE9 par rapport aux objectifs \xE9tablis." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.1.c + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.1 + ref_id: 7.1.c + name: "\xC9laborer une politique de s\xE9curit\xE9 des syst\xE8mes d\u2019information" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node206 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.1.c + description: "Il est recommand\xE9 d\u2019\xE9laborer et de formaliser une politique\ + \ de s\xE9curit\xE9 des syst\xE8mes d\u2019information (PSSI). Elle peut \xEA\ + tre g\xE9n\xE9rale ou d\xE9clin\xE9e en fonction des besoins sp\xE9cifiques\ + \ de chaque domaine de chaque syst\xE8me d\u2019information. Le guide \xAB\ + \ Politique SSI \xBB de l\u2019ANSSI fournit une aide pour son \xE9laboration." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + ref_id: '7.2' + name: "Impliquer les instances d\xE9cisionnelles" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node208 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.2 + description: "Les instances d\xE9cisionnelles des autorit\xE9s administratives\ + \ doivent \xEAtre impliqu\xE9es dans la s\xE9curisation des syst\xE8mes d\u2019\ + information dont elles ont in fine la responsabilit\xE9, afin de donner les\ + \ orientations ad\xE9quates, notamment en termes d\u2019investissement humain\ + \ et financier, et de valider les objectifs de s\xE9curit\xE9 et les orientations\ + \ strat\xE9giques. La norme ISO 27001 fournit, \xE0 titre indicatif, une liste\ + \ de sujets susceptibles d\u2019\xEAtre trait\xE9s au niveau de la direction\ + \ d\u2019une autorit\xE9 administrative." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + ref_id: '7.3' + name: "Adapter l\u2019effort de protection des syst\xE8mes d\u2019information\ + \ aux enjeux de s\xE9curit\xE9 et prendre en compte la SSI dans les projets" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node210 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.3 + description: "La s\xE9curit\xE9 d\u2019un syst\xE8me d\u2019information doit\ + \ \xEAtre adapt\xE9e aux enjeux du syst\xE8me lui-m\xEAme et aux besoins de\ + \ s\xE9curit\xE9 de l\u2019autorit\xE9 administrative, afin d\u2019y consacrer\ + \ les moyens financiers et humains n\xE9cessaires et suffisants. Dans ce but,\ + \ il est recommand\xE9 d\u2019utiliser les guides de l\u2019ANSSI \xAB Maturit\xE9\ + \ SSI \xBB et \xAB Gestion et int\xE9gration de la SSI dans les projets \xBB\ + \ (GISSIP). Ils permettent, dans le cadre du d\xE9veloppement d\u2019un projet\ + \ de syst\xE8me d\u2019information, de d\xE9terminer les enjeux relatifs \xE0\ + \ la s\xE9curit\xE9 et d\u2019identifier l\u2019ensemble des livrables relatifs\ + \ \xE0 la SSI." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + ref_id: '7.4' + name: "Adopter une d\xE9marche globale" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node212 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.4 + description: "L\u2019ensemble de la d\xE9marche de s\xE9curisation des syst\xE8\ + mes d\u2019information doit proc\xE9der d\u2019une volont\xE9 coh\xE9rente\ + \ et globale, afin d\u2019\xE9viter la dispersion des efforts des \xE9quipes\ + \ en charge de la SSI ou la mise en \u0153uvre de mesures de s\xE9curit\xE9\ + \ parcellaires." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node213 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.4 + description: "Chaque d\xE9cision doit \xEAtre prise au juste niveau hi\xE9rarchique." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node214 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.4 + description: "Il est ainsi recommand\xE9 :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node215 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node214 + description: "de prendre en consid\xE9ration tous les aspects qui peuvent affecter\ + \ la SSI, qu\u2019ils soient techniques (mat\xE9riels, logiciels, r\xE9seaux)\ + \ ou non (organisations, infrastructure, personnel) ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node216 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node214 + description: "- d\u2019envisager tous les risques et menaces, quelle que soit\ + \ leur origine ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node217 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node214 + description: "- de prendre en compte la SSI \xE0 tous les niveaux hi\xE9rarchiques.\ + \ La SSI repose sur une vision strat\xE9gique et n\xE9cessite des choix d\u2019\ + autorit\xE9 (enjeux, moyens humains et financiers, risques r\xE9siduels accept\xE9\ + s) ainsi qu\u2019un contr\xF4le des actions et de leur l\xE9gitimit\xE9 ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node218 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node214 + description: "de responsabiliser tous les acteurs (d\xE9cideurs, ma\xEEtrise\ + \ d\u2019ouvrage et d\u2019\u0153uvre, utilisateurs) ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node219 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node214 + description: "d\u2019int\xE9grer la SSI tout au long du cycle de vie des syst\xE8\ + mes d\u2019information (depuis l\u2019\xE9tude d\u2019opportunit\xE9 jusqu\u2019\ + \xE0 la fin de vie du syst\xE8me)." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node220 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.4 + description: "D\u2019une mani\xE8re similaire, la s\xE9curit\xE9 doit \xEAtre\ + \ prise en compte d\xE8s la phase de d\xE9finition des objectifs fonctionnels\ + \ des syst\xE8mes d\u2019information, afin de :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node221 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node220 + description: "- limiter les surco\xFBts inh\xE9rents \xE0 l\u2019application\ + \ tardive de mesures de s\xE9curit\xE9 ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node222 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node220 + description: "- garantir l\u2019efficacit\xE9 des mesures mises en \u0153uvre\ + \ ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node223 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node220 + description: "- garantir l\u2019efficacit\xE9 des mesures mises en \u0153uvre\ + \ ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node224 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node220 + description: "- favoriser l\u2019appropriation de la s\xE9curit\xE9 par les\ + \ \xE9quipes en charge du SI." