forked from intuitem/ciso-assistant-community
-
Notifications
You must be signed in to change notification settings - Fork 0
/
mcas-1.0.yaml
2080 lines (2080 loc) · 113 KB
/
mcas-1.0.yaml
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
urn: urn:ackwa:risk:library:mcas-1.0
locale: fr
ref_id: mcas-1.0
name: PSSI-MCAS v1.0
description: "Politique de s\xE9curit\xE9 des syst\xE8mes d\u2019information pour\
\ les minist\xE8res charg\xE9s des affaires sociales"
copyright: "Minist\xE8re des Affaires sociales, de la Sant\xE9 et des Droits des femmes\
\ - 01/10/2015"
version: 2
provider: MCAS
packager: Ackwa.fr
objects:
framework:
urn: urn:ackwa:risk:framework:mcas-1.0
ref_id: mcas-1.0
name: PSSI-MCAS v1.0
description: "Politique de s\xE9curit\xE9 des syst\xE8mes d\u2019information pour\
\ les minist\xE8res charg\xE9s des affaires sociales"
requirement_nodes:
- urn: urn:ackwa:risk:req_node:mcas-1.0:org
assessable: false
depth: 1
ref_id: ORG
name: "Organisation de la s\xE9curit\xE9 des syst\xE8mes d\u2019information"
- urn: urn:ackwa:risk:req_node:mcas-1.0:org-ssi
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org
ref_id: ORG-SSI
name: Organisation SSI
description: "Une organisation d\xE9di\xE9e \xE0 la SSI est d\xE9ploy\xE9e dans\
\ toutes les directions, services d\xE9concentr\xE9s, agences r\xE9gionales\
\ de sant\xE9, \xE9tablissements publics et op\xE9rateurs du p\xE9rim\xE8\
tre des MCAS. Cette organisation, \xE9tablie selon les directives du haut\
\ fonctionnaire de d\xE9fense et de s\xE9curit\xE9 (HFDS), d\xE9finit les\
\ responsabilit\xE9s internes et \xE0 l'\xE9gard des tiers, les modalit\xE9\
s de coordination avec les autorit\xE9s externes, ainsi que les modalit\xE9\
s d'application des mesures de protection. Des proc\xE9dures d'applications\
\ sont \xE9crites et port\xE9es \xE0 la connaissance de tous."
- urn: urn:ackwa:risk:req_node:mcas-1.0:org-act-ssi
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org
ref_id: ORG-ACT-SSI
name: Identification des acteurs SSI
description: "L\u2019organisation SSI des MCAS s\u2019appuie sur des acteurs\
\ SSI clairement identifi\xE9s, \xE0 tous ses niveaux d\u2019organisation.\
\ Les acteurs responsables en mati\xE8re de SSI sont charg\xE9s de la mise\
\ en application g\xE9n\xE9rale de la PSSI-MCAS Ils sont r\xE9f\xE9renc\xE9\
s dans un annuaire minist\xE9riel. Cette cha\xEEne fonctionnelle s\u2019appuie\
\ sur le service du haut fonctionnaire de d\xE9fense et de s\xE9curit\xE9\
), notamment sur le fonctionnaire de s\xE9curit\xE9 des syst\xE8mes d'information\
\ (FSSI) pour les MCAS."
- urn: urn:ackwa:risk:req_node:mcas-1.0:org-rssi
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org
ref_id: ORG-RSSI
name: "D\xE9signation du responsable SSI"
description: "Chaque autorit\xE9 qualifi\xE9e en s\xE9curit\xE9 des syst\xE8\
mes d\u2019information (AQSSI) s'appuie sur un ou plusieurs responsables de\
\ la s\xE9curit\xE9 des syst\xE8mes d'information (RSSI), charg\xE9(s) de\
\ l'assister dans le pilotage et la gestion de la SSI Des correspondants locaux\
\ SSI (CLSSI) peuvent \xEAtre d\xE9sign\xE9s, le cas \xE9ch\xE9ant, afin de\
\ constituer un relais du RSSI. Le RSSI d'une entit\xE9 fait valider les mesures\
\ d'application de la PSSI-MCAS par l'AQSSI et veille \xE0 leur application.\
\ Des d\xE9nominations alternatives des fonctions cit\xE9es ci- dessus peuvent\
\ \xEAtre utilis\xE9es si n\xE9cessaire."
- urn: urn:ackwa:risk:req_node:mcas-1.0:org-resp
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org
ref_id: ORG-RESP
name: "Formalisation des responsabilit\xE9s"
description: "Une note d'organisation fixe la r\xE9partition au sein de chaque\
\ entit\xE9 et au niveau local des responsabilit\xE9s et r\xF4les en mati\xE8\
re de SSI Cette note sera, le plus souvent, propos\xE9e par le RSSI et valid\xE9\
e par l'AQSSI."
- urn: urn:ackwa:risk:req_node:mcas-1.0:org-tiers
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org
ref_id: ORG-TIERS
name: Gestion contractuelle des tiers
description: "Le RSSI coordonne les actions permettant l'int\xE9gration des\
\ clauses li\xE9es \xE0 la SSI dans tout contrat ou convention impliquant\
\ un acc\xE8s par des tiers \xE0 des informations ou \xE0 des ressources informatiques."
- urn: urn:ackwa:risk:req_node:mcas-1.0:org-pil-pmssi
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org
ref_id: ORG-PIL-PMSSI
name: "D\xE9finition et pilotage de la PSSI minist\xE9rielle"
description: "La PSSI-MCAS est plac\xE9e sous la responsabilit\xE9 du HFDS.\
\ Elle reprend le socle commun \xE9tabli par la PSSIE. Une structure de pilotage\
\ de la PSSI minist\xE9rielle est d\xE9finie : le Comit\xE9 Strat\xE9gique\
\ de la S\xE9curit\xE9 des Syst\xE8mes d'Information (CosStratSSI). Cette\
\ structure est charg\xE9e de sa mise en place, de son \xE9volution, de son\
\ suivi et de son contr\xF4le."
- urn: urn:ackwa:risk:req_node:mcas-1.0:org-app-instr
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org
ref_id: ORG-APP-INSTR
name: "Application de l\u2019instruction dans l\u2019entit\xE9"
description: "Le RSSI planifie les actions de mise en application de la PSSI-MCAS.\
\ Il rend compte r\xE9guli\xE8rement de la mise en application des mesures\
\ de s\xE9curit\xE9 \xE0 son autorit\xE9 qualifi\xE9e et, le cas \xE9ch\xE9\
ant au FSSI."
