Profil de Protection pour services bancaires et / ou financiers sur Internet. Version : V7 Date : 4 août 2004

Dimension: px
Commencer à balayer dès la page:

Download "Profil de Protection pour services bancaires et / ou financiers sur Internet. Version : V7 Date : 4 août 2004"

Transcription

1 Profil de Protection pour services bancaires et / ou financiers sur Internet Version : V7 Date : 4 août 2004

2 Sommaire 1 DU LIVRE BLANC AU REFERENTIEL DE SECURITE MISSION CONFIEE AU CFONB PAR LE SECRETARIAT GENERAL DE LA COMMISSION BANCAIRE UN REFERENTIEL DE SECURITE, POUR QUI? UN REFERENTIEL DE SECURITE, SOUS QUELLE FORME? SPECIFICITES DES ETABLISSEMENTS BANCAIRES ET FINANCIERS Contrôle interne Lutte contre le blanchiment Risque juridique Agrément des établissements CHAMP D'APPLICATION DU REFERENTIEL SECURITE POINTS FORTS DE LA DEMARCHE Reconnaissance internationale du référentiel certifié selon les Critères Communs Utilisations du référentiel DEMARCHE RETENUE PAR LE CFONB PRINCIPE Définition du système cible et analogie avec le guichet bancaire Biens et environnement de sécurité de sécurité Exigences de sécurité ROLE DE LA MAITRISE D OUVRAGE ET DE LA MAITRISE D ŒUVRE Maîtrise d ouvrage Maîtrise d œuvre EXPRESSION DU BESOIN DE SECURITE INTRODUCTION Description générale du Profil de Protection (PP) Identification du Profil de protection Conventions DESCRIPTION DE LA CIBLE D EVALUATION Concepts et définitions Vue d'ensemble de la fourniture d'un service bancaire et / ou financier sur Internet Acteurs et Rôles Modélisation de la cible d'évaluation Éléments variables de la TOE ENVIRONNEMENT DE SECURITE DE LA CIBLE D EVALUATION Biens de la TOE Hypothèses Politiques de sécurité organisationnelles Menaces OBJECTIFS DE SECURITE Obligations Politique de sécurité Conception & développement Contrôle et suivi Cryptographie Sécurité physique Sécurité logique EXIGENCES DE SECURITE / 123

3 4.1 EXIGENCES FONCTIONNELLES ET D'ASSURANCE Exigences fonctionnelles Exigences d'assurance NOTES D'APPLICATION ARGUMENTAIRE ANNEXES BIBLIOGRAPHIE ACRONYMES, GLOSSAIRE ET TERMINOLOGIE Acronymes Glossaire Terminologie relative aux exigences d'assurance CLASSES DE TRANSACTIONS ET TRANSACTIONS DOMAINES DE SENSIBILITE AUX RISQUES CARACTERISTIQUES DE SECURITE DE LA CIBLE D'EVALUATION Caractéristiques des nouvelles architectures Bonnes pratiques de protection MAINTENANCE DE L'ASSURANCE Famille Plan de maintenance de l assurance [AMA_AMP] Famille Rapport de classification des composants de la TOE [AMA_CAT.1] Famille Preuve de la maintenance de l assurance [AMA_EVD] Famille Analyse d impact sur la sécurité [AMA_SIA] LISTE DES PARTICIPANTS DU GROUPE DE TRAVAIL "PROFIL DE PROTECTION" / 123

4 Liste des figures Figure 1 : Vue d'ensemble de la fourniture d'un SBFI...16 Figure 2 : Modèle fonctionnel d'un Système SBFI...18 Figure 3 : Domaines de sensibilité aux risques Liste des tableaux Tableau 1 : Abréviations des Biens...22 Tableau 2 : Types d'attaques...35 Tableau 3 : Liste des exigences fonctionnelles et des niveaux SOF spécifiques associés...55 Tableau 4 : Liste minimale des événements auditables (FAU_GEN.1)...58 Tableau 5 : Liste des informations d'audit à enregistrer (FAU_GEN.1)...59 Tableau 6 : Liste minimale des opérations cryptographiques (FCS_COP.1)...66 Tableau 7 : Règles complémentaires de contrôle de flux d'information...70 Tableau 8 : Liste des rôles (FMT_SMR.1)...84 Tableau 9 : Liste minimale des rejeux à détecter (FPT_RPL.1)...85 Tableau 10 : Liste des exigences d'assurance retenues / 123

5 1 DU LIVRE BLANC AU REFERENTIEL DE SECURITE 1.1 Mission confiée au CFONB par le Secrétariat Général de la Commission Bancaire Le Secrétariat général de la Commission bancaire, par le biais de son groupe de travail "Sécurité des systèmes d information et des transactions", a confié au groupe sécurité du Comité Français d Organisation et de Normalisation Bancaire (CFONB) la mission d élaborer un référentiel de sécurité pour les sites bancaires et / ou financiers sur Internet. La Commission Bancaire (CB) et le Conseil des Marchés Financiers (CMF) ont participé financièrement et opérationnellement à cette mission prise en charge par le CFONB car ils ont estimé qu'elle correspondait à leurs préoccupations et réflexions dans le domaine des services bancaires et / ou financiers fournis sur Internet. Ce travail s inscrit dans le cadre de la réflexion internationale menée au sein du Comité de Bâle et de la mise en œuvre des recommandations de la Commission bancaire et de la Banque de France publiées dans le Livre Blanc intitulé "Internet : quelles conséquences prudentielles?". Le livre blanc distingue trois types de services bancaires et / ou financiers sur Internet : Institutionnels : ils présentent des informations à caractère public sur l'établissement, comme par exemple ses produits. Consultation des données privées : ils nécessitent une identification et une authentification de l utilisateur, lui permettant d accéder à des informations personnelles, par exemple la consultation de ses comptes ou de ses portefeuilles de titres. Transactionnels : ils permettent à l utilisateur, sur la base de son authentification, de réaliser des opérations bancaires et / ou financières, par exemple des virements ou des opérations sur des titres. 1.2 Un référentiel de sécurité, pour qui? Ce référentiel de sécurité s'adresse avant tout aux maîtrises d'ouvrage et aux maîtrises d'œuvre impliquées dans les offres de services bancaires et/ou financiers de leurs établissements. 1.3 Un référentiel de sécurité, sous quelle forme? Conformément aux préconisations du Livre Blanc "Internet : quelles conséquences prudentielles?", ce référentiel de sécurité est rédigé en respectant la norme ISO/IEC (correspondant aux Critères Communs) et constitue un "Profil de Protection" (PP) au sens de la norme. 1.4 Spécificités des établissements bancaires et financiers Le référentiel de sécurité rappelle la notion d Établissement Agrée Responsable d un Service bancaire et/ou financier (EARS). Il est fait référence à cette notion pour la définition des objectifs et exigences de sécurité. Ce référentiel met en relief un certain nombre d'objectifs de sécurité provenant de la réglementation en vigueur, notamment les objectifs relatifs au respect de la vie privée, au cadre contractuel relatif à la fourniture d'un service bancaire et / ou financier, et à la gestion des preuves des transactions. De plus, le référentiel de sécurité intègre les spécificités bancaires et / ou financières rappelées ci-dessous Contrôle interne Les établissements de crédit et les sociétés d investissements sont soumis aux règlements édictés par le Comité de la Réglementation Bancaire et Financière, notamment : règlement n du 25 juillet 1990 qui fixe, pour les établissements assujettis, la nature des contrôles internes ; 5 / 123

6 règlement n du 25 juillet 1990 relatif au risque de taux d'intérêt sur les opérations de marché ; règlement n du 16 janvier 1991 concernant l'organisation du système comptable et du dispositif de traitement de l'information des établissements de crédits et des maisons de titres ; règlement n du 21 février 1997 relatif au contrôle interne des établissements de crédit. En plus de ce cadre réglementaire, le groupe de travail sur les conséquences prudentielles liées à l Internet recommande de fournir au responsable du contrôle interne une compétence explicite et exhaustive sur toute question relative à la sécurité Lutte contre le blanchiment Le blanchiment est défini comme le fait de faciliter, par tout moyen, la justification mensongère de l'origine des biens ou des revenus de l'auteur d'un crime ou d'un délit ayant procuré à celui-ci un profit direct ou indirect. Le blanchiment peut être facilité par la nature dématérialisée de la relation qui s établit entre l établissement financier et son client via Internet, rendant plus difficile la vérification de l identité et de la capacité financière de ce dernier. La loi du 12 juillet 1990 sur le blanchiment d'argent punit l'entrave à l'identification de valeurs d origine criminelle. Un décret relatif au défaut de vigilance en matière d'opérations financières pénalise tout professionnel de la finance qui ne vérifie pas l'identité de l'ayant droit économique. La loi sur le blanchiment d'argent a les caractéristiques suivantes : elle s'applique à tous les établissements proposant des services bancaires et/ou financiers : banques, directions de fonds de placement, compagnies d'assurances, gérants de fortunes, agents fiduciaires, bureaux de change, etc. ; l organisme financier doit vérifier l'identité du cocontractant et de l'ayant droit économique ; en cas de soupçon de blanchiment de valeurs d'origine criminelle, il est obligé d'informer le service TRACFIN ; un système de surveillance et de contrôle est mis en place pour vérifier la mise en application de la loi ; l'autorité de contrôle peut transmettre aux autorités étrangères des informations non accessibles au public moyennant des garanties de confidentialité et d'utilisation exclusive pour la lutte contre le blanchiment Risque juridique En plus du Code pénal (articles à ), l article 14 du règlement N du Comité de la Réglementation Bancaire et Financière responsabilise les dirigeants des établissements dans l évaluation et la maîtrise des risques liés à la sécurité des systèmes d information. La dématérialisation des relations avec les tiers introduit un risque juridique spécifique aux prestations transfrontalières Agrément des établissements Les opérations de banque ou les services d investissement effectués sur Internet sont couverts par les réglementations générales et sectorielles applicables à ces activités. C est le Comité des Établissements de Crédit et des Entreprises d Investissement (CECEI) qui est chargé, par la loi du 24 février 1984 et la loi de modernisation des activités financières du 2 juillet 1996, de délivrer les agréments pour l exercice de ces opérations sur le réseau. Pour le service d investissement de la gestion de portefeuille pour le compte de tiers, la Commission des Opérations de Bourse (COB) est seule compétente. Dans le cas d un élargissement de son activité sur Internet à de nouveaux services non couverts par le champ de l agrément qui lui a été accordé, l établissement devra veiller à actualiser son agrément auprès des autorités compétentes. Un établissement bancaire et / ou financier est dit agréé lorsqu'il a reçu une autorisation pour fournir des services bancaires et / ou des services financiers de la part de l'autorité compétente. L'autorisation est appelée agrément. 6 / 123

