Processus de qualification d un produit de sécurité - niveau standard - version 1.0
|
|
- Antoine Lebeau
- il y a 7 ans
- Total affichages :
Transcription
1 P R E M I E R M I N I S T R E Secrétariat général de la défense nationale Paris, le 28 JUIL N /SGDN/DCSSI/SDR Direction centrale de la sécurité des systèmes d information Affaire suivie par : Philippe Blot Téléphone : Mél : philippe.blot@sgdn.pm.gouv.fr Processus de qualification d un produit de sécurité - niveau standard - version 1.0 SOMMAIRE 1 INTRODUCTION OBJECTIFS AUDIENCE QUALIFICATION ET CERTIFICATION QUALIFICATION DE PRODUIT ET HOMOLOGATION DE SYSTÈME DOCUMENTATION APPLICABLE LA DÉMARCHE DE QUALIFICATION CONDITIONS GÉNÉRALES LA DÉMARCHE ACCEPTATION DE LA CIBLE DE SÉCURITÉ EVALUATION ET CERTIFICATION QUALIFICATION MAINTENANCE DU CERTIFICAT / DE LA QUALIFICATION PUBLICATION DES VULNÉRABILITÉS RÉFÉRENTIELS APPLICABLES EN MATIÈRE DE TECHNOLOGIES DE L INFORMATION EN MATIÈRE D ASSURANCE PUBLICITÉ, PUBLICATION ET EXPLOITATION DES RÉSULTATS PUBLICATION DES CERTIFICATS PUBLICATION DES QUALIFICATIONS PROMOTION DES ÉVALUATIONS / QUALIFICATIONS EXPLOITATION DES RÉSULTATS b o u l e v a r d d e L a T o u r - M a u b o u r g P A R I S 0 7 S P
2 1 Introduction 1.1Objectifs Le déploiement de solutions de sécurisation des systèmes d information s appuie, en complément des mesures organisationnelles, sur la mise en œuvre de fonctions techniques logicielles et matérielles, fournies dans de nombreux cas par des produits de sécurité. En tant que régulateur en matière de qualification des produits de sécurité, en particulier dès lors qu ils sont susceptibles de protéger les informations de l administration, mais aussi dans le cadre plus général de la sécurisation de la société de l information, la DCSSI a défini plusieurs niveaux de qualification de ces produits. Le niveau standard, objet du présent document, vise à assurer que les produits ont été évalués et certifiés selon un paquet d assurance spécifique EAL2 augmenté, défini au paragraphe 4. Afin de soutenir l émergence d une offre de produits qualifiés au niveau standard, la DCSSI propose au travers de ce mémento : - une démarche de qualification à ce niveau ; - des exigences générales applicables aux produits en vue de leur évaluation. En parallèle, la DCSSI est en train de constituer un référentiel d exigences techniques applicables aux produits, sous la forme de Profils de Protection, pour lesquels elle recherchera une homologation nationale, et de fiches techniques, pouvant servir de clauses techniques dans les marchés. 1.2Audience Ce document est principalement destiné aux acteurs participants à la procédure de qualification : donneurs d ordres, maîtrises d ouvrage et maîtrises d œuvre, commanditaires, développeurs, 1.3Qualification et certification La démarche de qualification au niveau standard (sans présumer de ce que pourra être la démarche de qualification à d autres niveaux) s appuie sur l évaluation et certification des produits au sens du décret (dénommée évaluation et certification dans la suite du document). Le positionnement de la qualification est le suivant : - elle intervient en amont de la mise en œuvre d une évaluation et certification, pour accepter la cible de sécurité du produit à évaluer ; - pendant l évaluation et certification, elle n a a priori aucune activité autre que le suivi de ce processus ; - puis elle consiste à vérifier que la certification n a pas induit de modifications de la cible de sécurité préalablement acceptée, qui seraient de nature à remettre en cause la qualification. Version 1.0 2
3 La reconnaissance de certificats étrangers dans le cadre de la procédure de qualification des produits, n est pas traitée de manière générale dans ce document ; elle peut faire l objet d une étude au cas par cas, des fournitures complémentaires pouvant être demandées par la DCSSI. 1.4Qualification de produit et homologation de système Les exigences exprimées dans la cible de sécurité d un produit devront être conformes aux exigences requises dans le présent document, ou à terme aux exigences techniques en vigueur et décrites dans le référentiel d exigences technique de la DCSSI. Afin d être utilement exploitées dans le processus d homologation d un système d information intégrant le produit, les exigences exprimées devront en outre être confrontées aux exigences résultant de l'analyse globale de risques du système. Version 1.0 3
4 2 Documentation applicable Le processus décrit s appuie sur les documents applicables suivant : [DECRET] : décret du 18 avril 2002, relatif à l évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l information [IS 15408] : Information technology - Security techniques Evaluation criteria for IT security [CC] : Common Methodology for Information Technology Security Evaluation [CEM] : Common Criteria for information technology security evaluation [ECF] : Guides techniques ECF (Evaluation et Certification Française) du schéma français d évaluation et de certification de la sécurité des technologies de l information [FOURNITURES CRYPTO] : Fournitures nécessaires à l analyse de mécanismes cryptographiques, v1.1, n 1932/SGDN/DCSSI/SDS du 4 octobre 2002 Version 1.0 4
