Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01

Version : 01
Charte : Charte de sécurité prestataires
Page : 1/14

Charte sécurité prestataire

 Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 2/14

Rédacteur Vérificateurs Approbateur

Jaouad BENABBOU Salaheddine

Nom :
MOUNTASSIR
Chef de Division Méthodes,
Fonction : Directeur Général PI
Qualité et Sécurité

Date : 30/09/2020

Visa :

Historique des modifications

Ancienne
Origine Date Synthèse des modifications
version

Création 30/09/2020 __ __________

 Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 3/14

Contenu
1. Objet................................................................................................................................................ 4
2. Domaine d’application ................................................................................................................... 4
3. Présentation de la politique de sécurité de la RADEEMA ............................................................. 4
3.1. Objectifs ...................................................................................................................................... 4
3.2. Portée et Champ d’application .................................................................................................. 4
3.3. Rôles et responsabilités .............................................................................................................. 5
3.3.1. Le responsable de la sécurité des systèmes d’information (RSSI) ........................................ 5
3.3.2. Le propriétaire d'actif informationnel ................................................................................... 5
3.3.3. L’auditeur interne ................................................................................................................... 5
3.3.4. Responsable du service juridique .......................................................................................... 5
4. Règles de sécurité applicables aux prestataires ............................................................................ 6
4.1. Règles générales ......................................................................................................................... 6
4.2. Règles spécifiques ....................................................................................................................... 7
5. Engagement du prestataire ............................................................................................................ 7
5.1. Engagement du prestataire ........................................................................................................ 7
5.2. Engagement du personnel du prestataire ................................................................................. 7
6. Annexes ........................................................................................................................................... 7
6.1. Annexe A : Engagement de bonne conduite du prestataire ..................................................... 7
6.2. Annexe B : Engagement de bonne conduite du personnel du prestataire ............................... 7
6.3. Annexe C : Règles de sécurité spécifiques à chaque type de prestation .................................. 7
 Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 4/14

1. Objet
Le système d’information constitue pour la RADEEMA un levier majeur et indispensable pour
l’atteinte de ses objectifs stratégiques ainsi que pour la garantie du respect de ses engagements
envers sa clientèle et ses différents partenaires. A cet effet, la Direction Générale accorde une
importance capitale à la protection de son patrimoine informationnel et ses systèmes par la maitrise
des différents types de risques pouvant avoir un impact négatif sur la sécurité de l’information et des
moyens de traitements de l’information.

Dans ce cadre, cette charte est destinée aux prestataires intervenant sur le système d’information de
la RADEEMA ou ayant accès à ses actifs informationnels. Elle représente un engagement de leur part
ainsi que de leurs personnels pour une bonne conduite et un strict respect de la politique de sécurité
de l’information de la RADEEMA.

La présente « charte de sécurité », destinée aux prestataires retenus par la RADEEMA, synthétise au
sein d’un unique document les exigences de sécurité de la RADEEMA à l’égard des Systèmes
d’Information, leurs implications sur le déroulement des missions des prestataires et l’engagement
de ces derniers à respecter les règles de sécurité découlant de la politique.

2. Domaine d’application
Le domaine d’application de la présente charte de sécurité concerne les prestations de quelque
nature qu’elles soient et portant sur :
 Les locaux techniques et Datacenters ;
 L’infrastructure matérielle et logicielle supportant les différents systèmes et applications en
exploitation à la RADEEMA ;
 L’infrastructure réseaux et télécommunications et de sécurité ;
 Les données métier et des utilisateurs ;
 Les applications.

