Profil de Protection pour services bancaires et / ou financiers sur Internet. Version : V7 Date : 4 août 2004

Dimension: px
Commencer à balayer dès la page:

Download "Profil de Protection pour services bancaires et / ou financiers sur Internet. Version : V7 Date : 4 août 2004"

Transcription

1 Profil de Protection pour services bancaires et / ou financiers sur Internet Version : V7 Date : 4 août 2004

2 Sommaire 1 DU LIVRE BLANC AU REFERENTIEL DE SECURITE MISSION CONFIEE AU CFONB PAR LE SECRETARIAT GENERAL DE LA COMMISSION BANCAIRE UN REFERENTIEL DE SECURITE, POUR QUI? UN REFERENTIEL DE SECURITE, SOUS QUELLE FORME? SPECIFICITES DES ETABLISSEMENTS BANCAIRES ET FINANCIERS Contrôle interne Lutte contre le blanchiment Risque juridique Agrément des établissements CHAMP D'APPLICATION DU REFERENTIEL SECURITE POINTS FORTS DE LA DEMARCHE Reconnaissance internationale du référentiel certifié selon les Critères Communs Utilisations du référentiel DEMARCHE RETENUE PAR LE CFONB PRINCIPE Définition du système cible et analogie avec le guichet bancaire Biens et environnement de sécurité de sécurité Exigences de sécurité ROLE DE LA MAITRISE D OUVRAGE ET DE LA MAITRISE D ŒUVRE Maîtrise d ouvrage Maîtrise d œuvre EXPRESSION DU BESOIN DE SECURITE INTRODUCTION Description générale du Profil de Protection (PP) Identification du Profil de protection Conventions DESCRIPTION DE LA CIBLE D EVALUATION Concepts et définitions Vue d'ensemble de la fourniture d'un service bancaire et / ou financier sur Internet Acteurs et Rôles Modélisation de la cible d'évaluation Éléments variables de la TOE ENVIRONNEMENT DE SECURITE DE LA CIBLE D EVALUATION Biens de la TOE Hypothèses Politiques de sécurité organisationnelles Menaces OBJECTIFS DE SECURITE Obligations Politique de sécurité Conception & développement Contrôle et suivi Cryptographie Sécurité physique Sécurité logique EXIGENCES DE SECURITE / 123

3 4.1 EXIGENCES FONCTIONNELLES ET D'ASSURANCE Exigences fonctionnelles Exigences d'assurance NOTES D'APPLICATION ARGUMENTAIRE ANNEXES BIBLIOGRAPHIE ACRONYMES, GLOSSAIRE ET TERMINOLOGIE Acronymes Glossaire Terminologie relative aux exigences d'assurance CLASSES DE TRANSACTIONS ET TRANSACTIONS DOMAINES DE SENSIBILITE AUX RISQUES CARACTERISTIQUES DE SECURITE DE LA CIBLE D'EVALUATION Caractéristiques des nouvelles architectures Bonnes pratiques de protection MAINTENANCE DE L'ASSURANCE Famille Plan de maintenance de l assurance [AMA_AMP] Famille Rapport de classification des composants de la TOE [AMA_CAT.1] Famille Preuve de la maintenance de l assurance [AMA_EVD] Famille Analyse d impact sur la sécurité [AMA_SIA] LISTE DES PARTICIPANTS DU GROUPE DE TRAVAIL "PROFIL DE PROTECTION" / 123

4 Liste des figures Figure 1 : Vue d'ensemble de la fourniture d'un SBFI...16 Figure 2 : Modèle fonctionnel d'un Système SBFI...18 Figure 3 : Domaines de sensibilité aux risques Liste des tableaux Tableau 1 : Abréviations des Biens...22 Tableau 2 : Types d'attaques...35 Tableau 3 : Liste des exigences fonctionnelles et des niveaux SOF spécifiques associés...55 Tableau 4 : Liste minimale des événements auditables (FAU_GEN.1)...58 Tableau 5 : Liste des informations d'audit à enregistrer (FAU_GEN.1)...59 Tableau 6 : Liste minimale des opérations cryptographiques (FCS_COP.1)...66 Tableau 7 : Règles complémentaires de contrôle de flux d'information...70 Tableau 8 : Liste des rôles (FMT_SMR.1)...84 Tableau 9 : Liste minimale des rejeux à détecter (FPT_RPL.1)...85 Tableau 10 : Liste des exigences d'assurance retenues / 123

5 1 DU LIVRE BLANC AU REFERENTIEL DE SECURITE 1.1 Mission confiée au CFONB par le Secrétariat Général de la Commission Bancaire Le Secrétariat général de la Commission bancaire, par le biais de son groupe de travail "Sécurité des systèmes d information et des transactions", a confié au groupe sécurité du Comité Français d Organisation et de Normalisation Bancaire (CFONB) la mission d élaborer un référentiel de sécurité pour les sites bancaires et / ou financiers sur Internet. La Commission Bancaire (CB) et le Conseil des Marchés Financiers (CMF) ont participé financièrement et opérationnellement à cette mission prise en charge par le CFONB car ils ont estimé qu'elle correspondait à leurs préoccupations et réflexions dans le domaine des services bancaires et / ou financiers fournis sur Internet. Ce travail s inscrit dans le cadre de la réflexion internationale menée au sein du Comité de Bâle et de la mise en œuvre des recommandations de la Commission bancaire et de la Banque de France publiées dans le Livre Blanc intitulé "Internet : quelles conséquences prudentielles?". Le livre blanc distingue trois types de services bancaires et / ou financiers sur Internet : Institutionnels : ils présentent des informations à caractère public sur l'établissement, comme par exemple ses produits. Consultation des données privées : ils nécessitent une identification et une authentification de l utilisateur, lui permettant d accéder à des informations personnelles, par exemple la consultation de ses comptes ou de ses portefeuilles de titres. Transactionnels : ils permettent à l utilisateur, sur la base de son authentification, de réaliser des opérations bancaires et / ou financières, par exemple des virements ou des opérations sur des titres. 1.2 Un référentiel de sécurité, pour qui? Ce référentiel de sécurité s'adresse avant tout aux maîtrises d'ouvrage et aux maîtrises d'œuvre impliquées dans les offres de services bancaires et/ou financiers de leurs établissements. 1.3 Un référentiel de sécurité, sous quelle forme? Conformément aux préconisations du Livre Blanc "Internet : quelles conséquences prudentielles?", ce référentiel de sécurité est rédigé en respectant la norme ISO/IEC (correspondant aux Critères Communs) et constitue un "Profil de Protection" (PP) au sens de la norme. 1.4 Spécificités des établissements bancaires et financiers Le référentiel de sécurité rappelle la notion d Établissement Agrée Responsable d un Service bancaire et/ou financier (EARS). Il est fait référence à cette notion pour la définition des objectifs et exigences de sécurité. Ce référentiel met en relief un certain nombre d'objectifs de sécurité provenant de la réglementation en vigueur, notamment les objectifs relatifs au respect de la vie privée, au cadre contractuel relatif à la fourniture d'un service bancaire et / ou financier, et à la gestion des preuves des transactions. De plus, le référentiel de sécurité intègre les spécificités bancaires et / ou financières rappelées ci-dessous Contrôle interne Les établissements de crédit et les sociétés d investissements sont soumis aux règlements édictés par le Comité de la Réglementation Bancaire et Financière, notamment : règlement n du 25 juillet 1990 qui fixe, pour les établissements assujettis, la nature des contrôles internes ; 5 / 123

6 règlement n du 25 juillet 1990 relatif au risque de taux d'intérêt sur les opérations de marché ; règlement n du 16 janvier 1991 concernant l'organisation du système comptable et du dispositif de traitement de l'information des établissements de crédits et des maisons de titres ; règlement n du 21 février 1997 relatif au contrôle interne des établissements de crédit. En plus de ce cadre réglementaire, le groupe de travail sur les conséquences prudentielles liées à l Internet recommande de fournir au responsable du contrôle interne une compétence explicite et exhaustive sur toute question relative à la sécurité Lutte contre le blanchiment Le blanchiment est défini comme le fait de faciliter, par tout moyen, la justification mensongère de l'origine des biens ou des revenus de l'auteur d'un crime ou d'un délit ayant procuré à celui-ci un profit direct ou indirect. Le blanchiment peut être facilité par la nature dématérialisée de la relation qui s établit entre l établissement financier et son client via Internet, rendant plus difficile la vérification de l identité et de la capacité financière de ce dernier. La loi du 12 juillet 1990 sur le blanchiment d'argent punit l'entrave à l'identification de valeurs d origine criminelle. Un décret relatif au défaut de vigilance en matière d'opérations financières pénalise tout professionnel de la finance qui ne vérifie pas l'identité de l'ayant droit économique. La loi sur le blanchiment d'argent a les caractéristiques suivantes : elle s'applique à tous les établissements proposant des services bancaires et/ou financiers : banques, directions de fonds de placement, compagnies d'assurances, gérants de fortunes, agents fiduciaires, bureaux de change, etc. ; l organisme financier doit vérifier l'identité du cocontractant et de l'ayant droit économique ; en cas de soupçon de blanchiment de valeurs d'origine criminelle, il est obligé d'informer le service TRACFIN ; un système de surveillance et de contrôle est mis en place pour vérifier la mise en application de la loi ; l'autorité de contrôle peut transmettre aux autorités étrangères des informations non accessibles au public moyennant des garanties de confidentialité et d'utilisation exclusive pour la lutte contre le blanchiment Risque juridique En plus du Code pénal (articles à ), l article 14 du règlement N du Comité de la Réglementation Bancaire et Financière responsabilise les dirigeants des établissements dans l évaluation et la maîtrise des risques liés à la sécurité des systèmes d information. La dématérialisation des relations avec les tiers introduit un risque juridique spécifique aux prestations transfrontalières Agrément des établissements Les opérations de banque ou les services d investissement effectués sur Internet sont couverts par les réglementations générales et sectorielles applicables à ces activités. C est le Comité des Établissements de Crédit et des Entreprises d Investissement (CECEI) qui est chargé, par la loi du 24 février 1984 et la loi de modernisation des activités financières du 2 juillet 1996, de délivrer les agréments pour l exercice de ces opérations sur le réseau. Pour le service d investissement de la gestion de portefeuille pour le compte de tiers, la Commission des Opérations de Bourse (COB) est seule compétente. Dans le cas d un élargissement de son activité sur Internet à de nouveaux services non couverts par le champ de l agrément qui lui a été accordé, l établissement devra veiller à actualiser son agrément auprès des autorités compétentes. Un établissement bancaire et / ou financier est dit agréé lorsqu'il a reçu une autorisation pour fournir des services bancaires et / ou des services financiers de la part de l'autorité compétente. L'autorisation est appelée agrément. 6 / 123

