Guide d exigences de sécurité des téléprocédures types



Documents pareils
Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Luxembourg-Luxembourg: Services de traduction AMI14/AR-RU 2014/S Appel de manifestations d'intérêt

Lancement du projet TOP (Tracabilité et Optimisation des Process)

Procédure ouverte avec Publicité Evaluation de projets innovants pour une pré-maturation et Formation à une méthode d analyse de projets innovants.

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

Politique de Référencement Intersectorielle de Sécurité (PRIS)

COMITE DEPARTEMENTAL DU TOURISME DES PYRENEES ORIENTALES

METIERS DE L INFORMATIQUE

INDICATIONS DE CORRECTION

CHARTE INFORMATIQUE LGL

NOTE 001. Le site Web EGRIAN

TRANSPORT EN AMBULANCE VSL - TAXI. Marché à procédure adaptée. Dossier S REGLEMENT DE LA CONSULTATION

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Fiche FOCUS. Les téléprocédures. Demander à remplacer le titulaire d'un service (substitution)

RECUEIL DE LEGISLATION. S o m m a i r e INTERMEDIAIRES D ASSURANCES ET DE REASSURANCES

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Politique linguistique

RÉVISION DU PLAN D OCCUPATION DES SOLS ET SA TRANSFORMATION EN PLAN LOCAL D URBANISME

Pour révoquer un Gestionnaire des Certificats : le Représentant Légal utilise la fiche n 2A en cochant la case appropriée.

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

QUESTIONNAIRE Responsabilité Civile

GESTION D UNE BASE BIBLIOGRAPHIQUE

Le Diplôme d Instructeur Fédéral

Cahier des charges pour la réalisation d un audit externe du programme GUS / OFS

Université de Lausanne

Certification de Systèmes de Management Recertification

Diplôme de Comptabilité et de Gestion. D é c r e t N d u 2 2 d é c e m b r e A r r ê t é d u 8 m a r s

MANAGEMENT ET GESTION DES ENTREPRISES

COMITE DEPARTEMENTAL DU TOURISME DES PYRENEES ORIENTALES

PROCEDURE ENREGISTREMENT

ARCHIVISTIQUE ET INGÉNIERIE DOCUMENTAIRE

FONDS DE SOUTIEN À L INNOVATION. Règlement du Programme d Appui à l Innovation et au Développement Technologique PTR - Appel à projet ouvert -

Cahier des charges. Achat de bornes interactives pour la Maison de l Environnement de Nice

Food. Notes de Doctrine IFS, Version 2

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Recommandations sur les mutualisations ISO ISO & ISO ITIL

MARCHES PUBLICS DE FOURNITURES COURANTES ET SERVICES

1. DOCUMENTS JUSTIFICATIFS RELATIFS A LA PERSONNE MORALE ET À SES REPRÉSENTANTS LÉGAUX/ TITULAIRE(S) DE COMPTE(S)

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

Description des services KBC-Touch

- Compléter, dater et signer le présent formulaire d adhésion ;

Objet de la consultation. Missions de vérifications et contrôles périodiques obligatoires MARCHES PUBLICS DE FOURNITURES COURANTES ET SERVICES

Auditabilité des SI et Sécurité

- CertimétiersArtisanat

Référentiel Général de Sécurité

LES PROCEDURES DE LA POLITIQUE D ARCHIVAGE

En devenant majeur-e, vous devenez responsable de vos actes, c est-à-dire que vous en mesurez toutes les conséquences.

Format de l avis d efficience

Les mentions et abréviations employées se lisent donc de la façon suivante :

SIMULER ET CONCEVOIR LE TRAVAIL FUTUR

Attention, la visite du site est obligatoire L absence de remise d un certificat de visite entraînera la non-conformité de l offre remise

- Compléter, dater et signer le présent formulaire d adhésion

Gestion Electronique des Documents et la qualité documentaire au cœur du développement durable.

