Profil de Protection pour services bancaires et / ou financiers sur Internet. Version : V7 Date : 4 août 2004
|
|
- Lionel Blanchard
- il y a 8 ans
- Total affichages :
Transcription
1 Profil de Protection pour services bancaires et / ou financiers sur Internet Version : V7 Date : 4 août 2004
2 Sommaire 1 DU LIVRE BLANC AU REFERENTIEL DE SECURITE MISSION CONFIEE AU CFONB PAR LE SECRETARIAT GENERAL DE LA COMMISSION BANCAIRE UN REFERENTIEL DE SECURITE, POUR QUI? UN REFERENTIEL DE SECURITE, SOUS QUELLE FORME? SPECIFICITES DES ETABLISSEMENTS BANCAIRES ET FINANCIERS Contrôle interne Lutte contre le blanchiment Risque juridique Agrément des établissements CHAMP D'APPLICATION DU REFERENTIEL SECURITE POINTS FORTS DE LA DEMARCHE Reconnaissance internationale du référentiel certifié selon les Critères Communs Utilisations du référentiel DEMARCHE RETENUE PAR LE CFONB PRINCIPE Définition du système cible et analogie avec le guichet bancaire Biens et environnement de sécurité de sécurité Exigences de sécurité ROLE DE LA MAITRISE D OUVRAGE ET DE LA MAITRISE D ŒUVRE Maîtrise d ouvrage Maîtrise d œuvre EXPRESSION DU BESOIN DE SECURITE INTRODUCTION Description générale du Profil de Protection (PP) Identification du Profil de protection Conventions DESCRIPTION DE LA CIBLE D EVALUATION Concepts et définitions Vue d'ensemble de la fourniture d'un service bancaire et / ou financier sur Internet Acteurs et Rôles Modélisation de la cible d'évaluation Éléments variables de la TOE ENVIRONNEMENT DE SECURITE DE LA CIBLE D EVALUATION Biens de la TOE Hypothèses Politiques de sécurité organisationnelles Menaces OBJECTIFS DE SECURITE Obligations Politique de sécurité Conception & développement Contrôle et suivi Cryptographie Sécurité physique Sécurité logique EXIGENCES DE SECURITE / 123
3 4.1 EXIGENCES FONCTIONNELLES ET D'ASSURANCE Exigences fonctionnelles Exigences d'assurance NOTES D'APPLICATION ARGUMENTAIRE ANNEXES BIBLIOGRAPHIE ACRONYMES, GLOSSAIRE ET TERMINOLOGIE Acronymes Glossaire Terminologie relative aux exigences d'assurance CLASSES DE TRANSACTIONS ET TRANSACTIONS DOMAINES DE SENSIBILITE AUX RISQUES CARACTERISTIQUES DE SECURITE DE LA CIBLE D'EVALUATION Caractéristiques des nouvelles architectures Bonnes pratiques de protection MAINTENANCE DE L'ASSURANCE Famille Plan de maintenance de l assurance [AMA_AMP] Famille Rapport de classification des composants de la TOE [AMA_CAT.1] Famille Preuve de la maintenance de l assurance [AMA_EVD] Famille Analyse d impact sur la sécurité [AMA_SIA] LISTE DES PARTICIPANTS DU GROUPE DE TRAVAIL "PROFIL DE PROTECTION" / 123
4 Liste des figures Figure 1 : Vue d'ensemble de la fourniture d'un SBFI...16 Figure 2 : Modèle fonctionnel d'un Système SBFI...18 Figure 3 : Domaines de sensibilité aux risques Liste des tableaux Tableau 1 : Abréviations des Biens...22 Tableau 2 : Types d'attaques...35 Tableau 3 : Liste des exigences fonctionnelles et des niveaux SOF spécifiques associés...55 Tableau 4 : Liste minimale des événements auditables (FAU_GEN.1)...58 Tableau 5 : Liste des informations d'audit à enregistrer (FAU_GEN.1)...59 Tableau 6 : Liste minimale des opérations cryptographiques (FCS_COP.1)...66 Tableau 7 : Règles complémentaires de contrôle de flux d'information...70 Tableau 8 : Liste des rôles (FMT_SMR.1)...84 Tableau 9 : Liste minimale des rejeux à détecter (FPT_RPL.1)...85 Tableau 10 : Liste des exigences d'assurance retenues / 123
5 1 DU LIVRE BLANC AU REFERENTIEL DE SECURITE 1.1 Mission confiée au CFONB par le Secrétariat Général de la Commission Bancaire Le Secrétariat général de la Commission bancaire, par le biais de son groupe de travail "Sécurité des systèmes d information et des transactions", a confié au groupe sécurité du Comité Français d Organisation et de Normalisation Bancaire (CFONB) la mission d élaborer un référentiel de sécurité pour les sites bancaires et / ou financiers sur Internet. La Commission Bancaire (CB) et le Conseil des Marchés Financiers (CMF) ont participé financièrement et opérationnellement à cette mission prise en charge par le CFONB car ils ont estimé qu'elle correspondait à leurs préoccupations et réflexions dans le domaine des services bancaires et / ou financiers fournis sur Internet. Ce travail s inscrit dans le cadre de la réflexion internationale menée au sein du Comité de Bâle et de la mise en œuvre des recommandations de la Commission bancaire et de la Banque de France publiées dans le Livre Blanc intitulé "Internet : quelles conséquences prudentielles?". Le livre blanc distingue trois types de services bancaires et / ou financiers sur Internet : Institutionnels : ils présentent des informations à caractère public sur l'établissement, comme par exemple ses produits. Consultation des données privées : ils nécessitent une identification et une authentification de l utilisateur, lui permettant d accéder à des informations personnelles, par exemple la consultation de ses comptes ou de ses portefeuilles de titres. Transactionnels : ils permettent à l utilisateur, sur la base de son authentification, de réaliser des opérations bancaires et / ou financières, par exemple des virements ou des opérations sur des titres. 1.2 Un référentiel de sécurité, pour qui? Ce référentiel de sécurité s'adresse avant tout aux maîtrises d'ouvrage et aux maîtrises d'œuvre impliquées dans les offres de services bancaires et/ou financiers de leurs établissements. 1.3 Un référentiel de sécurité, sous quelle forme? Conformément aux préconisations du Livre Blanc "Internet : quelles conséquences prudentielles?", ce référentiel de sécurité est rédigé en respectant la norme ISO/IEC (correspondant aux Critères Communs) et constitue un "Profil de Protection" (PP) au sens de la norme. 1.4 Spécificités des établissements bancaires et financiers Le référentiel de sécurité rappelle la notion d Établissement Agrée Responsable d un Service bancaire et/ou financier (EARS). Il est fait référence à cette notion pour la définition des objectifs et exigences de sécurité. Ce référentiel met en relief un certain nombre d'objectifs de sécurité provenant de la réglementation en vigueur, notamment les objectifs relatifs au respect de la vie privée, au cadre contractuel relatif à la fourniture d'un service bancaire et / ou financier, et à la gestion des preuves des transactions. De plus, le référentiel de sécurité intègre les spécificités bancaires et / ou financières rappelées ci-dessous Contrôle interne Les établissements de crédit et les sociétés d investissements sont soumis aux règlements édictés par le Comité de la Réglementation Bancaire et Financière, notamment : règlement n du 25 juillet 1990 qui fixe, pour les établissements assujettis, la nature des contrôles internes ; 5 / 123
6 règlement n du 25 juillet 1990 relatif au risque de taux d'intérêt sur les opérations de marché ; règlement n du 16 janvier 1991 concernant l'organisation du système comptable et du dispositif de traitement de l'information des établissements de crédits et des maisons de titres ; règlement n du 21 février 1997 relatif au contrôle interne des établissements de crédit. En plus de ce cadre réglementaire, le groupe de travail sur les conséquences prudentielles liées à l Internet recommande de fournir au responsable du contrôle interne une compétence explicite et exhaustive sur toute question relative à la sécurité Lutte contre le blanchiment Le blanchiment est défini comme le fait de faciliter, par tout moyen, la justification mensongère de l'origine des biens ou des revenus de l'auteur d'un crime ou d'un délit ayant procuré à celui-ci un profit direct ou indirect. Le blanchiment peut être facilité par la nature dématérialisée de la relation qui s établit entre l établissement financier et son client via Internet, rendant plus difficile la vérification de l identité et de la capacité financière de ce dernier. La loi du 12 juillet 1990 sur le blanchiment d'argent punit l'entrave à l'identification de valeurs d origine criminelle. Un décret relatif au défaut de vigilance en matière d'opérations financières pénalise tout professionnel de la finance qui ne vérifie pas l'identité de l'ayant droit économique. La loi sur le blanchiment d'argent a les caractéristiques suivantes : elle s'applique à tous les établissements proposant des services bancaires et/ou financiers : banques, directions de fonds de placement, compagnies d'assurances, gérants de fortunes, agents fiduciaires, bureaux de change, etc. ; l organisme financier doit vérifier l'identité du cocontractant et de l'ayant droit économique ; en cas de soupçon de blanchiment de valeurs d'origine criminelle, il est obligé d'informer le service TRACFIN ; un système de surveillance et de contrôle est mis en place pour vérifier la mise en application de la loi ; l'autorité de contrôle peut transmettre aux autorités étrangères des informations non accessibles au public moyennant des garanties de confidentialité et d'utilisation exclusive pour la lutte contre le blanchiment Risque juridique En plus du Code pénal (articles à ), l article 14 du règlement N du Comité de la Réglementation Bancaire et Financière responsabilise les dirigeants des établissements dans l évaluation et la maîtrise des risques liés à la sécurité des systèmes d information. La dématérialisation des relations avec les tiers introduit un risque juridique spécifique aux prestations transfrontalières Agrément des établissements Les opérations de banque ou les services d investissement effectués sur Internet sont couverts par les réglementations générales et sectorielles applicables à ces activités. C est le Comité des Établissements de Crédit et des Entreprises d Investissement (CECEI) qui est chargé, par la loi du 24 février 1984 et la loi de modernisation des activités financières du 2 juillet 1996, de délivrer les agréments pour l exercice de ces opérations sur le réseau. Pour le service d investissement de la gestion de portefeuille pour le compte de tiers, la Commission des Opérations de Bourse (COB) est seule compétente. Dans le cas d un élargissement de son activité sur Internet à de nouveaux services non couverts par le champ de l agrément qui lui a été accordé, l établissement devra veiller à actualiser son agrément auprès des autorités compétentes. Un établissement bancaire et / ou financier est dit agréé lorsqu'il a reçu une autorisation pour fournir des services bancaires et / ou des services financiers de la part de l'autorité compétente. L'autorisation est appelée agrément. 6 / 123