7 Pour la France, les différentes autorités délivrant les agréments sont : le Comité des Établissements de Crédit et des Entreprises d'investissement (CECEI), qui agrée les Établissements de Crédit et les Entreprises d'investissement ; le Conseil des Marchés Financiers (CMF), qui délivre une habilitation à l'exercice de l'activité de Tenue de Compte Conservation ou de Compensation, en général à des établissements agréés par le CECEI, mais également à titre dérogatoire à des entités qui ne sont ni des établissements de crédit ni des entreprises d'investissement (par exemple à des GIE) ; la Commission des Opérations de Bourse (COB), qui agrée les Sociétés de Gestion ; les institutions et services visés par les articles L et L du Code Monétaire et Financier sont assimilés à des établissements agréés. 1.5 Champ d'application du référentiel sécurité La vocation première du référentiel est de garantir un niveau de sécurité équivalent pour les services bancaires et/ou financiers disponibles sur Internet. Ces services sont précisés dans la cible d évaluation (chapitre 3.2). Un établissement qui n offrirait pas de bonnes garanties de sécurité ferait courir un risque majeur à la communauté bancaire et financière. Le référentiel de sécurité permet de garantir la conformité du dispositif de sécurité adopté par un établissement, grâce à l application des critères nécessaires et suffisants de la "cible de sécurité" communautaire. Dans le profil de protection, ces critères sont appelés "objectifs de sécurité" et "exigences de sécurité". Les exigences de sécurité sont la traduction des objectifs de sécurité dans le formalisme imposé des Critères Communs Les objectifs de sécurité concernent les maîtrises d'ouvrage et les maîtrises d'œuvre des établissements, alors que les exigences de sécurité s appliquent à l'exploitation et sont limitées à certains personnels (équipes sécurité ). Le référentiel de sécurité concerne les sites bancaires et / ou financiers transactionnels sur Internet, qu'ils s adressent à une clientèle particulière ou d'entreprise. Le référentiel est modulaire et d un niveau d abstraction élevé, afin de le rendre indépendant de la technologie en place. Il a été conçu ainsi pour tenir compte de la variété des architectures techniques existant au sein des établissements et pour rester pertinent en cas d'évolution des technologies. En revanche, il ne couvre pas : les services bancaires et / ou financiers n utilisant pas le canal Internet ; les services bancaires et / ou financiers de nature non transactionnelle ; les équipements de connexion des acteurs et en particulier des utilisateurs ; les systèmes de secours de tout ou partie des services bancaires et / ou financiers sur Internet ; le système de contrôle des accès physiques. 7 / 123

8 1.6 Points forts de la démarche Reconnaissance internationale du référentiel certifié selon les Critères Communs La certification de conformité du référentiel de sécurité à la norme internationale ISO/IEC (Critères Communs) garantit sa reconnaissance par tous les états signataires Utilisations du référentiel Le référentiel de sécurité peut être utilisé pour : rédiger le cahier des charges sécurité d'un nouveau service bancaire et / ou financier sur Internet ; évaluer et certifier conformément aux Critères Communs un service bancaire et / ou financier sur Internet L évaluation selon les Critères Communs est réalisée par un organisme indépendant et compétent (il doit être agréé pour pouvoir procéder à des évaluations). En France, ces organismes sont appelés Centre d Évaluation de la Sécurité des Technologies de l Information (CESTI). La certification est prononcée par un organisme gouvernemental au vu du rapport d'évaluation rédigé par le CESTI. En France, il s'agit de la Direction Centrale de la Sécurité des Systèmes d'information (DCSSI). Il est également envisageable que la certification d'un service ou site sur la base de ce référentiel participe à la décision d'agrément d'un nouvel entrant. 8 / 123

9 2 DEMARCHE RETENUE PAR LE CFONB 2.1 Principe La norme internationale ISO/IEC 15408:1999, intitulée "Critères Communs pour l évaluation de la sécurité des technologies de l information" comprend les parties suivantes : ISO/IEC :1999 : (partie 1) Introduction et modèle général ; ISO/IEC :1999 : (partie 2) Exigences fonctionnelles de sécurité ; ISO/IEC :1999 : (partie 3) Exigences d assurance de sécurité. L'emploi des Critères Communs dans le présent référentiel impose : l'utilisation des termes définis dans la norme et le respect du plan imposé pour un profil de protection (partie 1) ; l'utilisation des exigences de sécurité fonctionnelles et d'assurance (parties 2 et 3). Pour tenir compte du formalisme imposé par les Critères Communs pour les exigences de sécurité, la démarche d'élaboration du référentiel a comporté deux phases : 1. Expression du besoin de sécurité, aboutissant à la définition des objectifs de sécurité et reprenant les termes définis par les Critères Communs ; 2. Traduction du besoin de sécurité en critères d'évaluation de la sécurité, sous forme d'exigences de sécurité respectant le formalisme des Critères Communs. L'expression du besoin de sécurité a comporté deux étapes : a) Définition du système étudié, sur une base fonctionnelle ; Le système étudié est la cible d'évaluation pour les Critères Communs. b) Définition des objectifs de sécurité, qui résultent : des éléments du système qui présentent une valeur ; Ces éléments sont les biens pour les Critères Communs. des menaces ; Ces éléments sont les menaces pour les Critères Communs. de tout ce qui doit être respecté : o contraintes issues de la prise en compte de l'existant ; Ces éléments sont les hypothèses de sécurité pour les Critères Communs. o règles et pratiques en vigueur. Ces éléments sont les Politiques de Sécurité Organisationnelles ou OSP (Organisational Security Policy) pour les Critères Communs. Les paragraphes qui suivent présentent ces notions clé Définition du système cible et analogie avec le guichet bancaire Le système étudié (cible d'évaluation) a été défini à l'aide de Blocs fonctionnels, regroupant un ensemble de fonctions ayant la même finalité et définis par analogie avec une agence bancaire traditionnelle. On retrouve ainsi les éléments fondamentaux d'une agence bancaire : l accueil établissement : sont disponibles en libre service les renseignements d ordre général et les documentations. L'accueil établissement est matérialisé dans une agence par différents éléments : une enseigne, située au dehors de l'agence et qui identifie l'établissement auprès du passant ; des locaux, comprenant : o une entrée principale ; 9 / 123

10 o un hall d'accueil ; o un guichet ; o des bureaux, dont certains accessibles au client (pour les entretiens avec des conseillers) ; des objets (affiches, dépliants ) faisant la promotion de l'établissement et tous marqués du logo de l'établissement. l accueil guichet : après avoir été identifié par l agent présent au guichet le client peut accéder à certains services bancaires et / ou financiers. Ces services peuvent être qualifiés de standards. Le client peut aussi se diriger vers le guichet pour poser une question. Le personnel au guichet doit alors lui répondre ou l orienter vers le bon interlocuteur. Les services bancaires et financiers accessibles à un guichet sont par exemple : consultation de solde de son (ses) compte(s) bancaire(s) ; demande de chéquier et / ou de carte bancaire ; opposition sur une (ses) carte(s), chèque(s) et prélèvement(s). Certains services ne sont pas accessibles au guichet et nécessitent un entretien avec un conseiller clientèle. L'agent au guichet oriente le client vers le conseiller ou prend rendez-vous pour une date ultérieure. Certains services personnalisés demandent en effet une préparation préalable de la part du conseiller. l accueil exploitants / administrateurs : Il est constitué de tous les éléments intervenant dans l'accès du personnel aux ressources de l'agence. l accueil fournisseur : pour fonctionner, l'agence a besoin d'un certain nombre de fournitures. Quelle que soit l'entrée utilisée (principale ou de service), les modalités d'accueil d'un fournisseur ne sont pas celles d'un client ou d'un membre du personnel Biens et environnement de sécurité L environnement de sécurité comprend : les hypothèses de sécurité retenues ; elles traduisent les contraintes qui s'exercent sur le système étudié par le biais de ses interfaces avec son environnement. les politiques de sécurité organisationnelles ; elles traduisent les règles à respecter. les menaces. Elles sont habituellement exprimées en précisant : l'agent menaçant, pour lequel il est recommandé de décrire : o la motivation ; o l'expertise ; o les moyens financiers. l'attaque, pour laquelle il est recommandé de décrire : o la ou les méthodes d'attaque ; o la ou les vulnérabilités exploitées ; o l'opportunité, c'est à dire les conditions préalables à satisfaire pour pouvoir être en mesure de réaliser l'attaque. le Bien visé. Le caractère générique de ce profil ne permet pas de décrire tous les biens. 10 / 123