5 3 La démarche de qualification 3.1Conditions générales La demande de qualification d un produit de sécurité peut émaner du fournisseur, d un développeur, d'une administration centrale, déconcentrée, territoriale, d'un organisme sous tutelle ou paritaire, d'un service public ou d'un corps constitué, ou de consortiums ; elle référence la version du produit à qualifier. L évaluation de la sécurité d un produit en vue de sa qualification au niveau standard est une évaluation et certification au sens du décret La cible de sécurité du produit est publique (ou du moins, il en existe une version publique). Le processus de qualification est également considéré par la DCSSI comme un processus d amélioration des produits et comme une action de partenariat avec l industrie : la DCSSI engage les développeurs à prendre en compte les recommandations qu elle peut émettre durant le processus engagé, soit sur la version du produit faisant l objet de l évaluation et certification, soit lors d une version suivante du produit. A ce titre, la DCSSI recommande que l acceptation de la cible de sécurité, voire l évaluation du produit, soient menées en parallèle du développement du produit, et non pas après. 3.2La démarche La qualification d un produit de sécurité au niveau standard suit les grandes étapes suivantes : - acceptation de la cible de sécurité ; - évaluation et certification ; - qualification ; - maintien du certificat / de la qualification. 3.3Acceptation de la cible de sécurité Cette étape a pour objectif de contrôler l adéquation de la cible de sécurité avec le niveau d exigences attendu par la DCSSI et vis-à-vis de l emploi présumé du produit. Elle permet à la DCSSI de s assurer que le choix des menaces, des objectifs de sécurité, du périmètre des fonctions évaluées et de la profondeur de l évaluation, des choix en matière de cryptographie,, résultent d une analyse préalable des risques menée par le développeur, et répond aux recommandations de la DCSSI en matière d architectures, d administration de la sécurité,... Conditions particulières : Cette acceptation est conduite par le bureau réglementation de la DCSSI (qui instruit les qualifications de produits de sécurité), qui s appuie sur les experts nécessaires ainsi que des représentants des utilisateurs. L analyse de la cible de sécurité est conduite sur la base d une proposition de cible et sur l analyse des risques, toutes deux établies par le développeur. Elle s appuie également sur la documentation fournie par le développeur expliquant ses choix en matière de cryptographie. Version 1.0 5
6 La cible s appuie sur les exigences techniques disponibles dans le référentiel de la DCSSI, et le développeur établit une matrice de conformité entre la cible de son produit et ces exigences techniques. A titre indicatif, la durée de cette étape peut être considérée de l ordre de 1 à 2 mois, sous réserve de la présentation d une cible initiale de qualité : cela suppose que les développeurs qui n ont pas encore engagé de processus d évaluation et certification au sens du décret soient formés aux Critères Communs ; le développeur pourra faire appel à un prestataire de son choix pour cette formation (CESTI, par exemple). 3.4Evaluation et certification L évaluation et certification est conduite selon les principes décrits dans le décret et les procédures en vigueur (disponibles sur le site web de la DCSSI : Afin de limiter les risques de l évaluation et certification, la DCSSI demande que l étude de faisabilité décrite dans [ECF] (ECF03, chapitre 2) soit menée : au vu des résultats de cette étude, la DCSSI se réserve le droit de reporter la qualification. Conditions particulières : La base du contrat liant le commanditaire à l évaluateur doit être la version de la cible de sécurité acceptée par la DCSSI. La DCSSI n intervient pas dans le choix du CESTI ; la liste des centres d évaluation ainsi que leur portée d agrément sont publiées sur le site de la DCSSI. Conditions particulières pour l analyse de la cryptographie : L analyse de la cryptographie est obligatoire dans le cadre de la qualification. Cette analyse est gérée par la DCSSI dans le processus de certification. Elle nécessite la fourniture par le développeur d une documentation conforme aux exigences de [FOURNITURES CRYPTO]. Le développeur désigne un correspondant qui est à même de répondre aux éventuelles questions de la DCSSI sur le sujet de la cryptographie. Les résultats de l analyse figurent in fine dans le rapport de certification. A titre indicatif, la durée de l évaluation, pour le niveau d évaluation requis défini ci-après, peut être considérée de l ordre de 4 à 6 mois (en fonction de la nature et du périmètre de la cible d évaluation. Le bureau certification de la DCSSI dispose d 1 mois pour émettre le rapport de certification après que l ensemble des rapports d évaluation ont été validés (article 5 de [DECRET]). 3.5Qualification En cas de succès à la certification, la DCSSI instruit la qualification du produit. Elle contrôle notamment : - que les éventuelles retouches apportées à la cible de sécurité pendant la phase d évaluation et certification restent acceptables vis-à-vis de la cible initiale résultant de la phase d acceptation ; Version 1.0 6
7 - que les vulnérabilités identifiées lors de l évaluation sont acceptables au regard des contextes d emploi prévus pour le produit : pour ce faire, la DCSSI est destinataire du rapport technique d évaluation complet. Conditions particulières : La qualification est instruite par le bureau réglementation de la DCSSI. A titre indicatif, la durée de cette étape peut être considérée de l ordre de 1 à 2 mois suite à la certification du produit. 3.6Maintenance du certificat / de la qualification La DCSSI met en place ce processus de qualification afin de disposer de produits de confiance, dans la durée. Elle demande donc aux développeurs de s engager à mettre en place avec le CESTI un contrat de maintenance du certificat (telle que prévue par le schéma), ou à lancer une nouvelle évaluation et certification du produit en cas de rupture technologique d une nouvelle version du produit avec la version évaluée. Dans ce dernier cas, la DCSSI demande aux développeurs d engager le plus tôt possible (de préférence avant le lancement effectif des réalisations) le processus de (re)qualification des nouvelles versions de ses produits déjà qualifiés, en lui soumettant notamment la cible de sécurité de ces nouvelles versions pour une nouvelle acceptation. 