Académique Documents
Professionnel Documents
Culture Documents
Version : 01
Charte : Charte de sécurité prestataires
Page : 1/14
Date : 30/09/2020
Visa :
Ancienne
Origine Date Synthèse des modifications
version
Contenu
1. Objet................................................................................................................................................ 4
2. Domaine d’application ................................................................................................................... 4
3. Présentation de la politique de sécurité de la RADEEMA ............................................................. 4
3.1. Objectifs ...................................................................................................................................... 4
3.2. Portée et Champ d’application .................................................................................................. 4
3.3. Rôles et responsabilités .............................................................................................................. 5
3.3.1. Le responsable de la sécurité des systèmes d’information (RSSI) ........................................ 5
3.3.2. Le propriétaire d'actif informationnel ................................................................................... 5
3.3.3. L’auditeur interne ................................................................................................................... 5
3.3.4. Responsable du service juridique .......................................................................................... 5
4. Règles de sécurité applicables aux prestataires ............................................................................ 6
4.1. Règles générales ......................................................................................................................... 6
4.2. Règles spécifiques ....................................................................................................................... 7
5. Engagement du prestataire ............................................................................................................ 7
5.1. Engagement du prestataire ........................................................................................................ 7
5.2. Engagement du personnel du prestataire ................................................................................. 7
6. Annexes ........................................................................................................................................... 7
6.1. Annexe A : Engagement de bonne conduite du prestataire ..................................................... 7
6.2. Annexe B : Engagement de bonne conduite du personnel du prestataire ............................... 7
6.3. Annexe C : Règles de sécurité spécifiques à chaque type de prestation .................................. 7
Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 4/14
1. Objet
Le système d’information constitue pour la RADEEMA un levier majeur et indispensable pour
l’atteinte de ses objectifs stratégiques ainsi que pour la garantie du respect de ses engagements
envers sa clientèle et ses différents partenaires. A cet effet, la Direction Générale accorde une
importance capitale à la protection de son patrimoine informationnel et ses systèmes par la maitrise
des différents types de risques pouvant avoir un impact négatif sur la sécurité de l’information et des
moyens de traitements de l’information.
Dans ce cadre, cette charte est destinée aux prestataires intervenant sur le système d’information de
la RADEEMA ou ayant accès à ses actifs informationnels. Elle représente un engagement de leur part
ainsi que de leurs personnels pour une bonne conduite et un strict respect de la politique de sécurité
de l’information de la RADEEMA.
La présente « charte de sécurité », destinée aux prestataires retenus par la RADEEMA, synthétise au
sein d’un unique document les exigences de sécurité de la RADEEMA à l’égard des Systèmes
d’Information, leurs implications sur le déroulement des missions des prestataires et l’engagement
de ces derniers à respecter les règles de sécurité découlant de la politique.
2. Domaine d’application
Le domaine d’application de la présente charte de sécurité concerne les prestations de quelque
nature qu’elles soient et portant sur :
Les locaux techniques et Datacenters ;
L’infrastructure matérielle et logicielle supportant les différents systèmes et applications en
exploitation à la RADEEMA ;
L’infrastructure réseaux et télécommunications et de sécurité ;
Les données métier et des utilisateurs ;
Les applications.
Identifier, réduire et contrôler les risques pouvant porter atteintes aux informations ou
aux systèmes d’informations de la RADEEMA;
Assurer l'intégrité, la disponibilité et la confidentialité des actifs informationnels et des
données corporatives;
Assurer la conformité aux lois et règlements applicables;
Assurer la continuité et la reprise des activités de la RADEEMA en cas de sinistre.
3.2. Portée et Champ d’application
La politique de sécurité de l’information s’applique aux personnes, actifs et activités suivants :
Le RSSI veille à l’élaboration et à l’application de la PSSI. Dans cette perspective, il collabore avec tous
les responsables. En particulier :
Il assure également le maintien à jour du recueil juridique de la RADEEMA par l’instauration d’une
veille juridique permanente relatives aux les lois et règlements qui ont un impact sur le système
d’information de la RADEEMA.
Toute intervention sur un des éléments des Systèmes d'Information doit faire l'objet d'une
autorisation écrite et préalable du Responsable du Service Sécurité SI, qui valide les
conditions de l'intervention et de la réalisation des tâches en collaboration avec le
Responsable SI concerné ;
Le prestataire se doit d’appliquer un devoir de réserve à l’égard de toute information
relative :
o À la nature de son intervention auprès de la RADEEMA ;
o À l’organisation de la RADEEMA et de ses métiers ;
o À l’activité de la RADEEMA ;
o À l’organisation et au fonctionnement de ses systèmes.