3. Présentation de la politique de sécurité de la RADEEMA

3.1. Objectifs
Les objectifs de la RADEEMA en matière de sécurité de l’information sont :

 Identifier, réduire et contrôler les risques pouvant porter atteintes aux informations ou
aux systèmes d’informations de la RADEEMA;
 Assurer l'intégrité, la disponibilité et la confidentialité des actifs informationnels et des
données corporatives;
 Assurer la conformité aux lois et règlements applicables;
 Assurer la continuité et la reprise des activités de la RADEEMA en cas de sinistre.
3.2. Portée et Champ d’application
La politique de sécurité de l’information s’applique aux personnes, actifs et activités suivants :

 Personnes visées : La politique s’adresse à tout le personnel œuvrant à la RADEEMA

sans égard à son statut. De plus, elle s’étend à toute personne dûment autorisée qui utilise
ou qui accède dans l’exercice de ses fonctions pour le compte de la régie, à des
 Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 5/14

informations confidentielles ou non. Egalement sont concernés, les consultants,

partenaires et fournisseurs de la RADEEMA;
 Actifs visés : L’ensemble des actifs informationnels appartenant à la RADEEMA quel que
soit leurs emplacements et leurs supports. L’actif informationnel comprend : les données
(quel soit le support), matériels, logiciels, équipements réseau, supports physiques,
archives et documents importants ;
 Activités visées : E l l e s’applique à l’ensemble des activités de la RADEEMA.

3.3. Rôles et responsabilités

3.3.1. Le responsable de la sécurité des systèmes d’information (RSSI)

Le responsable de la sécurité des systèmes d’information gère et coordonne la sécurité de
l’information au sein de la RADEEMA et entre celle-ci et les intervenants extérieurs. Il doit donc
harmoniser l’action des divers acteurs dans l’élaboration, la mise en place, le suivi et l’évaluation de
la sécurité de l’information.

Le RSSI veille à l’élaboration et à l’application de la PSSI. Dans cette perspective, il collabore avec tous
les responsables. En particulier :

 Définit les orientations de sécurité de l’information et les communique au personnel ainsi

qu’aux partenaires de la RADEEMA ;
 Assure le relais, en termes de sécurité SI, à la fois :
o Entre les équipes techniques et les utilisateurs ;
o Entre la RADEEMA et les intervenants extérieurs (tutelle, DGSSI, prestataires…).

3.3.2. Le propriétaire d'actif informationnel

Les responsables des entités métiers sont les propriétaires désignés des actifs informationnels et
définissent à ce titre les exigences spécifiques en termes correspondants aussi bien en interne
qu’envers les prestataires externes. À cet effet, ils :

 Participent à la sensibilisation des utilisateurs e t des prestataires externes aux besoins

de sécurité de l’information qu’ils manipulent;
 Elaborent un protocole d’entente avec les partenaires de la RADEEMA portant sur
l’utilisation des données dont il est propriétaire et à les faire respecter;

3.3.3. L’auditeur interne

Effectue des examens de conformité indépendants et objectifs de l’efficacité des contrôles qui
s’inscrivent dans les activités de la protection des actifs informationnels de la RADEEMA et ce, dans
un contexte de gestion intégrée des risques. Il s’associe au processus de bilan annuel de sécurité de
l’information afin d’en assurer la conformité.

3.3.4. Responsable du service juridique

Il participe activement à l’évaluation des risques juridiques et à la conformité aux lois et aux
règlements applicables à la RADEEMA.
 Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 6/14

Il assure également le maintien à jour du recueil juridique de la RADEEMA par l’instauration d’une
veille juridique permanente relatives aux les lois et règlements qui ont un impact sur le système
d’information de la RADEEMA.