I.G.R.E.T.E.C. Boulevard Mayence,1 Localité/Ville: Charleroi Code postal: 6000

BOURSE «JEUNES BENEVOLES VENDEENS»

Le divorce. Procédures

Sommaire. 03 Introduction. 03 Quelles sont les Entreprises ciblées? 03 Quel est le champ d application du programme?

- Compléter, dater et signer le présent formulaire d adhésion ;

Carte Familles nombreuses

Réaliser la fiche de lecture du document distribué en suivant les différentes étapes de la méthodologie (consulter le support du TD!

PLATEFORME DES ACHATS DE L ANFH CÔTÉ PRESTATAIRES. Version décembre 2012

PROJET DE DÉCRET n Publics concernés : administrés dans leurs relations avec l administration.

HSE MONITOR GESTION DU SYSTÈME DE MANAGEMENT. 8 modules de management intégrés.

Programme Pédagogique National du DUT «Gestion administrative et commerciale» Présentation de la formation

F-Montélimar: Services d'architecture, d'ingénierie et de planification 2010/S AVIS DE CONCOURS

Fiche FOCUS. Les téléprocédures. Demander une adhésion aux services en ligne (mode expert)

CONDITIONS GENERALES DE VENTE EN LIGNE

MARCHE PUBLIC DE TRAVAUX REGLEMENT DE CONSULTATION (RC) Maître d ouvrage

Règlement de la Consultation

COMMENT OBTENIR DES SUBVENTIONS EUROPEENNES

Les frais d accès au réseau et de recours à la signature électronique sont à la charge de chaque candidat.

Expérience professionnelle / stages en entreprise. Langues étrangères. Attestation sur l honneur

REGLEMENT DE LA CONSULTATION

I Buts, Composition et Ressources de l'association

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Prestations d audit et de conseil 2015

uni-emploi au service des entreprises

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

F-Gif-sur-Yvette: Matériel informatique de sauvegarde 2008/S AVIS DE MARCHÉ. Fournitures

GUIDE DU GUICHET UNIQUE de l Agence de Promotion de l Industrie et de l Innovation Janvier 2015

Éléments de cadrage général (toutes UE et semestres confondus)

Programme en 1 an. 3 èmes cycles spécialisés & MBA. Votre candidature cocher le(s) 3 ème(s) cycle(s) choisis en indiquant l ordre de préférence

2. Quel est le problème? 3. Que dit la loi? 4. Qu est ce que le droit à l oubli? 5. Contacts utiles 6. À retenir

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

LIGNES DIRECTRICES À L USAGE DES ORGANISMES RÉALISANT LA CERTIFICATION DE SYSTÈMES DE QUALITÉ POUR LES PROGRAMMES DE CONTRÔLE DU DOPAGE

STRATÉGIE DE SURVEILLANCE

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Règlement de la Consultation

AUTORISATION D OUVERTURE DE COMPTE D ÉPARGNE POUR UN MINEUR

CAHIER DES CHARGES GARDIENNAGE

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

AUDIT CONSEIL CERT FORMATION

Travaux de nettoyage des bâtiments intercommunaux Marché public n

DOSSIER DE DIAGNOSTIC TECHNIQUE

CREATION D UNE ASSOCIATION SPORTIVE ET DEROULEMENT D UNE ASSEMBLEE GENERALE Sources : Legifrance, Mémento Lefebvre Associations, URSSAF

Information Technology Services - Learning & Certification

Fiche FOCUS. Les téléprocédures. Déclarer et payer la CVAE (Acomptes et solde)

Transcription:

M i n i s t è r e d u B u d g e t e t d e l a R é f o r m e d e l E t a t D G M E / S D A E P R E M I E R M I N I S T R E S G D N - D C S S I =========== Guide d exigences de sécurité des téléprocédures types =========== VERSION 1.0 1.2.250.1.137.2.2.1.2.3.8.1 1.0 15/12/2006 Public 1/14