7 Pour la France, les différentes autorités délivrant les agréments sont : le Comité des Établissements de Crédit et des Entreprises d'investissement (CECEI), qui agrée les Établissements de Crédit et les Entreprises d'investissement ; le Conseil des Marchés Financiers (CMF), qui délivre une habilitation à l'exercice de l'activité de Tenue de Compte Conservation ou de Compensation, en général à des établissements agréés par le CECEI, mais également à titre dérogatoire à des entités qui ne sont ni des établissements de crédit ni des entreprises d'investissement (par exemple à des GIE) ; la Commission des Opérations de Bourse (COB), qui agrée les Sociétés de Gestion ; les institutions et services visés par les articles L et L du Code Monétaire et Financier sont assimilés à des établissements agréés. 1.5 Champ d'application du référentiel sécurité La vocation première du référentiel est de garantir un niveau de sécurité équivalent pour les services bancaires et/ou financiers disponibles sur Internet. Ces services sont précisés dans la cible d évaluation (chapitre 3.2). Un établissement qui n offrirait pas de bonnes garanties de sécurité ferait courir un risque majeur à la communauté bancaire et financière. Le référentiel de sécurité permet de garantir la conformité du dispositif de sécurité adopté par un établissement, grâce à l application des critères nécessaires et suffisants de la "cible de sécurité" communautaire. Dans le profil de protection, ces critères sont appelés "objectifs de sécurité" et "exigences de sécurité". Les exigences de sécurité sont la traduction des objectifs de sécurité dans le formalisme imposé des Critères Communs Les objectifs de sécurité concernent les maîtrises d'ouvrage et les maîtrises d'œuvre des établissements, alors que les exigences de sécurité s appliquent à l'exploitation et sont limitées à certains personnels (équipes sécurité ). Le référentiel de sécurité concerne les sites bancaires et / ou financiers transactionnels sur Internet, qu'ils s adressent à une clientèle particulière ou d'entreprise. Le référentiel est modulaire et d un niveau d abstraction élevé, afin de le rendre indépendant de la technologie en place. Il a été conçu ainsi pour tenir compte de la variété des architectures techniques existant au sein des établissements et pour rester pertinent en cas d'évolution des technologies. En revanche, il ne couvre pas : les services bancaires et / ou financiers n utilisant pas le canal Internet ; les services bancaires et / ou financiers de nature non transactionnelle ; les équipements de connexion des acteurs et en particulier des utilisateurs ; les systèmes de secours de tout ou partie des services bancaires et / ou financiers sur Internet ; le système de contrôle des accès physiques. 7 / 123
8 1.6 Points forts de la démarche Reconnaissance internationale du référentiel certifié selon les Critères Communs La certification de conformité du référentiel de sécurité à la norme internationale ISO/IEC (Critères Communs) garantit sa reconnaissance par tous les états signataires Utilisations du référentiel Le référentiel de sécurité peut être utilisé pour : rédiger le cahier des charges sécurité d'un nouveau service bancaire et / ou financier sur Internet ; évaluer et certifier conformément aux Critères Communs un service bancaire et / ou financier sur Internet L évaluation selon les Critères Communs est réalisée par un organisme indépendant et compétent (il doit être agréé pour pouvoir procéder à des évaluations). En France, ces organismes sont appelés Centre d Évaluation de la Sécurité des Technologies de l Information (CESTI). La certification est prononcée par un organisme gouvernemental au vu du rapport d'évaluation rédigé par le CESTI. En France, il s'agit de la Direction Centrale de la Sécurité des Systèmes d'information (DCSSI). Il est également envisageable que la certification d'un service ou site sur la base de ce référentiel participe à la décision d'agrément d'un nouvel entrant. 8 / 123
9 2 DEMARCHE RETENUE PAR LE CFONB 2.1 Principe La norme internationale ISO/IEC 15408:1999, intitulée "Critères Communs pour l évaluation de la sécurité des technologies de l information" comprend les parties suivantes : ISO/IEC :1999 : (partie 1) Introduction et modèle général ; ISO/IEC :1999 : (partie 2) Exigences fonctionnelles de sécurité ; ISO/IEC :1999 : (partie 3) Exigences d assurance de sécurité. L'emploi des Critères Communs dans le présent référentiel impose : l'utilisation des termes définis dans la norme et le respect du plan imposé pour un profil de protection (partie 1) ; l'utilisation des exigences de sécurité fonctionnelles et d'assurance (parties 2 et 3). Pour tenir compte du formalisme imposé par les Critères Communs pour les exigences de sécurité, la démarche d'élaboration du référentiel a comporté deux phases : 1. Expression du besoin de sécurité, aboutissant à la définition des objectifs de sécurité et reprenant les termes définis par les Critères Communs ; 2. Traduction du besoin de sécurité en critères d'évaluation de la sécurité, sous forme d'exigences de sécurité respectant le formalisme des Critères Communs. L'expression du besoin de sécurité a comporté deux étapes : a) Définition du système étudié, sur une base fonctionnelle ; Le système étudié est la cible d'évaluation pour les Critères Communs. b) Définition des objectifs de sécurité, qui résultent : des éléments du système qui présentent une valeur ; Ces éléments sont les biens pour les Critères Communs. des menaces ; Ces éléments sont les menaces pour les Critères Communs. de tout ce qui doit être respecté : o contraintes issues de la prise en compte de l'existant ; Ces éléments sont les hypothèses de sécurité pour les Critères Communs. o règles et pratiques en vigueur. Ces éléments sont les Politiques de Sécurité Organisationnelles ou OSP (Organisational Security Policy) pour les Critères Communs. Les paragraphes qui suivent présentent ces notions clé Définition du système cible et analogie avec le guichet bancaire Le système étudié (cible d'évaluation) a été défini à l'aide de Blocs fonctionnels, regroupant un ensemble de fonctions ayant la même finalité et définis par analogie avec une agence bancaire traditionnelle. On retrouve ainsi les éléments fondamentaux d'une agence bancaire : l accueil établissement : sont disponibles en libre service les renseignements d ordre général et les documentations. L'accueil établissement est matérialisé dans une agence par différents éléments : une enseigne, située au dehors de l'agence et qui identifie l'établissement auprès du passant ; des locaux, comprenant : o une entrée principale ; 9 / 123
10 o un hall d'accueil ; o un guichet ; o des bureaux, dont certains accessibles au client (pour les entretiens avec des conseillers) ; des objets (affiches, dépliants ) faisant la promotion de l'établissement et tous marqués du logo de l'établissement. l accueil guichet : après avoir été identifié par l agent présent au guichet le client peut accéder à certains services bancaires et / ou financiers. Ces services peuvent être qualifiés de standards. Le client peut aussi se diriger vers le guichet pour poser une question. Le personnel au guichet doit alors lui répondre ou l orienter vers le bon interlocuteur. Les services bancaires et financiers accessibles à un guichet sont par exemple : consultation de solde de son (ses) compte(s) bancaire(s) ; demande de chéquier et / ou de carte bancaire ; opposition sur une (ses) carte(s), chèque(s) et prélèvement(s). Certains services ne sont pas accessibles au guichet et nécessitent un entretien avec un conseiller clientèle. L'agent au guichet oriente le client vers le conseiller ou prend rendez-vous pour une date ultérieure. Certains services personnalisés demandent en effet une préparation préalable de la part du conseiller. l accueil exploitants / administrateurs : Il est constitué de tous les éléments intervenant dans l'accès du personnel aux ressources de l'agence. l accueil fournisseur : pour fonctionner, l'agence a besoin d'un certain nombre de fournitures. Quelle que soit l'entrée utilisée (principale ou de service), les modalités d'accueil d'un fournisseur ne sont pas celles d'un client ou d'un membre du personnel Biens et environnement de sécurité L environnement de sécurité comprend : les hypothèses de sécurité retenues ; elles traduisent les contraintes qui s'exercent sur le système étudié par le biais de ses interfaces avec son environnement. les politiques de sécurité organisationnelles ; elles traduisent les règles à respecter. les menaces. Elles sont habituellement exprimées en précisant : l'agent menaçant, pour lequel il est recommandé de décrire : o la motivation ; o l'expertise ; o les moyens financiers. l'attaque, pour laquelle il est recommandé de décrire : o la ou les méthodes d'attaque ; o la ou les vulnérabilités exploitées ; o l'opportunité, c'est à dire les conditions préalables à satisfaire pour pouvoir être en mesure de réaliser l'attaque. le Bien visé. Le caractère générique de ce profil ne permet pas de décrire tous les biens. 10 / 123
