Directive de sécurité relative aux fournisseurs offrant des services d hébergement de données aux notaires

Dimension: px
Commencer à balayer dès la page:

Download "Directive de sécurité relative aux fournisseurs offrant des services d hébergement de données aux notaires"

Transcription

1 Directive de sécurité relative aux fournisseurs offrant des services d hébergement de données aux notaires Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé le : 3 juin 2010 Mis à jour le : 18 juin 2010 Par :

2 Table des matières 1. DOMAINE D APPLICATION TERMES ET DÉFINITIONS STRUCTURE DE LA PRÉSENTE DIRECTIVE DESCRIPTION DES PRINCIPALES RUBRIQUES POLITIQUE DE SÉCURITÉ POLITIQUE DE SÉCURITÉ DE L INFORMATION ORGANISATION DE LA SÉCURITÉ DE L INFORMATION ORGANISATION INTERNE TIERS GESTION DES BIENS RESPONSABILITÉS RELATIVES AUX BIENS CLASSIFICATION DES INFORMATIONS SÉCURITÉ LIÉE AUX RESSOURCES HUMAINES AVANT LE RECRUTEMENT PENDANT LA DURÉE DU CONTRAT FIN OU MODIFICATION DE CONTRAT SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE ZONES SÉCURISÉES SÉCURITÉ DU MATÉRIEL GESTION DE L EXPLOITATION ET DES TÉLÉCOMMUNICATIONS PROCÉDURES ET RESPONSABILITÉS LIÉES À L EXPLOITATION GESTION DE LA PRESTATION DE SERVICE PAR UN TIERS PLANIFICATION ET ACCEPTATION DU SYSTÈME PROTECTION CONTRE LES CODES MALVEILLANT ET MOBILE SAUVEGARDE GESTION DE LA SÉCURITÉ DES RÉSEAUX MANIPULATION DES SUPPORTS ÉCHANGE DES INFORMATIONS SERVICE DE COMMERCE ÉLECTRONIQUE SURVEILLANCE CONTRÔLE D ACCÈS EXIGENCES MÉTIER RELATIVES AU CONTRÔLE D ACCÈS GESTION DE L ACCÈS UTILISATEUR RESPONSABILITÉS UTILISATEURS CONTRÔLE D ACCÈS AU RÉSEAU CONTRÔLE D ACCÈS AU SYSTÈME D EXPLOITATION CONTRÔLE D ACCÈS AUX APPLICATIONS ET À L INFORMATION INFORMATIQUE MOBILE ET TÉLÉTRAVAIL DÉVELOPPEMENT ET MAINTENANCE DES SYSTÈMES EXIGENCES DE SÉCURITÉ APPLICABLES AUX SYSTÈMES D INFORMATION BON FONCTIONNEMENT DES APPLICATIONS MESURES CRYPTOGRAPHIQUES SÉCURITÉ DES FICHIERS SYSTÈME SÉCURITÉ EN MATIÈRE DE DÉVELOPPEMENT ET D ASSISTANCE TECHNIQUE GESTION DES VULNÉRABILITÉS TECHNIQUES GESTION DES INCIDENTS LIÉS À LA SÉCURITÉ DE L INFORMATION SIGNALEMENT DES ÉVÉNEMENTS ET DES FAILLES LIÉS À LA SÉCURITÉ DE L INFORMATION GESTION DES AMÉLIORATIONS ET INCIDENTS LIÉS À LA SÉCURITÉ DE L INFORMATION GESTION DU PLAN DE CONTINUITÉ DE L ACTIVITÉ... 13

3 14.1 ASPECTS DE LA SÉCURITÉ DE L INFORMATION EN MATIÈRE DE GESTION DE LA CONTINUITÉ DE L ACTIVITÉ CONFORMITÉ CONFORMITÉ AVEC LES EXIGENCES LÉGALES CONFORMITÉ AVEC LES POLITIQUES ET NORMES DE SÉCURITÉ ET CONFORMITÉ TECHNIQUES PRISES EN COMPTE DE L AUDIT DU SYSTÈME D INFORMATION... 13

4 1. Domaine d application La présente Directive établit des lignes directrices et des principes généraux pour préparer, mettre en œuvre, entretenir et améliorer la gestion de la sécurité de l information. Les objectifs présentés dans la présente Directive fournissent une orientation générale sur ce qui est communément acceptés dans la gestion de la sécurité de l information. Les objectifs et mesures sont destinés à être mis en œuvre pour répondre aux exigences identifiées. La présente Directive représente une base commune et donne des lignes directrices pratiques pour élaborer les référentiels de sécurité, mettre en œuvre les pratiques efficaces de la gestion de la sécurité et développer un environnement de confiance dans les activités des fournisseurs. 2. Termes et définitions Pour les besoins du présent document, les termes et définitions de la norme ISO27002:2005 s appliquent. Actif informationnel Les actifs informationnels visés par la présente Directive comprennent toutes les informations, les liens de communication internes, les sites d hébergement et les équipements relatifs à l exploitation du service offert aux notaires. Données hébergées Le notaire transfert éventuellement des documents, des listes et d autres informations qui seront entreposés chez l hébergeur. Ces données sont confidentielles et appartiennent au notaire, ci après nommé «client». Hébergeur Fournisseur offrant des services d hébergement de données. Incident lié à la sécurité de l information Un incident lié à la sécurité de l information découle d un ou plusieurs événement(s) indésirable(s) ou inattendu(s) présentant une probabilité forte de compromettre les opérations liées à l activité de l hébergeur et de menacer la sécurité de l information de ses clients. Information sensible Une information sensible est une information ou une connaissance qui, si elle est révélée à des personnes mal intentionnées ou non autorisées, peut entrainer la perte d'un avantage ou une dégradation du niveau de sécurité. La perte, l'utilisation à mauvais escient, la modification ou l'accès non autorisé à une information sensible peut affecter défavorablement la vie privée d'un individu ou un échange commercial. 3. Structure de la présente Directive La présente Directive contient 11 articles relatifs aux mesures de sécurité. L ordre de classement des articles n est aucunement lié à leur importance mais à la norme internationale ISO27001: Description des principales rubriques Chaque rubrique principale comprend un objectif de sécurité identifiant le but à atteindre et la mise en application préconisée en vue d atteindre l objectif de sécurité. 5. Politique de sécurité 5.1 Politique de sécurité de l information «Apporter à la sécurité de l information une orientation et un soutien de la part de la direction, conformément aux exigences métier et aux lois et règlements en vigueur.» L hébergeur doit avoir une politique de sécurité de l information approuvée et endossée par la direction de son entreprise. Cette politique doit être communiquée, publiée et endossée par les employés de l hébergeur.