L’intervention ne doit, pas porter préjudice :
o Ni à l’intégrité des systèmes et des informations ;
o Ni à la continuité des services assurés par ces systèmes.
Dans le cas où le prestataire ne saurait garantir l’une de ces exigences, il doit en aviser la
RADEEMA immédiatement et obtenir son accord préalable avant d’intervenir. Dans tous
les cas, ce dernier est tenu :
o De pouvoir restaurer le système dans son état initial au cas où l’intervention aurait
conduit à une modification préjudiciable de l’environnement de la RADEEMA ;
o De limiter l’indisponibilité du système à des délais supportables par les directions
fonctionnelles de la RADEEMA et en accord avec ces dernières.
Toute intervention du prestataire doit faire l’objet d’un compte-rendu circonstancié
précisant :
o Le périmètre de l’intervention ;
o Le mode opératoire suivi ;
o Les résultats de l’intervention;
o Les incidents rencontrés et les anomalies détectées.
Outre ces règles associées au domaine d'expertise des prestataires, les personnels de ces derniers
sont également soumis aux mêmes règles que le personnel de la RADEEMA concernant l'utilisation
des Systèmes d'Information. A ce titre, la RADEEMA remet au prestataire et à son personnel une
« Charte Sécurité ».
5. Engagement du prestataire
5.1. Engagement du prestataire
Le prestataire, en tant que personne morale, s’engage à respecter les principes et règles exposés
dans la présente charte en signant et retournant une copie de la page présentée en annexe A.
Le prestataire devra respecter tous les aspects de la politique de sécurité en matière de protection
du Système d'Information notamment les aspects de :
Classification de l’information ;
Accès physiques aux bâtiments et aux locaux ;
Accès logiques aux systèmes informatiques ;
Echanges sous toutes ses formes (électroniques, papier, …) ;
Gestion d’incidents ;
Gestion de changement ;
Gestion des mises en productions ;
Gestion de la maintenance ;
Respect des lois nationales en vigueur (propriété intellectuelle, protection de la vie privée
et des données personnelles, cryptographie, …).
5.2. Engagement du personnel du prestataire
Le personnel affecté par le prestataire à la réalisation de la mission auprès de la RADEEMA signe et
retourne une copie de l’engagement individuel fourni en annexe B.
Toute intervention ne pourra être réalisée sans la signature préalable des engagements du
prestataire et de son personnel.
6. Annexes
Et après avoir pris connaissance, au travers du document intitulé « charte de sécurité », des
exigences de RADEEMA en termes de sécurité de ses Systèmes d’Information,
La société ____________________________________________________________________
reconnaît accepter expressément les termes et conditions explicitées dans la « charte de sécurité
prestataire » et avoir envers RADEEMA un devoir de réserve et une obligation de satisfaire aux
exigences de cette dernière.
Le prestataire s’engage également à communiquer la « charte de sécurité prestataire » à son
personnel qui sera amené, dans le cadre de la prestation, à avoir accès aux informations et Systèmes
d’Information de la RADEEMA, et à faire signer par le personnel concerné l’engagement individuel
joint ci-après. Le prestataire se porte garant de la bonne exécution par son personnel des obligations
susnommées.
Pour Le prestataire,
Nom : _____________________
Prénom : _____________________
Fonction : _____________________
Signature :
Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 9/14
Je confirme être employé de la société présentatrice, et avoir lu, compris et accepté les termes de la « charte
de sécurité prestataire » de RADEEMA.
Nom : _____________________
Prénom : _____________________
Fonction : _____________________
Signature :
Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 10/14
Dans la mesure du possible, tout support contenant des informations relatives à l'activité de la
RADEEMA doit être maintenu dans les locaux de celle-ci.
Si cette disposition ne peut être respectée, l'aval de l’entité fonctionnelle propriétaire concernée doit
être obtenu et le prestataire engage sa responsabilité quant au maintien de la confidentialité
desdites informations.
Le prestataire s'assure qu'un retour arrière est possible, dans des délais raisonnables,
éventuellement fixés en fonction des attentes des entités fonctionnelles concernées.
Continuité de service
Le prestataire s'engage à ne pas altérer la continuité de service du système ou à limiter toute
éventuelle interruption à la durée la plus réduite possible, sur la période la moins pénalisante pour
les entités fonctionnelles.
Accès physiques
L'accès aux locaux techniques doit se faire selon les modalités en vigueur à la RADEEMA.
Il peut notamment être exigé que le personnel du prestataire soit accompagné par un collaborateur
de la RADEEMA pendant son intervention.
Accès logiques
Dans le cas où un accès au système est indispensable, le prestataire se voit remettre un accès
restreint et temporaire qu'il devra utiliser dans le seul cadre de la prestation en cours.