11 C'est pourquoi une menace y est définie par un libellé qui regroupe : un type d'attaque ; un ou plusieurs agents menaçants ; un ou plusieurs Biens visés de sécurité Les objectifs de sécurité, regroupés par domaine, expriment les protections permettant de : contrer les menaces identifiées ; prendre en compte les hypothèses de sécurité ainsi que les politiques de sécurité organisationnelles Exigences de sécurité Rappel ; les exigences de sécurité traduisent les objectifs de sécurité conformément au formalisme des Critères Communs. Les exigences de sécurité sont de deux catégories : exigences de sécurité fonctionnelles ; exigences de sécurité d assurance. Les exigences fonctionnelles portent sur les fonctions du système qui contribuent à la sécurité. Les exigences d'assurance portent sur tout le cycle de vie du système. Elles ont pour but de garantir que les fonctions de sécurité mises en œuvre respectent les objectifs de sécurité. 2.2 Rôle de la maîtrise d ouvrage et de la maîtrise d œuvre Maîtrise d ouvrage La maîtrise d ouvrage (MOA) définit le cahier des charges du service bancaire à ouvrir sur Internet, notamment en termes de sécurité. Pour cela elle utilise les objectifs de sécurité du profil de protection Maîtrise d œuvre La maîtrise d œuvre (MOE) conçoit le service bancaire et / ou financier sur Internet défini dans le cahier des charges de la MOA. Elle utilise le Profil de Protection comme référence pour identifier et spécifier les exigences de sécurité que doit satisfaire la Cible de Sécurité, qui, contrairement au Profil de Protection, dépend de l implémentation. Le tableau ci-dessous synthétise l utilisation du Profil de Protection pour les deux catégories de public visé. Phase Pour la maîtrise d ouvrage, utilisation du PP comme : Pour la maîtrise d œuvre, utilisation du PP comme : Définition Guide et référence pour formuler les objectifs de sécurité du cahier des charges du service bancaire et / ou financier sur Internet qu elle commandite. Évaluation Guide pour déterminer les niveaux d assurance requis. Référence pour interpréter les exigences fonctionnelles et formuler les spécifications fonctionnelles pour les cibles d évaluation et de sécurité. Référence pour interpréter les exigences d assurance et déterminer les approches d assurance des cibles d évaluation et de sécurité. 11 / 123
12 3 EXPRESSION DU BESOIN DE SECURITE Ce chapitre regroupe les chapitres imposés par les Critères Communs suivants : Introduction Description de la cible d'évaluation Environnement de sécurité de la cible d'évaluation de sécurité 3.1 Introduction Description générale du Profil de Protection (PP) Ce PP définit le niveau minimum de sécurité pour un Service Bancaire et / ou Financier transactionnel sur Internet (SBFI). Réalisé par la communauté bancaire et financière française conformément à la recommandation du Livre Blanc "Internet : quelles conséquences prudentielles?" (1 ère édition de décembre 2000), il a été élaboré en tenant compte de textes à portée européenne et internationale. Il a pour but de constituer le référentiel de sécurité d'un système fournissant un SBFI, pouvant impliquer l'accès en temps réel à un Système de Production Bancaire et / ou Financier (SPBF) qui participe à la réalisation d'un SBFI. Ce PP concerne la sécurité technique et organisationnelle d'un SBFI et participe, directement ou indirectement, à la couverture des risques : Les principaux risques couverts sont : risques juridiques ; Ils sont liés au non-respect des règles en vigueur dans les pays concernés. Ces règles sont de multiples natures : statut et protection du client (capacité des clients à effectuer des opérations bancaires et financières, droit à la consommation, condition de majorité ou de capacité juridique, conditions d accès au type de service proposé) ; forme de la prestation de services envisagée (forme des contrats conclus électroniquement, conditions déclaratives ou les obligations de vérification, règles applicables à l information des investisseurs, modalités d'obtention d'un agrément ) ; fiscalité, preuve risque de perte de maîtrise de l'outil informatique, conduisant les systèmes d'information (SI) des établissements à ne plus offrir le niveau de sécurité et de service garanti à l utilisateur ; S'agissant de services en ligne, ces risques sont de même nature que les risques traditionnels. Ils nécessitent des mesures techniques, organisationnelles (rôles et responsabilités), administratives (procédures, consignes ) ou relevant de la sécurité physique (dispositif anti-intrusion, contrôle des accès physique, sécurité incendie ). risque de réputation ; L'utilisation d'internet augmente le danger d une perte de crédibilité de la part du public et non seulement des clients face à des dysfonctionnements : problèmes techniques, fraudes, malversations, déni de service, détournements d'utilisation, propagandes répréhensibles. Les dysfonctionnements constatés dans un établissement ou les incidents rencontrés peuvent ternir sa réputation et le déstabiliser.de plus, ils comportent un risque de contagion à l encontre de la communauté bancaire et financière dans son ensemble. 12 / 123
13 risques en matière de blanchiment ; Trois facteurs aggravent les risques de blanchiment dans le cas de services en ligne : la facilité d'accès à un service sans contrainte géographique (matérielle ou temporelle), la dématérialisation, la rapidité de prise en compte des ordres. risques terroristes, qui peuvent cibler les infrastructures vitales pour déstabiliser, voire paralyser les systèmes financiers. Ce PP présente deux caractéristiques fondamentales : il fait abstraction de tout produit ou architecture technique. La cible d'évaluation ou TOE (Target Of Evaluation) porte sur un ou des SBFI dont le PP formalise les exigences de sécurité. Les fonctions de sécurité répondant aux exigences de sécurité seront réparties sur divers composants matériels et / ou logiciels de la TOE ; il concerne une grande variété de SBFI. De ce fait, ce PP contient des objectifs et/ou exigences «conditionnels». Pour une cible d'évaluation (TOE) donnée, certains objectifs et certaines exigences fonctionnelles sont sans objet car ils ne correspondent pas aux éléments existants dans le SBFI. Il est donc indispensable que l'utilisation de ce PP fasse suite à une analyse de risques spécifique à la TOE afin d'adapter les protections au contexte. Cette analyse de risques doit aboutir : 1. à la détermination des objectifs et exigences de sécurité fonctionnelles contenues dans le PP qui sont applicables ; 2. à la définition d'exigences de sécurité pouvant compléter celles du PP. Afin de mettre en exergue la nécessité de cette analyse de risques, cette dernière fait l'objet d'une Hypothèse de sécurité Identification du Profil de protection Ce profil de protection a pour titre : Profil de Protection pour services bancaires et / ou financiers sur Internet. Son numéro de version est V7. Il est enregistré dans le catalogue des profils de protection certifiés de la DCSSI sous le numéro <à enregistrer>. Il est rédigé conformément à la norme ISO/IEC : 1999 (parties 1 à 3). Il concerne un système des Technologies de l'information (TI) et non un produit au sens de l'iso/iec Un Système TI est un ensemble d'éléments matériels et / ou logiciels de traitement de l'information sous forme électronique ayant une finalité et un environnement opérationnel donnés Conventions Ce PP définit un certain nombre de termes. Chaque fois qu'ils sont employés, ils sont écrits avec leur initiale en majuscule. Il définit également des acronymes pour faciliter la lecture. Dès qu'un acronyme est défini il est systématiquement utilisé. Les acronymes définis dans ce PP correspondent à des expressions françaises. Ils côtoient des acronymes issus de l'iso/iec qui correspondent à des expressions anglaises. Le glossaire figurant en annexe regroupe tous les termes et acronymes employés dans le PP. 13 / 123
