From 74c8d39582de9517184858e603666302efad00c5 Mon Sep 17 00:00:00 2001 From: Gildas NOEL Date: Fri, 17 May 2024 22:56:27 +0200 Subject: [PATCH] PSSI-MCAS --- backend/library/libraries/mcas-1.0.yaml | 2082 +++++++++++++++++++++++ tools/mcas/mcas-1.0.xlsx | Bin 0 -> 45188 bytes 2 files changed, 2082 insertions(+) create mode 100644 backend/library/libraries/mcas-1.0.yaml create mode 100644 tools/mcas/mcas-1.0.xlsx diff --git a/backend/library/libraries/mcas-1.0.yaml b/backend/library/libraries/mcas-1.0.yaml new file mode 100644 index 000000000..2d7ff6963 --- /dev/null +++ b/backend/library/libraries/mcas-1.0.yaml @@ -0,0 +1,2082 @@ +urn: urn:ackwa:risk:library:mcas-1.0 +locale: fr +ref_id: mcas-1.0 +name: PSSI-MCAS v1.0 +description: "Politique de s\xE9curit\xE9 des syst\xE8mes d\u2019information pour\ + \ les minist\xE8res charg\xE9s des affaires sociales" +copyright: "Minist\xE8re des Affaires sociales, de la Sant\xE9 et des Droits des femmes\ + \ - 01/10/2015" +version: 1 +provider: MCAS +packager: Ackwa.fr +objects: + framework: + urn: urn:ackwa:risk:framework:mcas-1.0 + ref_id: mcas-1.0 + name: PSSI-MCAS v1.0 + description: "Politique de s\xE9curit\xE9 des syst\xE8mes d\u2019information pour\ + \ les minist\xE8res charg\xE9s des affaires sociales" + requirement_nodes: + - urn: urn:ackwa:risk:req_node:mcas-1.0:org + assessable: false + depth: 1 + ref_id: ORG + name: "Organisation de la s\xE9curit\xE9 des syst\xE8mes d\u2019information" + - urn: urn:ackwa:risk:req_node:mcas-1.0:org-ssi + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org + ref_id: ORG-SSI + name: Organisation SSI + description: "Une organisation d\xE9di\xE9e \xE0 la SSI est d\xE9ploy\xE9e dans\ + \ toutes les directions, services d\xE9concentr\xE9s, agences r\xE9gionales\ + \ de sant\xE9, \xE9tablissements publics et op\xE9rateurs du p\xE9rim\xE8\ + tre des MCAS. Cette organisation, \xE9tablie selon les directives du haut\ + \ fonctionnaire de d\xE9fense et de s\xE9curit\xE9 (HFDS), d\xE9finit les\ + \ responsabilit\xE9s internes et \xE0 l'\xE9gard des tiers, les modalit\xE9\ + s de coordination avec les autorit\xE9s externes, ainsi que les modalit\xE9\ + s d'application des mesures de protection. Des proc\xE9dures d'applications\ + \ sont \xE9crites et port\xE9es \xE0 la connaissance de tous." + - urn: urn:ackwa:risk:req_node:mcas-1.0:org-act-ssi + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org + ref_id: ORG-ACT-SSI + name: Identification des acteurs SSI + description: "L\u2019organisation SSI des MCAS s\u2019appuie sur des acteurs\ + \ SSI clairement identifi\xE9s, \xE0 tous ses niveaux d\u2019organisation.\ + \ Les acteurs responsables en mati\xE8re de SSI sont charg\xE9s de la mise\ + \ en application g\xE9n\xE9rale de la PSSI-MCAS Ils sont r\xE9f\xE9renc\xE9\ + s dans un annuaire minist\xE9riel. Cette cha\xEEne fonctionnelle s\u2019appuie\ + \ sur le service du haut fonctionnaire de d\xE9fense et de s\xE9curit\xE9\ + ), notamment sur le fonctionnaire de s\xE9curit\xE9 des syst\xE8mes d'information\ + \ (FSSI) pour les MCAS." + - urn: urn:ackwa:risk:req_node:mcas-1.0:org-rssi + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org + ref_id: ORG-RSSI + name: "D\xE9signation du responsable SSI" + description: "Chaque autorit\xE9 qualifi\xE9e en s\xE9curit\xE9 des syst\xE8\ + mes d\u2019information (AQSSI) s'appuie sur un ou plusieurs responsables de\ + \ la s\xE9curit\xE9 des syst\xE8mes d'information (RSSI), charg\xE9(s) de\ + \ l'assister dans le pilotage et la gestion de la SSI Des correspondants locaux\ + \ SSI (CLSSI) peuvent \xEAtre d\xE9sign\xE9s, le cas \xE9ch\xE9ant, afin de\ + \ constituer un relais du RSSI. Le RSSI d'une entit\xE9 fait valider les mesures\ + \ d'application de la PSSI-MCAS par l'AQSSI et veille \xE0 leur application.\ + \ Des d\xE9nominations alternatives des fonctions cit\xE9es ci- dessus peuvent\ + \ \xEAtre utilis\xE9es si n\xE9cessaire." + - urn: urn:ackwa:risk:req_node:mcas-1.0:org-resp + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org + ref_id: ORG-RESP + name: "Formalisation des responsabilit\xE9s" + description: "Une note d'organisation fixe la r\xE9partition au sein de chaque\ + \ entit\xE9 et au niveau local des responsabilit\xE9s et r\xF4les en mati\xE8\ + re de SSI Cette note sera, le plus souvent, propos\xE9e par le RSSI et valid\xE9\ + e par l'AQSSI." + - urn: urn:ackwa:risk:req_node:mcas-1.0:org-tiers + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org + ref_id: ORG-TIERS + name: Gestion contractuelle des tiers + description: "Le RSSI coordonne les actions permettant l'int\xE9gration des\ + \ clauses li\xE9es \xE0 la SSI dans tout contrat ou convention impliquant\ + \ un acc\xE8s par des tiers \xE0 des informations ou \xE0 des ressources informatiques." + - urn: urn:ackwa:risk:req_node:mcas-1.0:org-pil-pmssi + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org + ref_id: ORG-PIL-PMSSI + name: "D\xE9finition et pilotage de la PSSI minist\xE9rielle" + description: "La PSSI-MCAS est plac\xE9e sous la responsabilit\xE9 du HFDS.\ + \ Elle reprend le socle commun \xE9tabli par la PSSIE. Une structure de pilotage\ + \ de la PSSI minist\xE9rielle est d\xE9finie : le Comit\xE9 Strat\xE9gique\ + \ de la S\xE9curit\xE9 des Syst\xE8mes d'Information (CosStratSSI). Cette\ + \ structure est charg\xE9e de sa mise en place, de son \xE9volution, de son\ + \ suivi et de son contr\xF4le." + - urn: urn:ackwa:risk:req_node:mcas-1.0:org-app-instr + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org + ref_id: ORG-APP-INSTR + name: "Application de l\u2019instruction dans l\u2019entit\xE9" + description: "Le RSSI planifie les actions de mise en application de la PSSI-MCAS.\ + \ Il rend compte r\xE9guli\xE8rement de la mise en application des mesures\ + \ de s\xE9curit\xE9 \xE0 son autorit\xE9 qualifi\xE9e et, le cas \xE9ch\xE9\ + ant au FSSI." + - urn: urn:ackwa:risk:req_node:mcas-1.0:org-app-docs + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org + ref_id: ORG-APP-DOCS + name: Formalisation de documents d'application + description: "Le RSSI formalise et tient \xE0 jour les documents d'application,\ + \ approuv\xE9s par l'autorit\xE9 qualifi\xE9e, permettant la mise en \u0153\ + uvre des mesures de la PSSI-MCAS sur son p\xE9rim\xE8tre." + - urn: urn:ackwa:risk:req_node:mcas-1.0:rh + assessable: false + depth: 1 + ref_id: RH + name: Ressources humaines + - urn: urn:ackwa:risk:req_node:mcas-1.0:rh-ssi + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:rh + ref_id: RH-SSI + name: "Charte d\u2019application SSI " + description: "Une charte d\u2019application de la politique SSI, r\xE9capitulant\ + \ les mesures pratiques d'utilisation s\xE9curis\xE9e des ressources informatiques\ + \ et \xE9labor\xE9e sous le pilotage de la cha\xEEne fonctionnelle SSI, est\ + \ communiqu\xE9e \xE0 l'ensemble des agents de chaque entit\xE9. Cette charte\ + \ doit \xEAtre opposable juridiquement et, si possible, int\xE9gr\xE9e au\ + \ r\xE8glement int\xE9rieur de l\u2019entit\xE9. Le personnel non permanent\ + \ (stagiaires, int\xE9rimaires, prestataires...) est inform\xE9 de ses devoirs\ + \ dans le cadre de son usage des SI. Des exemples de chartes sont propos\xE9\ + s." + - urn: urn:ackwa:risk:req_node:mcas-1.0:rh-motiv + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:rh + ref_id: RH-MOTIV + name: "Choix et sensibilisation des personnes tenant les postes cl\xE9s de la\ + \ SSI " + description: "Une attention particuli\xE8re doit \xEAtre port\xE9e au recrutement\ + \ des personnes-cl\xE9s de la SSI : RSSI, correspondants SSI locaux et administrateurs\ + \ de s\xE9curit\xE9. Les RSSI et leurs correspondants SSI locaux doivent \xEA\ + tre sp\xE9cifiquement form\xE9s \xE0 la SSI. Les administrateurs des SI doivent\ + \ \xEAtre r\xE9guli\xE8rement sensibilis\xE9s aux devoirs li\xE9s \xE0 leur\ + \ fonction, et doivent veiller \xE0 respecter ces exigences dans le cadre\ + \ de leurs activit\xE9s quotidiennes." + - urn: urn:ackwa:risk:req_node:mcas-1.0:rh-conf + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:rh + ref_id: RH-CONF + name: Personnels de confiance + description: "Toutes les personnes manipulant des informations sensibles doivent\ + \ le faire avec une attention et une probit\xE9 particuli\xE8re, dans le respect\ + \ des textes en vigueur. Les sanctions \xE9ventuelles s\u2019appliquant aux\ + \ cas de n\xE9gligence ou de malveillance leur sont rappel\xE9es." + - urn: urn:ackwa:risk:req_node:mcas-1.0:rh-util + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:rh + ref_id: RH-UTIL + name: "Sensibilisation des utilisateurs des syst\xE8mes d\u2019information" + description: "Chaque utilisateur doit \xEAtre r\xE9guli\xE8rement inform\xE9\ + \ des exigences de s\xE9curit\xE9 le concernant, et motiv\xE9 \xE0 leur respect.\ + \ Il doit \xEAtre form\xE9 \xE0 l'utilisation des outils de travail conform\xE9\ + ment aux r\xE8gles SSI." + - urn: urn:ackwa:risk:req_node:mcas-1.0:rh-mouv + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:rh + ref_id: RH-MOUV + name: "Gestion des arriv\xE9es, des mutations et des d\xE9parts" + description: "Une proc\xE9dure permettant de g\xE9rer les arriv\xE9es, les mutations\ + \ et les d\xE9parts des collaborateurs dans les SI doit \xEAtre formalis\xE9\ + e, et appliqu\xE9e strictement. Cette proc\xE9dure doit couvrir au minimum\ + \ :\n\n- la gestion/r\xE9vocation des comptes et des droits d\u2019acc\xE8\ + s aux SI, y compris pour les partenaires et les prestataires externes ;\n\ + - la gestion du contr\xF4le d'acc\xE8s aux locaux ;\n- la gestion des \xE9\ + quipements mobiles ;\n- la gestion du contr\xF4le des habilitations. " + - urn: urn:ackwa:risk:req_node:mcas-1.0:rh-nperm + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:rh + ref_id: RH-NPERM + name: "Gestion du personnel non permanent (stagiaires, int\xE9rimaires, prestataires\u2026\ + )" + description: "Les r\xE8gles de la PSSI-MICAS s\u2019appliquent \xE0 tout personnel\ + \ non permanent utilisateur d'un SI des MICAS. Les dispositions contractuelles\ + \ pr\xE9existantes r\xE9gissant l'emploi de ce personnel sont amend\xE9es\ + \ si n\xE9cessaire. Pour tout personnel non permanent, un tutorat par un agent\ + \ permanent est mis en place, afin de l'informer de ces r\xE8gles et d\u2019\ + en contr\xF4ler l\u2019application." + - urn: urn:ackwa:risk:req_node:mcas-1.0:gdb + assessable: false + depth: 1 + ref_id: GDB + name: Gestion des biens + - urn: urn:ackwa:risk:req_node:mcas-1.0:gdb-invent + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:gdb + ref_id: GDB-INVENT + name: Inventaire des ressources informatiques + description: "Chaque entit\xE9 \xE9tablit et maintient \xE0 jour un inventaire\ + \ des ressources informatiques sous sa responsabilit\xE9, en s'appuyant sur\ + \ un outillage adapt\xE9. Cet inventaire est tenu \xE0 disposition du RSSI,\ + \ ainsi que du FSSI et de l'ANSSI en cas de besoin de coordination op\xE9\ + rationnelle. Il comprend la liste des \xAB briques \xBB mat\xE9rielles et\ + \ logicielles utilis\xE9es, ainsi que leurs versions exactes. Il est constitu\xE9\ + \ d\u2019une base de donn\xE9es de configuration, maintenue \xE0 jour et tenue\ + \ \xE0 disposition du RSSI. L\u2019historique des attributions des biens inventori\xE9\ + s doit \xEAtre conserv\xE9, dans le respect de la l\xE9gislation." + - urn: urn:ackwa:risk:req_node:mcas-1.0:gdb-carto + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:gdb + ref_id: GDB-CARTO + name: Cartographie + description: "La cartographie pr\xE9cise les centres informatiques, les architectures\ + \ des r\xE9seaux (sur lesquelles sont identifi\xE9s les points n\xE9vralgiques\ + \ et la sensibilit\xE9 des informations manipul\xE9es) et qualifie le niveau\ + \ de s\xE9curit\xE9 attendu. Cette cartographie est maintenue \xE0 jour et\ + \ tenue \xE0 disposition du RSSI, ainsi que du FSSI et de l'ANSSI en cas de\ + \ besoin de coordination op\xE9rationnelle." + - urn: urn:ackwa:risk:req_node:mcas-1.0:gdb-qualif-sensi + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:gdb + ref_id: GDB-QUALIF-SENSI + name: Qualification des informations + description: "La sensibilit\xE9 de toute information doit \xEAtre \xE9valu\xE9\ + e. Le marquage syst\xE9matique des documents, en fonction du niveau de sensibilit\xE9\ + , est fortement recommand\xE9.\n\nLes informations sensibles re\xE7oivent\ + \ une mention rappelant leur sensibilit\xE9 en consid\xE9ration de la gravit\xE9\ + \ des cons\xE9quences qu'aurait une divulgation et apposer une mention telle\ + \ que \xAB confidentiel \xBB sur les documents sensibles ainsi que dans les\ + \ courriers ou courriels qui les accompagnent. A titre d'exemple, on pourra\ + \ utiliser les mentions suivantes :\n\n- Confidentiel m\xE9dical\n- Confidentiel\ + \ (personnel\n- ... \n\nCette mention peut \xEAtre compl\xE9t\xE9e d\u2019\ + un marquage sp\xE9cifiant l'usage restrictif qui doit \xEAtre fait par son\ + \ destinataire (diffusion interne, diffusion limit\xE9e)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:gdb-prot-is + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:gdb + ref_id: GDB-PROT-IS + name: Protection des informations + description: "L\u2019utilisateur doit prot\xE9ger les informations qu'il est\ + \ amen\xE9 \xE0 manipuler dans le cadre de ses fonctions, selon leur sensibilit\xE9\ + \ et tout au long de leur cycle de vie, depuis la cr\xE9ation du brouillon\ + \ jusqu'\xE0 son \xE9ventuelle destruction." + - urn: urn:ackwa:risk:req_node:mcas-1.0:int + assessable: false + depth: 1 + ref_id: INT + name: "Int\xE9gration de la SSI dans le cycle de vie des syst\xE8mes d\u2019\ + information" + - urn: urn:ackwa:risk:req_node:mcas-1.0:int-homqlog-ssi + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int + ref_id: INT-HOMQLOG-SSI + name: "Homologation de s\xE9curit\xE9 des syst\xE8mes d'information" + description: "Tout syst\xE8me d'information doit faire l'objet d'une d\xE9cision\ + \ d\u2019homologation de sa s\xE9curit\xE9 avant sa mise en exploitation dans\ + \ les conditions d\u2019emploi d\xE9finies. L'homologation est l\u2019acte\ + \ selon lequel l\u2019autorit\xE9 atteste formellement aupr\xE8s des utilisateurs\ + \ que le syst\xE8me d\u2019information est prot\xE9g\xE9 conform\xE9ment aux\ + \ objectifs de s\xE9curit\xE9 fix\xE9s. La d\xE9cision d\u2019homologation\ + \ est prise par l\u2019autorit\xE9 d\u2019homologation (d\xE9sign\xE9e par\ + \ l\u2019autorit\xE9 qualifi\xE9e), le cas \xE9ch\xE9ant apr\xE8s avis de\ + \ la commission d\u2019homologation. Cette d\xE9cision s\u2019appuie sur une\ + \ analyse de risques adapt\xE9e aux enjeux du syst\xE8me consid\xE9r\xE9,\ + \ et pr\xE9cise les conditions d\u2019emploi." + - urn: urn:ackwa:risk:req_node:mcas-1.0:int-ssi + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int + ref_id: INT-SSI + name: "Int\xE9gration de la s\xE9curit\xE9 dans les projets" + description: "La s\xE9curit\xE9 des syst\xE8mes d\u2019information doit \xEA\ + tre prise en compte dans toutes les phases des projets informatiques, sous\ + \ le contr\xF4le de l'autorit\xE9 d'homologation, de la conception et de la\ + \ sp\xE9cification du syst\xE8me jusqu'\xE0 son retrait du service." + - urn: urn:ackwa:risk:req_node:mcas-1.0:int-quot-ssi + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int + ref_id: INT-QUOT-SSI + name: "Mise en \u0153uvre au quotidien de la SSI" + description: "La s\xE9curit\xE9 des syst\xE8mes d\u2019information se traite\ + \ au quotidien par des pratiques d\u2019hygi\xE8ne informatique. Des proc\xE9\ + dures \xE9crites d\xE9finissent les actes \xE9l\xE9mentaires du maintien en\ + \ condition de s\xE9curit\xE9 lors des phases de conception, \xE9volution\ + \ ou retrait d'un syst\xE8me. Tout syst\xE8me d'information doit faire l\u2019\ + objet, outre le maintien en condition op\xE9rationnelle, d'un maintien en\ + \ condition de s\xE9curit\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:int-tdb + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int + ref_id: INT-TDB + name: "Cr\xE9er un tableau de bord SSI" + description: "Un tableau de bord SSI est mis en place et tenu \xE0 jour. Il\ + \ fournit au RSSI et aux autorit\xE9s une vision g\xE9n\xE9rale du niveau\ + \ de s\xE9curit\xE9 et de son \xE9volution, rendant ainsi plus efficace le\ + \ pilotage de la SSI. Au niveau strat\xE9gique, le tableau de bord SSI permet\ + \ de suivre l\u2019application de la politique de s\xE9curit\xE9 et de disposer\ + \ d\u2019\xE9l\xE9ments propres \xE0 qualifier les ressources devant \xEA\ + tre allou\xE9es \xE0 la SSI.