- urn: urn:ackwa:risk:req_node:mcas-1.0:org-app-docs
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:org
ref_id: ORG-APP-DOCS
name: Formalisation de documents d'application
description: "Le RSSI formalise et tient \xE0 jour les documents d'application,\
\ approuv\xE9s par l'autorit\xE9 qualifi\xE9e, permettant la mise en \u0153\
uvre des mesures de la PSSI-MCAS sur son p\xE9rim\xE8tre."
- urn: urn:ackwa:risk:req_node:mcas-1.0:rh
assessable: false
depth: 1
ref_id: RH
name: Ressources humaines
- urn: urn:ackwa:risk:req_node:mcas-1.0:rh-ssi
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:rh
ref_id: RH-SSI
name: "Charte d\u2019application SSI "
description: "Une charte d\u2019application de la politique SSI, r\xE9capitulant\
\ les mesures pratiques d'utilisation s\xE9curis\xE9e des ressources informatiques\
\ et \xE9labor\xE9e sous le pilotage de la cha\xEEne fonctionnelle SSI, est\
\ communiqu\xE9e \xE0 l'ensemble des agents de chaque entit\xE9. Cette charte\
\ doit \xEAtre opposable juridiquement et, si possible, int\xE9gr\xE9e au\
\ r\xE8glement int\xE9rieur de l\u2019entit\xE9. Le personnel non permanent\
\ (stagiaires, int\xE9rimaires, prestataires...) est inform\xE9 de ses devoirs\
\ dans le cadre de son usage des SI. Des exemples de chartes sont propos\xE9\
s."
- urn: urn:ackwa:risk:req_node:mcas-1.0:rh-motiv
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:rh
ref_id: RH-MOTIV
name: "Choix et sensibilisation des personnes tenant les postes cl\xE9s de la\
\ SSI "
description: "Une attention particuli\xE8re doit \xEAtre port\xE9e au recrutement\
\ des personnes-cl\xE9s de la SSI : RSSI, correspondants SSI locaux et administrateurs\
\ de s\xE9curit\xE9. Les RSSI et leurs correspondants SSI locaux doivent \xEA\
tre sp\xE9cifiquement form\xE9s \xE0 la SSI. Les administrateurs des SI doivent\
\ \xEAtre r\xE9guli\xE8rement sensibilis\xE9s aux devoirs li\xE9s \xE0 leur\
\ fonction, et doivent veiller \xE0 respecter ces exigences dans le cadre\
\ de leurs activit\xE9s quotidiennes."
- urn: urn:ackwa:risk:req_node:mcas-1.0:rh-conf
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:rh
ref_id: RH-CONF
name: Personnels de confiance
description: "Toutes les personnes manipulant des informations sensibles doivent\
\ le faire avec une attention et une probit\xE9 particuli\xE8re, dans le respect\
\ des textes en vigueur. Les sanctions \xE9ventuelles s\u2019appliquant aux\
\ cas de n\xE9gligence ou de malveillance leur sont rappel\xE9es."
- urn: urn:ackwa:risk:req_node:mcas-1.0:rh-util
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:rh
ref_id: RH-UTIL
name: "Sensibilisation des utilisateurs des syst\xE8mes d\u2019information"
description: "Chaque utilisateur doit \xEAtre r\xE9guli\xE8rement inform\xE9\
\ des exigences de s\xE9curit\xE9 le concernant, et motiv\xE9 \xE0 leur respect.\
\ Il doit \xEAtre form\xE9 \xE0 l'utilisation des outils de travail conform\xE9\
ment aux r\xE8gles SSI."
- urn: urn:ackwa:risk:req_node:mcas-1.0:rh-mouv
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:rh
ref_id: RH-MOUV
name: "Gestion des arriv\xE9es, des mutations et des d\xE9parts"
description: "Une proc\xE9dure permettant de g\xE9rer les arriv\xE9es, les mutations\
\ et les d\xE9parts des collaborateurs dans les SI doit \xEAtre formalis\xE9\
e, et appliqu\xE9e strictement. Cette proc\xE9dure doit couvrir au minimum\
\ :\n\n- la gestion/r\xE9vocation des comptes et des droits d\u2019acc\xE8\
s aux SI, y compris pour les partenaires et les prestataires externes ;\n\
- la gestion du contr\xF4le d'acc\xE8s aux locaux ;\n- la gestion des \xE9\
quipements mobiles ;\n- la gestion du contr\xF4le des habilitations. "
- urn: urn:ackwa:risk:req_node:mcas-1.0:rh-nperm
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:rh
ref_id: RH-NPERM
name: "Gestion du personnel non permanent (stagiaires, int\xE9rimaires, prestataires\u2026\
)"
description: "Les r\xE8gles de la PSSI-MICAS s\u2019appliquent \xE0 tout personnel\
\ non permanent utilisateur d'un SI des MICAS. Les dispositions contractuelles\
\ pr\xE9existantes r\xE9gissant l'emploi de ce personnel sont amend\xE9es\
\ si n\xE9cessaire. Pour tout personnel non permanent, un tutorat par un agent\
\ permanent est mis en place, afin de l'informer de ces r\xE8gles et d\u2019\
en contr\xF4ler l\u2019application."
- urn: urn:ackwa:risk:req_node:mcas-1.0:gdb
assessable: false
depth: 1
ref_id: GDB
name: Gestion des biens
- urn: urn:ackwa:risk:req_node:mcas-1.0:gdb-invent
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:gdb
ref_id: GDB-INVENT
name: Inventaire des ressources informatiques
description: "Chaque entit\xE9 \xE9tablit et maintient \xE0 jour un inventaire\
\ des ressources informatiques sous sa responsabilit\xE9, en s'appuyant sur\
\ un outillage adapt\xE9. Cet inventaire est tenu \xE0 disposition du RSSI,\
\ ainsi que du FSSI et de l'ANSSI en cas de besoin de coordination op\xE9\
rationnelle. Il comprend la liste des \xAB briques \xBB mat\xE9rielles et\
\ logicielles utilis\xE9es, ainsi que leurs versions exactes. Il est constitu\xE9\
\ d\u2019une base de donn\xE9es de configuration, maintenue \xE0 jour et tenue\
\ \xE0 disposition du RSSI. L\u2019historique des attributions des biens inventori\xE9\
s doit \xEAtre conserv\xE9, dans le respect de la l\xE9gislation."
- urn: urn:ackwa:risk:req_node:mcas-1.0:gdb-carto
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:gdb
ref_id: GDB-CARTO
name: Cartographie
description: "La cartographie pr\xE9cise les centres informatiques, les architectures\
\ des r\xE9seaux (sur lesquelles sont identifi\xE9s les points n\xE9vralgiques\
\ et la sensibilit\xE9 des informations manipul\xE9es) et qualifie le niveau\
\ de s\xE9curit\xE9 attendu. Cette cartographie est maintenue \xE0 jour et\
\ tenue \xE0 disposition du RSSI, ainsi que du FSSI et de l'ANSSI en cas de\
\ besoin de coordination op\xE9rationnelle."