14 3.2 Description de la cible d évaluation Concepts et définitions Établissement agréé responsable d'un service bancaire et / ou financier Un établissement est dit agréé lorsqu'il a reçu une autorisation pour fournir des services bancaires et / ou des services financiers de la part de l'autorité compétente. L'autorisation est appelée agrément. Un SBFI est sous la responsabilité d'un établissement agréé. Cet établissement est appelé établissement agréé responsable de SBFI (EARS) Canaux Un Canal de communication est un moyen d'échange d'informations sous forme électronique entre deux Systèmes TI. Note d'application : Quand des données électroniques sont échangées à l'aide d'un support de données (bande, disquette ), il ne s'agit pas d'un Canal. Un Canal véhicule uniquement des flux logiques. Un Canal Ouvert est un Canal qui n'est pas contrôlé par l'ears. Un Canal Contrôlé est un Canal qui est contrôlé par l'ears et qui apporte des garanties que tous les Systèmes TI qui y ont accès sont autorisés. Le contrôle effectué peut reposer sur des mécanismes logiques et / ou physiques. Un Canal Internet est un Canal Ouvert empruntant Internet Utilisateur Un Utilisateur est une personne physique qui accède via un Canal Internet à un service bancaire et / ou un service financier. Trois types d'utilisateurs sont définis : l'utilisateur anonyme ne fournit pas d'informations d'identification au cours de l'accès au service ; Par exemple, une personne qui consulte simplement le site pour obtenir la valeur du CAC 40 est un Utilisateur anonyme. l'utilisateur identifié mais non vérifié ; Dans ce cas, les informations d'identification fournies par l'utilisateur le sont sous sa responsabilité et ne sont pas vérifiées par l'ears. Par exemple, une personne qui fournit ses nom, prénom et adresse afin de recevoir de la documentation est un Utilisateur identifié mais non vérifié. l'utilisateur identifié et vérifié, qui fournit des informations d'identification et d'authentification vérifiées sous la responsabilité de l'ears. Par exemple, une personne qui a saisi son identifiant puis son mot de passe pour passer un ordre de virement de compte à compte est un Utilisateur identifié et vérifié. Il n'existe pas de correspondance exacte entre les trois types d'utilisateurs précédemment définis et la notion de client. Dans la suite du PP, un Utilisateur est considéré comme identifié et vérifié. 14 / 123
15 Transaction bancaire et / ou financière sur Internet Une transaction bancaire et / ou financière sur Internet (Transaction) est une opération ordonnée via Internet par un Utilisateur identifié et vérifié. Elle est prise en compte, par un EARS reconnu comme agréé, par l'utilisateur, au moyen d un acquittement renvoyé à l Utilisateur en temps réel. Une Transaction est constituée d'une suite d'opérations élémentaires, elle doit avoir un début et une fin. La fin est matérialisée par l'acquittement, qui confirme la prise en compte de la Transaction. Même si l'acquittement ne parvient pas à l'utilisateur (quelle qu'en soit la raison), l'opération est enregistrée et constitue une Transaction. Les opérations élémentaires de traitement d'une Transaction peuvent ne pas être terminées quand la Transaction est acquittée. A titre d'exemple, une liste non exhaustive de Transactions est donnée en annexe. Les Transactions présentent des sensibilités variées. Leur sensibilité est notamment fonction : de leur périmètre (Transactions intra-établissement, Transactions impliquant plusieurs établissements) ; de leurs caractéristiques propres (limite par ordre et limite du cumul sur une période donnée ) ; de caractéristiques propres à l'utilisateur (profil ) ; du cadre légal et réglementaire. Ce PP distingue deux catégories de Transactions selon leur sensibilité : les Transactions présentant un risque opérationnel élevé ; les autres Transactions. La distinction de ces deux catégories de Transactions est l'un des deux «éléments variables» du PP. En effet, le PP concerne ainsi des TOE traitant : soit de Transactions «normales» ; soit de Transactions présentant un risque opérationnel élevé ; soit de Transactions des deux catégories. Pour une TOE donnée, l'ears doit classifier les Transactions dans le cadre de l'analyse de risques mentionnée au paragraphe Le paragraphe précise les répercussions, sur le reste du PP, de la prise en considération des éléments variables Service bancaire et / ou financier sur Internet Un service bancaire et / ou financier sur Internet (SBFI) est un service bancaire et / ou financier accessible via un Canal Internet et impliquant une Transaction Système fournissant un ou des services bancaires et / ou financiers sur Internet Un Système SBFI est un système fournissant un ou des SBFI. 15 / 123
16 3.2.2 Vue d'ensemble de la fourniture d'un service bancaire et / ou financier sur Internet La fourniture d'un SBFI implique au moins deux Systèmes TI : l'équipement de l'utilisateur ; le Système SBFI. En outre, un ou plusieurs systèmes de production bancaires et / ou financiers (SPBF) peuvent intervenir pour certaines Transactions. Equipement Utilisateur Transaction sans accès SPBF Transaction avec accès SPBF Système SBFI SPBF Canal Internet Figure 1 : Vue d'ensemble de la fourniture d'un SBFI Notes d'application : Les équipements des Utilisateurs et des Fournisseurs sont par défaut non sûrs Les Acteurs ayant les Rôles Utilisateur ou Fournisseur de données constituent des populations très variées et non contrôlées par l'ears. Il est ainsi exclu de considérer que tous emploient un équipement ayant : les mêmes propriétés de sécurité ; au moins un certain niveau de sécurité. De ce fait leurs équipements doivent être considérés comme non sûrs Les équipements des Exploitants, des Administrateurs, des Chargés de clientèle ainsi que les SPBF sont contrôlés mais considérés comme non sûrs au sens de l ISO/IEC Les équipements de ces Acteurs sont contrôlés par l'ears, qui prend un soin particulier pour les sécuriser, notamment les SPBF. Néanmoins ils sont considérés comme non sûrs au sens de l'iso/iec parce que le fait de désigner l'un de ces équipements comme étant de confiance au sens de la norme nécessite au préalable son évaluation 1 ou du moins d'avoir prouvé qu'il dispose de fonctions de sécurité adaptées Acteurs et Rôles Un Acteur est une personne physique qui interagit avec la TOE. Un Rôle est un ensemble de règles définissant les interactions autorisées entre la TOE et un Acteur ou un Système TI externe à la TOE. Un rôle traduit des responsabilités. Les rôles définis sont : Utilisateur ; Ce Rôle est alloué aux Acteurs que sont les Utilisateurs (considérés comme identifiés et vérifiés), ou aux Systèmes TI agissant au nom de ces Acteurs. 1 Cf. la norme, paragraphe 1.3 du tome 2, alinéa / 123
17 Fournisseur de données ; Ce Rôle est alloué aux Acteurs ou Systèmes TI externes à la TOE responsables de la fourniture de données à la TOE. Par exemple, les sociétés transmettant des informations financières sont des Fournisseurs de données (Bloomberg, Fininfo ). Chargé de clientèle ; Ce Rôle est alloué aux Acteurs placés sous la responsabilité de l'ears et qui utilisent la TOE pour dialoguer de manière interactive avec un Utilisateur, ou aux Systèmes TI agissant au nom de ces Acteurs. SPBF ; Ce Rôle est alloué aux Systèmes TI externes à la TOE que sont les SPBF. Exploitant ; Ce Rôle est alloué aux Acteurs ou Systèmes TI externes qui ont la responsabilité de surveiller et faire fonctionner la TOE et qui emploient un accès logique à la TOE (par exemple : exploitant système, équipe de maintenance). Dans certains cas, l'accès logique est précédé d'un accès physique à la TOE. C'est par exemple le cas pour le changement d'une carte réseau défectueuse. Administrateur ; Ce Rôle est alloué aux Acteurs ou Systèmes TI externes qui ont la responsabilité de définir et contrôler le fonctionnement de la TOE et qui emploient un accès logique à la TOE (par exemple : administrateur système, administrateur sécurité, administrateur fonctionnel, webmestre). Dans certains cas, l'accès logique est précédé d'un accès physique à la TOE. C'est par exemple le cas pour l'initialisation de certains équipements cryptographiques. Certains Acteurs peuvent accéder à la TOE sous des Rôles différents. Les formulations du type "les Acteurs ayant le Rôle Utilisateur ( )" sont lourdes. Dans la suite du document et quand il n'y aura pas d'ambiguïté, des formulations abrégées seront utilisées pour faire référence aux Acteurs. Elles consistent à donner aux Acteurs le nom de leur Rôle (un Utilisateur, des Utilisateurs, un Exploitant ) Modélisation de la cible d'évaluation Modèle d Architecture fonctionnelle d'un Système SBFI et de son environnement L architecture fonctionnelle d'un Système SBFI et de son environnement est composée de Blocs fonctionnels, c'està-dire d ensembles de fonctions contribuant à un même objectif. 17 / 123