4. Règles de sécurité applicables aux prestataires

4.1. Règles générales

 Toute intervention sur un des éléments des Systèmes d'Information doit faire l'objet d'une
autorisation écrite et préalable du Responsable du Service Sécurité SI, qui valide les
conditions de l'intervention et de la réalisation des tâches en collaboration avec le
Responsable SI concerné ;
 Le prestataire se doit d’appliquer un devoir de réserve à l’égard de toute information
relative :
o À la nature de son intervention auprès de la RADEEMA ;
o À l’organisation de la RADEEMA et de ses métiers ;
o À l’activité de la RADEEMA ;
o À l’organisation et au fonctionnement de ses systèmes.
 L’intervention ne doit, pas porter préjudice :
o Ni à l’intégrité des systèmes et des informations ;
o Ni à la continuité des services assurés par ces systèmes.
 Dans le cas où le prestataire ne saurait garantir l’une de ces exigences, il doit en aviser la
RADEEMA immédiatement et obtenir son accord préalable avant d’intervenir. Dans tous
les cas, ce dernier est tenu :
o De pouvoir restaurer le système dans son état initial au cas où l’intervention aurait
conduit à une modification préjudiciable de l’environnement de la RADEEMA ;
o De limiter l’indisponibilité du système à des délais supportables par les directions
fonctionnelles de la RADEEMA et en accord avec ces dernières.
 Toute intervention du prestataire doit faire l’objet d’un compte-rendu circonstancié
précisant :
o Le périmètre de l’intervention ;
o Le mode opératoire suivi ;
o Les résultats de l’intervention;
o Les incidents rencontrés et les anomalies détectées.

 La détection de toute anomalie ou incident pouvant remettre en cause la sécurité des

Systèmes d’Information doit être rapportée au Service de Sécurité SI.
 Enfin, toute dérogation à l’un des principes fondamentaux de la sécurité SI de la RADEEMA
ou à l'une des règles décrites dans ce chapitre doit être soumise à l’autorisation préalable
du Responsable de Sécurité SI. Cette dérogation ne soustrait en rien le prestataire à son
obligation de moyens afin de garantir la totale protection des actifs informationnels de la
RADEEMA dans le champ de son intervention.
 Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 7/14

4.2. Règles spécifiques

Les règles spécifiques s'appliquant aux prestataires selon le type de prestation réalisée sont données
en annexe C.

Outre ces règles associées au domaine d'expertise des prestataires, les personnels de ces derniers
sont également soumis aux mêmes règles que le personnel de la RADEEMA concernant l'utilisation
des Systèmes d'Information. A ce titre, la RADEEMA remet au prestataire et à son personnel une
« Charte Sécurité ».

5. Engagement du prestataire
5.1. Engagement du prestataire
Le prestataire, en tant que personne morale, s’engage à respecter les principes et règles exposés
dans la présente charte en signant et retournant une copie de la page présentée en annexe A.
Le prestataire devra respecter tous les aspects de la politique de sécurité en matière de protection
du Système d'Information notamment les aspects de :

 Classification de l’information ;
 Accès physiques aux bâtiments et aux locaux ;
 Accès logiques aux systèmes informatiques ;
 Echanges sous toutes ses formes (électroniques, papier, …) ;
 Gestion d’incidents ;
 Gestion de changement ;
 Gestion des mises en productions ;
 Gestion de la maintenance ;
 Respect des lois nationales en vigueur (propriété intellectuelle, protection de la vie privée
et des données personnelles, cryptographie, …).
5.2. Engagement du personnel du prestataire
Le personnel affecté par le prestataire à la réalisation de la mission auprès de la RADEEMA signe et
retourne une copie de l’engagement individuel fourni en annexe B.
Toute intervention ne pourra être réalisée sans la signature préalable des engagements du
prestataire et de son personnel.

6. Annexes

6.1. Annexe A : Engagement de bonne conduite du prestataire

6.2. Annexe B : Engagement de bonne conduite du personnel du prestataire
6.3. Annexe C : Règles de sécurité spécifiques à chaque type de prestation
 Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 8/14

ENGAGEMENT DE BONNE CONDUITE DU PRESTATAIRE

 Attendu que RADEEMA a demandé à la société _________________________________________,

société anonyme au capital de __________________________________________Dhs,
ayant son siège social _________________________________________________,
immatriculée au Registre du Commerce de ____________________,
sous le numéro _______________________________________________________,
représentée par M/Mme/Mlle ___________________________, dûment habilité(e) aux fins des
présentes,

Une prestation de _________________________________________________________________

________________________________________________________________________________
pour l'exécution de laquelle ladite société est amenée à avoir accès à des systèmes ou à des
informations ou se voir remettre des informations verbales ou sous tout autre forme qui
appartiennent à RADEEMA.