- urn: urn:ackwa:risk:req_node:mcas-1.0:gdb-qualif-sensi
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:gdb
ref_id: GDB-QUALIF-SENSI
name: Qualification des informations
description: "La sensibilit\xE9 de toute information doit \xEAtre \xE9valu\xE9\
e. Le marquage syst\xE9matique des documents, en fonction du niveau de sensibilit\xE9\
, est fortement recommand\xE9.\n\nLes informations sensibles re\xE7oivent\
\ une mention rappelant leur sensibilit\xE9 en consid\xE9ration de la gravit\xE9\
\ des cons\xE9quences qu'aurait une divulgation et apposer une mention telle\
\ que \xAB confidentiel \xBB sur les documents sensibles ainsi que dans les\
\ courriers ou courriels qui les accompagnent. A titre d'exemple, on pourra\
\ utiliser les mentions suivantes :\n\n- Confidentiel m\xE9dical\n- Confidentiel\
\ (personnel\n- ... \n\nCette mention peut \xEAtre compl\xE9t\xE9e d\u2019\
un marquage sp\xE9cifiant l'usage restrictif qui doit \xEAtre fait par son\
\ destinataire (diffusion interne, diffusion limit\xE9e)."
- urn: urn:ackwa:risk:req_node:mcas-1.0:gdb-prot-is
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:gdb
ref_id: GDB-PROT-IS
name: Protection des informations
description: "L\u2019utilisateur doit prot\xE9ger les informations qu'il est\
\ amen\xE9 \xE0 manipuler dans le cadre de ses fonctions, selon leur sensibilit\xE9\
\ et tout au long de leur cycle de vie, depuis la cr\xE9ation du brouillon\
\ jusqu'\xE0 son \xE9ventuelle destruction."
- urn: urn:ackwa:risk:req_node:mcas-1.0:int
assessable: false
depth: 1
ref_id: INT
name: "Int\xE9gration de la SSI dans le cycle de vie des syst\xE8mes d\u2019\
information"
- urn: urn:ackwa:risk:req_node:mcas-1.0:int-homolog-ssi
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int
ref_id: INT-HOMOLOG-SSI
name: "Homologation de s\xE9curit\xE9 des syst\xE8mes d'information"
description: "Tout syst\xE8me d'information doit faire l'objet d'une d\xE9cision\
\ d\u2019homologation de sa s\xE9curit\xE9 avant sa mise en exploitation dans\
\ les conditions d\u2019emploi d\xE9finies. L'homologation est l\u2019acte\
\ selon lequel l\u2019autorit\xE9 atteste formellement aupr\xE8s des utilisateurs\
\ que le syst\xE8me d\u2019information est prot\xE9g\xE9 conform\xE9ment aux\
\ objectifs de s\xE9curit\xE9 fix\xE9s. La d\xE9cision d\u2019homologation\
\ est prise par l\u2019autorit\xE9 d\u2019homologation (d\xE9sign\xE9e par\
\ l\u2019autorit\xE9 qualifi\xE9e), le cas \xE9ch\xE9ant apr\xE8s avis de\
\ la commission d\u2019homologation. Cette d\xE9cision s\u2019appuie sur une\
\ analyse de risques adapt\xE9e aux enjeux du syst\xE8me consid\xE9r\xE9,\
\ et pr\xE9cise les conditions d\u2019emploi."
- urn: urn:ackwa:risk:req_node:mcas-1.0:int-ssi
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int
ref_id: INT-SSI
name: "Int\xE9gration de la s\xE9curit\xE9 dans les projets"
description: "La s\xE9curit\xE9 des syst\xE8mes d\u2019information doit \xEA\
tre prise en compte dans toutes les phases des projets informatiques, sous\
\ le contr\xF4le de l'autorit\xE9 d'homologation, de la conception et de la\
\ sp\xE9cification du syst\xE8me jusqu'\xE0 son retrait du service."
- urn: urn:ackwa:risk:req_node:mcas-1.0:int-quot-ssi
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int
ref_id: INT-QUOT-SSI
name: "Mise en \u0153uvre au quotidien de la SSI"
description: "La s\xE9curit\xE9 des syst\xE8mes d\u2019information se traite\
\ au quotidien par des pratiques d\u2019hygi\xE8ne informatique. Des proc\xE9\
dures \xE9crites d\xE9finissent les actes \xE9l\xE9mentaires du maintien en\
\ condition de s\xE9curit\xE9 lors des phases de conception, \xE9volution\
\ ou retrait d'un syst\xE8me. Tout syst\xE8me d'information doit faire l\u2019\
objet, outre le maintien en condition op\xE9rationnelle, d'un maintien en\
\ condition de s\xE9curit\xE9."
- urn: urn:ackwa:risk:req_node:mcas-1.0:int-tdb
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int
ref_id: INT-TDB
name: "Cr\xE9er un tableau de bord SSI"
description: "Un tableau de bord SSI est mis en place et tenu \xE0 jour. Il\
\ fournit au RSSI et aux autorit\xE9s une vision g\xE9n\xE9rale du niveau\
\ de s\xE9curit\xE9 et de son \xE9volution, rendant ainsi plus efficace le\
\ pilotage de la SSI. Au niveau strat\xE9gique, le tableau de bord SSI permet\
\ de suivre l\u2019application de la politique de s\xE9curit\xE9 et de disposer\
\ d\u2019\xE9l\xE9ments propres \xE0 qualifier les ressources devant \xEA\
tre allou\xE9es \xE0 la SSI.\n\nAu niveau du pilotage, la mise en place de\
\ ce tableau de bord permet de contr\xF4ler la r\xE9alisation d\u2019objectifs\
\ op\xE9rationnels, d\u2019am\xE9liorer la qualit\xE9 de service et de d\xE9\
tecter au plus t\xF4t les retards dans la r\xE9alisation de certains objectifs\
\ de s\xE9curit\xE9. "
- urn: urn:ackwa:risk:req_node:mcas-1.0:int-aq-psl
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int
ref_id: INT-AQ-PSL
name: Acquisition de produits et services de confiance
description: "Il est recommand\xE9 d'utiliser, lorsqu'ils sont disponibles,\
\ des produits ou des services de s\xE9curit\xE9 labellis\xE9s (certifi\xE9\
s, qualifi\xE9s) par l'ANSSI.\n\nDans le cadre d'un march\xE9, un crit\xE8\
re de choix, dont la notation est clairement d\xE9finie, sur l\u2019existence\n\
d\u2019un label ANSSI est indiqu\xE9.\n\nL\u2019ordre de choix peut \xEAtre\
\ le suivant (avec une quotation adapt\xE9e) :\n\n- Qualification renforc\xE9\
e de l\u2019ANSSI ;\n- Qualification standard de l\u2019ANSSI ;\n- Reconnaissance\
\ SOG-IS ; \n- Reconnaissance crit\xE8res communs ;\n- Certification de s\xE9\
curit\xE9 de premier niveau de l'ANSSI\n- En cours de labellisation aupr\xE8\
s de l'ANSSI (sans pr\xE9somption du r\xE9sultat mais dans ce cas avec l'obligation\
\ pour le soumissionnaire de fournir le r\xE9c\xE9piss\xE9 du d\xE9p\xF4t\
\ de la demande r\xE9alis\xE9e aupr\xE8s de l'ANSSI) ;\n- Reconnaissance autre\
\ ;\n- Pas de labellisation.\n\nLa labellisation est r\xE9alis\xE9e suivant\
\ une cible de s\xE9curit\xE9 d\xE9finie. En cas de plusieurs solutions labellis\xE9\
es\npropos\xE9es, une attention particuli\xE8re doit donc \xEAtre port\xE9\
e sur la cible de s\xE9curit\xE9 ayant permis leur\nlabellisation (p\xE9rim\xE8\
tre total ou partiel de la solution)."