18 Système SBFI Fournisseur de données Ouvert ou Contrôlé Accueil Fournisseurs de données Contrôlé Réception n 1 Réception n 2 Contrôlé SPBF... Utilisateur Canal Internet (Ouvert) Contrôlé Accueil Etablissement pour Utilisateurs Contrôlé Accueil Guichet pour Utilisateurs Contrôlé SBFI n 1... Canal Internet (Ouvert) Exploitant Contrôlé Canal Internet (Ouvert) Administrateur Contrôlé Accueil Exploitants et Administrateurs Contrôlé Exploitation Détection intrusions... Contrôlé SBFI n i... Système de surveillance Contrôlé Chargé de clientèle Un rectangle aux bordures fines représente un Bloc fonctionnel, un rectangle aux bordures épaisses réprésente un Système TI externe. Les accès devant être gérés sur la base d'un Rôle, c'est celui-ci qui est indiqué pour identifier le système TI externe ou l'acteur. Aucune donnée ne figure sur le schéma car il est considéré que l'accès à une donnée est effectué à l'aide d'un Bloc fonctionnel. - Le Bloc fonctionnel "Accueil Etablissement pour Utilisateurs" a au moins les fonctions : * d'identifier et authentifier sans ambiguïté le Système SBFI auprès de l'utilisateur ; * de mener clairement au guichet. - Le Bloc fonctionnel "Accueil Guichet pour Utilisateurs" a au moins les fonctions : * d'identifier l'utilisateur, ou de s'assurer que son identification a été faite ; * de présenter clairement les SBFI fournis à l'utilisateur, en fonction de son identification ; * de donner accès au SBFI demandé. - Un Bloc fonctionnel "SBFI n i" a au moins les fonctions : * d'authentifier l'utilisateur, ou de s'assurer que son authentification a été faite ; * de fournir le SBFI demandé, en fonction des droits de l'utilisateur. - Le Bloc fonctionnel "Accueil Fournisseurs de données" a au moins les fonctions : * d'identifier et authentifier sans ambiguïté le Système SBFI auprès du Fournisseur de données ; * d'identifier le Fournisseur de données ; * de donner accès au Bloc fonctionnel gérant la réception de données concernée. - Un Bloc fonctionnel "Réception n i" a au moins les fonctions : * d'authentifier le Fournisseur de données, ou de s'assurer que son authentification a été faite ; * de gérer la réception de données concernée, en fonction des droits du Fournisseur de données. - Le Bloc fonctionnel "Accueil Exploitants et Administrateurs" a au moins les fonctions : * d'identifier le Système SBFI ; * d'identifier et authentifier l'exploitant et l'administrateur ; * de proposer les fonctions d'exploitation ou administration autorisées, en fonction des droits de l'acteur. - Les Blocs fonctionnels "Exploitation", "Détection d'intrusions"... offrent les fonctions d'exploitation/administration accessibles. - Le Bloc fonctionnel "Système de surveillance" regroupe toutes les fonctions de surveillance. Figure 2 : Modèle fonctionnel d'un Système SBFI L architecture fonctionnelle d'un Système SBFI repose sur les principes suivants : les Blocs fonctionnels concernent exclusivement un (ou plusieurs) SBFI ; Les services qui ne sont pas des SBFI sont pris en charge par des Blocs différents de ceux figurant sur le schéma. 18 / 123
19 les Blocs fonctionnels "Accueil Établissement pour Utilisateurs", "Accueil Guichet pour Utilisateurs" et "SBFI n i" sont volontairement distincts ; chaque Bloc fonctionnel doit faire l'objet de mécanismes empêchant son contournement ; En particulier, un Acteur ayant le Rôle Utilisateur ne doit pas pouvoir accéder au Bloc fonctionnel "Accueil Guichet pour Utilisateurs" sans être passé par le bloc "Accueil Établissement pour Utilisateurs". Note d'application : Le non-contournement s'applique aux Blocs fonctionnels, pas aux fonctions de sécurité auxquelles ceux-ci font appel (authentification, contrôle d'accès logique ). les fonctions d'identification, d'authentification et de gestion des droits, faisant partie intégrante du Système SBFI, ne sont pas forcément spécifiques à un Bloc fonctionnel. Par exemple : l'identification d'un Utilisateur peut être réalisée avant le Bloc fonctionnel "Accueil Guichet pour Utilisateurs" ; l'authentification d'un Utilisateur peut être réalisée avant un Bloc fonctionnel "SBFI n i" ; les Blocs fonctionnels "Accueil Guichet pour Utilisateurs" et "SBFI n i" peuvent demander à un Utilisateur de s'authentifier alors que celui-ci l'a déjà été. En outre, le procédé d'authentification peut être différent ; les droits d'accès d'un Utilisateur à un SBFI peuvent être vérifiés avant un Bloc fonctionnel "SBFI n i" Portée de la cible d'évaluation La TOE est le Système SBFI précédemment modélisé. La TOE inclut la documentation associée, destinée aux différents Rôles. Sont exclus de la TOE : les services qui ne sont pas des SBFI (par exemple de nature non transactionnelle) ; les services fournis aux Utilisateurs par un Canal différent du Canal Internet (accès Minitel par exemple) ; les Systèmes TI que sont les équipements de connexion des Acteurs, et en particulier des Utilisateurs ; les Systèmes TI destinés à secourir tout ou partie des SBFI ; le Système TI de contrôle des accès physiques. Le cycle de vie d'un Système TI comporte au moins les phases : conception réalisation (conception et réalisation constituent souvent deux phases distinctes), qualification, production, évolution du système (maintenance). Ce PP prend en compte la TOE en phase de production Éléments variables de la TOE La nature fonctionnelle du PP ainsi que la diversité des SBFI pris en compte a conduit à introduire la notion «d éléments variables». Un élément variable étant une spécificité fonctionnelle que l on ne retrouve pas forcément dans tous les SBFI. Chaque TOE doit faire l'objet d'une analyse de risques effectuée par l'ears et prenant en compte ces éléments variables. Ce paragraphe présente ces éléments, avec pour chacun d eux : les répercussions sur le PP, notamment concernant les objectifs et exigences fonctionnelles applicables ; la présentation adoptée afin de rendre explicites et claires les règles de sélection des objectifs et exigences applicables. Les éléments variables sont : 1. la distinction de deux catégories de Transactions : les transactions «normales» et celles présentant un «risque opérationnel élevé» ; remarque : ce concept est introduit au paragraphe relatif aux Transactions. L'analyse de risques menée par l'ears doit préciser la catégorie de chaque Transaction. Cette distinction permet de préciser les deux types d' suivants : ceux communs à toutes les Transactions, quelle que soit leur catégorie ; 19 / 123
20 ceux spécifiques aux Transactions présentant un risque opérationnel élevé. remarque 1 : le libellé d'un Objectif spécifique aux Transactions présentant un risque opérationnel élevé précise explicitement que l'objectif porte uniquement sur cette catégorie de Transactions. remarque 2 : certaines exigences fonctionnelles s'appliquent uniquement à un Objectif spécifique à une Transaction présentant un risque opérationnel élevé. Cette information est mise en évidence à l'aide d'une note d'application située après le texte du composant fonctionnel, qui stipule que : «Cette exigence est nécessaire pour satisfaire l'objectif OT.xxx, spécifique aux Transactions présentant un risque opérationnel élevé». 2. la prise en compte de "caractéristiques de sécurité" de certains Biens, qui ne peuvent être précisées dans le PP en termes de besoins en disponibilité et / ou intégrité et / ou confidentialité et / ou non-répudiation. Cet élément variable :concerne les Biens et leurs besoins de sécurité. Il sera détaillé dans le chapitre suivant ( 3.3) concernant l'environnement de sécurité de la TOE). Son existence repose sur le constat suivant : les Biens, par exemple ceux transitant entre l'utilisateur et la TOE, auront des besoins de sécurité différents selon la TOE : besoin en intégrité seul, en confidentialité et intégrité, en non-répudiation, en disponibilité, etc. Au stade du PP, il est impossible de définir une liste de Biens dont on connaît les besoins précis en disponibilité et / ou intégrité et / ou confidentialité et / ou non-répudiation. La prise en compte de "caractéristiques de sécurité" a les répercussions suivantes : plusieurs stipulent dans leur libellé la nécessité de protéger des Biens "conformément à leurs caractéristiques de sécurité", les exigences fonctionnelles relatives aux traitant de la protection conformément aux "caractéristiques de sécurité" des Biens ont été définies selon deux principes : a) faire en sorte qu'à chaque besoin en disponibilité, intégrité, confidentialité ou non-répudiation correspondent au moins une exigence fonctionnelle ; b) ne pas être trop contraignant de façon à laisser aux établissements une marge de manœuvre (matérialisée par les protections supplémentaires susceptibles d'être définies à l'issue de l'analyse de risques qu'ils doivent faire) ; le fait qu'une exigence fonctionnelle participe à la satisfaction d'un objectif relatif à la protection, conformément à des "caractéristiques de sécurité", est mis en évidence à l'aide d'une note d'application située après le texte du composant fonctionnel. Ce texte stipule que : «Cette exigence est nécessaire pour satisfaire l'objectif OT.xxx, relatif à des protections conformes aux «caractéristiques de sécurité» des Biens, pour ce qui concerne : les <Biens Acteur ou Biens SBFI> ; ayant un besoin en : <disponibilité ou intégrité ou confidentialité ou non-répudiation>. Note(s) d'application : Ce PP ne comporte pas d'hypothèse spécifique aux Transactions présentant un risque opérationnel élevé : quel que soit le type d'une Transaction, les hypothèses sur l'usage attendu de la TOE ou sur ses conditions d'emploi sont identiques. Ce PP ne comporte pas de Menace spécifique aux Transactions présentant un risque opérationnel élevé : le type d'une Transaction ne modifie pas la nature des risques, mais éventuellement leurs conséquences. Ce PP n'envisage aucune répercussion sur les exigences d'assurance ou le niveau de résistance des fonctions associé à certaines exigences fonctionnelles. Ces aspects font partie de la marge de manœuvre des établissements à l'issue de leur analyse de risques. 20 / 123