 Attendu que la divulgation ou l’atteinte à l’intégrité ou à la disponibilité physique ou logique de ces

systèmes ou informations est susceptible de nuire aux intérêts de RADEEMA,

 Et après avoir pris connaissance, au travers du document intitulé « charte de sécurité », des
exigences de RADEEMA en termes de sécurité de ses Systèmes d’Information,

La société ____________________________________________________________________
reconnaît accepter expressément les termes et conditions explicitées dans la « charte de sécurité
prestataire » et avoir envers RADEEMA un devoir de réserve et une obligation de satisfaire aux
exigences de cette dernière.
Le prestataire s’engage également à communiquer la « charte de sécurité prestataire » à son
personnel qui sera amené, dans le cadre de la prestation, à avoir accès aux informations et Systèmes
d’Information de la RADEEMA, et à faire signer par le personnel concerné l’engagement individuel
joint ci-après. Le prestataire se porte garant de la bonne exécution par son personnel des obligations
susnommées.

Fait à _________________, le_________________

Pour Le prestataire,
Nom : _____________________

Prénom : _____________________

Fonction : _____________________

Signature :
 Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 9/14

ENGAGEMENT INDIVIDUEL DE BONNE CONDUITE DU PERSONNEL DU

PRESTATAIRE

 La société ________________________________________________ a souscrit vis-à-vis de

RADEEMA un engagement de bonne conduite relatif à la sécurité des Systèmes et informations de
RADEEMA selon les termes et conditions exposés dans le document libellé « charte de sécurité
prestataire » et dont le présent formulaire constitue une annexe.

 Conformément à l’engagement ci-dessus mentionné, le prestataire doit s’assurer que ses

collaborateurs engagés dans la réalisation de la prestation auprès de RADEEMA signent un
formulaire confirmant qu’ils ont été informés et souscrivent aux obligations contenues dans ladite
« charte de sécurité prestataire ».

Je confirme être employé de la société présentatrice, et avoir lu, compris et accepté les termes de la « charte
de sécurité prestataire » de RADEEMA.

Fait à _________________, le_________________

Nom : _____________________

Prénom : _____________________

Fonction : _____________________

Signature :
 Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 10/14

REGLES DE SECURITE SPECIFIQUES AUX PRESTATIONS DE MAINTENANCE

MATERIELLE
Champ d'application
Les présentes règles s'appliquent dans le cadre des prestations de maintenance des équipements
matériels informatiques, réseaux et de télécommunications (serveurs, postes de travail,
imprimantes, équipements réseaux ou de téléphonie...).
Enoncé des règles
 Confidentialité des informations

Dans la mesure du possible, tout support contenant des informations relatives à l'activité de la
RADEEMA doit être maintenu dans les locaux de celle-ci.
Si cette disposition ne peut être respectée, l'aval de l’entité fonctionnelle propriétaire concernée doit
être obtenu et le prestataire engage sa responsabilité quant au maintien de la confidentialité
desdites informations.

 Intégrité des informations

Le prestataire s'assure que ses interventions ne portent aucun préjudice à l'état des informations
hébergées par le système, tant pour les données de production que pour les données de
configuration du matériel et des logiciels.
Notamment, le personnel du prestataire veillera à ne pas altérer ou empêcher la journalisation des
actions réalisées sur les équipements dans le périmètre de la prestation.
 Intégrité des ressources

Le prestataire s'assure qu'un retour arrière est possible, dans des délais raisonnables,
éventuellement fixés en fonction des attentes des entités fonctionnelles concernées.
 Continuité de service
Le prestataire s'engage à ne pas altérer la continuité de service du système ou à limiter toute
éventuelle interruption à la durée la plus réduite possible, sur la période la moins pénalisante pour
les entités fonctionnelles.
 Accès physiques
L'accès aux locaux techniques doit se faire selon les modalités en vigueur à la RADEEMA.
Il peut notamment être exigé que le personnel du prestataire soit accompagné par un collaborateur
de la RADEEMA pendant son intervention.