5 La politique de sécurité de l hébergeur doit faire partie de sa politique générale et doit être revue périodiquement avec tous les documents auxquels elle fait référence afin de s assurer qu elle soit à jour et alignée aux objectifs et stratégies de l hébergeur. Le document de politique de sécurité de l information doit inclure : Une définition de la sécurité de l information, ses objectifs et sa portée. Une liste des contrôles et des objectifs qu ils sous tendent. Une brève description des grands principes, des standards et des exigences de conformité en rapport avec les points suivants : Un engagement à se conformer aux différentes lois, règlements et/ou directives en vigueur; Un programme d éducation et de sensibilisation; Une description de continuité des affaires; Une définition générale et spécifique des rôles et responsabilités en rapport avec la sécurité de l information; La référence à toute documentation qui supporte la politique; La responsabilité des adhérents, conséquences aux manquements et sanctions applicables. Référence : ISO27001:2005 A 5.1.1, A Organisation de la sécurité de l information 6.1 Organisation interne «Gérer la sécurité de l information au sein de l organisme.» L hébergeur doit utiliser une entente de confidentialité et de non divulgation, laquelle doit refléter ses besoins et ceux de ses clients en matière de protection de l information. Cette entente doit être revue périodiquement et doit adresser les points suivants : Une définition de l information à protéger. La durée de l entente. Les conséquences aux manquements et sanctions applicables à une divulgation non autorisée de l information. Les droits et limites d utilisation relative à l information. Le processus général pour la notification d un manquement à l entente de confidentialité ou tout autre incident majeur, entre autres : Panne ou mauvais fonctionnement de réseaux ou équipement; Mauvais fonctionnement des systèmes; Erreur humaine; Non conformité avec une politique ou directive; Incident de sécurité. Les termes et conditions pour le transfert ou la destruction de l information à la fin de l entente contractuelle. La conformité aux différentes lois et aux règles régissant la profession notariale ainsi que le respect des droits des personnes concernées par les données hébergées. Référence : ISO27001:2005 A 6.1.3, A Tiers «Assurer la sécurité de l information et des moyens de traitement de l information appartenant à l organisme et consultés, opérés, communiqués ou gérés par des tiers.» La présente Directive s applique aux tiers concernés et ils doivent s y conformer Par conséquent, l hébergeur doit signer une entente à cet effet avec la tierce partie. Cette entente doit contenir une clause de confidentialité et de non divulgation contenant les éléments mentionnés à la

6 section 6.1, ainsi qu un sommaire des rôles et responsabilités des employés affectés à la sécurité de l information. L hébergeur est le seul et unique responsable de la sécurité de l information, par conséquent, ce dernier endosse toutes les actions des tierces parties avec lesquelles il pourrait contracter. Référence : ISO27001:2005 A Gestion des biens 7.1 Responsabilités relatives aux biens «Mettre en place et maintenir une protection appropriée des biens de l organisme.» Afin de maintenir la protection des actifs informationnels relatifs à la Directive, chaque actif doit être répertorié et assigné à un propriétaire qui aura la responsabilité de maintenir les contrôles appropriés afin d en assurer sa protection. Les actifs informationnels doivent être utilisés, distribués, protégés et/ou détruits en respect avec la présente Directive ainsi que les politiques applicables de l hébergeur. Référence : ISO27001:2005 A 7.1.1, A 7.1.2, A Classification des informations «L hébergeur convient de garantir un niveau de protection approprié aux informations.» Afin de s assurer que l information soit protégée adéquatement, cette dernière doit être classifiée en termes de confidentialité, d intégrité et/ou de disponibilité. Un système de classification doit être mis en place et les données hébergées doivent être classifiées selon le plus haut niveau dans l échelle. Exemple : Niveau de classification Informations Confidentiel Interne Public Données hébergées Documentation des systèmes et contrats d embauche. Site web corporatif L hébergeur doit individualiser l activité d hébergement (par étude et par notaire) afin de faciliter la recherche, la récupération de toutes les données hébergées d un notaire ou aux fins de l inspection professionnelle. Référence : ISO27001:2005 A 7.2.1, A Sécurité liée aux ressources humaines 8.1 Avant le recrutement «Garantir que les salariés, contractants et utilisateurs tiers connaissent leurs responsabilités et qu ils conviennent pour les fonctions qui leur sont attribuées à réduire le risque de vol, de fraude ou de mauvais usage des équipements. Il convient de sélectionner avec soin tous les postulants, contractants et utilisateurs tiers, surtout lorsqu il s agit de tâches sensibles.» Les employés de l hébergeur, ou toutes autres personnes qu il autorise, impliqués dans les services offerts doivent subir une enquête de sécurité, incluant notamment une vérification des références ainsi que des antécédents judiciaires. Le contrat d embauche doit spécifier les règles de confidentialité et de non divulgation similaire à celles présentées à la section 6.1. Référence : ISO27001:2005 A 8.1.1, A

7 8.2 Pendant la durée du contrat 8.3 Fin ou modification de contrat «Veiller à ce que les salariés, contractants et utilisateurs tiers quittent un organisme ou changent de poste selon une procédure définie.» L hébergeur doit avoir une procédure formelle pour la restitution des biens, la modification ou la suppression des droits d accès aux moyens de traitement de l information lors de la fin ou de la modification du contrat d embauche d un de ses employés. Référence : ISO27001:2005 A 8.3.1, A 8.3.2, A Sécurité physique et environnementale 9.1 Zones sécurisées «Empêcher tout accès physique non autorisé, tout dommage ou intrusion dans les locaux et les informations de l organisme.» Les actifs informationnels doivent être protégés par des mesures de sécurité physique permettant le contrôle des accès aux employés autorisés seulement. Les exigences en matière de sécurité physique pour la salle d hébergement sont : Les murs doivent être renforcés allant du vrai plancher au vrai plafond; Les portes d accès ou de sortie d urgence doivent être pleines; Pour une salle d hébergement située à un niveau inférieur au troisième étage, les vitres extérieures devraient être obstruées par un grillage ou tout autre moyen dissuasif; Un système de contrôle d accès ou poste de garde avec vérification d identité doit être en place; Un registre des accès (nom, date, heure d entrée et de sortie) doit être en place; La salle d hébergement doit être pourvue d un système de surveillance ou, lorsque la surveillance n est pas possible, d un système de détection d intrusion actif en l absence d une personne autorisée; L accès à la salle d hébergement ne doit être possible qu à partir d une autre zone à accès contrôlé et non depuis une zone à accès public; La salle d hébergement doit être munie d un système automatique d extinction des incendies; Le personnel non autorisé doit être accompagné d un garde ou d un membre du personnel autorisé. Référence : ISO27001:2005 A 9.1.1, A 9.1.2, A 9.1.3, A Sécurité du matériel «Empêcher la perte, l endommagement, le vol ou la compromission des biens et l interruption des activités de l organisme.» Salle d hébergement Cabinets La salle d hébergement doit être dotée d une alimentation électrique d appoint conforme aux normes de protection contre les incendies; La climatisation de la salle d hébergement doit être suffisante aux besoins des équipements s y trouvant et conforme aux normes de protection contre les incendies; La température et l humidité doivent être contrôlées; Si l information n est pas chiffrée, le câblage réseau ne devrait pas passer dans une zone publique. Les cabinets contenant les serveurs servant à offrir le service doivent être verrouillés;

8 L accès aux cabinets doit être restreint au personnel autorisé seulement. Référence : ISO27001:2005 A 9.2.1, A 9.2.2, A