3.7Publication des vulnérabilités Si des vulnérabilités ont été découvertes pendant l'évaluation, celles-ci ont dû être conformément aux règles du schéma : - soit corrigées, - soit prises en compte au niveau des contraintes d'emploi du produit, - soit ignorées car hors cible ou hors objectifs de sécurité (risques résiduels tolérables). Dans tous les cas, ces vulnérabilités ne sont pas rendues publiques. De même, les vulnérabilités découvertes après l'évaluation et certification sont traitées conformément au processus de maintenance du certificat et de la qualification. Elles sont confidentielles et ne peuvent être rendues publiques, sauf si des correctifs ou des moyens de contournement suffisants sont proposés par le fournisseur. Version 1.0 7
8 4 Référentiels applicables La DCSSI établira, sous forme de Profils de Protection et de fiches techniques, le référentiel des exigences techniques applicables par type de produits. Dans l attente de ce référentiel, les exigences générales suivantes sont applicables. 4.1En matière de technologies de l information Le niveau de résistance des fonctions de sécurité (SOF) requis est le niveau élevé, tel que défini dans [CC]. 4.2En matière d assurance Le niveau d assurance requis pour une qualification au niveau standard est le niveau EAL2 augmenté, conformément au paquet d assurance défini ci-après. Les domaines qui méritent une attention particulière concernent : la capacité de la cible à subir des tests, l identification des vulnérabilités. D autres aspects sont à considérer : conditions de livraison, et de mise en exploitation. Enfin d autres domaines, identifiés comme dépendant des premiers par [CC], sont introduits dans le paquet d assurance : guides d utilisation et d administration. Version 1.0 8
9 Classe d'assurance Famille d'assurance Composants d'assurance par niveau d'assurance de l'évaluation EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 niveau retenu pour le paquet EAL2+ de qualification au niveau standard Gestion de ACM_AUT configuration ACM_CAP ACM_SCP Livraison et ADO_DEL exploitation ADO_IGS ADV_FSP ADV_HLD ADV_IMP (pour la classe fonctionnelle FCS) Développement ADV_INT ADV_LLD (pour la classe fonctionnelle FCS) ADV_RCR ADV_SPM Guides AGD_ADM AGD_USR ALC_DVS Support au Cycle de vie ALC_FLR 3 ALC_LCD ALC_TAT (pour la classe fonctionnelle FCS) Tests ATE_COV ATE_DPT ATE_FUN ATE_IND Estimation des vulnérabilités AVA_CCA AVA_MSU AVA_SOF AVA_VLA Version 1.0 9
10 5 Publicité, publication et exploitation des résultats 5.1Publication des certificats Les certificats correspondant à des produits qualifiés ou en cours de qualification au niveau standard, le rapport de certification, la cible de sécurité, et éventuellement la documentation d accompagnement requise (documentation d installation du produit, ) sont systématiquement publiés. Cela impose notamment une version publique de la cible de sécurité. Afin d élargir la portée des certificats émis, la DCSSI procède à l émission d un rapport de certification bilingue (franco-anglais). Il est donc demandé aux développeurs de faire de même pour leur cible de sécurité, sachant que pour le marché français, une version française de la cible est requise. 5.2Publication des qualifications La DCSSI gère au profit des administrations un catalogue des produits de sécurité à usage gouvernemental, qui comprend l ensemble des produits qualifiés ou en cours de qualification. Dans ce catalogue figurent, outre les informations liées au processus de qualification, des informations relatives aux performances des produits (débits, MTBF, dimension, poids, ), aux coûts des produits (ainsi que de leurs éventuels périphériques ou des équipements requis pour leur mise en oeuvre, de leur maintenance, ), aux délais d approvisionnement, aux contacts commerciaux du développeur, La DCSSI demande aux développeurs de lui fournir les informations utiles pour la constitution de ce catalogue. A noter : la DCSSI analyse la possibilité d un catalogue restreint aux produits qualifiés au niveau standard, qui serait mis à disposition du public sur son site web. 5.3Promotion des évaluations / qualifications Par son catalogue et par les relations privilégiées qu elle entretient avec les administrations, la DCSSI informe ces derniers des produits de sécurité pour lesquels un processus de qualification est en cours. 5.4Exploitation des résultats En vue de constituer le référentiel des exigences techniques de sécurité, la DCSSI et les éventuels intervenants extérieurs mandatés pour ce type de tâche s appuieront sur la documentation publique issue des résultats des processus de qualification. Par ailleurs, les développeurs seront sollicités pour participer à l élaboration des exigences techniques concernant leur(s) produit(s) qualifié(s) / en cours de qualification. Version
Rapport de certification PP/0308. Profil de protection «Cryptographic Module for CSP Signing Operations with Backup» Version 0.28
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Profil de protection «Cryptographic Module for CSP Signing Operations with Backup»
Plus en détailTOTAL STREAM PROTECTION IS THE KEY. Les critères communs et la certification. Christian Damour christian.damour@aql.fr. Yann Berson yann@webwasher.