 Accès logiques

Dans le cas où un accès au système est indispensable, le prestataire se voit remettre un accès
restreint et temporaire qu'il devra utiliser dans le seul cadre de la prestation en cours.

 Auditabilité

Les interventions du prestataire sont consignées par écrit et remises au DSI et à l’entité fonctionnelle
à la fin de la prestation.
 Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 11/14

REGLES DE SECURITE SPECIFIQUES AUX PRESTATIONS DE MAINTENANCE DES

INFRASTRUCTURES
Champ d'application
Les présentes règles s'appliquent dans le cadre de prestations de maintenance des infrastructures
indispensables au bon fonctionnement des Systèmes d'Information.
Il s'agit notamment des locaux techniques, des systèmes de climatisation, des installations de
l’alimentation électrique et des onduleurs, des câblages et gaines techniques...

Enoncé des règles

 Intégrité des informations

Le prestataire veillera à ce que les paramétrages des équipements dans le périmètre de sa prestation
ne soient pas modifiés sans l'accord des entités opérationnelles (DSI et / ou DMC) de la RADEEMA.
Notamment, le personnel du prestataire veillera à ne pas altérer ou empêcher la journalisation des
actions réalisées sur les équipements dans le périmètre de la prestation.

Intégrité des ressources

L'intervention du prestataire ne doit en aucun cas altérer l'état ni le fonctionnement des ressources
de la RADEEMA, que ces dernières soient ou non dans le périmètre de sa prestation.

Continuité de service

Le prestataire s'engage à ne pas porter atteinte à la continuité de service du système ou à limiter

toute éventuelle interruption à la durée la plus réduite possible, sur la période la moins pénalisante
pour les entités fonctionnelles.

Accès physiques

L'accès aux locaux techniques doit se faire selon les modalités en vigueur à la RADEEMA.
Il peut notamment être exigé que le personnel du prestataire soit accompagné par un agent
RADEEMA pendant son intervention.

Accès logiques

Dans le cas où un accès au système est indispensable, le prestataire se voit remettre un accès
restreint et temporaire qu'il devra utiliser dans le seul cadre de la prestation en cours.

Auditabilité

Les interventions du prestataire sont consignées par écrit et remises au DSI et à l’entité fonctionnelle
à la fin de la prestation.
 Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 12/14

REGLES DE SECURITE SPECIFIQUES AUX PRESTATIONS DE TELEMAINTENANCE

Champ d'application
Les présentes règles s'appliquent dans le cadre de prestations de télémaintenance.

Enoncé des règles

 Confidentialité des informations

Dans le cas où les environnements de la RADEEMA ne permettraient pas de masquer les

informations de production au personnel de maintenance, le prestataire s'engage à ne pas accéder à
ces informations, ou à ne pas les divulguer et à ne pas les télécharger ou de les copier sur des
supports amovibles si un accès à ces dernières doit être envisagé.

 Intégrité des informations

Le prestataire s'engage à ne pas modifier les données ni les paramétrages des équipements et
logiciels en dehors du périmètre de sa prestation.

 Intégrité des ressources

Le prestataire s'assure qu'un retour arrière est possible, dans des délais raisonnables,
éventuellement fixés en fonction des attentes de l’entité fonctionnelle concernée.

 Continuité de service

Le prestataire s'engage à ne pas altérer la continuité de service du système ou à limiter toute

éventuelle interruption à la durée la plus réduite possible, sur la période la moins pénalisante pour
les entités fonctionnelles.