7 Pour la France, les différentes autorités délivrant les agréments sont : le Comité des Établissements de Crédit et des Entreprises d'investissement (CECEI), qui agrée les Établissements de Crédit et les Entreprises d'investissement ; le Conseil des Marchés Financiers (CMF), qui délivre une habilitation à l'exercice de l'activité de Tenue de Compte Conservation ou de Compensation, en général à des établissements agréés par le CECEI, mais également à titre dérogatoire à des entités qui ne sont ni des établissements de crédit ni des entreprises d'investissement (par exemple à des GIE) ; la Commission des Opérations de Bourse (COB), qui agrée les Sociétés de Gestion ; les institutions et services visés par les articles L et L du Code Monétaire et Financier sont assimilés à des établissements agréés. 1.5 Champ d'application du référentiel sécurité La vocation première du référentiel est de garantir un niveau de sécurité équivalent pour les services bancaires et/ou financiers disponibles sur Internet. Ces services sont précisés dans la cible d évaluation (chapitre 3.2). Un établissement qui n offrirait pas de bonnes garanties de sécurité ferait courir un risque majeur à la communauté bancaire et financière. Le référentiel de sécurité permet de garantir la conformité du dispositif de sécurité adopté par un établissement, grâce à l application des critères nécessaires et suffisants de la "cible de sécurité" communautaire. Dans le profil de protection, ces critères sont appelés "objectifs de sécurité" et "exigences de sécurité". Les exigences de sécurité sont la traduction des objectifs de sécurité dans le formalisme imposé des Critères Communs Les objectifs de sécurité concernent les maîtrises d'ouvrage et les maîtrises d'œuvre des établissements, alors que les exigences de sécurité s appliquent à l'exploitation et sont limitées à certains personnels (équipes sécurité ). Le référentiel de sécurité concerne les sites bancaires et / ou financiers transactionnels sur Internet, qu'ils s adressent à une clientèle particulière ou d'entreprise. Le référentiel est modulaire et d un niveau d abstraction élevé, afin de le rendre indépendant de la technologie en place. Il a été conçu ainsi pour tenir compte de la variété des architectures techniques existant au sein des établissements et pour rester pertinent en cas d'évolution des technologies. En revanche, il ne couvre pas : les services bancaires et / ou financiers n utilisant pas le canal Internet ; les services bancaires et / ou financiers de nature non transactionnelle ; les équipements de connexion des acteurs et en particulier des utilisateurs ; les systèmes de secours de tout ou partie des services bancaires et / ou financiers sur Internet ; le système de contrôle des accès physiques. 7 / 123

8 1.6 Points forts de la démarche Reconnaissance internationale du référentiel certifié selon les Critères Communs La certification de conformité du référentiel de sécurité à la norme internationale ISO/IEC (Critères Communs) garantit sa reconnaissance par tous les états signataires Utilisations du référentiel Le référentiel de sécurité peut être utilisé pour : rédiger le cahier des charges sécurité d'un nouveau service bancaire et / ou financier sur Internet ; évaluer et certifier conformément aux Critères Communs un service bancaire et / ou financier sur Internet L évaluation selon les Critères Communs est réalisée par un organisme indépendant et compétent (il doit être agréé pour pouvoir procéder à des évaluations). En France, ces organismes sont appelés Centre d Évaluation de la Sécurité des Technologies de l Information (CESTI). La certification est prononcée par un organisme gouvernemental au vu du rapport d'évaluation rédigé par le CESTI. En France, il s'agit de la Direction Centrale de la Sécurité des Systèmes d'information (DCSSI). Il est également envisageable que la certification d'un service ou site sur la base de ce référentiel participe à la décision d'agrément d'un nouvel entrant. 8 / 123

9 2 DEMARCHE RETENUE PAR LE CFONB 2.1 Principe La norme internationale ISO/IEC 15408:1999, intitulée "Critères Communs pour l évaluation de la sécurité des technologies de l information" comprend les parties suivantes : ISO/IEC :1999 : (partie 1) Introduction et modèle général ; ISO/IEC :1999 : (partie 2) Exigences fonctionnelles de sécurité ; ISO/IEC :1999 : (partie 3) Exigences d assurance de sécurité. L'emploi des Critères Communs dans le présent référentiel impose : l'utilisation des termes définis dans la norme et le respect du plan imposé pour un profil de protection (partie 1) ; l'utilisation des exigences de sécurité fonctionnelles et d'assurance (parties 2 et 3). Pour tenir compte du formalisme imposé par les Critères Communs pour les exigences de sécurité, la démarche d'élaboration du référentiel a comporté deux phases : 1. Expression du besoin de sécurité, aboutissant à la définition des objectifs de sécurité et reprenant les termes définis par les Critères Communs ; 2. Traduction du besoin de sécurité en critères d'évaluation de la sécurité, sous forme d'exigences de sécurité respectant le formalisme des Critères Communs. L'expression du besoin de sécurité a comporté deux étapes : a) Définition du système étudié, sur une base fonctionnelle ; Le système étudié est la cible d'évaluation pour les Critères Communs. b) Définition des objectifs de sécurité, qui résultent : des éléments du système qui présentent une valeur ; Ces éléments sont les biens pour les Critères Communs. des menaces ; Ces éléments sont les menaces pour les Critères Communs. de tout ce qui doit être respecté : o contraintes issues de la prise en compte de l'existant ; Ces éléments sont les hypothèses de sécurité pour les Critères Communs. o règles et pratiques en vigueur. Ces éléments sont les Politiques de Sécurité Organisationnelles ou OSP (Organisational Security Policy) pour les Critères Communs. Les paragraphes qui suivent présentent ces notions clé Définition du système cible et analogie avec le guichet bancaire Le système étudié (cible d'évaluation) a été défini à l'aide de Blocs fonctionnels, regroupant un ensemble de fonctions ayant la même finalité et définis par analogie avec une agence bancaire traditionnelle. On retrouve ainsi les éléments fondamentaux d'une agence bancaire : l accueil établissement : sont disponibles en libre service les renseignements d ordre général et les documentations. L'accueil établissement est matérialisé dans une agence par différents éléments : une enseigne, située au dehors de l'agence et qui identifie l'établissement auprès du passant ; des locaux, comprenant : o une entrée principale ; 9 / 123

10 o un hall d'accueil ; o un guichet ; o des bureaux, dont certains accessibles au client (pour les entretiens avec des conseillers) ; des objets (affiches, dépliants ) faisant la promotion de l'établissement et tous marqués du logo de l'établissement. l accueil guichet : après avoir été identifié par l agent présent au guichet le client peut accéder à certains services bancaires et / ou financiers. Ces services peuvent être qualifiés de standards. Le client peut aussi se diriger vers le guichet pour poser une question. Le personnel au guichet doit alors lui répondre ou l orienter vers le bon interlocuteur. Les services bancaires et financiers accessibles à un guichet sont par exemple : consultation de solde de son (ses) compte(s) bancaire(s) ; demande de chéquier et / ou de carte bancaire ; opposition sur une (ses) carte(s), chèque(s) et prélèvement(s). Certains services ne sont pas accessibles au guichet et nécessitent un entretien avec un conseiller clientèle. L'agent au guichet oriente le client vers le conseiller ou prend rendez-vous pour une date ultérieure. Certains services personnalisés demandent en effet une préparation préalable de la part du conseiller. l accueil exploitants / administrateurs : Il est constitué de tous les éléments intervenant dans l'accès du personnel aux ressources de l'agence. l accueil fournisseur : pour fonctionner, l'agence a besoin d'un certain nombre de fournitures. Quelle que soit l'entrée utilisée (principale ou de service), les modalités d'accueil d'un fournisseur ne sont pas celles d'un client ou d'un membre du personnel Biens et environnement de sécurité L environnement de sécurité comprend : les hypothèses de sécurité retenues ; elles traduisent les contraintes qui s'exercent sur le système étudié par le biais de ses interfaces avec son environnement. les politiques de sécurité organisationnelles ; elles traduisent les règles à respecter. les menaces. Elles sont habituellement exprimées en précisant : l'agent menaçant, pour lequel il est recommandé de décrire : o la motivation ; o l'expertise ; o les moyens financiers. l'attaque, pour laquelle il est recommandé de décrire : o la ou les méthodes d'attaque ; o la ou les vulnérabilités exploitées ; o l'opportunité, c'est à dire les conditions préalables à satisfaire pour pouvoir être en mesure de réaliser l'attaque. le Bien visé. Le caractère générique de ce profil ne permet pas de décrire tous les biens. 10 / 123