11 C'est pourquoi une menace y est définie par un libellé qui regroupe : un type d'attaque ; un ou plusieurs agents menaçants ; un ou plusieurs Biens visés de sécurité Les objectifs de sécurité, regroupés par domaine, expriment les protections permettant de : contrer les menaces identifiées ; prendre en compte les hypothèses de sécurité ainsi que les politiques de sécurité organisationnelles Exigences de sécurité Rappel ; les exigences de sécurité traduisent les objectifs de sécurité conformément au formalisme des Critères Communs. Les exigences de sécurité sont de deux catégories : exigences de sécurité fonctionnelles ; exigences de sécurité d assurance. Les exigences fonctionnelles portent sur les fonctions du système qui contribuent à la sécurité. Les exigences d'assurance portent sur tout le cycle de vie du système. Elles ont pour but de garantir que les fonctions de sécurité mises en œuvre respectent les objectifs de sécurité. 2.2 Rôle de la maîtrise d ouvrage et de la maîtrise d œuvre Maîtrise d ouvrage La maîtrise d ouvrage (MOA) définit le cahier des charges du service bancaire à ouvrir sur Internet, notamment en termes de sécurité. Pour cela elle utilise les objectifs de sécurité du profil de protection Maîtrise d œuvre La maîtrise d œuvre (MOE) conçoit le service bancaire et / ou financier sur Internet défini dans le cahier des charges de la MOA. Elle utilise le Profil de Protection comme référence pour identifier et spécifier les exigences de sécurité que doit satisfaire la Cible de Sécurité, qui, contrairement au Profil de Protection, dépend de l implémentation. Le tableau ci-dessous synthétise l utilisation du Profil de Protection pour les deux catégories de public visé. Phase Pour la maîtrise d ouvrage, utilisation du PP comme : Pour la maîtrise d œuvre, utilisation du PP comme : Définition Guide et référence pour formuler les objectifs de sécurité du cahier des charges du service bancaire et / ou financier sur Internet qu elle commandite. Évaluation Guide pour déterminer les niveaux d assurance requis. Référence pour interpréter les exigences fonctionnelles et formuler les spécifications fonctionnelles pour les cibles d évaluation et de sécurité. Référence pour interpréter les exigences d assurance et déterminer les approches d assurance des cibles d évaluation et de sécurité. 11 / 123

12 3 EXPRESSION DU BESOIN DE SECURITE Ce chapitre regroupe les chapitres imposés par les Critères Communs suivants : Introduction Description de la cible d'évaluation Environnement de sécurité de la cible d'évaluation de sécurité 3.1 Introduction Description générale du Profil de Protection (PP) Ce PP définit le niveau minimum de sécurité pour un Service Bancaire et / ou Financier transactionnel sur Internet (SBFI). Réalisé par la communauté bancaire et financière française conformément à la recommandation du Livre Blanc "Internet : quelles conséquences prudentielles?" (1 ère édition de décembre 2000), il a été élaboré en tenant compte de textes à portée européenne et internationale. Il a pour but de constituer le référentiel de sécurité d'un système fournissant un SBFI, pouvant impliquer l'accès en temps réel à un Système de Production Bancaire et / ou Financier (SPBF) qui participe à la réalisation d'un SBFI. Ce PP concerne la sécurité technique et organisationnelle d'un SBFI et participe, directement ou indirectement, à la couverture des risques : Les principaux risques couverts sont : risques juridiques ; Ils sont liés au non-respect des règles en vigueur dans les pays concernés. Ces règles sont de multiples natures : statut et protection du client (capacité des clients à effectuer des opérations bancaires et financières, droit à la consommation, condition de majorité ou de capacité juridique, conditions d accès au type de service proposé) ; forme de la prestation de services envisagée (forme des contrats conclus électroniquement, conditions déclaratives ou les obligations de vérification, règles applicables à l information des investisseurs, modalités d'obtention d'un agrément ) ; fiscalité, preuve risque de perte de maîtrise de l'outil informatique, conduisant les systèmes d'information (SI) des établissements à ne plus offrir le niveau de sécurité et de service garanti à l utilisateur ; S'agissant de services en ligne, ces risques sont de même nature que les risques traditionnels. Ils nécessitent des mesures techniques, organisationnelles (rôles et responsabilités), administratives (procédures, consignes ) ou relevant de la sécurité physique (dispositif anti-intrusion, contrôle des accès physique, sécurité incendie ). risque de réputation ; L'utilisation d'internet augmente le danger d une perte de crédibilité de la part du public et non seulement des clients face à des dysfonctionnements : problèmes techniques, fraudes, malversations, déni de service, détournements d'utilisation, propagandes répréhensibles. Les dysfonctionnements constatés dans un établissement ou les incidents rencontrés peuvent ternir sa réputation et le déstabiliser.de plus, ils comportent un risque de contagion à l encontre de la communauté bancaire et financière dans son ensemble. 12 / 123

13 risques en matière de blanchiment ; Trois facteurs aggravent les risques de blanchiment dans le cas de services en ligne : la facilité d'accès à un service sans contrainte géographique (matérielle ou temporelle), la dématérialisation, la rapidité de prise en compte des ordres. risques terroristes, qui peuvent cibler les infrastructures vitales pour déstabiliser, voire paralyser les systèmes financiers. Ce PP présente deux caractéristiques fondamentales : il fait abstraction de tout produit ou architecture technique. La cible d'évaluation ou TOE (Target Of Evaluation) porte sur un ou des SBFI dont le PP formalise les exigences de sécurité. Les fonctions de sécurité répondant aux exigences de sécurité seront réparties sur divers composants matériels et / ou logiciels de la TOE ; il concerne une grande variété de SBFI. De ce fait, ce PP contient des objectifs et/ou exigences «conditionnels». Pour une cible d'évaluation (TOE) donnée, certains objectifs et certaines exigences fonctionnelles sont sans objet car ils ne correspondent pas aux éléments existants dans le SBFI. Il est donc indispensable que l'utilisation de ce PP fasse suite à une analyse de risques spécifique à la TOE afin d'adapter les protections au contexte. Cette analyse de risques doit aboutir : 1. à la détermination des objectifs et exigences de sécurité fonctionnelles contenues dans le PP qui sont applicables ; 2. à la définition d'exigences de sécurité pouvant compléter celles du PP. Afin de mettre en exergue la nécessité de cette analyse de risques, cette dernière fait l'objet d'une Hypothèse de sécurité Identification du Profil de protection Ce profil de protection a pour titre : Profil de Protection pour services bancaires et / ou financiers sur Internet. Son numéro de version est V7. Il est enregistré dans le catalogue des profils de protection certifiés de la DCSSI sous le numéro <à enregistrer>. Il est rédigé conformément à la norme ISO/IEC : 1999 (parties 1 à 3). Il concerne un système des Technologies de l'information (TI) et non un produit au sens de l'iso/iec Un Système TI est un ensemble d'éléments matériels et / ou logiciels de traitement de l'information sous forme électronique ayant une finalité et un environnement opérationnel donnés Conventions Ce PP définit un certain nombre de termes. Chaque fois qu'ils sont employés, ils sont écrits avec leur initiale en majuscule. Il définit également des acronymes pour faciliter la lecture. Dès qu'un acronyme est défini il est systématiquement utilisé. Les acronymes définis dans ce PP correspondent à des expressions françaises. Ils côtoient des acronymes issus de l'iso/iec qui correspondent à des expressions anglaises. Le glossaire figurant en annexe regroupe tous les termes et acronymes employés dans le PP. 13 / 123