9 10. Gestion de l exploitation et des télécommunications 10.1 Procédures et responsabilités liées à l exploitation «Assurer l exploitation correcte et sécurisée des moyens de traitement de l information.» Tous les changements doivent être préalablement testés et approuvés avant d être portés sur l environnement de production. L information confidentielle ne doit pas être copiée dans les environnements de développement, de test et/ou de pré production, à moins que ces environnements respectent en tout point les mêmes standards de sécurité que l environnement de production. Référence : ISO27001:2005 A , A , A Gestion de la prestation de service par un tiers 10.3 Planification et acceptation du système 10.4 Protection contre les codes malveillant et mobile «Protéger l intégrité des logiciels et de l information.» Une suite de logiciels de sécurité contenant au minimum un logiciel antivirus et un antiespiogiciel doit être installée sur chaque poste de travail et chaque serveur. L hébergeur doit effectuer un balayage contre les vulnérabilités Web sur les services accessibles de l externe au minimum une fois par année ou à chaque révision majeure de l application. Référence : ISO27001:2005 A , A Sauvegarde «Maintenir l intégrité et la disponibilité des informations et des moyens de traitement de l information.» La sauvegarde des données doit être faite au minimum quotidiennement. Des tests de restauration concluants doivent être exécutés au minimum une fois par mois. Une copie de sauvegarde doit être entreposée à l extérieur des locaux de l hébergeur au moins une fois par semaine. Les archives et les sauvegardes, peu importe le support, doivent faire l objet d une procédure claire quant à leur identification et manipulation. Cette information est aussi importante et confidentielle et ne devrait être manipulée, détenue et/ou détruite que par le personnel ou les parties autorisées. L hébergeur doit assurer la pérennité des données hébergées : Assurer la pérennité des données pour une période d au moins 10 ans. Lorsque le contrat avec son client prend fin, l hébergeur doit lui remettre (ou à son représentant officiel), les données qui lui ont été confiées sans en garder de copie. L hébergeur doit détruire immédiatement sur ses équipements les données, sauf pour les copies de sauvegarde qui doivent être détruites après un cycle de sauvegarde ou un délai de 6 mois maximum, selon l événement qui se produit en premier. En cas de décès ou cessation d exercice du client, l hébergeur doit donner accès son représentant officiel (gardien provisoire ou une autre personne nommée officiellement par la Chambre). Référence : ISO27001:2005 A Gestion de la sécurité des réseaux «Assurer la protection des informations sur les réseaux et la protection de l infrastructure sur laquelle ils s appuient.»

10 Un coupe feu assure uniquement la communication nécessaire entre l Internet et le serveur d applications et entre le serveur d applications et le serveur de base de données. Un système de prévention des intrusions doit servir de complément de protection logique au coupe feu. Des messages «banner» doivent être en place sur tous les accès indiquant qu il s agit d un système privé à accès restreint pouvant être surveillé et/ ou enregistré. L architecture doit être en mode trois tiers. De plus, la base de données et le serveur d applications doivent être sur deux réseaux distincts. La communication entre les consoles de gestion et les serveurs doit être chiffrée. Si elle est initiée de l externe, la communication doit passer par un réseau privé virtuel (VPN). Les réseaux de développement et de test ne doivent pas être dans le même sous réseau IP («Internet Protocol») que les environnements de pré production et de production. Référence : ISO27001:2005 A , A Manipulation des supports «Empêcher la divulgation, la modification, le retrait ou la destruction non autorisé(e) de biens et l interruption des activités de l organisme.» Les médias, ou tout autre système ayant servi à offrir le service aux clients, contenant les données hébergées ne servant plus à fournir le service, doivent être détruits de façon sécuritaire : par destruction physique ou par écriture multiple avec confirmation d exécution afin d assurer que l information qui y est contenue n est utilisable à aucune autre fin. Référence : ISO27001:2005 A Échange des informations «Maintenir la sécurité des informations et des logiciels échangés au sein de l organisme et avec une entité extérieure.» L échange électronique d information confidentielle doit être sécurisé, que ce soit interne à l hébergeur, entre l hébergeur et une tierce partie, entre l hébergeur et le client ou entre l hébergeur et la Chambre. Dans le cas de médias contentant des données hébergées, l hébergeur doit s assurer du chiffrement de l information et d utiliser un transporteur offrant des garanties de sécurité et permettant une traçabilité des médias. Si une synchronisation ou sauvegarde de données est effectuée entre le serveur de base de données et un autre serveur, la communication doit être chiffrée si les données ne le sont pas. Référence : ISO27001:2005 A , A Service de commerce électronique «Assurer la sécurité des services de commerce électronique, tout comme leur utilisation sécurisée.» L hébergeur doit assurer la protection contre les accès non autorisés. C est à dire que les utilisateurs doivent entrer un nom d usager et mot de passe avant d être autorisés à voir ou modifier les données hébergées. Voir également la section Référence : ISO27001:2005 A , A Surveillance «Détecter les traitements non autorisés de l information.» La date et l heure des serveurs et équipements réseau doivent être synchronisées avec un serveur de temps. L hébergeur doit conserver les journaux d accès, d événements de sécurité et d activités sur les données pour une période d au moins 6 mois. Ils doivent être analysés régulièrement afin de détecter toute anomalie sur les équipements permettant d offrir le service.

11 Référence : ISO27001:2005 A , A , A , A , A Contrôle d accès 11.1 Exigences métier relatives au contrôle d accès 11.2 Gestion de l accès utilisateur «Maîtriser l accès utilisateur par le biais d autorisations et empêcher les accès non autorisés aux systèmes d information.» Une procédure d enregistrement et de révocation des droits d accès des clients et des administrateurs techniques doit être en place et revue annuellement. Cette procédure doit respecter les points suivants: Clients Administrateurs Un identifiant unique pour chaque utilisateur Maintenir à jour une liste des utilisateurs Seulement les privilèges nécessaires doivent être associés au compte de l utilisateur ou de l administrateur L accès aux serveurs et aux équipements réseau doit être contrôlé au minimum par un nom d utilisateur (identification) et un mot de passe (authentification). Les identifiants génériques ne devraient être utilisés que lorsqu il n existe aucune alternative Révoquer immédiatement les droits d utilisation d un administrateur lors d un départ ou d un incident de sécurité Une procédure de mot de passe doit être en place. Elle doit respecter les points suivants : Vérifier l identité de l utilisateur avant de lui donner un nouveau mot de passe, que ce soit temporaire ou pour un remplacement Clients Administrateurs Les mots de passe temporaires doivent être transmis suivant les meilleures pratiques Les mots de passe doivent respecter les meilleures pratiques au niveau de la complexité, de la fréquence de changement et l historique Éviter d utiliser un mot de dictionnaire ou un mot qui ressemble au nom de l organisation, du service, du logiciel, du système ou de l employé Ne pas afficher ou écrire le mot de passe sur un papier à la vue d autres personnes Ne pas permettre à un individu d ouvrir une session de travail sous l identifiant d un employé à moins d avoir été formellement autorisé par le supérieur de ce dernier Activer l écran de veille avec mot de passe imposé par l hébergeur qui permet de verrouiller le poste de travail ou le serveur lorsqu il est hors d usage pendant une période déterminée ou momentanément Aviser le représentant de l hébergeur de tout doute de compromission et changer immédiatement son mot de passe