- urn: urn:ackwa:risk:req_node:mcas-1.0:int-pres-cs
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int
ref_id: INT-PRES-CS
name: "Clauses de s\xE9curit\xE9"
description: "Toute prestation dans le domaine des SI doit \xEAtre encadr\xE9\
e par des clauses de s\xE9curit\xE9 (plan d\u2019assurance s\xE9curit\xE9\
). Ces clauses sp\xE9cifient les mesures SSI que le prestataire doit respecter\
\ dans le cadre de ses activit\xE9s."
- urn: urn:ackwa:risk:req_node:mcas-1.0:int-pres-cntrl
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int
ref_id: INT-PRES-CNTRL
name: "Suivi et contr\xF4le des prestations fournies"
description: "Le maintien d'un niveau de s\xE9curit\xE9 au cours du temps n\xE9\
cessite un double contr\xF4le :\n\n- l'un, effectu\xE9 p\xE9riodiquement par\
\ l\u2019\xE9quipe encadrant la prestation, qui porte sur les actions du sous-traitant\
\ et la conformit\xE9 au cahier des charges ;\n- l'autre, effectu\xE9 par\
\ une \xE9quipe externe, qui porte sur la pertinence du cahier des charges\
\ en amont des projets, la conformit\xE9 des r\xE9ponses apport\xE9es par\
\ le sous- traitant en phase de recette et le niveau de s\xE9curit\xE9 global\
\ obtenu en production."
- urn: urn:ackwa:risk:req_node:mcas-1.0:int-rex-ar
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int
ref_id: INT-REX-AR
name: Analyse de risques
description: "Toute op\xE9ration d'externalisation s'appuie sur une analyse\
\ de risques pr\xE9alable, de fa\xE7on \xE0 formaliser des objectifs de s\xE9\
curit\xE9 et d\xE9finir des mesures adapt\xE9es L'ensemble des objectifs de\
\ s\xE9curit\xE9 ainsi formalis\xE9s permet de d\xE9finir une cible de s\xE9\
curit\xE9 servant de cadre au contrat \xE9tabli avec le prestataire,"
- urn: urn:ackwa:risk:req_node:mcas-1.0:int-rex-hb
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int
ref_id: INT-REX-HB
name: "H\xE9bergement"
description: "L\u2019h\xE9bergement de donn\xE9es sensibles sur le territoire\
\ national est fortement recommand\xE9. En outre, l\u2019h\xE9bergement concernant\
\ certaines donn\xE9es doit r\xE9pondre aux exigences l\xE9gales et r\xE9\
glementaires (donn\xE9es nominatives, donn\xE9es de sant\xE9...)."
- urn: urn:ackwa:risk:req_node:mcas-1.0:int-rex-hs
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:int
ref_id: INT-REX-HS
name: "H\xE9bergement et clauses de s\xE9curit\xE9"
description: "Tout contrat d'h\xE9bergement d\xE9taille les dispositions mises\
\ en \u0153uvre pour prendre en compte la SSI Ce sont notamment les mesures\
\ prises pour assurer le maintien en condition de s\xE9curit\xE9 des syst\xE8\
mes et permettre une gestion de crise efficace (conditions d'acc\xE8s aux\
\ journaux, mise en place d'astreintes, etc)."
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy
assessable: false
depth: 1
ref_id: PHY
name: "S\xE9curit\xE9 physique des locaux abritant les SI"
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-zones
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-ZONES
name: "D\xE9coupage des sites en zones de s\xE9curit\xE9"
description: "Un d\xE9coupage des sites en zones physiques de s\xE9curit\xE9\
\ doit \xEAtre effectu\xE9, en liaison avec le RSSI, les correspondants locaux\
\ SSI et les services en charge : de l'immobilier, de la s\xE9curit\xE9 et\
\ des moyens g\xE9n\xE9raux. Pour chaque zone de s\xE9curit\xE9, des crit\xE8\
res pr\xE9cis d'autorisation d'acc\xE8s sont \xE9tablis."
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-publ
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-PUBL
name: "Acc\xE8s r\xE9seau en zone d\u2019accueil du public"
description: "Tout acc\xE8s r\xE9seau install\xE9 dans une zone d'accueil du\
\ public doit \xEAtre filtr\xE9 ou isol\xE9 du reste du r\xE9seau informatique\
\ de l\u2019entit\xE9."
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-sens
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-SENS
name: "Protection des informations sensibles au sein des zones d\u2019accueil"
description: "Le traitement d'informations sensibles au sein des zones d'accueil\
\ est \xE0 \xE9viter. Si un tel traitement est strictement n\xE9cessaire,\
\ il doit rester ponctuel et exceptionnel. Des mesures particuli\xE8res sont\
\ alors adopt\xE9es, notamment en mati\xE8re de protection audiovisuelle,\
\ ainsi qu\u2019en mati\xE8re de protection des informations stock\xE9es sur\
\ les supports."
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-tech
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-TECH
name: "S\xE9curit\xE9 physique des locaux techniques"
description: "L\u2019acc\xE8s aux locaux techniques abritant des \xE9quipements\
\ d'alimentation et de distribution d\u2019\xE9nergie, ou des \xE9quipements\
\ de r\xE9seau et de t\xE9l\xE9phonie, doit \xEAtre physiquement prot\xE9\
g\xE9."