Les principes de la sécurité
Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes
Plus en détailPolitique de Référencement Intersectorielle de Sécurité (PRIS)
PREMIER MINISTRE ADAE PREMIER MINISTRE SGDN - DCSSI =========== Politique de Référencement Intersectorielle de Sécurité (PRIS) Service de confiance "Authentification" =========== VERSION 2.0 1.2.250.1.137.2.2.1.2.1.5
Plus en détailAnnexe sur la maîtrise de la qualité
Version du 09/07/08 Annexe sur la maîtrise de la qualité La présente annexe précise les modalités d'application, en matière de maîtrise de la qualité, de la circulaire du 7 janvier 2008 fixant les modalités
Plus en détailCirculaire n 41/G/2007 du 2 août 2007 relative à l 'obligation de vigilance incombant aux établissements de crédit
Circulaire n 41/G/2007 du 2 août 2007 relative à l 'obligation de vigilance incombant aux établissements de crédit Le Gouverneur de Bank Al-Maghrib ; vu la loi n 34-03 relative aux établissements de c
Plus en détailSPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES
92038 PARIS LA DEFENSE CEDEX Page 1 / 11 SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES 29/11/00 13 Indice
Plus en détailORGANISATION MONDIALE
ORGANISATION MONDIALE DU COMMERCE Comité du commerce des services financiers S/FIN/W/25/Add.1 19 juin 2003 (03-3275) Original: anglais COMMUNICATION DE HONG KONG, CHINE Tendances du marché et questions
Plus en détailGUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES
REPUBLIQUE FRANÇAISE PREMIER MINISTRE Secrétariat Général de la Défense Nationale N 730/ SCSSI Issy-les-Moulineaux, le 13 janvier 1997 GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS
Plus en détail~AISSE D'EPARGNE D'ALSACE
~AISSE D'EPARGNE D'ALSACE DEFINITION D'EMPLOI: Gestionnaire de Clientèle Patrimoniale Code emploi: Filière d'activité: Métier: Rôle: Ventes et Services -- Gestionnaire de Clientèle Spécialiste Clients
Plus en détailNORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE
NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE SOMMAIRE Paragraphes Introduction... 1-4 Personnes
Plus en détailNom-Projet MODELE PLAN DE MANAGEMENT DE PROJET
Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET Glossaire La terminologie propre au projet, ainsi que les abréviations et sigles utilisés sont définis dans le Glossaire. Approbation Décision formelle, donnée
Plus en détailContrôle interne et organisation comptable de l'entreprise
Source : "Comptable 2000 : Les textes de base du droit comptable", Les Éditions Raouf Yaïch. Contrôle interne et organisation comptable de l'entreprise Le nouveau système comptable consacre d'importants
Plus en détailSage CRM. 7.2 Guide de Portail Client
Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,
Plus en détailRapport de certification PP/0101
PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de
Plus en détailNORME COMPTABLE RELATIVE AUX OPERATIONS EN DEVISES DANS LES ETABLISSEMENTS BANCAIRES NC 23
NORME COMPTABLE RELATIVE AUX OPERATIONS EN DEVISES DANS LES ETABLISSEMENTS BANCAIRES NC 23 OBJECTIF 01 - La Norme Comptable Tunisienne NC 15 relative aux opérations en monnaies étrangères définit les règles
Plus en détailPMI PLACE DE MARCHE INTERMINISTERIELLE GUIDE D'UTILISATION UTILISATEUR OPERATEUR ECONOMIQUE
PMI PLACE DE MARCHE INTERMINISTERIELLE GUIDE D'UTILISATION UTILISATEUR OPERATEUR ECONOMIQUE ETAT tous droits réservés Page 1 sur 30 Table des matières 1 PRESENTATION DU GUIDE D'UTILISATION...4 1.1 Introduction...4
Plus en détailCharte de Qualité sur l assurance vie
Charte de Qualité sur l assurance vie PRÉAMBULE La présente Charte de Qualité sur l assurance vie s'inspire largement de la Charte de Qualité ICMA Private Wealth Management, qui présente les principes
Plus en détailAide en ligne du portail
Connectivity 3SKey Aide en ligne du portail Ce fichier d'aide décrit les fonctions du portail 3SKey (clé de signature sécurisée SWIFT). 11 juin 2011 3SKey Table des matières 1 Portail 3SKey... 3 1.1 Fonctions
Plus en détailConformité aux exigences de la réglementation "21 CFR Part 11" de la FDA
Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA Définition de la réglementation 21 CFR partie 11 Au cours de la dernière décennie, l'industrie pharmaceutique a très rapidement
Plus en détailCHAPITRE VI : MODERNISATION DE L'INFRASTRUCTURE DES SYSTEMES DE PAIEMENT
CHAPITRE VI : MODERNISATION DE L'INFRASTRUCTURE DES SYSTEMES DE PAIEMENT Après une phase de diagnostic et d'études, la Banque d'algérie et les banques de la place ont entrepris, à partir de 2003 et d'une
Plus en détailRapport de certification
Rapport de certification, version de base RÉVISION v2.8.2 préparé par le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien d évaluation
Plus en détailCatalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4
Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à
Plus en détailSystèmes de transport public guidés urbains de personnes
service technique des Remontées mécaniques et des Transports guidés Systèmes de transport public guidés urbains de personnes Principe «GAME» (Globalement Au Moins Équivalent) Méthodologie de démonstration
Plus en détailObligation de publication des comptes annuels et consolidés de sociétés étrangères
Département Informations micro-économiques Service Centrale des bilans boulevard de Berlaimont 14 - BE-1000 Bruxelles tél. 02 221 30 01 - fax 02 221 32 66 e-mail: centraledesbilans@nbb.be - site Internet:
Plus en détailNC 30 Les charges techniques dans les entreprises d assurance et / ou de réassurance
NC 30 Les charges techniques dans les entreprises d assurance et / ou de réassurance Objectif 01. L'activité d'assurance et/ou de réassurance se caractérise par l'inversion du cycle de la production et
Plus en détailLe Répertoire National des Certifications Professionnelles (RNCP) Résumé descriptif de la certification
1 sur 5 28/11/2014 09:57 Le Répertoire National des Certifications Professionnelles (RNCP) Résumé descriptif de la certification Intitulé TP : Titre professionnel Technicien(ne) supérieur(e) de support
Plus en détailLignes directrices relatives à la notion de personnes politiquement exposées (PPE)
Janvier 2010 Lignes directrices relatives à la notion de personnes politiquement exposées (PPE) Document de nature explicative (Version actualisée avec mise à jour des dispositions législatives et réglementaires
Plus en détailPUBLICITÉ ET CRÉDIT À LA CONSOMMATION. Les modifications apportées par la Loi du 1 er juillet 2010
PUBLICITÉ ET CRÉDIT À LA CONSOMMATION Les modifications apportées par la Loi du 1 er juillet 2010 La Directive «crédit à la consommation» du 23 avril 2008 a été transposée par la loi n 2010-737 du 1 er
Plus en détailDDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations
DDN/RSSI Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations Page 1 10/03/2015 SOMMAIRE. Article I. Définitions...3 Section I.1 Administrateur...3 Section
Plus en détailRapport de certification PP/0002
PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de
Plus en détailOrientations sur la solvabilité du groupe
EIOPA-BoS-14/181 FR Orientations sur la solvabilité du groupe EIOPA Westhafen Tower, Westhafenplatz 1-60327 Frankfurt Germany - Tel. + 49 69-951119-20; Fax. + 49 69-951119-19; email: info@eiopa.europa.eu
Plus en détailGuide d'inscription pour obtenir un certificat ssl thawte
Guide d'inscription pour obtenir un certificat ssl thawte Sommaire Guide d inscription pour obtenir un certificat SSL Thawte 1 7 étapes simples 1 Avant de commencer 1 Soumettre votre demande d'inscription
Plus en détailLignes directrices relatives à la relation d affaires et au client occasionnel
Avril 2012 Lignes directrices relatives à la relation d affaires et au client occasionnel Document de nature explicative (Version actualisée avec mise à jour des dispositions législatives et réglementaires
Plus en détailÉtat Réalisé En cours Planifié
1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture
Plus en détailLes badges de chantier*
Fabienne Muller Université de Strasbourg - Octobre 2013 Les badges de chantier* * Travail réalisé à partir de l'exploitation des questionnaires envoyés aux partenaires concernés par les dispositifs, éventuellement
Plus en détailLa politique de sécurité
La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,
Plus en détailLe rôle Serveur NPS et Protection d accès réseau
Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailComité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»
Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» CSSS/10/101 AVIS N 10/21 DU 7 SEPTEMBRE 2010 CONCERNANT LA DEMANDE DU MINISTRE DES AFFAIRES SOCIALES RELATIVE AU PROTOCOLE,
Plus en détailITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition)
Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.