14 3.2 Description de la cible d évaluation Concepts et définitions Établissement agréé responsable d'un service bancaire et / ou financier Un établissement est dit agréé lorsqu'il a reçu une autorisation pour fournir des services bancaires et / ou des services financiers de la part de l'autorité compétente. L'autorisation est appelée agrément. Un SBFI est sous la responsabilité d'un établissement agréé. Cet établissement est appelé établissement agréé responsable de SBFI (EARS) Canaux Un Canal de communication est un moyen d'échange d'informations sous forme électronique entre deux Systèmes TI. Note d'application : Quand des données électroniques sont échangées à l'aide d'un support de données (bande, disquette ), il ne s'agit pas d'un Canal. Un Canal véhicule uniquement des flux logiques. Un Canal Ouvert est un Canal qui n'est pas contrôlé par l'ears. Un Canal Contrôlé est un Canal qui est contrôlé par l'ears et qui apporte des garanties que tous les Systèmes TI qui y ont accès sont autorisés. Le contrôle effectué peut reposer sur des mécanismes logiques et / ou physiques. Un Canal Internet est un Canal Ouvert empruntant Internet Utilisateur Un Utilisateur est une personne physique qui accède via un Canal Internet à un service bancaire et / ou un service financier. Trois types d'utilisateurs sont définis : l'utilisateur anonyme ne fournit pas d'informations d'identification au cours de l'accès au service ; Par exemple, une personne qui consulte simplement le site pour obtenir la valeur du CAC 40 est un Utilisateur anonyme. l'utilisateur identifié mais non vérifié ; Dans ce cas, les informations d'identification fournies par l'utilisateur le sont sous sa responsabilité et ne sont pas vérifiées par l'ears. Par exemple, une personne qui fournit ses nom, prénom et adresse afin de recevoir de la documentation est un Utilisateur identifié mais non vérifié. l'utilisateur identifié et vérifié, qui fournit des informations d'identification et d'authentification vérifiées sous la responsabilité de l'ears. Par exemple, une personne qui a saisi son identifiant puis son mot de passe pour passer un ordre de virement de compte à compte est un Utilisateur identifié et vérifié. Il n'existe pas de correspondance exacte entre les trois types d'utilisateurs précédemment définis et la notion de client. Dans la suite du PP, un Utilisateur est considéré comme identifié et vérifié. 14 / 123

15 Transaction bancaire et / ou financière sur Internet Une transaction bancaire et / ou financière sur Internet (Transaction) est une opération ordonnée via Internet par un Utilisateur identifié et vérifié. Elle est prise en compte, par un EARS reconnu comme agréé, par l'utilisateur, au moyen d un acquittement renvoyé à l Utilisateur en temps réel. Une Transaction est constituée d'une suite d'opérations élémentaires, elle doit avoir un début et une fin. La fin est matérialisée par l'acquittement, qui confirme la prise en compte de la Transaction. Même si l'acquittement ne parvient pas à l'utilisateur (quelle qu'en soit la raison), l'opération est enregistrée et constitue une Transaction. Les opérations élémentaires de traitement d'une Transaction peuvent ne pas être terminées quand la Transaction est acquittée. A titre d'exemple, une liste non exhaustive de Transactions est donnée en annexe. Les Transactions présentent des sensibilités variées. Leur sensibilité est notamment fonction : de leur périmètre (Transactions intra-établissement, Transactions impliquant plusieurs établissements) ; de leurs caractéristiques propres (limite par ordre et limite du cumul sur une période donnée ) ; de caractéristiques propres à l'utilisateur (profil ) ; du cadre légal et réglementaire. Ce PP distingue deux catégories de Transactions selon leur sensibilité : les Transactions présentant un risque opérationnel élevé ; les autres Transactions. La distinction de ces deux catégories de Transactions est l'un des deux «éléments variables» du PP. En effet, le PP concerne ainsi des TOE traitant : soit de Transactions «normales» ; soit de Transactions présentant un risque opérationnel élevé ; soit de Transactions des deux catégories. Pour une TOE donnée, l'ears doit classifier les Transactions dans le cadre de l'analyse de risques mentionnée au paragraphe Le paragraphe précise les répercussions, sur le reste du PP, de la prise en considération des éléments variables Service bancaire et / ou financier sur Internet Un service bancaire et / ou financier sur Internet (SBFI) est un service bancaire et / ou financier accessible via un Canal Internet et impliquant une Transaction Système fournissant un ou des services bancaires et / ou financiers sur Internet Un Système SBFI est un système fournissant un ou des SBFI. 15 / 123

16 3.2.2 Vue d'ensemble de la fourniture d'un service bancaire et / ou financier sur Internet La fourniture d'un SBFI implique au moins deux Systèmes TI : l'équipement de l'utilisateur ; le Système SBFI. En outre, un ou plusieurs systèmes de production bancaires et / ou financiers (SPBF) peuvent intervenir pour certaines Transactions. Equipement Utilisateur Transaction sans accès SPBF Transaction avec accès SPBF Système SBFI SPBF Canal Internet Figure 1 : Vue d'ensemble de la fourniture d'un SBFI Notes d'application : Les équipements des Utilisateurs et des Fournisseurs sont par défaut non sûrs Les Acteurs ayant les Rôles Utilisateur ou Fournisseur de données constituent des populations très variées et non contrôlées par l'ears. Il est ainsi exclu de considérer que tous emploient un équipement ayant : les mêmes propriétés de sécurité ; au moins un certain niveau de sécurité. De ce fait leurs équipements doivent être considérés comme non sûrs Les équipements des Exploitants, des Administrateurs, des Chargés de clientèle ainsi que les SPBF sont contrôlés mais considérés comme non sûrs au sens de l ISO/IEC Les équipements de ces Acteurs sont contrôlés par l'ears, qui prend un soin particulier pour les sécuriser, notamment les SPBF. Néanmoins ils sont considérés comme non sûrs au sens de l'iso/iec parce que le fait de désigner l'un de ces équipements comme étant de confiance au sens de la norme nécessite au préalable son évaluation 1 ou du moins d'avoir prouvé qu'il dispose de fonctions de sécurité adaptées Acteurs et Rôles Un Acteur est une personne physique qui interagit avec la TOE. Un Rôle est un ensemble de règles définissant les interactions autorisées entre la TOE et un Acteur ou un Système TI externe à la TOE. Un rôle traduit des responsabilités. Les rôles définis sont : Utilisateur ; Ce Rôle est alloué aux Acteurs que sont les Utilisateurs (considérés comme identifiés et vérifiés), ou aux Systèmes TI agissant au nom de ces Acteurs. 1 Cf. la norme, paragraphe 1.3 du tome 2, alinéa / 123

17 Fournisseur de données ; Ce Rôle est alloué aux Acteurs ou Systèmes TI externes à la TOE responsables de la fourniture de données à la TOE. Par exemple, les sociétés transmettant des informations financières sont des Fournisseurs de données (Bloomberg, Fininfo ). Chargé de clientèle ; Ce Rôle est alloué aux Acteurs placés sous la responsabilité de l'ears et qui utilisent la TOE pour dialoguer de manière interactive avec un Utilisateur, ou aux Systèmes TI agissant au nom de ces Acteurs. SPBF ; Ce Rôle est alloué aux Systèmes TI externes à la TOE que sont les SPBF. Exploitant ; Ce Rôle est alloué aux Acteurs ou Systèmes TI externes qui ont la responsabilité de surveiller et faire fonctionner la TOE et qui emploient un accès logique à la TOE (par exemple : exploitant système, équipe de maintenance). Dans certains cas, l'accès logique est précédé d'un accès physique à la TOE. C'est par exemple le cas pour le changement d'une carte réseau défectueuse. Administrateur ; Ce Rôle est alloué aux Acteurs ou Systèmes TI externes qui ont la responsabilité de définir et contrôler le fonctionnement de la TOE et qui emploient un accès logique à la TOE (par exemple : administrateur système, administrateur sécurité, administrateur fonctionnel, webmestre). Dans certains cas, l'accès logique est précédé d'un accès physique à la TOE. C'est par exemple le cas pour l'initialisation de certains équipements cryptographiques. Certains Acteurs peuvent accéder à la TOE sous des Rôles différents. Les formulations du type "les Acteurs ayant le Rôle Utilisateur ( )" sont lourdes. Dans la suite du document et quand il n'y aura pas d'ambiguïté, des formulations abrégées seront utilisées pour faire référence aux Acteurs. Elles consistent à donner aux Acteurs le nom de leur Rôle (un Utilisateur, des Utilisateurs, un Exploitant ) Modélisation de la cible d'évaluation Modèle d Architecture fonctionnelle d'un Système SBFI et de son environnement L architecture fonctionnelle d'un Système SBFI et de son environnement est composée de Blocs fonctionnels, c'està-dire d ensembles de fonctions contribuant à un même objectif. 17 / 123