11 C'est pourquoi une menace y est définie par un libellé qui regroupe : un type d'attaque ; un ou plusieurs agents menaçants ; un ou plusieurs Biens visés de sécurité Les objectifs de sécurité, regroupés par domaine, expriment les protections permettant de : contrer les menaces identifiées ; prendre en compte les hypothèses de sécurité ainsi que les politiques de sécurité organisationnelles Exigences de sécurité Rappel ; les exigences de sécurité traduisent les objectifs de sécurité conformément au formalisme des Critères Communs. Les exigences de sécurité sont de deux catégories : exigences de sécurité fonctionnelles ; exigences de sécurité d assurance. Les exigences fonctionnelles portent sur les fonctions du système qui contribuent à la sécurité. Les exigences d'assurance portent sur tout le cycle de vie du système. Elles ont pour but de garantir que les fonctions de sécurité mises en œuvre respectent les objectifs de sécurité. 2.2 Rôle de la maîtrise d ouvrage et de la maîtrise d œuvre Maîtrise d ouvrage La maîtrise d ouvrage (MOA) définit le cahier des charges du service bancaire à ouvrir sur Internet, notamment en termes de sécurité. Pour cela elle utilise les objectifs de sécurité du profil de protection Maîtrise d œuvre La maîtrise d œuvre (MOE) conçoit le service bancaire et / ou financier sur Internet défini dans le cahier des charges de la MOA. Elle utilise le Profil de Protection comme référence pour identifier et spécifier les exigences de sécurité que doit satisfaire la Cible de Sécurité, qui, contrairement au Profil de Protection, dépend de l implémentation. Le tableau ci-dessous synthétise l utilisation du Profil de Protection pour les deux catégories de public visé. Phase Pour la maîtrise d ouvrage, utilisation du PP comme : Pour la maîtrise d œuvre, utilisation du PP comme : Définition Guide et référence pour formuler les objectifs de sécurité du cahier des charges du service bancaire et / ou financier sur Internet qu elle commandite. Évaluation Guide pour déterminer les niveaux d assurance requis. Référence pour interpréter les exigences fonctionnelles et formuler les spécifications fonctionnelles pour les cibles d évaluation et de sécurité. Référence pour interpréter les exigences d assurance et déterminer les approches d assurance des cibles d évaluation et de sécurité. 11 / 123

12 3 EXPRESSION DU BESOIN DE SECURITE Ce chapitre regroupe les chapitres imposés par les Critères Communs suivants : Introduction Description de la cible d'évaluation Environnement de sécurité de la cible d'évaluation de sécurité 3.1 Introduction Description générale du Profil de Protection (PP) Ce PP définit le niveau minimum de sécurité pour un Service Bancaire et / ou Financier transactionnel sur Internet (SBFI). Réalisé par la communauté bancaire et financière française conformément à la recommandation du Livre Blanc "Internet : quelles conséquences prudentielles?" (1 ère édition de décembre 2000), il a été élaboré en tenant compte de textes à portée européenne et internationale. Il a pour but de constituer le référentiel de sécurité d'un système fournissant un SBFI, pouvant impliquer l'accès en temps réel à un Système de Production Bancaire et / ou Financier (SPBF) qui participe à la réalisation d'un SBFI. Ce PP concerne la sécurité technique et organisationnelle d'un SBFI et participe, directement ou indirectement, à la couverture des risques : Les principaux risques couverts sont : risques juridiques ; Ils sont liés au non-respect des règles en vigueur dans les pays concernés. Ces règles sont de multiples natures : statut et protection du client (capacité des clients à effectuer des opérations bancaires et financières, droit à la consommation, condition de majorité ou de capacité juridique, conditions d accès au type de service proposé) ; forme de la prestation de services envisagée (forme des contrats conclus électroniquement, conditions déclaratives ou les obligations de vérification, règles applicables à l information des investisseurs, modalités d'obtention d'un agrément ) ; fiscalité, preuve risque de perte de maîtrise de l'outil informatique, conduisant les systèmes d'information (SI) des établissements à ne plus offrir le niveau de sécurité et de service garanti à l utilisateur ; S'agissant de services en ligne, ces risques sont de même nature que les risques traditionnels. Ils nécessitent des mesures techniques, organisationnelles (rôles et responsabilités), administratives (procédures, consignes ) ou relevant de la sécurité physique (dispositif anti-intrusion, contrôle des accès physique, sécurité incendie ). risque de réputation ; L'utilisation d'internet augmente le danger d une perte de crédibilité de la part du public et non seulement des clients face à des dysfonctionnements : problèmes techniques, fraudes, malversations, déni de service, détournements d'utilisation, propagandes répréhensibles. Les dysfonctionnements constatés dans un établissement ou les incidents rencontrés peuvent ternir sa réputation et le déstabiliser.de plus, ils comportent un risque de contagion à l encontre de la communauté bancaire et financière dans son ensemble. 12 / 123

13 risques en matière de blanchiment ; Trois facteurs aggravent les risques de blanchiment dans le cas de services en ligne : la facilité d'accès à un service sans contrainte géographique (matérielle ou temporelle), la dématérialisation, la rapidité de prise en compte des ordres. risques terroristes, qui peuvent cibler les infrastructures vitales pour déstabiliser, voire paralyser les systèmes financiers. Ce PP présente deux caractéristiques fondamentales : il fait abstraction de tout produit ou architecture technique. La cible d'évaluation ou TOE (Target Of Evaluation) porte sur un ou des SBFI dont le PP formalise les exigences de sécurité. Les fonctions de sécurité répondant aux exigences de sécurité seront réparties sur divers composants matériels et / ou logiciels de la TOE ; il concerne une grande variété de SBFI. De ce fait, ce PP contient des objectifs et/ou exigences «conditionnels». Pour une cible d'évaluation (TOE) donnée, certains objectifs et certaines exigences fonctionnelles sont sans objet car ils ne correspondent pas aux éléments existants dans le SBFI. Il est donc indispensable que l'utilisation de ce PP fasse suite à une analyse de risques spécifique à la TOE afin d'adapter les protections au contexte. Cette analyse de risques doit aboutir : 1. à la détermination des objectifs et exigences de sécurité fonctionnelles contenues dans le PP qui sont applicables ; 2. à la définition d'exigences de sécurité pouvant compléter celles du PP. Afin de mettre en exergue la nécessité de cette analyse de risques, cette dernière fait l'objet d'une Hypothèse de sécurité Identification du Profil de protection Ce profil de protection a pour titre : Profil de Protection pour services bancaires et / ou financiers sur Internet. Son numéro de version est V7. Il est enregistré dans le catalogue des profils de protection certifiés de la DCSSI sous le numéro <à enregistrer>. Il est rédigé conformément à la norme ISO/IEC : 1999 (parties 1 à 3). Il concerne un système des Technologies de l'information (TI) et non un produit au sens de l'iso/iec Un Système TI est un ensemble d'éléments matériels et / ou logiciels de traitement de l'information sous forme électronique ayant une finalité et un environnement opérationnel donnés Conventions Ce PP définit un certain nombre de termes. Chaque fois qu'ils sont employés, ils sont écrits avec leur initiale en majuscule. Il définit également des acronymes pour faciliter la lecture. Dès qu'un acronyme est défini il est systématiquement utilisé. Les acronymes définis dans ce PP correspondent à des expressions françaises. Ils côtoient des acronymes issus de l'iso/iec qui correspondent à des expressions anglaises. Le glossaire figurant en annexe regroupe tous les termes et acronymes employés dans le PP. 13 / 123

14 3.2 Description de la cible d évaluation Concepts et définitions Établissement agréé responsable d'un service bancaire et / ou financier Un établissement est dit agréé lorsqu'il a reçu une autorisation pour fournir des services bancaires et / ou des services financiers de la part de l'autorité compétente. L'autorisation est appelée agrément. Un SBFI est sous la responsabilité d'un établissement agréé. Cet établissement est appelé établissement agréé responsable de SBFI (EARS) Canaux Un Canal de communication est un moyen d'échange d'informations sous forme électronique entre deux Systèmes TI. Note d'application : Quand des données électroniques sont échangées à l'aide d'un support de données (bande, disquette ), il ne s'agit pas d'un Canal. Un Canal véhicule uniquement des flux logiques. Un Canal Ouvert est un Canal qui n'est pas contrôlé par l'ears. Un Canal Contrôlé est un Canal qui est contrôlé par l'ears et qui apporte des garanties que tous les Systèmes TI qui y ont accès sont autorisés. Le contrôle effectué peut reposer sur des mécanismes logiques et / ou physiques. Un Canal Internet est un Canal Ouvert empruntant Internet Utilisateur Un Utilisateur est une personne physique qui accède via un Canal Internet à un service bancaire et / ou un service financier. Trois types d'utilisateurs sont définis : l'utilisateur anonyme ne fournit pas d'informations d'identification au cours de l'accès au service ; Par exemple, une personne qui consulte simplement le site pour obtenir la valeur du CAC 40 est un Utilisateur anonyme. l'utilisateur identifié mais non vérifié ; Dans ce cas, les informations d'identification fournies par l'utilisateur le sont sous sa responsabilité et ne sont pas vérifiées par l'ears. Par exemple, une personne qui fournit ses nom, prénom et adresse afin de recevoir de la documentation est un Utilisateur identifié mais non vérifié. l'utilisateur identifié et vérifié, qui fournit des informations d'identification et d'authentification vérifiées sous la responsabilité de l'ears. Par exemple, une personne qui a saisi son identifiant puis son mot de passe pour passer un ordre de virement de compte à compte est un Utilisateur identifié et vérifié. Il n'existe pas de correspondance exacte entre les trois types d'utilisateurs précédemment définis et la notion de client. Dans la suite du PP, un Utilisateur est considéré comme identifié et vérifié. 14 / 123