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + ref_id: '7.5' + name: Informer et sensibiliser le personnel + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node226 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.5 + description: "L\u2019ensemble des agents d\u2019une autorit\xE9 administrative,\ + \ et le cas \xE9chant les contractants et les utilisateurs tiers, doivent\ + \ suivre une formation adapt\xE9e sur la sensibilisation et recevoir r\xE9\ + guli\xE8rement les mises \xE0 jour des politiques et des proc\xE9dures qui\ + \ concernent leurs missions. " + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node227 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.5 + description: "Cette formation doit permettre de r\xE9duire les risques li\xE9\ + s \xE0 la m\xE9connaissance des principes de base et des r\xE8gles \xE9l\xE9\ + mentaires de bonne utilisation de l\u2019outil informatique." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node228 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.5 + description: "La sensibilisation du personnel doit \xEAtre r\xE9guli\xE8re.\ + \ \xC0 cet effet, l\u2019ANSSI publie des bonnes pratiques pour l\u2019application\ + \ de principes de base en mati\xE8re de s\xE9curit\xE9 des syst\xE8mes d\u2019\ + information : https://www.ssi.gouv.fr/fr/bonnes-pratiques/principes-generaux." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + ref_id: '7.6' + name: "Prendre en compte la s\xE9curit\xE9 dans les contrats et les achats" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node230 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.6 + description: "Les exigences de s\xE9curit\xE9 relatives aux produits ou aux\ + \ prestations acquis doivent faire l\u2019objet d\u2019une \xE9tude et doivent\ + \ \xEAtre clairement formalis\xE9es et int\xE9gr\xE9es dans les dossiers d\u2019\ + appels d\u2019offres, au m\xEAme titre que les exigences fonctionnelles, r\xE9\ + glementaires, de performance ou de qualit\xE9." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node231 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.6 + description: "Ces exigences peuvent concerner le syst\xE8me qui fait l\u2019\ + objet de la consultation, mais aussi la gestion du projet lui-m\xEAme (formation\ + \ ou habilitation des personnels), en incluant les phases op\xE9rationnelles\ + \ et de maintenance. Il convient notamment de :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node232 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node231 + description: "- veiller \xE0 int\xE9grer aux r\xE8glements de consultation ou\ + \ aux cahiers des charges les r\xE9f\xE9rentiels de l\u2019ANSSI applicables\ + \ (produits certifi\xE9s, qualifi\xE9s, agr\xE9\xE9s\u2026);" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node233 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node231 + description: "- demander \xE0 ce que les produits de s\xE9curit\xE9 soient fournis\ + \ avec l\u2019ensemble des \xE9l\xE9ments permettant d\u2019en appr\xE9cier\ + \ le niveau de s\xE9curit\xE9 ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node234 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node231 + description: "- pr\xE9ciser les clauses relatives \xE0 la maintenance des produits\ + \ acquis ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node235 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node231 + description: "- pr\xE9ciser les clauses concernant les conditions de l\u2019\ + intervention et de l\u2019acc\xE8s physique et logique des sous-traitants\_\ + ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node236 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node231 + description: "- pr\xE9ciser les clauses garantissant la qualit\xE9 et la s\xE9\ + curit\xE9 des prestations et produits fournis ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node237 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node231 + description: "- pr\xE9ciser les conditions de propri\xE9t\xE9 des codes sources\ + \ ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node238 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node231 + description: "- pr\xE9voir, le cas \xE9ch\xE9ant, la r\xE9versibilit\xE9 des\ + \ prestations et la portabilit\xE9 des donn\xE9es g\xE9n\xE9r\xE9es pendant\ + \ celles-ci en s\u2019assurant en particulier que les bases de donn\xE9es\ + \ sont extractibles, que celle-ci peut \xEAtre distingu\xE9e du syst\xE8me\ + \ lui-m\xEAme et que les formats utilis\xE9s sont ouverts ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node239 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node231 + description: "- pr\xE9ciser la nature et les modalit\xE9s de r\xE9alisation\ + \ des tableaux de bord et m\xE9canismes de suivi des prestations de s\xE9\ + curit\xE9 ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node240 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node231 + description: "- pr\xE9voir les modalit\xE9s de r\xE9action aux crises et aux\ + \ incidents susceptibles d\u2019affecter le syst\xE8me ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node241 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node231 + description: "- pr\xE9voir des points de contact comp\xE9tents \xE0 m\xEAme\ + \ de r\xE9pondre aux besoins des autorit\xE9s administratives ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node242 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node231 + description: "- v\xE9rifier, dans les r\xE9ponses \xE0 appel d\u2019offres,\ + \ la couverture des exigences s\xE9curit\xE9 inscrites dans la consultation." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node243 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.6 + description: "Une attention particuli\xE8re devra \xEAtre port\xE9e aux m\xE9\ + canismes de validation et de recette des composants mettant en \u0153uvre\ + \ les exigences de s\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + ref_id: '7.7' + name: "Prendre en compte la s\xE9curit\xE9 dans les projets d\u2019externalisation\ + \ et d\u2019informatique en nuage" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node245 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.7 + description: "Le recours \xE0 l\u2019externalisation ou \xE0 \xAB l\u2019informatique\ + \ en nuage \xBB pr\xE9sente des risques sp\xE9cifiques qu\u2019il convient\ + \ d\u2019\xE9valuer avant d\u2019aborder une telle d\xE9marche. Ces risques\ + \ peuvent \xEAtre li\xE9s au contexte m\xEAme de l\u2019op\xE9ration d\u2019\ + externalisation ou \xE0 des sp\xE9cifications contractuelles d\xE9ficientes\ + \ ou incompl\xE8tes. Dans cette hypoth\xE8se, il est recommand\xE9 d\u2019\ + appliquer les prescriptions d\xE9crites dans le guide de l\u2019ANSSI \xAB\ + \ Ma\xEEtriser les risques de l\u2019infog\xE9rance \u2013 Externalisation\ + \ des syst\xE8mes d\u2019information \xBB. Ce guide fournit :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node246 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node245 + description: "une d\xE9marche coh\xE9rente de prise en compte des aspects SSI\ + \ lors de la r\xE9daction du cahier des charges d\u2019une op\xE9ration d\u2019\ + externalisation ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node247 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node245 + description: "un ensemble de clauses types ainsi qu\u2019une base d\u2019exigences\ + \ de s\xE9curit\xE9, \xE0 adapter et \xE0 personnaliser en fonction du contexte\ + \ particulier de chaque projet d\u2019externalisation." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + ref_id: '7.8' + name: "Mettre en place des m\xE9canismes de d\xE9fense des syst\xE8mes d\u2019\ + information" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node249 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.8 + description: "En compl\xE9ment des m\xE9canismes de protection des syst\xE8\ + mes d\u2019information, et en fonction de leurs enjeux de s\xE9curit\xE9,\ + \ les autorit\xE9s administratives doivent adopter des mesures compl\xE9mentaires\ + \ relatives \xE0 la d\xE9fense des syst\xE8mes d\u2019information. Ces mesures\ + \ consistent, en particulier, \xE0 assurer :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node250 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node249 + description: "- la connaissance des syst\xE8mes exploit\xE9s par l\u2019autorit\xE9\ + \ administrative, ou en relation avec elle (cartographie des SI, r\xE9pertoire\ + \ des interconnexions, etc.) ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node251 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node249 + description: "- la d\xE9tection des malveillances, des erreurs et des imprudences,\ + \ en p\xE9riph\xE9rie ou \xE0 l\u2019int\xE9rieur des syst\xE8mes d\u2019\ + informations des autorit\xE9s administratives ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node252 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node249 + description: "- la tra\xE7abilit\xE9 des actions et des acc\xE8s r\xE9alis\xE9\ + s sur les syst\xE8mes d\u2019information (journalisation, notamment) ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node253 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node249 + description: "- la p\xE9rennisation des savoir-faire et des comp\xE9tences,\ + \ notamment en termes d\u2019exploitation des SI ; \uF02D la conservation\ + \ de la preuve des infractions d\xE9couvertes." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + ref_id: '7.9' + name: "Utiliser les produits et prestataires labellis\xE9s pour leur s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node255 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.9 + description: "La qualification est un label, cr\xE9\xE9 par l\u2019ordonnance\ + \ du 8 d\xE9cembre 2005, qui permet d\u2019attester de la confiance que l\u2019\ + on peut accorder \xE0 des produits de s\xE9curit\xE9 et \xE0 des prestataires\ + \ de services de confiance (PSCO), ainsi que de leur conformit\xE9 aux r\xE8\ + gles du RGS qui leurs sont applicables. D\u2019autres labels existent pour\ + \ attester de la comp\xE9tence des professionnels, notamment en mati\xE8re\ + \ de SSI." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node256 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.9 + description: "La n\xE9cessit\xE9 de recourir \xE0 des produits de s\xE9curit\xE9\ + \ ou \xE0 des prestataires de services de confiance a \xE9t\xE9 r\xE9guli\xE8\ + rement rappel\xE9e par le Premier ministre [1], ainsi il est recommand\xE9\ + \ :" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node257 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node256 + description: "- d\u2019utiliser chaque fois que possible des produits de s\xE9\ + curit\xE9 qualifi\xE9s (cf. \xA7 5.1) par l\u2019ANSSI ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node258 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node256 + description: "- de recourir chaque fois que possible \xE0 des PSCO qualifi\xE9\ + s (cf. \xA7 5.2) ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node259 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node256 + description: "- de prendre en consid\xE9ration, pour le choix des prestataires,\ + \ en plus de leur qualification, leur \xE9ventuelle certification selon la\ + \ norme ISO 27001 ou d\u2019autres normes \xE9quivalentes ;" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node260 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node256 + description: "- de prendre en consid\xE9ration, pour le choix de prestataires,\ + \ la certification de leurs personnels lorsque des comp\xE9tences particuli\xE8\ + res sont requises pour une fonction." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + ref_id: '7.10' + name: "\xC9laborer des plans de traitement d\u2019incidents ainsi que de continuit\xE9\ + \ et de reprise d\u2019activit\xE9" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node262 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.10 + description: "Les autorit\xE9s doivent se pr\xE9parer \xE0 faire face \xE0 des\ + \ incidents de s\xE9curit\xE9 pour lesquels toutes les mesures pr\xE9ventives\ + \ auraient \xE9chou\xE9. A ce titre, elles doivent mettre en \u0153uvre un\ + \ plan de continuit\xE9 d\u2019activit\xE9 et un plan de reprise d\u2019activit\xE9\ + \ qui identifient les moyens et les proc\xE9dures n\xE9cessaires pour revenir\ + \ \xE0 une situation nominale le plus rapidement possible, en cas d\u2019\ + incident grave." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node263 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.10 + description: "Ces documents doivent \xEAtre r\xE9guli\xE8rement mis \xE0 jour." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node264 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.10 + description: "Les plans et les proc\xE9dures qui en d\xE9coulent doivent faire\ + \ l\u2019objet de test r\xE9guliers." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + ref_id: '7.11' + name: "Proc\xE9der \xE0 des audits r\xE9guliers de la s\xE9curit\xE9 du syst\xE8\ + me d\u2019information" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node266 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.11 + description: "Les autorit\xE9s administratives doivent r\xE9aliser ou faire\ + \ r\xE9aliser des audits r\xE9guliers de leurs SI. \xC0 cet effet, le r\xE9\ + f\xE9rentiel d\u2019exigences relatif aux prestataires d\u2019audit de la\ + \ s\xE9curit\xE9 des syst\xE8mes d\u2019information (annexe C du RGS) fixe\ + \ les r\xE8gles que doivent respecter les prestataires tiers qui r\xE9alisent\ + \ des audits de la s\xE9curit\xE9 des syst\xE8mes d\u2019information des autorit\xE9\ + s administratives. Cette annexe d\xE9crit \xE9galement des recommandations\ + \ \xE0 l\u2019intention des commanditaires d\u2019audits, dans le cadre de\ + \ la passation de march\xE9s publics ou d\u2019un accord contractuel, ainsi\ + \ qu\u2019aux prestataires d\u2019audit dans le cadre de leur devoir de conseil." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node267 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.11 + description: "Afin de s\u2019assurer qu\u2019elles recourent \xE0 des prestataires\ + \ qui respectent ces exigences, les autorit\xE9s administratives doivent,\ + \ autant que possible, faire appel \xE0 des prestataires ayant obtenu une\ + \ qualification, selon le sch\xE9ma d\xE9crit au chapitre 5." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + ref_id: '7.12' + name: "R\xE9aliser une veille sur les menaces et les vuln\xE9rabilit\xE9s" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node269 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.12 + description: "Se tenir inform\xE9 sur l\u2019\xE9volution des menaces et des\ + \ vuln\xE9rabilit\xE9s, en identifiant les incidents qu\u2019elles favorisent\ + \ ainsi que leurs impacts potentiels, constitue une mesure fondamentale de\ + \ d\xE9fense." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node270 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.12 + description: "Les sites institutionnels, comme celui du CERT-FR (https://www.cert.ssi.gouv.fr),\ + \ ou ceux des \xE9diteurs de logiciels et de mat\xE9riels constituent des\ + \ sources d\u2019information essentielles sur les vuln\xE9rabilit\xE9s identifi\xE9\ + es, ainsi que sur les contre-mesures et les correctifs \xE9ventuels." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node271 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.12 + description: "Les mises \xE0 jour des logiciels et d\u2019autres \xE9quipements,\ + \ les correctifs des syst\xE8mes d\u2019exploitation et des applications font\ + \ l\u2019objet d\u2019alertes et d\u2019avis qu\u2019il est indispensable\ + \ de suivre." + - urn: urn:intuitem:risk:req_node:rgs-v2.0:7.13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-7 + ref_id: '7.13' + name: "Favoriser l\u2019interop\xE9rabilit\xE9" + - urn: urn:intuitem:risk:req_node:rgs-v2.0:node273 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:7.13 + description: "L\u2019administration \xE9lectronique ne saurait \xE9voluer sans\ + \ une prise en compte des r\xE8gles relatives \xE0 l\u2019interop\xE9rabilit\xE9\ + \ et \xE0 la mise en coh\xE9rence des diff\xE9rents syst\xE8mes d\u2019information\ + \ des autorit\xE9s administratives et de leurs partenaires (usagers, acteurs\ + \ industriels, etc.). L\u2019interop\xE9rabilit\xE9 est en particulier trait\xE9\ + e \xE0 travers le R\xE9f\xE9rentiel g\xE9n\xE9ral d\u2019interop\xE9rabilit\xE9\ + . Le processus de r\xE9f\xE9rencement est, quant \xE0 lui, d\xE9crit dans\ + \ l\u2019arr\xEAt\xE9 du 18 janvier 2012 relatif au r\xE9f\xE9rencement de\ + \ produits de s\xE9curit\xE9 ou d\u2019offres de prestataires de services\ + \ de confiance." diff --git a/tools/RGS/rgs-v2.0.xlsx b/tools/RGS/rgs-v2.0.xlsx new file mode 100644 index 0000000000000000000000000000000000000000..a6d1df8031a1a9228d4516a5d88de541dd8db852 GIT binary patch literal 34788 zcmeFXgRdw-*XFxz+qP}n`)u2`ZQHhO+qTZOZQFC+Z|=RBoB95OnM$XUN_VQeR@Sec zT2K0qG%yGX02lxS0000X020Q|wlN?800t-k05Sjske0BWt+R=(v!1ety@`_!ox6=S zK_LhbMLqz~zvusN`#(4W!^v~DgA6dEw@EK>Dz!@3dknJ3Awxen?8Ob><5;l z1>5hN`f0C|B@tr6Yzhgw%0n2AHpgXgQSi6uBL)d@Qv6vNP|bCzuxk1J2!a;XfaMLM zno(kyZKr&Dd4US0C4L6+FW!=GBC!Mf4hXy4@#h}Cl!?;`LBuvRdnJB;NW3T7RS+LB zL~dszfWDUa2Ya8~5qt!0j=@V+^>)i_-0(CY2{7L5R;wkyu1A#iuImLk%vjE0Z8A0idl{9_OLADnuQCe}{$bpPr9FO>fWllZ?Zy*g1=eux1k z^j6|4Z2Wb3J03wu+D%ZRi%{9uUvdk+C8mf3d%KSu2SFJt2w2>&$M5XYle2g^z z*-x{X<$fy1W0)OssA~LfA}|WSeCMA|{qK-SRg@Zh{ELVOUIx|1tykPsskw@_%;gPMonEW`GI44e1S9=y6E=`7_DoMH$l5x(UwEfD|Tc zZB)VU@tK)?!&YCMHeW=-^2j)C`pNlpfJ^MMLrKwy1Jb#XHQNHE`zo*YN)X<{-1!QJ z8ZA*@Lr2dxw`L_LZ`>t7RKcOBpD`4atgMB@V#1d%oi;iq=!9iN9aIb7DXMYuo)g{2 znxAPAnWKQmj2|W=3os=I-+Zbr^rHiHk1nQAnpq;co zGzP38!smdaMp7o-0iyK9JZ;F-W;GbUj5q^5rp(7x!mLG4>eNI96X$dB(Ll{I!~f!_ z`g;NW-(?Q^6w*5|2mrtvBme;Xzm)iwIsa?URIAv?A95i4_%42jX%DaJbKBVvPgYuF z>X4`xEQWN+r(|&q6GeEn0*jjee#R`7qNwM1c7;VEZzh@LV)8TdeKuE6UnWS7h%&cM zP`1*p7!#e&e6RhqO5_ySP|9Xys}>pTq|C>1jkQG zsVccptyBl(2#sf2rcZhmuOu#Lr$nE33ek-cR#Mts(F&2o4IqdPFsFuB*Ju>A5hSW8 z1N*2vv|KD)Tw%0lPKLQ&8yD&V4@atL^SkA@s+cW|_z;ums35$Af~<%Q(g*tm8rXZu z*FO)a%rH|XQ#?@$6w#i;-y=sucq9eRjN#yf9T899b#M;xQe*y*RN2R&_68z;O__rf zFI$iX9(|K&)}NkioSK2wtzD~jqUqH2EpB8hn`oh`c&0kdJT&n7SGXJ6p&56@YUvKp z4d4;7aqUjMYie>*n`@neLUe@TZ_>H)M#qps7%5tiVOOpzvtT*5M_sD1t{TWo146Z( zT-~NhgN1;81gaYpYlx^_WL_*D&w(*h_Zjf4Jb@Ks$tQ)zn-R_b`|V?+5)lJ+@&^=KT{Dix3IZ& zPmCy`FF5_;`A1fl*&fE8cH(U6GCaLn>0$KI2h>FIHc2qg;I9YP62OP{T5-f)qr->! z;=mZ1r56K}6Z-DSY$=?z-$NV@lM0V3jltr^Uux3FU*)PUrAUvcB~G52w5l+%crE40 z?i376jB_NRd#DkGmIR3R4wvf@a0oA6%lyQL@qu| z1M*nmUC6}0&|oAPvw=@3)sTH}6QjH$+pEzRXqlPkX4^bWMx9#Q^k|zQIU+kxdFHw4 z07WqNgJYT_HZvuIOYPwIygD%mozZF$qDNquNd{9fp1VUXK+ z?U>vdg}P*?zyEfF|6OU=S7k2?