TOTAL STREAM PROTECTION IS THE KEY Les critères communs et la certification Christian Damour christian.damour@aql.fr Yann Berson yann@webwasher.com Agenda Historique des critères communs Que sont les critères
Plus en détailRapport de certification DCSSI-2008/38. ExaProtect Security Management Solution (SMS)
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information ExaProtect Security Management Solution (SMS) Paris, le 27 novembre 2008 Le Directeur
Plus en détailRapport de certification ANSSI-CC-2010/15. OmniPCX Enterprise Solution : logiciels OmniPCX Enterprise (release 9.0) et OmniVista 4760 (release 5.
PREMIER MINISTRE Secrétariat général de la défense nationale Agence nationale de la sécurité des systèmes d information OmniPCX Enterprise Solution : logiciels OmniPCX Enterprise (release 9.0) et OmniVista
Plus en détailINTRODUCTION A LA CERTIFICATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION. Natalya Robert 23 janvier 2015 - UPMC
INTRODUCTION A LA CERTIFICATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION Natalya Robert 23 janvier 2015 - UPMC L ANSSI Qu est ce que c est? 2 L ANSSI Agence Nationale de la Sécurité des Systèmes
Plus en détailRapport de certification ANSSI-CC-2011/48. Logiciel FAST360, version 5.0/22
PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2011/48 Logiciel FAST360, version
Plus en détailRapport de certification 2007/05
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Rapport de certification 2007/05 Carte bancaire GemCB DDA : composant SLE66CX162PE
Plus en détailRapport de certification PP/0002
PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de
Plus en détailRapport de certification ANSSI-CC-2013/17. Suite logicielle IPS-Firewall pour boîtiers NETASQ, version 8.1.7.1
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2013/17 Suite logicielle
Plus en détailRapport de certification ANSSI-CC-2012/47. EJBCA, version 5.0.4
PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2012/47 EJBCA, version 5.0.4
Plus en détailRapport de certification PP/0101
PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de
Plus en détailRapport de certification DCSSI-2009/16. Logiciel OpenTrust PKI version 4.3.4
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information version 4.3.4 Paris, le 7 juillet 2009 Le Directeur central de la sécurité des
Plus en détailRapport de certification DCSSI-PP 2008/01 du profil de protection «Pare-feu personnel» (ref : PP-PFP, version 1.7)
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Rapport de certification DCSSI-PP 2008/01 du profil de protection (ref : PP-PFP,
Plus en détailÉvaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information
Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information Organisme de certification Comité directeur de la certification des T.I.
Plus en détailRapport de certification ANSSI-CC-2014/26. SOMA801STM - application EAC, version 1.0
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/26 SOMA801STM - application
Plus en détailRapport de certification ANSSI-CC-2015/07. Xaica-AlphaPLUS Version 0116 (PQV) / 0100 (SPI-001 03)
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2015/07 Xaica-AlphaPLUS
Plus en détailPolitique de Référencement Intersectorielle de Sécurité (PRIS)
PREMIER MINISTRE ADAE PREMIER MINISTRE SGDN - DCSSI =========== Politique de Référencement Intersectorielle de Sécurité (PRIS) Service de confiance "Authentification" =========== VERSION 2.0 1.2.250.1.137.2.2.1.2.1.5
Plus en détailCible de sécurité Critères Communs Niveau EAL4+ Méthode et Solution Informatique S.A.
Security BO Suite Cible de sécurité Critères Communs Niveau EAL4+ Security BO Crypto 6.0 Version 2.6 du 09/01/2004 Méthode et Solution Informatique S.A. 7, rue Jean Mermoz - 78000 Versailles - France www.securitybox.net
Plus en détailRapport de certification ANSSI-CC-2013/64
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2013/64 Carte à puce SLJ
Plus en détailRapport de certification ANSSI-CC-PP-2010/07 du profil de protection «Java Card System Closed Configuration» (PP-JCS-Closed-v2.
PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d'information Rapport de certification ANSSI-CC-PP-2010/07 du profil de protection
Plus en détailPASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur
Plus en détailPolitique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ
PC Gestion des certificats émis par l AC Notaires Format RFC 3647 Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PC Notaires Référence du
Plus en détailRapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités
Plus en détailRapport de certification 2002/08
PREMIER MINISTRE Secrétariat général de la Défense nationale Direction centrale de la sécurité des systèmes d information Schéma Français d Évaluation et de Certification de la Sécurité des Technologies
Plus en détailRapport de certification
Rapport de certification Évaluation EAL 4 du système Check VPN- 1/FireWall-1 Next Generation Feature Pack 1 Préparée par : Le Centre de la sécurité des télécommunications à titre d organisme de certification
Plus en détailRapport de certification ANSSI-CC-2014/94
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/94 Microcontrôleur
Plus en détailMEMENTO Version 0.94 25.08.04
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction des opérations Bureau conseil Signature électronique Point de situation
Plus en détailCIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)
CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document
Plus en détailRÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ
Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ version 2.0 2
Plus en détailNOGENT PERCHE HABITAT Office Public de l Habitat
NOGENT PERCHE HABITAT Office Public de l Habitat B. P. 10021 14, Rue du Champ-Bossu 28402 NOGENT-le-ROTROU Cedex Tél : 02.37.52.15.28 Télécopie : 02.37.52.85.50 Courriel : oph.direction@nogent-perche-habitat.fr
Plus en détailRapport de certification
Rapport de certification Évaluation EAL 2 + du produit Data Loss Prevention Version 11.1.1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans
Plus en détailCybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007
QUELLE PLACE POUR UN FRAMEWORK CLOUD SÉCURISÉ? Cybersecurite Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007 Fondateurs Jean-Nicolas Piotrowski
Plus en détailProfil de Protection Application de chiffrement de données à la volée sur mémoire de masse
Direction centrale de la sécurité des systèmes d information Profil de Protection Application de chiffrement de données à la volée sur mémoire de masse Date d émission : Août 2008 Référence : Version :
Plus en détailCatalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4
Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à
Plus en détailVIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ
VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1
Plus en détailTERMES DE REFERENCE POUR PRESTATAIRE INDIVIDUEL ET CONSULTANT
TERMES DE REFERENCE POUR PRESTATAIRE INDIVIDUEL ET CONSULTANT Titre: Consultance pour l élaboration de la Base de données communautaires pour la santé et formation des administrateurs/formateurs Type de
Plus en détailRapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2010/07 KeePass Version
Plus en détailITIL V3. Objectifs et principes-clés de la conception des services
ITIL V3 Objectifs et principes-clés de la conception des services Création : janvier 2008 Mise à jour : juillet 2011 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a
Plus en détailRéférentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences
Premier ministre Agence nationale de la sécurité des systèmes d information Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences
Plus en détailPlan de la présentation :
PARTENARIAT Mandataire IOB Plan de la présentation : 1. Présentation 2. Cadre Légal 3. Indicateur d Affaires 4. Contact Mandataire IOB (immatriculation ORIAS en Catégorie 4 ) 2 Présentation de 3 , courtier
Plus en détailRecours aux entreprises extérieures
RECOMMANDATION R429 Recommandations adoptées par le Comité technique national de la chimie, du caoutchouc et de la plasturgie le 21 novembre 2006. Cette recommandation annule et remplace la recommandation
Plus en détailRapport de certification
Rapport de certification Évaluation EAL 2+ du produit de Préparé par : Le Centre de la sécurité des télécommunications, à titre d organisme de certification dans le cadre du Schéma canadien d évaluation
Plus en détailAgrément des hébergeurs de données de santé. 1 Questions fréquentes
Agrément des hébergeurs de données de santé 1 Questions fréquentes QUELS DROITS POUR LES PERSONNES CONCERNEES PAR LES DONNEES DE SANTE HEBERGEES? La loi précise que l'hébergement de données de santé à
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailEvaluation, Certification Axes de R&D en protection
2009 Evaluation, Certification Axes de R&D en protection Dr CEA/LETI Alain.merle@cea.fr 1 Evaluation, Certification, Axes de R&D en protection Evaluation / Certification Le Schéma Français de Certification
Plus en détailLoi sur les contrats des organismes publics (2006, c. 29, a. 26)
POLITIQUE DE GESTION CONTRACTUELLE CONCERNANT LA CONCLUSION DES CONTRATS D APPROVISIONNEMENT, DE SERVICES ET DE TRAVAUX DE CONSTRUCTION DES ORGANISMES PUBLICS Loi sur les contrats des organismes publics