15 Transaction bancaire et / ou financière sur Internet Une transaction bancaire et / ou financière sur Internet (Transaction) est une opération ordonnée via Internet par un Utilisateur identifié et vérifié. Elle est prise en compte, par un EARS reconnu comme agréé, par l'utilisateur, au moyen d un acquittement renvoyé à l Utilisateur en temps réel. Une Transaction est constituée d'une suite d'opérations élémentaires, elle doit avoir un début et une fin. La fin est matérialisée par l'acquittement, qui confirme la prise en compte de la Transaction. Même si l'acquittement ne parvient pas à l'utilisateur (quelle qu'en soit la raison), l'opération est enregistrée et constitue une Transaction. Les opérations élémentaires de traitement d'une Transaction peuvent ne pas être terminées quand la Transaction est acquittée. A titre d'exemple, une liste non exhaustive de Transactions est donnée en annexe. Les Transactions présentent des sensibilités variées. Leur sensibilité est notamment fonction : de leur périmètre (Transactions intra-établissement, Transactions impliquant plusieurs établissements) ; de leurs caractéristiques propres (limite par ordre et limite du cumul sur une période donnée ) ; de caractéristiques propres à l'utilisateur (profil ) ; du cadre légal et réglementaire. Ce PP distingue deux catégories de Transactions selon leur sensibilité : les Transactions présentant un risque opérationnel élevé ; les autres Transactions. La distinction de ces deux catégories de Transactions est l'un des deux «éléments variables» du PP. En effet, le PP concerne ainsi des TOE traitant : soit de Transactions «normales» ; soit de Transactions présentant un risque opérationnel élevé ; soit de Transactions des deux catégories. Pour une TOE donnée, l'ears doit classifier les Transactions dans le cadre de l'analyse de risques mentionnée au paragraphe Le paragraphe précise les répercussions, sur le reste du PP, de la prise en considération des éléments variables Service bancaire et / ou financier sur Internet Un service bancaire et / ou financier sur Internet (SBFI) est un service bancaire et / ou financier accessible via un Canal Internet et impliquant une Transaction Système fournissant un ou des services bancaires et / ou financiers sur Internet Un Système SBFI est un système fournissant un ou des SBFI. 15 / 123

16 3.2.2 Vue d'ensemble de la fourniture d'un service bancaire et / ou financier sur Internet La fourniture d'un SBFI implique au moins deux Systèmes TI : l'équipement de l'utilisateur ; le Système SBFI. En outre, un ou plusieurs systèmes de production bancaires et / ou financiers (SPBF) peuvent intervenir pour certaines Transactions. Equipement Utilisateur Transaction sans accès SPBF Transaction avec accès SPBF Système SBFI SPBF Canal Internet Figure 1 : Vue d'ensemble de la fourniture d'un SBFI Notes d'application : Les équipements des Utilisateurs et des Fournisseurs sont par défaut non sûrs Les Acteurs ayant les Rôles Utilisateur ou Fournisseur de données constituent des populations très variées et non contrôlées par l'ears. Il est ainsi exclu de considérer que tous emploient un équipement ayant : les mêmes propriétés de sécurité ; au moins un certain niveau de sécurité. De ce fait leurs équipements doivent être considérés comme non sûrs Les équipements des Exploitants, des Administrateurs, des Chargés de clientèle ainsi que les SPBF sont contrôlés mais considérés comme non sûrs au sens de l ISO/IEC Les équipements de ces Acteurs sont contrôlés par l'ears, qui prend un soin particulier pour les sécuriser, notamment les SPBF. Néanmoins ils sont considérés comme non sûrs au sens de l'iso/iec parce que le fait de désigner l'un de ces équipements comme étant de confiance au sens de la norme nécessite au préalable son évaluation 1 ou du moins d'avoir prouvé qu'il dispose de fonctions de sécurité adaptées Acteurs et Rôles Un Acteur est une personne physique qui interagit avec la TOE. Un Rôle est un ensemble de règles définissant les interactions autorisées entre la TOE et un Acteur ou un Système TI externe à la TOE. Un rôle traduit des responsabilités. Les rôles définis sont : Utilisateur ; Ce Rôle est alloué aux Acteurs que sont les Utilisateurs (considérés comme identifiés et vérifiés), ou aux Systèmes TI agissant au nom de ces Acteurs. 1 Cf. la norme, paragraphe 1.3 du tome 2, alinéa / 123

17 Fournisseur de données ; Ce Rôle est alloué aux Acteurs ou Systèmes TI externes à la TOE responsables de la fourniture de données à la TOE. Par exemple, les sociétés transmettant des informations financières sont des Fournisseurs de données (Bloomberg, Fininfo ). Chargé de clientèle ; Ce Rôle est alloué aux Acteurs placés sous la responsabilité de l'ears et qui utilisent la TOE pour dialoguer de manière interactive avec un Utilisateur, ou aux Systèmes TI agissant au nom de ces Acteurs. SPBF ; Ce Rôle est alloué aux Systèmes TI externes à la TOE que sont les SPBF. Exploitant ; Ce Rôle est alloué aux Acteurs ou Systèmes TI externes qui ont la responsabilité de surveiller et faire fonctionner la TOE et qui emploient un accès logique à la TOE (par exemple : exploitant système, équipe de maintenance). Dans certains cas, l'accès logique est précédé d'un accès physique à la TOE. C'est par exemple le cas pour le changement d'une carte réseau défectueuse. Administrateur ; Ce Rôle est alloué aux Acteurs ou Systèmes TI externes qui ont la responsabilité de définir et contrôler le fonctionnement de la TOE et qui emploient un accès logique à la TOE (par exemple : administrateur système, administrateur sécurité, administrateur fonctionnel, webmestre). Dans certains cas, l'accès logique est précédé d'un accès physique à la TOE. C'est par exemple le cas pour l'initialisation de certains équipements cryptographiques. Certains Acteurs peuvent accéder à la TOE sous des Rôles différents. Les formulations du type "les Acteurs ayant le Rôle Utilisateur ( )" sont lourdes. Dans la suite du document et quand il n'y aura pas d'ambiguïté, des formulations abrégées seront utilisées pour faire référence aux Acteurs. Elles consistent à donner aux Acteurs le nom de leur Rôle (un Utilisateur, des Utilisateurs, un Exploitant ) Modélisation de la cible d'évaluation Modèle d Architecture fonctionnelle d'un Système SBFI et de son environnement L architecture fonctionnelle d'un Système SBFI et de son environnement est composée de Blocs fonctionnels, c'està-dire d ensembles de fonctions contribuant à un même objectif. 17 / 123

18 Système SBFI Fournisseur de données Ouvert ou Contrôlé Accueil Fournisseurs de données Contrôlé Réception n 1 Réception n 2 Contrôlé SPBF... Utilisateur Canal Internet (Ouvert) Contrôlé Accueil Etablissement pour Utilisateurs Contrôlé Accueil Guichet pour Utilisateurs Contrôlé SBFI n 1... Canal Internet (Ouvert) Exploitant Contrôlé Canal Internet (Ouvert) Administrateur Contrôlé Accueil Exploitants et Administrateurs Contrôlé Exploitation Détection intrusions... Contrôlé SBFI n i... Système de surveillance Contrôlé Chargé de clientèle Un rectangle aux bordures fines représente un Bloc fonctionnel, un rectangle aux bordures épaisses réprésente un Système TI externe. Les accès devant être gérés sur la base d'un Rôle, c'est celui-ci qui est indiqué pour identifier le système TI externe ou l'acteur. Aucune donnée ne figure sur le schéma car il est considéré que l'accès à une donnée est effectué à l'aide d'un Bloc fonctionnel. - Le Bloc fonctionnel "Accueil Etablissement pour Utilisateurs" a au moins les fonctions : * d'identifier et authentifier sans ambiguïté le Système SBFI auprès de l'utilisateur ; * de mener clairement au guichet. - Le Bloc fonctionnel "Accueil Guichet pour Utilisateurs" a au moins les fonctions : * d'identifier l'utilisateur, ou de s'assurer que son identification a été faite ; * de présenter clairement les SBFI fournis à l'utilisateur, en fonction de son identification ; * de donner accès au SBFI demandé. - Un Bloc fonctionnel "SBFI n i" a au moins les fonctions : * d'authentifier l'utilisateur, ou de s'assurer que son authentification a été faite ; * de fournir le SBFI demandé, en fonction des droits de l'utilisateur. - Le Bloc fonctionnel "Accueil Fournisseurs de données" a au moins les fonctions : * d'identifier et authentifier sans ambiguïté le Système SBFI auprès du Fournisseur de données ; * d'identifier le Fournisseur de données ; * de donner accès au Bloc fonctionnel gérant la réception de données concernée. - Un Bloc fonctionnel "Réception n i" a au moins les fonctions : * d'authentifier le Fournisseur de données, ou de s'assurer que son authentification a été faite ; * de gérer la réception de données concernée, en fonction des droits du Fournisseur de données. - Le Bloc fonctionnel "Accueil Exploitants et Administrateurs" a au moins les fonctions : * d'identifier le Système SBFI ; * d'identifier et authentifier l'exploitant et l'administrateur ; * de proposer les fonctions d'exploitation ou administration autorisées, en fonction des droits de l'acteur. - Les Blocs fonctionnels "Exploitation", "Détection d'intrusions"... offrent les fonctions d'exploitation/administration accessibles. - Le Bloc fonctionnel "Système de surveillance" regroupe toutes les fonctions de surveillance. Figure 2 : Modèle fonctionnel d'un Système SBFI L architecture fonctionnelle d'un Système SBFI repose sur les principes suivants : les Blocs fonctionnels concernent exclusivement un (ou plusieurs) SBFI ; Les services qui ne sont pas des SBFI sont pris en charge par des Blocs différents de ceux figurant sur le schéma. 18 / 123