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-telecom
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-TELECOM
name: "Protection des c\xE2bles \xE9lectriques et de t\xE9l\xE9communications"
description: "Il convient de prot\xE9ger le c\xE2blage r\xE9seau contre les\
\ dommages et les interceptions des communications qu\u2019ils transmettent.\
\ En compl\xE9ment, les panneaux de raccordements et les salles des c\xE2\
bles doivent \xEAtre plac\xE9s en dehors des zones d\u2019accueil du public\
\ et leur acc\xE8s doit \xEAtre contr\xF4l\xE9."
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ctrl
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-CTRL
name: "Contr\xF4les anti-pi\xE9geages"
description: "Sur les SI particuli\xE8rement sensibles, il est recommand\xE9\
\ de mener des contr\xF4les anti-pi\xE9geages r\xE9guliers, effectu\xE9s par\
\ du personnel form\xE9. Il peut \xEAtre fait appel \xE0 des services sp\xE9\
cialis\xE9s (op\xE9rations dites de \xAB d\xE9poussi\xE9rage \xBB). "
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-loc
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-CI-LOC
name: "D\xE9coupage des locaux en zones de s\xE9curit\xE9"
description: "Un d\xE9coupage du centre informatique en zones physiques de s\xE9\
curit\xE9 doit \xEAtre effectu\xE9, en liaison avec le RSSI et les services\
\ en charge de l\u2019immobilier, de la s\xE9curit\xE9 et des moyens g\xE9\
n\xE9raux. Des r\xE8gles doivent fixer les conditions d\u2019acc\xE8s \xE0\
\ ces diff\xE9rentes zones."
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-heberg
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-CI-HEBERG
name: "Convention de service en cas d\u2019h\xE9bergement tiers"
description: "Dans le cas o\xF9 un tiers g\xE8re tout ou partie des locaux du\
\ centre informatique, une convention de service, d\xE9finissant les responsabilit\xE9\
s mutuelles en mati\xE8re de s\xE9curit\xE9, doit \xEAtre \xE9tablie entre\
\ ce tiers et l\u2019entit\xE9."
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-ctrlacc
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-CI-CTRLACC
name: "Contr\xF4le d\u2019acc\xE8s physique"
description: "L\u2019acc\xE8s aux zones internes (autoris\xE9es uniquement au\
\ personnel du centre informatique ou aux visiteurs accompagn\xE9s) et restreintes\
\ (autoris\xE9es aux seules personnes habilit\xE9es ou aux visiteurs accompagn\xE9\
s) doit reposer sur un dispositif de contr\xF4le d\u2019acc\xE8s physique.\
\ Ce dispositif doit s'appuyer sur des produits qualifi\xE9s, lorsqu\u2019\
ils sont disponibles, et b\xE9n\xE9ficier d'un maintien en condition de s\xE9\
curit\xE9 rigoureux."
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-moyens
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-CI-MOYENS
name: "D\xE9livrance des moyens d\u2019acc\xE8s physique"
description: "La d\xE9livrance des moyens d'acc\xE8s physique doit respecter\
\ un processus formel permettant de s'assurer de l'identit\xE9 de la personne,\
\ s'appuyant sur le processus d\u2019arriv\xE9e et de d\xE9part du personnel.\
\ Le personnel autre que celui explicitement autoris\xE9 et habilit\xE9, mais\
\ n\xE9anmoins appel\xE9 \xE0 intervenir dans les zones sensibles (entretien\
\ ou r\xE9paration des b\xE2timents, des \xE9quipements non informatiques,\
\ nettoyage, visiteurs, .. . ), intervient syst\xE9matiquement et imp\xE9\
rativement sous surveillance permanente."
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-trace
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-CI-TRACE
name: "Tra\xE7abilit\xE9 des acc\xE8s"
description: "Une tra\xE7abilit\xE9 des acc\xE8s, par les visiteurs externes,\
\ aux zones restreintes doit \xEAtre mise en place. Ces traces sont alors\
\ conserv\xE9es un an, dans le respect des textes prot\xE9geant les donn\xE9\
es personnelles."
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-energie
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-CI-ENERGIE
name: "Local \xE9nergie"
description: "L\u2019alimentation secteur des \xE9quipements devra \xEAtre conforme\
\ aux r\xE8gles de l\u2019art, de fa\xE7on \xE0 se pr\xE9munir des atteintes\
\ \xE0 la s\xE9curit\xE9 des personnes et \xE9quipements li\xE9es \xE0 un\
\ d\xE9faut \xE9lectrique."
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-clim
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-CI-CLIM
name: Climatisation
description: "Un dispositif de climatisation dimensionn\xE9 en fonction des\
\ besoins \xE9nerg\xE9tiques du syst\xE8me informatique doit \xEAtre install\xE9\
. Des proc\xE9dures de r\xE9action en cas de panne, connues du personnel,\
\ doivent \xEAtre \xE9labor\xE9es et v\xE9rifi\xE9es annuellement. Ces dispositions\
\ visent \xE0 pr\xE9venir toute surchauffe des \xE9quipements, pouvant engendrer\
\ une perte du service voire une d\xE9t\xE9rioration du mat\xE9riel."
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-inc
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-CI-INC
name: "Lutte contre l\u2019incendie"
description: "L\u2019installation de mat\xE9riel de protection contre le feu\
\ est obligatoire. Des proc\xE9dures de r\xE9action \xE0 un incendie sont\
\ d\xE9finies et r\xE9guli\xE8rement test\xE9es. Les salles techniques doivent\
\ \xEAtre propres. Aucun carton, papier, ou autre source potentielle de d\xE9\
part de feu ne doit \xEAtre entrepos\xE9 dans ces locaux. "
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-ci-eau
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-CI-EAU
name: "Lutte contre les voies d\u2019eau"
description: "Une \xE9tude sur les risques dus aux voies d'eau doit \xEAtre\
\ r\xE9alis\xE9e. Cette \xE9tude doit notamment prendre en compte le risque\
\ de fuite sur un collecteur d\u2019eau douce."