{;3Q;EC9g2>p%O2le34liPL`+W>`%lZj%kcmwx_N z;7+H?h<1#P1oYA!lqQ}oas%)~YASg;G)zFD%Q5ih6^;^rW7J}cSCfB@CvE$R@p7@yjB`3ppA~_$bt#)FRTYdEmAw&rb@g>Cm~OVuk4&stOhjCx#Yi@nQiTjupgcz|~g34<%}1>{}sZ<*qRx^v*B{UHrSDhn*-a@9-};iK%Pra494$t_#K z;8#VBMQ=g);328tZyHJzH7raB+%0W$H4?<;wDyV^%X!`fP2P>1M2Jzh?_BOHp*Gyve+hp)bviA2@NLU}jy4rD7AL1((|p1tIq zI%MuNB3NU#!!LE~gc@q~aU^|G;g)HGz?Z}2+R(~GfqWkWjt+bYwalwQ3Ot;Ye}|&g71oGha$+4q8~_SkvW|A1sxjS4~Xd;#5*>F)C8Xwh<4G27G^R&|_~4$?w+( zNLMwY^+@gXF4@R^k9rdyj6mW~gSb_BnjeIkF}!}c{v$v5sLqG*-<~DHHMgDeLkp3M z%v%~<&B9BwS_shVw8r4I%x0x#l}sN%1?l7$#|9s2Sn8{806?hQ$s)4nNLRSo&YhIq z*PE7WuMF1Pox9c_bL^qX?F{J81>ALZ01 zGM>~}-;x4AX< z_tOGh;~6}|7YGIWR3MP0zk9)c;lX|%W=Y@wZE5wQ-z?Y;4gi2i^dH~jzgTuQH?c9H z|F53$KSW*vA^7S?x*M+Nk}G#>dx8=D0We!079Mq zl@0*1Sdb3b@uY|ZGxrDUIErJ`CzkyU=W!Iv+>eax`4LDobfahfd&~QC(la*39_RF$ zRFz%;O+<1mxe9&rhDS6JJ!jE)2u+SD=71W)2_fwH;R{FJ=-bvUn=?2)Av7G^&V$@DrMp-scR-*E^)Yn3 zBZ1_WdetLunCM0T<^)5LWD+$>js48w2fCH*BEnQkp{saO4uhmHp9Tm5XUpIApLR5{ z@DOy8R=WKnH!v1_60;z(Dyv=qnmtHI$Lzb^?my2_r@tQeBk1(GztFe~CdEuDsau3{ zsU{uxKR;u?-_LGmeZN1O@OnQJF=-}WRenD|%Wb>g$)4(#A(Xm5?^SAge$Nl|es4ec zdR)z~Ai1gg$XLh`a^s|)(?;$BMo?M&8If6%GDI@8kT?OhVHXLJGf9*2sLQ z@g~~+pH*gPt4$KsC@#}q43V^ZjHlIeAxi-8&)THW@~RVyydCN(4sndV_A|Ww5yyKA zR3T4NI#l3@4d%H_*%aL*kO~sNqjQiBJlkf;ny$R1%mbu)6i=9bG;V!-h&%xxYNg5`;Xfv%IKAES?LBy_)&UXJ zQ%@q+Cabymvu9^@sjBAqh=X^exyXUJ-WU4wrxhlTflomYjgy29pew-EW0k$~;lWIj ztE^p=58+bO#&hF|xBE`ry{Yai91#s`W$z%}wjnpl{f5qe+=oq1P4*x|9^el~ERw~M zoRb5+n&mGof@^xDcctCBYeSCv*fosm>GHOnbpl~J8em9X*jr~nn5_bd^vTi-iPbtm z5vRUG!gthS)+Q<2>d|fX!6>4uJ;_TaE+g}hX+ZkEJS_9zRiE2Y`=ooC=<9HFs~lhU zeM4Gi5b6?@fHo&=4?1aWY^AYpe|wwP+fwbIGdBZITJs%x0)65GOUn)NyD2q!OYf0y zuRm!hjLa-&#uHd-@FDA19~ogXbCWG(Y(M=iK+--u^nsw;P}ar?2A1v0BWH=Sh5RTO zbf!zDRp?2jI)YmhFxkG99c9}r_-YP}_~tfpO8bt?$dc7j4}F2LiWId1KXZ! zSIfCJ_N@Ms(!eSXO)D%JS%-TiEZKMF%-Zp{cWi z?^7u6j6v*%Je*TMZ}?H|*`Hm?>?=g&vkaTCps;FQ!tPq+h*lker6)52Nzag0+##Z7 zg_*NmdqAIJ_L<}e-HUx+2dyE)=$T0yQGeMgNKqAG8={$_vZ|Bb$x9<4hRwI0pC0Xo z0!YasjE}hLo&73~gnIUTEspvxThk^C1x+ijUKhh#on4_R`J~Zi^Yrd4jTF zO{B-RY;68?PUT_3bXpCbE8f=Mc3=1U)~%#czl_N>SZG>^+GX8Xf9$)yBUKrqx2T(R ze0t7aTPNazR61q3zxMQr)TB=rmSWzX800iRDr9YVRYOR1$veeuw`K(|A=!032W>r< zFLMu<*0TiI!Oc#YZF+yeB#t4-A*#`EUzvH@#&qW$(TlvJ$BGZH7Wn3 z(;(#Nx%AAdaGr#Xd9d~)31nrWtFEceYh14fdNxgoHi34b&Q7jbJy+6pr>x;L*@nnk zEr@FA*vS2Lsj)R(ft$+RC^j&nY~N@hYMuZMUF77Ro^hl<%AihB+prH&4Rr0<{fN=^ zL0|(z?c2ssxoGLsvtajZk*ZrL2Q3oYga6z=6_6Kom>=);#u&0d&^q1aPruKxBRH4| zSk1wVtJ?BD{KLA#zAFH-|6@ncpCCYu1NvN#4o4MaFkk(5$e?M_cG)vUa1AGvcda?= zaOV`SlVLBPA18J!rhX9zp!Vh!D@C`Dt(;}E$d?07?70Ab&-=3@uni-}$w{lfWZ&gh z{J%Z4_mEgS-2S_x_s{kr{+~kspCaGM+{DD$>Hl$x{%gSW|M^70^Rkvh3<#imJ_T+F zO>V|rayckd0~~b53$l`M3@xMlBB{Z}trOQpvIPM`X+w9t>@qD~G?6|Dk4+0ejVe&l z&UQ!D;(%p`R*irsz?Kn{=1BIW@LeDG1)k&~grQ$7T62YkJ^qv+pMxE@P`!6GRdrEr$TRSc0#>hKZ1OTAu0002xf5ywn+`!SqSjpMZ!q)7+YMm>esaS0_ z*W)e!-~GU%;(nQ4k&5b6b7KYN4FAeuq^f8zs6cy6%nZ!s`|(I|v~vYn-j{MSycSXR z&IMq3tX#?k{sa6oy|b2;oztzy&IG{)d-iBL<@Jf_@J|l2yl-`{>mL5!DfTE2H(nh( z)2d^1H@sY)_9fZ0q~&$%e?pzJ`*Tutn74h-w(0A!GN(3mj_$T2$L{v?aGv+OewsDY zI^>p?MSr7h+oqPc-Pf0)ErbhG*QI8ZOi#NWcxAg`}lS!f6Mdj&FuB@{$kO$F2kPn^X&cc z{(ZePcl+4(lGb#-{L=V!?CJUQeO3K+-KfXX+nZ5srl!^H^?q-b_PuP~mFo&0)pu9& z@0HKUG+;ZH%sP7ine*71d1P?kC)N9Q{pCbwRZpIL+q?6;)Xo%LUHQwo_0spNZhL*E zYr?bhy7zme>SoOErt@Lvx8ZAKb;;J}@#gDf+p}|Pw)FAl;A9)=_u_PWy?Jxbv8%<_ zBUpOpy7rxc-EVh)$vu6-d3(l-cfEQ{X^%R~w(Xq0{(M`bZ|e;69gmssV5aNcxlyOC z88hp~vZqsXAMUMU%;he?w@v5V_U+!9QEQfM)1@y*N1pw)^Vo8e9?gB+wpY`xK5N^! z)60n`!{u$-dW!$<#;l4I51(IqAM@_fITkw4nf_$^MDOP*@3X3klN8X+bIE4Mww0Zq z=8g2rqI7v=TXo8oacGjR>-X8M%gTD`S{{AJC2Un!{|&+OYHZ`$Wl`w_2nH!KR_edArMGs2*{R-CD}8wR1yA&Q&^m zY^F=JZ&V|dXD-#xU&8v6+V&Pz_YDi%C<^!3{r&Lw43F3SZSQS=NF3!}99QJolXnR8 z{qlwa@vUpy3>>#Sj2z|Nmv3{;*6H=#`MWW%FT`CbdWAW1t(5y>bu;P4VRcTvGt8~) z_YZElIJviK^|?&q&~2^mFPz@_hirbyl z=i*bVl+&s&K=z-R=+h6iC4Sf4TD0#*@8Gbn5dOiXsbwH~$Nj;08%#8-C+l=`o(SxS zGTG^|q$Jy>ES)n_z9BHHUCl1l7v#<(c2%25dhP zbIo$0o9EktA_sS!XIE_9x<1{Rm2FOb#<3F0QluD27C}e0TbC-GSIMq-%>_h*KOZ0^vgU4;FnR(l9RwcC}tjWh`H4(^N)?L z+wWH~ImS%|+gPVwEu)`Hp%$c-QGPU{EEx-%i>JPY>T2kG+qikMr}1UVy8<2BotR+= z9UYL0a8X|M9_^tzS;ATPWH@6?TS=TWWGT%uwB5j-BqI%j^afJreAb=(SM}DWVRdJB z3segM2hgNiadz4-R&V@@TMy#;Y3wYzH&gw}aAekhZU$o0S+`+gMXumV3aOpRE$oBo8vwCu2Rq^4`wM8URuX&f9 zEn4rjBqppIH1h`1_hTF++pV662%XR(&!#iPBl)MBi|jqi=HC%ot2n!xV6XZ?CXsfV zbQTwGq+|S-L}2~$&oS8L?4g~Tt&<2^9Qcnd7S{D>Z*!A>WV{smoZ%r;on0S+N!Y+3 z)#2Vsw298>+N;7(@^w8}rZ;zbM$QMC##+CIIDC{$H`4fT%TK9Q{z1`=s9T| zxD{nh@CICz0$5$tE4!}AmNA?E*0lz5m`e^C4t8J`><8I_JY9ABu2?#F}e(Dg7o_t$M z1%v}{0lb;ilY(5Ez;HI=z(Cui1J03?tZT zBgmkm-p3h7Wo*qHR8XNkTgO|ubE+pKxcg-v&~~&)^d=t99F$s1T0lp{Ndi#Q;cw?k-vO{Ng((L9wIx& zxrXrGg}uAOZsPv3&~sB1XWq>BaaPo|!K7|$YX}Ce3=M9+kMO+;JkT%gLa*zy#QX6y z5Jdj!4DId-bx+P)V&>)X2nPXS6P0ra-6W}LA17G_?(VEeHCU#HhnAQcdDCW}GN;BN zmb{Jt#N1r$8mM>Fh4v>CsMuhUF-j(U zAn^StE3APeofA71^LpFv&{RUj2%%{PbpC$e zv%t;h!I+jX;Z3I4kP{|%my|d49PMhjxQ-s}9K_{#I**@6^xbYGeYPtG+*Mrk6(9H{ zFZ1UGPz#FOG1gWeZdFzgIi8_!4L?$Y@_36(CK@i1$*s%#9Ht0HL3^8HD2jjI!JhI# z3ap+`&^xSx3Ic?iG11D65zY#N^_G4CijA}9`nCx3GHOd<2OtSOEXyKwXYQ^a?8V(5 zW};EOLnP%eOef$aob7HN%@gdBcQ2EvlvDSSzz>B>jzb0o75nb(lqON#ACCbE`hIV4j~>cd9PR0d%KKgJlqG+Hm38bBLFh-F(1PJ_V&GAd&Vn zJAIhk3fO_e3|Ehq_R<9GCD~1GRj;%Ag`AE1h(vBb`*wlI+SBRX<-kqzN|p}VZVy46 zq0~RLbIJ4xBN;M(2coeTfgkI6-V10x3N+uTA9HO$X%JGei%w0xZ;I8YX>Z}^0?((5 zcyWN&RTI*y{xq|FL89b{>>=I#h||=MAFecyC;lBXWN?{Rnm{t_=$>3;m{1+qRS~3ZONPPiWVMDBfM6H}9 z#0X7{Auo0EhJi!pu00+sa1O3Z5dE(Z;@3lQ)1CFzw$K*re26L5!1Ov4RI+a5);-|G zXv)z8H{0kCY#S^dL2nRy0HMnsR2eD3u&>&qTber`FGg(~GT}cF);bRD=A_`VZC^An z7)^4Cb-FRnoWtFbzOxCVTTwDeEB6gBJ*)&5!cV2cPPHW;8Wh<*L*9<`31v1hTclMP zmgn)JSPJYml_~DD>Dv%Y5SnC)FaF%753g~iJo(hQR^#FFP_&({f)~lGOiHs#6e-fo zwE03fzCi=Q^L6$!@FeqYyRY|Kt7&awE}PyK!lf`_x}NsV^0nQ z=(3{eHTG;}p=kjEqs0$EZ>`tX)0qx${#&&e`~(#FaJZXRiYo@sh=gRV+!l|(G4|F* zEPj$k@Fu_)lmK4L46K7ge16KSv*dL=bha3d0VE>SjF|~OX~iB^i198Yk%L`}l*%rv z`IM>@@WB9ptqbT2SH=El6EaEunf@MHr#5$NHlM8mW9H7{rPN5 zCnb6(v$2Y-18|Qe@+TsK6VTA9v$cuTUjf?vKI<8!079t)?@d54z=5UB!yfdh74nF8 zo2@UN28KxAR3qAUUlqs_zHB1kdLss6I+cp<4Xr&vAcV+-S);FKqZZ*=PiN3DBUvkv zvAC`S?XHpjlhnH=P-sz+Z~XFHPBIiqzhIbzYs+|yAy15BwpOyhdh$>!~@4mlRWr}ywe``Euy~=asq7MQ*3Pw8ym`wM|bPXDC!fi z5nj(HBFaLxe3y*JL6asV%240h47nVL@Y_4vH?%lI*GB$NB(a%D2#YL4&M}8B&wgPK z#4}JklrvCl!I6(XlZgdyVKf+MjEE{GGlX_=xD*s54TD54EIh1=E@{skG)m5Wguy+h zVt6umtnU*RwY@eaV!3ol?^%~1*$YiJVRkU0zk7xyJ~UC%G_uI>p9`c>mSHh{Tu1ZZ)&fe4i|#eGKG=a$7!VG-PQJ0XNgBJwObfysA6w)@v*3Ps`%I+}MJyXQp((QO9W(FOu07vwo5B_*eAs{d%5COS> zJFjlgW!3E$hnz7k33@e4wis*-4x-#aD8a4TlWDFJECM}?4`+$wU}k=joQO8KRR8?J z0T`gr#auP4*6?tCB;5H2yzKP*dz6xnwP|B!6bVw8PSmp_Z0$3*`Q+W-uYI@f`0uYX z?gOx>5ja=ONZOm-pEilvY9_qyPQ5!uI*0|%BJR1S6y5Q3JP*U7h62vD;vZyM z%ia{CfY20l$OLH~*JQ1_pfoe4$wv+oUy6QNNi6Z%E}@2a z@uWv&Zu7FZP$ln=w=Us|v@uV+V1}WeQ=yAq;#?