18 Système SBFI Fournisseur de données Ouvert ou Contrôlé Accueil Fournisseurs de données Contrôlé Réception n 1 Réception n 2 Contrôlé SPBF... Utilisateur Canal Internet (Ouvert) Contrôlé Accueil Etablissement pour Utilisateurs Contrôlé Accueil Guichet pour Utilisateurs Contrôlé SBFI n 1... Canal Internet (Ouvert) Exploitant Contrôlé Canal Internet (Ouvert) Administrateur Contrôlé Accueil Exploitants et Administrateurs Contrôlé Exploitation Détection intrusions... Contrôlé SBFI n i... Système de surveillance Contrôlé Chargé de clientèle Un rectangle aux bordures fines représente un Bloc fonctionnel, un rectangle aux bordures épaisses réprésente un Système TI externe. Les accès devant être gérés sur la base d'un Rôle, c'est celui-ci qui est indiqué pour identifier le système TI externe ou l'acteur. Aucune donnée ne figure sur le schéma car il est considéré que l'accès à une donnée est effectué à l'aide d'un Bloc fonctionnel. - Le Bloc fonctionnel "Accueil Etablissement pour Utilisateurs" a au moins les fonctions : * d'identifier et authentifier sans ambiguïté le Système SBFI auprès de l'utilisateur ; * de mener clairement au guichet. - Le Bloc fonctionnel "Accueil Guichet pour Utilisateurs" a au moins les fonctions : * d'identifier l'utilisateur, ou de s'assurer que son identification a été faite ; * de présenter clairement les SBFI fournis à l'utilisateur, en fonction de son identification ; * de donner accès au SBFI demandé. - Un Bloc fonctionnel "SBFI n i" a au moins les fonctions : * d'authentifier l'utilisateur, ou de s'assurer que son authentification a été faite ; * de fournir le SBFI demandé, en fonction des droits de l'utilisateur. - Le Bloc fonctionnel "Accueil Fournisseurs de données" a au moins les fonctions : * d'identifier et authentifier sans ambiguïté le Système SBFI auprès du Fournisseur de données ; * d'identifier le Fournisseur de données ; * de donner accès au Bloc fonctionnel gérant la réception de données concernée. - Un Bloc fonctionnel "Réception n i" a au moins les fonctions : * d'authentifier le Fournisseur de données, ou de s'assurer que son authentification a été faite ; * de gérer la réception de données concernée, en fonction des droits du Fournisseur de données. - Le Bloc fonctionnel "Accueil Exploitants et Administrateurs" a au moins les fonctions : * d'identifier le Système SBFI ; * d'identifier et authentifier l'exploitant et l'administrateur ; * de proposer les fonctions d'exploitation ou administration autorisées, en fonction des droits de l'acteur. - Les Blocs fonctionnels "Exploitation", "Détection d'intrusions"... offrent les fonctions d'exploitation/administration accessibles. - Le Bloc fonctionnel "Système de surveillance" regroupe toutes les fonctions de surveillance. Figure 2 : Modèle fonctionnel d'un Système SBFI L architecture fonctionnelle d'un Système SBFI repose sur les principes suivants : les Blocs fonctionnels concernent exclusivement un (ou plusieurs) SBFI ; Les services qui ne sont pas des SBFI sont pris en charge par des Blocs différents de ceux figurant sur le schéma. 18 / 123

19 les Blocs fonctionnels "Accueil Établissement pour Utilisateurs", "Accueil Guichet pour Utilisateurs" et "SBFI n i" sont volontairement distincts ; chaque Bloc fonctionnel doit faire l'objet de mécanismes empêchant son contournement ; En particulier, un Acteur ayant le Rôle Utilisateur ne doit pas pouvoir accéder au Bloc fonctionnel "Accueil Guichet pour Utilisateurs" sans être passé par le bloc "Accueil Établissement pour Utilisateurs". Note d'application : Le non-contournement s'applique aux Blocs fonctionnels, pas aux fonctions de sécurité auxquelles ceux-ci font appel (authentification, contrôle d'accès logique ). les fonctions d'identification, d'authentification et de gestion des droits, faisant partie intégrante du Système SBFI, ne sont pas forcément spécifiques à un Bloc fonctionnel. Par exemple : l'identification d'un Utilisateur peut être réalisée avant le Bloc fonctionnel "Accueil Guichet pour Utilisateurs" ; l'authentification d'un Utilisateur peut être réalisée avant un Bloc fonctionnel "SBFI n i" ; les Blocs fonctionnels "Accueil Guichet pour Utilisateurs" et "SBFI n i" peuvent demander à un Utilisateur de s'authentifier alors que celui-ci l'a déjà été. En outre, le procédé d'authentification peut être différent ; les droits d'accès d'un Utilisateur à un SBFI peuvent être vérifiés avant un Bloc fonctionnel "SBFI n i" Portée de la cible d'évaluation La TOE est le Système SBFI précédemment modélisé. La TOE inclut la documentation associée, destinée aux différents Rôles. Sont exclus de la TOE : les services qui ne sont pas des SBFI (par exemple de nature non transactionnelle) ; les services fournis aux Utilisateurs par un Canal différent du Canal Internet (accès Minitel par exemple) ; les Systèmes TI que sont les équipements de connexion des Acteurs, et en particulier des Utilisateurs ; les Systèmes TI destinés à secourir tout ou partie des SBFI ; le Système TI de contrôle des accès physiques. Le cycle de vie d'un Système TI comporte au moins les phases : conception réalisation (conception et réalisation constituent souvent deux phases distinctes), qualification, production, évolution du système (maintenance). Ce PP prend en compte la TOE en phase de production Éléments variables de la TOE La nature fonctionnelle du PP ainsi que la diversité des SBFI pris en compte a conduit à introduire la notion «d éléments variables». Un élément variable étant une spécificité fonctionnelle que l on ne retrouve pas forcément dans tous les SBFI. Chaque TOE doit faire l'objet d'une analyse de risques effectuée par l'ears et prenant en compte ces éléments variables. Ce paragraphe présente ces éléments, avec pour chacun d eux : les répercussions sur le PP, notamment concernant les objectifs et exigences fonctionnelles applicables ; la présentation adoptée afin de rendre explicites et claires les règles de sélection des objectifs et exigences applicables. Les éléments variables sont : 1. la distinction de deux catégories de Transactions : les transactions «normales» et celles présentant un «risque opérationnel élevé» ; remarque : ce concept est introduit au paragraphe relatif aux Transactions. L'analyse de risques menée par l'ears doit préciser la catégorie de chaque Transaction. Cette distinction permet de préciser les deux types d' suivants : ceux communs à toutes les Transactions, quelle que soit leur catégorie ; 19 / 123

20 ceux spécifiques aux Transactions présentant un risque opérationnel élevé. remarque 1 : le libellé d'un Objectif spécifique aux Transactions présentant un risque opérationnel élevé précise explicitement que l'objectif porte uniquement sur cette catégorie de Transactions. remarque 2 : certaines exigences fonctionnelles s'appliquent uniquement à un Objectif spécifique à une Transaction présentant un risque opérationnel élevé. Cette information est mise en évidence à l'aide d'une note d'application située après le texte du composant fonctionnel, qui stipule que : «Cette exigence est nécessaire pour satisfaire l'objectif OT.xxx, spécifique aux Transactions présentant un risque opérationnel élevé». 2. la prise en compte de "caractéristiques de sécurité" de certains Biens, qui ne peuvent être précisées dans le PP en termes de besoins en disponibilité et / ou intégrité et / ou confidentialité et / ou non-répudiation. Cet élément variable :concerne les Biens et leurs besoins de sécurité. Il sera détaillé dans le chapitre suivant ( 3.3) concernant l'environnement de sécurité de la TOE). Son existence repose sur le constat suivant : les Biens, par exemple ceux transitant entre l'utilisateur et la TOE, auront des besoins de sécurité différents selon la TOE : besoin en intégrité seul, en confidentialité et intégrité, en non-répudiation, en disponibilité, etc. Au stade du PP, il est impossible de définir une liste de Biens dont on connaît les besoins précis en disponibilité et / ou intégrité et / ou confidentialité et / ou non-répudiation. La prise en compte de "caractéristiques de sécurité" a les répercussions suivantes : plusieurs stipulent dans leur libellé la nécessité de protéger des Biens "conformément à leurs caractéristiques de sécurité", les exigences fonctionnelles relatives aux traitant de la protection conformément aux "caractéristiques de sécurité" des Biens ont été définies selon deux principes : a) faire en sorte qu'à chaque besoin en disponibilité, intégrité, confidentialité ou non-répudiation correspondent au moins une exigence fonctionnelle ; b) ne pas être trop contraignant de façon à laisser aux établissements une marge de manœuvre (matérialisée par les protections supplémentaires susceptibles d'être définies à l'issue de l'analyse de risques qu'ils doivent faire) ; le fait qu'une exigence fonctionnelle participe à la satisfaction d'un objectif relatif à la protection, conformément à des "caractéristiques de sécurité", est mis en évidence à l'aide d'une note d'application située après le texte du composant fonctionnel. Ce texte stipule que : «Cette exigence est nécessaire pour satisfaire l'objectif OT.xxx, relatif à des protections conformes aux «caractéristiques de sécurité» des Biens, pour ce qui concerne : les <Biens Acteur ou Biens SBFI> ; ayant un besoin en : <disponibilité ou intégrité ou confidentialité ou non-répudiation>. Note(s) d'application : Ce PP ne comporte pas d'hypothèse spécifique aux Transactions présentant un risque opérationnel élevé : quel que soit le type d'une Transaction, les hypothèses sur l'usage attendu de la TOE ou sur ses conditions d'emploi sont identiques. Ce PP ne comporte pas de Menace spécifique aux Transactions présentant un risque opérationnel élevé : le type d'une Transaction ne modifie pas la nature des risques, mais éventuellement leurs conséquences. Ce PP n'envisage aucune répercussion sur les exigences d'assurance ou le niveau de résistance des fonctions associé à certaines exigences fonctionnelles. Ces aspects font partie de la marge de manœuvre des établissements à l'issue de leur analyse de risques. 20 / 123

Les principes de la sécurité

Les principes de la sécurité Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Politique de Référencement Intersectorielle de Sécurité (PRIS) PREMIER MINISTRE ADAE PREMIER MINISTRE SGDN - DCSSI =========== Politique de Référencement Intersectorielle de Sécurité (PRIS) Service de confiance "Authentification" =========== VERSION 2.0 1.2.250.1.137.2.2.1.2.1.5