-. Référence Exigences Types- Démarche et utilisationv1.0.doc Identification d objet (OID) Date 15/12/2006 Racine OID et gestionnaire 1.2.250.1.137.2.2.1.2.3.8.1 DGME/SDAE Responsable Version DGME/SDAE-SGDN/DCSSI 1.0 Critère de diffusion Nombre de pages Public 14 HISTORIQUE DES VERSIONS DATE VERSION EVOLUTION DU DOCUMENT REDACTEUR Octobre 2006 0.1 Création du document FIDENS Décembre 2006 1.0 Modification homologation DCSSI/SDAE 1.2.250.1.137.2.2.1.2.3.8.1 1.0 15/12/2006 Public 2/14

- SOMMAIRE 1 INTRODUCTION... 4 2 STRUCTURE DU GUIDE... 6 3 NIVEAU DE SECURITE DE LA TELEPROCEDURE... 9 4 NAVIGATION ET USAGE DU GUIDE... 11 5 PRINCIPES FONDAMENTAUX POUR LA SECURISATION DES TELEPROCEDURES... 12 6 REFERENCES BIBLIOGRAPHIQUES... 14 1.2.250.1.137.2.2.1.2.3.8.1 1.0 15/12/2006 Public 3/14

- 1 Introduction La dématérialisation de la relation entre l Administration et ses usagers passe par la mise en œuvre de procédures dématérialisées de confiance, c'est-à-dire mettant en œuvre des mesures techniques procédurales et organisationnelles de sécurité adaptées aux besoins des usagers. Pour ce faire, le promoteur d application doit analyser les risques affectant la téléprocédure, identifier les exigences de sécurité nécessaires pour couvrir les risques inadmissibles, et s assurer de la prise en compte et du suivi de ces exigences par les différents intervenants sur l ensemble du cycle de vie de son projet. Le promoteur d application s assure que les étapes suivantes sont effectuées : Analyse et traitement des risques Spécification des exigences de sécurité Mise en œuvre et suivi sur l ensemble du cycle de vie du projet par les différents intervenants Afin d assister les promoteurs d application dans leur analyse de risques et la définition des objectifs de sécurité correspondants, le Service pour le Développement de l Administration Electronique (DGME/SDAE) a élaboré une collection documentaire définissant les besoins de sécurité de 7 téléprocédures types : consultation, simulation, démarche en ligne - déclaration, candidature, demandes, paiement en ligne - et inscription à un concours. En procédant par analogie avec l analyse proche de sa problématique, le promoteur d application se voit ainsi facilité dans sa démarche d expression de besoins et de définition de ses objectifs de sécurité. Il convient ensuite de spécifier les exigences de sécurité en réponse à ces objectifs. Afin d aider le promoteur dans la spécification des exigences, le SDAE a réalisé le présent guide, qui présente un ensemble d exigences de sécurité type en réponse aux besoins de sécurité que peuvent présenter les téléprocédures. Le guide facilite également l identification des intervenants concernés par les exigences, et propose des éléments de contrôle et de suivi de la mise en œuvre des exigences. 1.2.250.1.137.2.2.1.2.3.8.1 1.0 15/12/2006 Public 4/14

- Analyse et traitement des risques Spécification des exigences de sécurité Mise en œuvre et suivi sur l ensemble du cycle de vie du projet par les différents intervenants Typologie des procédures Études EBIOS de référence Guide d exigences type : - Support à la spécification des exigences - Aide à l identification des intervenants et au suivi des exigences Collection documentaire support à la prise en compte de la sécurité Ce guide d aide à la définition des exigences de sécurité comporte deux sections. Cette première section présente la structure du guide, et sa logique d utilisation. Elle contient également un rappel des principales exigences qui constituent les règles fondamentales de sécurisation des téléprocédures. 1.2.250.1.137.2.2.1.2.3.8.1 1.0 15/12/2006 Public 5/14