>X`uMtu1WiI7@Zds|&-*+;N-zvg zPRs`ZI1O2olF?X*`;(`IdS%Gh*|+9Y*g}R7)DbGjk!HtrsAX-0yJftbr+=1mSb>D@ zyCUPCO)5n~9>!K%a09_$k|KEu-i%E3oEBxJJicUCvIYAN+0<>3qH`(@wxr@U&{r97 zz!wY9Mv?)|@yR+l$7xjLKE?fhch zxma=l%$Zvpej^E{%q3g1$oZmznH-D1FI*$@jU|f90u6vBJWG9K5 zfJfBEMQ_lvO8~OqJd{?Z!(Xrq#MqR1Y=+T zhk9&88#!IWLk}+83R%6t{XEb3j_3h z`NHDbNi3cwO%{2F1un;le(H2@o@a6bU{8=7OUn zWoco0CwWiuVny6GtQdDk8Gy^dFkY-U()8G1;&bg5EH%cug^NR~6IA94pm+)++IZm| zw|zP4NYra8w;W8B0D}D%ldX+#o_Lep*tKT!nqwIZ$z=3oCCRiXnw98nl`0UJVC*1m z8OZnUS44la+Ndi8y`Wt-;)0}+gb_%HgU`GBA^BMTQbv!~!UqAwxo)^@rdMTCa9?_k zN|5A)#%-HeNlD9iE(7O1e-2jE6-*pN-~b0Cxl95Ktl z+0N{KhV?{Lc*-(aP5c7Skg@1$I2N-7XXGTZA@p8E(G?#vC_4>;guuUZ{dQ$Mf_3Vk zv%x0DxlEYp!CnmRB?1(D(#7BjP>h2rV3{5>6^xxLRjb_dJi*pYiZj(IjBhj}m!kT6 z{DfB0oE!1dHl#Ep1z1zZyG`8cRIR`G>Avx+Q#fn+oqQxDHhLE3@_#sz)@`sA%r4xS zv>16zl$`o{aSNQw?4tMdbo?(TJP6Fi0 zr9^Ef6u}$e9tK%Ts;%{HNXC(!$Ce_c--Ob3@(N@?&2*y|mNu4&PAWBa1AAbh;T~X} z_N9A<1~^gJ=MRb73((fBJHz7m-=hxY&q2@0MYw{I1Jl;-j29;jJBn;HTeFX0jhIayye1mu=0W6;(#SnAZ<4qcVa$yc$ZWe_% zZq4JWQUA5^P*8b~jm2CC^?iLk$knZ{ijN@2 z#3MN!jtg%eD3q`EB(;GY26b_O7&fU4TX4%~+P&kA$o*!eZ_XMUnQtPX+~p-4^<+Olb;b(zg7o9tx)?i?b&nIkUQshRTGB z&Cbvw>P=z1zNSWqbpXV`_r$^~u~?o=esZD^ZumLB9(3az^n+R>BHp)PxOFfn0153ShL?%{ANU|Nh0w>g-ZDm$RSbY1{ zq1I5uP%B&EUI^ydN9t-Y>V}uW!goZIfze^lRJ8R5`1to|Bx(pIvR?Y{67p#8T7wiv zA{Tg%gjdm^<%(mIySQ%xvhTT9hzOmH-X5kf9Jpwr2rB5G=)!^_WqjuVhxH!p!FjQnm!`i=^BzXN4?GS5jB?UJLvH*duQGdyP-wPXLjCb{M2}RfHcEC zuY@W|>Ugz0eie8Gz4^f-?LPzHe}@+48v{i{0NwxCL7KiKx7zL?m%om(8v7B7EH#Nb zsdO?m1WBc=eYPM2wY6@<0WA*X^4186bXt3TmM1$z-7!9T9O*3 zJNXcArTIjRL1`msQpYYfuxB={65&WN5@lrZ~n%*(OciUY5flbJWc?<&p%a4oTQq^OR3NEWrl&s3{4?1mYp&8h%q( z;%F$nc<1b>y7LG~OFoXnI@Qy00#kCeL$`UutS+CgSeW~lrbU>vqx-Kk(hFEEv>uWy zCjq#eHJ&BsH$<@*%Vo>5M5DWKSi}XX6Jwwq0HQz6AMo=#ZWm50TZ4r8B{It@r_O_R zG0o;|H{}oxji)e0^QVRF{Dd3)-?uSjhC+F|`Q7~^Zy)^M87i_^=C%DFV@Le7)0}zW z8~64lpL$S9;O40+l7#vz(8`u-QEC(OsNUXS+;0ypld}nfx9ZKuXu<5*GA$lakQg>^ zE}d0+mhG*&;15aJY|DvJdj-P686)SXhvg=_Ooridyy)kpm2pNqf-3j~#W3ThJp@V$ zf--fsYGOlYr(8te@B)9IlO7EoVeuKQDkv+R9yVcVI|lHWWGS$60gH{^9>scoihiz6 zEG~e1-9ebY=&ayIJP$qZT6+?sua1=Z)SCrJk#?5*CH~06z>vvDQcghE|K~9Qy{l2-XioileEf-`+ zQk9W7n^Z@G7L{+8hczlMo!}NFs)E(EJYd!C`(tCxV1JKw6X|=l1jXgY-3s!;sC`Yd zANq;Z&J4(-ZE7uoQn&^Hol8zkJXBLTi|4CtG$sy`ZCwMuXiMM%Uo3^(!>^;kY#a1e zeB;*}g6(v90lx#-w92@kyrgdZF31w|!wyG6P*g~slCA8k8UW<5Vv_j|%}nZT`d<{j zBNMNv7dAdGF}Yq9UDy_gaF$LNVq!Vbaow0?{*wF!^iEME_OPm%zbEI1U$Ytei}7LX zNoXTj$p?ST8p9q7s*RCQ%44{q2h-D+?%c#ystxt#A3A;Dt~mzu{b*$Te8-ZEb}56d zC1*Be%+VYvNOVH9V6*0&>I!h&Xsvj0#7*CeWiOFeJEwzRSK z*0=Bw_DA@Nlnw(Y9~rt?P-zksNm2;Au5>KorI)Yh{*?S!?*|JD_)X0GEqT(#+?{Z& z=xc}E1;C%c&A~*P`|dhR)v-IlAd#}OByx4hT8yd%Mqy_j$b#kN`4!7~^xiqY8Q3wwH8Ts={lXmecno#1O^Q4!P6&09DgB zncMfMW?%NHk&elJE>c@zr*pW|lGjuHbqPs6IU-8n?yeZK94u6EXc-!>YI!M#ZJu0@q062^w=US_UbzpmnlY#ucl(zneBC>j4nM*{J>1=j8)QkFW{|$w3 zl`OiZO4MgBsWFLyFjq6!Ws7y>8RY>%h|ge~h}6sE#2_5;CVvAEjer9szhC1B2xS2w z9|Jh6I_^e+zd24Wo2r+_A$500M8(mh+aY73lF^e+9aCj<)jOmZ;@(uDU~kHGJ3KC3 zXYz8Ew)`&dXCP&Nf@kYDtkG4x>!iNJ=hc^}Tjxqa%9C@_r6j~j;!;01HnsqQ1!2j4 z#8JMUaJuI1+g~_AepA8tU4Ubl@YbIB+}XyZr-zH>sB!e3Z3CK1adD41GT!} z18d?Y1Qk#3?k+0ml`#CJ1|2>9W}ha+EkL7r>jzl-R!BJmy}og!u6kAq$OJnI}vNEajGO4`Yx!y}1^PmsdbR!XI%1 zN9pUd#}8N&_&;D2?5kUZXtpsUi8{(kP3`?O;zv@x%@ZzpPv>u#JJV#736!&=D?`u< z#1x{*e?|Ss_G*;g1wwt_-)6;;C0jRT4N=z%#61Nv$db&E!cK{*Vxtzf5X&66xn>H8g2b_%w_vcz8@-*o>q*&Se7UCnhSUdr+0i{9N%B;t=UOAXT z+!h%(LWF9(zZQRBm=MbAB5HzI^4zsRjUT>o4zvuYBFuKK)I%QfU{&#i8|_K zLLNiLn&}E$Nkz;Xe$W%=jqC_5!yqbj(5SozJ&Y&eg!H8VX)wTvd82zf2*%kCy*K;l zxj#d=S8GSakW{-`$;;qe6Od{)h6);Wne*vndl_z)f84TgMaqtNh32p8$>Coz)?PZv z&dDOnlWD_|L-C|iofJCUL9v^HWws7z1dc)Fol&S5Cm812oz23uW4Yx8wK1MIP}ih0 zx_-!I7KpOR(~y`BN~fh_3pe-T;vN=v_noHFE#iRgyMU>{^w##9FFoXdzRxO*fp-u_Jtq*XSH znvz(-$H}b5pbgUt3bYapTjd%fBLm{c>7(1G_&?Cp0I{`Y^=376Fd9;YOZvD!M(YF( ziAz&MRm-t^8(A4D3=8^}2{yy2!t6y%S~Q-OT0(!SO9^C{goG&Fn#MR!GaGY`ObR8g z1L(-8<-BDo`3K*MK%AA`|M~ri#U*j%Gc3?;bhL8K6UB7d_C6h4NRBgqO_c|BPcqPn(3cSsM*8`Z=7Lk&1=F3-dyix4yyxuQK}}jn$Cb z%7Wz2z`h2oea1>(BxsqX?#FN7xyNoQLbjt!;ftO?Y^NS7SZ54GqTD~Fv8C~j#?Oxm ztHG~$(G<{p9rF*XwvMf^E>Sn%v8_^%ZSG5G8#+_}kZad~)3D^#WK;D+#A&bO=d(;c zk{)4v+bu*7J?Z$yRzV`R_0$efQ}L(a7%&i(;xP3)Bt%oDc)#oj1MFoogfk=_ubycj zsiI(k(jJ#1&usidSepQ!}s^tR64Me6QGe4_eAn-WTOvRGqXD$NXtHZ{GyJpkwsZj7FesoJm65|R zkWn~l!$8t=pRS_r>e;$z1SJu^q(pyGwYn$L=9p*UMZr`N8d2pyoCpbW__B3kk_j&- zeZ#QB+WEf3Ao{@tN2I%sPr)F1XHe`1m@s~AI>~7-&`{pGLBg%*xX*^T9-_OLe08K= zRiwu{j`6_4q)<5)Ud_qG&j4LBKNe?)VPBk)I9aeZ53SEf5jMK%-mysf^~y@;QBlBm zEY+3Tlr6wj*e*qT=)vp(a2foTobfCnc$1=nlV?T!E53|oeCpMsxA=!JqYJE!OhyOz zId+H5SVhu^s-);|Rw(bZ^jS$CKV_^M?qs+Luy z2lA?BGtk`}y}HU;c<7YNVzm}OyZyz1RLDiIwV$;&YFzsB^$Vs70nGZAC&|f(-|7)7 zPl=ZE@hpM2E^6us(OKTe{^)!?8_%3r-2~1MWx&dUL>2~~Q-M#tYIa3Pt0o`UID=>T zwlzm~2L+x_ybW@w3>8SlO8K3;z!skB2w0L+VucD#0Ikqwzptu6A+)5IwcyC-zK0O< zkhQ;7593$4lKC}*Q$k4iVZQ*XcDc%g){EKjqd{O)>~k)|zIA25q;eMn1GlFP%q63P zS&!&GwTiU4v_6em*tpC20Mbg+Nv|_3YFLDwX;jAFfaO)v02z;$3UBN7#+FP#!skYG zOmd8`vsO40E=eAPPV2e7+WD1gL7t35$`W!5TZZF*Kf%n6H_W7};tXSs?|?E}+;oX< z47+0xch)=fHnMg78IbVRDzD<0$A$lpT^u39t#R^!>BtSrxYpXhA)nDeGJ)R7aL#jh zR8iL^bm@&(7@`6p-CY|hNa!BTay-;M!cfLCT}vNEbI@5&uVm7kZ_FVb1?+5i>~Dh^ z9PHHP{FZ2ou}JHIw%&NnmM9P7i8Lj&r5Wc69aFoa3T?^j*eKcQUe0jsoz6Utu`GfP zhC@z&D?CJww49r}+3YpbbP|V!6yRXk$SQSOW}bS`EeVbm!uBTwR)LyEE=ocZwoat8 zzl!4IMRjM}PW`a4YyXeuVTuJ0*RwXZ%Sjon;KST6XoHAiAJ zy29kiD=*l-YiB6)JckSF|7hp#Aq4NVtWw#LJqPAJ}RAvVK1UUPkTSLwVJ|y%I3FNk3&jl7& zSw?GB=YUYoU)#zV<$R%~dd9=uV`Pt9atN|I==>@fN4cu%Hn1brXw}{zjJ9yLsfq21@`i#*3<}Of0OuQ@Gt(Osoj7tH`ewa#RZFA6 z-MFz=Fn_im>C;^7pE%boyFq-C>+=(j!K(#9=;Kc$OH~DdO9Fxv61$!_weFg696`l- zPTOjzHFgXwjg!#ieU?IYm2VwT)a;g2wB8-b=ha3PMGCy+eI{@{bN6;AL}xsNziB@m zo588URRk=B)SKajEY`?$p1m^dHdijlKdM+-w!xO4mO7g7 zk0qpUT(Mj0nEAGPYO->7H(2Rd#3%*+7Kv+g^@&?m zsi2PqU6VPm+v0DkHY5*jHd-wM6S5I522PcOYtojm^slw0xRm7|_V>uM1vr$vD2!63 zUR#FQ6eO84c;O1>R7&&|r218}^O3fGJ84cLJ)hQsd)=WUVbP$U2QNsm9JW&qw!LoZ zn!sADi|9f%3{rye2dQCR3pc~`+pPz~_lSIH35GE$k$9LMDn3K*H<1Rp^w~g$LFm9g zrkxi*?~MmBOlw$l@Qm9A$}Rc5$TTFqP2qlT7d6HL#X`v@XOemlcYM2-94V>QTvX+bHU*L@70WqP3~{?@Uk&7;QBeFH zSPb>k4%hSNh~Z2QHp&ycexO|!<|yn~q3RxbJh`ZnSNV|;H@)Zl?6EV=vGMu}Rnu=U zL|!k6B+uBnDV5q=AWbtrF-n;Jg3=@tYn(pkeq&TlmS>-M$QCU%M>6|Qq8kHR7Oo@Z zX+2k(8MpeRDzma$o~9pXLR92XThLSl6w=meKPVT;;*JwG+MVpj(C6N?PdqP)(1VVg z$YJ7H`Mi^J_m$_0rTjgTU=0qwY(K+VX$-bJUm{q=fBG8`U4FlNi{>%#eH8qnT8phO z!>G1;-o)6hZjWBA=KAv50hRZ)NuO7{zMR}F|9V&Wnsy!Sdx&&VIMx^Rud7$-K-t07 zg+CV~Q_)?59L}!CT2$hKcvwvCqg4Cl0BnlYA{|cyrUXrvAsQt)Q3W&g9->+Vm*GV{8ym$s;XX(gX zDw#a?7?