12 En aucun cas utiliser le même mot de passe à plusieurs fins. Activer le verrouillage (temporaire ou permanent) des comptes après un nombre défini de tentatives infructueuses Référence : ISO27001:2005 A , A , A , A Responsabilités utilisateurs «Empêcher les accès utilisateurs non habilités et la compromission ou le vol d informations et de moyens de traitement de l information.» Les employés de l hébergeur doivent : Utiliser les systèmes en respect des règles et politiques en vigueur. Les informations appartenant aux clients ne doivent jamais être laissées sans surveillance si elles sont non chiffrées ou à l extérieur des équipements permettant d offrir le service. Voir également section Référence : ISO27001:2005 A , A Contrôle d accès au réseau «Empêcher les accès non autorisés aux services disponibles sur le réseau.» Les connexions à distance aux réseaux de production et de relève doivent être effectuées par VPN ou un canal sécurisé. Aucun accès sans fil non protégé ne doit être possible directement dans les environnements de production et de relève. Pour tout autre environnement, le chiffrement WPA2 est requis. Une authentification est requise pour se connecter sur les ports de diagnostics ou de configuration suivant les meilleures pratiques. Redondant avec la 1 ière phraseréférence : ISO27001:2005 A , A , A Contrôle d accès au système d exploitation «Empêcher les accès non autorisés aux systèmes d exploitation.» Voir section Référence : ISO27001:2005 A , A Contrôle d accès aux applications et à l information «Empêcher les accès non autorisés aux informations stockées dans les applications.» Les infrastructures permettant d offrir le service aux clients doivent être logiquement isolées de tous les autres services offerts. Référence : ISO27001:2005 A Informatique mobile et télétravail «Garantir la sécurité de l information lors de l utilisation d appareils informatiques mobiles et d équipements de télétravail.» Le chiffrement des données hébergées est requis sur tous les équipements mobiles. Référence : ISO27001:2005 A Développement et maintenance des systèmes 12.1 Exigences de sécurité applicables aux systèmes d information

13 12.2 Bon fonctionnement des applications «Empêcher toute erreur, perte, modification non autorisée ou tout mauvais usage des informations dans les applications.» Des validations des paramètres d entrée doivent être effectuées afin d éviter l injection de code (valeur hors limite, caractères spéciaux, requêtes SQL («Structured Query Language»), chaîne de caractères volumineuse, etc.). Voir également la section Référence : ISO27001:2005 A , A Mesures cryptographiques «Protéger la confidentialité, l authenticité ou l intégrité de l information par des moyens cryptographiques.» Tout accès du client à l application hébergée doit préalablement avoir été autorisé avec un nom d utilisateur et un mot de passe. Un tunnel chiffré doit être utilisé entre les systèmes informatiques du client et l hébergeur pour sécuriser les données en transit. Référence : ISO27001:2005 A Sécurité des fichiers système «Garantir la sécurité des fichiers système.» Tous les changements doivent être préalablement testés et approuvés avant d être portés sur l environnement de production. L information confidentielle ne doit pas être copiée dans les environnements de développement, de test et/ou de pré production, à moins que ces environnements respectent en tout point les mêmes standards de sécurité que l environnement de production. Référence : ISO27001:2005 A , A Sécurité en matière de développement et d assistance technique 12.6 Gestion des vulnérabilités techniques «Réduire les risques liés à l exploitation des vulnérabilités techniques ayant fait l objet d une publication.» Les systèmes et applications doivent être configurés afin d en assurer la sécurité. Uniquement les services ou modules nécessaires doivent être actifs. Les correctifs de sécurité, tant applicatifs que systèmes, doivent être testés et appliqués afin d assurer la sécurité générale de l infrastructure dans un délai raisonnable. Référence : ISO27001:2005 A Gestion des incidents liés à la sécurité de l information 13.1 Signalement des événements et des failles liés à la sécurité de l information «Garantir que le mode de notification des événements et failles liés à la sécurité de l information permette la mise en œuvre d une action corrective, dans les meilleurs délais.» Tout incident de sécurité relié à la sécurité de l information pouvant avoir un impact sur la confidentialité, l intégrité ou la disponibilité des informations ou du service offert aux clients, dois être rapporté à la Chambre, plus spécifiquement au secrétaire de l Ordre en utilisant le formulaire prévu à cet effet, notamment dans les cas suivants : Une perte ou un vol d informations en lien avec les clients, que cette menace se produise du côté du client ou de l hébergeur (si celui ci en est avisé)

14 Une panne prolongée des systèmes servant à offrir le service d hébergement de données Une compromission (piratage) des systèmes de l hébergeur. Référence : ISO27001:2005 A , A Gestion des améliorations et incidents liés à la sécurité de l information 14. Gestion du plan de continuité de l activité 14.1 Aspects de la sécurité de l information en matière de gestion de la continuité de l activité «Neutraliser les interruptions des activités de l organisme, protéger les processus métier cruciaux des effets causés par les principales défaillances des systèmes d information ou par des sinistres et garantir une reprise de ces processus dans les meilleurs délais.» Le processus de gestion de la continuité des affaires doit être implanté afin de minimiser les impacts d une perte d information à un niveau acceptable. Ces pertes d informations pourraient être causées, par exemple, par un désastre naturel, un accident, un bris d équipement ou du sabotage. Le processus de continuité des affaires doit inclure les points suivants: Identification des rôles et responsabilités. Identification des procédures : o Procédure d urgence; o Procédure de recouvrement; o Procédure de restauration; o Procédure opérationnelle temporaire; o Procédure de reprise des opérations normales. Identification d un niveau acceptable pour la perte d information ou la non disponibilité des services. Documentation et mise en place des procédures de recouvrement et de restauration des services ou des données. Inventaire des actifs informationnels (serveurs, logiciels, licences, etc.) Tests documentés et mise à jour du plan de continuité des affaires au moins une fois par année. Une copie du plan de continuité des affaires doit être conservée au site de relève et une autre au site de production. Le niveau de sécurité concernant l accès aux copies du plan de continuité des affaires doit être le même que celui pour l accès au plan original. En tout temps, les copies doivent être conformes au plan original. Le site de relève doit être situé à au moins 20 kilomètres du site de production. Référence : ISO27001:2005 A , A , A Conformité 15.1 Conformité avec les exigences légales 15.2 Conformité avec les politiques et normes de sécurité et conformité techniques 15.3 Prises en compte de l audit du système d information

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ PC Gestion des certificats émis par l AC Notaires Format RFC 3647 Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PC Notaires Référence du

Plus en détail

Connaître les Menaces d Insécurité du Système d Information

Connaître les Menaces d Insécurité du Système d Information Connaître les Menaces d Insécurité du Système d Information 1. LES MENACES EXTERIEURES VIA L INTERNET ET INFORMATIQUE LES PROGRAMMES MALVEILLANTS : VIRUS / MALWARES LES SPYWARES (LOGICIELS-ESPIONS) : LOGICIEL

Plus en détail

Politique de sécurité de l information

Politique de sécurité de l information 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des

Plus en détail

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences Premier ministre Agence nationale de la sécurité des systèmes d information Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Plus en détail

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste Direction de l Innovation et du Développement des E-services SERVICES ELECTRONIQUES DE CONFIANCE Service de Cachet Electronique de La Poste POLITIQUE DE VALIDATION DE SIGNATURE Version 1.0 Date version

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information Politique de sécurité de l information et des technologies Direction des systèmes et technologies de l information Adoptée par le conseil d administration le 17 février 2015 Responsable Document préparé

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

Cahier des Clauses Techniques Particulières

Cahier des Clauses Techniques Particulières MARCHES PUBLICS DE FOURNITURES COURANTES ET SERVICES AGENCE FRANCAISE DE SECURITE SANITAIRE DE L ENVIRONNEMENT ET DU TRAVAIL DEPARTEMENT COMMUNICATION INFORMATION ET DEBAT PUBLIC UNITE INFORMATION EDITION