\n\nAu niveau du pilotage, la mise en place de\ + \ ce tableau de bord permet de contr\xF4ler la r\xE9alisation d\u2019objectifs\ + \ op\xE9rationnels, d\u2019am\xE9liorer la qualit\xE9 de service et de d\xE9\ + tecter au plus t\xF4t les retards dans la r\xE9alisation de certains objectifs\ + \ de s\xE9curit\xE9. " + - urn: urn:ackwa:risk:req_node:mcas-1.0:int-aq-psl + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int + ref_id: INT-AQ-PSL + name: Acquisition de produits et services de confiance + description: "Il est recommand\xE9 d'utiliser, lorsqu'ils sont disponibles,\ + \ des produits ou des services de s\xE9curit\xE9 labellis\xE9s (certifi\xE9\ + s, qualifi\xE9s) par l'ANSSI.\n\nDans le cadre d'un march\xE9, un crit\xE8\ + re de choix, dont la notation est clairement d\xE9finie, sur l\u2019existence\n\ + d\u2019un label ANSSI est indiqu\xE9.\n\nL\u2019ordre de choix peut \xEAtre\ + \ le suivant (avec une quotation adapt\xE9e) :\n\n- Qualification renforc\xE9\ + e de l\u2019ANSSI ;\n- Qualification standard de l\u2019ANSSI ;\n- Reconnaissance\ + \ SOG-IS ; \n- Reconnaissance crit\xE8res communs ;\n- Certification de s\xE9\ + curit\xE9 de premier niveau de l'ANSSI\n- En cours de labellisation aupr\xE8\ + s de l'ANSSI (sans pr\xE9somption du r\xE9sultat mais dans ce cas avec l'obligation\ + \ pour le soumissionnaire de fournir le r\xE9c\xE9piss\xE9 du d\xE9p\xF4t\ + \ de la demande r\xE9alis\xE9e aupr\xE8s de l'ANSSI) ;\n- Reconnaissance autre\ + \ ;\n- Pas de labellisation.\n\nLa labellisation est r\xE9alis\xE9e suivant\ + \ une cible de s\xE9curit\xE9 d\xE9finie. En cas de plusieurs solutions labellis\xE9\ + es\npropos\xE9es, une attention particuli\xE8re doit donc \xEAtre port\xE9\ + e sur la cible de s\xE9curit\xE9 ayant permis leur\nlabellisation (p\xE9rim\xE8\ + tre total ou partiel de la solution)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:int-pres-cs + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int + ref_id: INT-PRES-CS + name: "Clauses de s\xE9curit\xE9" + description: "Toute prestation dans le domaine des SI doit \xEAtre encadr\xE9\ + e par des clauses de s\xE9curit\xE9 (plan d\u2019assurance s\xE9curit\xE9\ + ). Ces clauses sp\xE9cifient les mesures SSI que le prestataire doit respecter\ + \ dans le cadre de ses activit\xE9s." + - urn: urn:ackwa:risk:req_node:mcas-1.0:int-pres-cntrl + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int + ref_id: INT-PRES-CNTRL + name: "Suivi et contr\xF4le des prestations fournies" + description: "Le maintien d'un niveau de s\xE9curit\xE9 au cours du temps n\xE9\ + cessite un double contr\xF4le :\n\n- l'un, effectu\xE9 p\xE9riodiquement par\ + \ l\u2019\xE9quipe encadrant la prestation, qui porte sur les actions du sous-traitant\ + \ et la conformit\xE9 au cahier des charges ;\n- l'autre, effectu\xE9 par\ + \ une \xE9quipe externe, qui porte sur la pertinence du cahier des charges\ + \ en amont des projets, la conformit\xE9 des r\xE9ponses apport\xE9es par\ + \ le sous- traitant en phase de recette et le niveau de s\xE9curit\xE9 global\ + \ obtenu en production." + - urn: urn:ackwa:risk:req_node:mcas-1.0:int-rex-ar + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int + ref_id: INT-REX-AR + name: Analyse de risques + description: "Toute op\xE9ration d'externalisation s'appuie sur une analyse\ + \ de risques pr\xE9alable, de fa\xE7on \xE0 formaliser des objectifs de s\xE9\ + curit\xE9 et d\xE9finir des mesures adapt\xE9es L'ensemble des objectifs de\ + \ s\xE9curit\xE9 ainsi formalis\xE9s permet de d\xE9finir une cible de s\xE9\ + curit\xE9 servant de cadre au contrat \xE9tabli avec le prestataire," + - urn: urn:ackwa:risk:req_node:mcas-1.0:int-rex-hb + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int + ref_id: INT-REX-HB + name: "H\xE9bergement" + description: "L\u2019h\xE9bergement de donn\xE9es sensibles sur le territoire\ + \ national est fortement recommand\xE9. En outre, l\u2019h\xE9bergement concernant\ + \ certaines donn\xE9es doit r\xE9pondre aux exigences l\xE9gales et r\xE9\ + glementaires (donn\xE9es nominatives, donn\xE9es de sant\xE9...)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:int-rex-hs + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int + ref_id: INT-REX-HS + name: "H\xE9bergement et clauses de s\xE9curit\xE9" + description: "Tout contrat d'h\xE9bergement d\xE9taille les dispositions mises\ + \ en \u0153uvre pour prendre en compte la SSI Ce sont notamment les mesures\ + \ prises pour assurer le maintien en condition de s\xE9curit\xE9 des syst\xE8\ + mes et permettre une gestion de crise efficace (conditions d'acc\xE8s aux\ + \ journaux, mise en place d'astreintes, etc)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy + assessable: false + depth: 1 + ref_id: PHY + name: "S\xE9curit\xE9 physique des locaux abritant les SI" + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-zones + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-ZONES + name: "D\xE9coupage des sites en zones de s\xE9curit\xE9" + description: "Un d\xE9coupage des sites en zones physiques de s\xE9curit\xE9\ + \ doit \xEAtre effectu\xE9, en liaison avec le RSSI, les correspondants locaux\ + \ SSI et les services en charge : de l'immobilier, de la s\xE9curit\xE9 et\ + \ des moyens g\xE9n\xE9raux. Pour chaque zone de s\xE9curit\xE9, des crit\xE8\ + res pr\xE9cis d'autorisation d'acc\xE8s sont \xE9tablis." + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-publ + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-PUBL + name: "Acc\xE8s r\xE9seau en zone d\u2019accueil du public" + description: "Tout acc\xE8s r\xE9seau install\xE9 dans une zone d'accueil du\ + \ public doit \xEAtre filtr\xE9 ou isol\xE9 du reste du r\xE9seau informatique\ + \ de l\u2019entit\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-sens + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-SENS + name: "Protection des informations sensibles au sein des zones d\u2019accueil" + description: "Le traitement d'informations sensibles au sein des zones d'accueil\ + \ est \xE0 \xE9viter. Si un tel traitement est strictement n\xE9cessaire,\ + \ il doit rester ponctuel et exceptionnel. Des mesures particuli\xE8res sont\ + \ alors adopt\xE9es, notamment en mati\xE8re de protection audiovisuelle,\ + \ ainsi qu\u2019en mati\xE8re de protection des informations stock\xE9es sur\ + \ les supports." + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-tech + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-TECH + name: "S\xE9curit\xE9 physique des locaux techniques" + description: "L\u2019acc\xE8s aux locaux techniques abritant des \xE9quipements\ + \ d'alimentation et de distribution d\u2019\xE9nergie, ou des \xE9quipements\ + \ de r\xE9seau et de t\xE9l\xE9phonie, doit \xEAtre physiquement prot\xE9\ + g\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-telecom + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-TELECOM + name: "Protection des c\xE2bles \xE9lectriques et de t\xE9l\xE9communications" + description: "Il convient de prot\xE9ger le c\xE2blage r\xE9seau contre les\ + \ dommages et les interceptions des communications qu\u2019ils transmettent.\ + \ En compl\xE9ment, les panneaux de raccordements et les salles des c\xE2\ + bles doivent \xEAtre plac\xE9s en dehors des zones d\u2019accueil du public\ + \ et leur acc\xE8s doit \xEAtre contr\xF4l\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ctrl + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-CTRL + name: "Contr\xF4les anti-pi\xE9geages" + description: "Sur les SI particuli\xE8rement sensibles, il est recommand\xE9\ + \ de mener des contr\xF4les anti-pi\xE9geages r\xE9guliers, effectu\xE9s par\ + \ du personnel form\xE9. Il peut \xEAtre fait appel \xE0 des services sp\xE9\ + cialis\xE9s (op\xE9rations dites de \xAB d\xE9poussi\xE9rage \xBB). " + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-loc + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-CI-LOC + name: "D\xE9coupage des locaux en zones de s\xE9curit\xE9" + description: "Un d\xE9coupage du centre informatique en zones physiques de s\xE9\ + curit\xE9 doit \xEAtre effectu\xE9, en liaison avec le RSSI et les services\ + \ en charge de l\u2019immobilier, de la s\xE9curit\xE9 et des moyens g\xE9\ + n\xE9raux. Des r\xE8gles doivent fixer les conditions d\u2019acc\xE8s \xE0\ + \ ces diff\xE9rentes zones." + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-heberg + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-CI-HEBERG + name: "Convention de service en cas d\u2019h\xE9bergement tiers" + description: "Dans le cas o\xF9 un tiers g\xE8re tout ou partie des locaux du\ + \ centre informatique, une convention de service, d\xE9finissant les responsabilit\xE9\ + s mutuelles en mati\xE8re de s\xE9curit\xE9, doit \xEAtre \xE9tablie entre\ + \ ce tiers et l\u2019entit\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-ctrlacc + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-CI-CTRLACC + name: "Contr\xF4le d\u2019acc\xE8s physique" + description: "L\u2019acc\xE8s aux zones internes (autoris\xE9es uniquement au\ + \ personnel du centre informatique ou aux visiteurs accompagn\xE9s) et restreintes\ + \ (autoris\xE9es aux seules personnes habilit\xE9es ou aux visiteurs accompagn\xE9\ + s) doit reposer sur un dispositif de contr\xF4le d\u2019acc\xE8s physique.\ + \ Ce dispositif doit s'appuyer sur des produits qualifi\xE9s, lorsqu\u2019\ + ils sont disponibles, et b\xE9n\xE9ficier d'un maintien en condition de s\xE9\ + curit\xE9 rigoureux." + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-moyens + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-CI-MOYENS + name: "D\xE9livrance des moyens d\u2019acc\xE8s physique" + description: "La d\xE9livrance des moyens d'acc\xE8s physique doit respecter\ + \ un processus formel permettant de s'assurer de l'identit\xE9 de la personne,\ + \ s'appuyant sur le processus d\u2019arriv\xE9e et de d\xE9part du personnel.\ + \ Le personnel autre que celui explicitement autoris\xE9 et habilit\xE9, mais\ + \ n\xE9anmoins appel\xE9 \xE0 intervenir dans les zones sensibles (entretien\ + \ ou r\xE9paration des b\xE2timents, des \xE9quipements non informatiques,\ + \ nettoyage, visiteurs, .. . ), intervient syst\xE9matiquement et imp\xE9\ + rativement sous surveillance permanente." + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-trace + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-CI-TRACE + name: "Tra\xE7abilit\xE9 des acc\xE8s" + description: "Une tra\xE7abilit\xE9 des acc\xE8s, par les visiteurs externes,\ + \ aux zones restreintes doit \xEAtre mise en place. Ces traces sont alors\ + \ conserv\xE9es un an, dans le respect des textes prot\xE9geant les donn\xE9\ + es personnelles." + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-energie + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-CI-ENERGIE + name: "Local \xE9nergie" + description: "L\u2019alimentation secteur des \xE9quipements devra \xEAtre conforme\ + \ aux r\xE8gles de l\u2019art, de fa\xE7on \xE0 se pr\xE9munir des atteintes\ + \ \xE0 la s\xE9curit\xE9 des personnes et \xE9quipements li\xE9es \xE0 un\ + \ d\xE9faut \xE9lectrique." + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-clim + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-CI-CLIM + name: Climatisation + description: "Un dispositif de climatisation dimensionn\xE9 en fonction des\ + \ besoins \xE9nerg\xE9tiques du syst\xE8me informatique doit \xEAtre install\xE9\ + . Des proc\xE9dures de r\xE9action en cas de panne, connues du personnel,\ + \ doivent \xEAtre \xE9labor\xE9es et v\xE9rifi\xE9es annuellement. Ces dispositions\ + \ visent \xE0 pr\xE9venir toute surchauffe des \xE9quipements, pouvant engendrer\ + \ une perte du service voire une d\xE9t\xE9rioration du mat\xE9riel." + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-inc + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-CI-INC + name: "Lutte contre l\u2019incendie" + description: "L\u2019installation de mat\xE9riel de protection contre le feu\ + \ est obligatoire. Des proc\xE9dures de r\xE9action \xE0 un incendie sont\ + \ d\xE9finies et r\xE9guli\xE8rement test\xE9es. Les salles techniques doivent\ + \ \xEAtre propres. Aucun carton, papier, ou autre source potentielle de d\xE9\ + part de feu ne doit \xEAtre entrepos\xE9 dans ces locaux. " + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-eau + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY CI-EAU + name: "Lutte contre les voies d\u2019eau" + description: "Une \xE9tude sur les risques dus aux voies d'eau doit \xEAtre\ + \ r\xE9alis\xE9e. Cette \xE9tude doit notamment prendre en compte le risque\ + \ de fuite sur un collecteur d\u2019eau douce." + - urn: urn:ackwa:risk:req_node:mcas-1.0:phy-si-sur + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy + ref_id: PHY-SI-SUR + name: "S\xE9curisation du SI de s\xFBret\xE9" + description: "Pour les sites physiques consid\xE9r\xE9s comme importants, des\ + \ mesures de protection doivent \xEAtre d\xE9finies et appliqu\xE9es en se\ + \ basant sur les conclusions d\u2019une analyse de risques. L\u2019analyse\ + \ de risques conduit \xE0 la d\xE9signation des briques essentielles dont\ + \ il faut assurer la protection contre des actes malveillants Un syst\xE8\ + me de gestion de la s\xE9curit\xE9 du SI de s\xFBret\xE9 (s'inspirant de la\ + \ norme ISO 27001) assure le maintien en condition de s\xE9curit\xE9. L'emploi\ + \ de produits labellis\xE9s, quand ils existent, est fortement recommand\xE9\ + ." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res + assessable: false + depth: 1 + ref_id: RES + name: "S\xE9curit\xE9 des r\xE9seaux" + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-maitrise + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-MAITRISE + name: "Syst\xE8mes autoris\xE9s sur le r\xE9seau" + description: "Seuls les \xE9quipements g\xE9r\xE9s et configur\xE9s par les\ + \ \xE9quipes informatiques habilit\xE9es peuvent \xEAtre connect\xE9s au r\xE9\ + seau local d\u2019une entit\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-interco + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-INTERCO + name: "Interconnexion avec des r\xE9seaux externes" + description: "Toute interconnexion entre les r\xE9seaux locaux d\u2019une entit\xE9\ + \ et un r\xE9seau externe (r\xE9seau d\u2019un tiers, Internet, etc.) doit\ + \ \xEAtre, pour les organismes \xE9ligibles, r\xE9alis\xE9e via les infrastructures\ + \ nationales (r\xE9seau interminist\xE9riel de l'Etat, RENATER). Pour les\ + \ autres il convient de ma\xEEtriser les interconnexions (connaissance des\ + \ fournisseurs d\u2019acc\xE8s, r\xE9versibilit\xE9 de la solution, maintien\ + \ en condition de s\xE9curit\xE9)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-entsor + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-ENTSOR + name: "Mettre en place un filtrage r\xE9seau pour les flux sortants et entrants" + description: "Dans l\u2019optique de r\xE9duire les possibilit\xE9s offertes\ + \ \xE0 un attaquant, les connexions des machines du r\xE9seau interne vers\ + \ l'ext\xE9rieur doivent \xEAtre filtr\xE9es." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-prot + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-PROT + name: Protection des informations + description: "Les acc\xE8s \xE0 Internet passent obligatoirement \xE2 travers\ + \ les passerelles nationales. D\xE8s lors que des informations sensibles doivent\ + \ transiter sur des r\xE9seaux non ma\xEEtris\xE9s, il convient de les prot\xE9\ + ger sp\xE9cifiquement par chiffrement adapt\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-clois + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-CLOIS + name: "Cloisonner le SI en sous-r\xE9seaux de niveaux de s\xE9curit\xE9 homog\xE8\ + nes" + description: "Par analogie avec le cloisonnement physique d'un b\xE2timent,\ + \ le syst\xE8me d\u2019information doit \xEAtre segment\xE9 selon des zones\ + \ pr\xE9sentant chacune un niveau de s\xE9curit\xE9 homog\xE8ne." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-intercogeo + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-INTERCOGEO + name: "Interconnexion des sites g\xE9ographiques locaux d\u2019une entit\xE9" + description: "L'interconnexion au niveau local de r\xE9seaux locaux d\u2019\ + une entit\xE9 n'est possible que si la proximit\xE9 g\xE9ographique le justifie\ + \ et sous r\xE9serve de la mise en place de connexions d\xE9di\xE9es \xE2\ + \ cet effet, et de passerelles s\xE9curis\xE9es et homologu\xE9es par l'AQSSI\ + \ et valid\xE9e par le HFDS." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-ress + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-RESS + name: Cloisonnement des ressources en cas de partage de locaux + description: "Dans le cas o\xF9 une entit\xE9 partage des locaux (bureaux ou\ + \ locaux techniques) avec des entit\xE9s externes, des mesures de cloisonnement\ + \ des ressources informatiques doivent \xEAtre mises en place. Si le cloisonnement\ + \ n\u2019est pas physique, les mesures prises doivent \xEAtre valid\xE9es\ + \ par le HFDS." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-internet-specifique + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-INTERNET-SPECIFIQUE + name: "Cas particulier des acc\xE8s sp\xE9cifiques dans une entit\xE9" + description: "Les acc\xE8s sp\xE9cifiques \xE0 Internet n\xE9cessitant des droits\ + \ particuliers pour un usage m\xE9tier ne peuvent \xEAtre mis en place que\ + \ sur d\xE9rogation d\xFBment justifi\xE9e, et sur des machines isol\xE9es\ + \ physiquement et s\xE9par\xE9es du r\xE9seau de l\u2019entit\xE9, apr\xE8\ + s validation pr\xE9alable de l'autorit\xE9 d'homologation." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-ssfil + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-SSFIL + name: "Mise en place de r\xE9seaux sans fil" + description: "Le d\xE9ploiement de r\xE9seaux sans fil doit faire l'objet d'une\ + \ analyse de risques sp\xE9cifique. Les protections intrins\xE8ques \xE9tant\ + \ insuffisantes, des mesures compl\xE9mentaires, valid\xE9es par le SHFDS,\ + \ doivent \xEAtre prises dans le cadre de la d\xE9fense en profondeur. En\ + \ particulier, une segmentation du r\xE9seau doit \xEAtre mise en place de\ + \ fa\xE7on \xE0 limiter \xE2 un p\xE9rim\xE8tre d\xE9termin\xE9 les cons\xE9\ + quences d\u2019une intrusion depuis la voie radio. \xC0 d\xE9faut de mise\ + \ en \u0153uvre de mesures sp\xE9cifiques, le d\xE9ploiement de r\xE9seaux\ + \ sans fil sur des SI manipulant des donn\xE9es sensibles est proscrit S\xE9\ + curisation des m\xE9canismes de commutation et de routage" + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-couchbas + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-COUCHBAS + name: "Implanter des m\xE9canismes de protection contre les attaques sur les" + description: "couches basses. Une attention particuli\xE8re doit \xEAtre apport\xE9\ + e \xE2 l'implantation des protocoles de couches basses, de fa\xE7on \xE0 se\ + \ pr\xE9munir des attaques usuelles." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-routdyn + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-ROUTDYN + name: Surveiller les annonces de routage + description: "Lorsque l\u2019utilisation de protocoles de routage dynamiques\ + \ est n\xE9cessaire, celle-ci doit s'accompagner de la mise en place d\u2019\ + une surveillance des annonces de routage, et de proc\xE9dures permettant de\ + \ r\xE9agir rapidement en cas d\u2019incidents." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-routdyn-igp + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-ROUTDYN-IGP + name: "Configurer le protocole IGP de mani\xE8re s\xE9curis\xE9e" + description: "Le protocole de routage dynamique de type IGP doit \xEAtre activ\xE9\ + \ exclusivement sur les interfaces n\xE9cessaires \xE0 la construction de\ + \ la topologie du r\xE9seau et d\xE9sactiv\xE9 sur le reste des interfaces.\ + \ La configuration du protocole de routage dynamique doit syst\xE9matiquement\ + \ \xEAtre r\xE9alis\xE9e suivant les pr\xE9conisations de l\u2019Agence nationale\ + \ de s\xE9curit\xE9 des syst\xE8mes d\u2019information." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-routdyn-egp + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-ROUTDYN-EGP + name: "S\xE9curiser les sessions EGP" + description: "Lors de la mise en place d\u2019une session EGP avec un pair ext\xE9\ + rieur sur un m\xE9dia partag\xE9, cette session doit \xEAtre r\xE9alis\xE9\ + e suivant les pr\xE9conisations de l\u2019Agence nationale de s\xE9curit\xE9\ + \ des syst\xE8mes d\u2019information." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-secret + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-SECRET + name: "Modifier syst\xE9matiquement les \xE9l\xE9ments d\u2019authentification\ + \ par d\xE9faut des" + description: "\xE9quipements et services. Les mots de passe par d\xE9faut doivent\ + \ \xEAtre imp\xE9rativement modifi\xE9s, de m\xEAme en ce qui concerne les\ + \ certificats. Les dispositions n\xE9cessaires doivent \xEAtre prises aupr\xE8\ + s des fournisseurs de fa\xE7on \xE0 pouvoir modifier les certificats install\xE9\ + s par d\xE9faut." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-durci + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-DURCI + name: "Durcir les configurations des \xE9quipements de r\xE9seaux" + description: "Les \xE9quipements de r\xE9seaux (comme les routeurs) doivent\ + \ faire l'objet d\u2019un durcissement sp\xE9cifique comprenant notamment,\ + \ outre le changement des mots de passe et certificats, la d\xE9sactivation\ + \ des interfaces et services inutiles, ainsi que la mise en place de m\xE9\ + canismes de protection du plan de contr\xF4le." + - urn: urn:ackwa:risk:req_node:mcas-1.0:res-carto + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res + ref_id: RES-CARTO + name: "\xC9laborer les documents d\u2019architecture technique et fonctionnelle" + description: "L\u2019architecture r\xE9seau du syst\xE8me d\u2019information\ + \ doit \xEAtre d\xE9crite et formalis\xE9e \xE0 travers des sch\xE9mas d\u2019\ + architecture, et des configurations, maintenus au fil des \xE9volutions apport\xE9\ + es au SI. Les documents d\u2019architecture sont sensibles et font l\u2019\ + objet d'une protection adapt\xE9e. La cartographie r\xE9seau s\u2019ins\xE8\ + re dans la cartographie globale des SI." + - urn: urn:ackwa:risk:req_node:mcas-1.0:archi + assessable: false + depth: 1 + ref_id: ARCHI + name: Architecture des SI + - urn: urn:ackwa:risk:req_node:mcas-1.0:archi-heberg + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:archi + ref_id: ARCHI-HEBERG + name: "Principes d\u2019architecture de la zone d'h\xE9bergement" + description: "D\u2019une mani\xE8re g\xE9n\xE9rale, l\u2019architecture des\ + \ infrastructures des centres informatiques est con\xE7ue de fa\xE7on \xE0\ + \ satisfaire l'ensemble des besoins en disponibilit\xE9, confidentialit\xE9\ + , tra\xE7abilit\xE9 et int\xE9grit\xE9. Le principe de d\xE9fense en profondeur\ + \ doit \xEAtre respect\xE9, en particulier par la mise en \u0153uvre successive\ + \ de \xAB zones d\xE9militaris\xE9es \xBB (DMZ), d\u2019environnements de\ + \ s\xE9curit\xE9 en zone d'h\xE9bergement, de machines virtuelles ou physiques\ + \ d\xE9di\xE9es, de r\xE9seaux locaux virtuels (VLAN) appropri\xE9s, d\u2019\ + un filtrage strict des flux applicatifs et d\u2019administration." + - urn: urn:ackwa:risk:req_node:mcas-1.0:archi-stockci + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:archi + ref_id: ARCHI-STOCKCI + name: Architecture de stockage et de sauvegarde + description: "Le r\xE9seau de stockage/sauvegarde pour les besoins des centres\ + \ informatiques repose sur une architecture d\xE9di\xE9e \xE0 cet effet." + - urn: urn:ackwa:risk:req_node:mcas-1.0:archi-pass + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:archi + ref_id: ARCHI-PASS + name: Passerelle Internet + description: "Les interconnexions Internet passent obligatoirement par des passerelles\ + \ homologu\xE9es." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp + assessable: false + depth: 1 + ref_id: EXP + name: Exploitation des SI + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-prot-inf + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-PROT-INF + name: "Protection des informations sensibles en confidentialit\xE9 et en int\xE9\ + grit\xE9" + description: "Des mesures doivent \xEAtre mises en \u0153uvre afin de garantir\ + \ la protection des informations sensibles en confidentialit\xE9 et en int\xE9\ + grit\xE9. A d\xE9faut d\u2019utilisation d\u2019un r\xE9seau homologu\xE9\ + , ces informations doivent \xEAtre chiffr\xE9es \xE0 l\u2019aide d'un moyen\ + \ de chiffrement labellis\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-trac + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-TRAC + name: "Tra\xE7abilit\xE9 des interventions sur le syst\xE8me" + description: "Les interventions de maintenance sur les ressources informatiques\ + \ de l\u2019entit\xE9 doivent \xEAtre trac\xE9es par le service informatique,\ + \ et ces traces doivent \xEAtre accessibles au RSSI local durant au moins\ + \ un an." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-config + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CONFIG + name: Configuration des ressources informatiques + description: "Les syst\xE8mes d\u2019exploitation et les logiciels doivent faire\ + \ l\u2019objet d'un durcissement. Les configurations et mises \xE0 jour sont\ + \ appliqu\xE9es dans le strict respect des guides ou proc\xE9dures en vigueur\ + \ dans l'entit\xE9 ou, par d\xE9faut, en vigueur au niveau central." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-doc-config + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-DOC-CONFIG + name: Documentation des configurations + description: "La configuration standard des ressources informatiques doit \xEA\ + tre document\xE9e et mise \xE0 jour \xE0 chaque changement notable." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-id-auth + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-ID-AUTH + name: "Identification, authentification et contr\xF4le d'acc\xE8s logique" + description: "L\u2019acc\xE8s \xE0 toute ressource non publique doit n\xE9cessiter\ + \ une identification et une authentification individuelle de l\u2019utilisateur.\ + \ Dans le cas de l'acc\xE8s \xE0 des donn\xE9es sensibles, des moyens d\u2019\ + authentification forte doivent \xEAtre utilis\xE9s. A cette fin, l\u2019usage\ + \ d\u2019une carte \xE0 puce doit \xEAtre privil\xE9gi\xE9. Le contr\xF4le\ + \ d\u2019acc\xE8s doit \xEAtre g\xE9r\xE9 et s'appuyer sur un processus formalis\xE9\ + \ en coh\xE9rence avec la gestion des ressources humaines." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-droits + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-DROITS + name: "Droits d\u2019acc\xE8s aux ressources" + description: "Apr\xE8s avoir d\xE9termin\xE9 le niveau de sensibilit\xE9, le\ + \ besoin de diffusion et de partage des ressources, les droits d\u2019acc\xE8\ + s aux ressources doivent \xEAtre g\xE9r\xE9s suivant les principes suivants\ + \ : besoin d\u2019en conna\xEEtre (chaque utilisateur n\u2019est autoris\xE9\ + \ \xE0 acc\xE9der qu\u2019aux ressources pour lesquelles on lui accorde explicitement\ + \ le b\xE9n\xE9fice de l\u2019acc\xE8s), moindre privil\xE8ge (chaque utilisateur\ + \ acc\xE8de aux ressources avec le minimum de privil\xE8ges lui permettant\ + \ de conduire les actions explicitement autoris\xE9es pour lui)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-profils + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-PROFILS + name: "Gestion des profils d'acc\xE8s aux applications" + description: "Les applications manipulant des donn\xE9es sensibles doivent permettre\ + \ une gestion fine par profils d\u2019acc\xE8s. Les principes du besoin d'en\ + \ conna\xEEtre et du moindre privil\xE8ge s'appliquent." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-proc-auth + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-PROC-AUTH + name: "Autorisations d\u2019acc\xE8s des utilisateurs" + description: "Toute action d'autorisation d'acc\xE8s d'un utilisateur \xE0 une\ + \ ressource des SI, qu'elle soit locale ou nationale, doit s'inscrire dans\ + \ le cadre d'un processus d'autorisation formalis\xE9, qui s\u2019appuie sur\ + \ le processus d'arriv\xE9e et de d\xE9part du personnel." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-revue-auth + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-REVUE-AUTH + name: "Revue des autorisations d\u2019acc\xE8s" + description: "Une revue des autorisations d'acc\xE8s doit \xEAtre r\xE9alis\xE9\ + e annuellement sous le contr\xF4le du RSSI, le cas \xE9ch\xE9ant avec l\u2019\ + appui du correspondant local SSI." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-conf-auth + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CONF-AUTH + name: "Confidentialit\xE9 des informations d\u2019authentification" + description: "Les informations d'authentification (mots de passe d\u2019acc\xE8\ + s aux SI, cl\xE9s priv\xE9es li\xE9es aux certificats \xE9lectroniques, etc.)\ + \ doivent \xEAtre consid\xE9r\xE9es comme des donn\xE9es sensibles." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-gest-pass + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-GEST-PASS + name: Gestion des mots de passe + description: "Les utilisateurs ne doivent pas stocker leurs mots de passe en\ + \ clair (par exemple dans un fichier) sur leur poste de travail. Les mots\ + \ de passe ne doivent pas transiter en clair sur les r\xE9seaux." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-init-pass + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-INIT-PASS + name: Initialisation des mots de passe + description: "Chaque compte utilisateur doit \xEAtre cr\xE9\xE9 avec un mot\ + \ de passe initial al\xE9atoire unique. Si les circonstances l'imposent, un\ + \ mot de passe plus simple mais \xE0 usage unique peut \xEAtre envisag\xE9\ + ." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-pol-pass + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-POL-PASS + name: Politiques de mots de passe + description: "Les r\xE8gles de gestion et de protection des mots de passe donnant\ + \ acc\xE8s aux applications et infrastructures nationales, telles qu\u2019\ + \xE9dict\xE9es par les ma\xEEtrises d'ouvrage nationales, doivent \xEAtre\ + \ respect\xE9es dans chaque entit\xE9. Pour les ressources dont la politique\ + \ de mots de passe est g\xE9r\xE9e localement, les recommandations de l'ANSSI\ + \ doivent \xEAtre appliqu\xE9es pour tous les comptes." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-certifs + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CERTIFS + name: "Utilisation de certificats \xE9lectroniques" + description: "L\u2019utilisation de certificats \xE9lectroniques doit respecter\ + \ les r\xE8gles \xE9dict\xE9es par le RGS." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-qual-pass + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-QUAL-PASS + name: "Contr\xF4le syst\xE9matique de la qualit\xE9 des mots de passe" + description: "Des moyens techniques permettant d\u2019imposer la politique de\ + \ mots de passe (par exemple pour s'assurer du respect de l'\xE9ventuelle\ + \ obligation relative \xE0 l'usage de caract\xE8res sp\xE9ciaux) doivent \xEA\ + tre mis en place. A d\xE9faut, un contr\xF4le p\xE9riodique des param\xE8\ + tres techniques relatifs aux mots de passe doit \xEAtre r\xE9alis\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-seq-admin + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-SEQ-ADMIN + name: "S\xE9questre des authentifiants \xAB administrateur \xBB" + description: "Les authentifiants permettant l'administration des ressources\ + \ des SI doivent \xEAtre plac\xE9s sous s\xE9questre et tenus \xE0 jour, dans\ + \ un coffre ou une armoire ferm\xE9e \xE0 cl\xE9. L\u2019authentifi\xE9 doit\ + \ \xEAtre inform\xE9 de l'existence de ces op\xE9rations de gestion, de leurs\ + \ finalit\xE9s et limites. Tout acc\xE8s d\u2019administration \xE0 une ressource\ + \ informatique doit pouvoir \xEAtre trac\xE9 et permettre de remonter \xE0\ + \ la personne exer\xE7ant ce droit. Les informations d'authentification b\xE9\ + n\xE9ficiant d\u2019un moyen de protection physique (notamment carte \xE2\ + \ puce) n\u2019ont, par d\xE9faut, pas besoin d\u2019\xEAtre l\u2019objet\ + \ d'op\xE9rations de s\xE9questre de la part d\u2019autres personnels que\ + \ l'authentifi\xE9 lui-m\xEAme." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-pol-admin + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-POL-ADMIN + name: "Politique de mots de passe \xAB administrateurs \xBB" + description: "Chaque administrateur doit disposer d\u2019un mot de passe propre\ + \ et destin\xE9 \xE0 l\u2019administration." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-dep-admin + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-DEP-ADMIN + name: "Gestion du d\xE9part d\u2019un administrateur des SI" + description: "En cas de d\xE9part d'un administrateur disposant de privil\xE8\ + ges sur des composants des SI, les comptes individuels dont il disposait doivent\ + \ \xEAtre imm\xE9diatement d\xE9sactiv\xE9s. Les \xE9ventuels mots de passe\ + \ d\u2019administration dont il avait connaissance doivent \xEAtre chang\xE9\ + s (exemples : mots de passe des comptes fonctionnels, comptes g\xE9n\xE9riques\ + \ ou comptes de service utilis\xE9s dans le cadre des fonctions de l\u2019\ + administrateur)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-restr-droits + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-RESTR-DROITS + name: Restriction des droits + description: "Sauf exception d\xFBment motiv\xE9e et valid\xE9e par le RSSI,\ + \ les utilisateurs, quelque soit leur statut, n\u2019ont pas de droits d\u2019\ + administration (domaine, local). Dans le cas d'une exception, elle doit \xEA\ + tre trac\xE9e et doit \xEAtre renouvel\xE9e tous les ans. A d\xE9faut de renouvellement,\ + \ les privil\xE8ges d\u2019administration doivent \xEAtre supprim\xE9s." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-prot-admin + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-PROT-ADMIN + name: "Protection des acc\xE8s aux outils d\u2019administration" + description: "L\u2019acc\xE8s aux outils et interfaces d'administration doit\ + \ \xEAtre strictement limit\xE9 aux personnes habilit\xE9es, selon une proc\xE9\ + dure formelle d'autorisation d'acc\xE8s." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-habilit-admin + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-HABILIT-ADMIN + name: Habilitation des administrateurs + description: "L\u2019habilitation des administrateurs s'effectue selon une proc\xE9\ + dure valid\xE9e par l\u2019autorit\xE9 d\u2019homologation. Le nombre de personnes\ + \ habilit\xE9es pour des op\xE9rations d\u2019administration doit \xEAtre\ + \ connu et valid\xE9 par l'autorit\xE9 d'homologation." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-gest-admin + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-GEST-ADMIN + name: "Gestion des actions d\u2019administration" + description: "Les op\xE9rations d\u2019administration doivent \xEAtre trac\xE9\ + es de mani\xE8re \xE0 pouvoir g\xE9rer au niveau individuel l\u2019imputabilit\xE9\ + \ des actions d\u2019administration." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-sec-fluxadmin + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-SEC-FLUXADMIN + name: "S\xE9curisation des flux d'administration" + description: "Les op\xE9rations d'administration sur les ressources locales\ + \ d\u2019une entit\xE9 doivent s\u2019appuyer sur des protocoles s\xE9curis\xE9\ + s. Un r\xE9seau d\xE9di\xE9 \xE0 l\u2019administration des \xE9quipements,\ + \ ou au moins un r\xE9seau logiquement s\xE9par\xE9 de celui des utilisateurs,\ + \ doit \xEAtre utilis\xE9. Les postes d'administrateurs doivent \xEAtre d\xE9\ + di\xE9s et ne doivent pas pouvoir acc\xE9der \xE0 Internet." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-central + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CENTRAL + name: "Centraliser la gestion du syst\xE8me d\u2019information" + description: "Afin de g\xE9rer efficacement un grand nombre de postes d'utilisateurs,\ + \ de serveurs ou d\u2019\xE9quipements r\xE9seau, les administrateurs doivent\ + \ utiliser des outils centralis\xE9s, permettant l\u2019automatisation de\ + \ traitements quotidiens et offrant une vue globale et pertinente sur le syst\xE8\ + me d'information." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-secx-dist + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-SECX-DIST + name: "S\xE9curisation des outils de prise de main \xE0 distance" + description: "La prise de main \xE0 distance d\u2019une ressource informatique\ + \ locale ne doit \xEAtre r\xE9alisable que par les agents autoris\xE9s par\ + \ l\u2019\xE9quipe locale charg\xE9e des SI, sur les ressources informatiques\ + \ de leur p\xE9rim\xE8tre. Des mesures de s\xE9curit\xE9 sp\xE9cifiques doivent\ + \ \xEAtre d\xE9finies et respect\xE9es." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-dom-pol + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-DOM-POL + name: "D\xE9finir une politique de gestion des comptes du domaine" + description: "Une politique explicite de gestion des comptes du domaine doit\ + \ \xEAtre document\xE9e." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-dom-pass + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-DOM-PASS + name: "Configurer la strat\xE9gie des mots de passe des domaines" + description: "La politique de gestion des mots de passe doit \xEAtre con\xE7\ + ue de fa\xE7on \xE0 prot\xE9ger contre les attaques par essais successifs\ + \ de mots de passe. Une complexit\xE9 minimale dans le choix des mots de passe\ + \ doit \xEAtre impos\xE9e aux utilisateurs." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-dom-nomenclat + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-DOM-NOMENCLAT + name: "D\xE9finir et appliquer une nomenclature des comptes du domaine" + description: "La gestion des comptes doit s\u2019appuyer sur une nomenclature\ + \ adapt\xE9e, afin de pouvoir distinguer selon leur usage : comptes d'utilisateur\ + \ standard, comptes d'administration (domaine, serveurs, postes de travail)\ + \ et comptes de service." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-dom-restadmin + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-DOM-RESTADMIN + name: "Restreindre au maximum l\u2019appartenance aux groupes d\u2019administration\ + \ du domaine" + description: "L\u2019appartenance aux groupes du domaine ADMINISTRATEURS et\ + \ ADMINISTRATEURS DU DOMAINE n\u2019est n\xE9cessaire que dans de tr\xE8s\ + \ rares cas. Les op\xE9rations les plus courantes doivent \xEAtre effectu\xE9\ + es avec des comptes du domaine membres des groupes locaux d\u2019administration\ + \ des ordinateurs ou ayant une d\xE9l\xE9gation d'administration." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-doivi-serv + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-DOIVI-SERV + name: "Ma\xEEtriser l\u2019utilisation des comptes de service" + description: "Les comptes de service ont la particularit\xE9 d'avoir g\xE9n\xE9\ + ralement leurs mots de passe inscrits en dur dans des applications ou dans\ + \ des syst\xE8mes. Afin de pouvoir \xEAtre en mesure de changer ces mots de\ + \ passe en urgence, il est n\xE9cessaire de ma\xEEtriser leur utilisation." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-doivi-limitserv + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-DOIVI-LIMITSERV + name: Limiter les droits des comptes de service + description: "Les comptes de service doivent faire l\u2019objet d\u2019une restriction\ + \ des droits, en suivant le principe du moindre privil\xE8ge." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-dom-obsolet + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-DOM-OBSOLET + name: "D\xE9sactiver les comptes du domaine obsol\xE8tes" + description: "Il est n\xE9cessaire de d\xE9sactiver imm\xE9diatement, voire\ + \ de supprimer, les comptes obsol\xE8tes, que ce soient des comptes d\u2019\ + utilisateur (administrateur, de service ou utilisateur standard) ou des comptes\ + \ de machine." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-dom-adminloc + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-DOM-ADMINLOC + name: "Am\xE9liorer la gestion des comptes d\u2019administrateur locaux" + description: "Afin d\u2019emp\xEAcher la r\xE9utilisation des empreintes d\u2019\ + un compte utilisateur local d'une machine \xE0 une autre, il faut soit utiliser\ + \ des mots de passe diff\xE9rents pour les comptes locaux d'administration,\ + \ soit interdire la connexion \xE0 distance via ces comptes." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-maint-ext + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-MAINT-EXT + name: Maintenance externe + description: "Les donn\xE9es non chiffr\xE9es doivent \xEAtre effac\xE9es avant\ + \ l'envoi en maintenance externe de toute ressource informatique. Pour les\ + \ \xE9quipements contenant des donn\xE9es sensibles, il doit \xEAtre mis en\ + \ place des mesures de r\xE9tention des supports d\u2019information." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-mis-reb + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-MIS-REB + name: Mise au rebut + description: "Lorsqu\u2019une ressource informatique est amen\xE9e \xE0 quitter\ + \ d\xE9finitivement l\u2019entit\xE9, les donn\xE9es pr\xE9sentes sur les\ + \ disques durs ou la m\xE9moire int\xE9gr\xE9e doivent \xEAtre effac\xE9es\ + \ de mani\xE8re s\xE9curis\xE9e ou le support d\u2019information d\xE9truit.\n\ + \nL\u2019effacement des donn\xE9es sensibles doit s'appuyer sur des produits\ + \ qualifi\xE9s, ou respecter des proc\xE9dures \xE9tablies en concertation\ + \ avec l\u2019ANSSI." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-prot-malv + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-PROT-MALV + name: Protection contre les codes malveillants + description: "Des logiciels de protection contre les codes malveillants, appel\xE9\ + s commun\xE9ment antivirus, doivent \xEAtre install\xE9s sur l'ensemble des\ + \ serveurs d\u2019interconnexion, serveurs applicatifs et postes de travail\ + \ de l\u2019entit\xE9. Ces logiciels de protection doivent \xEAtre distincts\ + \ pour ces trois cat\xE9gories au moins, et le d\xE9pouillement de leurs journaux\ + \ doit \xEAtre corr\xE9l\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ges-antivir + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-GES-ANTIVIR + name: "Gestion des \xE9v\xE9nements de s\xE9curit\xE9 de l\u2019antivirus" + description: "Les \xE9v\xE9nements de s\xE9curit\xE9 de l'antivirus doivent\ + \ \xEAtre remont\xE9s sur un serveur central pour analyse statistique et gestion\ + \ des probl\xE8mes a posteriori (exemples : serveur constamment infect\xE9\ + , virus d\xE9tect\xE9 et non \xE9radiqu\xE9 par l'antivirus, etc.)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-maj-antmr + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-MAJ-ANTMR + name: "Mise \xE0 lourde la base de signatures" + description: "Les mises \xE0 jour des bases antivirales et des moteurs d'antivirus\ + \ doivent \xEAtre d\xE9ploy\xE9es automatiquement sur les serveurs et les\ + \ postes de travail par un dispositif prescrit par les directions, bureaux\ + \ ou services informatiques, valid\xE9 par le RSSI." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-navig + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-NAVIG + name: Configuration du navigateur Internet + description: "Le navigateur d\xE9ploy\xE9 par l\u2019\xE9quipe locale charg\xE9\ + e des SI sur l\u2019ensemble des serveurs et des postes de travail n\xE9cessitant\ + \ un acc\xE8s Internet ou Intranet doit \xEAtre configur\xE9 de mani\xE8re\ + \ s\xE9curis\xE9e (d\xE9sactivation des services inutiles, nettoyage du magasin\ + \ de certificats, etc.)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-pol-cor + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-POL-COR + name: "D\xE9finir et mettre en \u0153uvre une politique de suivi et d\u2019\ + application des" + description: "correctifs de s\xE9curit\xE9. Le maintien dans le temps du niveau\ + \ de s\xE9curit\xE9 d\u2019un syst\xE8me d\u2019information impose une gestion\ + \ organis\xE9e et adapt\xE9e des mises \xE0 jour de s\xE9curit\xE9. Un processus\ + \ de gestion des correctifs propre \xE0 chaque syst\xE8me ou applicatif doit\ + \ \xEAtre d\xE9fini, et adapt\xE9 suivant les contraintes et le niveau d\u2019\ + exposition du syst\xE8me." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-cor-sec + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-COR-SEC + name: "D\xE9ploiement des correctifs de s\xE9curit\xE9" + description: "Les correctifs de s\xE9curit\xE9 des ressources informatiques\ + \ locales doivent \xEAtre d\xE9ploy\xE9s par l'\xE9quipe locale charg\xE9\ + e des SI en s\u2019appuyant sur les pr\xE9conisations et outils propos\xE9\ + s par les directions, bureaux ou services informatiques." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-obsolet + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-OBSOLET + name: "Assurer la migration des syst\xE8mes obsol\xE8tes" + description: "L\u2019ensemble des logiciels utilis\xE9s sur le syst\xE8me d\u2019\ + information doit \xEAtre dans une version pour laquelle l'\xE9diteur assure\ + \ le support, et tenu \xE0 jour. En cas de d\xE9faillance du support, il convient\ + \ d'en \xE9tudier l\u2019impact et de prendre les mesures adapt\xE9es." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-isol + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-ISOL + name: "Isoler les syst\xE8mes obsol\xE8tes restants" + description: "Il est n\xE9cessaire d'isoler les syst\xE8mes obsol\xE8tes, gard\xE9\ + s volontairement pour assurer un maintien en condition op\xE9rationnelle des\ + \ projets, et pour lesquels une migration n'est pas envisageable. Chaque fois\ + \ que cela est possible, cette isolation doit \xEAtre effectu\xE9e au niveau\ + \ du r\xE9seau (filtrage strict), des \xE9l\xE9ments d\u2019authentification\ + \ (qui ne doivent pas \xEAtre communs avec le reste du SI) et des applications\ + \ (pas de ressources partag\xE9es avec le reste du SI)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-jour-sur + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-JOUR-SUR + name: Journalisation des alertes + description: "Chaque syst\xE8me doit disposer de dispositifs de journalisation\ + \ permettant de conserver une trace des \xE9v\xE9nements de s\xE9curit\xE9\ + . Ces traces doivent \xEAtre conserv\xE9es de mani\xE8re s\xFBre." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-pol-jour + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-POL-JOUR + name: "D\xE9finir et mettre en \u0153uvre une politique de gestion et d\u2019\ + analyse des" + description: "journaux de traces. Une politique de gestion et d'analyse des\ + \ journaux de traces des \xE9v\xE9nements de s\xE9curit\xE9 est d\xE9finie\ + \ par le RSSI, valid\xE9e par l\u2019autorit\xE9 qualifi\xE9e, et mise en\ + \ \u0153uvre. Le niveau de s\xE9curit\xE9 d\u2019un syst\xE8me d\u2019information\ + \ d\xE9pend en grande partie de la capacit\xE9 de ses exploitants et administrateurs\ + \ \xE0 d\xE9tecter les erreurs, dysfonctionnements et tentatives d\u2019acc\xE8\ + s illicites survenant sur les \xE9l\xE9ments qui le composent." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-cons-jour + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CONS-JOUR + name: Conservation des journaux + description: "Les journaux des \xE9v\xE9nements de s\xE9curit\xE9 doivent \xEA\ + tre conserv\xE9s sur douze mois glissants, hors contraintes l\xE9gales et\ + \ r\xE9glementaires particuli\xE8res imposant des dur\xE9es de conservation\ + \ sp\xE9cifiques." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ges-dyn + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-GES-DYN + name: "Gestion dynamique de la s\xE9curit\xE9" + description: "Les personnes en charge de la SSI doivent proc\xE9der, notamment\ + \ via l'analyse des journaux, \xE0 la surveillance des comportements anormaux\ + \ au sein du syst\xE8me d'information, et \xE0 la surveillance des flux d'entr\xE9\ + e et de sortie du syst\xE8me d'information. Gestion des mat\xE9riels informatiques\ + \ fournis \xE0 l'utilisateur" + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-mait-mat + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-MAIT-MAT + name: "Ma\xEEtrise des mat\xE9riels," + description: "Les postes de travail - y compris dans le cas d'une location -\ + \ sont fournis \xE0 l'utilisateur par l\u2019entit\xE9, g\xE9r\xE9s et configur\xE9\ + s sous la responsabilit\xE9 de l'entit\xE9. La connexion d'\xE9quipements\ + \ non ma\xEEtris\xE9s, non administr\xE9s ou non mis \xE0 jour par l\u2019\ + entit\xE9 (qu'il s'agisse d'ordiphones, d'\xE9quipements informatiques nomades\ + \ et fixes ou de supports de stockage amovibles) sur des \xE9quipements et\ + \ des r\xE9seaux professionnels est interdite." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-prot-vol + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-PROT-VOL + name: Rappel des mesures de protection contre le vol + description: "Les postes fixes b\xE9n\xE9ficient des mesures de protection physique\ + \ offertes au titre de la directive de s\xE9curit\xE9 physique de la pr\xE9\ + sente PSSI-MCAS. Chaque utilisateur doit veiller \xE0 la s\xE9curit\xE9 des\ + \ supports amovibles (cl\xE9s USB et disques amovibles), notamment en les\ + \ conservant dans un endroit s\xFBr. Il est recommand\xE9 de chiffrer les\ + \ donn\xE9es contenues sur ces supports. Les supports contenant des donn\xE9\ + es sensibles doivent \xEAtre stock\xE9s dans des meubles fermant \xE0 clef." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-declar-vol + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-DECLAR-VOL + name: "D\xE9clarer les pertes et vols" + description: "Toute perte ou vol d'une ressource d\u2019un syst\xE8me d\u2019\ + information doit \xEAtre d\xE9clar\xE9e au RSSI." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-reaffect + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-REAFFECT + name: "R\xE9affectation de mat\xE9riels informatiques" + description: "Une proc\xE9dure de gestion des postes et supports dans le cadre\ + \ de d\xE9parts de personnel ou de r\xE9affectations \xE0 de nouveaux utilisateurs\ + \ doit \xEAtre mise en place et valid\xE9e par le RSSI. Elle doit d\xE9finir\ + \ les conditions de recours \xE0 un effacement des donn\xE9es." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-nomad-sens + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-NOMAD-SENS + name: "D\xE9claration des \xE9quipements nomades aptes \xE0 traiter des" + description: "informations sensibles. L\u2019autorit\xE9 d'homologation du SI\ + \ valide les usages possibles des \xE9quipements nomades vis-\xE0-vis du traitement\ + \ des informations sensibles ; les usages non explicitement autoris\xE9s sont\ + \ interdits." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-acc-dist + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-ACC-DIST + name: "Acc\xE8s \xE0 distance au syst\xE8me d\u2019information de l\u2019organisme" + description: "Les utilisateurs distants doivent s\u2019authentifier sur le r\xE9\ + seau de l'entit\xE9 en utilisant une authentification forte. S\xE9curisation\ + \ des imprimantes et copieurs multifonctions manipulant des informations sensibles." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-imp-sens + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-IMP-SENS + name: Impression des informations sensibles + description: "Les impressions d\u2019informations sensibles doivent \xEAtre\ + \ effectu\xE9es selon une proc\xE9dure pr\xE9d\xE9finie, garantissant le contr\xF4\ + le de l'utilisateur, du d\xE9clenchement de l\u2019impression jusqu\u2019\xE0\ + \ la r\xE9cup\xE9ration du support imprim\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-imp-2 + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-IMP-2 + name: "S\xE9curit\xE9 des imprimantes et copieurs multifonctions" + description: "Les imprimantes et copieurs multifonctions sont des ressources\ + \ informatiques \xE0 part enti\xE8re qui doivent \xEAtre g\xE9r\xE9es en tant\ + \ que telles. Elles ne doivent pas pouvoir communiquer directement avec l\u2019\ + ext\xE9rieur. " + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-os + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-OS + name: "Syst\xE8mes d\u2019exploitation," + description: "Les syst\xE8mes d'exploitation d\xE9ploy\xE9s doivent faire l'objet\ + \ d'un support valide de la part d\u2019un \xE9diteur ou d\u2019un prestataire\ + \ de service. Seuls les services et applications n\xE9cessaires sont install\xE9\ + s, de fa\xE7on \xE0 r\xE9duire la surface d'attaque. Une attention particuli\xE8\ + re doit \xEAtre apport\xE9e aux comptes administrateurs." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-ltp + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-LTP + name: "Logiciels en Tiers Pr\xE9sentation" + description: "La mise en \u0153uvre d\u2019une configuration renforc\xE9e est\ + \ obligatoire sur les logiciels d\xE9ploy\xE9s pour le tiers pr\xE9sentation\ + \ (ex : serveur Web, Reverse Proxy)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-lta + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-LTA + name: Logiciels en Tiers Application + description: "Des r\xE8gles de d\xE9veloppement s\xE9curis\xE9, et les configurations\ + \ des logiciels en Tiers Application doivent \xEAtre fix\xE9es et appliqu\xE9\ + es." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-ltd + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-LTD + name: "Logiciels en Tiers Donn\xE9es" + description: "Des r\xE8gles tr\xE8s strictes (restrictions d'acc\xE8s, interdictions\ + \ de connexions, gestion des privil\xE8ges) s'appliquent aux logiciels en\ + \ tiers donn\xE9es." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-protfic + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-PROTFIC + name: "Passerelle d\u2019\xE9change de fichiers" + description: "Les \xE9changes de fichiers entre applications doivent privil\xE9\ + gier les protocoles s\xE9curis\xE9s (SSUTLS, FTPS...)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-messtech + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-MESSTECH + name: Messagerie technique + description: "Pour satisfaire les besoins d\u2019exploitation et de supervision\ + \ des infrastructures et des applications, une messagerie dite technique peut\ + \ \xEAtre d\xE9ploy\xE9e en zone de Back-office du centre informatique. Cette\ + \ messagerie technique ne doit \xEAtre en aucun cas utilis\xE9e directement\ + \ par un utilisateur." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-filt + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-FILT + name: Filtrage des flux applicatifs + description: "De fa\xE7on \xE0 garantir un niveau de s\xE9curit\xE9 satisfaisant\ + \ face aux attaques informatiques, des m\xE9canismes de filtrage et de cloisonnement\ + \ doivent \xEAtre mis en \u0153uvre." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-admin + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-ADMIN + name: Flux d'administration + description: "D'une mani\xE8re g\xE9n\xE9rale, il convient de diff\xE9rencier\ + \ deux types de flux d'administration : les flux d\u2019administration de\ + \ l'infrastructure (r\xE9serv\xE9s aux agents du centre informatique) d\u2019\ + une part, les flux d\u2019administration des applications m\xE9tier (r\xE9\ + serv\xE9s \xE0 la direction m\xE9tier) d'autre part. L\u2019attribution des\ + \ droits d'administration doit respecter cette diff\xE9renciation, et les\ + \ 2 types de flux d'administration doivent \xEAtre dans la mesure du possible\ + \ cloisonn\xE9s." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-dns + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-DNS + name: Service de noms de domaine - DNS technique + description: "Dans le cas du d\xE9ploiement d'un serveur de noms de domaines\ + \ pour les besoins techniques internes au centre informatique, il sera utilis\xE9\ + \ de pr\xE9f\xE9rence les extensions s\xE9curis\xE9es DNSSEC." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-effac + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-EFFAC + name: Effacement de support + description: "Le reconditionnement et la r\xE9utilisation des disques durs pour\ + \ un autre usage (ex : r\xE9attribution d'une machine/serveur) ne sont autoris\xE9\ + s qu'apr\xE8s une op\xE9ration d'effacement s\xE9curis\xE9 des donn\xE9es." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-destr + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-DESTR + name: Destruction de support + description: "La fin de vie d'un support ou d'un mat\xE9riel embarquant un support\ + \ de stockage (imprimante, routeur, commutateur... ) doit s'accompagner d'une\ + \ op\xE9ration de destruction avant remise au rebut." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-trac + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-TRAC + name: "Tra\xE7abilit\xE9 / imputabilit\xE9" + description: "Afin d\u2019assurer une coh\xE9rence dans les \xE9changes entre\ + \ applications ainsi qu'une tra\xE7abilit\xE9 pertinente des \xE9v\xE9nements\ + \ techniques et de s\xE9curit\xE9, les centres d\u2019exploitation emploient\ + \ une r\xE9f\xE9rence de temps commune (service NTP, Network Time Protocol)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-supervis + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-SUPERVIS + name: Supervision + description: "Un cloisonnement entre les flux de supervision (remont\xE9e d\u2019\ + informations) et les flux d\u2019administration (commandes, mises \xE0 jour)\ + \ doit \xEAtre mis en place." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-amov + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-AMOV + name: "Acc\xE8s aux p\xE9riph\xE9riques amovibles" + description: "L\u2019acc\xE8s aux supports informatiques amovibles fait l\u2019\ + objet d\u2019un traitement adapt\xE9, plus particuli\xE8rement lorsqu\u2019\ + ils ont \xE9t\xE9 utilis\xE9s pour m\xE9moriser de l'information sensible\ + \ ou lorsqu\u2019ils sont utilis\xE9s pour des op\xE9rations d\u2019exploitation." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-accres + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-ACCRES + name: "Acc\xE8s aux r\xE9seaux" + description: "Dans un centre informatique, le contr\xF4le physique des acc\xE8\ + s r\xE9seaux, l'attribution des adresses IP, le filtrage des informations\ + \ et l'usage de dispositifs sp\xE9cifiques (machines virtuelles, cartes d\u2019\ + administration \xE0 distance, etc.) font l'objet de proc\xE9dures s\xE9curis\xE9\ + es." + - urn: urn:ackwa:risk:req_node:mcas-1.0:exp-ci-audit + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp + ref_id: EXP-CI-AUDIT + name: "AudiWcontr\xF4le" + description: "Le RSSI pilote des audits r\xE9guliers du syst\xE8me d\u2019information\ + \ relevant de sa responsabilit\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + assessable: false + depth: 1 + ref_id: PDT + name: "S\xE9curisation des postes de travail" + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-gest + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-GEST + name: Fourniture et gestion des postes de travail + description: "Les postes de travail utilis\xE9s dans le cadre professionnel\ + \ sont fournis et g\xE9r\xE9s par l\u2019\xE9quipe locale charg\xE9e des SI.\n\ + \nSi un poste est mis \xE0 disposition par une autre voie, sa connexion au\ + \ r\xE9seau est soumise \xE0 l\u2019autorisation du RSSI." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-config + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-CONFIG + name: Formalisation de la configuration des postes de travail + description: "Une proc\xE9dure formalis\xE9e de configuration des postes de\ + \ travail est \xE9tablie par chaque entit\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-verouil-fixe + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-VEROUIL-FIXE + name: "Verrouillage de l\u2019unit\xE9 centrale des postes fixes" + description: "Lorsque l\u2019unit\xE9 centrale d\u2019un poste fixe est peu\ + \ volumineuse, donc susceptible d\u2019\xEAtre facilement emport\xE9e, elle\ + \ doit \xEAtre prot\xE9g\xE9e contre le vol par un syst\xE8me d\u2019attache\ + \ (par exemple un c\xE2ble antivol)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-verouil-port + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-VEROUIL-PORT + name: Verrouillage des postes portables + description: "Un c\xE2ble physique de s\xE9curit\xE9 doit \xEAtre fourni avec\ + \ chaque poste portable. Les utilisateurs doivent \xEAtre sensibilis\xE9s\ + \ \xE0 son utilisation." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-reaffect + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-REAFFECT + name: "R\xE9affectation du poste de travail" + description: "Une proc\xE9dure SSI d\xE9finit les r\xE8gles concernant le traitement\ + \ \xE0 appliquer aux informations ayant \xE9t\xE9 stock\xE9es o\xF9 manipul\xE9\ + es sur les postes r\xE9affect\xE9s. " + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-privil + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-PRIVIL + name: "Privil\xE8ges des utilisateurs sur les postes de travail" + description: "La gestion des privil\xE8ges des utilisateurs sur leurs postes\ + \ de travail doit suivre le principe du \xAB moindre privil\xE8ge \xBB : chaque\ + \ utilisateur ne doit disposer que des privil\xE8ges n\xE9cessaires \xE0 la\ + \ conduite des actions relevant de sa mission." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-priv + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-PRIV + name: "Utilisation des privil\xE8ges d\u2019acc\xE8s \xAB administrateur \xBB" + description: "Les privil\xE8ges d\u2019acc\xE8s \xAB administrateur \xBB doivent\ + \ \xEAtre utilis\xE9s uniquement pour les actions d\u2019administration le\ + \ n\xE9cessitant." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-adm-local + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-ADM-LOCAL + name: "Gestion du compte \xAB administrateur local \xBB" + description: "L\u2019acc\xE8s au compte \xAB administrateur local \xBB sur les\ + \ postes de travail doit \xEAtre strictement limit\xE9 aux \xE9quipes en charge\ + \ de l'exploitation et du support sur ces postes de travail." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-stock + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-STOCK + name: Stockage des informations + description: "Dans la mesure du possible, les donn\xE9es trait\xE9es par les\ + \ utilisateurs doivent \xEAtre stock\xE9es sur des espaces r\xE9seau, eux-m\xEA\ + mes sauvegard\xE9s selon les exigences des entit\xE9s." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-sauv-loc + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-SAUV-LOC + name: "Sauvegarde I synchronisation des donn\xE9es locales" + description: "Dans le cas o\xF9 des donn\xE9es doivent \xEAtre stock\xE9es en\ + \ local sur le poste de travail, des moyens de synchronisation ou de sauvegarde\ + \ doivent \xEAtre fournis aux utilisateurs." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-part-fic + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-PART-FIC + name: Partage de fichiers + description: "Le partage de r\xE9pertoires ou de donn\xE9es h\xE9berg\xE9es\ + \ localement sur les postes de travail est \xE0 proscrire." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-suppr-part + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-SUPPR-PART + name: "Suppression des donn\xE9es sur les postes partag\xE9s" + description: "Les donn\xE9es pr\xE9sentes sur les postes partag\xE9s (portable\ + \ de pr\xEAt, par exemple) doivent \xEAtre supprim\xE9es entre deux utilisations,\ + \ d\xE8s lors que les utilisateurs ne disposent pas du m\xEAme besoin d\u2019\ + en conna\xEEtre." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-chiff-sens + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-CHIFF-SENS + name: "Chiffrement des donn\xE9es sensibles" + description: "Une solution de chiffrement labellis\xE9e doit \xEAtre mise \xE0\ + \ disposition des utilisateurs et des administrateurs afin de chiffrer les\ + \ donn\xE9es sensibles stock\xE9es sur les postes de travail, les serveurs,\ + \ les espaces de travail, ou les supports amovibles." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-amov + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-AMOV + name: Fourniture de supports de stockage amovibles + description: "Les supports de stockage amovibles (cl\xE9s USB et disque durs\ + \ externes, notamment) doivent \xEAtre fournis aux utilisateurs par l\u2019\ + \xE9quipe locale charg\xE9e des SI." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-nomad-access + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-NOMAD-ACCESS + name: "Acc\xE8s \xE0 distance aux Syst\xE8mes d'Information de l\u2019entit\xE9" + description: "Les acc\xE8s \xE0 distance aux SI de l\u2019entit\xE9 (acc\xE8\ + s dits \xAB nomades \xBB) doivent \xEAtre r\xE9alis\xE9s via des infrastructures\ + \ homologu\xE9es. L\u2019usage de r\xE9seaux priv\xE9s virtuels (VPN) de confiance\ + \ est n\xE9cessaire." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-nomad-parefeu + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-NOMAD-PAREFEU + name: Pare-feu local + description: "Un pare-feu local conforme aux directives nationales doit \xEA\ + tre install\xE9 sur les postes nomades." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-nomad-stock + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-NOMAD-STOCK + name: "Stockage local d\u2019information sur les postes nomades" + description: "Le stockage local d\u2019information sur les postes de travail\ + \ nomades doit \xEAtre limit\xE9 au strict n\xE9cessaire. Les informations\ + \ sensibles doivent \xEAtre obligatoirement chiffr\xE9es par un moyen de chiffrement\ + \ labellis\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-nomad-filt + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-NOMAD-FILT + name: "Filtre de confidentialit\xE9" + description: "Pour les postes de travail nomades manipulant des donn\xE9es sensibles,\ + \ un filtre de confidentialit\xE9 doit \xEAtre fourni et \xEAtre positionn\xE9\ + \ sur l'\xE9cran d\xE8s lors que le poste est utilis\xE9 en dehors de l'entit\xE9\ + ." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-nomad-connex + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-NOMAD-CONNEX + name: Configuration des interfaces de connexion sans fil + description: La configuration des interfaces de connexion sans fil doit interdire + les usages dangereux de ces interfaces + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-nomad-desactiv + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-NOMAD-DESACTIV + name: "D\xE9sactivation des interfaces de connexion sans fil" + description: "Des r\xE8gles de configuration des interfaces de connexion sans\ + \ fil (Wifi, Bluetooth, 3G...), permettant d\u2019interdire les usages non\ + \ ma\xEEtris\xE9s et d'\xE9viter les intrusions via ces interfaces, doivent\ + \ \xEAtre d\xE9finies et appliqu\xE9es. Les interfaces sans fil ne doivent\ + \ \xEAtre activ\xE9es qu'en cas de besoin. S\xE9curisation des imprimantes\ + \ et copieurs multifonctions." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-mul-durciss + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-MUL-DURCISS + name: Durcissement des imprimantes et copieurs multifonctions + description: "Les imprimantes et copieurs multifonctions h\xE9berg\xE9s localement\ + \ dans une entit\xE9 doivent faire l'objet d'un durcissement en termes de\ + \ s\xE9curit\xE9 : changement des mots de passe initialement fix\xE9s par\ + \ le \xAB constructeur \xBB, d\xE9sactivation des interfaces r\xE9seau inutiles,\ + \ suppression des services inutiles, chiffrement des donn\xE9es sur le disque\ + \ dur lorsque cette fonctionnalit\xE9 est disponible, configuration r\xE9\ + seau statique." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-mul-secnum + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-MUL-SECNUM + name: "S\xE9curisation de la fonction de num\xE9risation" + description: "Lorsqu'elle est activ\xE9e, la fonction de num\xE9risation sur\ + \ les copieurs multifonctions h\xE9berg\xE9s dans une entit\xE9 doit \xEA\ + tre s\xE9curis\xE9e. Les mesures de s\xE9curit\xE9 suivantes doivent notamment\ + \ \xEAtre appliqu\xE9es : envoi de documents uniquement \xE0 destination d'une\ + \ adresse de messagerie interne \xE0 l'entit\xE9, envoi uniquement \xE0 une\ + \ seule adresse de messagerie. S\xE9curisation de la t\xE9l\xE9phonie" + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-tel-miniiv1 + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-TEL-MINIIV1 + name: "S\xE9curiser la configuration des autocommutateurs" + description: "Les autocommutateurs doivent \xEAtre maintenus \xE0 jour au niveau\ + \ des correctifs de s\xE9curit\xE9. Leur configuration doit \xEAtre durcie.\ + \ La d\xE9finition et l\u2019affectation des droits d'acc\xE8s et des privil\xE8\ + ges aux utilisateurs (transfert d\xE9part-d\xE9part, entr\xE9e en tiers, interphonie,\ + \ autorisation de d\xE9blocage, renvoi sur num\xE9ro ext\xE9rieur, substitution,\ + \ substitution de privil\xE8ge, interception d'appel dirig\xE9, etc.) doivent\ + \ faire l\u2019objet d'une attention particuli\xE8re. Une revue de la programmation\ + \ t\xE9l\xE9phonique doit \xEAtre organis\xE9e p\xE9riodiquement." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-tel-codes + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-TEL-CODES + name: "Codes d\u2019acc\xE8s t\xE9l\xE9phoniques" + description: "Il est n\xE9cessaire de sensibiliser les utilisateurs au besoin\ + \ de modifier le code d\u2019acc\xE8s de leur t\xE9l\xE9phone et de leur messagerie\ + \ vocale." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-tel-dect + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-TEL-DECT + name: "Limiter l\u2019utilisation du DECT" + description: "Les communications r\xE9alis\xE9es au travers du protocole DECT\ + \ sont susceptibles d'\xEAtre intercept\xE9es, m\xEAme si les m\xE9canismes\ + \ d\u2019authentification et de chiffrement que propose ce protocole sont\ + \ activ\xE9s. Il est recommand\xE9 d\u2019attribuer des postes t\xE9l\xE9\ + phoniques filaires aux utilisateurs dont les \xE9changes sont les plus sensibles." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pdt-conf-verif + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pdt + ref_id: PDT-CONF-VERIF + name: "Utiliser des outils de v\xE9rification automatique de la conformit\xE9" + description: "Un outil de v\xE9rification r\xE9guli\xE8re de la conformit\xE9\ + \ des \xE9l\xE9ments de configuration des postes de travail doit \xEAtre mis\ + \ en place, afin d'\xE9viter une d\xE9rive dans le temps de ces \xE9l\xE9\ + ments de configuration." + - urn: urn:ackwa:risk:req_node:mcas-1.0:dev + assessable: false + depth: 1 + ref_id: DEV + name: "S\xE9curit\xE9 du d\xE9veloppement des syst\xE8mes" + - urn: urn:ackwa:risk:req_node:mcas-1.0:dev-integr-secloc + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:dev + ref_id: DEV-INTEGR-SECLOC + name: "Int\xE9grer la s\xE9curit\xE9 dans les d\xE9veloppements locaux" + description: "Toute initiative locale de d\xE9veloppement informatique doit\ + \ respecter les exigences SSI, concernant la prise en compte de la s\xE9curit\xE9\ + \ dans les projets et les d\xE9veloppements informatiques (notamment la r\xE9\ + alisation d'une analyse de risques). Le service \xE0 l'origine du projet se\ + \ porte garant d'une d\xE9marche d\u2019homologation du syst\xE8me de l'application\ + \ et le cas \xE9ch\xE9ant de l'application du r\xE9f\xE9rentiel g\xE9n\xE9\ + ral de s\xE9curit\xE9." + - urn: urn:ackwa:risk:req_node:mcas-1.0:dev-sous-trait + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:dev + ref_id: DEV-SOUS-TRAIT + name: "Int\xE9grer des clauses SSI dans les contrats de sous-traitance de d\xE9\ + veloppement informatique" + description: "Lors de l\u2019\xE9criture d\u2019un contrat de sous-traitance\ + \ de d\xE9veloppement, plusieurs clauses relatives \xE2 la SSI doivent \xEA\ + tre int\xE9gr\xE9es :\n\n- formation obligatoire des d\xE9veloppeurs sur le\ + \ d\xE9veloppement s\xE9curis\xE9 et les vuln\xE9rabilit\xE9s classiques ;\n\ + - utilisation obligatoire d\u2019outils permettant de minimiser les erreurs\ + \ introduites durant le d\xE9veloppement (outils gratuits d'analyse statique\ + \ de code, utilisation de biblioth\xE8ques r\xE9put\xE9es pour leur s\xE9\ + curit\xE9, etc ) ;\n- production de documentation technique d\xE9crivant l'implantation\ + \ des protections d\xE9velopp\xE9es (gestion de l\u2019authentification, stockage\ + \ des mots de passe, gestion des droits, chiffrement, etc.) ;\n- respect de\ + \ normes de d\xE9veloppement s\xE9curis\xE9, qu\u2019elles soient propres\ + \ au d\xE9veloppeur, publiques ou propres au commanditaire ;\n- obligation\ + \ pour le prestataire de corriger, dans un temps raisonnable et pour un prix\ + \ d\xE9fini, les vuln\xE9rabilit\xE9s introduites durant le d\xE9veloppement\ + \ et qui lui sont remont\xE9es, en incluant automatiquement les corrections\ + \ des autres occurrences des m\xEAmes erreurs de programmation." + - urn: urn:ackwa:risk:req_node:mcas-1.0:dev-fuites + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:dev + ref_id: DEV-FUITES + name: Limiter les fuites d'information + description: "Les fuites d'informations techniques sur les logiciels utilis\xE9\ + s permettent aux attaquants de d\xE9celer plus facilement d\u2019\xE9ventuelles\ + \ vuln\xE9rabilit\xE9s. Il est imp\xE9ratif de limiter fortement la diffusion\ + \ d'informations au sujet des produits utilis\xE9s, m\xEAme si cette pr\xE9\ + caution ne constitue pas une protection en tant que telle." + - urn: urn:ackwa:risk:req_node:mcas-1.0:dev-log-adher + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:dev + ref_id: DEV-LOG-ADHER + name: "R\xE9duire l\u2019adh\xE9rence des applications \xE0 des produits ou\ + \ technologies" + description: "sp\xE9cifigues. Le fonctionnement d'une application s\u2019appuie\ + \ sur un environnement logiciel et mat\xE9riel. En phases de conception et\ + \ de sp\xE9cification technique, il est n\xE9cessaire de s'assurer que les\ + \ applications n\u2019ont pas une trop forte adh\xE9rence vis-\xE0-vis des\ + \ environnements sur lesquels elles reposent. En effet, l\u2019apparition\ + \ de failles sur un environnement a de fait un impact sur la s\xE9curit\xE9\ + \ des applications qui en d\xE9pendent. En plus du maintien en condition de\ + \ s\xE9curit\xE9 propre \xE0 l'application, il est donc n\xE9cessaire de pouvoir\ + \ faire \xE9voluer son environnement pour garantir sa s\xE9curit\xE9 dans\ + \ la dur\xE9e." + - urn: urn:ackwa:risk:req_node:mcas-1.0:dev-log-crit + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:dev + ref_id: DEV-LOG-CRIT + name: "Instaurer des crit\xE8res de d\xE9veloppement s\xE9curis\xE9" + description: "Une fois pass\xE9es les phases de d\xE9finition des besoins et\ + \ de conception de l'architecture applicative, le niveau de s\xE9curit\xE9\ + \ d'une application d\xE9pend fortement des modalit\xE9s pratiques suivies\ + \ lors de sa phase de d\xE9veloppement." + - urn: urn:ackwa:risk:req_node:mcas-1.0:dev-log-cycle + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:dev + ref_id: DEV-LOG-CYCLE + name: "Int\xE9grer la s\xE9curit\xE9 dans le cycle de vie logiciel" + description: "La s\xE9curit\xE9 doit \xEAtre int\xE9gr\xE9e \xE0 toutes les\ + \ \xE9tapes du cycle de vie du projet, depuis l'expression des besoins jusqu'\xE0\ + \ la maintenance applicative, en passant par la r\xE9daction du cahier des\ + \ charges et les phases de recette." + - urn: urn:ackwa:risk:req_node:mcas-1.0:dev-log-web + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:dev + ref_id: DEV-LOG-WEB + name: "Am\xE9liorer la prise en compte de la s\xE9curit\xE9 dans les d\xE9veloppements\ + \ Web" + description: "Les d\xE9veloppements Web (et les d\xE9veloppements en PHP en\ + \ particulier) font l'objet de probl\xE8mes de s\xE9curit\xE9 r\xE9currents\ + \ qui ont conduit \xE0 la constitution de r\xE9f\xE9rentiels de s\xE9curit\xE9\ + . Ces r\xE9f\xE9rentiels ont pour objectif de fixer des REGLES DE BONNES PRATIQUES\ + \ \xE0 l'usage des d\xE9veloppeurs. Ce sont des r\xE8gles d\u2019ordre g\xE9\ + n\xE9rique ou pouvant \xEAtre sp\xE9cifiques \xE0 un langage (PHP, ASP, NET,\ + \ etc.)." + - urn: urn:ackwa:risk:req_node:mcas-1.0:dev-log-pass + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:dev + ref_id: DEV-LOG-PASS + name: "Calculer les empreintes de mots de passe de mani\xE8re s\xE9curis\xE9\ + e" + description: "Lorsqu'une application doit stocker les mots de passe de ses utilisateurs,\ + \ il est important de mettre en \u0153uvre des mesures permettant de se pr\xE9\ + munir contre les attaques document\xE9es : attaques par dictionnaire, attaques\ + \ par tables arc-en-ciel, attaques par force brute, etc." + - urn: urn:ackwa:risk:req_node:mcas-1.0:dev-filt-appl + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:dev + ref_id: DEV-FILT-APPL + name: "Mettre en \u0153uvre des fonctionnalit\xE9s de filtrage applicatif pour\ + \ les" + description: "applications \xE0 risque. Devant les applications \xE0 risques,\ + \ il est recommand\xE9 de faire usage d\u2019une solution tierce de filtrage\ + \ applicatif." + - urn: urn:ackwa:risk:req_node:mcas-1.0:ti + assessable: false + depth: 1 + ref_id: TI + name: "Traitement des incidents Cha\xEEnes op\xE9rationnelles" + - urn: urn:ackwa:risk:req_node:mcas-1.0:ti-ops-ssi + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:ti + ref_id: TI-OPS-SSI + name: "Cha\xEEnes op\xE9rationnelles SSI " + description: "Les cha\xEEnes op\xE9rationnelles des MCAS concourent \xE0 l\u2019\ + effort national de cybers\xE9curit\xE9. Les alertes et les incidents sont\ + \ g\xE9r\xE9s selon des proc\xE9dures test\xE9es lors d'exercices. La coordination\ + \ des comp\xE9tences est organis\xE9e \xE0 l\u2019\xE9chelon minist\xE9riel.\ + \ Les situations d'urgences peuvent faire appel \xE0 des mesures d\xE9finies\ + \ pr\xE9alablement dans le cadre des plans gouvernementaux." + - urn: urn:ackwa:risk:req_node:mcas-1.0:ti-mob + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:ti + ref_id: TI-MOB + name: 'Mobilisation en cas d''alerte ' + description: "En cas d\u2019alerte de s\xE9curit\xE9 identifi\xE9e au niveau\ + \ national, les RSSI de chaque entit\xE9 s'assurent de la bonne application\ + \ des exigences formul\xE9es par les instances nationales, dans les meilleurs\ + \ d\xE9lais." + - urn: urn:ackwa:risk:req_node:mcas-1.0:ti-qual-trait + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:ti + ref_id: TI-QUAL-TRAIT + name: 'Qualification et traitement des incidents ' + description: "La cha\xEEne fonctionnelle SSI est inform\xE9e par la cha\xEE\ + ne op\xE9rationnelle de tout incident de s\xE9curit\xE9, et contribue si n\xE9\ + cessaire \xE0 la qualification de l'incident et au pilotage de son traitement." + - urn: urn:ackwa:risk:req_node:mcas-1.0:ti-inc-rem + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:ti + ref_id: TI-INC-REM + name: "Remont\xE9e des incidents" + description: "Tout incident de s\xE9curit\xE9, m\xEAme apparemment mineur, dont\ + \ l'impact d\xE9passe ou est susceptible de d\xE9passer le SI d'une entit\xE9\ + \ ou des MCAS, fait l'objet d'un compte-rendu, via la cha\xEEne SSI, au FSSI\ + \ qui, le cas \xE9ch\xE9ant, alerte le Centre op\xE9rationnel de la s\xE9\ + curit\xE9 des syst\xE8mes d'information (COSSI) de l'ANSSI. " + - urn: urn:ackwa:risk:req_node:mcas-1.0:pca + assessable: false + depth: 1 + ref_id: PCA + name: "Continuit\xE9 d\u2019activit\xE9" + - urn: urn:ackwa:risk:req_node:mcas-1.0:pca-minis + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pca + ref_id: PCA-MINIS + name: "D\xE9finition du plan minist\xE9riel de continuit\xE9 d\u2019activit\xE9\ + \ des Syst\xE8mes" + description: "d\u2019Information. Les MCAS d\xE9finissent un plan de continuit\xE9\ + \ d'activit\xE9 minist\xE9riel des syst\xE8mes d\u2019information permettant\ + \ d\u2019assurer, en cas de sinistre, la continuit\xE9 d\u2019activit\xE9\ + \ des syst\xE8mes d'information." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pca-local + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pca + ref_id: PCA-LOCAL + name: "D\xE9finition du plan local de continuit\xE9 d\u2019activit\xE9 des syst\xE8\ + mes d\u2019information" + description: "Le directeur des syst\xE8mes d\u2019information ou le RSSI d'une\ + \ entit\xE9 d\xE9finit la structure et les attendus du plan de continuit\xE9\ + \ d'activit\xE9 des syst\xE8mes d'information permettant d'assurer effectivement,\ + \ en cas de sinistre, la continuit\xE9 d\u2019activit\xE9. " + - urn: urn:ackwa:risk:req_node:mcas-1.0:pca-suivilocal + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pca + ref_id: PCA-SUIVILOCAL + name: "Suivi de la mise en \u0153uvre du plan de continuit\xE9 d'activit\xE9\ + \ local des" + description: "Syst\xE8me d'Information (PCA des SI). Le RSSI d'une entit\xE9\ + \ s\u2019assure de la bonne mise en \u0153uvre des dispositions pr\xE9vues\ + \ dans le plan de continuit\xE9 d\u2019activit\xE9 des syst\xE8mes d\u2019\ + information." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pca-proc + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pca + ref_id: PCA-PROC + name: "Mise en \u0153uvre des dispositifs techniques et des proc\xE9dures op\xE9\ + rationnelles" + description: "Les \xE9quipes informatiques mettent en \u0153uvre les dispositifs\ + \ techniques et les proc\xE9dures op\xE9rationnelles contribuant \xE0 la continuit\xE9\ + \ des SI, en assurent la supervision au quotidien et la maintenance dans le\ + \ temps." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pca-sauve + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pca + ref_id: PCA-SAUVE + name: "Protection de la disponibilit\xE9 des sauvegardes" + description: "Les sauvegardes de donn\xE9es ne doivent pas \xEAtre soumises\ + \ aux m\xEAmes risques de sinistres que les donn\xE9es sauvegard\xE9es." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pca-prot + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pca + ref_id: PCA-PROT + name: "Protection de la confidentialit\xE9 des sauvegardes" + description: "Les sauvegardes doivent \xEAtre trait\xE9es de mani\xE8re \xE0\ + \ garantir leur confidentialit\xE9 et leur int\xE9grit\xE9. " + - urn: urn:ackwa:risk:req_node:mcas-1.0:pca-exerc + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pca + ref_id: PCA-EXERC + name: "Exercice r\xE9gulier du plan local de continuit\xE9 d\u2019activit\xE9\ + \ des syst\xE8mes d\u2019information" + description: "Le RSSI d\u2019une entit\xE9 organise des exercices r\xE9guliers,\ + \ afin de tester le plan local de continuit\xE9 d'activit\xE9 des syst\xE8\ + mes d\u2019information." + - urn: urn:ackwa:risk:req_node:mcas-1.0:pca-misajour + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:pca + ref_id: PCA-MISAJOUR + name: "Mise \xE0 jour du plan local de continuit\xE9 d\u2019activit\xE9 des\ + \ syst\xE8mes d'information" + description: "Le RSSI d\u2019une entit\xE9 assure le maintien \xE0 jour du plan\ + \ local de continuit\xE9 d'activit\xE9 des Syst\xE8mes d\u2019Information." + - urn: urn:ackwa:risk:req_node:mcas-1.0:contr + assessable: false + depth: 1 + ref_id: CONTR + name: "Conformit\xE9, audit, inspection, contr\xF4le" + - urn: urn:ackwa:risk:req_node:mcas-1.0:contr-ssi + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:contr + ref_id: CONTR-SSI + name: "Contr\xF4les locaux" + description: "La conformit\xE9 \xE0 la PSSIE et \xE0 la PSSI-MCAS est v\xE9\ + rifi\xE9e par des contr\xF4les r\xE9guliers. Les RSSI de chaque entit\xE9\ + \ conduisent des actions locales d'\xE9valuation de la conformit\xE9 \xE0\ + \ la PSSI-MCAS et contribuent \xE2 la consolidation, dans un bilan annuel,\ + \ de l'\xE9tat d'avancement de sa mise en \u0153uvre." + - urn: urn:ackwa:risk:req_node:mcas-1.0:contr-bilan-ssi + assessable: true + depth: 2 + parent_urn: urn:ackwa:risk:req_node:mcas-1.0:contr + ref_id: CONTR-BILAN-SSI + name: Bilan annuel + description: "Les minist\xE8res charg\xE9s des affaires sociales \xE9tablissent\ + \ un bilan annuel mesurant sa maturit\xE9 SSI globale, qu'il transmet \xE0\ + \ l\u2019ANSSI. " diff --git a/tools/mcas/mcas-1.0.xlsx b/tools/mcas/mcas-1.0.xlsx new file mode 100644 index 0000000000000000000000000000000000000000..f08f66b1e78ca90fa4f19ae5e0104552e551021d GIT binary patch literal 45188 zcmeFYW0Ph<7bW_XZQHhO+qP}n?sAuHb=kIUb=kIc`+X;F#N0dc4`%X1o-Y|0=j^lA zUOU&0RFnY$MFoHZAOQdX5dax;d&?9E0KfzT08jvsz&auh_O533t_G@Jj%F@;^qzLM zgoU8Ml=%SQf9wD6_&+!TL%(P32N+>TZjztj)oN65b{XYR!Un%_Ig0Bc#;`?57D%Jv zLR#~13^PmNLj^ZVlyE*i{GCh?MlVLpX(BDVXvBI?qhNK9nw=h$yA<*scoK=I%2J-- zrR#xE59Xhi9Xp@`u`GCK#pF=0ONJ`L#f|nrIJYz2)+qN^In#vHVAvqIPM_?