Plus en détailGestion des utilisateurs et Entreprise Etendue
Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission
Plus en détailSpécifications de l'offre Surveillance d'infrastructure à distance
Aperçu du service Spécifications de l'offre Surveillance d'infrastructure à distance Ce service comprend les services Dell de surveillance d'infrastructure à distance (RIM, le «service» ou les «services»)
Plus en détailFICHE EXPLICATIVE Système de management de l Énergie (SMÉ)
Certificats d économies d énergie Fiche explicative n FE 50 FICHE EXPLICATIVE Système de management de l Énergie (SMÉ) Fiches d opérations standardisées concernées : N BAT-SE-02 et IND-SE-01. Ce document
Plus en détailSÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/
SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart
Plus en détailportnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.
portnox Livre blanc réseau Janvier 2008 Access Layers portnox pour un contrôle amélioré des accès access layers Copyright 2008 Access Layers. Tous droits réservés. Table des matières Introduction 2 Contrôle
Plus en détailLa nouvelle architecture de contrôle du secteur financier
Communication _2011_15 du 23 mars 2011 La nouvelle architecture de contrôle du secteur financier Champ d'application: Tous les établissements soumis au contrôle de la ou du CREFS. Résumé/Objectifs: La
Plus en détailProjet de règlement général de l AMF sur le financement participatif
Projet de règlement général de l AMF sur le financement participatif 1. L article 211-2 est ainsi rédigé : I. - Au sens du I de l'article L. 411-2 du code monétaire et financier, ne constitue pas une offre
Plus en détailConditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011
Conditions Particulières de Maintenance Ref : Table des matières 1 CONDITIONS PARTICULIÈRES APPLICABLES AUX CONTRATS DE MAINTENANCE...2 1.1 Préambule...2 1.2 Obligations d'atreal et services rendus...2
Plus en détailSécurité et «Cloud computing»
Sécurité et «Cloud computing» Roger Halbheer, conseiller en chef pour la sécurité, secteur public, EMEA Doug Cavit, conseiller principal pour la stratégie de sécurité, Trustworthy Computing, États-Unis
Plus en détailLimites régissant les engagements importants
Bureau du surintendant des Canada Office of the Superintendent of Financial Institutions Canada 255, rue Albert 255 Albert Street Ottawa, Canada Ottawa, Canada K1A 0H2 K1A 0H2 Ligne directrice Objet :
Plus en détailQu'est-ce que la normalisation?
NORMALISATION 1 Qu'est-ce que la normalisation? La normalisation est un outil élémentaire et efficace des politiques européennes, ses objectifs étant de : contribuer à la politique visant à mieux légiférer,
Plus en détailBank Briefing n 2014-19 ARCHIVES
Bank Briefing n 2014-19 ARCHIVES Vendredi 14 novembre 2014 Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement
Plus en détailSEP 2B juin 20. Guide méthodologique de calcul du coût d une prestation
SEP 2B juin 20 12 Guide méthodologique de calcul du coût d une Sommaire Préambule 3 Objectif et démarche 3 1 Les objectifs de la connaissance des coûts 4 2 Définir et identifier une 5 Calculer le coût
Plus en détailConvention Beobank Online et Beobank Mobile
Convention Beobank Online et Beobank Mobile Lisez attentivement cette Convention ("la Convention"). Lisez en tout cas la Section 1 - Conditions générales Beobank Online et Beobank Mobile. Ces conditions
Plus en détailCONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER
CONTROLE GENERAL ECONOMIQUE ET FINANCIER MISSION AUDIT 3, boulevard Diderot 75572 PARIS CEDEX 12 CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER CHARTE DE L'AUDIT Validée par le comité des audits du 4 avril 2012
Plus en détailOASIS www.oasis-open.org/committees/xacml/docs/docs.shtml Date de publication
Statut du Committee Working Draft document Titre XACML Language Proposal, version 0.8 (XACML : XML Access Control Markup Language) Langage de balisage du contrôle d'accès Mot clé Attestation et sécurité
Plus en détailITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition)
Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.
Plus en détailNote à Messieurs les : Objet : Lignes directrices sur les mesures de vigilance à l égard de la clientèle
Alger, le 08 février 2015 Note à Messieurs les : - Présidents des Conseils d Administration ; - Présidents Directeurs Généraux ; - Directeurs Généraux ; - Présidents des Directoires ; - Directeur Général
Plus en détailINTERNET, quelles conséquences prudentielles?