Plus en détail

CHAPITRE V SELECTION DES CONSULTANTS ET D AUTRES PRESTATAIRES DE SERVICES

CHAPITRE V SELECTION DES CONSULTANTS ET D AUTRES PRESTATAIRES DE SERVICES CHAPITRE V SELECTION DES CONSULTANTS ET D AUTRES PRESTATAIRES DE SERVICES Méthode de sélection: les dispositions qui suivent s appliquent lorsqu elles ne sont pas contraires à celles préconisées dans les

Plus en détail

DATE D'APPLICATION Octobre 2008

DATE D'APPLICATION Octobre 2008 SECURE TRANSACTIONS CERTIFICATION AUTHORITIES AUTORITÉS DE CERTIFICATION POUR LES ENVIRONNEMENTS DE TERMINAUX DE PAIEMENT EN MODE IP === POLITIQUE DE CERTIFICATION DATE D'APPLICATION Octobre 2008 Diffusion

Plus en détail

POLITIQUE N o : P AJ-005 POLITIQUE SUR LA PROTECTION DES INFORMATIONS CONFIDENTIELLES

POLITIQUE N o : P AJ-005 POLITIQUE SUR LA PROTECTION DES INFORMATIONS CONFIDENTIELLES 1. INTRODUCTION Le Code civil prévoit des dispositions qui imposent aux employés des obligations en matière de loyauté et de protection des informations à caractère confidentiel : Art. 2088. Le salarié,

Plus en détail

L application doit être validée et l infrastructure informatique doit être qualifiée.

L application doit être validée et l infrastructure informatique doit être qualifiée. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés

Plus en détail

UE 8 Systèmes d information de gestion Le programme

UE 8 Systèmes d information de gestion Le programme UE 8 Systèmes d information de gestion Le programme Légende : Modifications de l arrêté du 8 mars 2010 Suppressions de l arrêté du 8 mars 2010 Partie inchangée par rapport au programme antérieur Indications

Plus en détail

Sécurité de l'information

Sécurité de l'information Maisons de jeunes du Grand- Duché de Luxembourg Sécurité de l'information Charte de bonnes pratiques du responsable opérationnel Informations générales : Version : 1.1 État document : Final Classification

Plus en détail

L'AUDIT DES SYSTEMES D'INFORMATION

L'AUDIT DES SYSTEMES D'INFORMATION L'AUDIT DES SYSTEMES D'INFORMATION ESCI - Bourg en Bresse (2005 2006) Audit s Système d'information - P2 1 lan d'ensemble Audit s Systèmes d'information GENERALITES SUR L'AUDIT AUDIT FONCTIONNEL OU D'APPLICATION

Plus en détail

Hosted Exchange 2010 Conditions Spécifiques

Hosted Exchange 2010 Conditions Spécifiques Hosted Exchange 2010 Conditions Spécifiques L utilisateur doit se conformer aux Conditions Spécifiques ( CS ) en vigueur, tel qu amendé, modifié ou mise à jour au fur et à mesure par M.I.T., et autres

Plus en détail

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014 ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing

Plus en détail

PLAN DE REPRISE D ACTIVITE INFORMATIQUE

PLAN DE REPRISE D ACTIVITE INFORMATIQUE PLAN DE REPRISE D ACTIVITE INFORMATIQUE ABG Page 1 25/06/2015 Introduction Ce document a été rédigé dans le cadre du plan de reprise d activité du client. Ce plan de reprise d activité nécessite de la

Plus en détail

Outils et moyens pour implanter la continuité des opérations dans votre organisation

Outils et moyens pour implanter la continuité des opérations dans votre organisation Outils et moyens pour implanter la continuité des opérations dans votre organisation Colloque sur la sécurité civile, 15 février 2012 Mariette Trottier Ministère du Développement économique, de l Innovation

Plus en détail

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL L important développement à l international du groupe OVH et de ses filiales, conduit à l adoption des présentes règles internes en matière

Plus en détail

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13 Politique de Signature EDF Commerce Division Entreprises et Collectivités Locales Pour la dématérialisation fiscale XML des Entreprises et Collectivités Locales Date : 16 novembre 2011 Version : 1. 2 Nombre

Plus en détail

QUESTIONNAIRE Responsabilité Civile

QUESTIONNAIRE Responsabilité Civile QUESTIONNAIRE Responsabilité Civile RESPONSABILITE CIVILE PROFESSIONNELLE DE LA SECURITE : ACTIVITES DE SURVEILLANCE ET DE GARDIENNAGE (activités régies par le livre VI du Code de la sécurité intérieure)

Plus en détail

Règlement relatif à l utilisation des ressources informatiques et de télécommunication

Règlement relatif à l utilisation des ressources informatiques et de télécommunication SECRÉTARIAT GÉNÉRAL Règlements, directives, politiques et procédures Règlement relatif à l utilisation des ressources informatiques et de télécommunication Adoption Instance/Autorité Date Résolution(s)

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

SIGIPES OUTIL INFORMATIQUE D ACCOMPAGNEMENT DE LA REFORME DE DECONCENTRATION DE LA GESTION DU PERSONNEL ET DE LA SOLDE

SIGIPES OUTIL INFORMATIQUE D ACCOMPAGNEMENT DE LA REFORME DE DECONCENTRATION DE LA GESTION DU PERSONNEL ET DE LA SOLDE SIGIPES OUTIL INFORMATIQUE D ACCOMPAGNEMENT DE LA REFORME DE DECONCENTRATION DE LA GESTION DU PERSONNEL ET DE LA SOLDE Système Informatique de Gestion Intégrés des Personnels de l État et de la Solde P

Plus en détail

Diplôme de Comptabilité et de Gestion. D é c r e t N 2 0 0 6-1 7 0 6 d u 2 2 d é c e m b r e 2 0 0 6 - A r r ê t é d u 8 m a r s 2 0 1 0

Diplôme de Comptabilité et de Gestion. D é c r e t N 2 0 0 6-1 7 0 6 d u 2 2 d é c e m b r e 2 0 0 6 - A r r ê t é d u 8 m a r s 2 0 1 0 Diplôme de Comptabilité et de Gestion DCG D é c r e t N 2 0 0 6-1 7 0 6 d u 2 2 d é c e m b r e 2 0 0 6 - A r r ê t é d u 8 m a r s 2 0 1 0 Validation des Acquis de l Expérience VAE R é f é r e n t i e

Plus en détail

Conditions d usage du service. «MS Dynamics CRM On Demand» V1.4

Conditions d usage du service. «MS Dynamics CRM On Demand» V1.4 Conditions d usage du service «MS Dynamics CRM On Demand» V1.4 I. PREAMBULE La société PRODWARE est spécialisée dans l installation, l'évolution et la maintenance de solutions informatiques. Dans ce cadre,

Plus en détail

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES informatiques d Inria CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES Table des matières 1. Préambule...3 2. Définitions...3 3. Domaine d application...4 4. Autorisation d accès aux ressources informatiques...5

Plus en détail

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1

Plus en détail

L impact d un incident de sécurité pour le citoyen et l entreprise

L impact d un incident de sécurité pour le citoyen et l entreprise L impact d un incident de sécurité pour le citoyen et l entreprise M e Jean Chartier Président Carrefour de l industrie de la sécurité 21 octobre 2013 - La Malbaie (Québec) Présentation générale La Commission