}j_`tt zvbEuuu=xjM>FCT9Y`(k5q70Qx5jOi)s!*vxZK%a$sWs$(oX0)j!7NHK|H$>>j372F z7Hqw38m7HWlthV(uq!3%s}5p1+Z~m~#~|Eb3>ziFOABOWKsVKwfl|B~|mU?%=gpZ+IFPGOJ{ zHvC5NGh*yzc`E@?SjIz0vXe;FKTzr~LUU{pDb7|e1umj0b_j?>K)3(r#O4-n?D-hc z^FHgJ7-Uo)k`|BZ@U(X)HwbES=Tvd0KYK$+?#oZh&lwWZUXA z^|Iw>T1Dq5A$lBR5BbB6zd6|LuPW;cAeU$+Uy2e6ma#Gq>6dBrGFM!;Gr(bC@Z{sL#;AQA7&B}smBT=lKfp8VrE+Rl0Xs}kavgj*&Yc=1;G2USJHL9d^87Yfo1cb?_X~42 zuBlq+R?rI%uLhUCnP+qA?Wp87lU54NR6fF}J{I38NBRl;>cIrN zy$jXC-)8Me6oyRW2R&yg^Dgp9FJALO50(|r#R(rpIG)?aHOQgP{3@j0kE31(;c}-? z)J|BfPlH5y12O-}VV~>g-?GovxhcI`c=2Shk)B*>S5+!)LALrQdxJ=Jn8l}+u+wef z4%=N%R@b=bfrHCHrplCNW7!*C7=O2{C88T?WCS@BX*F{^)tVip8XWI>|6ObPX{}K@ zaG)CJ*<+L}WB}Mt=nvxpaiNTxoST_jL+-|DOz`eJ2&ga`wzY6U24#kDG+GX;bFSXs z?;z-!P?41V($r=o-^FHg4HzYwCDcGiLd*Ah@9&UeE2DeR{CW2DtB)6{kaSblv1e@= zm~Dmy8O{!!cTfl@XDSaje@_j^7|bo6qDUboN-ct zEH^ZuBq8O9O^eI&B;elGD2PK5)ifPg?z*^cU4IunhdTvEd3$lfyKBh}7vXL=ebjx} zGAf$ePwc32KO*(RUjhYvXTL`H7~I&JCDt};zh+)Vz-+gm+Un@EEx(73U7={gdn`ER zuU3~R4oDR!;w1LhpoD{ShGak@LWMBF{V^%@=UhY}4&UKnNk7V#pVd?zN{a8zlx)G^ z_;#ACl08mcn3-n|#m+Jr5d@O;;9mN-({V9@us)BgT%Ol(;-WMLusm@+4YfRzZ-?Z2NFx_Y!?w^l1~C1x?A);jIigP z{Pa~=3GIFFzvdDDTK#nn&z)=~{l&{{(xc<2qicuZKKfDPBg#<$W%}~ei?uEM$i}n4 z*~_!w`21$=?^b+e#%}QUWE6W;LkgR~fnewFP{4Gf00hP<0ZIp-Bg-?hScvRQ@Bda? z8tlFzCjVs!Uqk=^?tf$m7gsM^GnfBp%9N&E{01lDx4-gF$kEMu7i~cxG&yG%6k{Q? z3RiLr=+9fWH^?t)5mWiLB-VZ$?LCBKkKS0C#=S=?sR|(gQ57gdER{r$ftd`oq+5|R zwNa^}HX?{#_idH3N|J_q@~%HBsGk8Mxl;%u@;Vh^@F_#p!sKttC?l7VjCD@hU!v^q zO$pM;To7s(brQ^~5q@|D+74lD^8|;Gsa9$g1AhTEwb8+5j}mSX-*Xh}_)rN9BG4uR zk?=G67chz5J*770TM-lo!cr;)vem^>w;%3?%r!j)Y~ zbLPW(R;pq6Q7h+FIaHB`zKc`s(=(k{#{GRO?kNsO>@wu_GiF%pg{Sl zb42_%#l;|#vI@r27Y6`3Y&x`8wMt~ZvnfmoAmj(xiD5~hI>8PeO>ms@;#>g@T(`CR zfKK`Z-6+*`g`-Ne%>@*|e&9Osqn)l>wGayV5+Aji`Q^szoF z)S6Zl*Hbu!y@NQ8SR8x}V|lmp8mEg-jqC@R$~$hMj?%NBl(>j>2hYEz~## zwOdiO4yMbbJt^CB($?>GXrY8}52~|`c~8n4S_NUw9P#EDNjFwB?Zm4b)Gq{4fl3vQ zcX{^lyP?Mi*yX*KtEa7{#P7zzFHhe#Y|zR$c`FyiwM%JKQ<+InfeoCXL6h=o<~iTt zHluq_)T{u5|?^4l2oOtROTh_jEqOQP5=Ax1pUZXIl&K~L_7{p~MTc9{qv)V~2Y zyl6YOimnVgk}gILs!pEr=g)Q3_X;2NpdQ?@?=|6o=FSd;B7aAWh@iA>@PgHg zK1N(~WgO4f-g_x}hmumi!}Vtz1(iE#P=TONe#-;`q~>LUwzUZ%vGakj9~VS^P(j!? z9^+3*EQ+ye%GWLsSn1qfm_@#}4;;3Ad~e{mJOnzTu{sEam2+LYcjIn|lBQm>$tP=G zOqpw%_(;*@kJIl$UAx&5wZ3S)%O%GJ8FS@8Lgh9!L!1 z$d8;q^u^e+ZQh*5?GB^mm$K3C6TODD;+LEOl~Y^w z0cdw4A08nHba{S%#he8A-K|?NJ9k8d93aI+#9X! zaX&D_`Z?d6HTb%^5h%e=)i#Pw>;1Z3e%a~%+`{Q;~DTYweO7{l~Nd&K_Ffa z#(SLo)b5DATaa62x;IX()j@$##eB^)f>F~B!C8;Xt6h?yUmPp^r2ouI%P##~gNQ%PU3|xW8UCi`qc0~+X(_-uLiTcFl!uOP* zyC$iLp3XI<0NFU@Nl=R#r$JxmV1(8#nOi;l=NFC?Sgt8PXYRf=GWgx!hX(SZ5hKcRzZFHo(k2bpw?PG%Xok=2(QC`(v)U&{;7S0uui zJwq(A#TUc~ejikkSg6>jGrws_3 zq-rP1>b~Rn1Qe#9;fJSt7UIJDZ}d*d&U%^#e61VThvQF3_cUT{k_zyVDTmWm3wvvI z>`TDT#-+|=E8Mi5h|A_&n|?pPq=?ERl?4xjk}#dhaSWB#w43N{jn1=}x4&+3eL zqq$3|jM(ujenag35`X;kz5zNgc4kS(Cz{H_M#!={0n~K7*^((W1~TdPP&*P9TXxlP zwk`7qD>Q-!ua+&V=d{nMP~`|E^qBbnA*vQ@|mtS?KoSIF|@3B?xvOr5M`av)Dpbi&$wMw&?{c*UDr!H4zQ_DCv z)+b#W3O6j|G!g(?x@+%_qV{V)-Y-|J^6sEAI^+>5EzNb(U$wF!6eONFGewPEH{U8i z9x4VN&}rI_O;qev1^M&V0gwh4q|S64b;a3Kn!)r&u@QBrysU#(t2%u>Ou8dfpz%vL z`ss9gk7lK!E&Ds<&Bel%M5#*VPRVY}KSQcWL71_fx&GgFoOMH_iNACqQmTceCcD)r_R_D4O@&4yj39u_|&By(m1|ovG$6pv>?Ybg=!X|S>DW4 zgdT(tx;$kMc&)J~quqH_Gas$*a350NGnre3J|rp69Ao`O{Y{7G(%LL^Mjv3#cv=Hh zCZlJx(|+00qi!>a_EfKeDo0a&+Hf{gN>DSArirGuWSnwzeZke*DCLe=KEr%>-P|i$ zojz4qigj~rl+*N}l(pe=2`Rl?);?;#NxauIw3+Ik(23vNA#95+gYtTO*yYVYgR3be!%+W7~qR*R;HREUNc%Zf<^6cUd8a z&7K-urAISx*V{M8Z4uF~bsfg*QgSbkQ!^($SMy@iJ70w`Fp|IDic=)rt^PuDC0?t3 z#)jQ&xCHrWB=CuPT0seqyqn_(v&aO~XLzg(%C|vfYft z*#b5uOL=s_LnWD}n7tU$Y*AKx2{Qjx6cR=g#KSk~`oSTs?QD}>;fpYKnEqh*X2MMV z%RsXAX(y}ztKOJG1f;h7(2r{VJ1j-l=#0lG1cug^o@af6d9)WpjOh|#(d;)}BPTZc zIxjW@W$dXXmjQY_RgS=Lz^$#e^r>Sxw3gD*Yoa_l>!2z773`y4boYlvoIh4kuM@hr zn2O__*%ue5Vvc)=jmC(r@GFZcN=O2V^zAOekl|WXnBuKBqR6#HnIAGa#?ksCw}6F` ztNf4gd^A@*<9P(FA6!F%3>9^Y+IQ7@0J5{5&l+B+bej?)oIqnpKSQ`J(NB%%6n|$LX81=&4e>$n{ zc#hL$`-mbXi(Wn|W z{z?cP6vMQx=pfvlS-`_tPdS0YL33F>er#=i6GR8?3-`pJU&OYjJMFju&?A*xML~V6 z$=ARLR~~~qQgfT1+#%2_?$&7;hTxOhL)P!Ot?XcR#7Hchl*Vyq(DPK&<86yg{4&A1hqemIoI7d*zu;`6dNY{;8aw6BNeXZ-(oi~i{0uXgDpTuN zTtbXN3GRVdJ1Ww)>CB5jn&|_Q&rHTxC&PbV>O;*$aaQ2(v?XZ^WY z8abPps<=8^*<1Ygd_UwT=VB`1zO{|?jlkf&Xeg?Y%z~6;n^_DDTDi_PfT08!o)=f5 zL=7yXQZ+gUS-e`d?S7u%8K$LeK`lt(fWHRc6DTy;cbVzVU@$OOFS5Xet{oFsJMzi! zdhpNoxt^~5e&71)^2)AWxpKaHiZST=-WOxhkxg5@+JC;lNW*Xd|2Y$D+?GXOO@4D` z`gkAySbrZj2zVg)8PvFVD(!c`xTrPwYsZdY;Q#&R?ak4d_s4*Nz#PWcxlwmZf&KO5 z{Q2Q&(3-tne`ne}>*MXD_j5m{_w&<#fnJ|=@yNaY?ca7^Ck9=XEiuono9jVeM-08M zF&I0(&Gx--)(_K9mqsox%O_b5J@458bprI{FO8oLRqN9`t*dVawH6m=m40i6;cpVj zPu?y13N^>WiZ}PQGn-Y*rcd8DtyRXqZxa~~Y7A!57Ny?uZx7x(BNS{J;qv@U{r6}V zj|M-~e0*BhpX?E;j!b;`bgn*qnZKqFTRuO{!|YzSoS(8bI$Q}>C|3RSv-DriB*@z` zbW?)Uw?R&-weO-ZnKwvb-i?3=1K9}aae@v}Rn|5T_ zXNyDtx>BIhO0Rd`ey~^|Cyfgd;^1uslvahK-s3d+@-vZM5uMz7cbomjfqGaS-$H zIrtS3;nm7I{kh}+Bd{^--MAtD)ORs%TrJ=XcNeN>LXeA(`oJ5I74U(}ZQiaY$F$r@ z_oUz6d*T2wT9zhosm)TeVA^a=kjFo@Qrl$tvKi~{zGdk4`u4OK5iwr*+Y8pu(fgj9 z;2qYcN0-*z<csnQ7@jP$$q7A zxFbw>xNhodYF%%>14+OL+1ifE|aPRvvddCm`^>eV>~nTZm_CX0t3$okdpl zgE4t-y7ake`Vw!)vc(dAbCVAA-OVL5p!V(=*LjQAZ`XuO|CPnvePH_gDz%npy~m~$ zMb7K)anF5wdthTa^C&e2AQh0^>@o!tkZE!VPSa$i{`zG*lM970de}sClnTAnR^f_r#O&XVBLt%gKZt}Cjbxg2w;{@#AapEi!ejtxp==yrKYxwiI z&-$|qkm>0fCcW7(e(4>I7pD+_RiM8&h(*^mwX3oTBivWQHk^u4nFgAjQD6Ws+W(tf zor-hGR1!>5Dy)_@`I7b_QN$5)cU!EwvExwC=v{eZQWPss5B{-(Ff%d?f2m+3y;2%N zNRY5_Vb?hyr8BD@Pp9xW3XdScAEJ$io2{Fj_R(oappy%*8Y=ra+CZ#9#-&F&!YPjx z)1f!vaIF6Y@i2}q54U6U^=QF_2+CbJdR7$8fRI~gZB=K?W@%5{RD0(Ox=|^qQ!R$cftHm>S7tf zs?Jyw>FyZ_Z7=E%@#$U!)So#T{NOMFQp`*)*uYIhoX@jC-(a^w>f@0C>>9_ZCk0sI zScTRbH#!|j8rW21Jz z;`MYoLy8)W4c613b!dS@>vUvG{4`bvR#V0SXUS9{)0R5w>q69(14|el%d)&@aEJCG ztu*2YMO5%jFrZA+pWXbq{l`k#h`D{aG6eynr+_cPvblkgP!q6t1q#(8>zG_+nB0Y~!AchlQu~|@gO0@Y- z^QXtfYF(H=7!o>mr?CCqp6?XtaF_I`a2&7r^~JF=8bx|@Mtx=LXC=PkdEoa;J`in$ zs4Sn*C#aj=EbI3;E?p1NHrkh^4AYx?t(sXA&vW{jPBG3QE)*7^D(y0=dRs)#cM=rC z+b>6w_I;@P+Sh>yPEI`mikDl%&@r6t%(ePD#)XP#gVAg}kid`%XefBRhF|s;w`(v2 zfeudYZ+1oqZyuQs8z`ei{jUvmbS5m0{Q?{8kkFCM^?;!K_$$O=I_~)^QE|oZNJLt08Ym7vMVMnh`cFf`@f_2>DSf zbB8x=sxY7;-@Q=~POV)A+x%auF_35Mx%&8BU+%rIOn2*hM{hzw>bL{xLU(V_+l2hg zJfcXHuCz@R-TFu+hMsMo2aEfCc(d%kIi_xm_=OTcmpvC}kY+@1eOWhTeL}Lh%zN}} z0`W6vWsQ!0R&yaVtUUb{K`BTs@1kq^FY(;Uh$V+{jLfiLYust`;@`Gz+l|m9r9=q} z@L|Re?iR=AqF4MNum$_)8s)=p%V)zOia3gH7+~Oh0^3+dS`*Otm#44Zfkv@wezj}C zdgpolz571h_hqHeWs2J)oLWYP=U9oNhX-5apfvcpvxR{TBwlO`(1iN#J3xs-{)vJr z-jUm9?f%fKBW$SF8U8u$v_dJHt50XGW7-s`=xxW1Hytobj|DSd(nP_f^(O1&>qJ)HeTTlLz_nc5p?OWgd?pEj3*SML z)TuM$Cv>tZz)GoA-k!N?1}}0Z)ikzCt03{*%{p?8`Wn@!h=klm)Po9w6)k?RIoRue ztLr#CxXVJWhBPXo0vGq$iv-TlQjtU5HZEhaY`RMgO&2gwAY^Y%MgzIdmlhTrATeQQ z!01|rEr{##5=q}(IuIOeF)FOfSbaP`osu(3w0vR@OSpRRU+7NQv*}A4usM2I6AJ3di&M4|z$rb9eQ%qiP*(+ingKZgU zB7BM)^crZz+#~LzYXV@1NA4n&nTaZ5h4d5{uRyM>VCb0O-w>d!T}n8PfOeIp?|FLX^wHr1IFRk&oYcDJ{vy_-XDdK-> zH12RvB{oh@3>LbaOrDi`i;);)d^h>ZFRLNWnq#L@KKumVJ;qjUzx|yF0a3FIs#Oi| zAba<9wCv3l@D3FuYnLY9iFnJVpc(roqzq9dH3rI=x^&G$izc@1XRthw z^AIrCoTX<6gEMM?7r)yA3&W~P(4T{cdxPp?l4<0HnObWtK;gmynr8AcHsDNJ>LW9j2oK zW)NU|jpky!1Y@vtK}-T-Nw?UPVMdVJ0t9VWA*AS3C~oR4x&^o`CWATKp8m|Q0;`IV z)ExLIS|YF7dz{CgqaVOgGugdb{(w?lDFJ;K`-J08z~@M;C$fp*-mlfPgtZY&2*@YH z2|t?z>hoB+<-K{{Kh`>S7f3t}If@2DXVBjeKz=Z_HHpe01Jv$GZQRUm}#?s$u(O!ylb~b^f}TvwR|tQ=I9IO ze>Dk8-#$eD$ls*W%@2M4E`w_G!8HQ!)LmA!LA_7k2bHwhw{?WB#%i{G*Bvp-=@72q z;^nJ}0RLzEMA9bu3V5w0`J4jbVbB}1!qkbQuE%YO;6zb8DhzecX zI08=f4IPYf(N&7^Gc>y--cxMCd-+-%-|c16cFVidX4JT+;#HrXpxgFy*LzERvMR<# zE1o<8je39zI@Jv-&rX{FDDY{Ec4^lro(F5c!-${m;D~dffolp4Nbc&8ly@rKt7Y z={ip?sKPT1%9@T5M#}P#XBu!EuK}f;T|+RLsWkw$l?`f)RbkFYPZ>QTCCV#Np&b2q z^5rkf?32^VPH-o$=C`z=( z&X>Ft)wEYg+Fh`>o>%e^5CZ4X!+82=-f<G z+?%3y5Fb7%6^RAqbs3GVE(y4d{rF$qB+C7QEU)H{)0IOAaGKqZ|!7gD4SVsF(o!m}LN*h~b_!5Q&p*)UO4M!7wDwqlA z0tgBUeZPjtAe|j}yaRL#&k2D!nQ|ONnaXUG)MFd6& zLHO8mT%ccGE{3sZlWroi%^uAh>yR(ALi8JK7rS8i6y}+OCXcyN3nZMy?pqR3d;0!i zbs1$+;o5`_lS^dd`plIp@N++p@ePt&`DLMrt@o)k$h^!F$RAJE+ zf;Kx4kKQ$&9{4eXkPVBXc6OL?Fz}C=q?b!%s84@ppM3n#m28Sh2Hk_e3!4d#5=ST? z^bI{*3eOe~smWY&GBjdWp0fS#f1<3WIdU#SoR#_0PfjlPj2|7WU|* z!!V>LVgzs1$+Dm7Ai`x$-U4`aQDbDfq`>(AAq|wxrExkg`?Kf8sOma`8;r$Hw5H-@ zuj5wCK|^!yP#4AjrKmO3dQ71;3%4 zhH;$g2+^YM{PdJ>9iec+vui^~F%u}UsBai&Pb|=~xt7(x=|09}>7-E& zjmNuaLf-Rf1gui|n|+%PJ880Kp`bf4dX76m%C%YG68of$5$B6AIAiy6+}mUNhX<{B zUv+G#nr zjW>hoP_)7W^y3n%#v&r;b&~pCnNS3qJxDCogPlvq_ju=~JU*!z((Zx{??pab2{n+} zjA3?!0C?H!N=nibO<>BCb0N~(*PL(@THt6Trvtj~G)nhP4hm`DjOBU!cI1G^WDyG? z`7%5cO+qI&HZ?*N{&c;F!(Wq^&Y0g!r@T-vw)Xw-NoXkIu56 z&A-~;&gRcNLVD@A2qBWWqW!mM#Q!whXX2Hw@FG1)eJY$U6p30W9<@V%N zBBQXGD5AroqVZSF9__9|NQe}?4kq95l(#LuNgN<+D}SR<@O;6kVIRzuhRf~JJ(ce`v7F~nGWqy4J-%_A9? zZYdMPPDbonAdAK6k{bCh#a<~9aoG!b6$1oVoMY2xQy#2?v&-d#(fmwa`}B=yZ&>z> z+@92lW|Pzt-F*=r>2HNGJiRoiZ(6Yh1~9LHQ#JxsID_sa+tm-n94Rww#aejAA0Mf+ zwXQ);`Sx%$V z4Ke$%fwECV>J>dd_ef?a5b=K~dAWbP$LAae#Ae<{T)p$?l)%OzJdaMB9BCvD(SR)< zQM=xHJf)sOvvh&QOl3^~W4XiFikJhO$eTu;q2mmrj`4IJ(9sKTKR(`GM40w4VTO?1 zst%wIi9Ywu-DjJ|^56C`@_zPVSX2Ia{f9D1)rOapO)hXgTY-^{Pm^C<*lHy@e5nxU!FV11D6{}EB~XM3h_*k0g=(HdDlk8r#$K-n z+ASJ$1EQrm@ydbcws*A^6CJwA+B8VnuHiy2gqR<3il)NGtT~dn$xYO(V96HQhR}-G zD-K`Grqj^X=^|=DrNm8)Q3isk7q}x?X@eP7vKgcZN z83{uYbfHrLy#|FE8QLgRlA49J!WVKGs{E2!M#D}CG_;`@h{j~|o%yk)TzJQ3N%1QO zgq~(OA|(ex?;`kMErhRu=BA?6j4-2zB6i#$_Krhq<0F*m@VQvroS$dHFiv{;BxtUP?8`!@!iS5ug|)o;OyaT^BZyRRy4FWcWQ-W!<%SfF53xI=9S4_6zS^W9f|@<`7o1C>s+aW`N1 zYs{ZtGM)yMCxt3|jscgaX7m~oqDAG3p$S0YBGC7!PXPb0cT$e*PuH8>F?73B^$g*V zI*6>$OkXKL9cdpR(g5%gI|lR!{qAjd$DYnv`7kyW3VFLsb*%p8|HWJ(Wd=jziW_7u zl*W5jRt~~^g}9NNfmo&gT#~Bm%lw?COjPL1HZH|@74!medGZeJZ7rV?Q6yHE8o`CU zoJFOEt5J@3i((2G50#p`l$7tMvi3o=q}O6qOE5dlPUD*{EGA(GIZ<$%yqAfpBbqpneJ!Rtpd{J*P2bZlAO|pRP z;1|=!GtgzBcdIk;Jwx%DG`zL#lY}rYafOhA z)T^h#jF^L=ZrWCPl3HdMaEL(DN!udv>$ynmF5S5@WkgHMxiHzTUm=McFiRL?lpMXm z`%h$aATWaTL&kIV8RggDK)5?=bf#W-QqOKpUmXc0NE32_$w^f$JB)?b7_>AzSAui9^DB=-?|L89S1#>B*a4B(23E zO=!ohN5ZBDf41JpcG|Trp*n>MQlFuF71j;gLbddLgO;Re2PKaJF#UeqB(HH869-y;E zjCf8b0$t%tz8?xv^{Atw^s@6irrSTp3VB*j<;gl-PUG}9S|je=S;(iBfiy;An#QcP z%R<2{oaQT5_RhgrM)Epau948<_53^6M{!j6b_(-wGo#{|9FMK_oiF%~R)L~_TZi6m zG9$il z_;x75w0!hI8sU4r7q%?-A$qWY)-C51P;!r02tijrO_h;3SN2!3F^uxB?^*2432>{6Qha4UUW^*MTVgbp`yV!+H-mP1SjiC5e|X{xiTOY-S%Ph z-LdTkC-dc?a7)uZDBd+}5!dPq51Yaa`9Xrs2&}NDB{FsmwaG}V>wikxot;kz02jK;|j7JZgqQEV}aH_3AQ8P%OTpKTOjDhN4YheTFP!4bIdg;VHhH^ zaFXid5Kcy*EfOS=B!H4*e!({iFG9P729;{m%o(P#YccdBR<3}UoZt{KC6}^5gE297Nas_S-k$`1 zK)a!s3k~-dWJ3)W5OuSJ;p}Zr1wm&M@5Xh!%>}vgi}t!yYurO>)K*f(+F<^*x*17a z+_;SNqr!2uBQyhZls$*GESI>swM^pd;2m?nc{RCm8nqO)^4*6)9W_(dkBEdEt#nca z`8Ll0{S}3mmjWLa0x5gTo?b^jUAo`|zMrpX0*w@D2T}7&4aVmQLFd-UphG8<)!7^s z^>jB(*L#A+U0$k)*}Kk4_@$`Ly{GAt`u6$p)yKS==59%c)gk0La`ub0scfxRVKm(b zKC|N}Qfh=*BSa1P_H_@QdrUsdqwMO*c6h$2d{(P>+do}U4i>z|pn*>>-3V|P#(%*c zmS4{VbYp;?IZg3-u^m@PcM#1fy~@*EYU*BVGIA7tKJTfOX1rl}{QzMR@fZ3cEXkn+lMldVur>biXfd&^wJeIx5Z-g#UnRw46%X zYcVPT30BRvTg2F|xbyJC$Q&~z%I(SVVRKmt8xyaqJj#R(4O&XlsNzkQxZ8EHAZeUF zGl&yIF7Nj^_tu7BDm0{mnrj7QlEaa+kN~8`DCJ9cw|YhC`%J&C_fex)z35L$TofHU z%It@lT>Z<&!2MoOfZ@cdq}2H}L_VSy*s>d#df6?i?0^Y}YPpsc@m4btkbxuwE$giK zhM#&c)Dn`4;Zwvl%_%;u6bUh;l!h8d;S%P^oS!1NG$z6O1&wu6as$Q=A7M6tO|5rV z_9mgp`|I6JOK?|>^_tW5$WJ;{p*6DZceT1Zje#T{uEf>=pkBdkjACj@>bK=ED-Qi~ zM`d5|^bnQUq=Iakg4tv7!hrp4F#$~oSNmIs)c(QWxG7bStiJ^{+jp#UFI*3qyQE(w z(d;d9vb+xok30;$mu{BoD{6jg!D&`UWalv3!k(fq2qZ+IqM1cinr z&0P~s} zT*de^*9Tq8(( zw+zmxhxt#fAXY6#*j4gJvLeA@vBs`(Uo|zn#kIP5pfTIhvu^Q`k?vPH^W87Rr#zVd zsP1LwF@VJeAxEr3`gSVUTK&$59D9t4gIn`%?aQ{XRLr4K+u1x=G|=#tBWeVOs(4;1 ze#Oe6AH;kqq{czRS4z z#RbYO9Ixzt(#q?osGL*1iIOBpDl=2J-5@id$MpTX^)j>hbi2ifzV}Nr(+Ykfu7pm=ZZ1~A|43uC7fhbtJhfG`4(6{HsD&ok3it)K%_ce5g; zoTwo*BqN}7MmZ-*uYXb!SXxtDP}67QoSAumM+M589wc7gK6CIM)DuNJbga(E>b8}r z&xH{Kkpmn}I7|r=Gq#p-`Vg8HV4r4n=dgiCb25B{!9chkccL#YluEWXk|%k;Na4mpu&=hqjYL^WeHpjclKh$=X7)fdvZ>|QI`O@Hj8 znj5ZqX(e>R0T*XHc}AGT^iUT2JlRj)X_h3>?*n->hNeO0@K--Eu+uX5`n-p905w=e z_=c?+lG71}a-XY-E0^X{HC|vtfa?%A8ByQ+INXpkBOGE{0LZZD6(6+jbkrL6(eW%k9xYLfJGFh!If3oybAu^Y%HSW-t(?->rf#X zUWe2&eJh#iNGXD%{L%Ix2L?p-viA`8V?%lbatkxdcch0`AC7%~gx)P3Y|y?}-jh3ECvGo9y0h45q;SoiE3xo?zjO*UOgx{^v&(mD7?6QUg%FsxVOJov%Xr6k0Y{430~j~0jUqI1Vb zcNN*Gt36e}Vqqzt;>Voz8|;gleYNm~5{7@uNBIhd99p+v0HqWFo=(W|kEy)GWKEea zT0^0c?GV*66`HT8PwKYg%00#`?h36Cj&4n4#f(wZ{Y1S+y?Sx0eR#vOq}y&gHZv~ zccLL`q7c5fgvO1SSOb}!q;g&cTa-zk9<3ROo35e&YiUdPOoljgfcw18iDANZkIp?- z7Op90MqD{iwXr6#xH@SxA`Afg%@vaA;d_S8bK=2JsL2LY@784 z`Z~7sX0*U1hHA0(F3J-EoY{61>cacezUyNNTw)>>27Ni&x~nf#V@2;pm{mIAmqqJ~ z#5Q7@!#eehoq!C_v7p)9&+L59))9^gIL|0BhIt_We2Vp&Bf`u(eB6J$ zh>i4b0V?+)o_a>F4+E;I$=s>L=si9^9D7!?{HR@pEHR}IZ`d6E`CEO$`a57#U4YI+ znpjOi#Fj#3O?k=tL?Zv;w6BD?1i%=tDxSTAyk_A)DCm4JbYe|n0hDEmdWBF6(9DTv z23yt%$kgq8_`CJ-z?)5k>a{WQQ0UsO9!cBNwXhlfAgjoj=j|K;L76VbuyaON2Uq&y z@?}~eo)B31bF9)*c7%)hEh>*3xl03N7SVkP`=odm%BXFOdnDtw6xAW`ronEvRw|Jw zNu~M}cW~(;E{tB^fADvuZN0WY<+|Nmp!29cG;F#hkqFw`7qN~zBt*7fi%js5!epp; z#Qv+bhtu3BPNyYQb{+XDr{TU;0EX}?Px^XRaiC55UeDy2?H2Hsr^H(HUWXWg-&f>w z9LLPwE!wt3S)Y_CNOntOZb$ifwS;^b_~%O67bk1nIS9F7Qe5e;u~dc``J9>f1%#SD6goQ;OykhxI>M0@x&AMmODlO6q6LAS!ja~W zwZq&lYOVkujt!!l-fav%>(PL39+P7pR2{MRxJi<9BlDkWSf#mRE{E_;WXEv4tdZ-B zwBBmsTY03~?~-s@Xy0YE9IH-nC_3l$idadsZ1GK|$VvF?B)QZ`jobOBGEt?)A~NHO z##P!xbaFyjuQfdq^G`c#bUqZLCi}cQ5%n^GB_td2?QEfYzQS;*unUiEhb4QM3&x;G zP@(PK7V=(2;%lznowZPtZiG78oAB^K)5rcgMIE$VF|R1-o16D6-jrZPvSp!A(0)*x z!f6j7j}BaX4Opro@js+wjcM$N*_vc=h{NqTnnb9<*o#Yw;kGRYf~jeOs=JCi~=_$2M5nw-X9?y5`gZs)SS9J{4 z*K0s-Smy_8)Z7#-g*JwW_oxd#%F-k&OlPnRY%fdHeIA=8)blxj5}g9H9+z@bO54y1 zvd`xgtRbbyU-FITUuf3@`23Zyqzr}sfZ!wjIX*&IeId2ZPxI{e)ttJ5x2CmCT(N_r zX2>|zYlpAXw;s6E{5w0RnPncIT=uD%#|nhNBOEu+X;Uo=cz%xg>Wr^bfk{H39Zds` zBt04*yRd#1I78Os3OKS*ofz?BnVvf_iEaB|Ej`Sebnu~s zYt6`m38r490a35J4j#jxk~|&)L?XIU{(J63I}hhRNNXXtIz4SllynY8q$#Fl(LG;Y zB35$C(>4`sqmITHCYQWPgDyy*6vU;)PzAr!rI>CPIIJ}dHbJ+ZRRtAR&xyPGTh({B z;>?*3i~P||0|QOUL(@taT~z4Yvqt3}^WZCy?v)utJJ7a3y2NLupr&#DM8Gp_&0Pr? zO4pWu9tD!rH*-OpW8c`h=&1dZK1ca3iQXx#8Kvqx6L`QqUYY7xK=Q1YMO`|>l9HN@ zsod#Ms#%|BuU_k5od998S^Dz&BkCJam^WCcWuXY^E;gikqU}Ni^hu7y#P+++^yV5%dj0~~ITzQ>VP?1_ku#=dYr7-d4I8C;{%wbm zI1b@3Ypmg+&y{gH;9uoq_LC(I)eQr{FHzJW9y}Yn2vg?f?yuuMpPG~)76}qZmv1}` zyI^h&OLAE)Qq7%@T}}QlI2!kp0E24-UZ}#6IrjjhhTg>prH zz4}#v(s>gFTS_r_Wd@4bZ@;m%;g0npu}YXw6%{b&avCD!-zy!8uJYw8wh21s+peCS zJx!iJOO;J7V;hx}-d6e^=X5Tm{5brSzltnCyT7Tpmt49kR+N{?rKJnssr#s6w{{7KNP(W4f@JOL3C` z2Vl)qMK}M@YWyG@h4=0$YYizLv5fw?-iu*`S%AWIDAtK)vIHCU$l6Ki6Oz1=g4D_B zH&D}hA=!Jz;#q|aOG1UqNd1Fm&IrZ8C&ejdN`tY;-syo11hwC*PYG-et466ln%VGz(kK9Pe^LJ<6mxx?H_+dlx(^-F`BKzybnibg9 zXt1CCw-2^p@Bs1n`;mal;2i0eia<`rsye-l7`;SPkA-B#PM@a!gcrs{f%~EBu9F2% z=afnP_Fd4xs&KY3N|C_T>E%rDZ?{I|av)>|CdH?6;`3hEhuAc*bL?CZRSxBBsk@cY z#Inoki@@6;*jN@Yu~B9{5vS>}0lyVKVIPjBV!r}g8mgREKG>c=AlJK>c+Ed9*5YWZ6}JRSD-e1vsF z81p-ZoUmO4kNOq06ko!+Zea;OaAo9Tpt1=CJi!q;13$&mr{3PiI1tSCA2~{El>bf7?;uBhB{{$d(6wZf**S&Dw$J!v@fAIGXFgh+3S%~PYb`IFY?jF9ppLcM+1ICh)jldUbKx&7{uySZ$$hBl`n#Tl|XbY z**70spn;SXX7`NO-+<3(;t=WlM#>~YBP3Z@7MWP|5LTKYKJy_+QKu6B!dtb7XgsSN9GjFoCNAHwP=>48 z68xwepwd;&LZ(8}2(!24HN^FY&k-sA(%|~Ii8O&)8;~`#Vonsg%h&dtnC+F%kv_K5 zD7At5fKVckbXa~1v>s?Ok}PLpE5c%bz**hLs+N=vm^NJA)}1A(TB*|Kw|{?-l#JZ{ z&BF+FDy`IC2YR1cq0;jsZ9{`-@Du?PHM(B_(NJKa+RI%~y{;UF|m*b<& zzQ;)_k=_GJS!@XY1LS-34N!5^^R@5NgSe#Wk@7<`W92g$_ zgNH^vc4&I2hNk@|_{!^UC3I9=(ih))bvU3!gg(ATho;njNG%gPz{Fx$(>g=d%=6un zFkcY;I6}VW-W-H>V4hw{@3U1$nC~f9p&A`%I2l{3KV2ii{we@bsmbbZjwqIzcc&7S z`vMTgKm7);bREmqi$%}TR7T;wVU$(7zNwmMoD??Ed(T1ozyqV-Vx#86J{C`S=d}E^ zWLsHE`|ayRB7H(M3UrTj-hn0)*LzjxcyVs5deV5sca0NpBN=@()>)1z%8dftF$qPP zSJGUZ)g$O;l#!=qo>-iNB;g3f18^+Vv}Lis_ZO+82Wsap;(0WmFiRo-Lgr|Qg8cW++ zZGX(~7Rtd8ZDZLe8d}&&7hFPYeg;}*HG0CTF!(vHhVvIM&O6(9-!PukDU|PaDvO9^ zQ;K-t4H@miL9w)uX;Q1*jjor8KS7}|g5MYrQwyO>Bzsb80Zj9S*i(CTQlop3JO|^W ztZio}yNNfxf437Vq3~m~5oL>%RD>?%Tc88~h}x*_7Yed5E+su2I=r}mIS(kxL^fm8 zbrhFJ%))n{w_DHMRC$1(hFl1%{&Yx(4OyuK+t>r(5VI7V(GZm>VM+^a1WbBYHB|yk zB-tl4FWY_2;}YOxGM=dR`J+p>j|gMqAV}q1>vxV(L;IYyO>6oeKIj4|>!J(=$ z!rhHZ&1=RFR|@VIxWl?)0A4h;e5H!M^b$QZXP$sPfFv>vQ4L?)lXLr$#cN#>R^;t6 zW8BTpGT%2Qx>T_DDDa%W&Te+FB!q*w<6>=iz})Wbi^ffKyzRMYR>K8s3C=)Ug9O-1 zUrQvGBcm1giO8fruU9f%7kc0BwJK;*z}A?B8V-QMVy`!a9hIdcs&Q6(5*3PW_{YGE*0fqr}Pu8m33A3^E2d$kY$f=IQz4@Eum z0z>yq?rfyc%|9%}^_lR(@L;rjO~nPBxd^7nJx)N|QzCftkeVM|+srUU-}W?IMqmI& zhC61imw6Wl91pg`KI*5PPe&n3!y$r$Tly9m1hv;xx+frRol( zZhZd&AN(C&yb=AW!_(aG$zL*G@TW1D?c_}>#94Dv^03w;vjq1T2*a=^3=eGcac9Ar z^-Nrz-Gh9gVI7M?#=bzi1xSX0#)1VP`9A4vA8*?g0*H6{z35+G;w1XX=Y@*BF_pr< znI4JRSoE9I$EIS_uzIjhRA^f?XjES^jMrWJGYa9?YBL|*FP0%cVFannuDpe*^C6^9 z%pXygx~Kpx)oY|chN{@sA@LpVXDtUhg9{+4E8K#6-+}I>fHozuA>|yCw$wSdMLvt| zZf%Ma5_MQdAww|g5YkzfHW8HjfPU!oDWlVZ=%I^=3TOaxqvL%{R>uAP9j#)E3)c!M zGqx7 zZBUG4Ds&P)KYe20tB;qY7s+%b!K$4C79m%)NqG0ZhQT|qqc@PF7sYp`m{@1H1s%Xv zLT@(A!dk#!By8O}2lkUFh0CgF$x@w3Ed${`q z-wq^1&l3)_>_iBkV7!qL;1hIM;8z>PQ6)3%lUeNEM-L~Xh*o=hIyte`vOs$ccBE%k zD5LU5RVvc?O=QR=l-TN8yd?