From afd00794f4b2d5c37e088d0c57e643f70fef57a4 Mon Sep 17 00:00:00 2001 From: eric-intuitem <71850047+eric-intuitem@users.noreply.github.com> Date: Sat, 30 Mar 2024 01:56:25 +0100 Subject: [PATCH] add LPM/OIV rules --- backend/library/libraries/lpm-oiv-2019.yaml | 1408 +++++++++++++++++++ tools/lpm/lpm-oiv-2019.xlsx | Bin 0 -> 26242 bytes tools/lpm/lpm-oiv-2019.yaml | 1408 +++++++++++++++++++ 3 files changed, 2816 insertions(+) create mode 100644 backend/library/libraries/lpm-oiv-2019.yaml create mode 100644 tools/lpm/lpm-oiv-2019.xlsx create mode 100644 tools/lpm/lpm-oiv-2019.yaml diff --git a/backend/library/libraries/lpm-oiv-2019.yaml b/backend/library/libraries/lpm-oiv-2019.yaml new file mode 100644 index 000000000..cdadeaffe --- /dev/null +++ b/backend/library/libraries/lpm-oiv-2019.yaml @@ -0,0 +1,1408 @@ +urn: urn:intuitem:risk:library:lpm-oiv-2019 +locale: fr +ref_id: LPM-OIV-2019 +name: "R\xE8gles OIV" +description: " R\xC8GLES DE S\xC9CURIT\xC9 RELATIVES AU SECTEUR D'ACTIVIT\xC9S D'IMPORTANCE\ + \ VITALE \" ACTIVIT\xC9S CIVILES DE L'\xC9TAT \"\nArr\xEAt\xE9 du 29 mai 2019 fixant\ + \ les r\xE8gles de s\xE9curit\xE9 et les modalit\xE9s de d\xE9claration des syst\xE8\ + mes d'information d'importance vitale et des incidents de s\xE9curit\xE9 relatives\ + \ au secteur d'activit\xE9s d'importance vitale \xAB Activit\xE9s civiles de l'Etat\ + \ \xBB et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10\ + \ du code de la d\xE9fense\nhttps://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038565011" +copyright: "Loi fran\xE7aise" +version: 1 +provider: "Gouvernement fran\xE7ais" +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:lpm-oiv-2019 + ref_id: LPM-OIV-2019 + name: "R\xE8gles OIV" + description: " R\xC8GLES DE S\xC9CURIT\xC9 RELATIVES AU SECTEUR D'ACTIVIT\xC9\ + S D'IMPORTANCE VITALE \" ACTIVIT\xC9S CIVILES DE L'\xC9TAT \"\nArr\xEAt\xE9\ + \ du 29 mai 2019 fixant les r\xE8gles de s\xE9curit\xE9 et les modalit\xE9s\ + \ de d\xE9claration des syst\xE8mes d'information d'importance vitale et des\ + \ incidents de s\xE9curit\xE9 relatives au secteur d'activit\xE9s d'importance\ + \ vitale \xAB Activit\xE9s civiles de l'Etat \xBB et pris en application des\ + \ articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la d\xE9fense\n\ + https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038565011" + requirement_nodes: + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1 + assessable: false + depth: 1 + ref_id: '1' + name: "R\xE8gle relative \xE0 la politique de s\xE9curit\xE9 des syst\xE8mes\ + \ d'information" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node3 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1 + description: "L'op\xE9rateur d'importance vitale \xE9labore, tient \xE0 jour\ + \ et met en \u0153uvre une politique de s\xE9curit\xE9 des syst\xE8mes d'information\ + \ (PSSI)." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1 + description: "La PSSI d\xE9crit l'ensemble des moyens organisationnels et techniques\ + \ mis en \u0153uvre par l'op\xE9rateur afin d'assurer la s\xE9curit\xE9 de\ + \ ses syst\xE8mes d'information d'importance vitale (SIIV). En particulier,\ + \ elle :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4 + description: "- pr\xE9cise les objectifs et les orientations strat\xE9giques\ + \ en mati\xE8re de s\xE9curit\xE9 des SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4 + description: "- d\xE9crit l'organisation de la gouvernance de la s\xE9curit\xE9\ + \ et notamment les r\xF4les et les responsabilit\xE9s du personnel interne\ + \ et du personnel externe (prestataires, fournisseurs, etc.) \xE0 l'\xE9gard\ + \ de la s\xE9curit\xE9 des SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4 + description: "- pr\xE9voit un plan de sensibilisation \xE0 la s\xE9curit\xE9\ + \ des SIIV au profit de l'ensemble du personnel ainsi qu'un plan de formation\ + \ \xE0 la s\xE9curit\xE9 des SIIV au profit des personnes ayant des responsabilit\xE9\ + s particuli\xE8res, notamment les personnes en charge de l'administration\ + \ et de la s\xE9curit\xE9 des SIIV et les utilisateurs disposant de droits\ + \ d'acc\xE8s privil\xE9gi\xE9s aux SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4 + description: "- fixe les mesures de s\xE9curit\xE9 g\xE9n\xE9rales, notamment\ + \ en mati\xE8re de contr\xF4le du personnel interne et du personnel externe,\ + \ de s\xE9curit\xE9 physique des SIIV, de gestion des ressources mat\xE9rielles\ + \ et logicielles, de contr\xF4le d'acc\xE8s aux SIIV, d'exploitation et d'administration\ + \ des SIIV et de s\xE9curit\xE9 des ressources, des r\xE9seaux et des postes\ + \ de travail ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4 + description: "- d\xE9finit les proc\xE9dures suivantes :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9 + description: "- la proc\xE9dure d'homologation de s\xE9curit\xE9 des SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9 + description: "- les proc\xE9dures de contr\xF4le et d'audit de la s\xE9curit\xE9\ + \ des SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9 + description: "- la proc\xE9dure de maintien en conditions de s\xE9curit\xE9\ + \ des ressources des SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9 + description: "- la proc\xE9dure de traitement des incidents de s\xE9curit\xE9\ + \ affectant les SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9 + description: "- les proc\xE9dures de gestion de crises en cas d'attaques informatiques\ + \ visant des SIIV et de continuit\xE9 des activit\xE9s d'importance vitale." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1 + description: "La PSSI et ses documents d'application sont approuv\xE9s formellement\ + \ par la direction de l'op\xE9rateur." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node16 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1 + description: "L'op\xE9rateur \xE9labore au profit de sa direction, au moins\ + \ annuellement, un rapport sur la mise en \u0153uvre de la PSSI et de ses\ + \ documents d'application." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node17 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1 + description: "Ce rapport pr\xE9cise notamment l'\xE9tat des lieux des risques,\ + \ le niveau de s\xE9curit\xE9 des SIIV et les actions de s\xE9curisation men\xE9\ + es." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node18 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1 + description: "La PSSI, ses documents d'application et les rapports sur leur\ + \ mise en \u0153uvre sont tenus \xE0 la disposition de l'Agence nationale\ + \ de la s\xE9curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + assessable: false + depth: 1 + ref_id: '2' + name: "R\xE8gle relative \xE0 l'homologation de s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node20 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "L'op\xE9rateur d'importance vitale proc\xE8de \xE0 l'homologation\ + \ de s\xE9curit\xE9 de chaque syst\xE8me d'information d'importance vitale\ + \ (SIIV), en mettant en \u0153uvre la proc\xE9dure d'homologation pr\xE9vue\ + \ par sa politique de s\xE9curit\xE9 des syst\xE8mes d'information (PSSI)." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node21 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "L'homologation d'un syst\xE8me est une d\xE9cision formelle prise\ + \ par l'op\xE9rateur qui atteste que les risques pesant sur la s\xE9curit\xE9\ + \ de ce syst\xE8me ont \xE9t\xE9 identifi\xE9s et que les mesures n\xE9cessaires\ + \ pour le prot\xE9ger sont mises en \u0153uvre. Elle atteste \xE9galement\ + \ que les \xE9ventuels risques r\xE9siduels ont \xE9t\xE9 identifi\xE9s et\ + \ accept\xE9s par l'op\xE9rateur." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node22 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "Dans le cadre de l'homologation, un audit de la s\xE9curit\xE9\ + \ du SIIV doit \xEAtre r\xE9alis\xE9. Cet audit vise \xE0 v\xE9rifier l'application\ + \ et l'efficacit\xE9 des mesures de s\xE9curit\xE9 du SIIV et notamment le\ + \ respect des r\xE8gles de s\xE9curit\xE9 mentionn\xE9es dans le pr\xE9sent\ + \ arr\xEAt\xE9. L'audit doit permettre d'\xE9valuer le niveau de s\xE9curit\xE9\ + \ du SIIV au regard des menaces et des vuln\xE9rabilit\xE9s connues. Il comporte\ + \ notamment la r\xE9alisation d'un audit d'architecture, d'un audit de configuration\ + \ et d'un audit organisationnel et physique." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node23 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "Cet audit est r\xE9alis\xE9 dans le respect des r\xE8gles fix\xE9\ + es par le r\xE9f\xE9rentiel en mati\xE8re d'audit de s\xE9curit\xE9 des syst\xE8\ + mes d'information pr\xE9vu \xE0 l'article 10 du d\xE9cret n\xB0 2015-350 du\ + \ 27 mars 2015 relatif \xE0 la qualification des produits de s\xE9curit\xE9\ + \ et des prestataires de service de confiance pour les besoins de la s\xE9\ + curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node24 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "L'op\xE9rateur peut r\xE9aliser lui-m\xEAme l'audit ou recourir\ + \ \xE0 un prestataire qualifi\xE9 dans les conditions pr\xE9vues au chapitre\ + \ III du d\xE9cret n\xB0 2015-350 du 27 mars 2015 pr\xE9cit\xE9." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node25 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "A l'issue de l'audit, l'op\xE9rateur ou, le cas \xE9ch\xE9ant,\ + \ le prestataire \xE9labore un rapport d'audit qui expose les constatations\ + \ sur les mesures appliqu\xE9es et sur le respect des r\xE8gles de s\xE9curit\xE9\ + \ pr\xE9vues par le pr\xE9sent arr\xEAt\xE9. Le rapport pr\xE9cise si le niveau\ + \ de s\xE9curit\xE9 atteint est conforme aux objectifs de s\xE9curit\xE9,\ + \ compte tenu des menaces et des vuln\xE9rabilit\xE9s connues. Il formule\ + \ des recommandations pour rem\xE9dier aux \xE9ventuelles non-conformit\xE9\ + s et vuln\xE9rabilit\xE9s d\xE9couvertes." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "L'op\xE9rateur prend la d\xE9cision d'homologuer un SIIV sur la\ + \ base du dossier d'homologation comportant notamment :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node27 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26 + description: "- l'analyse de risques et les objectifs de s\xE9curit\xE9 du SIIV\ + \ ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node28 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26 + description: "- les mesures de s\xE9curit\xE9 appliqu\xE9es au SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node29 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26 + description: "- les rapports d'audit de la s\xE9curit\xE9 du SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node30 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26 + description: "- les risques r\xE9siduels et les raisons justifiant leur acceptation." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node31 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "La validit\xE9 de l'homologation est r\xE9examin\xE9e par l'op\xE9\ + rateur au moins tous les trois ans et lors de chaque \xE9v\xE9nement ou \xE9\ + volution de nature \xE0 modifier le contexte d\xE9crit dans le dossier d'homologation.\ + \ Chaque r\xE9examen de l'homologation est consign\xE9 dans le dossier d'homologation.\ + \ L'op\xE9rateur proc\xE8de au renouvellement de l'homologation d\xE8s qu'elle\ + \ n'est plus valide." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node32 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "L'op\xE9rateur tient \xE0 la disposition de l'Agence nationale\ + \ de la s\xE9curit\xE9 des syst\xE8mes d'information les d\xE9cisions et dossiers\ + \ d'homologation, notamment les rapports d'audit. Ces documents confidentiels\ + \ sont susceptibles de contenir des informations dont la r\xE9v\xE9lation\ + \ est r\xE9prim\xE9e par les dispositions de l'article 226-13 du code p\xE9\ + nal. Ils sont, le cas \xE9ch\xE9ant, couverts par le secret de la d\xE9fense\ + \ nationale." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node33 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "La pr\xE9sente r\xE8gle relative \xE0 l'homologation s'applique\ + \ sans pr\xE9judice des dispositions pr\xE9vues par l'arr\xEAt\xE9 du 30 novembre\ + \ 2011 portant approbation de l'instruction g\xE9n\xE9rale interminist\xE9\ + rielle n\xB0 1300 sur la protection du secret de la d\xE9fense nationale,\ + \ en mati\xE8re d'homologation des syst\xE8mes d'information traitant des\ + \ informations classifi\xE9es." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:3 + assessable: false + depth: 1 + ref_id: '3' + name: "R\xE8gle relative \xE0 la cartographie" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:3 + description: "L'op\xE9rateur d'importance vitale \xE9labore et tient \xE0 jour,\ + \ pour chaque syst\xE8me d'information d'importance vitale (SIIV), les \xE9\ + l\xE9ments de cartographie suivants :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node36 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- les noms et les fonctions des applications, supportant les activit\xE9\ + s de l'op\xE9rateur, install\xE9es sur le SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node37 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- le cas \xE9ch\xE9ant, les plages d'adresses IP de sortie du\ + \ SIIV vers internet ou un r\xE9seau tiers, ou accessibles depuis ces r\xE9\ + seaux ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node38 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- le cas \xE9ch\xE9ant, les plages d'adresses IP associ\xE9es\ + \ aux diff\xE9rents sous-syst\xE8mes composant le SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node39 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- la description fonctionnelle et les lieux d'installation du\ + \ SIIV et de ses diff\xE9rents sous-syst\xE8mes ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node40 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- la description fonctionnelle des points d'interconnexion du\ + \ SIIV et de ses diff\xE9rents sous-syst\xE8mes avec des r\xE9seaux tiers,\ + \ notamment la description des \xE9quipements et des fonctions de filtrage\ + \ et de protection mis en \u0153uvre au niveau de ces interconnexions ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node41 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- l'inventaire et l'architecture des dispositifs d'administration\ + \ du SIIV permettant de r\xE9aliser notamment les op\xE9rations d'installation\ + \ \xE0 distance, de mise \xE0 jour, de supervision, de gestion des configurations,\ + \ d'authentification ainsi que de gestion des comptes et des droits d'acc\xE8\ + s ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node42 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- la liste des comptes disposant de droits d'acc\xE8s privil\xE9\ + gi\xE9s (appel\xE9s \" comptes privil\xE9gi\xE9s \") au SIIV. Cette liste\ + \ pr\xE9cise pour chaque compte le niveau et le p\xE9rim\xE8tre des droits\ + \ d'acc\xE8s associ\xE9s, notamment les comptes sur lesquels portent ces droits\ + \ (comptes d'utilisateurs, comptes de messagerie, comptes de processus, etc.)\ + \ ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node43 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- l'inventaire, l'architecture et le positionnement des services\ + \ de r\xE9solution de noms d'h\xF4te, de messagerie, de relais internet et\ + \ d'acc\xE8s distant mis en \u0153uvre par le SIIV." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node44 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:3 + description: "Les \xE9l\xE9ments de cartographie ainsi r\xE9unis sont des documents\ + \ confidentiels susceptibles de contenir des informations dont la r\xE9v\xE9\ + lation est r\xE9prim\xE9e par les dispositions de l'article 226-13 du code\ + \ p\xE9nal. Ils sont, le cas \xE9ch\xE9ant, couverts par le secret de la d\xE9\ + fense nationale." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node45 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:3 + description: "Sur demande de l'Agence nationale de la s\xE9curit\xE9 des syst\xE8\ + mes d'information, l'op\xE9rateur lui communique les \xE9l\xE9ments de cartographie\ + \ mis \xE0 jour sur un support \xE9lectronique, dans un format qui peut \xEA\ + tre lu par les principaux logiciels bureautiques accessibles au public." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:4 + assessable: false + depth: 1 + ref_id: '4' + name: "R\xE8gle relative au maintien en conditions de s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node47 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:4 + description: "L'op\xE9rateur d'importance vitale \xE9labore, tient \xE0 jour\ + \ et met en \u0153uvre une proc\xE9dure de maintien en conditions de s\xE9\ + curit\xE9 des ressources mat\xE9rielles et logicielles de ses syst\xE8mes\ + \ d'information d'importance vitale (SIIV), conform\xE9ment \xE0 sa politique\ + \ de s\xE9curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:4 + description: "Cette proc\xE9dure d\xE9finit les conditions permettant de maintenir\ + \ le niveau de s\xE9curit\xE9 des ressources des SIIV en fonction de l'\xE9\ + volution des vuln\xE9rabilit\xE9s et des menaces et notamment la politique\ + \ d'installation de toute nouvelle version et mesure correctrice de s\xE9\ + curit\xE9 d'une ressource et les v\xE9rifications \xE0 effectuer avant l'installation.