`UoWL0u3L+*r6oQGonvCNDU8aA&)wx9Vqt%RG`zY4-joJJ2RkNK1nSw$Bd zm6jq3*fzI=&bMc%M~`uO8ew$Ty{tMGi`|)B70fy0q2%QubT!6vQFA0%~~k;&fp z5%){TOq52i><*Aho4oa(50*K$ixmiXJt!fa67>HpH($+t-Rcr9K#&?NlDhq&);iBf zvJs1QbG!ssoGY({16D9JJ-$mBJ7Xu8RiaQIxF=&jC?0Y1Qp7I|j3Q11c@UqX1saFq znzYuo85{Ve0i7)WW*cdh5O&X4@Xd;iR0%7&VpqyjVdfV$_V!7Ki|63l=>Q5loH-?H zU*1|^cnY{3t$w1O`W|}Y(X#IzH1z2Qt*Y}&ZJ=wL`nAz3Is?h>&}>N5M@SU&ooRqo zq)+T(^5j%L`&91P2%?y?*x0IdCQz>rW%QGH91|lyt2(At2=S6f$(=jXM${_Os$F(nFacCoWXXiW)Ul-OdRJ3}kYKD#2{t*A6^$x17TmO;ObQOZY?*ltK+3lDNiY*`fg0cw5LUlBE{5>V61a#S0N5O7wZsq*o!EY#czS%5le0%;|p`Ln0;7s;$03}xpXrIc8qv= zO&Z7}kvAo#n|i;Cv>rv#!#%)~Nd=diM#*WDh4%66PS!wBEb7p;>s~_$o~g|-TR}W5 zf6SYTdGSaWw9hDs-Mmv5Q&C>9Rg4$@(#bX5vM0q5Nzp7usD29Y%)GPk|Fjqr>l>r3 zwll@6fQs;BYr9*W;g#*N@L_&>bm*%-VX&F?J$hc}_;FCg>Mgb`+n#$XL`) z+l&EFj+4?jf{>1~9`;A>mN&oG--lhTVXG~s$jdnFSj85i(VaS&z(ImRp=NT~`kQuj z3`^6+dVe85V%njxtB01P5m#-MTRTAoqD)b1{ph@zs;%gExjDQe1oK z>(pwM8>i<5DTacMp6v*P2|P#>+gCQbwyV9Bv2{d?;pU->l>J}jiDmha9 z+WCQ2df9qV3okmKAIk1sIo|qf zL{WkhWv+9PVB&02s+^V?fegX4jzzZ?CP@WG{;b8mSU1HH%=gm#eEp^@E-ij?)RORv z$P&%iY#*-ZFEj2ekvy`J4{O9ubk^mwjtraqXOvD2k{+<)tJ1E9#n%^(q?UZw{t5zR zCg~UFwQY;D1tVcY*`P0&)9}aP@b$`*mjxt}Qgyf{CHo?0P~tA!a)n7)IQN4IBljXc z7b!fOf{4j78UkaM`|{~nR@zYmzWU75(Ztp{+xdE+BMSIPY-+Zle3OFhX`tA|mdeJqAB2k!sONpz&ee zLz}?D&J$uPv%H2q4tV{3Q)1D;rjZ|Dg5kPeFvn>Y8S(BKwPd5R(dtU$r4roPfI>^9iV6>X+eTbam)GJaB-Qcq-H=7HNQ{Fx;-B7fb& zymFlwY@}yl3hZg(HnMN)V6O(=*gpH~P-CB33p>lf0+!nEe18l{>n4Yf8Z*8-Vd!y3y>uk^jAE4pfDDD73~iIXO4y5{@!*?M()UlrT* zY9lY51oDCwT491<&6{BI{;}<-dPRPeAV?eE0mubBp+t%{8p)K}x5F`de=}^>JqS}F zBrqLXcfoZg8r0%O;B~|L!M#GxFX{Bg5bX_~pzcJV{Oa5B1a@G@;1Ra%XSQ}{W$6;JrSTWl{j%4hxO!l!`~ z51V|m8X)Bc#ND?oPrJsVyoQw+dA_Z8&$A!;MrvSFPi!5%!*7K^xk+7nBP~&b<`oaa~*e3{G}jL zZLDhK>aZX2LR*#lhAeXML#A%BI|gw;lp;u^jmU>y4#xX32h~KB&_5hwF!Y0@L3EXY z%=ph<&ek~$d}SWM)+NDznCgvBok!^ZH1lG!&I=#kGK;dn#N5Vp)LUGN>>uM>6F>o~ zy66EhB>*=}+3DEHGVy)O7{VLggTWjIl6M4pqq7|D`#8U80zbp#)w%iB-c(>k~&vswDx zd%2Kg>zc=gN047>YdcXqm-b-4oW(kW91xJ8g0I7MC);HX%`%|^EBWJ%Q)jTUa7U(e z{@as{Tw2i;3Xy4oy!H+*7vSF?;X5lE?Q!m&R=2pem~b**@#?H3kkzv97O>-f8*;9A)Vfi|sZAO&&iM}0bMpnnsLjI2 zia|`}s(IB`LwX=uJ6D*4eBBNCoZ(uh>}MV(2rMe9e6-b>uwIF>uht{m&6ppux1Pkd z8I=L0Jh9I)gnG*5ZLsl;zw@rUyi;;QOm?C#q-9AnWj?)WZ?v)1T;k{HdT(zfsp+>c3e<*+sK&FT}E&GhjN zv^u||`|}_Ps0Dk5i83J!Ly=d8A8bc%r#r}=vK#H`f9rQfHyV7he?Le8DB0CyX0g4kdSBh9M8({)o z$D1B`^wpid!{`^rCQ_wS7(a$Aq(Jzzh6k29PKIIH6++1)LPOgCCLB&-b1Jw>=k9{Y zheuNhU$)QQhy(wb5TPomRi=>0p4kwFO2#$CG2IDWZJt79Z%#2g4IWw<7_q-b0RB~9 zvCXteM4sF=5PW?Q2|B$Ae`Ck?i_VdQj~TrtR?1qN5f5fprr2uqc7`aSms+vF9n0z_O+ZBe=*>YWY!{XvTd_E2G0O+E;yyfIs$aEcGA zYyI35yJ{jzuW>YtOKMmriAjrbAY6?TJ)AFjhi4T(a>(_3u@g*>nh7)`YzcBmy}H&< zjK(wcdZTs6ZyvPUE+#>721f*;Pg3eo$aVPVK-Pq&)9?Z0l&upW`I@j4;|yth95N~3 zJNAr(;u?spl4^;0Zz-+f!1aRa39PUJTGI(UbJML8fkzpMH>N*kF1+RNg4V z{MxbwL9oupd=EKT2UM0dLF*+yKP9hvdSajyHF3T$bCKHSQnF_SZ@AFOYpJWbM5%zx zC6ji!FuS6(b$?65#Pd#?lP=aNgn{y2vQ79FF9!fJ| zYmu$g_h$$CR?98hv09-mE(&c+ab^DY{OK*L)p zDWUO%T@j=F^3uQ5K60lH4Q{p%^V)q}S}4}U=|tIE8c0)i3G50~mp}yi(D=1H05=w^ znnYl^Neoft-@PS4kREqVzZ(1d#prV+pc-od+%8?j&Q85*+{pHnA6NOF)c!|Mkn69%*%Jq=bQjtMOvQZ97mU31^V`DGPG}dF` zy?ikTCa0GI%6(mN(=DM+@*kXuXGp54UM#Z9jqTb^eL%^^@o{HxnY0oZ$ballG+JL} zE!{AQNIYt@*>%7lWHv4ghQ>gUrTSU67}66OMPo&US{pbW8Rpz)q`k`am+Jx=h?Jh- zuS^1zj!sse%i+#RreAC*Xu9GvpBeOf!j!2GMn+W)W6TzIaKPQoCDr`kXQ(mn!Je$& zz+2T*ifBq<(c2`2Ww8(T?Irkr9o3$2F(kH`=% zj-@&MBl4i!vN35FY_z^p{HGbX8&D(Iw|be>KV}&@#~SV<6WHX#kunfoNlUaM^I|Bk zL^mh3bbsKoZ|i~Ms~vwRos!Z6PB0>brHQZXj3ZxNLim`Wl&6L<2BW4%*&MPj~I(oMa%!+*F=K1g_&nGEalV`!Pp0LPnh*<86 zv9bt`R+$7em1g2e_A+eMSxP&45nYPjZvN`~&)jH@v2#bbf-fWIi)*%3Vf@G|nz~;G zFkvezq$_*6Tw*_CpZ7*+idT(}F-LzeL)q*Ls@Zo21o9ZyAi<-`t_f2LA^Smi>Uaqc zw9tH0Org7to>XY#CzO8Zc7Zt^mbaivcZ`2xrEkteSs53Zs28vi#$(-BU zqVFB?;o?Iz2PbY=wTx`4pYfPZAL-x&f~h%m??Gu_7}N;rg$|OH+(%*Lu)L5Iu7fB7 z!VSyYkJjWCb;mm($Z*R5lIqhr;@|d8Dt=8J#}g)2NmnZ;3u|_)N-0$4%Ti**o!4k+ zrpQa{`1;u+aV?wSz+sEiqs8*av{w^fA^xS+2RZPu)%%F~N4<5}wls7<`MU+P2`mh= zu!W`Tqu$i87&PW%_cKcalO641o`FZ%09|Ubyz0*83H0y2Sq#FhsLPwDg!wWCJbNPl zY-d)7n8qs{OtTL-iYI5io*$NVG8*1Mc(3r7A0%V-^WFJMg6_d+WSJZ8ST0 zo$c4-Z#Z89KCD0?7w<3LDKj^hyPMba&tPN0uR`%-E<^b7*I1mGnFl(^5Q0!Z$@*N9 zKS#<<(N}(giZX!-A3>qH#>plcZ6>r3LGjC#`QlpS$8_?mIig; zRN{OL3U7wp@xs6~tx8#_*dd~76T6-E4tsoEcwpoIShE*vYv}B<=HMzK?*xqO8!k?3 zGX_j&U9Pv^SQyL*eDPA)iM#RER~?p)ZSY^d?;rhDsP%uAX3WVLhBwCr0+Jg8l(PRH zRbKvG-z6t`Gj4+sG3s8d-@Z5zKXmW2r2DQDwksp@9Osi{G7 zs~|P$1@S%GpSN!;UP8;;drrKTC_PcfnZnTGr?oDsm!p|+E7^DaQyK1 zVfdZUd2J<7O?b$ttfZM84>ZUSO~OxDRT#KWs?@Zf2Z|0Li`Ir>?NTeia6_~SvaBT( zF~9j>)zX57k`H*GVt)}~TbnEORf^iouuj|zNR_pBt(;1?MQBEAuc<(glhiTst8WFxBe-E&lj|%zC7Cd!F3oLwTOZl7bn35dI29; zjh*@OSkj-JU0}4{XoJAVJOiPW7J?@RA#>tv-Sm57q>G zbRG>9rPmBBH|t+DKL18jPVTQdT{`Dbhmrel!w~NNaUa@~jXINdnsKQd0_Nn{JjqAb zB11c31KMKqAI(o?Rn=UI(I9Vkrw0C?AFuD5&%3*QKA&T|U#CL?pD&pFelL#(yI)T< ze=ZqL;|V@LazCB^yzKiAoxjKTeY}79zQ10M&GwasJA5Gv_`QA{THV(xWZP!ueMu{P zy&nI1DE9|Q&&PHS@N`1jMl@`ZHqm#bqhIcVeI{4hJPP8ITV7In^L-|cO1_ddCti~j zvQN`LTz$$92Oi#^c27JsO!&U>xQ098)Jj-u4I)G27*)YZfg}xoiJ(+E|sOrVFRzA(S zR{Ra-$%A5`s7oh$xe$sMp7S&Zf~a9 zfB5@QFO594NXV_NB18zKPo~(aP(*7+YG+MeMOsn$kEE8n6!qGCWq<#SU&ClAK!YO& zmr6dNHWpa|QDPG?Hdtvga8V6tka9t5B(gIS+iXf?c@V!Ke{#b`@ojb-Tx;e`G!U4&A$VjKJM1-1nB6?uJ`DW(n!4JKt@) zl!mUrArYXcgUg^6zhae2)8x=4qo*$_^7|m_%&eIGNTg+L3DEtcDogKi&0R4Ok%OoU zvtlQ|WOCW^^i4}RfV}4TUf3%?#^j9M056w%?I*Pp3$IlOyj3@xDXn(Pjh)EC!f6hcQ1h3bx zj}Znh=pH9`vC*nicduQpb@3Ly!kM{Tjy|<-3pM+j*(o3q{g!B|_jXb}pP1sNpF1>< z7#DY))g!SezLQKNpVhw+y{_&~iHIDV-cToLI*mJ;u750nihXIQM=BnhR_w7eTV=-K z^5w019PSm5Sw1wc*b!Hqy*Z4Wo=UtpMp%|f4(CVrw|d%qdDR?<%=)DSqfgB&W$R zC39|ez_b(l;Y2Ka7JlX6W!|?!tg63~Fn>6~jiIyto3{`#ugdng=v8lHPCraf;o#nu zHd{f)!V@Ljv-pj{-?Di7UNpBvJ2@V*uxo?!G2Hp)K17~h^@oeUd=JlD@{R5IcqC;Z z4axd=rcW`5;?i$73nIcMPs5!an?t|My-L%(wn{IS z%Y&0TZY6fwl!($;_e5ySxkiFN8)lxPQPpG18mF1nupy-{O@I<_K>{p5v3yzn$FCIt zm`gT*%ZbNZTzU;o;-9W#a9Ihz|7#JW3o%d85~svxD(05;1>!~k%h=?}gnHQR+yuC9 zMC+)~uw#=1uYOGFtmm;Q0|2F$#t6jMZ1+OE`mm8a^;b^jBoqfqb`(!;ss+P(|0OCG zKRB9jDSEWvyl;ZuDD5L^YoEW2h$bRBO>OSAJ#uYA@A)i{y|SSwKGUOx(po>@eILnX zHLB+LyPFsy!t|oQw_3H?v7Z}RjgY2fA~QU?F_E2#icTf2qV=D=BlHERkIZ5-JX-30 z)JE)#VDJG3gee;D$x3?EMC`R*A%%V)0xsz;`d(!6y&!pHd3+qB$jkmUCpIULx9V!R z7am5L1{>?ONqOC@xGlMLe4v92BG6ZSM~^+%*7Rsf+6*vwd3-f@V*?&6vm5LG5^ek? zTIinKX)W7yMlf_(bZtuAi@5rc?wlvG-G#yPmm9b7Gceyb?I=Y;UO|w0ULDBm)z!``q2LNkrf<_x_{byPk zYvCctB;UcExvjaL#$?Z5bFDsjeY;n^wmK29;lbj1)2V#@S7@pAMr6W0MvCVUd9I`B z{Clktg@+weBzSjXq>nnAMl%0e{wty3u_a8QMmi|@naxPCjD8esfR z)N+>NiqlB(clIUqo0GArwnrhn%5074m14ZwFq4~;_~z`+#4F3X`LKUQ6=ti6TbIz! zH-$P$&y_zVOz*yam8T5>5k?3qS=E*1a7SoLU5N|T@gAhs#s=@0d|8JcVoUa)e^CF1 zM65?Q4zrIAQmgIKiB7H2pL?V%ful%lu&|3Ab$8n4M3(uMih+hu6YhgM`-*GdV|HnF zYzbPqHNu2+X4}ZITXWU?