{$Qljl_jhn?T=AbnVe8vOGiDKskuNOY+JX`|QI|cjBfli(lmlQPH$fFEWEgm+$u7c+#YbA6zdFCQtgep<(811 z1W>A(jB_L^Oi`(|lTuQmqsvdzXKF0Ny}b)`B)tk~h+S$SZMYh9LNw!LiJPo!99(gtE^bsL37Lbv(A=0UD zUEMwUmA`nqVG)3D+86@gz)%&4)LOh(OKm_)^cOA|z^I@1l_P@#wr&@^Z6;L&E@NYv+E+$7es!vVYK6d_2uC?5*x{|K81AYUUl>;)w z5;CzN3ewi?2-{}Tjy+@)S!BbPP~RDjePk0PbMT%ik_np6$D8m}z1McXbfhjaX_Maa zn(<#WTCG-ZKlS(N21)oKBLiB?4VDybFjq44-%u2$;zPSFdul|U0>y*I1jU4}{%n+8 z!3qWE?~L;n8?|&{)@R#!{zIPF97n=ZVofXLjyt5%=I~iW^QxnJ#6l;TU+>^&pM&I& z$`s`_MLQYvdEOWC8K`6GyC$mt%UXB?&;h2+S;zB9Ixblm8*%87*KlIppSEx;suhQ( zAEBW44^f2Db(q}4v2$rYluFz^OlIknE{er^b_{!kVJ9S5F!$xoYNHNyVhOl%1rqrY zzADp_wzDHziJ;n1(~-fDoJU`z(dj(y<)B`PnuEm}2%!;XN&D}2`{e^sk4|I^)I9s| zINq1#TL&+<+Wjj3&_zgs_{m9#5wh_`=SNw-A-6V?>0f1S&I#gwA}GfA^pWT$ zQm-S!kDRI27_FGyA}hJ5G75J9qeyF}8X+y0To_YUtLCTCau2b5bS{y>v2Ba?WzR^i zAUmWq!C52^rm4?8wFg3(0~|w$AM)YIe&LA2Y-r~S-|V7yxQ*k(@t(+ATjLWoTa88f zS6V2xl4OL|3NgL*vH2X(TVQbG&afXv{0yjzrYqfa7=5nm?UC?u{Cjdxv_vid2u|l? z%BJvWXSczg9}Kj<_>(JoX~_A8QF$f_sen$P$3h-Qy%bxugrhMm&3J z8PGD7{G6VSE|2e{Mx1zCDd^Uf(#iuNhIn{S-*HCviSS)a23h+41h)_O?FIs(!c?@R za}q_?271j9e7m4!z?%=Vl6S&SQ%_QeKp~enn5BYx^KgU>-D>^vgM7kQKCB z-p@EH6XoLc`o3?+`Dv|liO$xU#QJy1P=;2_$=xWQwdTs^ty>OOAOA)X#`f))C#ks3 znld~@Qc-2t{Fx)Dn~D?I^sKNwUo=jvH}{MJZK>z#i)1$ARBWS8Vx}NfF4qN7+Gr7` zD=xq?q7+bCgw4jcBMzF|;?&`5ikq5ak3;<++q>UlTpNEgeft3&R_A=`V7F3i>!mLQ zPSNN03U)G^EA@o`G!$f!4~GNC=eX+3eSiG_z!}t#u)C3Ii?ki%9G^Q)Ymg!nFuD|b zP(rDa`;}a2KB#j&$uHq_Lvn!s=u?(!$X3Gu5|T9a=)(-!w? zO@(eC3q|YSK7&@-hU)KSNu&rTH1ih z`2D^`%J`6U=K;LGNen8LNhV%Ix0lE$Y&^r&$Ml(*LNu$u2B?p1pwL@I4}Xjpo&1GP!e9EmjFqm|&*3WN9 z3Dwi6nk(=y6bVV1b22o+`6@#_$ROn^$VB%Qo=o}IV=^M`a}B8WhqY*>JQ~u{C7_)Q zyiMRGJc4DKq=ZAiZHoeQ)re;R&6b-e!>+3Zl*WJHM}mljijhf;%O53CRN&1BDr&w z$QOt1e(6siRMx-~{G2%}d#YUF;2Ducr?6>WlQWm)5!@p7i^5ZgNFj|U-T*^60cuDJ zgFfH9GqPoanxkVM=@<*{Dw)FcM_RbhZN7?Vd(oD95cyqltm&c~;0)2VN)eZ;2$Ls| z>|lQH2$k!^lx7v{j{PM@qI}zuKH6Ze)$U;z?9Pa`XZS5r<+i4gf!W1iZyJ|WOL`_GYm6^ z7L$4*kbS(P2e>9gxeX8^khZO@?BLR925 z0_V$+M>|NwNsMd0WgraL4AIx>bS(fPCkfeScx6XP6s`R;@5SjfiE)Yo;sF9MrV?b~ zY*!;NM%k;-I82?rdPu^(=ut73ED-yI&WiWo2koj*Cq)vg}4iSH*Y;XN<> zEHk}6XsE84V$Np_WW*OFxG|60zCy7u$o8$>1R_r0t2P>Z+$pp$(6^bD+~!xIE8|6P zT0}Vn_@F&Szw;Hhnh8@M^=eQD<^q1Fz7B?Xv!yeDO+B}3@;G)@hC`xf88Jy9xK|6b z-@6;7hnWVfv2hYh2gZxm0VBQlCe+MoLi9~2!g%#Dkb{P~8LS zdkwNCg+d7R?;%@}_LoPFLE2y#R<^QekU56+D4>8u7)(p-oD#KOCXXaQh3s}C=uqM? z--g~KPW(Rp*)4fR==**qM-M=RiZ;Rm@vt%6VqICSIOy(qX?I=*N_Uf*EmHCeH9&h_ z9h#H>wsGTb{t*@+FdI=0UWj%LFn_HlIN8P}Mx8Gr+GW1M8U*!nDeuSc;GE-m1d0oqaA9$6Lwl&)W=1NFV=5#Mc zGXt&Iw{j(f;%KZD=)~=8yMNFr%YK;a7v_ore2IV!0I21hZ!}^G(cMq9$SF zxIXxdSRM}ijmp_$pHSpb6Lgv~%sSci*gzl@>>hd|kaegG-264t+F_VYB%Li;o%_HV z0GbL66)@9oh)PbsaoUVuL!!VZskb9ea^*;?wVPbFgW|`V0a&$8lwBGt$)t$fw zE<*|1r7y+J|gHXxK55p=cak zqHOJhEKtftK7bM(W}>PU%nDG}C#}`o1Plb+8RzWqHWqzy^E`nzc{&Pk1I?8;OEix08pZ`95#ot4noIPlA-f zSTH~)6#>XYU7mL(vK%2`!Fl!{O~37gFQQ_9jZ)Y~!0bW&GVc457dsuwwLJRldlvQd ztZbX5OFC@dpiX?R@D|8TQ|l>S5tzApJF}{{BbC=*Q_i7Xv_B-0&lrA1O&mal)9i!V z(z@&;upEIIP(e16TGsDO48bH2gF-5=8pJ|*U7dW?b^EfR$RK}#1lk~ZG+_><3e&GL zC)qogDF_er-*y%kUK*S|n!Y^ga;v7J1Q?k?-@w5o3WbS$WI)1&l@`sij78%s2VdPM zWXqv`|DBaBFuvT2}qH!|w0E^ut)N|ACaR`(hVdivcG{)6|5H;?Y}-l{g1{ct>@4}JylahTSl=qcorvE2Ui>UN7Bk?dW9}r05uAcx3>nyzh z9{zFSu8+^_?RozNjJ0-Q-WedN1B?7UvbD^7O4uAM4A_qz-a+h;IR1bgmuWjzQLycN zH*%p1hk9rrT)B@I6*#DK97aoXdH29T=fX$0n_$&ggwz9}tn`KzNbKqAc_0rgJgMbbR_{)4Lbo-Hw|5~`S+!9n4V;w9W1gT*tc(po8S?>>@TV!3}RBg_rC9Q z3ybF>bG)Bm~=h0389sp59hI&pKDy&d|9;IFG zR%Kg2iqHbV$f=p9vKv#-sw1o)rsV6=$G8V6- zomr-A4R}nZA!CiQ!Kn8UFJU*3Qzs>e2xx`IzS6BNJd@bWJGBqrYR2e#pbLB=?jGKd z-U|g8EJ`vk6qBQo+B6^m)lk%ldX|TX$9`4zkoR~{d7rBQAoBvySiwBJC_aiYjw)Q-yn!XsMQ`hxWfewJ0nGwk2-H-y z=`B2)S+-luQ?S2S>uGt4r7y<5vCl?Wuqthr2;GJN{qj2-g|+*^_HKPpEa9l@=fmeQ zST4lP0r#O>yJ{=OA6-hKT$7xHoN{KEEb!tfkX>5wppt;$A1pyGjSS)d&?}Vbg+PjX zgL6YmJlHwzvlSw}BtYm>5^ZmqDT5lVxiu>T7?;!$62Lv-7&hrpQr24KR~X?}PT?WY zf2c>j@HPXcA(Bh}e3g4g2L9jfd5u&n4Z7{nw^eg~J~iqwWeJ@5joDus>zqVj`UNmy zsi8|@Z8Q*b)Y73XIwK-=a(5O!t40Y70ZZ^XG^N_3!yN&k!P*x*t73HNY*INbk$A2X zNY*3$548DDq;|AU1WEERQhauBu8uHF7qDZKX@1I@QvrA_KTrVE0dBM+{?u8A2#9%l zt$X@kxD6HLOAu?wwSbqaiRrZ5isnPsuu6E*Ia(}c(1A}en6846BPNanu!Cy9!E2#} zv0?ES4{%4ogNEIqp5%9C3xF=bAT_tx+s&T_BB%)dy0>=zQH)#9Q|>YITHs_$8Ga$A zP77V->eqIu+L<&9`wOPZ6trwh0SIf`IN>%SDiW#l>3zQq?x`7UjIhiBqZ59@d1rxM zFpgkO^1^Jx21p3&d_%M!!CvtWT0W3fNRFlGOPc(EFj4Ek2LHlJ<&eb*6qe~Az47+O z6Y6q=#@^!wFd$1MAPKkx!t2Y|Cpd|)R_-Ru055?}(KIbs>Nx2{7g5~*aBIQh&E2wt zF2U41p_U&MXv5Q#hxt9b?h})efht8Xy`U7C?!)QDb&)6>UCNULF=HkYLK>^`My_8j zu`V09xx0tqc?NT`#hFluf;pZ&)N3rvP3$(^xIVSFQk0hBW2&!`D?cZmVT?=c3wdhd zD*5Ibnwb+IQ!Im4jh{SF1uSgRN%p_;hg4EmJYa?u9!yR8>eXUVN&Etq35uLWGEfR> z7omaxT3hE4{D2xdkwVL(-tWZD4$J}m#g;@Z2WkW7(0%reHp+fR=-k?)4<;$YL>ZCU z`3rz5vMb~=qz>2dM9K|uiu}L>V(aKYMaIteh225~YU+dnO)3Qt6u@JdiAz6=0c;@v zy;T{)Bq;qkQzUfjMFL{+FjQ(xZ52KtP$-d=TMIAp`IfK|b9Z(IIVXt`$SZ26QJGI_ z8YIYoW{jsGrUG?@7#fby&@3ADba&(zYnJs6Sf-Fpfptn0DEXqh++Kr`Ky@mrRtX<> zM61!!p|)Xlc5Ma&V_@Z7--8(&X6W1cXBG#!etAC)5!`Xc)E^<<)l3%s9`k^Faj;On z9v^*vANe2q0RGGI1TkD@M8s2Z*fa4ee>6?h+144lWj!ES#a%F6e_z#*+_tZBY0#Kb z^YTzjyf%=hGb9E6A~c)J4oQgIaP;e6u^H)e!Ip;E0DTOY>r2~jjhy=NZ7RmuTOy{z z5UR`}C??n?xZ%Lo*_{4|Esu9_qyhE9deClnQj)`1k|V9Oc-=&nbmvcJAHV2{4!^QkCSwfh{} z8l%!`sY`~7z$>w!$DHv67cWV$bENnmPYK{%z&s zj#EjfVM?LYP|!FtbadTjmU+A?el^ubvxI211E2W-J)2FtxV$ zcpyZgH-A7w&3QVzimse5aV$_t6r}tQgAAIni{;4LrL-~&>_%Pr5zwG0m8;qv zkhBAes$@7Z3%<#I2)IN!rz?9c?#Zq2j0(*Ai1EI4I21pWI7gJnY01H_W`1N8G2p<7 z5_PvE(*%|REElwLxA?;Y1He-AsQS2vx8LuMr$ad6wJ38MnH>qQd;Xjme;c=V$AHSwpP!P?FN1$=7H}b9^I-%08yu3dY}qUh4zI zoe6DK$E7Z0=dC4`VX?&bu~I5PW4IKC@n}{eRrd^P9P>S0t{UwCNb=p8{l=cR7ET&u zQa9>4Hu{6S!46-*=c7UFYY{W*`gp~1Pv`ri z56&_ZUV$C^B>lRrmfN?~W044O&^XL54ZZb8R)P+R)N2#KEpUaFv3+)AzcJz~!!S;W zg)9(HZ{7nkbXQ#tVb_v|i0=K&dbo#H%3kw4u%=y;>%+rL(Zs)%%F+0*kh+cIxi)5J z%3L?f#`V>t*P|(7W{%L-$Ir%c%tXvBf~>e*IgN7<)fbDw@ED0&AS_4XcN9+KJcMD$eAwHGFDVXWI|MwgMh&d!0oY%q_!Z) zpSs5#{{8U%3SH_}Dh5Nil%*zl)PR`o2g0_fv-l#vTWpqL`; z(gRrjoTsrv07D9}$oy+WrzI&d{P4o}f$BlT1ExY4cSm?Guo;xxt+5y@oKtxfh`@mK zwT{i9G&4$ZNs>t;qHhzf2D)K~M3K~QQcezp$uX;@oLm!wS+5xNL;++-(CpY0-jH-j zEOZ6jE^BQHw5KKMwYYuvDYt-@(du+hD67s`!eJxYC^0&$!M8LNSIdJgpcf9 z<&J2E?P6kCD9HI-|D7Rz2^-b_HZ#o7!{!uIq2 zuwt#yLqTrFR956ix5OqKWI{&fl2*v9Gvr4^uCL($CRbQifa3&Lc~5y1 zJdHYzA6%aXgbp5!6k?#D!PC#4D+vT6OiSU9@In&Nx}v&zuFhR5U|{;ELX0Cs zM}v`7BUVuD93&5PK(J!CnqwMcifuJwY3*ZlG zqUCtBcxV81J8 z^r3!zIfQDR>OGxHf+x3iL#1J8zOT4h_$}RzX11r4HZTy6w#Em|7^fcgGl0)c;)c^W zv+E!lI~t5ArpFM(<#y~z4ZKJD9OK5ylXVGfDZUG)@MG~X+TWtAQ(xJkfe2rWJ5XCB zlC{4`S{+*;9Bm4Q1?Nt(mLTZ&+CzEVO@b_mPsS%v(5fM_7X{kOz9R5Z55`BhZWws0dH5V^m|=)q+**1R|5JQN+~02&7&wRNJd^eP z@5Pit-J+I&kZPxaKhizTS4W6~dzewwcka{hhda?+$Z|~y9tv-(b&+LPAPJA%`fAv<*->c)%BlY>;Z{FW&AIe>JK*>kc5uZ0-8chPW-IdSlKeW%T#hic!MuW@1U(=%&WJDVG{ zVk~wIIJcbe5P&c-&P;yp<#x)ckr&0<-mb4QqY(gT5BGvsZ6)d201kxI$=w0Hq(+J# zCFAG_SzhBP!;uYKMzN>*um0%x{Y0tDLg1k+{~>%xGh_a*jm3}dVrGa+nf`%YQG~R5 zz(gVGGZ`~YikT@wN>`f)|pxV zO!Ja>9OIkShltL2{CocbK$$OxCm5F@l7>uM;VgUdZa4sz;rE+Z4NzV$qKd}8%Piu@ zl$H6#y)IkLj=)777p7pp%eZ0OR>w(Z>|{2As%D@c6lxU^f2!-!@`Kj1nj(?IgUO=* zTm}QsL#gaIXm<5fB2Slz_=`&!(PMkNu+EWcJvx!c;$A5{W47m(SctJRP%#tA zUVcHaZ;OZmfX&@yKr$UQ{7QQqlG=8QY~*EtrX|wuPNE19EUUB#5ng&Y7Z{<>c1%cT z+8H@EO9G?7CRIF#3$esDRd-KOB1PP2y~N(#U7!i8$dC8O2E0ciUMK2jxI6884CXG4 zW5MeC{t7vVNKI|P94j>_UKq5Ha%PDRHdfT8itbhL*R=*OzQ9#0x=i%Ra1Lcs68Xj7%m#DSMD*JriWBbeVY|&Ur6dxT z%(!2$pXBlos!~qSD>9(v@tj??AhdjB#(7+;C_z zx5aLLGa=i+??dGe>?y2VWWIho8Jgd6KUUK*+O5ljwwYb5+kG{!t&QJGdjt7>&@|Ki+@Y5d&hI5esGLhCb3Or`94I@bp6- zD54M5nG;Ag+7p|Mq(;`cYPP!cIwax*W5f-6S7Y@W{b&&{Ug0k*alHl>2iw8z+a=T|!Y44Wc>CILi{Cjak8JOA(d)$f*m|Ihak z|KCIZ-p^Ax{mHbu|L>dq-%I(=Rd_o+|KIyp`F*b@|B_T z!mIV)5j3CEf;)P~C!63c;*8t*mhi*Pw0r;Ge7^tB(cRwf!+igrS+6#p?{8$=U-7H< z`7<16KHu|c{o&h|_qk&ze<7Lwx<$SF!ZQEXF*u*%_}Qyx zym89slIG9p*0$vzlDFaT`_||zzQy++9x4_;trfg?S*SD(p+o=)`di%JC6SepBli5uiB3mv9ML2x3uuHTo9M<5= zzE7g;8N_DUenj2{2Z(2MHf;Xq;pg{_n%^qA_a9(D;81guWiz{2{i&%T2R_D4swz~h zK1>Pu2>pYme$q(s8|rswj}LhHk+B^Z+WKQrjPF4Nnzrt=7?M5XINwY9)Dtf|d5bpN zy`!LC&Kphb*{QQ6zQ0QxR(e=B@X}jHfQ1U1QfCbx%$L?~HSR0xLH$jrf5}d!cCtS6 zXj~MN%gs==%@fp{L2FV4`dNq?p?AT_6pntm{ei^@I5PT$#Zgu?VB7l-E8Mvtq!xo@ zz<~|~GJ6_p1oOXzRC{gE+9jo+>FEYqjVDRlW)REB+ebLVglp~ekL4a)41-@N+u@rJ zlIDKC8d~bprMo$*|D~kBFJ`;MUqr8Hv$L1v=sdWDL!+&^9hYAgb@)c54ccC8%jI;{dtQ1!mQ=Ffmi+Y@J7B>87SG4 z76EVccviPEk~7ICz^5fS^gBy`8*cd09Lj9^e&_#v=8u!O(c)sr@6VD2UuZ=LmQxIw z(_YWGk3(Q@i8N-z<-;*DFLul1qd+SFv#igEh$%weF>UTCo#Xh@2qZgsbSDpkok7w~ zJruWw!9u~xIJX5p0l$LdoImu6IJDle8aiNLfb?IU4Y+*ZQk8+cGnoO31)qpUG4{Zt zfr6`ngM@x;Ch38J|4mKf4jL3%nO&g-gHI^*$(DsgHl=Zp-sN=c;Co7-72sYHUj(#R z8SItTPI6kobo%ZUvAk~ny?PgP=v1mWDW&3C;t-K9n>*dpXI0oUf}1TiDiZ6H^*kXp z4&_RyhLLgXi%u&ruw)(u13cu^QXOtdFUg?p3bv2Hk6knk6JP~MlxCLzL9!{$bCLoN zEN-_;JPk8I?@EY*kzo=d0*%jzqF@E}?E9u(REbu8*S?r`ug=9&0lg6#C~1R2o5F$T zURvH8k~?0f=%TR6+LS1Jh7R|ToXN>BiC6)F%6Hf&Sy^bC4AhFw1$y%t63OLd0lhdp zKtdLUwka)RLd_dGrdWK+(bZmmVQ}zYPA$_0f~^S3q3)1Tkw_mj4c-s0=Mx3AB4EJD zF$orcaiel?6)QdC69R#o(oLaOT-c5g`LXk^x`AAH9+BpPQuE#}I8ZBkNdP?;2uBF~ z%;!ua|7~JjC49mJv(ExRJpqMrU0~lGRLs6&)l)JjsuJHhgpd`q;i^qTC z!Ooj{6lw)jh4S%G$qW7p1U7Ay1xL3b=)lM@aTSHSS4}G-LZF^jtQV0i>JJMXzD{K0 z9GVY1XPPU}wjjM7L4m5mnKzK&lTj;l8ZI!va*fEtU}5kIRE2g#_DL(`*h8&IH6?c& zhTJ!tT@lK;I~~>E-q(&mh!-ch{)Am|{dY(%1|F7K2HAe2=C#@wD(|pR-ypG4Uuf#C z4Hk!{{JQ_Az3+a6Ywg-538IFHK1!5{G8jaQAQ3f)I=ay(TJ#bmdJCgRP1He@$RJ3x z5MA^ZJw%D#OLY16IOloKdCqtKgZG^uu*+Kay03Mu>t1H|-ZQlq(;$u_(oQFo%v1lK zI(5MDs2Pme01iHC2EO_^QkEF+$@B)zM$&u$JOO2+P~D!bFDv@CDgLQGhec>f2_Mr-WY~NOpG$6+7znSv@qU=`iV2O* zNx-AU2!rPA>AF6u0NWkSPE5wz#y1N*-b2uH7GFVK{7WQ+lcsIpQ&+9wnhyJKb%Ae` z2d0{6T&ZrW!iwF`2@ewMh>0^=X{fK(mgv3M(G@+liwqU!Ueo_9)xi67h2VB7)V5sp z8$?MhTl`jtty6j1VX<-M4E4woc9LtZsCTJ@TITvE7uv3Rqi@bcSmica9FUqBglP42DI=)WM+sD^%Z0LrHdECU1R$|cL z5Sn=s!d;7d@b+*&>?pPG^VHBgYLN+q4dt;>Vs+T3o|rh}l^JR*3T=w-_u*IG?^i6} z_c#^;zIuemd-M_l`Kvj+n!E|4RVKrnHOXAI1oTD)yVNU*7e2F|ex@MQa7M()}RvX#>%`Pnvm%3QxlzBRJ= z1$}|zwneT*=wXPfKX$^%qsIH`&gp|%bKkxrvJJZ06x&I*hy?&0q%KSeaM8)YZROqtPy4nm)K2E+sm*#m2&$d@>E83-UP$qj{X8Y3$!{Z zEAb(d&oVZQ^5tCyfRoFDDEU@;-Vj@I4KI{i_jXyV6(Hs#g%Ve_Q#mCeNjh6Z-yG;d zUPjYNQSXvmeWk~4FlHXUf>;?hm)yr_q+0b0G`By@FvCKA7sqpI=s8r9x8A;19+Izi z8C~CWPM0grwTTHj? z6P{Y2kch);)G<`-#oq-r(`XpQ$IhduPI9|`NPiq~kUhwO+n4>aS2IxNW?MJb6*MN+ z58G=ODH!(*7cuA_pY$x;mzCfauC=sVkr*}${{BUeuB2-r=xL5XUbtpu>lLPQWr=|# z?chWjMwPVP{H;+W(Zi1eoQuk)E&eVNHlApF(fxEs7)(4@?5EmBjf!lChzNJkH-1ho z@lWa};nR0IfspjZ8jm|A>PUDk!I0^r(nDn`y8g#Bgm$rCN#}nyqvi*zkv2>V1~B3! zIvp9WuWdOKoMpk^*R=?k<7oS*%gOGTNL0W10>(RaE7dTjMn@5F?xDC9oY~&;<`uOd z8`m`ll$ADrp=HRR28O9Ij0xj;XtE;mxT24Gs&*cQ-eC!{-DTh=33y~63z2Z!7vJsJ zvAhZEgu~|*b7bFF#C@)GjR+{Xy!3eA!k9rMkkm~r=c?yFv^QlB;Wr0qz5o7$VWz<( zT7+W5ApBkiIR|%5Gl*c$LGG8tPjFs0NU!rzY71jTS?toR`&9PCSixqAHEm4t%X@iJSWkq^)U52$Q=gR)zM+7YET7>_k% z$G0$-;LgEUj==KFZC{9U82avlmnY-10uiDGqcDWv=1VS|T8}R!W?y?1yQK9B7H5^} zc7k;@;#jC>m$Y|S<6!A(^z$?8wurmdphN_8C)CQ+@;(fR>&nTC;O#G9DiY-}QdRC| z36;4hX`h#{JAKV-o-&nXa-leTdxAXK=MjOGk+TyH12zq1P5qu1VuxWxQ4bGCncp9I zvKgQEm#%Lr+!Z5fl`t~1knnq9mRwZqAE|r@R?^0e|5krPt28Ozgn2)-6O-sU|2n9Q zbG0REQ-z&>H>{{KN&D6K=Nd~U%)(s>6SiYgxmLYfGZJmejKx!PEd9s1&K#K(DoH^? z8d0N4bWO}GVb@DhuT`8$j&aTTaQV_JrYZk zHnqrXWoMUk6`8t(yXNQnE&|xj143H^`w&eA^oQc+3MpaG?r5ZcyjQ`*SW3Tf^UHT8 zjRrM*%oS0#bvkoVjmIhDd8!Yy9Ln0kz*AXJ5MvSJ50yNQ^LmWVz;V*Pb4BL_wEI*+ zC&rp~LraLK5*jY5W6j!ygPhNsBQ1L3S26dCOLigQi)L;7SsRhQW%U!(i?i`lQt_BX zc&w}ihoK!E;v*tn`Rq)oPN0gRd7vjGF`P8EioCr zgP(Z^deXtmRGTuRzQm=@u{b{+^ipFSi|n4<#KA)fmi}jG5bXvOf@I%5@~&l&WuZOfH zxzQFO3?E3;=S1OP@b?|Bin&l>&D|}KM;EQzdrrgCW~%s(y>_pucN1gFiz_))pF$u^ z->)SNgQ?r8jy)UdGj`kA+Mj=pxqoVvtv0OK`8An`W7e9<{_*dHW6>++$Jxb+Q!QC; z-HWl-IW8MXxk-^+h&M8yh5eE;f4PI8#oJN_$oYeNuz0e>lmw>tN6tB~g^p!ctYR5{ zvz;s_>X|u7Jekik$CCobL$r;ds> zT(lluV|d}_Lj9rXx;{Q97)Ax{KQB{&_9_hF2@=*KD?UMHLnMCo*?z*LvLM0Wr3=cf zd1^Z3vvb)8xohppdoma1H20`&krF8O4MJ_~2||%Be!JmfRisZRT=N<`{{pqzt>;&ye5=@k|?C{TN;pF%Zw_%b=?<9G=V7r6YyjYowu zBLrRM>GAMtjkR7~Mt}ORp`(vnA zN((p$xx34=@H%3!S2|>irAD1_a!$dpn{QwuY193tcqf|n7S>!+8!RknpE5%pAPeD^ zB<&i*eg9T4H4IyByg$c1QcM#&)Nj&m5K?vhSJZG%Mnt9#BwGqQUtv6d-QCpFG zs`O1BvIz+Frf{T5=on-@X96G3#h6CuFU-S9z%{YH|)b%U>f zs_0R-itC4`NCap|!03eUs3LPF2i8W3P(P37B^2IH6fihi(|$AV;7}U<8Ql4y*hydN zLF$b9T~PhaT)6#+Y%&C0TYe8tExIeRNlCMCTjt9w-( z-%cxCs9he%*&wS{1K64$UYU2-m(-v?ye*XKk!Q*>U3I$?fW-V*)f7Gi%jC2$;(N`r zx5m}y+8?j-O2&Y+%cY-yCNJe)L{9uPp<3vptzg@n-Mg-d)ju)cwgmAMtJ@mHtt0!3CJJP? ze_OXc9__eo>rn_-knc4j>+BRT-jkWnKhuw2f32?t(79{{pz|DCp;UGyzcDRO76SS; zyfG^EnskKtQ2p`7%Htlsya>;Ike-LYNmdDbz7oV^RQ{A&E=oWA>|THd@Q%WUuwop}FfhyP?Lv0?4LXs^x0c)K(%A`_5`Ln0bq`uL6-%+ zb_Q;4>Kfe4^&c)w?mPi{9sTfY@FoW%MLsTxJK~7>^>4oRAtHNc&KZ$f_HcCSi;B5k zIyRX}J~Lr90iNi4H>XRecDwi5X*|LMBa|xqVsy?1RUVlg$O<#VB+?$#>hOhJgv+&kN8^$h>k;KEX^sa+jwB&8wmX+VZnLXIj; zIrZdwePq00cg&h#xw$|r14?Qz`9M2ow-cONk)+i7coqcD#Z5XE<}hm(Vj2z!Ucy0c z1#_oZ?y}_-2_DD2Ku3bg+0#-0-b9-^X+QBOqzyoYQ_Umuw#Jq@0wJQ2$r9?N)q8pu z4O_=;CSmKpkS{lRK2*-0{R|+gv82dZ@pcmS$7ubEs6ltQ1$3+k%KN#O9vmbvZ?0t9 zbv&R!d2kTbur~tdtvgDOas^2-lyV6o{E2E70;*QLherZ1T8nOSaVu9e`XM(8ACJzT z(Yd7y=0hV?XkG^LJyNxWq~b=BYQENf{0r{6urai z-s`RpM!8%sgWz0_r}?5Xn&V3Zcp44Uu&jAN=?1iBq)OE%p3Z)Zf>tzQ;pP5K*@2i9 z(T~hb&Pn5~z7`#6n462!Fmf-%1N>iA|w#phGXQRnz*tnbTh{gfg1CMO5-)i(k^ zGol0b?zFL-=~>nJ&MJ$OCJ*)12dlqr5PiF^_IvJt`1jz-hcw?`u$M$WlIN&V$eA)n zi%X4a%90UusS;{1g;w`B4Vx*^n zYidYNV`Xd02AD>e3$ma)u%L^M6>&*|iEn0FmNht3Zaq~klYsktE*B4Hqrl5kUcItD zS>|)C8Ed%3y{vTBwLo|UF_1d7F~sibbRr&x2HZe`RNJFy+98agTQm`Ym=;GBDaKON zd_0+J&0y6v;BD9dB2J~C78YoCa=(!T>P+}YGLB!k! z2>5g?^;*^xu+@*5u}SQMAPddnoY`D@jc*|yljhrxp9UMj9m z&(gdEOH5jX(wCZ7?weIP+~VGMp9{MUd?BRpX*QXwPx=YVt&VLE!u!Kq+-Zoq`w!uz z&~TI6%y?r|jNLwK{8qY2y5s(eO_Pvc3hAAVpTWTRKR2$p5aiqKim24qkhsTL&!|(n zK`xLkT>gB$@7!pAu>b(E`=*}ZXQB4E85iC1yr^#7-uB@HJXn7@U}=X1pL`?@y;8=6 z8{j_*15$C->E!NPmV}kQbK+Qh&-12+{k0R-`&+5xRBggLussKIgXv4U@{P+ZZvcV#?}R3nZTH z#dwWAUtJZfK*^qlV)F^xyAWPB|2=3XCi+M8Mp|uE#a(F#hD#32C3~sStq6)Hz&+%75ry0I@11shY0e@~g zKWeaiIWNb$*1VU@sz5@6ckT(4Y02tcL|r=&F<>(RnTzuE>0OySCqW1DMT)8?ceMY4 z+N+KdHdlf)q-ho{G_b+FPJIJj7bT~1gZNrZa|Iou_R1I+*OkukjqvweWsahJtGmWq zPwB9+1||Wq8bAIU3w$k%o;_?BK&sN5lF9-_I+Jpk{)KP4&y5yi0;mb7L7;>wfG=89 zyn97yp0w)DLc22Hk)Q)$1^6YA2QZ}Z0B)_=^fEv^dPfFP9r-%kt=&42t2Nkt`OqlQ zAN8m$nOV`3sGFl<*f3A{cffnzgk!B z(YIB+>r$r)|3xY%tve^Wcuv^gdYVAiEG4VapLi7Ib%5(uHiI3ZCx}55wdn6kVFT>PdlsGNz!YVH|A;TP}Qk16&#w_b65z} zOdpNOQGq@giAU?>uiveYAKCV2V5Rab2-C(?C|kEoji?r2q2u4p~Mr?g7kxV z$eBFM#oaXsE8sxh$PbF;ZK=tY?CZo}uSd%1!CHc%vULMc?R3EER_C~Ob_UhycEYLm z2=Hbw&qO-s@}O^XRWT>Cu%#-^h86=icAGXkm@h&UpJXxnCLY2&)0|!VAx$gz>Y^KR zCzL|=YqfLdyl3l=IVn?Bnyf&?gd=ToVkzpZ&HpY!zfNN|XV{m?rOw$r>W24-Q+dat z*`nyGhEHexVM4o9q-xVi>{;l|5UF9`oCqKYSC6zQX`n9TPy z8uy~MH6_;!*;<*)GMiaRa}8R9L&H^cS4DqZeS;;WQ+kocXMC;4*gZMPSVF=Ryi1Jo zS7iZ_^pqJcr1ukz(WOj9*wo=NhwXcWdj>^l_V9H&ifNPrjM+1ciPbNQ z=8!@f$SpTj)@vYA+kN4$wLE9|RBsHJ2c=rW>kya=$`MKpKZELv1i4xu<6ouZhBN7Z zf_h{y_ua7zEqL$wbJx16i;DP5{=VSs>+#a?v!&F3dMOvR04>k>7{^+7u;Rdkq3=Bgf z=@)G%2oNJG=ZDr2sRqoTP;9>!V9KJX(Pz$IEK71xgTYJqOMq@Int>d<9hsz=UFxJE zxlgca_bt5$$oz6*R*Eu9+)5yM%jC~hx$GNqp9?64)tOyB7XYb#RL255=*+-sGx)SV z{?Fu-AD}C{w$EAPR>aRk$C{b&GR^B`KU?R`_1{Bb=>QBJ4J6+PW;?7=!J)J!7Zt5^ z3IykEe$Mo<+35xf&2Rh&m^6w$hO{q=^MjPi9{ADcf`Mg*4FeaO`Yy!cqP&V%3LiOM zEg;|xh$}S!;IwTbe+bE0#`WchH=s9Rb!yUaqlti*Ork@UQ4|^NMB)fa=SVCJB`W)Q zIs9O+wAqOX%{d0h?J;j8w#Rf0l6@`*2wPfy_m-AF-*moP%3AZVBl`i`-S^HFw;d^9 z`Nasqh?t*m&qH?6Mlc`+J}HZGvsX!slRF%pK3hZLRsbPuc6kIVe@wv_6nCA0c>erDTc4D_(`0yk z&Q*^RuQuM(LNhoBA&_cTBi0bWS^_Pkd5<=B>u^$QIY49Cc}n>wtpNJ|71UeQ9#+^v z4FEm<7!QTUj)#6F<=sn)p?S{^q;(!k%Wg01G)a7509N#uSnu)$A<}5_u*fWm#(NKl zbG?!V3X+>e7+Z8j_q3TK>a0tyxo=^sG^9H2lGp%Hb3R1qI!vx{MTGYNiwuG>)ERc! z8Urv*03E=n4-2-N4lSU0Zv?{@8#Y>!UwTupXQ_Ywqi_i+_FQa5xIuQX=fWAht>O;M zUen+i>(ZbA*AvL)9L4{nkt1q#A7HY$sY7qR?|i`~C6>237#d{Uc;cemEAIjBBek&Z z9@1Z6o6pwDt8!}9CFx+n{#Ic4DT${F2+qSlKBJ)M4V%n4b?M~ke4$1^abP7(&liLD=k1{%52MIZhvarbff5#|F$U7^$~|)~gFlifzP51@EBh9T5}nZa&UIE- zKqFa(sZW-}?lI7Wd3WX@+%g1Bt8{*O56Doq0ZJV>TH&7h2HRo%Jw#({h?g7#kD@+U zKf9D@fbhTK>^6ecznB#zS67KAkzhB1Cf8nzWlm0Cg~s(wrbS5;iWCcj<6KZi(wEuuS)A zT?QY7F@{C>2FactVF%j%%=i(MNV`mgPsdUz zhsZw5mR4!7(7xFRH42H`C`E<$z!`x6CgGyq-#A9{gcezlaZ!K(1E}0yl?x+jM|mkS zc1{8sdFfD%6R|u{_kJy%zoefPS-wV{=R{|%JcHNJGYod)n>W;KuD>@4uHh&AV7?9>TYGF3iF?ra29gFo zDt>HrZ>dv-rn0Ad+D+e(;a#ztz2R!J^Y@R(G{qj1%LFg>C4!I9x7YIm&a#W3uj~xz z4z=vm8A5j&R5+(U8rc)Q`#uri%}U|@If(7#&Mqmv?sC&xFXAE&CC90OnOap&W%z)? zf>xFJ)klvRoTy;|i}0A!g!S}tkf19R({)95W97l}!#>OEW~ zl;&;D?H3FFmJk}3^sM}+o5r^kz}$CxlnDtZg5=Bh&v>3tndJo%XzOG};%w-}4+m=# zPS9#mL<&znkgl|19E^CUNi{r{V=y1_;aLqn!^y=p8dJ{v&^i2N9Z3qt*tCNV+jqOv zU+6*^h+^gEzYuT7jQVr$XI_0T=tSML4xL;ff7Y>BeDnFCDr#D9v{F~Wp5)E_FR-pw z3&U?zAI7P!CbXqdy!C&rnJ22mZzcW7akvH^NuXKYmS$UC0X8B0k$k$Zvyf)Hw0W`S zN-;lE1NkH;F5%QJ&xVN0*=0Z=tXva9eZ^ePJ4kQq)5h&2MBXmx+2h!IJiLh(3qDE~ z^9Zt`KCzTwy>NRVab-~CaOF_3;a@4qX&pY64IGgNF1;rIJ0;DWoc@oIe^p`HtH*Xz z{N$lqA!h_R&qsQ12Y=`wLcWTXk)iQ;WtZA9Us=FIXY&-e>5*}=Wk)3Jq2pfOGo~KJ z-A(vpZZmn*v+61XB&&43kJ*#}4J@p^tAsWD8U|;LaS`3lxjEcQQ%zjo_yFIc3B;N%7Y%# z^Egz8a5u^)tSCH?Vj-EI3?S6_8ZE+TyUP;3D0;(*H(vCmnEy|7km(nSt7OPmcP2iD zQx3CzY%|Dk3Lq36=4Er4O z!>QPdnEWJj;+`=lue8-d|A&iwXylMtO2dSs&v*Z|y8?zYQKwWUuY(#0nhw8a68x+W z^v8qQO?NZIs!8md62#f#ZN6-M-m}!QZEl?Jn2mAJ9d~b2Go^U7(oUf62ju8CaN~fw zGVT>#97-H~oa?|I790@m^mj{u*tB>!I5+>wAsyUI;9gEhR|J;n|8!8P z&Cj+EoUQ_hHSvErNC#@g#0B}(6~>4C`A=IS@bQ@t2M1U(|MofqrU>}?yN7=U@xlH)tP3!HL5_n%`ZrS? z9425BFm`qGdWv-Yw~4p@*tcvUz`+5r{u4P$ic3>BYot9AcKK7_-yEEU&h=FRV=EH@ z@c-A?gmnKCxT`f1>E;T%{PnM145_+oludy!*l~fh{{3~x@W%|S&0LU{T5c{j4p#p< zk$>Je@|O=cpMQ