- urn: urn:ackwa:risk:req_node:mcas-1.0:phy-si-sur
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:phy
ref_id: PHY-SI-SUR
name: "S\xE9curisation du SI de s\xFBret\xE9"
description: "Pour les sites physiques consid\xE9r\xE9s comme importants, des\
\ mesures de protection doivent \xEAtre d\xE9finies et appliqu\xE9es en se\
\ basant sur les conclusions d\u2019une analyse de risques. L\u2019analyse\
\ de risques conduit \xE0 la d\xE9signation des briques essentielles dont\
\ il faut assurer la protection contre des actes malveillants Un syst\xE8\
me de gestion de la s\xE9curit\xE9 du SI de s\xFBret\xE9 (s'inspirant de la\
\ norme ISO 27001) assure le maintien en condition de s\xE9curit\xE9. L'emploi\
\ de produits labellis\xE9s, quand ils existent, est fortement recommand\xE9\
."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res
assessable: false
depth: 1
ref_id: RES
name: "S\xE9curit\xE9 des r\xE9seaux"
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-maitrise
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-MAITRISE
name: "Syst\xE8mes autoris\xE9s sur le r\xE9seau"
description: "Seuls les \xE9quipements g\xE9r\xE9s et configur\xE9s par les\
\ \xE9quipes informatiques habilit\xE9es peuvent \xEAtre connect\xE9s au r\xE9\
seau local d\u2019une entit\xE9."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-interco
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-INTERCO
name: "Interconnexion avec des r\xE9seaux externes"
description: "Toute interconnexion entre les r\xE9seaux locaux d\u2019une entit\xE9\
\ et un r\xE9seau externe (r\xE9seau d\u2019un tiers, Internet, etc.) doit\
\ \xEAtre, pour les organismes \xE9ligibles, r\xE9alis\xE9e via les infrastructures\
\ nationales (r\xE9seau interminist\xE9riel de l'Etat, RENATER). Pour les\
\ autres il convient de ma\xEEtriser les interconnexions (connaissance des\
\ fournisseurs d\u2019acc\xE8s, r\xE9versibilit\xE9 de la solution, maintien\
\ en condition de s\xE9curit\xE9)."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-entsor
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-ENTSOR
name: "Mettre en place un filtrage r\xE9seau pour les flux sortants et entrants"
description: "Dans l\u2019optique de r\xE9duire les possibilit\xE9s offertes\
\ \xE0 un attaquant, les connexions des machines du r\xE9seau interne vers\
\ l'ext\xE9rieur doivent \xEAtre filtr\xE9es."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-prot
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-PROT
name: Protection des informations
description: "Les acc\xE8s \xE0 Internet passent obligatoirement \xE2 travers\
\ les passerelles nationales. D\xE8s lors que des informations sensibles doivent\
\ transiter sur des r\xE9seaux non ma\xEEtris\xE9s, il convient de les prot\xE9\
ger sp\xE9cifiquement par chiffrement adapt\xE9."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-clois
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-CLOIS
name: "Cloisonner le SI en sous-r\xE9seaux de niveaux de s\xE9curit\xE9 homog\xE8\
nes"
description: "Par analogie avec le cloisonnement physique d'un b\xE2timent,\
\ le syst\xE8me d\u2019information doit \xEAtre segment\xE9 selon des zones\
\ pr\xE9sentant chacune un niveau de s\xE9curit\xE9 homog\xE8ne."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-intercogeo
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-INTERCOGEO
name: "Interconnexion des sites g\xE9ographiques locaux d\u2019une entit\xE9"
description: "L'interconnexion au niveau local de r\xE9seaux locaux d\u2019\
une entit\xE9 n'est possible que si la proximit\xE9 g\xE9ographique le justifie\
\ et sous r\xE9serve de la mise en place de connexions d\xE9di\xE9es \xE2\
\ cet effet, et de passerelles s\xE9curis\xE9es et homologu\xE9es par l'AQSSI\
\ et valid\xE9e par le HFDS."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-ress
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-RESS
name: Cloisonnement des ressources en cas de partage de locaux
description: "Dans le cas o\xF9 une entit\xE9 partage des locaux (bureaux ou\
\ locaux techniques) avec des entit\xE9s externes, des mesures de cloisonnement\
\ des ressources informatiques doivent \xEAtre mises en place. Si le cloisonnement\
\ n\u2019est pas physique, les mesures prises doivent \xEAtre valid\xE9es\
\ par le HFDS."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-internet-specifique
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-INTERNET-SPECIFIQUE
name: "Cas particulier des acc\xE8s sp\xE9cifiques dans une entit\xE9"
description: "Les acc\xE8s sp\xE9cifiques \xE0 Internet n\xE9cessitant des droits\
\ particuliers pour un usage m\xE9tier ne peuvent \xEAtre mis en place que\
\ sur d\xE9rogation d\xFBment justifi\xE9e, et sur des machines isol\xE9es\
\ physiquement et s\xE9par\xE9es du r\xE9seau de l\u2019entit\xE9, apr\xE8\
s validation pr\xE9alable de l'autorit\xE9 d'homologation."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-ssfil
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-SSFIL
name: "Mise en place de r\xE9seaux sans fil"
description: "Le d\xE9ploiement de r\xE9seaux sans fil doit faire l'objet d'une\
\ analyse de risques sp\xE9cifique. Les protections intrins\xE8ques \xE9tant\
\ insuffisantes, des mesures compl\xE9mentaires, valid\xE9es par le SHFDS,\
\ doivent \xEAtre prises dans le cadre de la d\xE9fense en profondeur. En\
\ particulier, une segmentation du r\xE9seau doit \xEAtre mise en place de\
\ fa\xE7on \xE0 limiter \xE2 un p\xE9rim\xE8tre d\xE9termin\xE9 les cons\xE9\
quences d\u2019une intrusion depuis la voie radio. \xC0 d\xE9faut de mise\
\ en \u0153uvre de mesures sp\xE9cifiques, le d\xE9ploiement de r\xE9seaux\
\ sans fil sur des SI manipulant des donn\xE9es sensibles est proscrit S\xE9\
curisation des m\xE9canismes de commutation et de routage"
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-couchbas
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-COUCHBAS
name: "Implanter des m\xE9canismes de protection contre les attaques sur les\
\ couches basses"
description: "Une attention particuli\xE8re doit \xEAtre apport\xE9e \xE2 l'implantation\
\ des protocoles de couches basses, de fa\xE7on \xE0 se pr\xE9munir des attaques\
\ usuelles."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-routdyn
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-ROUTDYN
name: Surveiller les annonces de routage
description: "Lorsque l\u2019utilisation de protocoles de routage dynamiques\
\ est n\xE9cessaire, celle-ci doit s'accompagner de la mise en place d\u2019\
une surveillance des annonces de routage, et de proc\xE9dures permettant de\
\ r\xE9agir rapidement en cas d\u2019incidents."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-routdyn-igp
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-ROUTDYN-IGP
name: "Configurer le protocole IGP de mani\xE8re s\xE9curis\xE9e"
description: "Le protocole de routage dynamique de type IGP doit \xEAtre activ\xE9\
\ exclusivement sur les interfaces n\xE9cessaires \xE0 la construction de\
\ la topologie du r\xE9seau et d\xE9sactiv\xE9 sur le reste des interfaces.\
\ La configuration du protocole de routage dynamique doit syst\xE9matiquement\
\ \xEAtre r\xE9alis\xE9e suivant les pr\xE9conisations de l\u2019Agence nationale\
\ de s\xE9curit\xE9 des syst\xE8mes d\u2019information."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-routdyn-egp
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-ROUTDYN-EGP
name: "S\xE9curiser les sessions EGP"
description: "Lors de la mise en place d\u2019une session EGP avec un pair ext\xE9\
rieur sur un m\xE9dia partag\xE9, cette session doit \xEAtre r\xE9alis\xE9\
e suivant les pr\xE9conisations de l\u2019Agence nationale de s\xE9curit\xE9\
\ des syst\xE8mes d\u2019information."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-secret
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-SECRET
name: "Modifier syst\xE9matiquement les \xE9l\xE9ments d\u2019authentification\
\ par d\xE9faut des \xE9quipements et services"
description: "Les mots de passe par d\xE9faut doivent \xEAtre imp\xE9rativement\
\ modifi\xE9s, de m\xEAme en ce qui concerne les certificats. Les dispositions\
\ n\xE9cessaires doivent \xEAtre prises aupr\xE8s des fournisseurs de fa\xE7\
on \xE0 pouvoir modifier les certificats install\xE9s par d\xE9faut."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-durci
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-DURCI
name: "Durcir les configurations des \xE9quipements de r\xE9seaux"
description: "Les \xE9quipements de r\xE9seaux (comme les routeurs) doivent\
\ faire l'objet d\u2019un durcissement sp\xE9cifique comprenant notamment,\
\ outre le changement des mots de passe et certificats, la d\xE9sactivation\
\ des interfaces et services inutiles, ainsi que la mise en place de m\xE9\
canismes de protection du plan de contr\xF4le."