Plus en détail

MANUEL DES POLITIQUES, PROCÉDURES ET RÈGLEMENTS ADMINISTRATIFS

MANUEL DES POLITIQUES, PROCÉDURES ET RÈGLEMENTS ADMINISTRATIFS MANUEL DES POLITIQUES, PROCÉDURES ET RÈGLEMENTS ADMINISTRATIFS POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO Code : Politique 2.13 Date d entrée en vigueur : Le 30 avril 2007 Nombre de pages : 11 et annexe

Plus en détail

ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES

ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES ANNEXE RELATIVE AUX CONDITIONS GENERALES D UTILISATION DES FICHIERS GEOGRAPHIQUES Préambule La Poste est propriétaire de fichiers informatiques de données géographiques. Lesdits fichiers permettent de

Plus en détail

Pourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité

Pourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents

Plus en détail

«clustering» et «load balancing» avec Zope et ZEO

«clustering» et «load balancing» avec Zope et ZEO IN53 Printemps 2003 «clustering» et «load balancing» avec Zope et ZEO Professeur : M. Mignot Etudiants : Boureliou Sylvain et Meyer Pierre Sommaire Introduction...3 1. Présentation générale de ZEO...4

Plus en détail

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique

Plus en détail

Liste de contrôle d auto-évaluation pour le niveau de confinement 1 pour les phytoravageurs

Liste de contrôle d auto-évaluation pour le niveau de confinement 1 pour les phytoravageurs Bureau du confinement des biorisques et de la sécurité Office of Biohazard, Containment and Safety Direction générale des sciences Science Branch 59, promenade Camelot 59 Camelot Drive Ottawa ON K1A 0Y9

Plus en détail

Offre Technique Tunis, Décembre 2013. Société d Ingénierie Informatique Spécialiste en Infrastructure de Pointe et des Systèmes d Information

Offre Technique Tunis, Décembre 2013. Société d Ingénierie Informatique Spécialiste en Infrastructure de Pointe et des Systèmes d Information Version 1.0 H. Wali P: 00 / 00 Indice: Madame, Monsieur, Les nouvelles technologies de l information et de la communication engendrent la nécessité pour les entreprises de traiter de plus en plus rapidement

Plus en détail

RSA ADAPTIVE AUTHENTICATION

RSA ADAPTIVE AUTHENTICATION RSA ADAPTIVE AUTHENTICATION Plate-forme complète d authentification et de détection des fraudes D UN COUP D ŒIL Mesure du risque associé aux activités de connexion et de postconnexion via l évaluation

Plus en détail

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec Contrôles informatiques dans le cadre de l audit l des états financiers Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec 1 Objectifs de la présentation Identifier le rôle de

Plus en détail

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES PPB-2006-8-1-CPA ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES Introduction 0. Base légale 1. Le contrôle interne 1.1. Définition et éléments constitutifs 1.2. Mesures

Plus en détail

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés

Plus en détail

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES PLAN LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX & ETAT DE L ART SELON BV ASSOCIATES Copyright BV Associates 2013 IMEPSIA TM est une marque déposée par BV Associates Page 1 SOMMAIRE 1 PRINCIPES GENERAUX

Plus en détail

Les principes de la sécurité

Les principes de la sécurité Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes

Plus en détail

Contrat d interface pour l enregistrement et la gestion des noms de domaine qui dépendent du domaine ".ch" et ".li" conclu entre

Contrat d interface pour l enregistrement et la gestion des noms de domaine qui dépendent du domaine .ch et .li conclu entre Contrat d interface pour l enregistrement et la gestion des noms de domaine qui dépendent du domaine ".ch" et ".li" conclu entre SWITCH Werdstrasse 2 8021 Zurich Suisse ci-après registre et Partie2 Personne

Plus en détail

Auditer une infrastructure Microsoft

Auditer une infrastructure Microsoft Auditer une infrastructure Microsoft I. INTRODUCTION :... 3 A. OU TROUVER CE DOCUMENT :... 3 B. OBJECTIFS DU DOCUMENT :... 3 II. AUDIT DE L INFRASTRUCTURE INFORMATIQUE :... 4 A. AUDIT DU RESEAU:... 4 B.

Plus en détail

CAHIER DES CHARGES GARDIENNAGE

CAHIER DES CHARGES GARDIENNAGE Association des Responsables de Services Généraux Facilities Managers Association CAHIER DES CHARGES GARDIENNAGE Avertissement : ce document est un exemple de cahier des charges Gardiennage établi pour

Plus en détail

Standard de contrôle de sécurité WLA

Standard de contrôle de sécurité WLA Standard de contrôle de sécurité WLA Standard de sécurité et d intégrité des activités de loterie et de jeu WLA-SCS:2012 Association mondiale des loteries (World Lottery Association) Édition Novembre 2014

Plus en détail

CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES

CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES Sommaire Fiche 1 : Gestion des identités : annuaires et authentification Fiche 2 : Connectez-vous en toute sécurité

Plus en détail

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une

Plus en détail

La sécurité des systèmes d information

La sécurité des systèmes d information Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence

Plus en détail

JaafarDEHBI; Consultant SI-TI Pragmatic Consulting

JaafarDEHBI; Consultant SI-TI Pragmatic Consulting Sécurité des SI ISO 2700X; MICDA M2 Année Universitaire : 2012-2013 2013 JaafarDEHBI; Consultant SI-TI Pragmatic Consulting 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 1 1 Sommaire

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

GERER SA MAINTENANCE INFORMATIQUE

GERER SA MAINTENANCE INFORMATIQUE L AFNOR définit la maintenance comme l «ensemble des actions permettant de maintenir et de rétablir un bien dans un état spécifié ou en mesure d assurer un service déterminé.» De nos jours, les systèmes

Plus en détail

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Agrément des hébergeurs de données de santé. 1 Questions fréquentes Agrément des hébergeurs de données de santé 1 Questions fréquentes QUELS DROITS POUR LES PERSONNES CONCERNEES PAR LES DONNEES DE SANTE HEBERGEES? La loi précise que l'hébergement de données de santé à

Plus en détail

Gestion du programme d assurances de Lozère Développement. Dossier de consultation

Gestion du programme d assurances de Lozère Développement. Dossier de consultation Gestion du programme d assurances de Lozère Développement Dossier de consultation Cahier des clauses techniques particulières LD/SO/ND Lozère Développement Consultation Assurances CCTP 19/10/2010 1 /10

Plus en détail

L USAGE PAISIBLE DE L INFORMATIQUE. Les solutions assurantielles pour mieux gérer les risques de dommages immatériels

L USAGE PAISIBLE DE L INFORMATIQUE. Les solutions assurantielles pour mieux gérer les risques de dommages immatériels L USAGE PAISIBLE DE L INFORMATIQUE Les solutions assurantielles pour mieux gérer les risques de dommages immatériels PRÉSENTATION DE DIAGERIS Qui est DIAGERIS? Société de conseil et de courtage en assurances,

Plus en détail

Politique de Sécurité des Systèmes d Information

Politique de Sécurité des Systèmes d Information Politique de Sécurité des Systèmes d Information Sommaire 1 PREAMBULE...3 2 CONTEXTE...4 3 ORIENTATION STRATEGIQUE...4 4 PERIMETRE...5 5 ENJEUX DE LA PSSI AU CONSEIL DE L EUROPE...6 6 LES BESOINS DE SECURITE...7