Plus en détailPartie 1 : Introduction
Objectifs de la formation L'intérêt des organisations informatiques pour les meilleures pratiques ITIL est maintenant prouvé au niveau mondial. Outre l'accent mis sur l'alignement de l'informatique sur
Plus en détailCATALOGUE DE FORMATIONS 2014 2015
CATALOGUE DE FORMATIONS 2014 2015 Professionnels de l alimentation 06.47.75.88.57 HQSA Consulting contact@hqsafrance.fr Numéro de déclaration de prestataire de formation : SIRET SIRET : 804 : 284 284 420
Plus en détailREGLEMENT DE LA CONSULTATION ((RC) n de marché 14 000 11. Date : Novembre 2014
ETABLISSEMENT PUBLIC DU MUSEE NATIONAL DE LA MARINE 16 place du Trocadero 75 116 Paris France R.C. page 1/8 REGLEMENT DE LA CONSULTATION ((RC) n de marché 14 000 11 Date : Novembre 2014 Maître de l ouvrage
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailRapport de certification
Rapport de certification Évaluation EAL 3 + du produit Symantec Risk Automation Suite 4.0.5 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans
Plus en détailCAHIER DES CHARGES DE LA FORMATION OUVERTURE D ACTION. Certificat de Qualification Professionnelle des Services de l Automobile
CAHIER DES CHARGES DE LA FORMATION OUVERTURE D ACTION Certificat de Qualification Professionnelle des Services de l Automobile A.N.F.A. Département Ingénierie et Compétences Mars 2013 SOMMAIRE INFORMATIONS
Plus en détailCOMMUNIQUER EN CONFIANCE
COMMUNIQUER EN CONFIANCE TheGreenBow est un éditeur français de logiciels spécialisés dans la sécurité des communications. Basé au cœur de Paris depuis 1998, TheGreenBow a développé un savoir-faire unique
Plus en détailActuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Plus en détailITIL V3. Exploitation des services : Les fonctions
ITIL V3 Exploitation des services : Les fonctions Création : juin 2013 Mise à jour : juin 2013 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé en se basant
Plus en détailCONTRAT DE MAINTENANCE INTERcom
CONTRAT DE MAINTENANCE INTERcom Pour un crédit de.points. ENTRE LES SOUSSIGNES SERVICES soft Eurl Dont le Siège social est : 1 er Groupe, Bt B Place du 1 er Mai Alger Ci après dénommer «LE PRESTATAIRE»
Plus en détailOBJET : Mise en œuvre du décret n 2004-1144 du 26 octobre 2004 relatif à l'exécution des marchés publics par carte d'achat.
Secrétariat général DIRECTION DE L'EVALUATION DE LA PERFORMANCE, ET DES AFFAIRES FINANCIERES ET IMMOBILIERES SOUS-DIRECTION DES AFFAIRES IMMOBILIERES SLAC/N AFFAIRE SUIVIE PAR : Pierre AZZOPARDI Tél :
Plus en détailQUESTIONNAIRE Responsabilité Civile
QUESTIONNAIRE Responsabilité Civile RESPONSABILITE CIVILE PROFESSIONNELLE DE LA SECURITE : ACTIVITES DE SURVEILLANCE ET DE GARDIENNAGE (activités régies par le livre VI du Code de la sécurité intérieure)
Plus en détailCharte d audit du groupe Dexia
Janvier 2013 Charte d audit du groupe Dexia La présente charte énonce les principes fondamentaux qui gouvernent la fonction d Audit interne dans le groupe Dexia en décrivant ses missions, sa place dans
Plus en détailCatalogue de services standard Référence : CAT-SERVICES-2010-A
Catalogue de services standard Référence : CAT-SERVICES-2010-A Dans ce catalogue, le terme Client désigne l entité légale intéressée à l achat de services délivrés par ITE- AUDIT, que cet achat soit un
Plus en détailRapport de certification
Rapport de certification BMC Real End User Experience Monitoring and Analytics 2.5 Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma
Plus en détailGUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE
Actualisation Mai 2012 Direction de l'evaluation des Dispositifs Médicaux Département Surveillance du Marché GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE
Plus en détailAPPEL A CANDIDATURE Marché en entreprise générale TCE.
NOISY LE SEC HABITAT 7 RUE SAINT JUST 93 130 NOISY LE SEC PROJET DE REHABILITATION ET DE RESIDENTIALISATION DU SITE DE «LA RENARDIERE» 60 rue de la Dhuys 93130 NOISY LE SEC -------- -------- APPEL A CANDIDATURE
Plus en détailACQUISITION DE DEUX VEHICULES
ACQUISITION DE DEUX VEHICULES EN REMPLACEMENT D UNE CLIO III ET D UNE 206 + (sans reprise) MARCHE A PROCEDURE ADAPTEE (ARTICLE 28 DU CODE DES MARCHES PUBLICS) CAHIER DES CLAUSES ADMINISTRATIVES PARTICULIERES
Plus en détailLA SIGNATURE ELECTRONIQUE
LA SIGNATURE ELECTRONIQUE Date de publication : 14/11/2008 Les échanges par voie électronique ne cessent de croître. Or, leur caractère entièrement dématérialisé fait naître de nouveaux enjeux juridiques.
Plus en détailLa Validation des Acquis de l Expérience. avec l IFPASS. www.ifpass.fr
La Validation des Acquis de l Expérience avec l IFPASS www.ifpass.fr Le Pôle Orientation et VAE de l IFPASS Le Pôle Orientation et VAE de l IFPASS est au service des professionnels de l assurance, qu ils
Plus en détailRapport de certification
Rapport de certification Évaluation EAL 2+ du produit Symantec Endpoint Protection Version 12.1.2 Préparé par : Centre de la sécurité des télécommunications Canada Organisme de certification Schéma canadien
Plus en détailACCORD DU 15 DÉCEMBRE 2011
MINISTÈRE DU TRAVAIL, DE L EMPLOI, DE LA FORMATION PROFESSIONNELLE ET DU DIALOGUE SOCIAL CONVENTIONS COLLECTIVES Brochure n 3364 Convention collective nationale RÉGIME SOCIAL DES INDÉPENDANTS IDCC : 2796.