19 les Blocs fonctionnels "Accueil Établissement pour Utilisateurs", "Accueil Guichet pour Utilisateurs" et "SBFI n i" sont volontairement distincts ; chaque Bloc fonctionnel doit faire l'objet de mécanismes empêchant son contournement ; En particulier, un Acteur ayant le Rôle Utilisateur ne doit pas pouvoir accéder au Bloc fonctionnel "Accueil Guichet pour Utilisateurs" sans être passé par le bloc "Accueil Établissement pour Utilisateurs". Note d'application : Le non-contournement s'applique aux Blocs fonctionnels, pas aux fonctions de sécurité auxquelles ceux-ci font appel (authentification, contrôle d'accès logique ). les fonctions d'identification, d'authentification et de gestion des droits, faisant partie intégrante du Système SBFI, ne sont pas forcément spécifiques à un Bloc fonctionnel. Par exemple : l'identification d'un Utilisateur peut être réalisée avant le Bloc fonctionnel "Accueil Guichet pour Utilisateurs" ; l'authentification d'un Utilisateur peut être réalisée avant un Bloc fonctionnel "SBFI n i" ; les Blocs fonctionnels "Accueil Guichet pour Utilisateurs" et "SBFI n i" peuvent demander à un Utilisateur de s'authentifier alors que celui-ci l'a déjà été. En outre, le procédé d'authentification peut être différent ; les droits d'accès d'un Utilisateur à un SBFI peuvent être vérifiés avant un Bloc fonctionnel "SBFI n i" Portée de la cible d'évaluation La TOE est le Système SBFI précédemment modélisé. La TOE inclut la documentation associée, destinée aux différents Rôles. Sont exclus de la TOE : les services qui ne sont pas des SBFI (par exemple de nature non transactionnelle) ; les services fournis aux Utilisateurs par un Canal différent du Canal Internet (accès Minitel par exemple) ; les Systèmes TI que sont les équipements de connexion des Acteurs, et en particulier des Utilisateurs ; les Systèmes TI destinés à secourir tout ou partie des SBFI ; le Système TI de contrôle des accès physiques. Le cycle de vie d'un Système TI comporte au moins les phases : conception réalisation (conception et réalisation constituent souvent deux phases distinctes), qualification, production, évolution du système (maintenance). Ce PP prend en compte la TOE en phase de production Éléments variables de la TOE La nature fonctionnelle du PP ainsi que la diversité des SBFI pris en compte a conduit à introduire la notion «d éléments variables». Un élément variable étant une spécificité fonctionnelle que l on ne retrouve pas forcément dans tous les SBFI. Chaque TOE doit faire l'objet d'une analyse de risques effectuée par l'ears et prenant en compte ces éléments variables. Ce paragraphe présente ces éléments, avec pour chacun d eux : les répercussions sur le PP, notamment concernant les objectifs et exigences fonctionnelles applicables ; la présentation adoptée afin de rendre explicites et claires les règles de sélection des objectifs et exigences applicables. Les éléments variables sont : 1. la distinction de deux catégories de Transactions : les transactions «normales» et celles présentant un «risque opérationnel élevé» ; remarque : ce concept est introduit au paragraphe relatif aux Transactions. L'analyse de risques menée par l'ears doit préciser la catégorie de chaque Transaction. Cette distinction permet de préciser les deux types d' suivants : ceux communs à toutes les Transactions, quelle que soit leur catégorie ; 19 / 123

20 ceux spécifiques aux Transactions présentant un risque opérationnel élevé. remarque 1 : le libellé d'un Objectif spécifique aux Transactions présentant un risque opérationnel élevé précise explicitement que l'objectif porte uniquement sur cette catégorie de Transactions. remarque 2 : certaines exigences fonctionnelles s'appliquent uniquement à un Objectif spécifique à une Transaction présentant un risque opérationnel élevé. Cette information est mise en évidence à l'aide d'une note d'application située après le texte du composant fonctionnel, qui stipule que : «Cette exigence est nécessaire pour satisfaire l'objectif OT.xxx, spécifique aux Transactions présentant un risque opérationnel élevé». 2. la prise en compte de "caractéristiques de sécurité" de certains Biens, qui ne peuvent être précisées dans le PP en termes de besoins en disponibilité et / ou intégrité et / ou confidentialité et / ou non-répudiation. Cet élément variable :concerne les Biens et leurs besoins de sécurité. Il sera détaillé dans le chapitre suivant ( 3.3) concernant l'environnement de sécurité de la TOE). Son existence repose sur le constat suivant : les Biens, par exemple ceux transitant entre l'utilisateur et la TOE, auront des besoins de sécurité différents selon la TOE : besoin en intégrité seul, en confidentialité et intégrité, en non-répudiation, en disponibilité, etc. Au stade du PP, il est impossible de définir une liste de Biens dont on connaît les besoins précis en disponibilité et / ou intégrité et / ou confidentialité et / ou non-répudiation. La prise en compte de "caractéristiques de sécurité" a les répercussions suivantes : plusieurs stipulent dans leur libellé la nécessité de protéger des Biens "conformément à leurs caractéristiques de sécurité", les exigences fonctionnelles relatives aux traitant de la protection conformément aux "caractéristiques de sécurité" des Biens ont été définies selon deux principes : a) faire en sorte qu'à chaque besoin en disponibilité, intégrité, confidentialité ou non-répudiation correspondent au moins une exigence fonctionnelle ; b) ne pas être trop contraignant de façon à laisser aux établissements une marge de manœuvre (matérialisée par les protections supplémentaires susceptibles d'être définies à l'issue de l'analyse de risques qu'ils doivent faire) ; le fait qu'une exigence fonctionnelle participe à la satisfaction d'un objectif relatif à la protection, conformément à des "caractéristiques de sécurité", est mis en évidence à l'aide d'une note d'application située après le texte du composant fonctionnel. Ce texte stipule que : «Cette exigence est nécessaire pour satisfaire l'objectif OT.xxx, relatif à des protections conformes aux «caractéristiques de sécurité» des Biens, pour ce qui concerne : les <Biens Acteur ou Biens SBFI> ; ayant un besoin en : <disponibilité ou intégrité ou confidentialité ou non-répudiation>. Note(s) d'application : Ce PP ne comporte pas d'hypothèse spécifique aux Transactions présentant un risque opérationnel élevé : quel que soit le type d'une Transaction, les hypothèses sur l'usage attendu de la TOE ou sur ses conditions d'emploi sont identiques. Ce PP ne comporte pas de Menace spécifique aux Transactions présentant un risque opérationnel élevé : le type d'une Transaction ne modifie pas la nature des risques, mais éventuellement leurs conséquences. Ce PP n'envisage aucune répercussion sur les exigences d'assurance ou le niveau de résistance des fonctions associé à certaines exigences fonctionnelles. Ces aspects font partie de la marge de manœuvre des établissements à l'issue de leur analyse de risques. 20 / 123

Référentiel Général de Sécurité. version 1.0. Annexe A3

Référentiel Général de Sécurité. version 1.0. Annexe A3 Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel

Plus en détail

Règles relatives à la qualification des produits de sécurité par la DCSSI

Règles relatives à la qualification des produits de sécurité par la DCSSI Secrétariat général de la défense nationale Paris, le 26 février 2004 N 000451/SGDN/DCSSI/SDR Direction centrale de la sécurité des systèmes d information Règles relatives à la qualification des produits

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

Référentiel Général de Sécurité. version 1.0. Annexe A4

Référentiel Général de Sécurité. version 1.0. Annexe A4 Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel

Plus en détail

Conventions bilatérales signées avec des autorités étrangères

Conventions bilatérales signées avec des autorités étrangères Conventions bilatérales signées avec des autorités étrangères Accord de coopération entre la Commission bancaire et Dubai Financial Services Authority Préambule 1. Considérant que certaines banques et

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

Journal officiel de l'union européenne

Journal officiel de l'union européenne 31.3.2015 FR L 86/13 RÈGLEMENT (UE) 2015/534 DE LA BANQUE CENTRALE EUROPÉENNE du 17 mars 2015 concernant la déclaration d'informations financières prudentielles (BCE/2015/13) LE CONSEIL DES GOUVERNEURS

Plus en détail

CAHIER DES CHARGES RELATIF A LA TENUE CONSERVATION DES COMPTES EN VALEURS MOBILIERES APPLICABLE AUX SOCIETES FAISANT APPEL PUBLIC A L EPARGNE

CAHIER DES CHARGES RELATIF A LA TENUE CONSERVATION DES COMPTES EN VALEURS MOBILIERES APPLICABLE AUX SOCIETES FAISANT APPEL PUBLIC A L EPARGNE CAHIER DES CHARGES RELATIF A LA TENUE CONSERVATION DES COMPTES EN VALEURS MOBILIERES APPLICABLE AUX SOCIETES FAISANT APPEL PUBLIC A L EPARGNE Article 1 : La société (émetteur ou intermédiaire en bourse

Plus en détail

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE SOMMAIRE Paragraphes Introduction... 1-4 Personnes

Plus en détail

PROJET D'ORDONNANCE relatif au droit des usagers de saisir l administration par voie électronique - PRMX1423175R. Projet

PROJET D'ORDONNANCE relatif au droit des usagers de saisir l administration par voie électronique - PRMX1423175R. Projet Ordonnance n 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Chapitre Ier : Définitions. Projet

Plus en détail

REFERENTIEL DE QUALIFICATION

REFERENTIEL DE QUALIFICATION REFERENTIEL Pour l attribution et le suivi d une qualification d entreprise 11, rue de la Vistule 75013 PARIS tel 01 43 21 09 27 www.qualipropre.org Date d application : Avril 2013 1/7 SOMMAIRE 1. Objet

Plus en détail

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

Vu la Loi n 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Vu la Loi n 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ; DELIBERATION N 2012-118 DU 16 JUILLET 2012 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT RECOMMANDATION SUR LES DISPOSITIFS D ENREGISTREMENT DES CONVERSATIONS TELEPHONIQUES MIS EN ŒUVRE

Plus en détail

POLITIQUE D'EXECUTION

POLITIQUE D'EXECUTION Novembre 2007 POLITIQUE D'EXECUTION En application de la Directive européenne sur les marchés d instruments financiers (dite Directive MIF), compte tenu de la mise en concurrence des modes de négociation

Plus en détail

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet -

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Marc Tremsal Alexandre Languillat Table des matières INTRODUCTION... 3 DEFI-REPONSE... 4 CRYPTOGRAPHIE SYMETRIQUE...