Plus en détail

Annexe sur la maîtrise de la qualité

Annexe sur la maîtrise de la qualité Version du 09/07/08 Annexe sur la maîtrise de la qualité La présente annexe précise les modalités d'application, en matière de maîtrise de la qualité, de la circulaire du 7 janvier 2008 fixant les modalités

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

Rapport de certification PP 2004/01. Profil de Protection pour services bancaires et/ou financiers sur Internet

Rapport de certification PP 2004/01. Profil de Protection pour services bancaires et/ou financiers sur Internet PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Profil de Protection pour services bancaires et/ou financiers sur Internet Paris,

Plus en détail

Circulaire n 41/G/2007 du 2 août 2007 relative à l 'obligation de vigilance incombant aux établissements de crédit

Circulaire n 41/G/2007 du 2 août 2007 relative à l 'obligation de vigilance incombant aux établissements de crédit Circulaire n 41/G/2007 du 2 août 2007 relative à l 'obligation de vigilance incombant aux établissements de crédit Le Gouverneur de Bank Al-Maghrib ; vu la loi n 34-03 relative aux établissements de c

Plus en détail

ORGANISATION MONDIALE

ORGANISATION MONDIALE ORGANISATION MONDIALE DU COMMERCE Comité du commerce des services financiers S/FIN/W/25/Add.1 19 juin 2003 (03-3275) Original: anglais COMMUNICATION DE HONG KONG, CHINE Tendances du marché et questions

Plus en détail

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

SPECIFICATION E DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES 92038 PARIS LA DEFENSE CEDEX Page 1 / 11 SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES 29/11/00 13 Indice

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit McAfee Enterprise Mobility Management 9.7 Préparé par : Centre de la sécurité des télécommunications Canada Organisme de certification Schéma canadien

Plus en détail

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES REPUBLIQUE FRANÇAISE PREMIER MINISTRE Secrétariat Général de la Défense Nationale N 730/ SCSSI Issy-les-Moulineaux, le 13 janvier 1997 GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS

Plus en détail

Contrôle interne et organisation comptable de l'entreprise

Contrôle interne et organisation comptable de l'entreprise Source : "Comptable 2000 : Les textes de base du droit comptable", Les Éditions Raouf Yaïch. Contrôle interne et organisation comptable de l'entreprise Le nouveau système comptable consacre d'importants

Plus en détail

~AISSE D'EPARGNE D'ALSACE

~AISSE D'EPARGNE D'ALSACE ~AISSE D'EPARGNE D'ALSACE DEFINITION D'EMPLOI: Gestionnaire de Clientèle Patrimoniale Code emploi: Filière d'activité: Métier: Rôle: Ventes et Services -- Gestionnaire de Clientèle Spécialiste Clients

Plus en détail

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE SOMMAIRE Paragraphes Introduction... 1-4 Personnes

Plus en détail

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET Glossaire La terminologie propre au projet, ainsi que les abréviations et sigles utilisés sont définis dans le Glossaire. Approbation Décision formelle, donnée

Plus en détail

Rapport de certification PP/0101

Rapport de certification PP/0101 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Rapport de certification PP/9908

Rapport de certification PP/9908 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

NORME COMPTABLE RELATIVE AUX OPERATIONS EN DEVISES DANS LES ETABLISSEMENTS BANCAIRES NC 23

NORME COMPTABLE RELATIVE AUX OPERATIONS EN DEVISES DANS LES ETABLISSEMENTS BANCAIRES NC 23 NORME COMPTABLE RELATIVE AUX OPERATIONS EN DEVISES DANS LES ETABLISSEMENTS BANCAIRES NC 23 OBJECTIF 01 - La Norme Comptable Tunisienne NC 15 relative aux opérations en monnaies étrangères définit les règles

Plus en détail

Journal officiel de l'union européenne

Journal officiel de l'union européenne 31.3.2015 FR L 86/13 RÈGLEMENT (UE) 2015/534 DE LA BANQUE CENTRALE EUROPÉENNE du 17 mars 2015 concernant la déclaration d'informations financières prudentielles (BCE/2015/13) LE CONSEIL DES GOUVERNEURS

Plus en détail

LIGNE DIRECTRICE RELATIVE AUX PRATIQUES PRUDENTES DE PLACEMENT DES REGIMES DE RETRAITE

LIGNE DIRECTRICE RELATIVE AUX PRATIQUES PRUDENTES DE PLACEMENT DES REGIMES DE RETRAITE LIGNE DIRECTRICE N 6 LIGNE DIRECTRICE RELATIVE AUX PRATIQUES PRUDENTES DE PLACEMENT DES REGIMES DE RETRAITE Le 15 novembre 2011 TABLE DES MATIÈRES CONTEXTE DE LA LIGNE DIRECTRICE... 3 Pratiques prudentes

Plus en détail

Vu la demande d'avis technique et juridique adressée au Service public fédéral Intérieur en date du 26 novembre 2014 ;

Vu la demande d'avis technique et juridique adressée au Service public fédéral Intérieur en date du 26 novembre 2014 ; 1/11 Comité sectoriel du Registre national Délibération RN n 108/2014 du 10 décembre 2014 Objet: Autorisation générale d utilisation du numéro d identification au Registre national dans le cadre du recours

Plus en détail

CHAPITRE VI : MODERNISATION DE L'INFRASTRUCTURE DES SYSTEMES DE PAIEMENT

CHAPITRE VI : MODERNISATION DE L'INFRASTRUCTURE DES SYSTEMES DE PAIEMENT CHAPITRE VI : MODERNISATION DE L'INFRASTRUCTURE DES SYSTEMES DE PAIEMENT Après une phase de diagnostic et d'études, la Banque d'algérie et les banques de la place ont entrepris, à partir de 2003 et d'une

Plus en détail

Vu la demande de l'agentschap Binnenlands Bestuur, reçue le 24/02/2012 ;

Vu la demande de l'agentschap Binnenlands Bestuur, reçue le 24/02/2012 ; 1/7 Comité sectoriel du Registre national Délibération RN n 39/2012 du 9 mai 2012 Objet : demande d'autorisation formulée par l'agentschap voor Binnenlands Bestuur (Agence des Affaires intérieures) de

Plus en détail

Sage CRM. 7.2 Guide de Portail Client

Sage CRM. 7.2 Guide de Portail Client Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,

Plus en détail

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Date : 2010-09-08 Référence 20100906-CSPN-CibleSécurité-V1.1.doc VALIDITE DU DOCUMENT Identification Client Projet Fournisseur

Plus en détail

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

Charte de Qualité sur l assurance vie

Charte de Qualité sur l assurance vie Charte de Qualité sur l assurance vie PRÉAMBULE La présente Charte de Qualité sur l assurance vie s'inspire largement de la Charte de Qualité ICMA Private Wealth Management, qui présente les principes

Plus en détail

Systèmes de transport public guidés urbains de personnes

Systèmes de transport public guidés urbains de personnes service technique des Remontées mécaniques et des Transports guidés Systèmes de transport public guidés urbains de personnes Principe «GAME» (Globalement Au Moins Équivalent) Méthodologie de démonstration

Plus en détail

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

Conformité aux exigences de la réglementation 21 CFR Part 11 de la FDA Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA Définition de la réglementation 21 CFR partie 11 Au cours de la dernière décennie, l'industrie pharmaceutique a très rapidement

Plus en détail

NC 30 Les charges techniques dans les entreprises d assurance et / ou de réassurance

NC 30 Les charges techniques dans les entreprises d assurance et / ou de réassurance NC 30 Les charges techniques dans les entreprises d assurance et / ou de réassurance Objectif 01. L'activité d'assurance et/ou de réassurance se caractérise par l'inversion du cycle de la production et

Plus en détail

BOC/PP 31 juillet 2006 Nº17 texte 11

BOC/PP 31 juillet 2006 Nº17 texte 11 texte 11 CONTRÔLE GÉNÉRAL DES ARMÉES. NOTE-CIRCULAIRE N 1993/DEF/CGA/CRM relative au cahier des clauses administratives particulières communes relatives au traitement d une non conformité, à l émission

Plus en détail

Lignes directrices relatives à la notion de personnes politiquement exposées (PPE)

Lignes directrices relatives à la notion de personnes politiquement exposées (PPE) Janvier 2010 Lignes directrices relatives à la notion de personnes politiquement exposées (PPE) Document de nature explicative (Version actualisée avec mise à jour des dispositions législatives et réglementaires

Plus en détail

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations DDN/RSSI Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations Page 1 10/03/2015 SOMMAIRE. Article I. Définitions...3 Section I.1 Administrateur...3 Section

Plus en détail

PMI PLACE DE MARCHE INTERMINISTERIELLE GUIDE D'UTILISATION UTILISATEUR OPERATEUR ECONOMIQUE

PMI PLACE DE MARCHE INTERMINISTERIELLE GUIDE D'UTILISATION UTILISATEUR OPERATEUR ECONOMIQUE PMI PLACE DE MARCHE INTERMINISTERIELLE GUIDE D'UTILISATION UTILISATEUR OPERATEUR ECONOMIQUE ETAT tous droits réservés Page 1 sur 30 Table des matières 1 PRESENTATION DU GUIDE D'UTILISATION...4 1.1 Introduction...4