- 2 Structure du guide Ce guide d expression d exigences pour la sécurité des téléprocédures comporte 17 familles d exigences, correspondant aux différents thèmes à aborder en matière de sécurité : Gestion des risques Politique de sécurité Organisation de la sécurité Tiers Gestion des biens Sécurité liée au personnel Sécurité physique et environnementale Sécurité réseau Sécurité des échanges de données Sécurité des serveurs et des systèmes Sécurité des applications et des données applicatives Gestion de l exploitation Contrôle d accès Acquisition, développement et maintenance Gestion des incidents Gestion du PCA Conformité et vérification Cette structure diffère légèrement de la répartition retenue par l ISO dans son code de bonne pratique pour la gestion de la sécurité de l information (ISO 17799). L approche adoptée est plus pragmatique, et facilite l appropriation des exigences par les intervenants concernés. Une matrice de correspondance entre les rubriques de l ISO 17799 et les exigences du présent guide est présentée en annexe de la section 2 du guide. 1.2.250.1.137.2.2.1.2.3.8.1 1.0 15/12/2006 Public 6/14

- Chaque famille comporte une liste des exigences propres au thème abordé. Ces exigences sont de deux natures : - Systématique, auquel cas elles doivent être mises en œuvre quelle que soit la téléprocédure cible et les résultats de l analyse de risques - Optionnelle, auquel cas elles peuvent être mises en œuvre si elles participent à couvrir un objectif de sécurité identifié lors de l appréciation des risques effectuée par le promoteur d application Chaque exigence, systématique ou optionnelle, est déclinée en trois niveaux correspondants au niveau de sensibilité des informations traitées : minimal, standard, élevé. Il appartient au promoteur d application, en fonction de l identification du niveau de sécurité de la téléprocédure, de retenir l exigence au niveau de sécurité correspondant. Guide d exigences Rubrique J Appréciation et traitement du risque Rubrique P Identification du niveau de sécurité Rubrique L Exigence L. m (systématique) Niveau minimal Niveau standard Niveau élevé Expression des exigences Exigence L.j (optionnelle) Niveau minimal Niveau standard Niveau élevé Enfin, chaque exigence est accompagnée d un tableau présentant : 1.2.250.1.137.2.2.1.2.3.8.1 1.0 15/12/2006 Public 7/14

- Le ou les objectifs couvert (s) par l exigence Les éventuelles dépendances avec d autres exigences, lorsqu une exigence en appelle obligatoirement une autre Le responsable de la mise en œuvre et du suivi de l exigence le (s) intervenant (s) impliqué (s) Les moyens de contrôle envisageables pour s assurer de la prise en compte de l exigence, les objectifs couverts, les dépendances avec d autres exigences, le responsable de la mise en œuvre, les intervenants concernés et les moyens de contrôle de la prise en compte de l exigence Les restrictions suivantes doivent être mentionnées : L objectif cible n est pas identifié lorsque l exigence est systématique Les dépendances ne sont pas mentionnées vis-à-vis des exigences systématiques, puisque celles-ci doivent être prises en compte dans tous les cas [Ref rub_ref ex] Intitulé de l exigence Référence de la rubrique Référence de l exigence Mention «exigence systématique» si l exigence doit être mise en œuvre pour toute téléprocédure Objectifs cibles Dépendances Responsable Intervenants Moyens de contrôle objectif (s) que l exigence contribue à couvrir exigence (s) à prendre en compte en support responsable de la mise en œuvre et du suivi de l exigence participants à la mise en œuvre ou au suivi de l exigence élément (s) permettant de contrôler la prise en compte de l exigence Spécification de l exigence, déclinée par niveau 1.2.250.1.137.2.2.1.2.3.8.1 1.0 15/12/2006 Public 8/14