- urn: urn:ackwa:risk:req_node:mcas-1.0:res-carto
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:res
ref_id: RES-CARTO
name: "\xC9laborer les documents d\u2019architecture technique et fonctionnelle"
description: "L\u2019architecture r\xE9seau du syst\xE8me d\u2019information\
\ doit \xEAtre d\xE9crite et formalis\xE9e \xE0 travers des sch\xE9mas d\u2019\
architecture, et des configurations, maintenus au fil des \xE9volutions apport\xE9\
es au SI. Les documents d\u2019architecture sont sensibles et font l\u2019\
objet d'une protection adapt\xE9e. La cartographie r\xE9seau s\u2019ins\xE8\
re dans la cartographie globale des SI."
- urn: urn:ackwa:risk:req_node:mcas-1.0:archi
assessable: false
depth: 1
ref_id: ARCHI
name: Architecture des SI
- urn: urn:ackwa:risk:req_node:mcas-1.0:archi-heberg
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:archi
ref_id: ARCHI-HEBERG
name: "Principes d\u2019architecture de la zone d'h\xE9bergement"
description: "D\u2019une mani\xE8re g\xE9n\xE9rale, l\u2019architecture des\
\ infrastructures des centres informatiques est con\xE7ue de fa\xE7on \xE0\
\ satisfaire l'ensemble des besoins en disponibilit\xE9, confidentialit\xE9\
, tra\xE7abilit\xE9 et int\xE9grit\xE9. Le principe de d\xE9fense en profondeur\
\ doit \xEAtre respect\xE9, en particulier par la mise en \u0153uvre successive\
\ de \xAB zones d\xE9militaris\xE9es \xBB (DMZ), d\u2019environnements de\
\ s\xE9curit\xE9 en zone d'h\xE9bergement, de machines virtuelles ou physiques\
\ d\xE9di\xE9es, de r\xE9seaux locaux virtuels (VLAN) appropri\xE9s, d\u2019\
un filtrage strict des flux applicatifs et d\u2019administration."
- urn: urn:ackwa:risk:req_node:mcas-1.0:archi-stockci
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:archi
ref_id: ARCHI-STOCKCI
name: Architecture de stockage et de sauvegarde
description: "Le r\xE9seau de stockage/sauvegarde pour les besoins des centres\
\ informatiques repose sur une architecture d\xE9di\xE9e \xE0 cet effet."
- urn: urn:ackwa:risk:req_node:mcas-1.0:archi-pass
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:archi
ref_id: ARCHI-PASS
name: Passerelle Internet
description: "Les interconnexions Internet passent obligatoirement par des passerelles\
\ homologu\xE9es."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp
assessable: false
depth: 1
ref_id: EXP
name: Exploitation des SI
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-prot-inf
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-PROT-INF
name: "Protection des informations sensibles en confidentialit\xE9 et en int\xE9\
grit\xE9"
description: "Des mesures doivent \xEAtre mises en \u0153uvre afin de garantir\
\ la protection des informations sensibles en confidentialit\xE9 et en int\xE9\
grit\xE9. A d\xE9faut d\u2019utilisation d\u2019un r\xE9seau homologu\xE9\
, ces informations doivent \xEAtre chiffr\xE9es \xE0 l\u2019aide d'un moyen\
\ de chiffrement labellis\xE9."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-trac
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-TRAC
name: "Tra\xE7abilit\xE9 des interventions sur le syst\xE8me"
description: "Les interventions de maintenance sur les ressources informatiques\
\ de l\u2019entit\xE9 doivent \xEAtre trac\xE9es par le service informatique,\
\ et ces traces doivent \xEAtre accessibles au RSSI local durant au moins\
\ un an."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-config
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-CONFIG
name: Configuration des ressources informatiques
description: "Les syst\xE8mes d\u2019exploitation et les logiciels doivent faire\
\ l\u2019objet d'un durcissement. Les configurations et mises \xE0 jour sont\
\ appliqu\xE9es dans le strict respect des guides ou proc\xE9dures en vigueur\
\ dans l'entit\xE9 ou, par d\xE9faut, en vigueur au niveau central."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-doc-config
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-DOC-CONFIG
name: Documentation des configurations
description: "La configuration standard des ressources informatiques doit \xEA\
tre document\xE9e et mise \xE0 jour \xE0 chaque changement notable."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-id-auth
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-ID-AUTH
name: "Identification, authentification et contr\xF4le d'acc\xE8s logique"
description: "L\u2019acc\xE8s \xE0 toute ressource non publique doit n\xE9cessiter\
\ une identification et une authentification individuelle de l\u2019utilisateur.\
\ Dans le cas de l'acc\xE8s \xE0 des donn\xE9es sensibles, des moyens d\u2019\
authentification forte doivent \xEAtre utilis\xE9s. A cette fin, l\u2019usage\
\ d\u2019une carte \xE0 puce doit \xEAtre privil\xE9gi\xE9. Le contr\xF4le\
\ d\u2019acc\xE8s doit \xEAtre g\xE9r\xE9 et s'appuyer sur un processus formalis\xE9\
\ en coh\xE9rence avec la gestion des ressources humaines."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-droits
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-DROITS
name: "Droits d\u2019acc\xE8s aux ressources"
description: "Apr\xE8s avoir d\xE9termin\xE9 le niveau de sensibilit\xE9, le\
\ besoin de diffusion et de partage des ressources, les droits d\u2019acc\xE8\
s aux ressources doivent \xEAtre g\xE9r\xE9s suivant les principes suivants\
\ : besoin d\u2019en conna\xEEtre (chaque utilisateur n\u2019est autoris\xE9\
\ \xE0 acc\xE9der qu\u2019aux ressources pour lesquelles on lui accorde explicitement\
\ le b\xE9n\xE9fice de l\u2019acc\xE8s), moindre privil\xE8ge (chaque utilisateur\
\ acc\xE8de aux ressources avec le minimum de privil\xE8ges lui permettant\
\ de conduire les actions explicitement autoris\xE9es pour lui)."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-profils
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-PROFILS
name: "Gestion des profils d'acc\xE8s aux applications"