Plus en détail

Guide d'inscription pour obtenir un certificat ssl thawte

Guide d'inscription pour obtenir un certificat ssl thawte Guide d'inscription pour obtenir un certificat ssl thawte Sommaire Guide d inscription pour obtenir un certificat SSL Thawte 1 7 étapes simples 1 Avant de commencer 1 Soumettre votre demande d'inscription

Plus en détail

Références du document Date du document 09/03/01

Références du document Date du document 09/03/01 SOUS-SECTION 3 RÉGIME D'IMPOSITION DES TITRES LIBELLÉS EN DEVISES DÉTENUS PAR LES ÉTABLISSEMENTS DE CRÉDIT ET LES ENTREPRISES D'INVESTISSEMENT [DB 4A2373] Références du document 4A2373 Date du document

Plus en détail

Aide en ligne du portail

Aide en ligne du portail Connectivity 3SKey Aide en ligne du portail Ce fichier d'aide décrit les fonctions du portail 3SKey (clé de signature sécurisée SWIFT). 11 juin 2011 3SKey Table des matières 1 Portail 3SKey... 3 1.1 Fonctions

Plus en détail

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4 Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à

Plus en détail

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart

Plus en détail

Charte régissant l'usage du système d information par les personnels du ministère de l éducation nationale

Charte régissant l'usage du système d information par les personnels du ministère de l éducation nationale Charte régissant l'usage du système d information par les personnels du ministère de l éducation nationale DGRH Version du 21/08/2008 1/ 9 Sommaire Article I. Champ d'application...4 Article II. Conditions

Plus en détail

Lignes directrices relatives à la relation d affaires et au client occasionnel

Lignes directrices relatives à la relation d affaires et au client occasionnel Avril 2012 Lignes directrices relatives à la relation d affaires et au client occasionnel Document de nature explicative (Version actualisée avec mise à jour des dispositions législatives et réglementaires

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification, version de base RÉVISION v2.8.2 préparé par le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Les badges de chantier*

Les badges de chantier* Fabienne Muller Université de Strasbourg - Octobre 2013 Les badges de chantier* * Travail réalisé à partir de l'exploitation des questionnaires envoyés aux partenaires concernés par les dispositifs, éventuellement

Plus en détail

Le Répertoire National des Certifications Professionnelles (RNCP) Résumé descriptif de la certification

Le Répertoire National des Certifications Professionnelles (RNCP) Résumé descriptif de la certification 1 sur 5 28/11/2014 09:57 Le Répertoire National des Certifications Professionnelles (RNCP) Résumé descriptif de la certification Intitulé TP : Titre professionnel Technicien(ne) supérieur(e) de support

Plus en détail

PUBLICITÉ ET CRÉDIT À LA CONSOMMATION. Les modifications apportées par la Loi du 1 er juillet 2010

PUBLICITÉ ET CRÉDIT À LA CONSOMMATION. Les modifications apportées par la Loi du 1 er juillet 2010 PUBLICITÉ ET CRÉDIT À LA CONSOMMATION Les modifications apportées par la Loi du 1 er juillet 2010 La Directive «crédit à la consommation» du 23 avril 2008 a été transposée par la loi n 2010-737 du 1 er

Plus en détail

Limites régissant les engagements importants

Limites régissant les engagements importants Bureau du surintendant des Canada Office of the Superintendent of Financial Institutions Canada 255, rue Albert 255 Albert Street Ottawa, Canada Ottawa, Canada K1A 0H2 K1A 0H2 Ligne directrice Objet :

Plus en détail

Projet en entreprise Cadrage du Projet de Fin d Etudes «Un projet informatique.»

Projet en entreprise Cadrage du Projet de Fin d Etudes «Un projet informatique.» Projet en entreprise Cadrage du Projet de Fin d Etudes «Un projet informatique.» Projet de fin d études 2 Sommaire OBJET DU DOCUMENT... 3 LES ETAPES DU PROJET... 4 ETUDE PREALABLE...5 1 L étude d opportunité...

Plus en détail

Gestion des utilisateurs et Entreprise Etendue

Gestion des utilisateurs et Entreprise Etendue Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission

Plus en détail

Plan de secours. Marie-pascale Delamare d'après "Plan de continuité d'activité publié par le CLUSIF" LE PLAN DE CONTINUITÉ DE SERVICE (PCS)

Plan de secours. Marie-pascale Delamare d'après Plan de continuité d'activité publié par le CLUSIF LE PLAN DE CONTINUITÉ DE SERVICE (PCS) Plan de secours Un plan de continuité de service (PCS) contient à la fois un plan de secours informatique (PSI) et un plan de reprise d'activité (PRA). Avant de commencer une étude de Plan de Secours Informatique,

Plus en détail

Projet de règlement général de l AMF sur le financement participatif

Projet de règlement général de l AMF sur le financement participatif Projet de règlement général de l AMF sur le financement participatif 1. L article 211-2 est ainsi rédigé : I. - Au sens du I de l'article L. 411-2 du code monétaire et financier, ne constitue pas une offre

Plus en détail

Orientations sur la solvabilité du groupe

Orientations sur la solvabilité du groupe EIOPA-BoS-14/181 FR Orientations sur la solvabilité du groupe EIOPA Westhafen Tower, Westhafenplatz 1-60327 Frankfurt Germany - Tel. + 49 69-951119-20; Fax. + 49 69-951119-19; email: info@eiopa.europa.eu

Plus en détail

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du cyberp@iement Titre 1Conditions Particulières

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du cyberp@iement Titre 1Conditions Particulières Annexe 5 Souscrit dans le cadre du cyberp@iement Titre 1Conditions Particulières DESIGNATION DE L ENTREPRISE ci-après "le Client" Nom ou Dénomination sociale... représentée par.. (Nom et prénom du représentant

Plus en détail

Commission Nationale de l'informatique et des Libertés

Commission Nationale de l'informatique et des Libertés Délibération nº 2015-165 du 4 juin 2015 portant adoption d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés

Plus en détail

Spécifications de l'offre Surveillance d'infrastructure à distance

Spécifications de l'offre Surveillance d'infrastructure à distance Aperçu du service Spécifications de l'offre Surveillance d'infrastructure à distance Ce service comprend les services Dell de surveillance d'infrastructure à distance (RIM, le «service» ou les «services»)

Plus en détail

REFERENTIEL DE CERTIFICATION

REFERENTIEL DE CERTIFICATION REFERENTIEL DE CERTIFICATION DU TITRE PROFESSIONNEL Technicien(ne) d'assistance en Informatique Niveau IV Site : http://www.emploi.gouv.fr REFERENTIEL DE CERTIFICATION D'UNE SPECIALITE DU TITRE PROFESSIONNEL

Plus en détail

Obligation de publication des comptes annuels et consolidés de sociétés étrangères

Obligation de publication des comptes annuels et consolidés de sociétés étrangères Département Informations micro-économiques Service Centrale des bilans boulevard de Berlaimont 14 - BE-1000 Bruxelles tél. 02 221 30 01 - fax 02 221 32 66 e-mail: centraledesbilans@nbb.be - site Internet:

Plus en détail

État Réalisé En cours Planifié

État Réalisé En cours Planifié 1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque élevé Exigences de cybersécurité Description Raisons de l'importance 1. Protection des actifs et configuration

Plus en détail

Le rôle Serveur NPS et Protection d accès réseau

Le rôle Serveur NPS et Protection d accès réseau Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS

Plus en détail

Services informatiques aux organisations

Services informatiques aux organisations I. APPELLATION DU DIPLÔME II. CHAMP D'ACTIVITÉ Services informatiques aux organisations Spécialité «Solutions logicielles et applications métiers» Spécialité «Solutions d infrastructure, systèmes et réseaux»

Plus en détail

Rapport de certification PP/0002

Rapport de certification PP/0002 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition)

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition) Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.

Plus en détail

INSTRUCTION N 017-12-2010 RELATIVE A L'ORGANISATION DU CONTRÔLE INTERNE AU SEIN DES SYSTEMES FINANCIERS DECENTRALISES

INSTRUCTION N 017-12-2010 RELATIVE A L'ORGANISATION DU CONTRÔLE INTERNE AU SEIN DES SYSTEMES FINANCIERS DECENTRALISES INSTRUCTION N 017-12-2010 RELATIVE A L'ORGANISATION DU CONTRÔLE INTERNE AU SEIN DES SYSTEMES FINANCIERS DECENTRALISES Le Gouverneur de la Banque Centrale des Etats de l'afrique de l'ouest, Vu le Traité

Plus en détail

Note à Messieurs les : Objet : Lignes directrices sur les mesures de vigilance à l égard de la clientèle

Note à Messieurs les : Objet : Lignes directrices sur les mesures de vigilance à l égard de la clientèle Alger, le 08 février 2015 Note à Messieurs les : - Présidents des Conseils d Administration ; - Présidents Directeurs Généraux ; - Directeurs Généraux ; - Présidents des Directoires ; - Directeur Général

Plus en détail

INTERNET, quelles conséquences prudentielles?