Plus en détail

ANNEXE. Suite à l arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics

ANNEXE. Suite à l arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics ANNEXE Suite à l arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics A l usage des Utilisateurs Opérateurs Economiques - 1 - 1 ARTICLE "CONTENU DE LA REPONSE" Chaque pièce

Plus en détail

Note sur le trafic des paiements sans numéraire 1. But et champ d'application

Note sur le trafic des paiements sans numéraire 1. But et champ d'application abcdefg 3 e département Zurich, le 1 er juin 2010 Note sur le trafic des paiements sans numéraire 1. But et champ d'application La Banque nationale suisse () doit notamment faciliter et assurer le bon

Plus en détail

Rapport de certification PP/0101

Rapport de certification PP/0101 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Recueil d exigences

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Recueil d exigences Recueil d exigences Version 1.1 Page 1/13 Historique des versions Date Version Évolutions du document 17/12/2010 1.01 Première version. 29/02/2012 1.1 Prise en compte de la date de la publication de l

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE Définitions : Dernière version en date du 21 Avril 2011 Activation du Service : L activation du Service intervient à compter de la

Plus en détail

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

Conformité aux exigences de la réglementation 21 CFR Part 11 de la FDA Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA Définition de la réglementation 21 CFR partie 11 Au cours de la dernière décennie, l'industrie pharmaceutique a très rapidement

Plus en détail

DECISION DE LA COMMISSION TUNISIENNE DES ANALYSES FINANCIERES N 2006-2 DU 20 AVRIL

DECISION DE LA COMMISSION TUNISIENNE DES ANALYSES FINANCIERES N 2006-2 DU 20 AVRIL DECISION DE LA COMMISSION TUNISIENNE DES ANALYSES FINANCIERES N 2006-2 DU 20 AVRIL 2006, PORTANT DIRECTIVES GENERALES AUX ETABLISSEMENTS DE CREDIT, AUX BANQUES NON RESIDENTES ET A L OFFICE NATIONAL DES

Plus en détail

Rapport de certification PP/9908

Rapport de certification PP/9908 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

FORMULAIRE DE CANDIDATURE. 1.1.- Identification du prestataire de services 1

FORMULAIRE DE CANDIDATURE. 1.1.- Identification du prestataire de services 1 FORMULAIRE DE CANDIDATURE Madame, Monsieur, Veuillez trouver ci-joint la candidature de [nom du prestataire de services] en réponse à l appel de manifestations d intérêt destiné aux fournisseurs de données

Plus en détail

Qu'est-ce que la normalisation?

Qu'est-ce que la normalisation? NORMALISATION 1 Qu'est-ce que la normalisation? La normalisation est un outil élémentaire et efficace des politiques européennes, ses objectifs étant de : contribuer à la politique visant à mieux légiférer,

Plus en détail

GUIDE 62. Exigences générales relatives aux organismes gérant l'évaluation et la certification/enregistrement des systèmes qualité

GUIDE 62. Exigences générales relatives aux organismes gérant l'évaluation et la certification/enregistrement des systèmes qualité GUIDE 62 Exigences générales relatives aux organismes gérant l'évaluation et la certification/enregistrement des systèmes qualité Première édition 1996 GUIDE ISO/CEI 62:1996(F) Sommaire Page Section 1:

Plus en détail

REFERENTIEL IN2P3 CONDUITE DE PROJETS

REFERENTIEL IN2P3 CONDUITE DE PROJETS REFERENTIEL IN2P3 CONDUITE DE PROJETS Gestion de la configuration Mis à jour en mars 2008 Table des matières 1- Synthèse...3 2- Principes généraux relatifs à la gestion de configuration...5 2.1. Quelques

Plus en détail

SGDN/DCSSI AFNOR Téléprocédures du MINEFI Aspects sécurité

SGDN/DCSSI AFNOR Téléprocédures du MINEFI Aspects sécurité SGDN/DCSSI AFNOR Téléprocédures du MINEFI Aspects sécurité 27 mars 2003 Sommaire Téléprocédures du M.E.F.I Contexte/Objectifs Problématique Solutions envisageables Les grands choix techniques Mise en œuvre

Plus en détail

DE LA GESTION DE PATRIMOINE INVESTISSEMENTS FINANCIERS

DE LA GESTION DE PATRIMOINE INVESTISSEMENTS FINANCIERS CODE DE DEONTOLOGIE DU COURTAGE D ASSURANCE, DE LA GESTION DE PATRIMOINE ET DU CONSEIL EN INVESTISSEMENTS FINANCIERS INTERET DU CLIENT Tout membre de l'anacofi-cif exerce son activité de manière à privilégier

Plus en détail

Le Répertoire National des Certifications Professionnelles (RNCP) Résumé descriptif de la certification

Le Répertoire National des Certifications Professionnelles (RNCP) Résumé descriptif de la certification 1 sur 5 28/11/2014 09:57 Le Répertoire National des Certifications Professionnelles (RNCP) Résumé descriptif de la certification Intitulé TP : Titre professionnel Technicien(ne) supérieur(e) de support

Plus en détail

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE. Septembre 2011. Page 1

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE. Septembre 2011. Page 1 LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE Septembre 2011 Page 1 Au sommaire Préambule Le nouveau référentiel sur la forme Le nouveau référentiel sur le

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

ANNEXE. Suite à l arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics

ANNEXE. Suite à l arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics ANNEXE Suite à l arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics A l usage des Utilisateurs Opérateurs Economiques Mise en vigueur le 19/05/2013-1 - Préambule : Les

Plus en détail

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Procédure d habilitation

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Procédure d habilitation Procédure d habilitation Version 1.1 Page 1/12 Historique des versions Date Version Évolutions du document 17/12/2010 1.0 Première version. 29/02/2012 1.1 Prise en compte de la date de la publication de

Plus en détail

# 07 Charte de l audit interne

# 07 Charte de l audit interne Politiques et bonnes pratiques # 07 de l audit Direction générale fédérale Service Redevabilité & Qualité Janvier 2015 Approuvé par le Comité des audits Juin 2013 Approuvé par le Directoire fédéral Juillet

Plus en détail

Consultation : projet de règlement général relatif aux conseillers en investissements financiers

Consultation : projet de règlement général relatif aux conseillers en investissements financiers Consultation : projet de règlement général relatif aux conseillers en investissements financiers LIVRE III- PRESTATAIRES TITRE 3- AUTRES PRESTATAIRES CHAPITRE 5- CONSEILLERS EN INVESTISSEMENTS FINANCIERS

Plus en détail

Plan de secours. Marie-pascale Delamare d'après "Plan de continuité d'activité publié par le CLUSIF" LE PLAN DE CONTINUITÉ DE SERVICE (PCS)

Plan de secours. Marie-pascale Delamare d'après Plan de continuité d'activité publié par le CLUSIF LE PLAN DE CONTINUITÉ DE SERVICE (PCS) Plan de secours Un plan de continuité de service (PCS) contient à la fois un plan de secours informatique (PSI) et un plan de reprise d'activité (PRA). Avant de commencer une étude de Plan de Secours Informatique,

Plus en détail

Réguler le virtuel : Expérience des jeux en ligne

Réguler le virtuel : Expérience des jeux en ligne Réguler le virtuel : Expérience des jeux en ligne Stéphane Vaugelade Les propos de cette présentation n engagent que leur auteur Forum 2011 1 Sommaire Rappel historique Exigences du régulateur Cahier des

Plus en détail

Conseil Économique et Social

Conseil Économique et Social NATIONS UNIES E Conseil Économique et Social Distr. GÉNÉRALE TRANS/WP.15/AC.2/2002/2 8 novembre 2001 Original : FRANÇAIS COMMISSION ÉCONOMIQUE POUR L'EUROPE COMITÉ DES TRANSPORTS INTÉRIEURS Groupe de travail

Plus en détail

DEONTOLOGIE. Règles de bonne conduite. professionnelle et personnelle

DEONTOLOGIE. Règles de bonne conduite. professionnelle et personnelle DEONTOLOGIE Règles de bonne conduite professionnelle et personnelle Fonds de Réserve pour les Retraites 56 rue de Lille 75007 Paris Tel : 01 58 50 99 12 Fax : 01 58 50 05 33 www.fondsdereserve.fr Le Président