LIVRE BLANC DÉCEMBRE 2000 INTERNET, quelles conséquences prudentielles? C B OMMISSION ANCAIRE SECRÉTARIAT GÉNÉRAL INTERNET QUELLES CONSÉQUENCES PRUDENTIELLES? La Banque de France et le Secrétariat général
Plus en détailINSTRUCTION N 017-12-2010 RELATIVE A L'ORGANISATION DU CONTRÔLE INTERNE AU SEIN DES SYSTEMES FINANCIERS DECENTRALISES
INSTRUCTION N 017-12-2010 RELATIVE A L'ORGANISATION DU CONTRÔLE INTERNE AU SEIN DES SYSTEMES FINANCIERS DECENTRALISES Le Gouverneur de la Banque Centrale des Etats de l'afrique de l'ouest, Vu le Traité
Plus en détailGuide de bonnes pratiques de sécurisation du système d information des cliniques
Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,
Plus en détailLes modules SI5 et PPE2
Les modules SI5 et PPE2 Description de la ressource Propriétés Intitulé long Formation concernée Matière Présentation Les modules SI5 et PPE2 BTS SIO SI5 PPE2 Description Ce document présente une approche
Plus en détailET LA DÉLIVRANCE DU CERTIFICAT
RÉFÉRENTIEL POUR L'ATTRIBUTION ET LE SUIVI D'UNE QUALIFICATION PROFESSIONNELLE D'ENTREPRISE ET LA DÉLIVRANCE DU CERTIFICAT Date d'application : 29 octobre 2014 DOCUMENT QUALIBAT 005 VERSION 06 OCTOBRE
Plus en détailBibliographie. Gestion des risques
Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes
Plus en détailConditions débit argent DEGIRO
Conditions débit argent DEGIRO Table de matières Article 1. Definitions... 3 Article 2. Relation contractuelle... 3 Article 3. Enregistrement de crédit... 4 Article 4. Débit argent... 4 Article 5. Execution
Plus en détailPASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur
Plus en détailACCORD ENTRE LA COMMISSION BANCAIRE ET LA BANQUE NATIONALE DE ROUMANIE
ACCORD ENTRE LA COMMISSION BANCAIRE ET LA BANQUE NATIONALE DE ROUMANIE CONCERNANT LA COOPERATION RECIPROQUE ET L ECHANGE D INFORMATIONS POUR LE CONTROLE BANCAIRE ET PRUDENTIEL 1. Considérant que certaines
Plus en détailRapport de certification
Rapport de certification BMC Real End User Experience Monitoring and Analytics 2.5 Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma
Plus en détailPORTAIL INTERNET DE LA GESTION PUBLIQUE Guide d'utilisation du Portail Internet de la Gestion Publique
PORTAIL INTERNET DE LA GESTION PUBLIQUE Guide d'utilisation du Portail Internet de la Gestion Publique Cette documentation s'adresse aux utilisateurs travaillant avec le navigateur Internet Explorer et
Plus en détailMODELE DE CONVENTION ERDF / <Fournisseur> relative à la dématérialisation fiscale des factures d acheminement
Direction Technique MODELE DE CONVENTION ERDF / relative à la dématérialisation fiscale des factures d acheminement Identification : ERDF-FOR-CF_42E Version : 1 Nombre de pages : 10 Version
Plus en détailREFERENTIEL DE CERTIFICATION
REFERENTIEL DE CERTIFICATION DU TITRE PROFESSIONNEL Technicien(ne) d'assistance en Informatique Niveau IV Site : http://www.emploi.gouv.fr REFERENTIEL DE CERTIFICATION D'UNE SPECIALITE DU TITRE PROFESSIONNEL
Plus en détailManageEngine IT360 : Gestion de l'informatique de l'entreprise
ManageEngine IT360 Présentation du produit ManageEngine IT360 : Gestion de l'informatique de l'entreprise Améliorer la prestation de service à l'aide d'une approche intégrée de gestion des performances
Plus en détailANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Plus en détailCONDITIONS GENERALES MONTE PASCHI BANQUE SA EN LIGNE
CONDITIONS GENERALES MONTE PASCHI BANQUE SA EN LIGNE ARTICLE 1 : OBJET DU CONTRAT Le présent contrat a pour objet de définir les conditions dans lesquelles la MONTE PASCHI BANQUE SA. (ci-après "la Banque")
Plus en détailAnnexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du cyberp@iement Titre 1Conditions Particulières
Annexe 5 Souscrit dans le cadre du cyberp@iement Titre 1Conditions Particulières DESIGNATION DE L ENTREPRISE ci-après "le Client" Nom ou Dénomination sociale... représentée par.. (Nom et prénom du représentant
Plus en détailDestinataires d'exécution
Information Secrétariat général Service des ressources humaines Sous-direction du développement professionnel et des relations sociales 78, rue de Varenne 75349 PARIS 07 SP 0149554955 Note de service SG/SRH/SDDPRS/2014-932
Plus en détailFiche méthodologique Rédiger un cahier des charges
Fiche méthodologique Rédiger un cahier des charges Plan de la fiche : 1 : Présentation de la fiche 2 : Introduction : les grands principes 3 : Contenu, 1 : positionnement et objectifs du projet 4 : Contenu,
Plus en détailFiche de l'awt La sécurité informatique
Fiche de l'awt La sécurité informatique La sécurité informatique est essentielle pour l'entreprise, particulièrement dans le contexte de l'ebusiness: définition, dangers, coûts, outils disponibles Créée
Plus en détailLe modèle de sécurité windows
Le modèle de sécurité windows Cours Windows 2008-2009 Franck Rupin - Laurent Gydé 1 Le modèle de sécurité windows 1 Généralités 2 Les composants du système de sécurité 3 La protection des objets 4 Audit
Plus en détailRESUME DES CONCLUSIONS SUR LE RISQUE OPERATIONNEL. No Objet Remarques et Conclusions du superviseur. Observations après un entretien
BANQUE DE LA REPUBLIQUE DU BURUNDI SERVICE SUPERVISION DES ETABLISSEMENTS BANCAIRES ET STABILITE FINANCIERE INSTITUTION: DATE DE CONTROLE: SUPERVISEUR : PERSONNES INTERROGEES : RESUME DES CONCLUSIONS SUR
Plus en détailMini-Rapport d Audit basé sur la méthode d analyse MEHARI
Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments
Plus en détailÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL
ÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL Au niveau du second degré, l'économie et gestion recouvre un ensemble de champs disciplinaires relevant de l'économie, du droit, des sciences de
Plus en détailDESCRIPTION DU COMPOSANT
Gestion des utilisateurs et des accès Composant pour un Egov intégré Qu'est-ce qu'un composant? C est un élément indispensable à l intégration des systèmes e-gov des différents niveaux politiques. Cet
Plus en détailChapitre 1 er : Introduction. Fonds de protection des dépôts et des instruments financiers
Fonds de protection des dépôts et des instruments financiers Modalités d'application de la protection des dépôts et des instruments financiers auprès d'établissements de crédit et d'entreprises d'investissement
Plus en détailBrève étude de la norme ISO/IEC 27003
RECOMMANDATIONS Brève étude de la norme ISO/IEC 27003 Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80 Fax : 01 53 08 81 clusif@clusif.asso.fr
Plus en détailUne information plus détaillée sur ce document est disponible sur demande écrite.
RESUME DE LA POLITIQUE DE PREVENTION ET DE GESTION DES CONFLITS D INTERETS DU GROUPE CREDIT AGRICOLE APPLIQUEE A LA CAISSE REGIONALE DE CREDIT AGRICOLE CHARENTE- PERIGORD 1) PRESENTATION Le Groupe Crédit
Plus en détailComité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»
Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/09/102 DÉLIBÉRATION N 09/055 DU 1 ER SEPTEMBRE 2009 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL PAR
Plus en détailREGLES GENERALES DE CERTIFICATION HACCP
REGLES GENERALES DE CERTIFICATION HACCP Date d application 1 er Mars 2012 Angle Avenue Kamal Zebdi et rue Dadi Secteur 21, Hay Riad-Rabat Tél.: (+212) 537 57 24 49/53 Fax: (+212) 537 71 17 73 URL : www.imanor.ma
Plus en détailComité sectoriel du Registre national. Avis RN n 01/2013 du 11 décembre 2013
1/9 Comité sectoriel du Registre national Avis RN n 01/2013 du 11 décembre 2013 Objet : demande d'avis relatif au projet d'arrêté royal autorisant la Banque Nationale de Belgique et les établissements
Plus en détailLE SUPPLEMENT AU DIPLOME
LE SUPPLEMENT AU DIPLOME Le présent supplément au diplôme suit le modèle élaboré par la Commission européenne, le Conseil de l'europe et l'unesco/cepes. Le supplément vise à fournir des données indépendantes
Plus en détailEtude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799
David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information
Plus en détailMarquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD
Marquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD (Version 11 juillet 2008) 1- Quels enrobés doivent être marqués? Tous les enrobés bitumineux
Plus en détailwww.pwc.com Alerte regulatory Le dispositif de gouvernance et de contrôle interne des établissements bancaires Novembre 2014
www.pwc.com Alerte regulatory Le dispositif de gouvernance et de contrôle interne des établissements bancaires Novembre 2014 En bref L arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises
Plus en détailSujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.
UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est
Plus en détailles entreprises mentionnées aux points 3 et 4 de l'article «L. 440-2» (Arrêté du 2 juillet 2007) ;
Règlement n o 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d'investissement modifié par les arrêtés du 31mars 2005, du 17 juin 2005, des 20 février
Plus en détailLE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE
LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE Septembre 2011 Page 1 Au sommaire Préambule Le nouveau référentiel sur la forme Le nouveau référentiel sur le
Plus en détailMANUEL DES NORMES Audit légal et contractuel
115 MANUEL DES NORMES TITRE 2 EVALUATION DES RISQUES ET ELEMENTS DE REPONSE AUX RISQUES IDENTIFIES 116 SOMMAIRE INTRODUCTION 2300. PLANIFICATION D UNE MISSION D AUDIT D ETATS DE SYNTHESE 2315. CONNAISSANCE
Plus en détailSGMAROC-ONLINE Particuliers Conditions générales de fonctionnement
SGMAROC-ONLINE Particuliers Conditions générales de fonctionnement Article 1 Objet du service Sur abonnement, la Société Générale Marocaine de Banques met à la disposition de ses clients Particuliers (ci-après
Plus en détailR41 REGLE DE PRESCRIPTION. Télésécurité. Habitations Risques «standard» Edition 12.2000.0 (décembre 2000)
R41 REGLE DE PRESCRIPTION Télésécurité Habitations Risques «standard» Edition 12.2000.0 (décembre 2000) Fédération Française des Sociétés d'assurances Cette règle a été élaborée au sein des instances de
Plus en détail