\ + \ Elle pr\xE9voit que :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node49 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48 + description: "- l'op\xE9rateur se tient inform\xE9 des vuln\xE9rabilit\xE9s\ + \ et des mesures correctrices de s\xE9curit\xE9 susceptibles de concerner\ + \ les ressources mat\xE9rielles et logicielles de ses SIIV, qui sont diffus\xE9\ + es notamment par les fournisseurs ou les fabricants de ces ressources ou par\ + \ des centres de pr\xE9vention et d'alerte en mati\xE8re de cyber s\xE9curit\xE9\ + \ tels que le CERT-FR (( www. cert. ssi. gouv. fr) ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node50 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48 + description: "- sauf en cas de difficult\xE9s techniques ou op\xE9rationnelles\ + \ justifi\xE9es, l'op\xE9rateur installe et maintient toutes les ressources\ + \ mat\xE9rielles et logicielles de ses SIIV dans des versions support\xE9\ + es par leurs fournisseurs ou leurs fabricants et mises \xE0 jour du point\ + \ de vue de la s\xE9curit\xE9 ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node51 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48 + description: "- pr\xE9alablement \xE0 l'installation de toute nouvelle version,\ + \ l'op\xE9rateur s'assure de l'origine de cette version et de son int\xE9\ + grit\xE9, et analyse l'impact de cette version sur le SIIV concern\xE9 d'un\ + \ point de vue technique et op\xE9rationnel ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node52 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48 + description: "- d\xE8s qu'il a connaissance d'une mesure correctrice de s\xE9\ + curit\xE9 concernant une de ses ressources, et sauf en cas de difficult\xE9\ + s techniques ou op\xE9rationnelles justifi\xE9es, l'op\xE9rateur en planifie\ + \ l'installation apr\xE8s avoir effectu\xE9 les v\xE9rifications mentionn\xE9\ + es \xE0 l'alin\xE9a pr\xE9c\xE9dent, et proc\xE8de \xE0 cette installation\ + \ dans les d\xE9lais pr\xE9vus par la proc\xE9dure de maintien en conditions\ + \ de s\xE9curit\xE9 ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node53 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48 + description: "- lorsque des raisons techniques ou op\xE9rationnelles le justifient,\ + \ l'op\xE9rateur peut d\xE9cider, pour certaines ressources de ses SIIV, de\ + \ ne pas installer une version support\xE9e par le fournisseur ou le fabricant\ + \ de la ressource concern\xE9e ou de ne pas installer une mesure correctrice\ + \ de s\xE9curit\xE9. Dans ce cas, l'op\xE9rateur met en \u0153uvre des mesures\ + \ techniques ou organisationnelles pr\xE9vues par la proc\xE9dure de maintien\ + \ en conditions de s\xE9curit\xE9 pour r\xE9duire les risques li\xE9s \xE0\ + \ l'utilisation d'une version obsol\xE8te ou comportant des vuln\xE9rabilit\xE9\ + s connues. L'op\xE9rateur d\xE9crit dans le dossier d'homologation du SIIV\ + \ concern\xE9 ces mesures de r\xE9duction des risques et les raisons techniques\ + \ ou op\xE9rationnelles ayant emp\xEAch\xE9 l'installation d'une version support\xE9\ + e ou d'une mesure correctrice de s\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5 + assessable: false + depth: 1 + ref_id: '5' + name: "R\xE8gle relative \xE0 la journalisation" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node55 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5 + description: "L'op\xE9rateur d'importance vitale met en \u0153uvre sur chaque\ + \ syst\xE8me d'information d'importance vitale (SIIV) un syst\xE8me de journalisation\ + \ qui enregistre les \xE9v\xE9nements relatifs \xE0 l'authentification des\ + \ utilisateurs, \xE0 la gestion des comptes et des droits d'acc\xE8s, \xE0\ + \ l'acc\xE8s aux ressources, aux modifications des r\xE8gles de s\xE9curit\xE9\ + \ du SIIV ainsi qu'au fonctionnement du SIIV." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node56 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5 + description: "L'op\xE9rateur d'importance vitale met en \u0153uvre sur chaque\ + \ syst\xE8me d'information d'importance vitale (SIIV) un syst\xE8me de journalisation\ + \ qui enregistre les \xE9v\xE9nements relatifs \xE0 l'authentification des\ + \ utilisateurs, \xE0 la gestion des comptes et des droits d'acc\xE8s, \xE0\ + \ l'acc\xE8s aux ressources, aux modifications des r\xE8gles de s\xE9curit\xE9\ + \ du SIIV ainsi qu'au fonctionnement du SIIV." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5 + description: "Le syst\xE8me de journalisation porte sur les \xE9quipements suivants\ + \ lorsqu'ils g\xE9n\xE8rent les \xE9v\xE9nements mentionn\xE9s au 1er alin\xE9\ + a :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node58 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + description: "- les serveurs applicatifs supportant les activit\xE9s d'importance\ + \ vitale ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node59 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + description: "- les serveurs d'infrastructure syst\xE8me ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node60 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + description: "- les serveurs d'infrastructure r\xE9seau ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node61 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + description: "- les \xE9quipements de s\xE9curit\xE9 ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node62 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + description: "- les postes d'ing\xE9nierie et de maintenance des syst\xE8mes\ + \ industriels ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node63 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + description: "- les \xE9quipements r\xE9seau ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node64 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + description: '- les postes d''administration.' + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node65 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5 + description: "Les \xE9v\xE9nements enregistr\xE9s par le syst\xE8me de journalisation\ + \ sont horodat\xE9s au moyen de sources de temps synchronis\xE9es." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node66 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5 + description: "Ils sont, pour chaque SIIV, centralis\xE9s et archiv\xE9s pendant\ + \ une dur\xE9e d'au moins six mois." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node67 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5 + description: "Le format d'archivage des \xE9v\xE9nements permet de r\xE9aliser\ + \ des recherches automatis\xE9es sur ces \xE9v\xE9nements." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:6 + assessable: false + depth: 1 + ref_id: '6' + name: "R\xE8gle relative \xE0 la corr\xE9lation et l'analyse de journaux" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node69 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:6 + description: "L'op\xE9rateur d'importance vitale met en \u0153uvre un syst\xE8\ + me de corr\xE9lation et d'analyse de journaux qui exploite les \xE9v\xE9nements\ + \ enregistr\xE9s par le syst\xE8me de journalisation install\xE9 sur chacun\ + \ des syst\xE8mes d'information d'importance vitale (SIIV), afin de d\xE9\ + tecter des \xE9v\xE9nements susceptibles d'affecter la s\xE9curit\xE9 des\ + \ SIIV." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node70 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:6 + description: "Le syst\xE8me de corr\xE9lation et d'analyse de journaux est install\xE9\ + \ et exploit\xE9 sur un syst\xE8me d'information mis en place exclusivement\ + \ \xE0 des fins de d\xE9tection d'\xE9v\xE9nements susceptibles d'affecter\ + \ la s\xE9curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node71 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:6 + description: "L'op\xE9rateur ou le prestataire mandat\xE9 \xE0 cet effet installe\ + \ et exploite ce syst\xE8me de corr\xE9lation et d'analyse de journaux en\ + \ s'appuyant sur les exigences du r\xE9f\xE9rentiel en mati\xE8re de d\xE9\ + tection des incidents de s\xE9curit\xE9 pr\xE9vu \xE0 l'article 10 du d\xE9\ + cret n\xB0 2015-350 du 27 mars 2015 relatif \xE0 la qualification des produits\ + \ de s\xE9curit\xE9 et des prestataires de service de confiance pour les besoins\ + \ de la s\xE9curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:7 + assessable: false + depth: 1 + ref_id: '7' + name: "R\xE8gle relative \xE0 la d\xE9tection" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node73 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:7 + description: "L'op\xE9rateur d'importance vitale met en \u0153uvre, en application\ + \ de l'article R. 1332-41-3 du code de la d\xE9fense, un syst\xE8me de d\xE9\ + tection qualifi\xE9 de type \" sonde d'analyse de fichiers et de protocoles\ + \ \"." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node74 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:7 + description: "Les sondes d'analyse de fichiers et de protocoles analysent les\ + \ flux de donn\xE9es transitant par ces sondes afin de rechercher des \xE9\ + v\xE9nements susceptibles d'affecter la s\xE9curit\xE9 des syst\xE8mes d'information\ + \ d'importance vitale (SIIV). Elles sont positionn\xE9es de mani\xE8re \xE0\ + \ pouvoir analyser l'ensemble des flux \xE9chang\xE9s entre les SIIV et les\ + \ syst\xE8mes d'information tiers \xE0 ceux de l'op\xE9rateur." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node75 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:7 + description: "Ces syst\xE8mes de d\xE9tection sont exploit\xE9s selon les r\xE8\ + gles fix\xE9es par le r\xE9f\xE9rentiel en mati\xE8re de d\xE9tection des\ + \ incidents de s\xE9curit\xE9 pr\xE9vu \xE0 l'article 10 du d\xE9cret n\xB0\ + \ 2015-350 du 27 mars 2015 relatif \xE0 la qualification des produits de s\xE9\ + curit\xE9 et des prestataires de service de confiance pour les besoins de\ + \ la s\xE9curit\xE9 des syst\xE8mes d'information. Ils sont exploit\xE9s par\ + \ un service de l'Etat ou un prestataire qualifi\xE9 \xE0 cet effet dans les\ + \ conditions pr\xE9vues par le d\xE9cret pr\xE9cit\xE9." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8 + assessable: false + depth: 1 + ref_id: '8' + name: "R\xE8gle relative au traitement des incidents de s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node77 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8 + description: "L'op\xE9rateur d'importance vitale \xE9labore, tient \xE0 jour\ + \ et met en \u0153uvre une proc\xE9dure de traitement des incidents affectant\ + \ le fonctionnement ou la s\xE9curit\xE9 de ses syst\xE8mes d'information\ + \ d'importance vitale (SIIV), conform\xE9ment \xE0 sa politique de s\xE9curit\xE9\ + \ des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node78 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8 + description: "L'op\xE9rateur ou le prestataire mandat\xE9 \xE0 cet effet proc\xE8\ + de au traitement des incidents en s'appuyant sur les exigences du r\xE9f\xE9\ + rentiel en mati\xE8re de r\xE9ponse aux incidents de s\xE9curit\xE9 pr\xE9\ + vu \xE0 l'article 10 du d\xE9cret n\xB0 2015-350 du 27 mars 2015 relatif \xE0\ + \ la qualification des produits de s\xE9curit\xE9 et des prestataires de service\ + \ de confiance pour les besoins de la s\xE9curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node79 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8 + description: "Un syst\xE8me d'information sp\xE9cifique doit \xEAtre mis en\ + \ place pour traiter les incidents, notamment pour stocker les relev\xE9s\ + \ techniques relatifs aux analyses des incidents. Ce syst\xE8me est cloisonn\xE9\ + \ vis-\xE0-vis du SIIV concern\xE9 par l'incident." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node80 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8 + description: "L'op\xE9rateur conserve les relev\xE9s techniques relatifs aux\ + \ analyses des incidents pendant une dur\xE9e d'au moins six mois. Il tient\ + \ ces relev\xE9s techniques \xE0 la disposition de l'Agence nationale de la\ + \ s\xE9curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node81 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8 + description: "Les relev\xE9s techniques sont des documents confidentiels susceptibles\ + \ de contenir des informations dont la r\xE9v\xE9lation est r\xE9prim\xE9\ + e par les dispositions de l'article 226-13 du code p\xE9nal. Ils sont, le\ + \ cas \xE9ch\xE9ant, couverts par le secret de la d\xE9fense nationale." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:9 + assessable: false + depth: 1 + ref_id: '9' + name: "R\xE8gle relative au traitement des alertes" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node83 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:9 + description: "L'op\xE9rateur d'importance vitale met en place un service de\ + \ permanence lui permettant de prendre connaissance, \xE0 tout moment et sans\ + \ d\xE9lai, d'informations transmises par l'Agence nationale de la s\xE9curit\xE9\ + \ des syst\xE8mes d'information relatives \xE0 des incidents, des vuln\xE9\ + rabilit\xE9s et des menaces." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node84 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:9 + description: "Il met en \u0153uvre une proc\xE9dure pour traiter les informations\ + \ ainsi re\xE7ues et le cas \xE9ch\xE9ant prendre les mesures de s\xE9curit\xE9\ + \ n\xE9cessaires \xE0 la protection de ses syst\xE8mes d'information d'importance\ + \ vitale (SIIV)." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node85 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:9 + description: "L'op\xE9rateur communique \xE0 l'Agence nationale de la s\xE9\ + curit\xE9 des syst\xE8mes d'information les coordonn\xE9es (nom du service,\ + \ num\xE9ro de t\xE9l\xE9phone et adresse \xE9lectronique) tenues \xE0 jour\ + \ du service de permanence pr\xE9vu \xE0 l'alin\xE9a pr\xE9c\xE9dent." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:10 + assessable: false + depth: 1 + ref_id: '10' + name: "R\xE8gle relative \xE0 la gestion de crises" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node87 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:10 + description: "L'op\xE9rateur d'importance vitale \xE9labore, tient \xE0 jour\ + \ et met en \u0153uvre une proc\xE9dure de gestion de crises en cas d'attaques\ + \ informatiques majeures, conform\xE9ment \xE0 sa politique de s\xE9curit\xE9\ + \ des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node88 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:10 + description: "Cette proc\xE9dure d\xE9crit les moyens techniques et organisationnels\ + \ dont dispose l'op\xE9rateur pour mettre en \u0153uvre les mesures d\xE9\ + cid\xE9es par le Premier ministre en cas de crises, notamment les mesures\ + \ suivantes :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node89 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node88 + description: "- configurer les syst\xE8mes d'information de mani\xE8re \xE0\ + \ \xE9viter les attaques ou \xE0 en limiter les effets. Cette configuration\ + \ peut viser :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node90 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node89 + description: "- \xE0 proscrire l'utilisation de supports de stockage amovibles\ + \ ou la connexion d'\xE9quipements nomades aux syst\xE8mes d'information de\ + \ l'op\xE9rateur ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node91 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node89 + description: "- \xE0 installer une mesure correctrice de s\xE9curit\xE9 sur\ + \ un syst\xE8me d'information particulier ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node92 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node89 + description: "- \xE0 restreindre le routage ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node93 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node88 + description: "- mettre en place des r\xE8gles de filtrage sur les r\xE9seaux\ + \ ou des configurations particuli\xE8res sur les \xE9quipements terminaux.\ + \ Cette mesure peut viser :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node94 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node93 + description: "- \xE0 effectuer des restrictions d'acc\xE8s sous forme de listes\ + \ blanches et de listes noires d'utilisateurs ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node95 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node93 + description: "- \xE0 bloquer les \xE9changes de fichiers d'un type particulier\ + \ ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node96 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node93 + description: "- \xE0 isoler de tout r\xE9seau des sites internet, des applications,\ + \ ou des \xE9quipements informatiques de l'op\xE9rateur en sollicitant le\ + \ cas \xE9ch\xE9ant l'appui des op\xE9rateurs publics de communications \xE9\ + lectroniques ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node97 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node88 + description: "- isoler du r\xE9seau internet les syst\xE8mes d'information de\ + \ l'op\xE9rateur. Cette mesure impose de d\xE9connecter physiquement ou logiquement\ + \ les interfaces r\xE9seau des syst\xE8mes d'information concern\xE9s." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node98 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:10 + description: "La proc\xE9dure pr\xE9cise les conditions dans lesquelles ces\ + \ mesures peuvent \xEAtre appliqu\xE9es compte tenu des contraintes techniques\ + \ et organisationnelles de mise en \u0153uvre." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11 + assessable: false + depth: 1 + ref_id: '11' + name: "R\xE8gle relative \xE0 l'identification" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node100 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11 + description: "L'op\xE9rateur d'importance vitale cr\xE9e des comptes individuels\ + \ pour tous les utilisateurs (y compris les utilisateurs ayant des comptes\ + \ privil\xE9gi\xE9s ou des comptes d'administration) et pour les processus\ + \ automatiques acc\xE9dant aux ressources de ses syst\xE8mes d'information\ + \ d'importance vitale (SIIV)." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node101 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11 + description: "Lorsque des raisons techniques ou op\xE9rationnelles ne permettent\ + \ pas de cr\xE9er de comptes individuels pour les utilisateurs ou pour les\ + \ processus automatiques, l'op\xE9rateur met en place des mesures permettant\ + \ de r\xE9duire le risque li\xE9 \xE0 l'utilisation de comptes partag\xE9\ + s et d'assurer la tra\xE7abilit\xE9 de l'utilisation de ces comptes." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node102 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11 + description: "Dans ce cas, l'op\xE9rateur d\xE9crit ces mesures dans le dossier\ + \ d'homologation du SIIV concern\xE9 et les raisons justifiant le recours\ + \ \xE0 des comptes partag\xE9s." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node103 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11 + description: "L'op\xE9rateur d\xE9sactive sans d\xE9lai les comptes qui ne sont\ + \ plus n\xE9cessaires." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12 + assessable: false + depth: 1 + ref_id: '12' + name: "R\xE8gle relative \xE0 l'authentification" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node105 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12 + description: "L'op\xE9rateur d'importance vitale prot\xE8ge les acc\xE8s aux\ + \ ressources de ses syst\xE8mes d'information d'importance vitale (SIIV),\ + \ que ce soit par un utilisateur ou par un processus automatique, au moyen\ + \ d'un m\xE9canisme d'authentification impliquant un \xE9l\xE9ment secret." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node106 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12 + description: "L'op\xE9rateur d\xE9finit, conform\xE9ment \xE0 sa politique de\ + \ s\xE9curit\xE9 des syst\xE8mes d'information, les r\xE8gles de gestion des\ + \ \xE9l\xE9ments secrets d'authentification mis en \u0153uvre dans ses SIIV." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12 + description: "Lorsque la ressource le permet techniquement, les \xE9l\xE9ments\ + \ secrets d'authentification doivent pouvoir \xEAtre modifi\xE9s par l'op\xE9\ + rateur chaque fois que cela est n\xE9cessaire. Dans ce cas, l'op\xE9rateur\ + \ respecte les r\xE8gles suivantes :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node108 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107 + description: "- l'op\xE9rateur doit modifier les \xE9l\xE9ments secrets d'authentification\ + \ lorsqu'ils ont \xE9t\xE9 install\xE9s par le fabricant ou le fournisseur\ + \ de la ressource, avant sa mise en service. A cet effet, l'op\xE9rateur s'assure\ + \ aupr\xE8s du fabricant ou du fournisseur qu'il dispose des moyens et des\ + \ droits permettant de r\xE9aliser ces op\xE9rations ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node109 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107 + description: "- l'\xE9l\xE9ment secret d'authentification d'un compte partag\xE9\ + \ doit \xEAtre renouvel\xE9 r\xE9guli\xE8rement et \xE0 chaque retrait d'un\ + \ utilisateur de ce compte ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node110 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107 + description: "- les utilisateurs qui n'en ont pas la responsabilit\xE9, ne peuvent\ + \ pas modifier les \xE9l\xE9ments secrets d'authentification. Ils ne peuvent\ + \ pas non plus acc\xE9der \xE0 ces \xE9l\xE9ments en clair ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node111 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107 + description: "- lorsque les \xE9l\xE9ments secrets d'authentification sont des\ + \ mots de passe, les utilisateurs ne doivent pas les r\xE9utiliser entre comptes\ + \ privil\xE9gi\xE9s ou entre un compte privil\xE9gi\xE9 et un compte non privil\xE9\ + gi\xE9 ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node112 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107 + description: "- lorsque les \xE9l\xE9ments secrets d'authentification sont des\ + \ mots de passe, ceux-ci sont conformes aux r\xE8gles de l'art telles que\ + \ celles pr\xE9conis\xE9es par l'Agence nationale de la s\xE9curit\xE9 des\ + \ syst\xE8mes d'information, en mati\xE8re de complexit\xE9 (longueur du mot\ + \ de passe et types de caract\xE8res), en tenant compte du niveau de complexit\xE9\ + \ maximal permis par la ressource concern\xE9e, et en mati\xE8re de renouvellement." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node113 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12 + description: "Lorsque la ressource ne permet pas techniquement de modifier l'\xE9\ + l\xE9ment secret d'authentification, l'op\xE9rateur met en place un contr\xF4\ + le d'acc\xE8s appropri\xE9 \xE0 la ressource concern\xE9e ainsi que des mesures\ + \ de tra\xE7abilit\xE9 des acc\xE8s et de r\xE9duction du risque li\xE9 \xE0\ + \ l'utilisation d'un \xE9l\xE9ment secret d'authentification fixe." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node114 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12 + description: "L'op\xE9rateur d\xE9crit dans le dossier d'homologation du SIIV\ + \ concern\xE9 ces mesures et les raisons techniques ayant emp\xEAch\xE9 la\ + \ modification de l'\xE9l\xE9ment secret d'authentification." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:13 + assessable: false + depth: 1 + ref_id: '13' + name: "R\xE8gle relative aux droits d'acc\xE8s" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:13 + description: "L'op\xE9rateur d'importance vitale d\xE9finit, conform\xE9ment\ + \ \xE0 sa politique de s\xE9curit\xE9 des syst\xE8mes d'information, les r\xE8\ + gles de gestion et d'attribution des droits d'acc\xE8s aux ressources de ses\ + \ syst\xE8mes d'information d'importance vitale (SIIV), et respecte les r\xE8\ + gles suivantes :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node117 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116 + description: "- l'op\xE9rateur n'attribue \xE0 un utilisateur ou \xE0 un processus\ + \ automatique les droits d'acc\xE8s \xE0 une ressource que si cet acc\xE8\ + s est strictement n\xE9cessaire \xE0 l'exercice des missions de l'utilisateur\ + \ ou au fonctionnement du processus automatique ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node118 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116 + description: "- l'op\xE9rateur d\xE9finit les acc\xE8s aux diff\xE9rentes fonctionnalit\xE9\ + s de cette ressource et en attribue les droits uniquement aux utilisateurs\ + \ et aux processus automatiques qui en ont strictement le besoin ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node119 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116 + description: "- les droits d'acc\xE8s sont r\xE9vis\xE9s p\xE9riodiquement,\ + \ au moins tous les ans, par l'op\xE9rateur. Cette r\xE9vision porte sur les\ + \ liens entre les comptes, les droits d'acc\xE8s associ\xE9s et les ressources\ + \ ou les fonctionnalit\xE9s qui en font l'objet ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node120 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116 + description: "- l'op\xE9rateur \xE9tablit et tient \xE0 jour la liste des comptes\ + \ privil\xE9gi\xE9s. Toute modification d'un compte privil\xE9gi\xE9 (ajout,\ + \ suppression, suspension ou modification des droits associ\xE9s) fait l'objet\ + \ d'un contr\xF4le formel de l'op\xE9rateur destin\xE9 \xE0 v\xE9rifier que\ + \ les droits d'acc\xE8s aux ressources et fonctionnalit\xE9s sont attribu\xE9\ + s selon le principe du moindre privil\xE8ge (seuls les droits strictement\ + \ n\xE9cessaires sont accord\xE9s) et en coh\xE9rence avec les besoins d'utilisation\ + \ du compte." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:14 + assessable: false + depth: 1 + ref_id: '14' + name: "R\xE8gle relative aux comptes d'administration" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node122 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:14 + description: "L'op\xE9rateur d'importance vitale cr\xE9e des comptes (appel\xE9\ + s \"comptes d'administration\") destin\xE9s aux seules personnes (appel\xE9\ + es administrateurs) charg\xE9es d'effectuer les op\xE9rations d'administration\ + \ (installation, configuration, gestion, maintenance, supervision, etc.) des\ + \ ressources de ses syst\xE8mes d'information d'importance vitale (SIIV)." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:14 + description: "L'op\xE9rateur d\xE9finit, conform\xE9ment \xE0 sa politique de\ + \ s\xE9curit\xE9 des syst\xE8mes d'information, les r\xE8gles de gestion et\ + \ d'attribution des comptes d'administration de ses SIIV, et respecte les\ + \ r\xE8gles suivantes :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node124 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123 + description: "- l'attribution des droits aux administrateurs respecte le principe\ + \ du moindre privil\xE8ge (seuls les droits strictement n\xE9cessaires sont\ + \ accord\xE9s). En particulier, afin de limiter la port\xE9e des droits individuels,\ + \ ils sont attribu\xE9s \xE0 chaque administrateur en les restreignant autant\ + \ que possible au p\xE9rim\xE8tre fonctionnel et technique dont cet administrateur\ + \ est responsable ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node125 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123 + description: "- un compte d'administration est utilis\xE9 exclusivement pour\ + \ se connecter \xE0 un syst\xE8me d'information d'administration (syst\xE8\ + me d'information utilis\xE9 pour les op\xE9rations d'administration des ressources)\ + \ ou \xE0 une ressource administr\xE9e ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node126 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123 + description: "- les op\xE9rations d'administration sont effectu\xE9es exclusivement\ + \ \xE0 partir de comptes d'administration, et inversement, les comptes d'administration\ + \ sont utilis\xE9s exclusivement pour les op\xE9rations d'administration ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node127 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123 + description: "- lorsque l'administration d'une ressource ne peut pas techniquement\ + \ \xEAtre effectu\xE9e \xE0 partir d'un compte sp\xE9cifique d'administration,\ + \ l'op\xE9rateur met en place des mesures permettant d'assurer la tra\xE7\ + abilit\xE9 et le contr\xF4le des op\xE9rations d'administration r\xE9alis\xE9\ + es sur cette ressource et des mesures de r\xE9duction du risque li\xE9 \xE0\ + \ l'utilisation d'un compte non sp\xE9cifique \xE0 l'administration. Il d\xE9\ + crit dans le dossier d'homologation du SIIV concern\xE9 ces mesures ainsi\ + \ que les raisons techniques ayant emp\xEAch\xE9 l'utilisation d'un compte\ + \ d'administration ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node128 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123 + description: "- l'op\xE9rateur \xE9tablit et tient \xE0 jour la liste des comptes\ + \ d'administration de ses SIIV et les g\xE8re en tant que comptes privil\xE9\ + gi\xE9s." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:15 + assessable: false + depth: 1 + ref_id: '15' + name: "R\xE8gle relative aux syst\xE8mes d'information d'administration" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:15 + description: "L'op\xE9rateur d'importance vitale applique les r\xE8gles suivantes\ + \ aux syst\xE8mes d'information utilis\xE9s pour effectuer l'administration\ + \ de ses syst\xE8mes d'information d'importance vitale (SIIV), qui sont appel\xE9\ + s \"syst\xE8mes d'information d'administration\" :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node131 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- les ressources mat\xE9rielles et logicielles des syst\xE8mes\ + \ d'information d'administration sont g\xE9r\xE9es et configur\xE9es par l'op\xE9\ + rateur ou, le cas \xE9ch\xE9ant, par le prestataire qu'il a mandat\xE9 pour\ + \ r\xE9aliser les op\xE9rations d'administration ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node132 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- les ressources mat\xE9rielles et logicielles des syst\xE8mes\ + \ d'information d'administration sont utilis\xE9es exclusivement pour r\xE9\ + aliser des op\xE9rations d'administration. Cependant, lorsque des raisons\ + \ techniques ou organisationnelles le justifient, le poste de travail physique\ + \ de l'administrateur peut \xEAtre utilis\xE9 pour r\xE9aliser des op\xE9\ + rations autres que des op\xE9rations d'administration. Dans ce cas, des m\xE9\ + canismes de durcissement du syst\xE8me d'exploitation du poste de travail\ + \ et de cloisonnement doivent \xEAtre mis en place pour permettre d'isoler\ + \ l'environnement logiciel utilis\xE9 pour ces autres op\xE9rations de l'environnement\ + \ logiciel utilis\xE9 pour les op\xE9rations d'administration ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node133 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- un environnement logiciel utilis\xE9 pour effectuer des op\xE9\ + rations d'administration ne doit pas \xEAtre utilis\xE9 \xE0 d'autres fins,\ + \ comme l'acc\xE8s \xE0 des sites ou serveurs de messagerie sur internet ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node134 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- un utilisateur ne doit pas se connecter \xE0 un syst\xE8me d'information\ + \ d'administration au moyen d'un environnement logiciel utilis\xE9 pour d'autres\ + \ fonctions que des op\xE9rations d'administration ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node135 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- les flux de donn\xE9es associ\xE9s \xE0 des op\xE9rations autres\ + \ que des op\xE9rations d'administration doivent, lorsqu'ils transitent sur\ + \ les syst\xE8mes d'information d'administration, \xEAtre cloisonn\xE9s au\ + \ moyen de m\xE9canismes de chiffrement et d'authentification conformes aux\ + \ r\xE8gles pr\xE9conis\xE9es par l'Agence nationale de la s\xE9curit\xE9\ + \ des syst\xE8mes d'information ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node136 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- les syst\xE8mes d'information d'administration sont connect\xE9\ + s aux ressources \xE0 administrer au travers d'une liaison r\xE9seau physique\ + \ utilis\xE9e exclusivement pour les op\xE9rations d'administration. Ces ressources\ + \ sont administr\xE9es au travers de leur interface d'administration physique.\ + \ Lorsque des raisons techniques emp\xEAchent d'administrer une ressource\ + \ au travers d'une liaison r\xE9seau physique ou de son interface d'administration\ + \ physique, l'op\xE9rateur met en \u0153uvre des mesures de r\xE9duction du\ + \ risque telles que des mesures de s\xE9curit\xE9 logique. Dans ce cas, il\ + \ d\xE9crit ces mesures et leurs justifications dans le dossier d'homologation\ + \ du SIIV concern\xE9 ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node137 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- lorsqu'ils ne circulent pas dans le syst\xE8me d'information\ + \ d'administration, les flux d'administration sont prot\xE9g\xE9s par des\ + \ m\xE9canismes de chiffrement et d'authentification conformes aux r\xE8gles\ + \ pr\xE9conis\xE9es par l'Agence nationale de la s\xE9curit\xE9 des syst\xE8\ + mes d'information. Si le chiffrement et l'authentification de ces flux ne\ + \ sont pas possibles pour des raisons techniques, l'op\xE9rateur met en \u0153\ + uvre des mesures permettant de prot\xE9ger la confidentialit\xE9 et l'int\xE9\ + grit\xE9 de ces flux et de renforcer le contr\xF4le et la tra\xE7abilit\xE9\ + \ des op\xE9rations d'administration. Dans ce cas, il d\xE9crit ces mesures\ + \ et leurs justifications dans le dossier d'homologation du SIIV concern\xE9\ + \ ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node138 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- les journaux enregistrant les \xE9v\xE9nements g\xE9n\xE9r\xE9\ + s par les ressources utilis\xE9es par les administrateurs ne contiennent aucun\ + \ mot de passe ou autre \xE9l\xE9ment secret d'authentification en clair ou\ + \ sous forme d'empreinte cryptographique." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:16 + assessable: false + depth: 1 + ref_id: '16' + name: "R\xE8gle relative au cloisonnement" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node140 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:16 + description: "L'op\xE9rateur d'importance vitale proc\xE8de au cloisonnement\ + \ de ses syst\xE8mes d'information d'importance vitale (SIIV) afin de limiter\ + \ la propagation des attaques informatiques au sein de ses syst\xE8mes ou\ + \ ses sous-syst\xE8mes. Il respecte les r\xE8gles suivantes :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node141 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node140 + description: "- chaque SIIV est cloisonn\xE9 physiquement ou logiquement vis-\xE0\ + -vis des autres syst\xE8mes d'information de l'op\xE9rateur et des syst\xE8\ + mes d'information de tiers ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node142 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node140 + description: "- lorsqu'un SIIV est lui-m\xEAme constitu\xE9 de sous-syst\xE8\ + mes, ceux-ci sont cloisonn\xE9s entre eux physiquement ou logiquement. Un\ + \ sous-syst\xE8me peut \xEAtre constitu\xE9 pour assurer une fonctionnalit\xE9\ + \ ou un ensemble homog\xE8ne de fonctionnalit\xE9s d'un SIIV ou encore pour\ + \ isoler des ressources d'un SIIV n\xE9cessitant un m\xEAme besoin de s\xE9\ + curit\xE9 ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node143 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node140 + description: "- seules les interconnexions strictement n\xE9cessaires au bon\ + \ fonctionnement et \xE0 la s\xE9curit\xE9 d'un SIIV sont mises en place entre\ + \ le SIIV et les autres syst\xE8mes ou entre les sous-syst\xE8mes du SIIV." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node144 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:16 + description: "L'op\xE9rateur d\xE9crit dans le dossier d'homologation de chaque\ + \ SIIV les m\xE9canismes de cloisonnement qu'il met en place." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:17 + assessable: false + depth: 1 + ref_id: '17' + name: "R\xE8gle relative au filtrage" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node146 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:17 + description: "L'op\xE9rateur d'importance vitale met en place des m\xE9canismes\ + \ de filtrage des flux de donn\xE9es circulant dans ses syst\xE8mes d'information\ + \ d'importance vitale (SIIV) afin de bloquer la circulation des flux inutiles\ + \ au fonctionnement de ses syst\xE8mes et susceptibles de faciliter des attaques\ + \ informatiques. Il respecte les r\xE8gles suivantes :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node147 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node146 + description: "- l'op\xE9rateur d\xE9finit les r\xE8gles de filtrage des flux\ + \ de donn\xE9es (filtrage sur les adresses r\xE9seau, sur les protocoles,\ + \ sur les num\xE9ros de port, etc.) permettant de limiter la circulation des\ + \ flux aux seuls flux de donn\xE9es n\xE9cessaires au fonctionnement et \xE0\ + \ la s\xE9curit\xE9 de ses SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node148 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node146 + description: "- les flux entrants et sortants des SIIV ainsi que les flux entre\ + \ sous-syst\xE8mes des SIIV sont filtr\xE9s au niveau de leurs interconnexions\ + \ de mani\xE8re \xE0 ne permettre la circulation que des seuls flux strictement\ + \ n\xE9cessaires au fonctionnement et \xE0 la s\xE9curit\xE9 des SIIV. Les\ + \ flux qui ne sont pas conformes aux r\xE8gles de filtrage sont bloqu\xE9\ + s par d\xE9faut ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node149 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node146 + description: "- l'op\xE9rateur \xE9tablit et tient \xE0 jour une liste des r\xE8\ + gles de filtrage mentionnant l'ensemble des r\xE8gles en vigueur ou supprim\xE9\ + es depuis moins d'un an. Cette liste pr\xE9cise pour chaque r\xE8gle :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node150 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node149 + description: "- le motif et la date de la mise en \u0153uvre, de la modification\ + \ ou de la suppression de la r\xE8gle ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node151 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node149 + description: "- les modalit\xE9s techniques de mise en \u0153uvre de la r\xE8\ + gle." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node152 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:17 + description: "L'op\xE9rateur d\xE9crit dans le dossier d'homologation de chaque\ + \ SIIV les m\xE9canismes de filtrage qu'il met en place." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:18 + assessable: false + depth: 1 + ref_id: '18' + name: "R\xE8gle relative aux acc\xE8s \xE0 distance" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node154 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:18 + description: "L'op\xE9rateur d'importance vitale prot\xE8ge les acc\xE8s \xE0\ + \ ses syst\xE8mes d'information d'importance vitale (SIIV) effectu\xE9s \xE0\ + \ travers des syst\xE8mes d'information tiers." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node155 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:18 + description: "En particulier, lorsque l'op\xE9rateur ou un prestataire qu'il\ + \ a mandat\xE9 \xE0 cet effet acc\xE8de \xE0 un SIIV \xE0 travers un syst\xE8\ + me d'information tiers \xE0 ceux de l'op\xE9rateur ou du prestataire, l'op\xE9\ + rateur applique ou fait appliquer \xE0 son prestataire les r\xE8gles suivantes\ + \ :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node156 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node155 + description: "- l'acc\xE8s au SIIV est prot\xE9g\xE9 par des m\xE9canismes de\ + \ chiffrement et d'authentification conformes aux r\xE8gles pr\xE9conis\xE9\ + es par l'Agence nationale de la s\xE9curit\xE9 des syst\xE8mes d'information\ + \ ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node157 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node155 + description: "- le m\xE9canisme d'authentification utilis\xE9 est renforc\xE9\ + \ en mettant en \u0153uvre une authentification \xE0 double facteur (authentification\ + \ impliquant \xE0 la fois un \xE9l\xE9ment secret et un autre \xE9l\xE9ment\ + \ propre \xE0 l'utilisateur) ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node158 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node155 + description: "- les \xE9quipements utilis\xE9s pour acc\xE9der au SIIV sont\ + \ g\xE9r\xE9s et configur\xE9s par l'op\xE9rateur ou, le cas \xE9ch\xE9ant,\ + \ par le prestataire. Les m\xE9moires de masse de ces \xE9quipements sont\ + \ en permanence prot\xE9g\xE9es par des m\xE9canismes de chiffrement et d'authentification\ + \ conformes aux r\xE8gles pr\xE9conis\xE9es par l'Agence nationale de la s\xE9\ + curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:19 + assessable: false + depth: 1 + ref_id: '19' + name: "R\xE8gle relative \xE0 l'installation de services et d'\xE9quipements" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node160 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:19 + description: "L'op\xE9rateur d'importance vitale respecte les r\xE8gles suivantes\ + \ lorsqu'il installe des services et des \xE9quipements sur ses syst\xE8mes\ + \ d'information d'importance vitale (SIIV) :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node161 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node160 + description: "- l'op\xE9rateur installe sur ses SIIV les seuls services et fonctionnalit\xE9\ + s qui sont indispensables au fonctionnement ou \xE0 la s\xE9curit\xE9 de ses\ + \ SIIV. L'op\xE9rateur d\xE9sactive les services et les fonctionnalit\xE9\ + s qui ne sont pas indispensables, notamment ceux install\xE9s par d\xE9faut,\ + \ et les d\xE9sinstalle si cela est possible. Lorsque la d\xE9sinstallation\ + \ n'est pas possible, l'op\xE9rateur le mentionne dans le dossier d'homologation\ + \ du SIIV concern\xE9 en pr\xE9cisant les services et fonctionnalit\xE9s concern\xE9\ + s et les mesures de r\xE9duction du risque mises en \u0153uvre ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node162 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node160 + description: "- l'op\xE9rateur ne connecte \xE0 ses SIIV que des \xE9quipements,\ + \ mat\xE9riels p\xE9riph\xE9riques et supports amovibles qu'il a d\xFBment\ + \ r\xE9pertori\xE9s et qui sont indispensables au fonctionnement ou \xE0 la\ + \ s\xE9curit\xE9 de ses SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node163 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node160 + description: "- les supports amovibles inscriptibles connect\xE9s aux SIIV sont\ + \ utilis\xE9s exclusivement pour les besoins de ces SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node164 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node160 + description: "- l'op\xE9rateur proc\xE8de, avant chaque utilisation de supports\ + \ amovibles, \xE0 l'analyse de leur contenu, notamment \xE0 la recherche de\ + \ code malveillant. L'op\xE9rateur met en place, sur les \xE9quipements auxquels\ + \ sont connect\xE9s ces supports amovibles, des m\xE9canismes de protection\ + \ contre les risques d'ex\xE9cution de code malveillant provenant de ces supports." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:20 + assessable: false + depth: 1 + ref_id: '20' + name: "R\xE8gle relative aux indicateurs" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:20 + description: "L'op\xE9rateur d'importance vitale \xE9value et tient \xE0 jour,\ + \ pour chaque syst\xE8me d'information d'importance vitale (SIIV), les indicateurs\ + \ suivants :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node167 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + description: "- des indicateurs relatifs au maintien en conditions de s\xE9\ + curit\xE9 des ressources :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node168 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + description: "- le pourcentage de postes utilisateurs dont les ressources syst\xE8\ + mes ne sont pas install\xE9es dans une version support\xE9e par le fournisseur\ + \ ou le fabricant ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node169 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + description: "- le pourcentage de serveurs dont les ressources syst\xE8mes ne\ + \ sont pas install\xE9es dans une version support\xE9e par le fournisseur\ + \ ou le fabricant ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node170 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + description: "- le pourcentage de postes utilisateurs dont les ressources syst\xE8\ + mes ne sont pas mises \xE0 jour ou corrig\xE9es du point de vue de la s\xE9\ + curit\xE9 depuis au moins 15 jours \xE0 compter de la disponibilit\xE9 des\ + \ versions mises \xE0 jour ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node171 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + description: "- le pourcentage de serveurs dont les ressources syst\xE8mes ne\ + \ sont pas mises \xE0 jour ou corrig\xE9es du point de vue de la s\xE9curit\xE9\ + \ depuis au moins 15 jours \xE0 compter de la disponibilit\xE9 des versions\ + \ mises \xE0 jour ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node172 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + description: "- des indicateurs relatifs aux droits d'acc\xE8s des utilisateurs\ + \ et \xE0 l'authentification des acc\xE8s aux ressources :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node173 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node172 + description: "- le pourcentage d'utilisateurs acc\xE9dant au SIIV au moyen de\ + \ comptes partag\xE9s ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node174 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node172 + description: "- le pourcentage d'utilisateurs acc\xE9dant au SIIV au moyen de\ + \ comptes privil\xE9gi\xE9s ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node175 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node172 + description: "- le pourcentage de ressources dont les \xE9l\xE9ments secrets\ + \ d'authentification ne peuvent pas \xEAtre modifi\xE9s par l'op\xE9rateur\ + \ ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node176 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + description: "- des indicateurs relatifs \xE0 l'administration des ressources\ + \ :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node177 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node176 + description: "- le pourcentage de ressources administr\xE9es dont l'administration\ + \ est effectu\xE9e \xE0 partir d'un compte non sp\xE9cifique d'administration\ + \ ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node178 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node176 + description: "- le pourcentage de ressources administr\xE9es dont l'administration\ + \ ne peut pas \xEAtre effectu\xE9e au travers d'une liaison r\xE9seau physique\ + \ ou d'une interface d'administration physique ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node179 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node176 + description: "- le pourcentage de ressources administr\xE9es dont les flux d'administration\ + \ ne peuvent pas \xEAtre prot\xE9g\xE9s par des m\xE9canismes de chiffrement\ + \ et d'authentification lorsque ces flux ne circulent pas dans le syst\xE8\ + me d'information d'administration." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node180 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:20 + description: "L'op\xE9rateur pr\xE9cise pour chaque indicateur la m\xE9thode\ + \ d'\xE9valuation employ\xE9e et, le cas \xE9ch\xE9ant, la marge d'incertitude\ + \ de son \xE9valuation. Lorsqu'un indicateur \xE9volue de fa\xE7on significative\ + \ par rapport \xE0 l'\xE9valuation pr\xE9c\xE9dente, l'op\xE9rateur en pr\xE9\ + cise les raisons." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node181 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:20 + description: "Les indicateurs ainsi r\xE9unis sont des documents confidentiels\ + \ susceptibles de contenir des informations dont la r\xE9v\xE9lation est r\xE9\ + prim\xE9e par les dispositions de l'article 226-13 du code p\xE9nal. Ils sont,\ + \ le cas \xE9ch\xE9ant, couverts par le secret de la d\xE9fense nationale." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node182 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:20 + description: "L'op\xE9rateur communique, une fois par an, \xE0 l'Agence nationale\ + \ de la s\xE9curit\xE9 des syst\xE8mes d'information, ces indicateurs mis\ + \ \xE0 jour sur un support \xE9lectronique, dans un format qui peut \xEAtre\ + \ lu par les principaux logiciels bureautiques accessibles au public." diff --git a/tools/lpm/lpm-oiv-2019.xlsx b/tools/lpm/lpm-oiv-2019.xlsx new file mode 100644 index 0000000000000000000000000000000000000000..4cae4d185e2365e321148bdf0c3d9ce00b73358e GIT binary patch literal 26242 zcmeFXW0NSs7A4xYZQHhO+qP}nwr$(CZM*w4PTOiDSCBcK1sok&Pop85s>BRhaShS0QJ zxck0skp4PV8Yw2srkJRwGK}G5ds-eJ4S$C|YM2No#h;xC)l#1Zt6ngGAZS?wSkWk| z6)lF@e$IE0AEa1T>Tj6v;v@Mc5;w^2h_KI{aOvqsnKY9aOl(VYQ0niG#CxVw4e=36 z`vkV&hA`DUHZgbm^IJC>@l1*c_$QJxbQk*B_i&A_8bc0cmB53O9zgc1=8(i_vf_&907 zv%gjg%foc8=LkFGaP`FfWKcAI#oj-i`rk<+Ras{E@h>CdzyJVP01$v4HuV3KC+_x6 z)<*XB*8kD4|Bo|(|Ag${Q~vKBJxQ}xBMdMhccFd3i@lCXKMGS^-jt!eZQI}sjY#3L zHpZ3wo}XDMw`>h1=?ldqERT#cW}lo-N4UhUdz2JSI3QhH*>kN>dav^8uLKdT%w4Z= zs4)@^wRH4s^BdN3@+RE^M3o#$2ARXbDJt4HET((~(&=O4g3egR)WLP|U80(2@3}Gk ztOZ$?QMrl;?q^sdelU~o_O|;hy0P(ne%K2Sn9!4v(8&dHv`s;lUwUYoK%ky^g*wTH z!{fl3B7BZG>LlgTogm6z%rizz?bbsHtBAAE<0^byrOev&q|VJ$F!8=uAC1&3v-~ek zYQI;||0m>#T#>Ro{6kF>Bme;XKS=yT&i{&;8dY2SVh)5Kzol<*xM%9oGg=Tx^yFr~ zp=5&DLhCiX7@GO%o~T)1DJ8a%u-aeF_!KUEx%^zyo6qa;)N%N;02HJ$H!D>|+i0Vq z+D7o4;@TRT&x#78$czTlatlgQQcI~SZ^H=%?jo#ZX@^MQ1P`uTt1YCU`wDBff+Dt% zL0wEoxjKnhM;RYr5#fE#QF$x_jzq1>^uiRBEut)r3QvP-t|GjEeU6C@&Q^fVw6&M;kHja&K6Inl@SPoSkj$e!MP4%RG$RedH$lB<3}R!5@yCV< zY6YtiN$kNFy?fimdHS`PvG#6DtrO_JhO&H=SS?pXs%TE4(3+otlznCPX(RZiKh=ck z#^}Vze)`a#TN|dh$bM+i3QQ1x&A22S6P3^kVmQ`TSVR^%?@=ur($(d!?ga4Gb5QJb z6#75QC{WNWppQTiQxY{Lt&6CN(O+d+`lllF$bwQ^E!9J)hCA{3p_};3!4U)7+ zq{yf@E-Bf6s7>oQ>PdIsVtooso)~X_fzu`nkxzud*cNZ}`RCI@h=~;I)u%EXd=vGC zFn5#6I|LOZJEl^b(F5--;VSpE&%JeQoHB+|TugEq=2Qf^X?Gs=i zihz>$R=FK5EHEzvllp9Q5oJ4q7gv~{V#lhtd^SHlb{p<|mI1HX-p4JPzmpO3va-F_ z(7rz+EKa}O21mu58y@GSR%K<@;d_0y&ZqFI46F&}0Y{f8+(gn%K>aPaeVt z_MGUpjF8|)Mn6>`y5qaf0#?2V^;R}d7`TA4ifnCJDTR!KH{*VtmfdA5pU%0Al8Pjv zCaSF42wG_em!VQiQ_)vANJ^>P?AMZRpq-;texu@Zu)%6cr_B=bcH*tNt z#<%G#U^=JEMJ_|4eW@XJ`Z4ZMC#pzNJ8`M&>;`~SPHly=+l zy!@*U3Wxvzu>Z3McEVhcTb$Rb)ve68sJc!y$Ik zRA`W1%!{&R5tOfKpkzo2BDIjRdZqt-Nb6kF61!UqwE!a&$t`GITb*^e_L1SNqc;%& z^`$5|))ZE%+38XSMQ_O*&A{^5-#E#DS|OV8@PmaIKbtDYI!#j7TqZG9wWC3E^5pmG zLss4=0j`e0JKnPVXn@KUdl9$2Vsq!5Nv$=lpa)z}HI;C_r`@jPc5&kN~TwltU#>NmN; zV(wCTlH>*_T(!z9pn1I6KNju5do9pMOF_Pe_H_73z={4nmL}G!X#U>_k zZY+_R24DJo0#cyo-1j8LEirt3!~6W)_y_FjCg@b$@q-i6l@K1AojhhYQ{h+V)-7?e zRQ56gcD}<8eh_YSnWXmzwaw;r>o%j!&}|8!b`) ztxU_s^?+0-mSr}U+Q|VmFnNJ4k#DrFKya3;0g?;6``U_dSa4r!Pg0vE)S)AI#XM33$7)!!Nd} zBEZ*+5$UG$4?pi+wv*z_ux#w&qV+0uiw$TZ!N*Y1j$WkOpYnt!{r_Wucrj=Z>;MM< zKqUH)b@Jc#!NtPV)|CFgk?}ue;znyW9=jd2AAI6hU`BUs=EB>MbD^C5<<{#kRrf?f zG9^rJ&Otz_n;HcW>U>2y5Xf>-I&ja6A_~kR0Ic&Qp3#6<_BVpZNi6FyDysKKAj!y` zo_Xbt_vfs4e4IVr`8ByZqY#>iBy3C~D_>aFnl{cOH^uUmT*yc0p$+eF&Q_%VI@6zK7BVTLko`A^9Yh0S_!tsk&~ z6*{}s^=~a7@IW&rkL6ft4YLKyw_Ap>bivJ1VfQkW6wU1ri4SdqKqFi4Xd&P3!h7PH!j;2e-=* z_iWid*4aG}=wd@G9q(umxs`s+=o==wF@OcZa1@zDt#Z=E?MS6C8|W|0%7bRy*0X^L#t`_ae2jj=5=NG$&lDk)4+_NpHPPB*r!LS!;KQ> zAR{&Q7ew`h=wBOJGt(Ujs{5xThBz^2qEhLz#DH^J&Tqo7ku#T1M(uGnB?_em+E=KoIpZ6_AJ@ zQ&OD19{G-5ymgzvNb2b)5gXI>yn?xli~2M*3w*?(d(u4Qpgf-|gN5@-)5oBvV2GwE zLPyXwV4Lx(KKY0cCdqZyZpyzAQq(5%6G?Z6&OLo;9%~$tjT`0fAU$@Ww<-fhE(#ta zX6L2{kfDF!k47z1#F1Q5g1lSguPsArd!_fK-FxanPy5+5jT`9lcU^RYU^*LNNM6|6 zW3*0Vk`!er&8SjyOa23Ufme|Q=ILARr9 zOb`sN+E+x)5#T-VZ({RC|+0yzR zQ{^rLu+pv{@MaHcf391vFpnu9250@y`J{Ay9_!xXyjxxVjG3H51gIU=m3L=Z?~O0d zr-N=~zi$y8;vj{l&JKA&T;DneTqF~k|Xpe@p~Pzfefc-CT&9fWve7bRf27dVT#VK zNq#3Ui-H)j*m-_>v>y&6C5tpU;c9U4uRIazJ@B(U8MtmspEMFQtGanzifD6jgQnz@ zMw`=*ecKLhCD9M;o-cYQ&1y>Zh#?%osul2dmm|f&2g$5HN0}RL%dCm$x8_#P`>qwP zBf>XM6XV!dn%d+E&W1IW9^bLGRp^?|$Asy!9=cSzYq;zA)8|*emPY+DF4t(OWhrW( zeQWb^==P3OZG_&cVcPlWHTTCR2^XZwIosp4w_l_-W2UGK^X|+rx8+eWd&|29LaJNd zIexb-J7gKjzWX_N=ec5)d!(#^CD0yjZrXg?=L05b96=6Iore358RSmp5)&`#Si3Tx z{&~8LStQwGC!JKY%1;IjLax4R?}94lS@^go>j08Kb{4wYhT4MWpUohz=4sJp&~DVZ zsSWGrD%zgZ4V-4XP+99mQEgpYxfR!1JF_*o>AbBHLu1O0tyZFzNzkw*PVSjmC;F32 z>QwbDhfuX3x8D7aSUq0^HZauwT@2N$)-HWZcCS{c`o#*+VzC4G&%<*8c~QrOi9R2U zVM_$<^L_q|hg^GtquIdqT+I0D9iL+b);;!p0g%HVdxC*P0csr3=LU2*s$j!~nw4S0 z<|VsTuT;SeoG{*vmh9ubbG$Bwg93h>xbfJAB^-dd+gGeqy?(X|mhECc4mh#rLihup z&(5HBj9h1D?Saxm*E{k5qtI8q%T8VVTM5*|{M#q_pF;m1pTOC|)YQe9{=b+1s(nuK zc3d_CLf9SkGcL_OI0HhOh@={474>t`)x#E}uo0-S6?b{v$1QI1upMfplseE@!1pYF z-hS|SaMc7{OllXN5}HVg0Idt*^=g9OXV=9^ipKbLka|}bA#YG=eDUiYn71vP8|(oD zk`;G}^?8;bhE^lksBHmu#e;lh>=B&)ELBS^pk7O~3hJ0*N@&z{Rvv_}GrVwmDGI}~ zQFVbEc|>3o_lo^`QzLp7((3^Vd$#Q|q84j}#*|c-F?6X&T#~lQp>(Q6D4I#TbB!9(s1(G_Fr#9`jaE6uG(KZ7-?Z(?n~^qps0PaNZ0zBH_)^m z#57$)zit_S>S#jWJd(#v6CPZ5vSW)i$ui5m%#y{PM~2*ayuWriO+J6Kj1ola9{!}wMcD+NCW(%nvo`6gFS=RPJ+-9Sn#~|5nl&)d-|Ah<{ z$ru&_9nubWfZ^t-H`{ySpSN_*XYL{MZ{!` z@BIaEYIS>Sjm|#YU7?R-ZUC~4F$&r!N9+sDKc-fa)k~Y*#I{uf9 zAfCwLkZ;x8{ckt@pZ{X&zab@6(JuI(Sz90E6c7k(Yl)h$_DmE(_*|I{b+xv=E{Bkr zyF_Y_`aKjL`)xe-$RJa0cctb0{V`b=3zQnWziT?8AFgEDui*N9_~?f<=GP$;OSRWx zB`bfy-S`5chyQR@ODp4NExR{AvWTc<3Jv%ibW)+yGa=#~d8&t?C!X?>`QJfRmr{p0l^yxluwM+8v4z@029kGU(+IP?C4ij4i{TBu; z_wXn7o*SrI|D)E|T4T3+0p8=|)LTA+VKr%o_cbOK= z$jn3qPBc~EHiwTePq<`eX0QgQ=rlJt)Yrh5oTP=0`mURao-AF%>taX{AO{MG`jLP< zGBV#VAF}VvI^Fh9{>RMw{rzufqLh%4f0m_@nxCOon~;>HZd7GjU{+V6n39`ke06xbbPVBd69mOZi;SRQkJ&yALICc_X#?g zvzBeB0079#002<_&G_dcI$IbznVKlOI9b}6|JN?K(VdRNSx?->zUL?LT9ysi^@(L^ z6H5|QXc+|LMU$Aimz$`Yx|OS>YEIEyCHgh!$-}>&D>7$>zUy%|{;{5mjQE`D$<*B? zv7LQl3g`OZf@I7 z*ZyYi?pMF>qS|>wUuD&;x9jck`!oK!X1a@m679Bb!_V#U^e_(}rK{}UUY&QLkH_cX za{pfL`~6lpH{D*}$LGyDO$XCHKH5(z_KZKEB}Uxej-FgO+UmaT z)!kOQtlNHXm?g)^?PU2buD^fC$=LI2*shP;`gr_2eh25rt69IMAL;#lzp~ByXZ=1$ zSK-gAtLX3F@6G$I+!2Pv#?%Z7v#R;io*fc+81tX9odT0Xh!@p&OGgPgf8JJ`_mA%4`>FK!eE(ius?$f&!{PG};=hCX{N8WY z_kYbstH=NTnOp|)_x}2_bW{-0_Xx7z3eLyZ`~F!yRv#Vw_rp4_>wa2#y|iiEM~Cy# zIU+&R%Q&j_(`VZbK)ACnny5ai+nWmC{7Uibv@L?M;4h$k`bN&Ho2WZi-`w?|>_7gj z!dri>|81~Sft@f9fA(5-Qy`13>ZobwNc17{S7L|80komQ$LMXSR`a+e?Nhvkf>>+Y za`mu+>>L6%0muyhdFGEEKg5RiNmU+7Ru7kNKW%%v)_>cBH38|WqhQZg?S&Yo@3!qd zfY-}Gfyd+Z^7xX6kHg=I{e4d0kLT~5PYqcbF*+b6O+Trz`nW3RFSNQT#QwJ?`b<`J z)l+6bTb<+#IX$WAewE$M-K|c4{ds1m_j|v(ywlqq|K`5g>S)M;}~s7@5a zlJ4iPY5p7E%;=-I`Kr2~UTz%PS;Mv+{g63hIiK_KW~8NkHAuDNhpz5_z-6Zuff+j_ zKx0;7!_l=LoA%JKtJ53WQAH6e`uFNj6_0KAm0e>kVG_<1JM9RZci-4A0pssCe)n`; zP;ZqT^U%@7bUJp%+fYvae$D;yq z{WgV`tsNZkVjrdVa(gZc6}~RZ_ERmgUalT5=~2p>~xxg7w+e?W%mF$?oQDQ?Wrb@T>gl;bB${{LMAn)f+GF-RZ9V z7GAiH4Oob)W9N>%jA#h<+F&|M6L>SYAB%g=R40$cx@}eO+ZJDvANDomg#3SO!ys~9 zoeAcQ9u<|OJ)=3s3saOwlT#9|1nvGVP&6u-U#)n2cq` zFfE(|$zKZf0KiJL8<@2i!ryLW>B%i?fqgGK;$JauWd##a;!UuFP@||XFo51-#c|HNCSsBj9g#oOPA9@a*>HqZ@e!g` zjO8pmf=-z1gtt4~xUe9pfaH*2bD;6nr#F>PHm*j8#!!NDp&%F^@)nJBjvB0yB7MuE zo8i$cN}JkUdes=nwSRf2-}Z*`gXb4NIOsTRm4_nVAoejVeT6l_;9?v8T&yXv!Z`nG z=;{WBZz-5BU7JXIEpWI&{g5o-dDyGkAK0Z##lXc>cOhZ)kUVc&5BveIKciV>q`HU`6@?=G^%qsJ0rt=EsEr9@Qnz zTJ*j+3j7dPiN-ZGs{b23I3_+G&zIEC|7AXcuS@UG{CYQYGwjX{K|MMrj>b_hJ<>Bw zF&G2^rqYn)H8PrcNoP#~eWg#=K7#A^^m){BH9FOw9P5e4jh=0F-X0LtQ60ao?yvPY zbH&w$!b^asyXzR05NO8*Gbrrjr&tEw4F#b z{d{Akbv_1FjyYh|>@^2--3%7L`M+1;cwA=+Ld|Ch)t#D#nI@CtVWggk@F9`5J?izk zZj;?HR^hI+k$9zbayLo?hf4-A`pBrl>11(~qNm8pL8`(ELgqF5&n`VyAuCi6Z^o+v znA9MriBx=H92pqy5Ri-%Z_Q)@1F;TJvR`in4Fq6JoYSxOhvVb$c%C*84Z_NG7g84< zPE@OL8A`+buvzEMCZbhk-6-iz9ycATVn|BSy zPe%uoJRUB;eb7J`HQgEd0|T9*ivyG#Ou-%YSS34dqzRHRz9h&1oP|3W1|})yc>P)e zNL$VlSE9T?H%Y)?1uh`5Ud~b>PoamR7!+&WeIrm$m;mNK z;S(1FX+j|hla0jVsxTb$2QokV{BiV<>co_52LRDhe&i9x2PuPtCEbl{J((6unYyG* z7X>m}wqv*4qs{l!I5l;sFo=mztblxKz7W}p#7jZe)r==l6PSz~UD!;&2;}KfLd=nmr6!C7NUi6{;Y3+()JQ9- ziPc=-!a^Qz(?|=FP#9$quMQ=28e|yk9PwJxqBn`t2?V=F=2EDccM`BXLNaok6Lp5P z8GV67G*;sxoXi1@aqfti&>@7$4+d0%rCGRAi$P;T2KjoOujIv4W1MVI!pI^~Nj(I! zxt#(Z%|b50J>bGV_BC#nYe46JY-PhKV5e^#reaes(TSwTfmJZm2$vF*MGY0#Z+y;$u+*`z+V(vj9EiFR}b=kA#;oQ;# zq4YF|RdxU(I+B6whB!L1|f`m;noZ%8v zJ$%usFR$-xb0M#)&BX~yKuqWcNfTyqX-bD8abgcIV2mhnC1_ROGjBERwuMTqOHRTm zO^(ZNQiCc+RY3}ZK8r*ye}^HqAgAwMyYrkfGR-HTZ_)aZt{Htv@%GoVQ|DC9T=o`@ zWZVkNSYw$7GR~gZXCPy~570puc}hoiV*+oSk#J{#xrdih7!NrF&LZS{WwPd5hVEVNP5X6DxouCywc1Sh!AjuM)Ju1Qr+JS2_%%h1n zJ0s^2n9L9h1c(?c82iXCQp~^#>o_!N81efTI&C}=+E+4dIf7y$1mmxKric3WKf;h4;Iij*Ox-@d{urBDiO|O*b$WS+YzAFT-&A zYyyEdS26)-ILMnUf&5H^!9gmQ%=JfKf-3jWk2r2%D`IuIIa(1Shmjn}5WydXdf-Oi zsS=cu`LupJYyU2wyO?c}9V8BVQGQ80f(8|dij3t3Yi7)7le!tQMVdllrFUe_$-<_h z?>Govtf*0mrI*6}&<+MpB32?79x?EW!-h^}aGLlQULa16nJMmM zL;H@wJj{ZMkfF9g;YDwNBtRM#74a~n`9oV;en&bM9%oVm8G;>sFJx%VIh{3LA$TwR zoPQsxipX`Plmkf_w+GP}gDQ>V`&X0F0h6^^I*x!oI*I%~H53N6pZ5oWsK13a?d>k^ zUOE+FHpOl_<`3P#E?s=|GF=Ruhl?cBT^lQL@n~{MxX|NehFlCPQ#Cw zbD|ceQ4>@l+0s$Eam!dS>BulIJxf1O@QSz5ZD-fqeaRZ`Hf&$j1{rZgv5zp|%4*@Z z2(|xxHuz1AN=j(WL4^wVQf!t`F`4z4%UcWq2(c#`8K;9L&gGy9P9`m%+v7-Ej5=Lf zW)015r@h<6W}*`{n6_s9ULl68>t5ven^)zVacP`;@CiW&d15huB?7*>hArc+e}6Hr zjQCy|9*AkY1f60J3qGfWpi~nK{$7c|lBobjC!#9)9=C(oTSg)p1;yaUdd-)XDsoH| z((EA>jfNN)8}+4gun5gx2I`QgEL&(9LNtRQXV-t$z2!kKrd-oW5{+#RT-+NS7YF0z z@Oz1s9K_r4A%V5I-<9gvAb}$vg2wZ1{>Lkk)ovdmQN6rss zBn{U`MiR0dqD4N+GWpiUQrf51qG(R#-0Y6^hJ-o^Txk^`SnQ5Q30chinGzCWb!RS= zBbt}btN9cDPZ+*v0K-`s(=qL%2LJ&9A#P*~;-!(NU~s5qeCb)_2)8yOp^~(c0COq+ zW-jA+%BGMHEV@5_D~B;*v8#^)+hVtIUceH=`rnZ}zLm--V9oT!0p%UzGIgq1A#Pw# z(b&~8NLrH&ANNy1+;aN;)$+LG*i}TP@jc?UvFp1}U$Kpm>wCeNA2xS`4?IECx`z`) z;%6}z_q5>d7aVqz6ouSxSmfBNkoSm*bA|A0=(mI{9)p!6?&omN>fr2P__Uh5W-}B& zd~c3LwaE4@98sLgROo$jS9XS7zjemBlsZ6o#E&R6Tq0af-5iO5{sio-l=#1&Q+F$4 zoczL+tap-V<+*7rc^!>5S~BdW6(aX!Tv8R_BxlN0Pr(_mK{@V^JyxzX!;zcrv~YFi zZ-kOZ0rr!YyJLS=m`)Cp?fA{}JM~tr6#_$qg@tuKx-4^EdF+U6xi*XqAgTrhQHQ99 zwvGFJl+-+p#Z4W6Kv_EJ^d3kzl4KB`hPnr^*tA{-QQv}m&kdvjU0)l*8GficaL(Dw zKjMccT^w!)r(m#{5YSx1|FxwQ%sgGV^&5BZmsO$Eq~3P$FDKH4fGe=_xU4@Jh@3kv zK&5Cd=}q{%421tlQ!>?icn9nt7d_@YMMWw4SlB%Zi$@UImjHjlTFB1|`vL-*wJ zTwv4OWQ56pm9)g^R8e@qASYz+z|&>>43%5opF7V0DcqzN?B8pyCgYU8k;RGfW9EfQ#A z^emsN&#aRBn^$mfL8FT&egJy-jX4oIfV7B-uC18_z37>gU!EmQo(CgUnnA>< z!>#@lvY6&+50}KM$za8npIciLsfW}BeDd;$;R+2|x774OVzT2&r`}2e&}D3q@DW-e zx}2f}D|j&Ia~w?dC!yq=8N@Czili>t;K1f{ux0iVcyI_CLp(1{&VUu+4OXxxFe-5$ zDK|BSF&|-4#RbrhEO@7YOlC2LDTQ{(CaM6|V49mMWSOOe}bePnNNzBFAR9HP2F|FS^1kzxc2s zSu-e%`iWD~XtH+3Obi(Bke&L_mAYR(`i=OEXn`by0(0fGdf18x{*t%jxkV}K)Y zb7u}66h>=o=0~2f_7p6L_+++#I&bBmnF=G2safcS9N7`9B=J;t;Z9Uwq>ADkjr0`C zvI}ku4oKuCK&j~SXfyq4c9=D+w?Q?DVPi|F#RLK3TDK)y6OU$Y6#v-sAB(uI;CiwX z`4`$^sHxkRy<(x;eqD)v$iV%@@Uf_Tjb+4RizEsQ(X~XrY!qY`dq`XjVm_{J+YLQ! z_esHT7mI7Nj=dR$zgb2fqbiKpE=NgBdYTS7^I)p_H&C9*=)jX25uJa*23{zgfR<1X zs*@wuX~bx%@K&OuqHCZfv((1kVPrX0C&OOP&X>$h0k3Cj7_`$S;YfIoO_=g%XVjF5 zRkqj6N4N|@X$jg^z9k>&Akh#Hm5mxhu}u{NyTBZy{vDi1AUtfPAcbW$s^k~bp~ z%y)xFXmzV-d2M+o&U-#XVU8;6EoHEJTt1pyMz4?ae=p+TqT1NOp}%b-2hHluktp#A z(mQo`I&Y_UH%DwuNei(pF0B?AF`jt%j!