Plus en détail

~AISSE D'EPARGNE D'ALSACE

~AISSE D'EPARGNE D'ALSACE ~AISSE D'EPARGNE D'ALSACE DEFINITION D'EMPLOI: Gestionnaire de Clientèle Patrimoniale Code emploi: Filière d'activité: Métier: Rôle: Ventes et Services -- Gestionnaire de Clientèle Spécialiste Clients

Plus en détail

Conditions Générales d'utilisation - YOUSIGN SAS - SIGN2 CA

Conditions Générales d'utilisation - YOUSIGN SAS - SIGN2 CA Conditions Générales d'utilisation - YOUSIGN SAS - SIGN2 CA 1- Introduction 1.1 Présentation générale Ce document définit les Conditions Générales d Utilisation (CGU) des certificats délivrés dans le cadre

Plus en détail

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE Septembre 2011 Page 1 Au sommaire Préambule Le nouveau référentiel sur la forme Le nouveau référentiel sur le

Plus en détail

Vu la Convention de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe ;

Vu la Convention de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe ; DELIBERATION N 09-18 DU 15 DECEMBRE 2009 PORTANT RECOMMANDATION RELATIVE A LA MISE EN ŒUVRE DE DISPOSITIFS DESTINES A GEOLOCALISER LES VEHICULES PROFESSIONNELS UTILISES PAR LES EMPLOYES D'UN ORGANISME

Plus en détail

Rapport de certification PP/0002

Rapport de certification PP/0002 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Quel audit de Sécurité dans quel contexte?

Quel audit de Sécurité dans quel contexte? Emplacement du logo client Quel audit de Sécurité dans quel contexte? Hervé Morizot (herve.morizot@solucom.fr) 09 avril 2002 Agenda Quel audit? Selon quelle démarche et avec quels outils? Une "stratégie

Plus en détail

Politique de Signature du Secrétariat général de l ACPR

Politique de Signature du Secrétariat général de l ACPR Politique de Signature du Secrétariat général de l ACPR Pour les remises réglementaires du domaine Assurance mentionnant l application de l instruction n 2015-I-18 relative à la signature électronique

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP Microsoft Dynamics Installation de Management Reporter for Microsoft Dynamics ERP Date : mai 2010 Table des matières Introduction... 3 Présentation... 3 Configuration requise... 3 Installation de Management

Plus en détail

Instruction. relative à la procédure d habilitation des organismes qui procèdent à la qualification des prestataires de services de confiance

Instruction. relative à la procédure d habilitation des organismes qui procèdent à la qualification des prestataires de services de confiance PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 8 avril 2011 N 1001/ANSSI/SR NOR : PRM D 1 2 0 1 2 9

Plus en détail

CONVENTION INDIVIDUELLE D HABILITATION. «société d assurance indépendante» (Convention complète)

CONVENTION INDIVIDUELLE D HABILITATION. «société d assurance indépendante» (Convention complète) CONVENTION INDIVIDUELLE D HABILITATION «société d assurance indépendante» (Convention complète) Les parties à la convention - Le Ministre de l intérieur représenté par le Préfet de - Raison sociale : numéro

Plus en détail

MEILLEURES PRATIQUES POUR LA

MEILLEURES PRATIQUES POUR LA PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la des systèmes d information Sous-direction des opérations Bureau conseil MEILLEURES PRATIQUES POUR LA GESTION DES RISQUES

Plus en détail

Position de l ACPR relative à l application du règlement n 97-02 à l intermédiation en opérations de banque et en services de paiement

Position de l ACPR relative à l application du règlement n 97-02 à l intermédiation en opérations de banque et en services de paiement Le 13 novembre 2013 Position de l ACPR relative à l application du règlement n 97-02 à l intermédiation en opérations de banque et en services de paiement 2013-P-01 Document de nature explicative La présente

Plus en détail

Le Dossier Médical Personnel

Le Dossier Médical Personnel Le Dossier Médical Personnel Présentation du DMP Vidéo 2 Le DMP : c est parti! En 2011, les premiers pas du DMP > Accès pour les professionnels de santé via leur logiciel homologué «DMP-compatible» (web

Plus en détail

PREMIER MINISTRE PROCEDURE TECHNOLOGIES DE L'INFORMATION

PREMIER MINISTRE PROCEDURE TECHNOLOGIES DE L'INFORMATION PREMIER MINISTRE Secrétariat général de la défense nationale Paris, le 9 février 2004 000309/SGDN/DCSSI/SDR Référence : CER/P/01.1 Direction centrale de la sécurité des systèmes d information PROCEDURE

Plus en détail

Introduction à ISO 22301

Introduction à ISO 22301 Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité

Plus en détail

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT SOMMAIRE Paragraphes Introduction... 1-5 Détermination de la nécessité de recourir à un expert... 6-7 Compétence et objectivité de l'expert...

Plus en détail

RECUEIL DE LEGISLATION. A N 141 15 juillet 2011. S o m m a i r e BANQUE CENTRALE DU LUXEMBOURG

RECUEIL DE LEGISLATION. A N 141 15 juillet 2011. S o m m a i r e BANQUE CENTRALE DU LUXEMBOURG MEMORIAL Journal Officiel du Grand-Duché de Luxembourg 1985 MEMORIAL Amtsblatt des Großherzogtums Luxemburg RECUEIL DE LEGISLATION A N 141 15 juillet 2011 S o m m a i r e Règlement de la Banque centrale

Plus en détail

POLITIQUE DE CLASSEMENT DES CLIENTS DE HMG FINANCE

POLITIQUE DE CLASSEMENT DES CLIENTS DE HMG FINANCE POLITIQUE DE CLASSEMENT DES CLIENTS DE HMG FINANCE ART. 314-4 ET SUIVANTS DU RÈGLEMENT GÉNÉRAL DE L AUTORITÉ DES MARCHÉS FINANCIERS -Actualisée au 12 janvier 2012- I L obligation de classement des clients

Plus en détail

NORME ISO ET GESTION DE PATRIMOINE

NORME ISO ET GESTION DE PATRIMOINE FINADOC www.finadoc.com et www.conseils-financiers.com Prendre de la hauteur de vue sur la finance et le patrimoine. De meilleures décisions en toute indépendance. NORME ISO ET GESTION DE PATRIMOINE Bureaux

Plus en détail

Solutions Bureau de Bell Aliant Accès à distance

Solutions Bureau de Bell Aliant Accès à distance Services de gestion de sécurité de Bell Aliant Solutions Bureau de Bell Aliant Accès à distance Accès au RPV SSL avec SecurID Guide de l'utilisateur Version 1.3 Septembre 2009 1 Toute reproduction, publication

Plus en détail

LUTTE CONTRE LE BLANCHIMENT ET LE FINANCEMENT DU TERRORISME

LUTTE CONTRE LE BLANCHIMENT ET LE FINANCEMENT DU TERRORISME LUTTE CONTRE LE BLANCHIMENT ET LE FINANCEMENT DU TERRORISME Sommaire Introduction Cadre législatif et réglementaire applicable Extension de l obligation de déclaration Obligations des professionnels Textes

Plus en détail

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (90) 19 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (90) 19 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (90) 19 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES SUR LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL UTILISÉES À DES FINS DE PAIEMENT ET AUTRES

Plus en détail

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES SDTICE/SDITE Version : 1.0 - Date création : 09/01/09 1. Périmètre des S2i2e Les S2i2e ont pour objectif principal

Plus en détail

fonctionnement de certains comités sectoriels institués au sein de la Commission de la protection de la vie privée ;

fonctionnement de certains comités sectoriels institués au sein de la Commission de la protection de la vie privée ; 1/7 Comité sectoriel du Registre national Délibération RN n 85/2014 du 29 octobre 2014 Objet: Demande de la SCRL ORES afin d être autorisée à accéder à certaines informations du Registre national et d

Plus en détail

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous Direction des Opérations Bureau Conseil Élaboration de tableaux de bord SSI

Plus en détail

ACCORD EUROPÉEN SUR UN CODE DE CONDUITE VOLONTAIRE RELATIF À L'INFORMATION PRÉCONTRACTUELLE CONCERNANT LES PRÊTS AU LOGEMENT (CI-APRÈS "L'ACCORD")

ACCORD EUROPÉEN SUR UN CODE DE CONDUITE VOLONTAIRE RELATIF À L'INFORMATION PRÉCONTRACTUELLE CONCERNANT LES PRÊTS AU LOGEMENT (CI-APRÈS L'ACCORD) ACCORD EUROPÉEN SUR UN CODE DE CONDUITE VOLONTAIRE RELATIF À L'INFORMATION PRÉCONTRACTUELLE CONCERNANT LES PRÊTS AU LOGEMENT (CI-APRÈS "L'ACCORD") L'accord a été négocié et adopté par les associations

Plus en détail

CHAPITRE I er OBJET, CHAMP D'APPLICATION ET DÉFINITIONS

CHAPITRE I er OBJET, CHAMP D'APPLICATION ET DÉFINITIONS Règlement CSSF N 12-01 - Fonds d'investissement spécialisés Règlement CSSF N 12-01 arrêtant les modalités d'application de l'article 42bis de la loi du 13 février 2007 relative aux fonds d'investissement

Plus en détail

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart

Plus en détail

Code de conduite des prestataires de services d argent mobile

Code de conduite des prestataires de services d argent mobile Code de conduite des prestataires de services d argent mobile SOLIDITÉ DES SERVICES TRAITEMENT ÉQUITABLE DES CLIENTS SÉCURITÉ DES RÉSEAUX ET CANAUX MOBILES VERSION 1 - NOVEMBRE 2014 Introduction Le présent