- 3 Niveau de sécurité de la téléprocédure Le niveau de sécurité de la téléprocédure est caractérisé par la sensibilité des informations traitées ; le promoteur d application doit retenir un des trois niveaux suivants : Niveau Minimal Standard élevé Minimal Les informations traitées par la téléprocédure ont un caractère public ; ce sont des informations pour lesquelles le non respect de la confidentialité, la disponibilité ou l intégrité aurait une incidence mineure pour leur propriétaire ou leur dépositaire. A titre d exemple, le niveau minimal pourrait être attribué aux téléprocédures suivantes : consultation d information sur l environnement, déclaration de changement d adresse, demande d extrait de casier judiciaire, demande de situation administrative pour un véhicule, calcul des cotisations sociales pour l emploi d une assistante maternelle, demande de certificat d immatriculation, demande d ouverture le dimanche, Standard Les informations traitées peuvent présenter un caractère privé, sans être du type sensible non classifié de défense ; ce sont des informations pour lesquelles le non respect de la confidentialité, l intégrité ou la disponibilité pourrait avoir une incidence non négligeable en terme d image, en terme financier, en terme de savoir faire, pour leur dépositaire ou leur propriétaire. Consultation de compte cotisant (URSSAF), consultation de renseignements d urbanisme, consultation de permis de construire, candidature au permis de conduire, demande de subventions, demande d aide au logement, inscription à un concours, règlement de TVA ou de charges sociales, Elevé Les informations traitées par la téléprocédure sont de type sensible non classifiées de défense : ce sont des informations pour lesquelles le non respect de la confidentialité, la disponibilité ou l intégrité mettrait en cause la responsabilité du propriétaire ou du dépositaire, ou causerait un préjudice à eux-mêmes ou à des tiers. A titre d exemple, on peut citer : 1/ Les informations citées à l article 6 de la loi n 78-753 du 17 juillet 1978 portant diverses mesures d amélioration des relations entre l administration et le public, dont la consultation ou la communication, selon les termes de la loi, porteraient atteinte : Au secret des délibérations du Gouvernement et des autorités responsables relevant du pouvoir exécutif (si elles ne sont pas, par ailleurs, protégées par le secret de défense) ; A la monnaie et au crédit public, à la sécurité publique ; 1.2.250.1.137.2.2.1.2.3.8.1 1.0 15/12/2006 Public 9/14

- Au déroulement des procédures engagées devant les juridictions ou d opérations préliminaires à de telles procédures ; Au secret de la vie privée, des dossiers personnels et médicaux ; Au secret en matière commerciale et industrielle ; A la recherche, par les services compétents, des infractions fiscales et douanières ; Ou de façon générale, aux secrets protégés par la loi. 2/ Les informations qui ne présentent pas un caractère de secret mais qui restent soumises à l obligation de réserve ou de discrétion professionnelle. 3/ Les informations constitutives du patrimoine scientifique, industriel et technologique. 1.2.250.1.137.2.2.1.2.3.8.1 1.0 15/12/2006 Public 10/14

- 4 Navigation et usage du guide La navigation dans ce guide d exigences est conditionnée par deux clés : - les objectifs de sécurité retenus suite à l analyse de risques réalisée par le promoteur d application - le niveau de sensibilité des informations traitées Le promoteur identifie les objectifs de sécurité de la téléprocédure, ainsi que le niveau de sensibilité des informations traitées. Il sélectionne ensuite pour chacune des 17 rubriques du guide d exigences : L ensemble des exigences systématiques, au niveau de sensibilité correspondant Les exigences optionnelles lorsqu elles répondent à un objectif de sécurité retenu, au niveau correspondant Les exigences optionnelles induites par une dépendance avec une exigence sélectionnée, au niveau correspondant. Identification du niveau de sécurité Exigence J. m (systématique) Niveau minimal Niveau standard Niveau élevé Objectif Oj Exigence L.j (objectif cible : Oj) Niveau minimal Niveau standard Niveau élevé Dépendance P.k Exigence P.k (objectif cible : Ol) Niveau minimal Niveau standard Niveau élevé 1.2.250.1.137.2.2.1.2.3.8.1 1.0 15/12/2006 Public 11/14