INTERNET, quelles conséquences prudentielles? LIVRE BLANC DÉCEMBRE 2000 INTERNET, quelles conséquences prudentielles? C B OMMISSION ANCAIRE SECRÉTARIAT GÉNÉRAL INTERNET QUELLES CONSÉQUENCES PRUDENTIELLES? La Banque de France et le Secrétariat général

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

La nouvelle architecture de contrôle du secteur financier

La nouvelle architecture de contrôle du secteur financier Communication _2011_15 du 23 mars 2011 La nouvelle architecture de contrôle du secteur financier Champ d'application: Tous les établissements soumis au contrôle de la ou du CREFS. Résumé/Objectifs: La

Plus en détail

La politique de sécurité

La politique de sécurité La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» CSSS/10/101 AVIS N 10/21 DU 7 SEPTEMBRE 2010 CONCERNANT LA DEMANDE DU MINISTRE DES AFFAIRES SOCIALES RELATIVE AU PROTOCOLE,

Plus en détail

ACCORD ENTRE LA COMMISSION BANCAIRE ET LA BANQUE NATIONALE DE ROUMANIE

ACCORD ENTRE LA COMMISSION BANCAIRE ET LA BANQUE NATIONALE DE ROUMANIE ACCORD ENTRE LA COMMISSION BANCAIRE ET LA BANQUE NATIONALE DE ROUMANIE CONCERNANT LA COOPERATION RECIPROQUE ET L ECHANGE D INFORMATIONS POUR LE CONTROLE BANCAIRE ET PRUDENTIEL 1. Considérant que certaines

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

ÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL

ÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL ÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL Au niveau du second degré, l'économie et gestion recouvre un ensemble de champs disciplinaires relevant de l'économie, du droit, des sciences de

Plus en détail

Recommandation AMF n 2006-15 Expertise indépendante dans le cadre d opérations financières

Recommandation AMF n 2006-15 Expertise indépendante dans le cadre d opérations financières Recommandation AMF n 2006-15 Expertise indépendante dans le cadre d opérations financières Texte de référence : article 262-1 du règlement général de l AMF Le titre VI du livre II du règlement général

Plus en détail

Les modules SI5 et PPE2

Les modules SI5 et PPE2 Les modules SI5 et PPE2 Description de la ressource Propriétés Intitulé long Formation concernée Matière Présentation Les modules SI5 et PPE2 BTS SIO SI5 PPE2 Description Ce document présente une approche

Plus en détail

FICHE EXPLICATIVE Système de management de l Énergie (SMÉ)

FICHE EXPLICATIVE Système de management de l Énergie (SMÉ) Certificats d économies d énergie Fiche explicative n FE 50 FICHE EXPLICATIVE Système de management de l Énergie (SMÉ) Fiches d opérations standardisées concernées : N BAT-SE-02 et IND-SE-01. Ce document

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet IFACI

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet IFACI HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet IFACI Prestation sécurité Benjamin Arnault Matthieu Hentzien Benjamin

Plus en détail

Qu'est-ce que la normalisation?

Qu'est-ce que la normalisation? NORMALISATION 1 Qu'est-ce que la normalisation? La normalisation est un outil élémentaire et efficace des politiques européennes, ses objectifs étant de : contribuer à la politique visant à mieux légiférer,

Plus en détail

Convention Beobank Online et Beobank Mobile

Convention Beobank Online et Beobank Mobile Convention Beobank Online et Beobank Mobile Lisez attentivement cette Convention ("la Convention"). Lisez en tout cas la Section 1 - Conditions générales Beobank Online et Beobank Mobile. Ces conditions

Plus en détail

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés. portnox Livre blanc réseau Janvier 2008 Access Layers portnox pour un contrôle amélioré des accès access layers Copyright 2008 Access Layers. Tous droits réservés. Table des matières Introduction 2 Contrôle

Plus en détail

MODELE DE CONVENTION ERDF / relative à la dématérialisation fiscale des factures d acheminement

MODELE DE CONVENTION ERDF / <Fournisseur> relative à la dématérialisation fiscale des factures d acheminement Direction Technique MODELE DE CONVENTION ERDF / relative à la dématérialisation fiscale des factures d acheminement Identification : ERDF-FOR-CF_42E Version : 1 Nombre de pages : 10 Version

Plus en détail

Bank Briefing n 2014-19 ARCHIVES

Bank Briefing n 2014-19 ARCHIVES Bank Briefing n 2014-19 ARCHIVES Vendredi 14 novembre 2014 Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement

Plus en détail

OASIS www.oasis-open.org/committees/xacml/docs/docs.shtml Date de publication

OASIS www.oasis-open.org/committees/xacml/docs/docs.shtml Date de publication Statut du Committee Working Draft document Titre XACML Language Proposal, version 0.8 (XACML : XML Access Control Markup Language) Langage de balisage du contrôle d'accès Mot clé Attestation et sécurité

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification BMC Real End User Experience Monitoring and Analytics 2.5 Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma

Plus en détail

SEP 2B juin 20. Guide méthodologique de calcul du coût d une prestation

SEP 2B juin 20. Guide méthodologique de calcul du coût d une prestation SEP 2B juin 20 12 Guide méthodologique de calcul du coût d une Sommaire Préambule 3 Objectif et démarche 3 1 Les objectifs de la connaissance des coûts 4 2 Définir et identifier une 5 Calculer le coût

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

«ASSISTANT SECURITE RESEAU ET HELP DESK»

«ASSISTANT SECURITE RESEAU ET HELP DESK» «ASSISTANT SECURITE RESEAU ET HELP DESK» FORMATION CERTIFIANTE DE NIVEAU III CODE NSF : 326 R INSCRIT AU RNCP ARRETE DU 31/08/11 JO DU 07/09/11 - OBJECTIFS Installer, mettre en service et dépanner des

Plus en détail

LEXIQUE - A A B C D E F G H I J K L M N O P Q R S T U V W X Y Z. Actuaires / Actuariat. Actifs représentatifs

LEXIQUE - A A B C D E F G H I J K L M N O P Q R S T U V W X Y Z. Actuaires / Actuariat. Actifs représentatifs LEXIQUE - A Actuaires / Actuariat Un actuaire est un professionnel spécialiste de l'application du calcul des probabilités et de la statistique aux questions d'assurances, de finance et de prévoyance sociale.

Plus en détail

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND Version en date du 1/06/2015 ARTICLE 1 : OBJET Les présentes conditions particulières, complétant les conditions générales de service de PHOSPHORE SI, ont

Plus en détail

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition)

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition) Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.

Plus en détail

Architecture de référence pour la protection des données. Mercredi 21 Mars 2007

Architecture de référence pour la protection des données. Mercredi 21 Mars 2007 Architecture de référence pour la protection des données Mercredi 21 Mars 2007 Intervenants Serge Richard CISSP /IBM France 2 Introduction Sécurité des données Cadres de référence Description d une méthodologie

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

Gestion des modifications d un projet système d'information

Gestion des modifications d un projet système d'information Centre national de la recherche scientifique Direction des systèmes d'information REFERENTIEL QUALITE Procédure Qualité Gestion des modifications d un proj système d'information Référence : CNRS/DSI/conduite-proj/maintenance-evolution/proc-gestion-modification

Plus en détail

ET LA DÉLIVRANCE DU CERTIFICAT

ET LA DÉLIVRANCE DU CERTIFICAT RÉFÉRENTIEL POUR L'ATTRIBUTION ET LE SUIVI D'UNE QUALIFICATION PROFESSIONNELLE D'ENTREPRISE ET LA DÉLIVRANCE DU CERTIFICAT Date d'application : 29 octobre 2014 DOCUMENT QUALIBAT 005 VERSION 06 OCTOBRE

Plus en détail

ACCORD EUROPÉEN SUR UN CODE DE CONDUITE VOLONTAIRE RELATIF À L'INFORMATION PRÉCONTRACTUELLE CONCERNANT LES PRÊTS AU LOGEMENT (CI-APRÈS "L'ACCORD")

ACCORD EUROPÉEN SUR UN CODE DE CONDUITE VOLONTAIRE RELATIF À L'INFORMATION PRÉCONTRACTUELLE CONCERNANT LES PRÊTS AU LOGEMENT (CI-APRÈS L'ACCORD) ACCORD EUROPÉEN SUR UN CODE DE CONDUITE VOLONTAIRE RELATIF À L'INFORMATION PRÉCONTRACTUELLE CONCERNANT LES PRÊTS AU LOGEMENT (CI-APRÈS "L'ACCORD") L'accord a été négocié et adopté par les associations

Plus en détail

BULLETIN OFFICIEL DES IMPÔTS

BULLETIN OFFICIEL DES IMPÔTS BULLETIN OFFICIEL DES IMPÔTS N 1 DU 4 JANVIER 2011 DIRECTION GÉNÉRALE DES FINANCES PUBLIQUES 4 A-10-10 INSTRUCTION DU 23 DECEMBRE 2010 INSTRUCTION RELATIVE A L OBLIGATION DOCUMENTAIRE EN MATIERE DE PRIX

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

POLITIQUE DE GESTION DES CONFLITS D INTERÊTS

POLITIQUE DE GESTION DES CONFLITS D INTERÊTS Avril 2013 POLITIQUE DE GESTION DES CONFLITS D INTERÊTS Conformément aux règles des directives 2004/39/CE du 21 avril 2004 et 2006/73CE du 10 août 2006 transposées dans les articles 313-18 à 313-28 du

Plus en détail

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse

Plus en détail