description: "Les applications manipulant des donn\xE9es sensibles doivent permettre\
\ une gestion fine par profils d\u2019acc\xE8s. Les principes du besoin d'en\
\ conna\xEEtre et du moindre privil\xE8ge s'appliquent."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-proc-auth
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-PROC-AUTH
name: "Autorisations d\u2019acc\xE8s des utilisateurs"
description: "Toute action d'autorisation d'acc\xE8s d'un utilisateur \xE0 une\
\ ressource des SI, qu'elle soit locale ou nationale, doit s'inscrire dans\
\ le cadre d'un processus d'autorisation formalis\xE9, qui s\u2019appuie sur\
\ le processus d'arriv\xE9e et de d\xE9part du personnel."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-revue-auth
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-REVUE-AUTH
name: "Revue des autorisations d\u2019acc\xE8s"
description: "Une revue des autorisations d'acc\xE8s doit \xEAtre r\xE9alis\xE9\
e annuellement sous le contr\xF4le du RSSI, le cas \xE9ch\xE9ant avec l\u2019\
appui du correspondant local SSI."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-conf-auth
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-CONF-AUTH
name: "Confidentialit\xE9 des informations d\u2019authentification"
description: "Les informations d'authentification (mots de passe d\u2019acc\xE8\
s aux SI, cl\xE9s priv\xE9es li\xE9es aux certificats \xE9lectroniques, etc.)\
\ doivent \xEAtre consid\xE9r\xE9es comme des donn\xE9es sensibles."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-gest-pass
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-GEST-PASS
name: Gestion des mots de passe
description: "Les utilisateurs ne doivent pas stocker leurs mots de passe en\
\ clair (par exemple dans un fichier) sur leur poste de travail. Les mots\
\ de passe ne doivent pas transiter en clair sur les r\xE9seaux."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-init-pass
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-INIT-PASS
name: Initialisation des mots de passe
description: "Chaque compte utilisateur doit \xEAtre cr\xE9\xE9 avec un mot\
\ de passe initial al\xE9atoire unique. Si les circonstances l'imposent, un\
\ mot de passe plus simple mais \xE0 usage unique peut \xEAtre envisag\xE9\
."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-pol-pass
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-POL-PASS
name: Politiques de mots de passe
description: "Les r\xE8gles de gestion et de protection des mots de passe donnant\
\ acc\xE8s aux applications et infrastructures nationales, telles qu\u2019\
\xE9dict\xE9es par les ma\xEEtrises d'ouvrage nationales, doivent \xEAtre\
\ respect\xE9es dans chaque entit\xE9. Pour les ressources dont la politique\
\ de mots de passe est g\xE9r\xE9e localement, les recommandations de l'ANSSI\
\ doivent \xEAtre appliqu\xE9es pour tous les comptes."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-certifs
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-CERTIFS
name: "Utilisation de certificats \xE9lectroniques"
description: "L\u2019utilisation de certificats \xE9lectroniques doit respecter\
\ les r\xE8gles \xE9dict\xE9es par le RGS."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-qual-pass
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-QUAL-PASS
name: "Contr\xF4le syst\xE9matique de la qualit\xE9 des mots de passe"
description: "Des moyens techniques permettant d\u2019imposer la politique de\
\ mots de passe (par exemple pour s'assurer du respect de l'\xE9ventuelle\
\ obligation relative \xE0 l'usage de caract\xE8res sp\xE9ciaux) doivent \xEA\
tre mis en place. A d\xE9faut, un contr\xF4le p\xE9riodique des param\xE8\
tres techniques relatifs aux mots de passe doit \xEAtre r\xE9alis\xE9."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-seq-admin
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-SEQ-ADMIN
name: "S\xE9questre des authentifiants \xAB administrateur \xBB"
description: "Les authentifiants permettant l'administration des ressources\
\ des SI doivent \xEAtre plac\xE9s sous s\xE9questre et tenus \xE0 jour, dans\
\ un coffre ou une armoire ferm\xE9e \xE0 cl\xE9. L\u2019authentifi\xE9 doit\
\ \xEAtre inform\xE9 de l'existence de ces op\xE9rations de gestion, de leurs\
\ finalit\xE9s et limites. Tout acc\xE8s d\u2019administration \xE0 une ressource\
\ informatique doit pouvoir \xEAtre trac\xE9 et permettre de remonter \xE0\
\ la personne exer\xE7ant ce droit. Les informations d'authentification b\xE9\
n\xE9ficiant d\u2019un moyen de protection physique (notamment carte \xE2\
\ puce) n\u2019ont, par d\xE9faut, pas besoin d\u2019\xEAtre l\u2019objet\
\ d'op\xE9rations de s\xE9questre de la part d\u2019autres personnels que\
\ l'authentifi\xE9 lui-m\xEAme."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-pol-admin
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-POL-ADMIN
name: "Politique de mots de passe \xAB administrateurs \xBB"
description: "Chaque administrateur doit disposer d\u2019un mot de passe propre\
\ et destin\xE9 \xE0 l\u2019administration."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-dep-admin
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp
ref_id: EXP-DEP-ADMIN
name: "Gestion du d\xE9part d\u2019un administrateur des SI"
description: "En cas de d\xE9part d'un administrateur disposant de privil\xE8\
ges sur des composants des SI, les comptes individuels dont il disposait doivent\
\ \xEAtre imm\xE9diatement d\xE9sactiv\xE9s. Les \xE9ventuels mots de passe\
\ d\u2019administration dont il avait connaissance doivent \xEAtre chang\xE9\
s (exemples : mots de passe des comptes fonctionnels, comptes g\xE9n\xE9riques\
\ ou comptes de service utilis\xE9s dans le cadre des fonctions de l\u2019\
administrateur)."
- urn: urn:ackwa:risk:req_node:mcas-1.0:exp-restr-droits
assessable: true
depth: 2
parent_urn: urn:ackwa:risk:req_node:mcas-1.0:exp