Plus en détailARKOON FAST360/5.0. Cible de sécurité Critères Communs Niveau EAL3+ Reference : ST_ARKOON_FAST360_50 Version 2.6 Date : 14/09/2011
ARKOON FAST360/5.0 Cible de sécurité Critères Communs Niveau EAL3+ Reference : ST_ARKOON_FAST360_50 Version 2.6 Date : 14/09/2011 ARKOON Network Security 1, place Verrazzano - 69009 Lyon France Page 1
Plus en détailREGLEMENT INTERIEUR TITRE I : DISPOSITIONS GENERALES
RÉPUBLIQUE DU BÉNIN COUR CONSTITUTIONNELLE REGLEMENT INTERIEUR TITRE I : DISPOSITIONS GENERALES Article 1 er : Le présent Règlement Intérieur est pris en application des dispositions de la Loi n 90-032
Plus en détailCAHIER DES CLAUSES TECHNIQUES PARTICULIÈRES (CCTP) MISE EN PLACE ET MAINTENANCE D UN MOTEUR DE RECHERCHE
PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DU GOUVERNEMENT CAHIER DES CLAUSES TECHNIQUES PARTICULIÈRES (CCTP) MISE EN PLACE ET MAINTENANCE D UN MOTEUR DE RECHERCHE SUR LES SITES INTERNET GÉRÉS PAR LA DOCUMENTATION
Plus en détailYphise optimise en Coût Valeur Risque l informatique d entreprise
Réussir le Service Management avec ISO 20000-1 Novembre 2007 Xavier Flez yphise@yphise.com Propriété Yphise 1 Introduction (1/2) Il existe une norme internationale sur le Service Management en plus d ITIL
Plus en détailREGLEMENT DE CONSULTATION
CENTRE HOSPITALIER PAUL MARTINAIS 1, rue du Docteur Paul Martinais 37600 LOCHES 02 47 91 33 33 02 47 91 32 00 REGLEMENT DE CONSULTATION MISE EN CONCURRENCE RELATIVE AU : PROJET DE VIRTUALISATION DES SERVEURS
Plus en détailA N N E X E 1. Introduction : référentiel d activités professionnelles page 7. Référentiel de certification page 21
A N N E X E 1 Introduction : référentiel d activités professionnelles page 7 Référentiel de certification page 21 - Compétences professionnelles page 21 - Connaissances associées page 55 - Unités constitutives
Plus en détailCERTIFICATION CERTIPHYTO
CONDITIONS GENERALES DE CERTIFICATION MONOSITE Indice 2 Page 1/12 «Distribution de produits phytopharmaceutiques, Application en prestation de service de produits phytopharmaceutiques, Conseil à l utilisation
Plus en détailIll. Commentaire des articles p. S IV. Fiche financiere p.s v. Fiche d' impact p. 6
LE GOUVERNEMENT DU GRAND- DUCHE DE LUXEMBOURG Ministere de I'Economie Projet de reglement grand-ducal fixant le programme et Ia dun~e de Ia formation professionnelle speciale portant sur Ia recherche et
Plus en détailRapport de certification
Rapport de certification Évaluation EAL 2 + du produit EMC RecoverPoint version 3.4 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre
Plus en détailMV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala
MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte
Plus en détailITIL Mise en oeuvre de la démarche ITIL en entreprise
Introduction 1. Préambule 21 2. Approfondir ITIL V3 22 2.1 Introduction 22 2.2 La cartographie 23 2.2.1 La cartographie de la démarche ITIL V3 23 2.2.2 La cartographie des processus dans les phases du
Plus en détailSECURITE DES SYSTEMES D INFORMATION COURS 2 ème partie Sûreté ou sécurité? Sécurité : ensemble des éléments permettant d établir la confiance dans un système, un environnement, etc. (se sentir en sécurité)
Plus en détailLIVRET SERVICE. Portail Déclaratif Etafi.fr
LIVRET SERVICE Portail Déclaratif Etafi.fr LS-YC Portail Déclaratif Etafi.fr-11/2013 ARTICLE 1 : PREAMBULE LIVRET SERVICE PORTAIL DECLARATIF ETAFI.FR Les télé-procédures de transfert de données fiscales
Plus en détailPremier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information
Premier ministre Agence nationale de la sécurité des systèmes d information Prestataires d audit de la sécurité des systèmes d information Référentiel d exigences Version 2.0 du 14 février 2013 HISTORIQUE
Plus en détailITIL Gestion de la capacité
ITIL Sommaire 1 GENERALITES 3 2 PERIMETRE DE LA GESTION DES CAPACITES 3 3 ACTIVITES ET LIVRABLES DE LA GESTION DES CAPACITES 4 3.1 ACTIVITES ITERATIVES OU GESTION DE PERFORMANCES : 4 3.2 GESTION DE LA
Plus en détailLES NOUVELLES CONTRAINTES EN MATIERE DE MARCHES PUBLICS
LES NOUVELLES CONTRAINTES EN MATIERE DE MARCHES PUBLICS I - PREAMBULE Jusqu à présent, la majorité des achats d équipements effectués par les services échappaient à la réglementation relative aux marchés
Plus en détailMaîtrise des Fournisseurs. La CAEAR. Commission d Acceptation des Entreprises en Assainissement Radioactif
Maîtrise des Fournisseurs La CAEAR Commission d Acceptation des Entreprises en Assainissement Radioactif 1 La CAEAR : Définition Commission interne au CEA, Elle a pour mission la présélection des entreprises
Plus en détailRéglementation. Import/Export CHAPITRE 6
CHAPITRE 6 Réglementation Import/Export Dans ce chapitre: Rubriques / pages Prescriptions du Traité/ 187 Mesures Législatives et Administratives / 191 Conformité / 194 Diffusion / 196 Programme d Assistance
Plus en détailTERMES DE REFERENCE POUR LE COORDONNATEUR DE LA PLATEFORME DE DIALOGUE DU SECTEUR DES TRANSPORTS
TERMES DE REFERENCE POUR LE COORDONNATEUR DE LA PLATEFORME DE DIALOGUE DU SECTEUR DES TRANSPORTS 1. INFORMATIONS GÉNÉRALES... 1 1.1. Pays bénéficiaire... 1 1.2. Autorité contractante... 1 2. CONTEXTE...