=Tw(Y+oc!~&p}iWfU*?cxBck~_8ZZqJc;t5{AE*;autN_ zqFm@AabEish3jjYQf+o;;gzD5c-_YOL!fr1q3p(vAI*G|OHhaUPcp4ns|%2xS|Z}{ zI*j*2zG5p)N<6L-6iy4e2ur;YyEx}!_8u(K2Rtfm9PP!vR#S2Dan}zG-8Fcz_(R!+ zqtB@iKWvX+E%X|M#tZC*O;Ckc)!pV~PfCf{b(o{wP?L))WDcgpPkW>P50g=$tveaJHhX9(2MVBG&p~KZeqb^rh7oWEcBfvdNu;@2mkbz|; zb8tIfVgsX|c>gkJ_GNth_;NNQ{aE0I+sd>vjU+!j|HX8lZSb2cRgt8$?}zekRmZ$l zg9i>34?PpDk1uT=Lf~+Rkwi20SuTc)IdW{ynL{6t?8NuAUBcvL!C6@ot|a9nW%2W8 z^4(~XE^i|iKubnC`SDF@x{UiX(ZQAbH3s1-2)3L^L2!{pP?4q%iLa4KDFV2ZZwKV6 z=wW6|nMANZ?|HBAn_)w0isZAs>9vB*2Rf7pBNyp37Zdiiw%iPWdMCYoMMJ~(HB>X3 zV5WDf(6CwVQ?rWf79;&#Re6HUq2>?57&)gzGkVlZ z8CyGm3lsV^fNg;c>MQ$UMrnl0o1N?;wj&yFvyNJ4svZ|uOq3bn=L;aNWv&EknMBn?( zq_(S{Wtr?%MF+#yYe0Xb*gNjX#RNf#q4L70i4OlrQS9_xo>smmE0Pf`k?|G9@Gve| zg0G+tk2l}Z(oIhR(O}*NTQBusUzHzsuLOVF)LOXMB?T@u}IybTN#BLVKPbr==< z=trdQb%k*fJBHC?J?IwcAz4Z@3^X4^ZZFkrwLlv*-tURzDFXWhZ0{K?w|t$yjiSP z8t_Jev-kSAc$czkON1|J1raRX@i(;_`0Yy;P!Grfi%G<*olxGG_v%(Z4mxlXF$m<2 z(0RyAX=Tz8{=hv#?a18O(m#!eOdk$gH9%4a3K@K?a|!uU<^AeV;sD^^Np%qUtyGhX zVqe&$@Y2?^`VD7c(gX9k+1Q1$6Swqo`NKdXtIqEeG{@%to(wxlc zPB(1kqT^$`1t><@JD($zD~Banz)(4}`_C9ZIWzl*P-o4zAR{WlrE_U3{s4Uq8c3yi`z+iN1sacx!^y9q`sAmwFQ4*L{2+p+(e>pMF#qA&K z@l5WGXH|l8+h0nMV_n`i-OKKoDc|Fb#zMpoTPgCEx|4McXF!EugVL;n^MHEq2UL18 zmhW3r@qtdicq(=wLElK zkVmwOvS49~3g>1308u~ISQY2XdI@ZWToOlHhj6V7yCTH?&#YZwqumGD0oYcVN83A& zLo;&ufUrcVXmgSRWCHkUX`Qf9B^mw_CsB6G%2#y~^0e}nrZaR`7=0@w76oPZeDBhR z4%w_~AsYh0)q%9D~+JHx9IHCREcGYqkAqN$~uWCNDvfk<_Px!}#0Q;bC z2-1jz6jS?<{_9*aiUKAi71o9f^|NqqK7B_>dhxNrN6 zEb6566xH`>Nz{1{fc0lV;+jOU%oB7t!^Vc>j!*G3+GNODmB9oaGgyQgFlQYN@ADJ| zm!BLn?ONDCH$u&c?4a=LBQnI<*`*AO2{FOHWkQ`1-9lk2y0!P%s)z(@K$#8(8y(8T z+y%%49Xz%ulR}zMYVCfdkYcR3j#&E`6|{MdZX2{zJCKF5l+PPam56qtwi}S3&yH;n z9EM>xVprH&HJT|~8$@lc{ybQZ!+|HS4vgD;s~^Wg8N=I^Vtp&M@*S2Qd{ZA=B1plj z#XfGtq)TLS+Nv%YnZ(&A0T+BM5a%>H025(KCZ&r-<;w~fUX zXOCBK+QT!b>&M5lHhU@Z$+IrzWgkJ;=rEE>^)uBubU$4VS{HbC_o@50SbJ}EtYs|l z#G!qMDA)AltD~9d-K)h{jW0%Zh_YVB-;oS1t>ZNy4xpV^NP8WFY>8gO8q%UA_M?>!7AW;DlXFmK2lAGT-wV zyUH1IzSK@_?}|;gBx%Z+8)%SE|E4|?D_eT%ZFrk39GL*T-$Fx$|De$yXh^0e0;xKGUs@6s> zU7DUw@z*!12yQ+oDe^6fB#DKtA9s9#3xKF{M~APvrCBQ;N@8{F1XY^6g#I*W=)*yY zH%<|;U?dOWgtBxY>i^zXBO6uobjM`BBr|v#iM~e0oC3g|raCla_^fOtOvU|ZYsk`HzhZC#rKB~OISY3Tw@6w9U$@wUQOcc~ zqol(Y?o#s<9T=~Tlp-l}OD;Oh9EkXcMb2MnghkH*s}o5AE?Yw2xugf%D^tb%3;t+_#Cph!shLt8oNK$C zB_X)*u6d{&^Rm%piK13i*HF{8hCG-YX(`49@0%UF38GeJcB!>Ft*I@AHd>xKtCYi5 zyjrc;V!ueme11v5ItBHpY~C_}cmQ^ysU;=4){L+43_hSZARs;*E!24{1c0cx71B_d zFlPY{DOTR^?%_XVWlrjvXSvUj)K*8U1*rw`?(I5M?qi=m7a5}c65A1SNu|Cciie&H z^dS|Q2#D8yB=mRQQK=~3L4OAhM+g!C?j$O~!+k@}b-pkXg_zN-5kndV2eXLI6e(`va$E zv9vzh4!Fx&Su;^AN^vF^KvUHC4h{X9QRN`D@CG>Y=lcDDU zB>5wydCfQ^eQh?9E#v$WwSlM?gu~T>>*DvAZ^Y z3n`F*D&4ebT%$;w_a#5bs}RQ7LWptn)UhBZ0uqb%O;Z0xqc#t=S?<9uhPuuV$SYA~ zVkkE$N=x>?I*}>X_*>x!C^SQn0bwm)bo40`lft9n$B@_LquV%T(EYqG)GF_jx}A8V zGiUMpi$-S1vg&?pX4!3YzLh%Lx$XM|QmHtv(-|y@bM=3I~BkMQJqF z*FLGsk#}qJILF)^S_lUnDCux;#r@U`YY#lK!=oO)G~c<<1^F0;>Q}H6nZmy-I2ir2 z=g|t^h`BeWK!p;J-$Jjff}+d`;#U=je~@O%+&?>vICeNgv`2y5ub?^}WfFnWK8>h> z7|D*M+#mn$&rog_Z_o&rD6kxiO?`!3+e%+Do}a=pdN~L+s9*~zz^U4>Kne(Rtr0RI z`NpN~+A84l#F6U>ltsqsxFVsdS?GwwblvJR!69=jni%Xc1XoTqtdWbBz(m9*A1|k2 zC^7j5>op09cPenI%8dbtiA;VUCCmdaf2FZ^-N~G>0Db1s`269(xxYS_DGtG)QPHl9 z2==|J*|D^(a+Lf&wuM1{1)|vn{|Q8b&nb`~mFKwhSB>R!G0y@0&iM1GTSa?#Z?Rqg zuHnMJw3(leRh%;IbAVhPRGtN z%e-30=SGoBHIr3LvyoGZY!s9dBBH_$3bDr-sj%)K#S+{@c&MifO_9sKNhFLSQew_& zc>qD9L(;5L$H>}kX|}i-fqj||8JMQYuqCjGFc4+_KJ+p^&(NMK;&{vSHYl0FO`69Lq|Q+7=XwH#}c_ISilI&yKAH#uXAafzjq!Ju$NM zgo|3wvo9PFNM(=W@?pE2YXjF@w^L@8EwaR;D?+ITCxW0sQ(vm3d4v03){kGK?+ zeamv{B@q{|XD^%pOmo5=%sKmK7o(E^YXeGefJ4QRZ`#2?XlnPs!uP>2j0}bJiS{De zGZ}#_+2(Lp%#vU$T+`@J;tXEe1;V_UMO)?!T8q0Y2E2IbK(r?%Bv3UW3Mc;PcUIi^ zPVhG>Lx=j4;qxaJReNydg9Cmt{}%OK&W8~hWY#?#_tMAF8y|5JBx}ute&0*PupxN) zu5u>&_C6jh0g35bVlO@c98Gt*&yfVQX2!+)bV|M0awr59D6~!KXSExFK+RS7K6oaq z-t7B(PKc?-*m+roJ7!%O(}QHn{df|0A|BVnPqfTO{6$jfLsP*CK&Ay9UlQU_yLdtS zG0Cmekc9VbjD;+=j&TLgH;K{g3nDDH%l~iC{QZ=YYGWVFh!|2IXUKp@nm;722mBsh4>FcOZ)~buny=GGw|1b`mD5Z>|W6?t{Zd>wqHdpwb&at%dNt ziW2U^mKADX+kcrUFw#P&FpClvQ|?qm`chNuxe4B}db!#yrQOp-ed`I~&j_a}U#BR3;5A^-4ze`h!tl+}c>$ z8Y#k}rX(RP-vH$BY;*lA{S?Ct!=j`tZS61e;Qx92fX$5QMH29q9S9H*5)dS?se_54 zvxB1xgNcK)*M(%gn{?r6021rDd_hzHJD&G+pC%L zO?C9x3cU?~frok8;x0^&;?oz8ndtQc%Bek=7_`($CFBuGpb={NC3*>lY%`B&kjsjL zmKxNfGca_zsLSdYt3hf|g|Y?193UKzq^6K_++VqiU?x*fgq5+~BA!kyWS$Hcc zz6*GJQnUl%SNslifIqHX_j_GE+;vL5fjstx66+?lJmqc(*ku5}hfJ`>{K;}iqRO0} zVD)tX`RLpY`2}xEaF{=gC1sLCPI7>yX!>#xjJo^3!jIJs9<>_)zka}{4B~%>pOK^E z|3@ES%Kq!hQ5lfmVnpoGxDe>*ZJq%UUY=yCN^8TF?lQ*k5)Ecq*W`3JMVK!$FrYvp zYH3mS&h~s@efTh^okeIhqYJa_o_cjobPAJyAMEg*ad6L%+i^jM(gj}O`RN&+m|xxQ za76wB4vG~++v>=4il)?zOnd=t6A`WIUa9=12wKW|70Mt}d^dPGhK(0_NXvubLFoDo zU1EAEAs$bI?vKOb;HADn_qLlHa?MeAS)({;sYVq|ad3Pusr$DL&ih7V0tD<@RF^DS z?)D0T;6iyb<)11)mJOY9#Ve3)MXBtz``A8a>q_o@eo2#KTKQNMMR`c8a2Y0tq zk3iCjFMdQ0=_joiEY`=aVMXXlMCvXxj}4l zXle9pj-Z@A3;S2MABL+=HH*0?l^$jrDf9aCJp$M{{}ph7LFfRCRNz36fYl@dLdM+L zHU(fF6F~3z7lG%0UOFNU_O533t_G@}j%F@;e>s7o%zqkaRbwRi4bYMW#B4xj_TR2t zfE)dbLjG^s_nk|3W|iPdoplAOE+d55N%rK}P;h<$rP!|67?B zKu!D~%*6jx{U`P5zg1rl|5p7c5$Zn;{F74c-v;&p`R#vo{QpI;_D_TVL{0{@%(e}#5MnQs8l0Rh1R9vA@Jwuk)n>i+-&CY}ZW literal 0 HcmV?d00001 diff --git a/tools/convert_framework.py b/tools/convert_framework.py index 0c9c16ffd..475aa62cc 100644 --- a/tools/convert_framework.py +++ b/tools/convert_framework.py @@ -162,6 +162,7 @@ def read_header(row): print("URN duplicate:", urn) exit(1) urn_unicity_checker.add(urn) + assert type(depth) == int, f"incorrect depth for {row}" if depth == current_depth + 1: parent_for_depth[depth]=current_node_urn parent_urn = parent_for_depth[depth] From 13adac0ad45f00250d020df5eebe3339fbee9f3c Mon Sep 17 00:00:00 2001 From: eric-intuitem <71850047+eric-intuitem@users.noreply.github.com> Date: Sun, 7 Apr 2024 17:43:06 +0200 Subject: [PATCH 2/2] Update README.md --- README.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/README.md b/README.md index a1c8e2570..64f54666b 100644 --- a/README.md +++ b/README.md @@ -82,13 +82,13 @@ Check out the online documentation on https://intuitem.gitbook.io/ciso-assistant 17. NIST SP-800-66 (HIPAA) 18. HDS/HDH 19. OWASP Application Security Verification Standard (ASVS) +20. France RGS v2.0 Checkout the [library](/backend/library/libraries/) and [tools](/tools/) for the Domain Specific Language used and how you can define your own. ### Coming soon - ANSSI hygiene guide -- RGS - CIS - CCM - CCPA