 Accès logiques

Les accès aux systèmes de la RADEEMA doivent se faire par des liaisons temporaires, sécurisées (de
type VPN). Les postes de travail connectés au réseau de la RADEEMA dans le cadre de la
télémaintenance doivent être conformes lignes de base de la sécurité des postes de travail en
vigueur à la RADEEMA.
Les droits octroyés sur le système de la RADEEMA sont restreints et attachés à des identifiants
nominatifs.

 Auditabilité

Les interventions réalisées sous les noms des identifiants attribués aux personnels du prestataire font
l'objet d'une journalisation systématique de la part de la RADEEMA, qui se réserve le droit
d'effectuer les contrôles nécessaires.
La RADEEMA se réserve également le droit d'auditer les installations du prestataire afin de vérifier
que les opérations de télémaintenance sont réalisées dans un environnement correspondant aux
normes de sécurité de la RADEEMA.
 Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 13/14

REGLES DE SECURITE SPECIFIQUES AUX PRESTATIONS DE DEVELOPPEMENT ET DE

MAINTENANCE APPLICATIVE

Champ d'application

Les présentes règles s'appliquent dans le cadre de prestations portant sur le développement de
nouvelles applications ou sur la maintenance d'applications existantes.

Enoncé des règles

 Confidentialité des informations

Toute information sur le projet en cours, sur les métiers de la RADEEMA ou sur leur organisation,
ainsi que les données de production auquel le prestataire peut avoir accès doivent rester
confidentielles.

 Continuité de service

Toute application doit faire l’objet de tests documentés avant sa mise en production, autorisée par
l’entité fonctionnelle concernée. La mise en production reste aussi conditionnée par la correction des
différentes failles et vulnérabilités soulevées lors de scans de vulnérabilités lancées par les soins de la
RADEEMA sur les l’application en question.
Pour les développements spécifiques, la RADEEMA se réserve le droit d’exiger des modalités, en
commun accord avec le prestataire, concernant l’accès et l’appropriation des codes sources.

 Accès logiques

Les accès au système d’information doivent se limiter au seul environnement de développement.

 Auditabilité

Toute application doit faire l’objet de documentations à l’attention des utilisateurs et des
administrateurs.
 Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 14/14

REGLES DE SECURITE SPECIFIQUES AUX PRESTATIONS D'ADMINISTRATION ET

D'EXPLOITATION

Champ d'application

Les présentes règles s'appliquent dans le cadre de prestations d'administration ou d'exploitation des
Systèmes d'Information de la RADEEMA.

Enoncé des règles

 Confidentialité des informations

Toute information sur l'architecture, la configuration et le type des Systèmes d'Information de la

RADEEMA, ainsi que les données de production auquel le prestataire peut avoir accès doivent rester
confidentielles.

 Intégrité des informations

Le prestataire s'assure que ses interventions ne portent aucun préjudice à l'état des informations
hébergées par le système, tant pour les données de production que pour les données de
configuration du matériel et des logiciels.
Notamment, le personnel du prestataire veillera à ne pas altérer ou empêcher la journalisation des
actions réalisées sur les équipements et les logiciels dans le périmètre de la prestation.

 Continuité de service

Des sauvegardes de recours doivent être régulièrement réalisées et les dispositifs de secours doivent
faire l'objet de tests fréquents afin d'en vérifier le caractère opérationnel.

 Accès logiques

La gestion des mots de passe doit faire l’objet d’une attention plus rigoureuse que pour un simple
utilisateur.
L’attribution de droits d’accès à une ressource doit se faire uniquement avec l’accord de l’entité
fonctionnelle propriétaire du système ou des informations qu’il héberge.

 Auditabilité

Les interventions du prestataire sont systématiquement journalisées, les journaux étant diffusés au
Responsable du Service Sécurité SI à des fins de contrôle.
Les incidents rencontrées lors des interventions et ayant trait à la sécurité du système d'information
font l'objet de fiches de relevé et d'analyse communiquées au Responsable de la Sécurité SI.