_va`3n%kWJ)Hr(i$hYPQv!BFm~d%7zNgU zmLeq;32p8!y|AC)$BAf(wqS}Bcbzw(KU^n}lA4RJSUY<3;Ci#dErd*V^n?^USqoe{ z@+r*0xqo8PphD4|bi4m|O;~{9oVEK!$!Xz+;WkD{8=g3Z7*a!Y0GSF#eSY|b%zDR! zV0Ln8f6OoQ{F358j6|57Cg+P!=_R2n%TyP8SR1W)Zml>&Kw9cmg`X6GW<7v2eC>|ea zcd}HJbv>19$(HNw)47NPOY2MC;jtXhPR@LEv6Z-vq-(KR)ydo=RmwVGEEPB&XqwfG z#2ZFvrHuhyXRM%^NrKZu5pFb}62oT(@NcVgmIWYUxU7U4NkQCx>B_-n*swDRAIn1- z85X>XsV6l6*u2fC^to2InRsmOKb_S_=OQ>~3#VB$X4c2a3JImENte=35~08V=oLpo zOTP_e0Y%E>*tF%PYBx6Cw)wNx6HZq#G_}_S0%B;_a6miOGxHHz>=8*xlj2FDn+fxE zsUbcnw5TyHlzbLqGz`d0<{uR@1#mx;N{VZ#TiJu*Ch=Vt>XHh(Rh8FsGXeq1 zJ_7l00Z=FT(Z?-olU9k_DBhvqb0`OT?C4+$)uArj`mk z)x&xPGyHvG8lG7m3G(_#$YHp|7|JI~yv%BmDEGEJbNYTM$N&ND{OVj8?oy^Q#|0-F ziH7MxWysyPg`P^|pc5i2coVgv$W?c)zgXJ}knUkdQHoVeTu8e>i0 zWOY_fITI6s6^4;v<|`IRVxuZUkP+IDl>UrdG(D4Qud19l{H=uZbA zqgFbo#S5i)LbDkHsysII^gbjgj81ayrZ-q6EPpug~9dpT0O16%_owj19?fHOvDaqgrlqrz?FJ~oGp9H zrXFSfFiaP2+*SW2WvKiKq>=nN5IdX^zgAi0Wu1evs^ic@Ef-Y}-ykkX#dX2oll&{F0}|1A?nR`LYsX z2Ij|CIymu83gi*WvP5Ea3+f>D5USI!$6y^h#82;L&;rHnO*FE;FsrzVky%b@RqGO= z9d&;fx@lGuKwI*5!cI`xR@q%+?OIf3NJic>DBMP> z!cz(jqf2VrMfI1SW#?GZ!TqxQTB zGgag5njhVb0KNhJm^v^QJTpE>&i0nXS|_0YBEjyz&blO4HBFv`O;d^8#{k#XJ}_@% zK|fhv2mUb-R#ED0dymm<8SFuUhaGL?4u*SYp*ki}6dK{A)RUC9Xr-;=h%@!$B=u4$ zT4lV*j7j3atYi^F0;ml7 z7&S(ryHJAQOIDSNer%*6en9hNR4g0lK=Z20>^2$j{3RqN(q>GWkJtDrO`9ZRb3CZs zCz!+TNJuMO9148z~aJ-4jh7Iw?zmA#^Zn4A+L&6 zPAL3oweuHM7pp2gH-b%mP5zGCaYU4&ET#{3+%zS-OxEF9GZ?Ksh?<4f5O;&WC9my@`_&_fzF3M!X_W67_m7| zYoe=Gzv=EXu8$cNG@OVKy@Y)#0H5eMmCS^w-aocqV(t*ui700fRFykpVjuiFu$s3l zg^K^=()M3san!Ob1qTO;17wRq0XG(PTiIe3BG%2b#4Q^S>lAOu5?qB~DWZsHIgA97 z0h6)DEyi+GZZe`8g2p{u4T~X*xyDkRv6&?xqvR%~g&dvfuV7d5Ch$4@XvL+-&jtY@ z6&y!Wc4VjEdcO^RBvCAjCE9IfztyP*(@ehh*Er4x>qZ>j0zjGRM=BxxonA?%WX5e+ z2eu;~b&z@Sa*Ilt&qE!xSgE_DdXEivLtDabPmlc!wJSyU5BreMf*GtiG!GfkmI*;h zKEhP+bf<(-PFQq&)1OmR46XH;)K}D(K0_dhZpv*in!9ztB688$}D@*&;_o!x- z^?qH4D`7(F0MO$Xa<)7-ucb+|cUXm1K4gyCWAzM1h)$&Ae*Zi*Zh?Wd!zD^P#)=13 zh+QD#G?a0Qfo!$g;jsABqu2<>ol-bKI=HgjUG$<4L7HFy^a(?M2dbSu?u)YkVTL*fZ+^#Jd$drwSd9%6IHs2t;9SNJGme{N2ikKMtYC?d-Lu+76+wK*@xLx zMZ~LQ`>XbGw|F?Ep|`{OaLlnnJ}TYW>A^s-$Hv>GDeY0nWV=rW?+FHudf)HBKth1$ z`Rfh6-O%hPy+`1QAcVuQyq6jEO1a5vghmC3xRyLiyTT8s2BHAdqGb7wy)Jwhc)X^^ z?oj@NM+Adi)?Vu9cN@o|exIZRX=Lh0*qgbqO$4t69He+nYBpa`Dd{1$ZW*-D<4GxL z2{9*U^})v}l8;opkCX@oR|qVbO8{Hy-Ry{-JJdV7Xv7jnI&6jeH>w#8XWp44ENe;?7D~+Ez3gDW=RPLU2|NMo?k9J|4Rlchuryc?tg}%Rx=-o#dfi&X5ee{Xx(ifmqUh z<-QnYwT{FlqB)F}F7r@YniJ}gHaKL`sbkv?OjTW(9RO|;-Vu*V%4g2~nG=gK%4aak zkvSvI0ll#cJAP=t2EXI)Hz0qvQM`(@IEHK6cD(hcSr#Vt6?eiots1js_f43H!7RvA z0a!q8jwWJQ_|p{DDNjsB{*dYq_;50YA3-<$bY-1&N=d0OM;fmTb03~0f^11$qGtd! zq;(l=dI^0}^cgEJQE+DRj&I4@86`L9{KWlW#d1Oh=?A?(*M~ya2 z4YG2ePnGL+u~p^BcOW@pq{ETldI{;Xq|9u;R1zkX5b2MT_-dg2^{QEHiG~Bl2!b!N zw;ql=Q(#d>k%a>i%Mmk2Cvaj91*V9)cMovwHn4PyHo(-3kSr#T5OE@nNoj(?=JT#! zK$&)hq>il%QIL*bo=$KEG3sLcTp@y3V*;5RwU-ELKobqYFD*boI*ELtD{b!ih!z3I zV2(RNbM;~?egD*qqtUH4y8%eDvUy-2U2 z1*8gu-h>c(3011}-UCXP-fJi-5PI(jCpP0Iw(bb;hcN#Ifwh+fAI3d z-k&{tukXyPwPwxE%f}lC17NjzRx@mypR<0TlDK=GAetWq3q+kV`}kCg%VizU!hkAM{O%UDuT~7{ z7D{d7U7Hw^xcqxs9(C8oRifWD+;4`1ns+;yaSkh|!QdfE6C=GCo!W)Y27%oH)oc1B z(KXk|;^>wS$fg76^>+r;Og{&x_a`-oPd6IR20h44=53aeV(f4aoX=SFz#OLPv&s^7XaHi>*}=haMHpb(nSw$};XgTW z3BR%74dXz4^nTK+?1p4Ow9i)Geoj@^RB9i#Pg#6BMUXa_d`_O_IQ`3K@1qa1 zK80CeoU*-mI(<&z4=z?_iWR0n3bI#hwnmvHFqfF2eNq>5^?tf>xDp7FQy2KDI^uFT znHQM0t)~3-t+BmkT590hPvHCMH43x#_r$Mg`E(5fmXzQ33tBp^nWt^$j@!axJnIiy z@_+xi==C;*h&uY#3wbIuw28d`bM3m&&6jG3^g;Le`=pTXSeGQ2-=8TC7`pbTEzc0s z6(kgG+i2>s<-~GTvHx@)4LOKSMqs)}076T~cJto!&}!A4x3QWwXk|&3^Qv)$nPe+W zRU@AMelkI?yZW|*Kqre17J#N)&oB4%#a?2EuM3)XDzqI@*WvNOYj2IN*%R(m@Ij#T zrHNlqbM=e}l_Hs9TfBdo?MtevGUfL(ol#Z;x~ebe-;6=8*m@N>q%VD4rdpHB)=fQ4 zX09|R(v`$wjjGfxz@fTD>pz|t(DOW_obGT4X6avA?LN|I2d(@x2G*8{3}?tHz=BSL z9{u8C>Ql&5**trP*K_$Ys@9qQN95{3Q!h3rRY-X0L8Kk0QM=ibw>l6l=J5m;=0m6P zoTFWx6oJc=rBiG8*~W>icD=tO<8WEX)_MtaX5}@vb>XM&j3jDTq*IUt-rZAh_pnSm z=Of;Of;-#jP50H_I>~~!9iRphxlM#P7cGL9TJf**5q25P!f!zvopy^w+}+Lm_ve}w z0$xQGGwFRD_Iwwfc^E3YnhxLmo?Dr7|H6XT7#~Mi@27s0MX~T21vFlB{ayAVC$#$2 z$CfQ%;&`k0r*2h*Tl3v0SZQTy+`}S+c4aS6pKPyrOk(ssZQTzz-|S_Y&jhFICRHOB z30V_UiW0W^MikuYO_qZ+Q+(U>CmY9OV)r} zca==lyx^%xeXsQy?G8+_N;@Rr>ge+FX^4Nw#qoAZ{_l&!kDKL(rz_tq1m3;l`+d27 zdb;xQ>NsV0BIY~uyQjau?T(!N&Xc_sW3cG_ef<6RqQ#facfUHDzx`^IlL@{!4Ssz1 zd8%i#eDL_wW_e5L*@(c^V0lW&(~Hw1sjQ$y4a1iHwRqqc!gTuV1+nyXFi;?dFQTk ztze^X+V&XBUasw#$bgnzftcmEi!GB`%dUKPh_iUvcr|MpMuZ8X=Y^EiA4D7(%Ye|_ zfW!rpS!iy2cSy4U00%~+=~~qXDAadMJ=(S9Ap`v$j zpgS6&uc^>uHAtaMZD@|hS-{QF9dyH;+U|=VmBPW-wUD47q3)D}8plD?GT)gg2pj8> z$e?@2H`$9O*LLlF&4LQm0&BL&^%~a|^j@p^+G;87pd=EPlZK!}LKl~`1|+Uk?l&x{ zPbcA9MU;F67~Ce6Vm;(nA%xq)9riy{j9v?$giBCtI4Ssyg<~nocaLj?AqE`bWbX%D z$*gF7tTH;D97drEGv zHqlLS2O5=@wXsB~2FDV*16|@3LcZs!Abw36%FhMO78u2VwF*X&QcUH5v8`yZrn+ei zpYO7G&*xKc4bg6)YrPxD-%@Lzxa6TG0H;A4v=(?;LXbVdohT;R_<$ zzB5vUyCO)}mq1w+s*zl;)<_vUFk0mSO7f3MV}pxu1%-8N8DSpSrMQ^1@_P)&9b#KO zPUa_9BlTktn|uy>0o`obQ4Aqn4KBqJhC7{N$R5WM$uz3B^Nz?R4&po^&FDMRzAZ$W9yIDO7)0OLoxf-6bR*F)b=(j z6@A9y^)uB{abh!y$ZauuMheNV{JF`@n;#emldPdXs9eCHNB5?Td$>@!(cjw{p^=*8 z9XitCUkRnf6;&`=dL*LFd9K09?PS<^WVzjoDFfKd%*+-SZ=bS~6+yu?ex(2IX$i-X zz^zp6vSv$s)?~p*Xzyh<*ZKSE+s{q8-{+URa@LtPjt`S%O~tGABc#!^ARz?Bz51o=K_%jHpQY0y1e9|L5 z8_N%fQ{@}>!VFBP>dFmR7nh>M$=WHx*>igGwi@qlz`3K=(SW6JCpPz=!|e`atfE>6EcRzOxv`Q0s~e%fo*WgM>4Jq`;0!=H;d(i|I<88`iJ zOh$Exi=}>o3*)vj#v&1LdJ@$2Gd7Qa{EVLb10`OtvVsGj7O{mKU68d8?h{+SRhNYt z$o>#PG~!;wqtn`-W7>hHOf#rmB!dI z0IMwC9%CBqlkNB|)CAMy>Yn+G>7KgpPE<#A>w{~A>p;gY$buq{-^4~BQ>I3N%|BG4 zYzvDPT_fgoK4E~M(KhNF3T25 zHN#YR;^1umY3_y|$|ZUDr}VM>L%Yj#DP1G4GJ3eRPAX9~#i}0Q{*Oy|m&uJ#Kls!7 z(+3MV(EyP+<6e~Yvy>eo3J zv(CXYeA1WlM|prZ<#7#9wEPU)ncuvyh4_r!F|fOP)39NHn0>98IL0Dkj^;LsqCaV=OmdrHQ(-eA8A>_v9p~5tVZku45EF zyz`;F*82EIMYg7yCU35{pUP3j#pY`C@^jnQoTm`MgH}R9Vabuy5xRtVVko;;>`>w# z132%Bs6vA(6+&S~-|X_Biq!YBD*CcCW=w;$&$T-4XAO9}H{Ro%=vyX>$a;s0Yph)U z8R>D-4`N^A*v7U(B9VoS)De)xRWXpj z^bb|JM=Y;|HgLtdE*;bAI^Xd_P2`ndI^GXOL7n|m-k|ei)2V(X&9aN|kEO-SC=IjL z5ip&GA~f2Ty}Xb;eE^c;^vdF8GK;U;K=Z=_9Cj}A!&dP(8-vm@vHT|Kl>;nD3=Lpr zHh_&Ll{lt#*gJNs2tD2vvGP1{qET6sRkxC(ew{i7Y_^%eh*GqECO8#`_MUTE0Vt+b zoMBaRgr$gJnRIfMH*m(Z$`&e+*q8=p&w6Uq8<-%LMcA1 z>QOd;1WnBgS17HZ?j~1@Y*b+isu;qh(YS7&eIUVLU7M@<^s`)BS3f3i;q@HT?1?^4 zXS#2>`;SA8I2BQ6(V_HM7o0c%y$9vz8=oS`1Cl+AQ8e51&_wAj42LrL_ysENEmz{> z-1JN2Ub*!iiqw42sY~n|KT&KT1M)B$wOm{(`HY1^L_uhS2Ol?=6xk|N2_M{qKdH8% z&o}nw1(4$#?hG}&5cM1s?!bo7y}eRt`J<1q?B>A3QnyG0lna^I2lrU1{0SD0g(%|1 zOvRCCsZf0{v`eq`?NHR>3#xt%p#~L>+tn}D^xw0xAxw#l|DD4!PPqiM8kab z{2{_G`Yd6*ZI0b{>IyAOmu}uL##q^6r)OC-TKuC?{gS185_pJj=svPC5`t=!_ZAm6 zsu@t`G0e0{#W511_y}NIrdg^J84+}+XC%cFa`w`Shj?@cA50Q4cUBxobLONiL@x#< zTc3=@lG96E8~T(R_qkbLua_YzS_32n+AlO9v9j5tRd4XmSz-V!=%C!X)&OULcKWns?q#? zn$v>|m|Gz6-0zm}NF{hqyw3efINBxrb_mVea%|Uh))x3!%V|}0zf#PHN^voFsi**( z1i7m1GE-kkV1W#btb}K<7g!|n@8CuM0^)meUvw3<(-iogWeu`{eX6jN^ zQEMV=k>u>Z%(c#Q(t2;-`Xi9@bw#`c{Tn8&@KuB)tdgIt3w7fW8p5~V1wNWj^>sd| zSsZWY3AbmoC+AgWPZ~-U>Ar+IcfF5&!72~+Y@0+|ws%rZ*mOP#XIOY`ezZ#B-B;#q zn+s}g-#1dZnMdX@u>RHqNj-XW{HY5mhmHts2LWUbI`Gpg|=jf@p*rXU@Vl6j)y z5zj~2?(_0Jf*t(`nH)hZqDk_nN4HIvZ&A6FZg7+>l>6!kDw+=&dsZ1Xy{X-EkBh3Y zB3ysIeBotwFgU0(tHy}V`(|XU|JkYRMg30^TXgMRsnsGW92J6~M%wTbnDMjsoA=X_ zuqQwF^3FL8^MWUY+3`l+x;D`A)9-6PrlHI}BT!|N>z^*(qeUX;hhQzZh`P}RlxVUr z$>?{&G35k`bT|QjrYEL&E}4}8?y%Ibkx+h5Pvh5l?n3VU3r!yaPf5-{jPwPh*fG@K zWO6!|XqFq3N&-lo1o{e#f<2ic61j7*T2~}K_kefe3s`&;kX~L&yj)ZyZvqI%b+H(+ zKc_SI59FUaI~|e+V6r+KksgRTH#Ez~Y?_gf^k3$Swr0qZ!6&49DR4Ui2#?Y63t3bn z;~DAWlrGc}#^j*m)MNU0dt@y;$5QWR)s9kea3iCcqM)M3jjPd0Tym@*ZN`a)jE_pG z_83s#a*eK7l#(d35G3!#okFiGP}*ybyRdP-#ix+0Z`To z)w11BzP?c_Px=VQ(CSC}L?xv7S2>16n)bNEUo)P$Zyh%5SpknAzec3j-N__|G?0W3 zX~aB9xIU*glxskW%qr9%REz6kZz5PI+ZG^PA$8)$+Ys2|D(AK#IcY6ru#SlSBA|bf z)jAtavr{zq6Vn48)I~|I`^#11)lSD$>beq^XmC{IkZ0AKWhQ6?3)U!hYd|+}Fd5%7 zJN3p?TH-oQ-a>*3ZTUo=4|Mc9he>IOCb3P${Lwx4Ii%EWe0<=0WVA#TLMBV()Qb`@ z69*6~x*SB>+)E;k*ku74Yx-~i=@7r>G)A3^7b1JtHgY|AJI1U$O`VHnc~u1_Z8F}N zDr%K$r0rDLX6$=}$u1kZkkbx1piNR3%$tsxJM%=A+~)>ho<&6K#x(zkn!qt*R;4R` z^^GVBGIjo}9nuS85yVt^9;h{ZZjYCoEY#1`Hj$uw*qkyB*JziL=Z49W`RNEAyi`LRyWHnAMI|gwsT;hcIj9)<-11&J zamqj*il>2DM7u0n+^Im6CbQR_6yYlr94hOia;MZ9Uc;%@2yoKK$WSBPBTE)6ToxLc zRm(+Z0%+5v$vP=T!AhJ}L8mIS353vbu1u*=u^+sU@iAS;6m}F6$3i$dSUzb--;t;mEL*uXOweh_rD;zi zaZqFLl#yH)C&OCGvYR^BqZ^X+oH-0>Os(wB!hMvYJC=ZoXDDNoDG7d>1s#F ztY#biB36Ap?y`!3tCC{qgoKp<-v~{rU6A3@dXv9VYa@t*Q`2%hlu0XPsZN{g8RME{ zPa6LuHnV65gBh-ujEb)xFZiq`#`p@9XF;|{y57UIb7j}K zp~5fvpKgxT;ou^$Ydr@v-4U^tdwIu%=~bok9-15iG@L0braNWD!ZpfEAX_Xw;Sf7q z#4#HwCs@t)-3irG^>rT_Gi`tD$65xkVNyvV)z2V-Yu9M_2~A1q6G_6l%{wlJpjT`T zW|o?lWp@}*&YB{xgg&MkP-CZ!v6ELN!|R(sTh_$v8V!~1q$!0s6rP&hl^@fS!6iB` zL_HFS?#YT3ccG+y>ElOwZYu}9){hXbi*vk~=z4^zk}MM-j4l8KosFe>O2iMpE6Cd- zYDAw@^=WBHT=oIJ$f;vtBmDWi*d+9V3~zW8Y~G2vVXMbn5K9-pt}~15v!}3Y=H?FU zZpvv9GI?K7+{=Bhc$!Oaps>ovaDO;LcPF2mUeHz#%=LUA#Y66q#g_wt0|AR)sL|bj zF&cn|hls=PlVUDEbUJ?&Mumx&n!)TLt4KruDo|I81Ag$O7FpQH>9G~+kd(~nFSMg- zXV6a-m1hl=acj#Kjd`AUmke+HL@k4pKf7Ur+dcVh9hgO(#Xz@G%nu^E%Oo&&zR}r$ zC-pocBsR==f+X+>==U7%OeUguz7G9y!Z{CK4cpwW>zCgGNE*Ki0oqnk#3=twiok?g ztfqwGOK?LmSCgSgd2KyxpfC?lZvh(*nBC2IGm5|Z|G9WkBdLjL7TP@kioP$J*Th5z zd_IebEN;(#IB1(%uO@yFi)>Fa;zGA?@epupF%f1CiuB%3@peaU;ut_IEOTofhmA)T z;DYL-Cg<;T)KDMs#UmV0e_E%Z1#IFVf%XvU8doN7IgGD zrL8j8<5Vx?W8@0KxVKY)K9YTmO;`tg-NBx)`=XlZAY*E_HSME$=Zgh{q*8a^KJ?5t z%NeGYov+u6Go?)$f8r4E=X`}v*1fbIu7CeQjJ$X8=zZ`u?p~eRZ?ssh$l~D4rsM2I zxf<#UL~1_>XpDf1uz)%WZO@mme~5gE{w6Sa@58$|VTJP9SU>CxiOwH@b+JFjqHoW6 zNRG=ZAW+UHjdD%WzdN6mr|19s9!h2Z`XSOaT^4TmilTnud<`@lejV9}#J8JB1B0ob zq%#aEGSx$DRULu$ixw8Mz~mMQih!Jy=MPit+5Ll^-KMSBznW)R)Wu7K%Y*F}UVb_t z`6AG{Ml0BgU*l`EA*1`WR`zLX`xb_hsETo;r~U?!_YAIlTQ`+s<{bZHXJ*soj1R?! zkKI5^em}>HY+mxm^Mr9KJ+yjEX5SM8TkyGlSC;u1gIR{*GBq^wnl4;~PJB^!k(N>B zBD+ay^uxl!Y@gPkjt%9WP!!!2$ zCJODDg@xWtpndi~$Be`<%JL;864wfia8>&-gS}e86dY8B4Ofk4e-UrfI>~QyVqB{% zk3Sq0(T$l#w;7AmL$&SD5rO>8%0vrX!uyzAj{EX=X@`2k8pl?mEBI>v&Q}fc0gD)q zVEV4JN zX7ab41#S!elVAPsg72~aV7vK0*w%03+-BSU3+WoQ70E5`?c2h)$$0+~rbBV_-cauR zhnn}c=xv(LzeJ@_%)Thm+oYYh0dCWO{RO~I`=5gU7a7=Xl-o2xf1xNa{#k?Dq(Qe4 zZcpX@g|Lj`E&G=O|6YziCU$S5{Ih5N3j+=9;UhG(|LUi2i~lpW{#|_1@^9k*inLI5 VER>JjY+gZt_5t-OP-b&;^*=Kri{JnN literal 0 HcmV?d00001 diff --git a/tools/lpm/lpm-oiv-2019.yaml b/tools/lpm/lpm-oiv-2019.yaml new file mode 100644 index 000000000..cdadeaffe --- /dev/null +++ b/tools/lpm/lpm-oiv-2019.yaml @@ -0,0 +1,1408 @@ +urn: urn:intuitem:risk:library:lpm-oiv-2019 +locale: fr +ref_id: LPM-OIV-2019 +name: "R\xE8gles OIV" +description: " R\xC8GLES DE S\xC9CURIT\xC9 RELATIVES AU SECTEUR D'ACTIVIT\xC9S D'IMPORTANCE\ + \ VITALE \" ACTIVIT\xC9S CIVILES DE L'\xC9TAT \"\nArr\xEAt\xE9 du 29 mai 2019 fixant\ + \ les r\xE8gles de s\xE9curit\xE9 et les modalit\xE9s de d\xE9claration des syst\xE8\ + mes d'information d'importance vitale et des incidents de s\xE9curit\xE9 relatives\ + \ au secteur d'activit\xE9s d'importance vitale \xAB Activit\xE9s civiles de l'Etat\ + \ \xBB et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10\ + \ du code de la d\xE9fense\nhttps://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038565011" +copyright: "Loi fran\xE7aise" +version: 1 +provider: "Gouvernement fran\xE7ais" +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:lpm-oiv-2019 + ref_id: LPM-OIV-2019 + name: "R\xE8gles OIV" + description: " R\xC8GLES DE S\xC9CURIT\xC9 RELATIVES AU SECTEUR D'ACTIVIT\xC9\ + S D'IMPORTANCE VITALE \" ACTIVIT\xC9S CIVILES DE L'\xC9TAT \"\nArr\xEAt\xE9\ + \ du 29 mai 2019 fixant les r\xE8gles de s\xE9curit\xE9 et les modalit\xE9s\ + \ de d\xE9claration des syst\xE8mes d'information d'importance vitale et des\ + \ incidents de s\xE9curit\xE9 relatives au secteur d'activit\xE9s d'importance\ + \ vitale \xAB Activit\xE9s civiles de l'Etat \xBB et pris en application des\ + \ articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la d\xE9fense\n\ + https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038565011" + requirement_nodes: + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1 + assessable: false + depth: 1 + ref_id: '1' + name: "R\xE8gle relative \xE0 la politique de s\xE9curit\xE9 des syst\xE8mes\ + \ d'information" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node3 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1 + description: "L'op\xE9rateur d'importance vitale \xE9labore, tient \xE0 jour\ + \ et met en \u0153uvre une politique de s\xE9curit\xE9 des syst\xE8mes d'information\ + \ (PSSI)." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1 + description: "La PSSI d\xE9crit l'ensemble des moyens organisationnels et techniques\ + \ mis en \u0153uvre par l'op\xE9rateur afin d'assurer la s\xE9curit\xE9 de\ + \ ses syst\xE8mes d'information d'importance vitale (SIIV). En particulier,\ + \ elle :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4 + description: "- pr\xE9cise les objectifs et les orientations strat\xE9giques\ + \ en mati\xE8re de s\xE9curit\xE9 des SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4 + description: "- d\xE9crit l'organisation de la gouvernance de la s\xE9curit\xE9\ + \ et notamment les r\xF4les et les responsabilit\xE9s du personnel interne\ + \ et du personnel externe (prestataires, fournisseurs, etc.) \xE0 l'\xE9gard\ + \ de la s\xE9curit\xE9 des SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4 + description: "- pr\xE9voit un plan de sensibilisation \xE0 la s\xE9curit\xE9\ + \ des SIIV au profit de l'ensemble du personnel ainsi qu'un plan de formation\ + \ \xE0 la s\xE9curit\xE9 des SIIV au profit des personnes ayant des responsabilit\xE9\ + s particuli\xE8res, notamment les personnes en charge de l'administration\ + \ et de la s\xE9curit\xE9 des SIIV et les utilisateurs disposant de droits\ + \ d'acc\xE8s privil\xE9gi\xE9s aux SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4 + description: "- fixe les mesures de s\xE9curit\xE9 g\xE9n\xE9rales, notamment\ + \ en mati\xE8re de contr\xF4le du personnel interne et du personnel externe,\ + \ de s\xE9curit\xE9 physique des SIIV, de gestion des ressources mat\xE9rielles\ + \ et logicielles, de contr\xF4le d'acc\xE8s aux SIIV, d'exploitation et d'administration\ + \ des SIIV et de s\xE9curit\xE9 des ressources, des r\xE9seaux et des postes\ + \ de travail ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node4 + description: "- d\xE9finit les proc\xE9dures suivantes :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9 + description: "- la proc\xE9dure d'homologation de s\xE9curit\xE9 des SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9 + description: "- les proc\xE9dures de contr\xF4le et d'audit de la s\xE9curit\xE9\ + \ des SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9 + description: "- la proc\xE9dure de maintien en conditions de s\xE9curit\xE9\ + \ des ressources des SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9 + description: "- la proc\xE9dure de traitement des incidents de s\xE9curit\xE9\ + \ affectant les SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node9 + description: "- les proc\xE9dures de gestion de crises en cas d'attaques informatiques\ + \ visant des SIIV et de continuit\xE9 des activit\xE9s d'importance vitale." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1 + description: "La PSSI et ses documents d'application sont approuv\xE9s formellement\ + \ par la direction de l'op\xE9rateur." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node16 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1 + description: "L'op\xE9rateur \xE9labore au profit de sa direction, au moins\ + \ annuellement, un rapport sur la mise en \u0153uvre de la PSSI et de ses\ + \ documents d'application." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node17 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1 + description: "Ce rapport pr\xE9cise notamment l'\xE9tat des lieux des risques,\ + \ le niveau de s\xE9curit\xE9 des SIIV et les actions de s\xE9curisation men\xE9\ + es." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node18 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:1 + description: "La PSSI, ses documents d'application et les rapports sur leur\ + \ mise en \u0153uvre sont tenus \xE0 la disposition de l'Agence nationale\ + \ de la s\xE9curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + assessable: false + depth: 1 + ref_id: '2' + name: "R\xE8gle relative \xE0 l'homologation de s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node20 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "L'op\xE9rateur d'importance vitale proc\xE8de \xE0 l'homologation\ + \ de s\xE9curit\xE9 de chaque syst\xE8me d'information d'importance vitale\ + \ (SIIV), en mettant en \u0153uvre la proc\xE9dure d'homologation pr\xE9vue\ + \ par sa politique de s\xE9curit\xE9 des syst\xE8mes d'information (PSSI)." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node21 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "L'homologation d'un syst\xE8me est une d\xE9cision formelle prise\ + \ par l'op\xE9rateur qui atteste que les risques pesant sur la s\xE9curit\xE9\ + \ de ce syst\xE8me ont \xE9t\xE9 identifi\xE9s et que les mesures n\xE9cessaires\ + \ pour le prot\xE9ger sont mises en \u0153uvre. Elle atteste \xE9galement\ + \ que les \xE9ventuels risques r\xE9siduels ont \xE9t\xE9 identifi\xE9s et\ + \ accept\xE9s par l'op\xE9rateur." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node22 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "Dans le cadre de l'homologation, un audit de la s\xE9curit\xE9\ + \ du SIIV doit \xEAtre r\xE9alis\xE9. Cet audit vise \xE0 v\xE9rifier l'application\ + \ et l'efficacit\xE9 des mesures de s\xE9curit\xE9 du SIIV et notamment le\ + \ respect des r\xE8gles de s\xE9curit\xE9 mentionn\xE9es dans le pr\xE9sent\ + \ arr\xEAt\xE9. L'audit doit permettre d'\xE9valuer le niveau de s\xE9curit\xE9\ + \ du SIIV au regard des menaces et des vuln\xE9rabilit\xE9s connues. Il comporte\ + \ notamment la r\xE9alisation d'un audit d'architecture, d'un audit de configuration\ + \ et d'un audit organisationnel et physique." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node23 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "Cet audit est r\xE9alis\xE9 dans le respect des r\xE8gles fix\xE9\ + es par le r\xE9f\xE9rentiel en mati\xE8re d'audit de s\xE9curit\xE9 des syst\xE8\ + mes d'information pr\xE9vu \xE0 l'article 10 du d\xE9cret n\xB0 2015-350 du\ + \ 27 mars 2015 relatif \xE0 la qualification des produits de s\xE9curit\xE9\ + \ et des prestataires de service de confiance pour les besoins de la s\xE9\ + curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node24 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "L'op\xE9rateur peut r\xE9aliser lui-m\xEAme l'audit ou recourir\ + \ \xE0 un prestataire qualifi\xE9 dans les conditions pr\xE9vues au chapitre\ + \ III du d\xE9cret n\xB0 2015-350 du 27 mars 2015 pr\xE9cit\xE9." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node25 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "A l'issue de l'audit, l'op\xE9rateur ou, le cas \xE9ch\xE9ant,\ + \ le prestataire \xE9labore un rapport d'audit qui expose les constatations\ + \ sur les mesures appliqu\xE9es et sur le respect des r\xE8gles de s\xE9curit\xE9\ + \ pr\xE9vues par le pr\xE9sent arr\xEAt\xE9. Le rapport pr\xE9cise si le niveau\ + \ de s\xE9curit\xE9 atteint est conforme aux objectifs de s\xE9curit\xE9,\ + \ compte tenu des menaces et des vuln\xE9rabilit\xE9s connues. Il formule\ + \ des recommandations pour rem\xE9dier aux \xE9ventuelles non-conformit\xE9\ + s et vuln\xE9rabilit\xE9s d\xE9couvertes." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "L'op\xE9rateur prend la d\xE9cision d'homologuer un SIIV sur la\ + \ base du dossier d'homologation comportant notamment :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node27 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26 + description: "- l'analyse de risques et les objectifs de s\xE9curit\xE9 du SIIV\ + \ ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node28 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26 + description: "- les mesures de s\xE9curit\xE9 appliqu\xE9es au SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node29 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26 + description: "- les rapports d'audit de la s\xE9curit\xE9 du SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node30 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node26 + description: "- les risques r\xE9siduels et les raisons justifiant leur acceptation." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node31 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "La validit\xE9 de l'homologation est r\xE9examin\xE9e par l'op\xE9\ + rateur au moins tous les trois ans et lors de chaque \xE9v\xE9nement ou \xE9\ + volution de nature \xE0 modifier le contexte d\xE9crit dans le dossier d'homologation.\ + \ Chaque r\xE9examen de l'homologation est consign\xE9 dans le dossier d'homologation.\ + \ L'op\xE9rateur proc\xE8de au renouvellement de l'homologation d\xE8s qu'elle\ + \ n'est plus valide." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node32 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "L'op\xE9rateur tient \xE0 la disposition de l'Agence nationale\ + \ de la s\xE9curit\xE9 des syst\xE8mes d'information les d\xE9cisions et dossiers\ + \ d'homologation, notamment les rapports d'audit. Ces documents confidentiels\ + \ sont susceptibles de contenir des informations dont la r\xE9v\xE9lation\ + \ est r\xE9prim\xE9e par les dispositions de l'article 226-13 du code p\xE9\ + nal. Ils sont, le cas \xE9ch\xE9ant, couverts par le secret de la d\xE9fense\ + \ nationale." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node33 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:2 + description: "La pr\xE9sente r\xE8gle relative \xE0 l'homologation s'applique\ + \ sans pr\xE9judice des dispositions pr\xE9vues par l'arr\xEAt\xE9 du 30 novembre\ + \ 2011 portant approbation de l'instruction g\xE9n\xE9rale interminist\xE9\ + rielle n\xB0 1300 sur la protection du secret de la d\xE9fense nationale,\ + \ en mati\xE8re d'homologation des syst\xE8mes d'information traitant des\ + \ informations classifi\xE9es." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:3 + assessable: false + depth: 1 + ref_id: '3' + name: "R\xE8gle relative \xE0 la cartographie" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:3 + description: "L'op\xE9rateur d'importance vitale \xE9labore et tient \xE0 jour,\ + \ pour chaque syst\xE8me d'information d'importance vitale (SIIV), les \xE9\ + l\xE9ments de cartographie suivants :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node36 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- les noms et les fonctions des applications, supportant les activit\xE9\ + s de l'op\xE9rateur, install\xE9es sur le SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node37 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- le cas \xE9ch\xE9ant, les plages d'adresses IP de sortie du\ + \ SIIV vers internet ou un r\xE9seau tiers, ou accessibles depuis ces r\xE9\ + seaux ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node38 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- le cas \xE9ch\xE9ant, les plages d'adresses IP associ\xE9es\ + \ aux diff\xE9rents sous-syst\xE8mes composant le SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node39 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- la description fonctionnelle et les lieux d'installation du\ + \ SIIV et de ses diff\xE9rents sous-syst\xE8mes ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node40 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- la description fonctionnelle des points d'interconnexion du\ + \ SIIV et de ses diff\xE9rents sous-syst\xE8mes avec des r\xE9seaux tiers,\ + \ notamment la description des \xE9quipements et des fonctions de filtrage\ + \ et de protection mis en \u0153uvre au niveau de ces interconnexions ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node41 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- l'inventaire et l'architecture des dispositifs d'administration\ + \ du SIIV permettant de r\xE9aliser notamment les op\xE9rations d'installation\ + \ \xE0 distance, de mise \xE0 jour, de supervision, de gestion des configurations,\ + \ d'authentification ainsi que de gestion des comptes et des droits d'acc\xE8\ + s ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node42 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- la liste des comptes disposant de droits d'acc\xE8s privil\xE9\ + gi\xE9s (appel\xE9s \" comptes privil\xE9gi\xE9s \") au SIIV. Cette liste\ + \ pr\xE9cise pour chaque compte le niveau et le p\xE9rim\xE8tre des droits\ + \ d'acc\xE8s associ\xE9s, notamment les comptes sur lesquels portent ces droits\ + \ (comptes d'utilisateurs, comptes de messagerie, comptes de processus, etc.)\ + \ ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node43 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node35 + description: "- l'inventaire, l'architecture et le positionnement des services\ + \ de r\xE9solution de noms d'h\xF4te, de messagerie, de relais internet et\ + \ d'acc\xE8s distant mis en \u0153uvre par le SIIV." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node44 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:3 + description: "Les \xE9l\xE9ments de cartographie ainsi r\xE9unis sont des documents\ + \ confidentiels susceptibles de contenir des informations dont la r\xE9v\xE9\ + lation est r\xE9prim\xE9e par les dispositions de l'article 226-13 du code\ + \ p\xE9nal. Ils sont, le cas \xE9ch\xE9ant, couverts par le secret de la d\xE9\ + fense nationale." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node45 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:3 + description: "Sur demande de l'Agence nationale de la s\xE9curit\xE9 des syst\xE8\ + mes d'information, l'op\xE9rateur lui communique les \xE9l\xE9ments de cartographie\ + \ mis \xE0 jour sur un support \xE9lectronique, dans un format qui peut \xEA\ + tre lu par les principaux logiciels bureautiques accessibles au public." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:4 + assessable: false + depth: 1 + ref_id: '4' + name: "R\xE8gle relative au maintien en conditions de s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node47 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:4 + description: "L'op\xE9rateur d'importance vitale \xE9labore, tient \xE0 jour\ + \ et met en \u0153uvre une proc\xE9dure de maintien en conditions de s\xE9\ + curit\xE9 des ressources mat\xE9rielles et logicielles de ses syst\xE8mes\ + \ d'information d'importance vitale (SIIV), conform\xE9ment \xE0 sa politique\ + \ de s\xE9curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:4 + description: "Cette proc\xE9dure d\xE9finit les conditions permettant de maintenir\ + \ le niveau de s\xE9curit\xE9 des ressources des SIIV en fonction de l'\xE9\ + volution des vuln\xE9rabilit\xE9s et des menaces et notamment la politique\ + \ d'installation de toute nouvelle version et mesure correctrice de s\xE9\ + curit\xE9 d'une ressource et les v\xE9rifications \xE0 effectuer avant l'installation.\ + \ Elle pr\xE9voit que :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node49 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48 + description: "- l'op\xE9rateur se tient inform\xE9 des vuln\xE9rabilit\xE9s\ + \ et des mesures correctrices de s\xE9curit\xE9 susceptibles de concerner\ + \ les ressources mat\xE9rielles et logicielles de ses SIIV, qui sont diffus\xE9\ + es notamment par les fournisseurs ou les fabricants de ces ressources ou par\ + \ des centres de pr\xE9vention et d'alerte en mati\xE8re de cyber s\xE9curit\xE9\ + \ tels que le CERT-FR (( www. cert. ssi. gouv. fr) ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node50 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48 + description: "- sauf en cas de difficult\xE9s techniques ou op\xE9rationnelles\ + \ justifi\xE9es, l'op\xE9rateur installe et maintient toutes les ressources\ + \ mat\xE9rielles et logicielles de ses SIIV dans des versions support\xE9\ + es par leurs fournisseurs ou leurs fabricants et mises \xE0 jour du point\ + \ de vue de la s\xE9curit\xE9 ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node51 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48 + description: "- pr\xE9alablement \xE0 l'installation de toute nouvelle version,\ + \ l'op\xE9rateur s'assure de l'origine de cette version et de son int\xE9\ + grit\xE9, et analyse l'impact de cette version sur le SIIV concern\xE9 d'un\ + \ point de vue technique et op\xE9rationnel ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node52 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48 + description: "- d\xE8s qu'il a connaissance d'une mesure correctrice de s\xE9\ + curit\xE9 concernant une de ses ressources, et sauf en cas de difficult\xE9\ + s techniques ou op\xE9rationnelles justifi\xE9es, l'op\xE9rateur en planifie\ + \ l'installation apr\xE8s avoir effectu\xE9 les v\xE9rifications mentionn\xE9\ + es \xE0 l'alin\xE9a pr\xE9c\xE9dent, et proc\xE8de \xE0 cette installation\ + \ dans les d\xE9lais pr\xE9vus par la proc\xE9dure de maintien en conditions\ + \ de s\xE9curit\xE9 ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node53 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node48 + description: "- lorsque des raisons techniques ou op\xE9rationnelles le justifient,\ + \ l'op\xE9rateur peut d\xE9cider, pour certaines ressources de ses SIIV, de\ + \ ne pas installer une version support\xE9e par le fournisseur ou le fabricant\ + \ de la ressource concern\xE9e ou de ne pas installer une mesure correctrice\ + \ de s\xE9curit\xE9. Dans ce cas, l'op\xE9rateur met en \u0153uvre des mesures\ + \ techniques ou organisationnelles pr\xE9vues par la proc\xE9dure de maintien\ + \ en conditions de s\xE9curit\xE9 pour r\xE9duire les risques li\xE9s \xE0\ + \ l'utilisation d'une version obsol\xE8te ou comportant des vuln\xE9rabilit\xE9\ + s connues. L'op\xE9rateur d\xE9crit dans le dossier d'homologation du SIIV\ + \ concern\xE9 ces mesures de r\xE9duction des risques et les raisons techniques\ + \ ou op\xE9rationnelles ayant emp\xEAch\xE9 l'installation d'une version support\xE9\ + e ou d'une mesure correctrice de s\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5 + assessable: false + depth: 1 + ref_id: '5' + name: "R\xE8gle relative \xE0 la journalisation" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node55 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5 + description: "L'op\xE9rateur d'importance vitale met en \u0153uvre sur chaque\ + \ syst\xE8me d'information d'importance vitale (SIIV) un syst\xE8me de journalisation\ + \ qui enregistre les \xE9v\xE9nements relatifs \xE0 l'authentification des\ + \ utilisateurs, \xE0 la gestion des comptes et des droits d'acc\xE8s, \xE0\ + \ l'acc\xE8s aux ressources, aux modifications des r\xE8gles de s\xE9curit\xE9\ + \ du SIIV ainsi qu'au fonctionnement du SIIV." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node56 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5 + description: "L'op\xE9rateur d'importance vitale met en \u0153uvre sur chaque\ + \ syst\xE8me d'information d'importance vitale (SIIV) un syst\xE8me de journalisation\ + \ qui enregistre les \xE9v\xE9nements relatifs \xE0 l'authentification des\ + \ utilisateurs, \xE0 la gestion des comptes et des droits d'acc\xE8s, \xE0\ + \ l'acc\xE8s aux ressources, aux modifications des r\xE8gles de s\xE9curit\xE9\ + \ du SIIV ainsi qu'au fonctionnement du SIIV." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5 + description: "Le syst\xE8me de journalisation porte sur les \xE9quipements suivants\ + \ lorsqu'ils g\xE9n\xE8rent les \xE9v\xE9nements mentionn\xE9s au 1er alin\xE9\ + a :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node58 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + description: "- les serveurs applicatifs supportant les activit\xE9s d'importance\ + \ vitale ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node59 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + description: "- les serveurs d'infrastructure syst\xE8me ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node60 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + description: "- les serveurs d'infrastructure r\xE9seau ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node61 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + description: "- les \xE9quipements de s\xE9curit\xE9 ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node62 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + description: "- les postes d'ing\xE9nierie et de maintenance des syst\xE8mes\ + \ industriels ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node63 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + description: "- les \xE9quipements r\xE9seau ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node64 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node57 + description: '- les postes d''administration.' + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node65 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5 + description: "Les \xE9v\xE9nements enregistr\xE9s par le syst\xE8me de journalisation\ + \ sont horodat\xE9s au moyen de sources de temps synchronis\xE9es." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node66 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5 + description: "Ils sont, pour chaque SIIV, centralis\xE9s et archiv\xE9s pendant\ + \ une dur\xE9e d'au moins six mois." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node67 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:5 + description: "Le format d'archivage des \xE9v\xE9nements permet de r\xE9aliser\ + \ des recherches automatis\xE9es sur ces \xE9v\xE9nements." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:6 + assessable: false + depth: 1 + ref_id: '6' + name: "R\xE8gle relative \xE0 la corr\xE9lation et l'analyse de journaux" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node69 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:6 + description: "L'op\xE9rateur d'importance vitale met en \u0153uvre un syst\xE8\ + me de corr\xE9lation et d'analyse de journaux qui exploite les \xE9v\xE9nements\ + \ enregistr\xE9s par le syst\xE8me de journalisation install\xE9 sur chacun\ + \ des syst\xE8mes d'information d'importance vitale (SIIV), afin de d\xE9\ + tecter des \xE9v\xE9nements susceptibles d'affecter la s\xE9curit\xE9 des\ + \ SIIV." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node70 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:6 + description: "Le syst\xE8me de corr\xE9lation et d'analyse de journaux est install\xE9\ + \ et exploit\xE9 sur un syst\xE8me d'information mis en place exclusivement\ + \ \xE0 des fins de d\xE9tection d'\xE9v\xE9nements susceptibles d'affecter\ + \ la s\xE9curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node71 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:6 + description: "L'op\xE9rateur ou le prestataire mandat\xE9 \xE0 cet effet installe\ + \ et exploite ce syst\xE8me de corr\xE9lation et d'analyse de journaux en\ + \ s'appuyant sur les exigences du r\xE9f\xE9rentiel en mati\xE8re de d\xE9\ + tection des incidents de s\xE9curit\xE9 pr\xE9vu \xE0 l'article 10 du d\xE9\ + cret n\xB0 2015-350 du 27 mars 2015 relatif \xE0 la qualification des produits\ + \ de s\xE9curit\xE9 et des prestataires de service de confiance pour les besoins\ + \ de la s\xE9curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:7 + assessable: false + depth: 1 + ref_id: '7' + name: "R\xE8gle relative \xE0 la d\xE9tection" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node73 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:7 + description: "L'op\xE9rateur d'importance vitale met en \u0153uvre, en application\ + \ de l'article R. 1332-41-3 du code de la d\xE9fense, un syst\xE8me de d\xE9\ + tection qualifi\xE9 de type \" sonde d'analyse de fichiers et de protocoles\ + \ \"." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node74 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:7 + description: "Les sondes d'analyse de fichiers et de protocoles analysent les\ + \ flux de donn\xE9es transitant par ces sondes afin de rechercher des \xE9\ + v\xE9nements susceptibles d'affecter la s\xE9curit\xE9 des syst\xE8mes d'information\ + \ d'importance vitale (SIIV). Elles sont positionn\xE9es de mani\xE8re \xE0\ + \ pouvoir analyser l'ensemble des flux \xE9chang\xE9s entre les SIIV et les\ + \ syst\xE8mes d'information tiers \xE0 ceux de l'op\xE9rateur." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node75 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:7 + description: "Ces syst\xE8mes de d\xE9tection sont exploit\xE9s selon les r\xE8\ + gles fix\xE9es par le r\xE9f\xE9rentiel en mati\xE8re de d\xE9tection des\ + \ incidents de s\xE9curit\xE9 pr\xE9vu \xE0 l'article 10 du d\xE9cret n\xB0\ + \ 2015-350 du 27 mars 2015 relatif \xE0 la qualification des produits de s\xE9\ + curit\xE9 et des prestataires de service de confiance pour les besoins de\ + \ la s\xE9curit\xE9 des syst\xE8mes d'information. Ils sont exploit\xE9s par\ + \ un service de l'Etat ou un prestataire qualifi\xE9 \xE0 cet effet dans les\ + \ conditions pr\xE9vues par le d\xE9cret pr\xE9cit\xE9." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8 + assessable: false + depth: 1 + ref_id: '8' + name: "R\xE8gle relative au traitement des incidents de s\xE9curit\xE9" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node77 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8 + description: "L'op\xE9rateur d'importance vitale \xE9labore, tient \xE0 jour\ + \ et met en \u0153uvre une proc\xE9dure de traitement des incidents affectant\ + \ le fonctionnement ou la s\xE9curit\xE9 de ses syst\xE8mes d'information\ + \ d'importance vitale (SIIV), conform\xE9ment \xE0 sa politique de s\xE9curit\xE9\ + \ des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node78 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8 + description: "L'op\xE9rateur ou le prestataire mandat\xE9 \xE0 cet effet proc\xE8\ + de au traitement des incidents en s'appuyant sur les exigences du r\xE9f\xE9\ + rentiel en mati\xE8re de r\xE9ponse aux incidents de s\xE9curit\xE9 pr\xE9\ + vu \xE0 l'article 10 du d\xE9cret n\xB0 2015-350 du 27 mars 2015 relatif \xE0\ + \ la qualification des produits de s\xE9curit\xE9 et des prestataires de service\ + \ de confiance pour les besoins de la s\xE9curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node79 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8 + description: "Un syst\xE8me d'information sp\xE9cifique doit \xEAtre mis en\ + \ place pour traiter les incidents, notamment pour stocker les relev\xE9s\ + \ techniques relatifs aux analyses des incidents. Ce syst\xE8me est cloisonn\xE9\ + \ vis-\xE0-vis du SIIV concern\xE9 par l'incident." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node80 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8 + description: "L'op\xE9rateur conserve les relev\xE9s techniques relatifs aux\ + \ analyses des incidents pendant une dur\xE9e d'au moins six mois. Il tient\ + \ ces relev\xE9s techniques \xE0 la disposition de l'Agence nationale de la\ + \ s\xE9curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node81 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:8 + description: "Les relev\xE9s techniques sont des documents confidentiels susceptibles\ + \ de contenir des informations dont la r\xE9v\xE9lation est r\xE9prim\xE9\ + e par les dispositions de l'article 226-13 du code p\xE9nal. Ils sont, le\ + \ cas \xE9ch\xE9ant, couverts par le secret de la d\xE9fense nationale." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:9 + assessable: false + depth: 1 + ref_id: '9' + name: "R\xE8gle relative au traitement des alertes" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node83 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:9 + description: "L'op\xE9rateur d'importance vitale met en place un service de\ + \ permanence lui permettant de prendre connaissance, \xE0 tout moment et sans\ + \ d\xE9lai, d'informations transmises par l'Agence nationale de la s\xE9curit\xE9\ + \ des syst\xE8mes d'information relatives \xE0 des incidents, des vuln\xE9\ + rabilit\xE9s et des menaces." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node84 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:9 + description: "Il met en \u0153uvre une proc\xE9dure pour traiter les informations\ + \ ainsi re\xE7ues et le cas \xE9ch\xE9ant prendre les mesures de s\xE9curit\xE9\ + \ n\xE9cessaires \xE0 la protection de ses syst\xE8mes d'information d'importance\ + \ vitale (SIIV)." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node85 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:9 + description: "L'op\xE9rateur communique \xE0 l'Agence nationale de la s\xE9\ + curit\xE9 des syst\xE8mes d'information les coordonn\xE9es (nom du service,\ + \ num\xE9ro de t\xE9l\xE9phone et adresse \xE9lectronique) tenues \xE0 jour\ + \ du service de permanence pr\xE9vu \xE0 l'alin\xE9a pr\xE9c\xE9dent." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:10 + assessable: false + depth: 1 + ref_id: '10' + name: "R\xE8gle relative \xE0 la gestion de crises" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node87 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:10 + description: "L'op\xE9rateur d'importance vitale \xE9labore, tient \xE0 jour\ + \ et met en \u0153uvre une proc\xE9dure de gestion de crises en cas d'attaques\ + \ informatiques majeures, conform\xE9ment \xE0 sa politique de s\xE9curit\xE9\ + \ des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node88 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:10 + description: "Cette proc\xE9dure d\xE9crit les moyens techniques et organisationnels\ + \ dont dispose l'op\xE9rateur pour mettre en \u0153uvre les mesures d\xE9\ + cid\xE9es par le Premier ministre en cas de crises, notamment les mesures\ + \ suivantes :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node89 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node88 + description: "- configurer les syst\xE8mes d'information de mani\xE8re \xE0\ + \ \xE9viter les attaques ou \xE0 en limiter les effets. Cette configuration\ + \ peut viser :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node90 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node89 + description: "- \xE0 proscrire l'utilisation de supports de stockage amovibles\ + \ ou la connexion d'\xE9quipements nomades aux syst\xE8mes d'information de\ + \ l'op\xE9rateur ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node91 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node89 + description: "- \xE0 installer une mesure correctrice de s\xE9curit\xE9 sur\ + \ un syst\xE8me d'information particulier ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node92 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node89 + description: "- \xE0 restreindre le routage ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node93 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node88 + description: "- mettre en place des r\xE8gles de filtrage sur les r\xE9seaux\ + \ ou des configurations particuli\xE8res sur les \xE9quipements terminaux.\ + \ Cette mesure peut viser :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node94 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node93 + description: "- \xE0 effectuer des restrictions d'acc\xE8s sous forme de listes\ + \ blanches et de listes noires d'utilisateurs ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node95 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node93 + description: "- \xE0 bloquer les \xE9changes de fichiers d'un type particulier\ + \ ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node96 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node93 + description: "- \xE0 isoler de tout r\xE9seau des sites internet, des applications,\ + \ ou des \xE9quipements informatiques de l'op\xE9rateur en sollicitant le\ + \ cas \xE9ch\xE9ant l'appui des op\xE9rateurs publics de communications \xE9\ + lectroniques ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node97 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node88 + description: "- isoler du r\xE9seau internet les syst\xE8mes d'information de\ + \ l'op\xE9rateur. Cette mesure impose de d\xE9connecter physiquement ou logiquement\ + \ les interfaces r\xE9seau des syst\xE8mes d'information concern\xE9s." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node98 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:10 + description: "La proc\xE9dure pr\xE9cise les conditions dans lesquelles ces\ + \ mesures peuvent \xEAtre appliqu\xE9es compte tenu des contraintes techniques\ + \ et organisationnelles de mise en \u0153uvre." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11 + assessable: false + depth: 1 + ref_id: '11' + name: "R\xE8gle relative \xE0 l'identification" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node100 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11 + description: "L'op\xE9rateur d'importance vitale cr\xE9e des comptes individuels\ + \ pour tous les utilisateurs (y compris les utilisateurs ayant des comptes\ + \ privil\xE9gi\xE9s ou des comptes d'administration) et pour les processus\ + \ automatiques acc\xE9dant aux ressources de ses syst\xE8mes d'information\ + \ d'importance vitale (SIIV)." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node101 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11 + description: "Lorsque des raisons techniques ou op\xE9rationnelles ne permettent\ + \ pas de cr\xE9er de comptes individuels pour les utilisateurs ou pour les\ + \ processus automatiques, l'op\xE9rateur met en place des mesures permettant\ + \ de r\xE9duire le risque li\xE9 \xE0 l'utilisation de comptes partag\xE9\ + s et d'assurer la tra\xE7abilit\xE9 de l'utilisation de ces comptes." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node102 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11 + description: "Dans ce cas, l'op\xE9rateur d\xE9crit ces mesures dans le dossier\ + \ d'homologation du SIIV concern\xE9 et les raisons justifiant le recours\ + \ \xE0 des comptes partag\xE9s." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node103 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:11 + description: "L'op\xE9rateur d\xE9sactive sans d\xE9lai les comptes qui ne sont\ + \ plus n\xE9cessaires." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12 + assessable: false + depth: 1 + ref_id: '12' + name: "R\xE8gle relative \xE0 l'authentification" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node105 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12 + description: "L'op\xE9rateur d'importance vitale prot\xE8ge les acc\xE8s aux\ + \ ressources de ses syst\xE8mes d'information d'importance vitale (SIIV),\ + \ que ce soit par un utilisateur ou par un processus automatique, au moyen\ + \ d'un m\xE9canisme d'authentification impliquant un \xE9l\xE9ment secret." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node106 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12 + description: "L'op\xE9rateur d\xE9finit, conform\xE9ment \xE0 sa politique de\ + \ s\xE9curit\xE9 des syst\xE8mes d'information, les r\xE8gles de gestion des\ + \ \xE9l\xE9ments secrets d'authentification mis en \u0153uvre dans ses SIIV." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12 + description: "Lorsque la ressource le permet techniquement, les \xE9l\xE9ments\ + \ secrets d'authentification doivent pouvoir \xEAtre modifi\xE9s par l'op\xE9\ + rateur chaque fois que cela est n\xE9cessaire. Dans ce cas, l'op\xE9rateur\ + \ respecte les r\xE8gles suivantes :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node108 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107 + description: "- l'op\xE9rateur doit modifier les \xE9l\xE9ments secrets d'authentification\ + \ lorsqu'ils ont \xE9t\xE9 install\xE9s par le fabricant ou le fournisseur\ + \ de la ressource, avant sa mise en service. A cet effet, l'op\xE9rateur s'assure\ + \ aupr\xE8s du fabricant ou du fournisseur qu'il dispose des moyens et des\ + \ droits permettant de r\xE9aliser ces op\xE9rations ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node109 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107 + description: "- l'\xE9l\xE9ment secret d'authentification d'un compte partag\xE9\ + \ doit \xEAtre renouvel\xE9 r\xE9guli\xE8rement et \xE0 chaque retrait d'un\ + \ utilisateur de ce compte ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node110 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107 + description: "- les utilisateurs qui n'en ont pas la responsabilit\xE9, ne peuvent\ + \ pas modifier les \xE9l\xE9ments secrets d'authentification. Ils ne peuvent\ + \ pas non plus acc\xE9der \xE0 ces \xE9l\xE9ments en clair ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node111 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107 + description: "- lorsque les \xE9l\xE9ments secrets d'authentification sont des\ + \ mots de passe, les utilisateurs ne doivent pas les r\xE9utiliser entre comptes\ + \ privil\xE9gi\xE9s ou entre un compte privil\xE9gi\xE9 et un compte non privil\xE9\ + gi\xE9 ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node112 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node107 + description: "- lorsque les \xE9l\xE9ments secrets d'authentification sont des\ + \ mots de passe, ceux-ci sont conformes aux r\xE8gles de l'art telles que\ + \ celles pr\xE9conis\xE9es par l'Agence nationale de la s\xE9curit\xE9 des\ + \ syst\xE8mes d'information, en mati\xE8re de complexit\xE9 (longueur du mot\ + \ de passe et types de caract\xE8res), en tenant compte du niveau de complexit\xE9\ + \ maximal permis par la ressource concern\xE9e, et en mati\xE8re de renouvellement." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node113 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12 + description: "Lorsque la ressource ne permet pas techniquement de modifier l'\xE9\ + l\xE9ment secret d'authentification, l'op\xE9rateur met en place un contr\xF4\ + le d'acc\xE8s appropri\xE9 \xE0 la ressource concern\xE9e ainsi que des mesures\ + \ de tra\xE7abilit\xE9 des acc\xE8s et de r\xE9duction du risque li\xE9 \xE0\ + \ l'utilisation d'un \xE9l\xE9ment secret d'authentification fixe." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node114 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:12 + description: "L'op\xE9rateur d\xE9crit dans le dossier d'homologation du SIIV\ + \ concern\xE9 ces mesures et les raisons techniques ayant emp\xEAch\xE9 la\ + \ modification de l'\xE9l\xE9ment secret d'authentification." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:13 + assessable: false + depth: 1 + ref_id: '13' + name: "R\xE8gle relative aux droits d'acc\xE8s" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:13 + description: "L'op\xE9rateur d'importance vitale d\xE9finit, conform\xE9ment\ + \ \xE0 sa politique de s\xE9curit\xE9 des syst\xE8mes d'information, les r\xE8\ + gles de gestion et d'attribution des droits d'acc\xE8s aux ressources de ses\ + \ syst\xE8mes d'information d'importance vitale (SIIV), et respecte les r\xE8\ + gles suivantes :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node117 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116 + description: "- l'op\xE9rateur n'attribue \xE0 un utilisateur ou \xE0 un processus\ + \ automatique les droits d'acc\xE8s \xE0 une ressource que si cet acc\xE8\ + s est strictement n\xE9cessaire \xE0 l'exercice des missions de l'utilisateur\ + \ ou au fonctionnement du processus automatique ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node118 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116 + description: "- l'op\xE9rateur d\xE9finit les acc\xE8s aux diff\xE9rentes fonctionnalit\xE9\ + s de cette ressource et en attribue les droits uniquement aux utilisateurs\ + \ et aux processus automatiques qui en ont strictement le besoin ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node119 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116 + description: "- les droits d'acc\xE8s sont r\xE9vis\xE9s p\xE9riodiquement,\ + \ au moins tous les ans, par l'op\xE9rateur. Cette r\xE9vision porte sur les\ + \ liens entre les comptes, les droits d'acc\xE8s associ\xE9s et les ressources\ + \ ou les fonctionnalit\xE9s qui en font l'objet ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node120 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node116 + description: "- l'op\xE9rateur \xE9tablit et tient \xE0 jour la liste des comptes\ + \ privil\xE9gi\xE9s. Toute modification d'un compte privil\xE9gi\xE9 (ajout,\ + \ suppression, suspension ou modification des droits associ\xE9s) fait l'objet\ + \ d'un contr\xF4le formel de l'op\xE9rateur destin\xE9 \xE0 v\xE9rifier que\ + \ les droits d'acc\xE8s aux ressources et fonctionnalit\xE9s sont attribu\xE9\ + s selon le principe du moindre privil\xE8ge (seuls les droits strictement\ + \ n\xE9cessaires sont accord\xE9s) et en coh\xE9rence avec les besoins d'utilisation\ + \ du compte." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:14 + assessable: false + depth: 1 + ref_id: '14' + name: "R\xE8gle relative aux comptes d'administration" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node122 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:14 + description: "L'op\xE9rateur d'importance vitale cr\xE9e des comptes (appel\xE9\ + s \"comptes d'administration\") destin\xE9s aux seules personnes (appel\xE9\ + es administrateurs) charg\xE9es d'effectuer les op\xE9rations d'administration\ + \ (installation, configuration, gestion, maintenance, supervision, etc.) des\ + \ ressources de ses syst\xE8mes d'information d'importance vitale (SIIV)." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:14 + description: "L'op\xE9rateur d\xE9finit, conform\xE9ment \xE0 sa politique de\ + \ s\xE9curit\xE9 des syst\xE8mes d'information, les r\xE8gles de gestion et\ + \ d'attribution des comptes d'administration de ses SIIV, et respecte les\ + \ r\xE8gles suivantes :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node124 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123 + description: "- l'attribution des droits aux administrateurs respecte le principe\ + \ du moindre privil\xE8ge (seuls les droits strictement n\xE9cessaires sont\ + \ accord\xE9s). En particulier, afin de limiter la port\xE9e des droits individuels,\ + \ ils sont attribu\xE9s \xE0 chaque administrateur en les restreignant autant\ + \ que possible au p\xE9rim\xE8tre fonctionnel et technique dont cet administrateur\ + \ est responsable ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node125 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123 + description: "- un compte d'administration est utilis\xE9 exclusivement pour\ + \ se connecter \xE0 un syst\xE8me d'information d'administration (syst\xE8\ + me d'information utilis\xE9 pour les op\xE9rations d'administration des ressources)\ + \ ou \xE0 une ressource administr\xE9e ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node126 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123 + description: "- les op\xE9rations d'administration sont effectu\xE9es exclusivement\ + \ \xE0 partir de comptes d'administration, et inversement, les comptes d'administration\ + \ sont utilis\xE9s exclusivement pour les op\xE9rations d'administration ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node127 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123 + description: "- lorsque l'administration d'une ressource ne peut pas techniquement\ + \ \xEAtre effectu\xE9e \xE0 partir d'un compte sp\xE9cifique d'administration,\ + \ l'op\xE9rateur met en place des mesures permettant d'assurer la tra\xE7\ + abilit\xE9 et le contr\xF4le des op\xE9rations d'administration r\xE9alis\xE9\ + es sur cette ressource et des mesures de r\xE9duction du risque li\xE9 \xE0\ + \ l'utilisation d'un compte non sp\xE9cifique \xE0 l'administration. Il d\xE9\ + crit dans le dossier d'homologation du SIIV concern\xE9 ces mesures ainsi\ + \ que les raisons techniques ayant emp\xEAch\xE9 l'utilisation d'un compte\ + \ d'administration ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node128 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node123 + description: "- l'op\xE9rateur \xE9tablit et tient \xE0 jour la liste des comptes\ + \ d'administration de ses SIIV et les g\xE8re en tant que comptes privil\xE9\ + gi\xE9s." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:15 + assessable: false + depth: 1 + ref_id: '15' + name: "R\xE8gle relative aux syst\xE8mes d'information d'administration" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:15 + description: "L'op\xE9rateur d'importance vitale applique les r\xE8gles suivantes\ + \ aux syst\xE8mes d'information utilis\xE9s pour effectuer l'administration\ + \ de ses syst\xE8mes d'information d'importance vitale (SIIV), qui sont appel\xE9\ + s \"syst\xE8mes d'information d'administration\" :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node131 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- les ressources mat\xE9rielles et logicielles des syst\xE8mes\ + \ d'information d'administration sont g\xE9r\xE9es et configur\xE9es par l'op\xE9\ + rateur ou, le cas \xE9ch\xE9ant, par le prestataire qu'il a mandat\xE9 pour\ + \ r\xE9aliser les op\xE9rations d'administration ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node132 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- les ressources mat\xE9rielles et logicielles des syst\xE8mes\ + \ d'information d'administration sont utilis\xE9es exclusivement pour r\xE9\ + aliser des op\xE9rations d'administration. Cependant, lorsque des raisons\ + \ techniques ou organisationnelles le justifient, le poste de travail physique\ + \ de l'administrateur peut \xEAtre utilis\xE9 pour r\xE9aliser des op\xE9\ + rations autres que des op\xE9rations d'administration. Dans ce cas, des m\xE9\ + canismes de durcissement du syst\xE8me d'exploitation du poste de travail\ + \ et de cloisonnement doivent \xEAtre mis en place pour permettre d'isoler\ + \ l'environnement logiciel utilis\xE9 pour ces autres op\xE9rations de l'environnement\ + \ logiciel utilis\xE9 pour les op\xE9rations d'administration ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node133 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- un environnement logiciel utilis\xE9 pour effectuer des op\xE9\ + rations d'administration ne doit pas \xEAtre utilis\xE9 \xE0 d'autres fins,\ + \ comme l'acc\xE8s \xE0 des sites ou serveurs de messagerie sur internet ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node134 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- un utilisateur ne doit pas se connecter \xE0 un syst\xE8me d'information\ + \ d'administration au moyen d'un environnement logiciel utilis\xE9 pour d'autres\ + \ fonctions que des op\xE9rations d'administration ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node135 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- les flux de donn\xE9es associ\xE9s \xE0 des op\xE9rations autres\ + \ que des op\xE9rations d'administration doivent, lorsqu'ils transitent sur\ + \ les syst\xE8mes d'information d'administration, \xEAtre cloisonn\xE9s au\ + \ moyen de m\xE9canismes de chiffrement et d'authentification conformes aux\ + \ r\xE8gles pr\xE9conis\xE9es par l'Agence nationale de la s\xE9curit\xE9\ + \ des syst\xE8mes d'information ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node136 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- les syst\xE8mes d'information d'administration sont connect\xE9\ + s aux ressources \xE0 administrer au travers d'une liaison r\xE9seau physique\ + \ utilis\xE9e exclusivement pour les op\xE9rations d'administration. Ces ressources\ + \ sont administr\xE9es au travers de leur interface d'administration physique.\ + \ Lorsque des raisons techniques emp\xEAchent d'administrer une ressource\ + \ au travers d'une liaison r\xE9seau physique ou de son interface d'administration\ + \ physique, l'op\xE9rateur met en \u0153uvre des mesures de r\xE9duction du\ + \ risque telles que des mesures de s\xE9curit\xE9 logique. Dans ce cas, il\ + \ d\xE9crit ces mesures et leurs justifications dans le dossier d'homologation\ + \ du SIIV concern\xE9 ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node137 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- lorsqu'ils ne circulent pas dans le syst\xE8me d'information\ + \ d'administration, les flux d'administration sont prot\xE9g\xE9s par des\ + \ m\xE9canismes de chiffrement et d'authentification conformes aux r\xE8gles\ + \ pr\xE9conis\xE9es par l'Agence nationale de la s\xE9curit\xE9 des syst\xE8\ + mes d'information. Si le chiffrement et l'authentification de ces flux ne\ + \ sont pas possibles pour des raisons techniques, l'op\xE9rateur met en \u0153\ + uvre des mesures permettant de prot\xE9ger la confidentialit\xE9 et l'int\xE9\ + grit\xE9 de ces flux et de renforcer le contr\xF4le et la tra\xE7abilit\xE9\ + \ des op\xE9rations d'administration. Dans ce cas, il d\xE9crit ces mesures\ + \ et leurs justifications dans le dossier d'homologation du SIIV concern\xE9\ + \ ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node138 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node130 + description: "- les journaux enregistrant les \xE9v\xE9nements g\xE9n\xE9r\xE9\ + s par les ressources utilis\xE9es par les administrateurs ne contiennent aucun\ + \ mot de passe ou autre \xE9l\xE9ment secret d'authentification en clair ou\ + \ sous forme d'empreinte cryptographique." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:16 + assessable: false + depth: 1 + ref_id: '16' + name: "R\xE8gle relative au cloisonnement" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node140 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:16 + description: "L'op\xE9rateur d'importance vitale proc\xE8de au cloisonnement\ + \ de ses syst\xE8mes d'information d'importance vitale (SIIV) afin de limiter\ + \ la propagation des attaques informatiques au sein de ses syst\xE8mes ou\ + \ ses sous-syst\xE8mes. Il respecte les r\xE8gles suivantes :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node141 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node140 + description: "- chaque SIIV est cloisonn\xE9 physiquement ou logiquement vis-\xE0\ + -vis des autres syst\xE8mes d'information de l'op\xE9rateur et des syst\xE8\ + mes d'information de tiers ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node142 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node140 + description: "- lorsqu'un SIIV est lui-m\xEAme constitu\xE9 de sous-syst\xE8\ + mes, ceux-ci sont cloisonn\xE9s entre eux physiquement ou logiquement. Un\ + \ sous-syst\xE8me peut \xEAtre constitu\xE9 pour assurer une fonctionnalit\xE9\ + \ ou un ensemble homog\xE8ne de fonctionnalit\xE9s d'un SIIV ou encore pour\ + \ isoler des ressources d'un SIIV n\xE9cessitant un m\xEAme besoin de s\xE9\ + curit\xE9 ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node143 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node140 + description: "- seules les interconnexions strictement n\xE9cessaires au bon\ + \ fonctionnement et \xE0 la s\xE9curit\xE9 d'un SIIV sont mises en place entre\ + \ le SIIV et les autres syst\xE8mes ou entre les sous-syst\xE8mes du SIIV." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node144 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:16 + description: "L'op\xE9rateur d\xE9crit dans le dossier d'homologation de chaque\ + \ SIIV les m\xE9canismes de cloisonnement qu'il met en place." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:17 + assessable: false + depth: 1 + ref_id: '17' + name: "R\xE8gle relative au filtrage" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node146 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:17 + description: "L'op\xE9rateur d'importance vitale met en place des m\xE9canismes\ + \ de filtrage des flux de donn\xE9es circulant dans ses syst\xE8mes d'information\ + \ d'importance vitale (SIIV) afin de bloquer la circulation des flux inutiles\ + \ au fonctionnement de ses syst\xE8mes et susceptibles de faciliter des attaques\ + \ informatiques. Il respecte les r\xE8gles suivantes :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node147 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node146 + description: "- l'op\xE9rateur d\xE9finit les r\xE8gles de filtrage des flux\ + \ de donn\xE9es (filtrage sur les adresses r\xE9seau, sur les protocoles,\ + \ sur les num\xE9ros de port, etc.) permettant de limiter la circulation des\ + \ flux aux seuls flux de donn\xE9es n\xE9cessaires au fonctionnement et \xE0\ + \ la s\xE9curit\xE9 de ses SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node148 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node146 + description: "- les flux entrants et sortants des SIIV ainsi que les flux entre\ + \ sous-syst\xE8mes des SIIV sont filtr\xE9s au niveau de leurs interconnexions\ + \ de mani\xE8re \xE0 ne permettre la circulation que des seuls flux strictement\ + \ n\xE9cessaires au fonctionnement et \xE0 la s\xE9curit\xE9 des SIIV. Les\ + \ flux qui ne sont pas conformes aux r\xE8gles de filtrage sont bloqu\xE9\ + s par d\xE9faut ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node149 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node146 + description: "- l'op\xE9rateur \xE9tablit et tient \xE0 jour une liste des r\xE8\ + gles de filtrage mentionnant l'ensemble des r\xE8gles en vigueur ou supprim\xE9\ + es depuis moins d'un an. Cette liste pr\xE9cise pour chaque r\xE8gle :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node150 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node149 + description: "- le motif et la date de la mise en \u0153uvre, de la modification\ + \ ou de la suppression de la r\xE8gle ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node151 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node149 + description: "- les modalit\xE9s techniques de mise en \u0153uvre de la r\xE8\ + gle." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node152 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:17 + description: "L'op\xE9rateur d\xE9crit dans le dossier d'homologation de chaque\ + \ SIIV les m\xE9canismes de filtrage qu'il met en place." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:18 + assessable: false + depth: 1 + ref_id: '18' + name: "R\xE8gle relative aux acc\xE8s \xE0 distance" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node154 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:18 + description: "L'op\xE9rateur d'importance vitale prot\xE8ge les acc\xE8s \xE0\ + \ ses syst\xE8mes d'information d'importance vitale (SIIV) effectu\xE9s \xE0\ + \ travers des syst\xE8mes d'information tiers." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node155 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:18 + description: "En particulier, lorsque l'op\xE9rateur ou un prestataire qu'il\ + \ a mandat\xE9 \xE0 cet effet acc\xE8de \xE0 un SIIV \xE0 travers un syst\xE8\ + me d'information tiers \xE0 ceux de l'op\xE9rateur ou du prestataire, l'op\xE9\ + rateur applique ou fait appliquer \xE0 son prestataire les r\xE8gles suivantes\ + \ :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node156 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node155 + description: "- l'acc\xE8s au SIIV est prot\xE9g\xE9 par des m\xE9canismes de\ + \ chiffrement et d'authentification conformes aux r\xE8gles pr\xE9conis\xE9\ + es par l'Agence nationale de la s\xE9curit\xE9 des syst\xE8mes d'information\ + \ ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node157 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node155 + description: "- le m\xE9canisme d'authentification utilis\xE9 est renforc\xE9\ + \ en mettant en \u0153uvre une authentification \xE0 double facteur (authentification\ + \ impliquant \xE0 la fois un \xE9l\xE9ment secret et un autre \xE9l\xE9ment\ + \ propre \xE0 l'utilisateur) ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node158 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node155 + description: "- les \xE9quipements utilis\xE9s pour acc\xE9der au SIIV sont\ + \ g\xE9r\xE9s et configur\xE9s par l'op\xE9rateur ou, le cas \xE9ch\xE9ant,\ + \ par le prestataire. Les m\xE9moires de masse de ces \xE9quipements sont\ + \ en permanence prot\xE9g\xE9es par des m\xE9canismes de chiffrement et d'authentification\ + \ conformes aux r\xE8gles pr\xE9conis\xE9es par l'Agence nationale de la s\xE9\ + curit\xE9 des syst\xE8mes d'information." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:19 + assessable: false + depth: 1 + ref_id: '19' + name: "R\xE8gle relative \xE0 l'installation de services et d'\xE9quipements" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node160 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:19 + description: "L'op\xE9rateur d'importance vitale respecte les r\xE8gles suivantes\ + \ lorsqu'il installe des services et des \xE9quipements sur ses syst\xE8mes\ + \ d'information d'importance vitale (SIIV) :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node161 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node160 + description: "- l'op\xE9rateur installe sur ses SIIV les seuls services et fonctionnalit\xE9\ + s qui sont indispensables au fonctionnement ou \xE0 la s\xE9curit\xE9 de ses\ + \ SIIV. L'op\xE9rateur d\xE9sactive les services et les fonctionnalit\xE9\ + s qui ne sont pas indispensables, notamment ceux install\xE9s par d\xE9faut,\ + \ et les d\xE9sinstalle si cela est possible. Lorsque la d\xE9sinstallation\ + \ n'est pas possible, l'op\xE9rateur le mentionne dans le dossier d'homologation\ + \ du SIIV concern\xE9 en pr\xE9cisant les services et fonctionnalit\xE9s concern\xE9\ + s et les mesures de r\xE9duction du risque mises en \u0153uvre ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node162 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node160 + description: "- l'op\xE9rateur ne connecte \xE0 ses SIIV que des \xE9quipements,\ + \ mat\xE9riels p\xE9riph\xE9riques et supports amovibles qu'il a d\xFBment\ + \ r\xE9pertori\xE9s et qui sont indispensables au fonctionnement ou \xE0 la\ + \ s\xE9curit\xE9 de ses SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node163 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node160 + description: "- les supports amovibles inscriptibles connect\xE9s aux SIIV sont\ + \ utilis\xE9s exclusivement pour les besoins de ces SIIV ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node164 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node160 + description: "- l'op\xE9rateur proc\xE8de, avant chaque utilisation de supports\ + \ amovibles, \xE0 l'analyse de leur contenu, notamment \xE0 la recherche de\ + \ code malveillant. L'op\xE9rateur met en place, sur les \xE9quipements auxquels\ + \ sont connect\xE9s ces supports amovibles, des m\xE9canismes de protection\ + \ contre les risques d'ex\xE9cution de code malveillant provenant de ces supports." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:20 + assessable: false + depth: 1 + ref_id: '20' + name: "R\xE8gle relative aux indicateurs" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:20 + description: "L'op\xE9rateur d'importance vitale \xE9value et tient \xE0 jour,\ + \ pour chaque syst\xE8me d'information d'importance vitale (SIIV), les indicateurs\ + \ suivants :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node167 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + description: "- des indicateurs relatifs au maintien en conditions de s\xE9\ + curit\xE9 des ressources :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node168 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + description: "- le pourcentage de postes utilisateurs dont les ressources syst\xE8\ + mes ne sont pas install\xE9es dans une version support\xE9e par le fournisseur\ + \ ou le fabricant ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node169 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + description: "- le pourcentage de serveurs dont les ressources syst\xE8mes ne\ + \ sont pas install\xE9es dans une version support\xE9e par le fournisseur\ + \ ou le fabricant ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node170 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + description: "- le pourcentage de postes utilisateurs dont les ressources syst\xE8\ + mes ne sont pas mises \xE0 jour ou corrig\xE9es du point de vue de la s\xE9\ + curit\xE9 depuis au moins 15 jours \xE0 compter de la disponibilit\xE9 des\ + \ versions mises \xE0 jour ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node171 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + description: "- le pourcentage de serveurs dont les ressources syst\xE8mes ne\ + \ sont pas mises \xE0 jour ou corrig\xE9es du point de vue de la s\xE9curit\xE9\ + \ depuis au moins 15 jours \xE0 compter de la disponibilit\xE9 des versions\ + \ mises \xE0 jour ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node172 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + description: "- des indicateurs relatifs aux droits d'acc\xE8s des utilisateurs\ + \ et \xE0 l'authentification des acc\xE8s aux ressources :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node173 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node172 + description: "- le pourcentage d'utilisateurs acc\xE9dant au SIIV au moyen de\ + \ comptes partag\xE9s ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node174 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node172 + description: "- le pourcentage d'utilisateurs acc\xE9dant au SIIV au moyen de\ + \ comptes privil\xE9gi\xE9s ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node175 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node172 + description: "- le pourcentage de ressources dont les \xE9l\xE9ments secrets\ + \ d'authentification ne peuvent pas \xEAtre modifi\xE9s par l'op\xE9rateur\ + \ ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node176 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node166 + description: "- des indicateurs relatifs \xE0 l'administration des ressources\ + \ :" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node177 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node176 + description: "- le pourcentage de ressources administr\xE9es dont l'administration\ + \ est effectu\xE9e \xE0 partir d'un compte non sp\xE9cifique d'administration\ + \ ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node178 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node176 + description: "- le pourcentage de ressources administr\xE9es dont l'administration\ + \ ne peut pas \xEAtre effectu\xE9e au travers d'une liaison r\xE9seau physique\ + \ ou d'une interface d'administration physique ;" + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node179 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node176 + description: "- le pourcentage de ressources administr\xE9es dont les flux d'administration\ + \ ne peuvent pas \xEAtre prot\xE9g\xE9s par des m\xE9canismes de chiffrement\ + \ et d'authentification lorsque ces flux ne circulent pas dans le syst\xE8\ + me d'information d'administration." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node180 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:20 + description: "L'op\xE9rateur pr\xE9cise pour chaque indicateur la m\xE9thode\ + \ d'\xE9valuation employ\xE9e et, le cas \xE9ch\xE9ant, la marge d'incertitude\ + \ de son \xE9valuation. Lorsqu'un indicateur \xE9volue de fa\xE7on significative\ + \ par rapport \xE0 l'\xE9valuation pr\xE9c\xE9dente, l'op\xE9rateur en pr\xE9\ + cise les raisons." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node181 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:20 + description: "Les indicateurs ainsi r\xE9unis sont des documents confidentiels\ + \ susceptibles de contenir des informations dont la r\xE9v\xE9lation est r\xE9\ + prim\xE9e par les dispositions de l'article 226-13 du code p\xE9nal. Ils sont,\ + \ le cas \xE9ch\xE9ant, couverts par le secret de la d\xE9fense nationale." + - urn: urn:intuitem:risk:req_node:lpm-oiv-2019:node182 + assessable: true + depth: 2 + parent_urn: urn:intuitem:risk:req_node:lpm-oiv-2019:20 + description: "L'op\xE9rateur communique, une fois par an, \xE0 l'Agence nationale\ + \ de la s\xE9curit\xE9 des syst\xE8mes d'information, ces indicateurs mis\ + \ \xE0 jour sur un support \xE9lectronique, dans un format qui peut \xEAtre\ + \ lu par les principaux logiciels bureautiques accessibles au public."