Plus en détail

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC Sommaire Description du modèle de surveillance Définitions Objectifs de la surveillance des PSDC Présentation

Plus en détail

POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO (adoptée le 15 janvier 2010)

POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO (adoptée le 15 janvier 2010) POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO (adoptée le 15 janvier 2010) Note : Le générique masculin est utilisé sans discrimination uniquement dans le but d alléger le texte. 1. Introduction La Commission

Plus en détail

Cegid OPEN SECURITE PREMIUM

Cegid OPEN SECURITE PREMIUM Cegid OPEN SECURITE PREMIUM Livret Services Ref_N08_0001 ARTICLE 1 DEFINITIONS Les termes définis ci après ont la signification suivante au singulier comme au pluriel: Demande : désigne un incident reproductible

Plus en détail

SMART SAVINGS : PROTECTION DES CLIENTS DANS LA PROCEDURE D EPARGNE

SMART SAVINGS : PROTECTION DES CLIENTS DANS LA PROCEDURE D EPARGNE SMART SAVINGS : PROTECTION DES DANS LA PROCEDURE D EPARGNE Une vue d ensemble de l intégration des pratiques de protection du client par les institutions de microfinance dans la procédure d épargne. 1

Plus en détail

LICENCE D UTILISATION DE LA DO NOT CALL ME LIST : CONDITIONS GENERALES

LICENCE D UTILISATION DE LA DO NOT CALL ME LIST : CONDITIONS GENERALES LICENCE D UTILISATION DE LA DO NOT CALL ME LIST : CONDITIONS GENERALES Introduction Dans les présentes conditions, l'on entend par : - Abonné : toute personne physique ou morale qui utilise un service

Plus en détail

Livret d accueil des stagiaires

Livret d accueil des stagiaires Livret d accueil des stagiaires SOMMAIRE : I/ Présentation du service II/Le métier de manipulateur III/ Modalités d encadrement IV/ Votre stage V/ Bilan global de votre stage I/ Présentation du service

Plus en détail

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information Premier ministre Agence nationale de la sécurité des systèmes d information Prestataires d audit de la sécurité des systèmes d information Référentiel d exigences Version 2.0 du 14 février 2013 HISTORIQUE

Plus en détail

V 8.2. Vous allez utiliser les services en ligne de la plate forme de dématérialisation de la Salle des Marchés achatpublic.com.

V 8.2. Vous allez utiliser les services en ligne de la plate forme de dématérialisation de la Salle des Marchés achatpublic.com. MANUEL D UTILISATION DE LA SALLE DES MARCHES ACCES ENTREPRISES V 8.2 APPEL D OFFRES RESTREINT Vous allez utiliser les services en ligne de la plate forme de dématérialisation de la Salle des Marchés achatpublic.com.

Plus en détail

MANUEL D UTILISATION DE LA SALLE DES MARCHES APPEL D OFFRES OUVERT ACCES ENTREPRISES. Version 8.2

MANUEL D UTILISATION DE LA SALLE DES MARCHES APPEL D OFFRES OUVERT ACCES ENTREPRISES. Version 8.2 MANUEL D UTILISATION DE LA SALLE DES MARCHES APPEL D OFFRES OUVERT ACCES ENTREPRISES Version 8.2 Vous allez utiliser les services en ligne de la plate forme de dématérialisation de la Salle des Marchés

Plus en détail

Conditions d utilisation de la plateforme de trading bilatérale

Conditions d utilisation de la plateforme de trading bilatérale Conditions d utilisation de la plateforme de trading bilatérale 1. But et structure 1 Les présentes Conditions régissent l utilisation de la plateforme de trading bilatérale. 2 L exploitant de la plateforme

Plus en détail

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe - ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe - BKAM, tous droits réservés Page 1 sur 45 Table des matières 1 INTRODUCTION... 8 1.1 Présentation générale... 8 1.2 Définitions

Plus en détail

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES DÉFINIR UNE POLITIQUE INTERNE DE SÉCURITÉ RELATIVE À L INFORMATION STRATÉGIQUE DE VOTRE ENTREPRISE Vous n avez pas effectué de diagnostic interne

Plus en détail

Procédure normalisée de fonctionnement du RCBT Systèmes de sauvegarde des bases de données. 3.1.002 Version f1.0

Procédure normalisée de fonctionnement du RCBT Systèmes de sauvegarde des bases de données. 3.1.002 Version f1.0 Numéro de PNF: Remplace: Objet: Procédure normalisée de fonctionnement du RCBT Systèmes de sauvegarde des bases de données 3.1.002 Version f1.0 Notification de découvertes significatives et pertinentes

Plus en détail

RECRUTER ET INTÉGRER UN NOUVEAU COLLABORATEUR GÉRER LES RISQUES PSYCHO-SOCIAUX GÉRER LES RESSOURCES HUMAINES : LES BONNES PRATIQUES

RECRUTER ET INTÉGRER UN NOUVEAU COLLABORATEUR GÉRER LES RISQUES PSYCHO-SOCIAUX GÉRER LES RESSOURCES HUMAINES : LES BONNES PRATIQUES 2 ème semestre 2009 GÉRER LES RISQUES PSYCHO-SOCIAUX Salarié du secteur privé Objectif : Comprendre la nécessité de mise en œuvre d une prévention des risques psycho-sociaux. Connaître ces risques psycho-sociaux.

Plus en détail

CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (CCTP) Valant ACCORD-CADRE. Procédure d appel d offres ouvert - N 03-2015

CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (CCTP) Valant ACCORD-CADRE. Procédure d appel d offres ouvert - N 03-2015 MARCHÉ PUBLIC DE TECHNIQUES DE L INFORMATION ET DE LA COMMUNICATION CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (CCTP) Valant ACCORD-CADRE Procédure d appel d offres ouvert - N 03-2015 Régie par l article

Plus en détail

Guide d accompagnement à l intention des entreprises désirant obtenir ou renouveler une autorisation pour contracter/souscontracter avec un organisme

Guide d accompagnement à l intention des entreprises désirant obtenir ou renouveler une autorisation pour contracter/souscontracter avec un organisme Guide d accompagnement à l intention des entreprises désirant obtenir ou renouveler une autorisation pour contracter/souscontracter avec un organisme public Juin 2015 1 INTRODUCTION... 4 À QUI S ADRESSE

Plus en détail

UTILISATION DES TECHNOLOGIES DE L INFORMATION ET DES COMMUNICATIONS

UTILISATION DES TECHNOLOGIES DE L INFORMATION ET DES COMMUNICATIONS Page 1 de 9 UTILISATION DES TECHNOLOGIES DE L INFORMATION ET DES COMMUNICATIONS CONTEXTE La Commission scolaire doit s assurer d un usage adéquat des ressources informatiques mises à la disposition des

Plus en détail

Q U E S T I O N N A I R E

Q U E S T I O N N A I R E «Kidnapping & Rançon Q U E S T I O N N A I R E Formulaire de demande d assurance Kidnapping Rançon Extorsion et détention 1. Dénomination de l entreprise : 2. Adresse du siège social : Membre d un groupe?