Plus en détail

Plus500 Ltd. Politique de respect de la vie privée

Plus500 Ltd. Politique de respect de la vie privée Plus500 Ltd Politique de respect de la vie privée Politique de respect de la vie privée Déclaration de confidentialité de Plus500 La protection de la vie privée et des informations personnelles et financières

Plus en détail

Conditions générales d utilisation du portail web de FranceAgriMer et de ses e-services (téléservices)

Conditions générales d utilisation du portail web de FranceAgriMer et de ses e-services (téléservices) Conditions générales d utilisation du portail web de FranceAgriMer et de ses e-services (téléservices) 1. Les conditions générales d utilisation (CGU) décrites ci-dessous peuvent être complétées par les

Plus en détail

Charte de Qualité sur l assurance vie

Charte de Qualité sur l assurance vie Charte de Qualité sur l assurance vie PRÉAMBULE La présente Charte de Qualité sur l assurance vie s'inspire largement de la Charte de Qualité ICMA Private Wealth Management, qui présente les principes

Plus en détail

plate-forme mondiale de promotion

plate-forme mondiale de promotion plate-forme mondiale de promotion À propos de The Institute of Internal Auditors (Institut des auditeurs internes) L'institut des auditeurs internes (IIA) est la voix mondiale de la profession de l'audit

Plus en détail

CHARTE DE LA MEDIATION BANCAIRE Banque de Nouvelle Calédonie

CHARTE DE LA MEDIATION BANCAIRE Banque de Nouvelle Calédonie CHARTE DE LA MEDIATION BANCAIRE Banque de Nouvelle Calédonie En application de l article L 316-1 du Code Monétaire et Financier, et afin de favoriser le règlement amiable des différents avec ses clients

Plus en détail

Gestionnaires de placements collectifs de capitaux Marchés

Gestionnaires de placements collectifs de capitaux Marchés Communication FINMA 35 (2012), 20 février 2012 Gestionnaires de placements collectifs de capitaux Marchés Einsteinstrasse 2, 3003 Bern Tel. +41 (0)31 327 91 00, Fax +41 (0)31 327 91 01 www.finma.ch Sommaire

Plus en détail

ATELIER SUR LE COMMERCE DES SERVICES: AUDIT REGLEMENTAIRE SERVICES FINANCIERS

ATELIER SUR LE COMMERCE DES SERVICES: AUDIT REGLEMENTAIRE SERVICES FINANCIERS ATELIER SUR LE COMMERCE DES SERVICES: AUDIT REGLEMENTAIRE SERVICES FINANCIERS Présenté par : YEO SIONLE Date : 4 au 6 novembre 2009 Lieu : CCT/BNETD Département des Etudes Economiques et Financières Plan

Plus en détail

Contractualiser la sécurité du cloud computing

Contractualiser la sécurité du cloud computing HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Club EBIOS, 11 décembre 2012 Contractualiser la sécurité du cloud

Plus en détail

CHARTE DE L AUDIT INTERNE DU CMF

CHARTE DE L AUDIT INTERNE DU CMF CHARTE DE L AUDIT INTERNE DU CMF Approuvée par le Collège du CMF en date du 3 juillet 2013 1 La présente charte définit officiellement les missions, les pouvoirs et les responsabilités de la structure

Plus en détail

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

SPECIFICATION E DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES 92038 PARIS LA DEFENSE CEDEX Page 1 / 11 SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES 29/11/00 13 Indice

Plus en détail

Informations essentielles sur la loi relative aux signatures électroniques

Informations essentielles sur la loi relative aux signatures électroniques Informations essentielles sur la loi relative aux signatures électroniques L'adoption de la directive européenne 1999/93/CE du 13 décembre 1999 établit un cadre communautaire pour l'utilisation de signatures

Plus en détail

Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1

Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1 6 Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1 Contrôle technique de la continuité de l assurance d une TOE certifiée Août 2005 ii Version

Plus en détail

LEXIQUE. Extraits du document AFNOR (Association Française de Normalisation) www.afnor.fr. NF EN ISO 9000 octobre 2005

LEXIQUE. Extraits du document AFNOR (Association Française de Normalisation) www.afnor.fr. NF EN ISO 9000 octobre 2005 LEXIQUE DEFINITIONS NORMALISEES (ISO 9000) Extraits du document AFNOR (Association Française de Normalisation) www.afnor.fr NF EN ISO 9000 octobre 2005 DEFINITIONS NORMALISEES (ISO 9000) - GENERAL ISO

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

DELIBERATION N 2014-55 DU 12 MARS 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION À LA MISE EN ŒUVRE DU TRAITEMENT

DELIBERATION N 2014-55 DU 12 MARS 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION À LA MISE EN ŒUVRE DU TRAITEMENT DELIBERATION N 2014-55 DU 12 MARS 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION À LA MISE EN ŒUVRE DU TRAITEMENT AUTOMATISE D INFORMATIONS NOMINATIVES AYANT POUR FINALITE

Plus en détail

PORTAIL INTERNET DE LA GESTION PUBLIQUE Guide d utilisation du Portail Internet de la Gestion Publique

PORTAIL INTERNET DE LA GESTION PUBLIQUE Guide d utilisation du Portail Internet de la Gestion Publique PORTAIL INTERNET DE LA GESTION PUBLIQUE Guide d utilisation du Portail Internet de la Gestion Publique Guide_accès_PIGP 1 Septembre 2015 Table des matières I. Introduction...3 II. Présentation fonctionnelle

Plus en détail

Ordre des Experts Comptables de Tunisie

Ordre des Experts Comptables de Tunisie Ordre des Experts Comptables de Tunisie Norme relative aux Modalités d Application des Articles 2 et 3 de l Arrêté du 28 février 2003 portant Homologation du Barème des Honoraires des Experts Comptables

Plus en détail

Document d information relatif à la catégorisation des clients

Document d information relatif à la catégorisation des clients Document d information relatif à la catégorisation des clients Edition Novembre 2007 Document d information relatif à la catégorisation des clients 1 SOMMAIRE 1. CLASSIFICATION DU CLIENT PAR LA BANQUE

Plus en détail

Instruction n 99-05 du 17 Octobre 1999 relative à la tenue de la comptabilité des titres par les intermédiaires en opérations de bourse

Instruction n 99-05 du 17 Octobre 1999 relative à la tenue de la comptabilité des titres par les intermédiaires en opérations de bourse Instruction n 99-05 du 17 Octobre 1999 relative à la tenue de la comptabilité des titres par les intermédiaires en opérations de bourse Article 1er: La présente instruction a pour objet de fixer les modalités

Plus en détail

REFERENTIEL DE CERTIFICATION

REFERENTIEL DE CERTIFICATION REFERENTIEL DE CERTIFICATION DU TITRE PROFESSIONNEL Assistant(e) Ressources Humaines Niveau III Site : http://www.emploi.gouv.fr REFERENTIEL DE CERTIFICATION D'UNE SPECIALITE DU TITRE PROFESSIONNEL DU

Plus en détail

Principes d application sectoriels de l Autorité de contrôle prudentiel relatifs au recours à la tierce introduction pour le secteur des assurances

Principes d application sectoriels de l Autorité de contrôle prudentiel relatifs au recours à la tierce introduction pour le secteur des assurances Principes d application sectoriels de l Autorité de contrôle prudentiel relatifs au recours à la tierce introduction pour le secteur des assurances Décembre 2011 Les principes d application sectoriels,

Plus en détail

Annexes. Attestations entrant dans le cadre de diligences directement liées à la mission de commissaire aux comptes...p. 57

Annexes. Attestations entrant dans le cadre de diligences directement liées à la mission de commissaire aux comptes...p. 57 Annexes Rapport annuel H3C 2008 Annexes FONCTIONNEMENT DU HAUT CONSEIL Pas d annexe ACTIVITÉ NORMATIVE Annexe 2.1. Liste des normes d exercice professionnel au 31 janvier 2009...p. 55 Normes homologuées

Plus en détail

DELIBERATION N 2012-18 DU 23 JANVIER 2012 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE SUR LA DEMANDE D AVIS

DELIBERATION N 2012-18 DU 23 JANVIER 2012 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE SUR LA DEMANDE D AVIS DELIBERATION N 2012-18 DU 23 JANVIER 2012 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE SUR LA DEMANDE D AVIS PRESENTEE PAR LA POSTE RELATIVE A LA MISE EN ŒUVRE DU TRAITEMENT

Plus en détail

Annexe sur la maîtrise de la qualité

Annexe sur la maîtrise de la qualité Version du 09/07/08 Annexe sur la maîtrise de la qualité La présente annexe précise les modalités d'application, en matière de maîtrise de la qualité, de la circulaire du 7 janvier 2008 fixant les modalités

Plus en détail

1 JO no C 24 du 31. 1. 1991, p. 3. 2 JO no C 240 du 16. 9. 1991, p. 21. 3 JO no C 159 du 17. 6. 1991, p. 32.

1 JO no C 24 du 31. 1. 1991, p. 3. 2 JO no C 240 du 16. 9. 1991, p. 21. 3 JO no C 159 du 17. 6. 1991, p. 32. Directive 91/533/CEE du Conseil, du 14 octobre 1991, relative à l'obligation de l'employeur d'informer le travailleur des conditions applicables au contrat ou à la relation de travail Journal officiel

Plus en détail

Direction Générale de la Cohésion Sociale

Direction Générale de la Cohésion Sociale Fiche technique : Présentation du décret n 2013-994 du 7 novembre 2013 organisant la transmission d informations entre départements en application de l article L. 221-3 du code de l action sociale et des

Plus en détail