- 5 Principes fondamentaux pour la sécurisation des téléprocédures 1 Tout promoteur d application doit mettre en évidence les risques pesant sur sa téléprocédure (analyse des risques) et les hiérarchiser (évaluation des risques). Il est recommandé de procéder à l appréciation des risques (analyse et évaluation) à l aide de la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), publiée par la DCSSI. Le Promoteur d Application pourra s appuyer sur les dossiers d analyse des besoins des téléprocédures type élaborés par la DGME, en se référant à la téléprocédure proche de sa problématique. 2 Le promoteur d application doit ensuite identifier le niveau de sensibilité des informations traitées parmi les trois niveaux minimal, standard ou élevé possibles. 3 L homologation est systématique et conditionne la décision d emploi de la téléprocédure. Elle est prononcée par l autorité d homologation sur la base de : - l analyse de risque réalisée - la justification du niveau de sécurité retenu Ces exigences devront être complétées par une politique de sécurité, dès lors que le niveau de sécurité retenu est standard. Pour une téléprocédure traitant d informations d un niveau de sécurité élevé, la condition sine qua non d une homologation repose sur l élaboration d un dossier de sécurité. Ce dernier devra comporter les éléments suivants : L analyse de risques L identification du niveau de sécurité La politique de sécurité La déclaration d applicabilité Les documents d applications Un rapport d audit Les résultats de l homologation peuvent être les suivants : Une homologation provisoire, qui peut devenir définitive après l application des préconisations formulées par la commission Un refus d homologation Une homologation «définitive» pour une durée maximale de 5 ans. Il appartient à l autorité d homologation, au vu des contrôles des réévaluations de l analyse de risques, de maintenir ou non cette homologation. 1.2.250.1.137.2.2.1.2.3.8.1 1.0 15/12/2006 Public 12/14

- Promoteur d application Appréciation et traitement des risques Identification du niveau de sécurité Positionnement par rapport à l homologation Autorité d homologation Homologation étendue Dossier d homologation Acceptation de l analyse limitée décision sur proposition de la commission Commission d homologation 4 Dans tous les cas, dès la phase de définition du projet, un document de politique de sécurité doit être formalisé qui définit l organisation de la sécurité dans le projet, les responsabilités des intervenants concernés et les mesures de sécurité mises en place pour répondre aux objectifs identifiés. La politique de sécurité pourra référencer d autres documents de l organisation (politique de sécurité interne, politique de sécurité physique ) pour un certain nombre de mesures déjà mises en place et tracées dans le référentiel sécurité de l organisation. Cette politique de sécurité doit être élaborée à partir des exigences du guide applicables à la téléprocédure, particularisées au contexte opérationnel du projet. La politique de sécurité sera révisée lorsque la téléprocédure entrera en phase d exploitation, puis en cas d évolution significative du contexte d emploi. 5 Les mesures de sécurité physiques consistent essentiellement à cloisonner les ressources en fonction de leur sensibilité, et à contrôler les accès sur zones. 6 Les mesures de sécurité logiques concernent les composantes, réseau, serveurs et systèmes, échanges de données et applicatives. Au niveau élevé, les dispositifs matériels et logiciels de sécurité utilisés devront avoir été qualifiés au niveau standard par la DCSSI. 7 La gestion des incidents, le contrôle et le suivi des mesures préconisées constituent également un volet important de la sécurité des téléprocédures. 8 La décision de définir ou non un plan de continuité d activité pour la téléprocédure appartient au promoteur d application, en fonction des résultats de l analyse de risques. 1.2.250.1.137.2.2.1.2.3.8.1 1.0 15/12/2006 Public 13/14

- 6 Références bibliographiques CNIL 78-17 DGME DGME PRIS ISO 17799 OTAN AC/35-D/1034 SGDN EBIOS SGDN PSSI SGDN GISSIP UE, 19 mars 2001 Loi du 6 Janvier 1978 relative à l informatique, aux fichiers et aux libertés, modifiée le 6 Août 2004 Analyse de risques des téléprocédures types Politique de Référencement Intersectorielle de Sécurité Code de bonnes pratiques pour la gestion de la sécurité de l information Document complémentaire sur la protection des informations Nato Restricted Expression des besoins et identification des objectifs de sécurité Guide d élaboration des politiques de sécurité Guide d intégration de la sécurité des systèmes d information dans les projets Règlement de sécurité du conseil de l UE 1.2.250.1.137.2.2.1.2.3.8.1 1.0 15/12/2006 Public 14/14

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back