Plus en détail

PROTOCOLE DE COLLABORATION COMMERCIALE TOUTES BRANCHES

PROTOCOLE DE COLLABORATION COMMERCIALE TOUTES BRANCHES PROTOCOLE DE COLLABORATION COMMERCIALE TOUTES BRANCHES Entre la société FLEXITRANS, ayant tous pouvoirs à cet effet. 6 rue blaise pascal 66000 PERPIGNAN RCS PERPIGNAN 499 808 566 Ci après dénommé la Société,

Plus en détail

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES 2013 ASSOCIATION CANADIENNE DES PAIEMENTS 2013 CANADIAN PAYMENTS ASSOCIATION Cette règle est protégée

Plus en détail

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage PC Signature de jetons d horodatage Version 1.2 du 11/02/2015 État : Validé Validation Diffusion Ministère des

Plus en détail

PREMIER MINISTRE Secrétariat Général de la Défense et la Sécurité Nationale Agence Nationale de Sécurité des Systèmes d Information GUIDE

PREMIER MINISTRE Secrétariat Général de la Défense et la Sécurité Nationale Agence Nationale de Sécurité des Systèmes d Information GUIDE PREMIER MINISTRE Secrétariat Général de la Défense et la Sécurité Nationale Agence Nationale de Sécurité des Systèmes d Information GUIDE SECURITE DES TECHNOLOGIES SANS-CONTACT POUR LE CONTROLE DES ACCES

Plus en détail

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats C ) Détail volets A, B, C, D et E Actions Objectifs Méthode, résultats VOLET A : JUMELAGE DE 18 MOIS Rapports d avancement du projet. Réorganisation de l administration fiscale Rapports des voyages d étude.

Plus en détail

Guide Utilisateur. Edition Mars 2012. Agenda. E-mails. Evènements. Synchroniser avec les identités de gestion, de. Messagerie interne. Post-it.

Guide Utilisateur. Edition Mars 2012. Agenda. E-mails. Evènements. Synchroniser avec les identités de gestion, de. Messagerie interne. Post-it. Edition Mars 2012 Agenda E-mails Evènements Synchroniser avec les identités de gestion, de syndic, de transaction Messagerie interne Post-it Notes Statistiques Guide Utilisateur Prenez le temps de lire

Plus en détail

CONVENTION DE PARTENARIAT AGENCES

CONVENTION DE PARTENARIAT AGENCES CONVENTION DE PARTENARIAT AGENCES ENTRE, La société SHOPPING FLUX SARL, dont le siège social est situé : 21 avenue du Fort 92120 Montrouge Immatriculée au registre du commerce et des sociétés sous le numéro

Plus en détail

CONDITIONS SPECIFIQUES DE VENTES APPLICABLES AUX OFFRES OPENCONNECT ADSL

CONDITIONS SPECIFIQUES DE VENTES APPLICABLES AUX OFFRES OPENCONNECT ADSL ARTICLE 1. DÉFINITIONS CONDITIONS SPECIFIQUES DE VENTES APPLICABLES AUX OFFRES OPENCONNECT ADSL Dans les présentes conditions particulières, les termes suivants ont, sauf précision contraire, le sens qui

Plus en détail

Le Dossier Médical Personnel et la sécurité

Le Dossier Médical Personnel et la sécurité FICHE PRATIQUE JUIN 2011 Le Dossier Médical Personnel et la sécurité www.dmp.gouv.fr L essentiel Un des défis majeurs pour la réussite du Dossier Médical Personnel (DMP) est de créer la confiance des utilisateurs

Plus en détail

SGS ICS - CONDITIONS GÉNÉRALES POUR LES SERVICES DE CERTIFICATION

SGS ICS - CONDITIONS GÉNÉRALES POUR LES SERVICES DE CERTIFICATION SGS ICS - CONDITIONS GÉNÉRALES POUR LES SERVICES DE CERTIFICATION 1. DISPOSITIONS GENERALES 1.1 Sauf accord contraire écrit, toute offre faite ou service rendu ainsi que toutes les relations contractuelles

Plus en détail

Conditions Générales de vente de services et noms de domaine

Conditions Générales de vente de services et noms de domaine Conditions Générales de vente de services et noms de domaine INTERNET SERVICES AGREEMENT DOMAIN NAME REGISTRATION AGREEMENT Les conditions générales de vente ou de services des Registres en charge de chaque

Plus en détail

Le loyer pour l intégralité du séjour est du à l arrivée dans l appartement.

Le loyer pour l intégralité du séjour est du à l arrivée dans l appartement. Nos Conditions Générales 1. Usage de l appartement L appartement est loué à usage exclusif d habitation et ce à titre provisoire. Le locataire, préalablement à sa réservation, déclare que la réservation

Plus en détail

CONTRAT DE LICENCE D UTILISATION DU LOGICIEL MORPH M SOUS LA FORME MORPH M PYTHON

CONTRAT DE LICENCE D UTILISATION DU LOGICIEL MORPH M SOUS LA FORME MORPH M PYTHON CONTRAT DE LICENCE D UTILISATION DU LOGICIEL MORPH M SOUS LA FORME MORPH M PYTHON Version du 3 mai 2007 PREAMBULE ARMINES via le Centre de Morphologie Mathématiques commun à ARMINES et l Ecole des Mines

Plus en détail

Règlement d INTERPOL sur le traitement des données

Règlement d INTERPOL sur le traitement des données BUREAU DES AFFAIRES JURIDIQUES Règlement d INTERPOL sur le traitement des données [III/IRPD/GA/2011(2014)] REFERENCES 51 ème session de l Assemblée générale, résolution AGN/51/RES/1, portant adoption du

Plus en détail

Conditions Générales d Intervention du CSTB pour la délivrance d une HOMOLOGATION COUVERTURE

Conditions Générales d Intervention du CSTB pour la délivrance d une HOMOLOGATION COUVERTURE DEPARTEMENT ENVELOPPES ET REVETEMENTS Constructions Légères et Couvertures Conditions Générales d Intervention du CSTB pour la délivrance d une HOMOLOGATION COUVERTURE Livraison Cahier V1 de Mars 2010

Plus en détail

Mise en place d une politique de sécurité

Mise en place d une politique de sécurité Mise en place d une politique de sécurité Katell Cornec Gérald Petitgand Jean-Christophe Jaffry CNAM Versailles 1 Situation Sujet du projet Politique de sécurité Les Intervenants et leurs rôles : K. Cornec

Plus en détail

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive www.adbackup-corporatesolutions.com

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive www.adbackup-corporatesolutions.com AdBackup Laptop Solution de sauvegarde pour flotte nomade Société Oodrive www.adbackup-corporatesolutions.com Sommaire Présentation d Oodrive...3 Carte d identité...3 Références clients...3 Les enjeux...4

Plus en détail

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE : IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE : SPÉCIFICATIONS TECHNIQUES À L INTENTION DES AGENCES ET COURTIERS À LEUR COMPTE IMPORTANT L OACIQ se réserve le droit de modifier ses exigences en fonction

Plus en détail

Crise, transmission, concurrence L entreprise face à ses mutations

Crise, transmission, concurrence L entreprise face à ses mutations 11ème Université Interprofessionnelle Mercredi 25 septembre 2013 Espace Tête d Or - Villeurbanne Crise, transmission, concurrence L entreprise face à ses mutations Atelier n 1 Audit social et diagnostic

Plus en détail