Plus en détailBREVET DE TECHNICIEN SUPERIEUR
DIRECTION GENERALE DE L ENSEIGNEMENT SUPERIEUR BREVET DE TECHNICIEN SUPERIEUR «Services et prestations des secteurs sanitaire et social» Septembre 2007 Arrêté portant définition et fixant les conditions
Plus en détailMARCHES PUBLICS DE FOURNITURES COURANTES ET SERVICES. VILLE DE CAUDEBEC EN CAUX Avenue Winston Churchill 76490 CAUDEBEC EN CAUX
MARCHES PUBLICS DE FOURNITURES COURANTES ET SERVICES REGLEMENT DE LA CONSULTATION 1- Objet de la consultation 1-1- Objet du marché 1-2- Etendue de la consultation 2- Conditions de la consultation 2-1-
Plus en détailRéférentiel Général de Sécurité
Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel
Plus en détailITIL V2. Historique et présentation générale
ITIL V2 Historique et présentation générale Création : novembre 2004 Mise à jour : août 2009 A propos du document Ce document de référence sur le référentiel ITIL a été réalisé en 2004 et la traduction
Plus en détailEn outre 2 PDD sont impliqués dans le développement de politiques locales destinées à favoriser l'insertion des personnes handicapées.
PHOES Version : 2.0 - ACT id : 3813 - Round: 2 Raisons et Objectifs Programme de travail et méthodologie Dispositions financières Dispositions organisationnelles et mécanismes décisionnels Procédures de
Plus en détailMise en œuvre de la radioprotection dans les entreprises: Certification d'entreprise et formation du personnel.
Mise en œuvre de la radioprotection dans les entreprises: Certification d'entreprise et formation du personnel. Alain BONTEMPS, Directeur du CEFRI -NOMBRE DE TRAVAILLEURS EXPOSES (Nucléaire): Total: 60
Plus en détailTERMES DE REFERENCE POUR PRESTATAIRE INDIVIDUEL ET CONSULTANT
TERMES DE REFERENCE POUR PRESTATAIRE INDIVIDUEL ET CONSULTANT Titre: Consultance pour l élaboration d un système d information informatisé : système de suivi, de mesure et d évaluation des données sur
Plus en détailPourquoi la responsabilité sociétale est-elle importante?
Découvrir ISO 26000 La présente brochure permet de comprendre les grandes lignes de la Norme internationale d application volontaire, ISO 26000:2010, Lignes directrices relatives à la responsabilité. Elle
Plus en détailExploitation maintenance
Exploitation maintenance L exigence du service Air Climat en quelques mots Air Climat est un groupe indépendant, qui privilégie des valeurs essentielles : compétences des hommes, innovation et maîtrise
Plus en détailFICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)
Pack de conformité - Assurance 14 FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56) LES TRAITEMENTS DE DONNÉES PERSONNELLES AU REGARD DE LA LOI I&L Finalités
Plus en détailCode de déontologie de la profession de commissaire aux comptes (Annexe 8-1 du Livre VIII du Code de commerce, partie réglementaire)
Article 1 er Article 2 Code de déontologie de la profession de commissaire aux comptes (Annexe 8-1 du Livre VIII du Code de commerce, partie réglementaire) PLAN TITRE Ier - PRINCIPES FONDAMENTAUX DE COMPORTEMENT
Plus en détailMECANISME DE CAPACITE Guide pratique
MECANISME DE CAPACITE Guide pratique SOMMAIRE 1 Principes... 4 2 Les acteurs du mécanisme... 5 2.1 Les acteurs obligés... 5 2.2 Les exploitants de capacité... 5 2.3 Le Responsable de périmètre de certification...
Plus en détailMontrer que la gestion des risques en sécurité de l information est liée au métier
Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme
Plus en détail