Auditabilité
Les interventions du prestataire sont consignées par écrit et remises au DSI et à l’entité fonctionnelle
à la fin de la prestation.
Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 11/14
Le prestataire veillera à ce que les paramétrages des équipements dans le périmètre de sa prestation
ne soient pas modifiés sans l'accord des entités opérationnelles (DSI et / ou DMC) de la RADEEMA.
Notamment, le personnel du prestataire veillera à ne pas altérer ou empêcher la journalisation des
actions réalisées sur les équipements dans le périmètre de la prestation.
L'intervention du prestataire ne doit en aucun cas altérer l'état ni le fonctionnement des ressources
de la RADEEMA, que ces dernières soient ou non dans le périmètre de sa prestation.
Continuité de service
Accès physiques
L'accès aux locaux techniques doit se faire selon les modalités en vigueur à la RADEEMA.
Il peut notamment être exigé que le personnel du prestataire soit accompagné par un agent
RADEEMA pendant son intervention.
Accès logiques
Dans le cas où un accès au système est indispensable, le prestataire se voit remettre un accès
restreint et temporaire qu'il devra utiliser dans le seul cadre de la prestation en cours.
Auditabilité
Les interventions du prestataire sont consignées par écrit et remises au DSI et à l’entité fonctionnelle
à la fin de la prestation.
Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 12/14
Champ d'application
Les présentes règles s'appliquent dans le cadre de prestations de télémaintenance.
Le prestataire s'engage à ne pas modifier les données ni les paramétrages des équipements et
logiciels en dehors du périmètre de sa prestation.
Le prestataire s'assure qu'un retour arrière est possible, dans des délais raisonnables,
éventuellement fixés en fonction des attentes de l’entité fonctionnelle concernée.
Continuité de service
Accès logiques
Les accès aux systèmes de la RADEEMA doivent se faire par des liaisons temporaires, sécurisées (de
type VPN). Les postes de travail connectés au réseau de la RADEEMA dans le cadre de la
télémaintenance doivent être conformes lignes de base de la sécurité des postes de travail en
vigueur à la RADEEMA.
Les droits octroyés sur le système de la RADEEMA sont restreints et attachés à des identifiants
nominatifs.
Auditabilité
Les interventions réalisées sous les noms des identifiants attribués aux personnels du prestataire font
l'objet d'une journalisation systématique de la part de la RADEEMA, qui se réserve le droit
d'effectuer les contrôles nécessaires.
La RADEEMA se réserve également le droit d'auditer les installations du prestataire afin de vérifier
que les opérations de télémaintenance sont réalisées dans un environnement correspondant aux
normes de sécurité de la RADEEMA.
Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 13/14
Champ d'application
Les présentes règles s'appliquent dans le cadre de prestations portant sur le développement de
nouvelles applications ou sur la maintenance d'applications existantes.
Toute information sur le projet en cours, sur les métiers de la RADEEMA ou sur leur organisation,
ainsi que les données de production auquel le prestataire peut avoir accès doivent rester
confidentielles.
Continuité de service
Toute application doit faire l’objet de tests documentés avant sa mise en production, autorisée par
l’entité fonctionnelle concernée. La mise en production reste aussi conditionnée par la correction des
différentes failles et vulnérabilités soulevées lors de scans de vulnérabilités lancées par les soins de la
RADEEMA sur les l’application en question.
Pour les développements spécifiques, la RADEEMA se réserve le droit d’exiger des modalités, en
commun accord avec le prestataire, concernant l’accès et l’appropriation des codes sources.
Accès logiques
Auditabilité
Toute application doit faire l’objet de documentations à l’attention des utilisateurs et des
administrateurs.
Système Management de la Sécurité de l’Information Réf : SMSI-CH-RFO-01
Version : 01
Charte : Charte de sécurité prestataires
Page : 14/14
Champ d'application
Les présentes règles s'appliquent dans le cadre de prestations d'administration ou d'exploitation des
Systèmes d'Information de la RADEEMA.
Le prestataire s'assure que ses interventions ne portent aucun préjudice à l'état des informations
hébergées par le système, tant pour les données de production que pour les données de
configuration du matériel et des logiciels.
Notamment, le personnel du prestataire veillera à ne pas altérer ou empêcher la journalisation des
actions réalisées sur les équipements et les logiciels dans le périmètre de la prestation.
Continuité de service
Des sauvegardes de recours doivent être régulièrement réalisées et les dispositifs de secours doivent
faire l'objet de tests fréquents afin d'en vérifier le caractère opérationnel.
Accès logiques
La gestion des mots de passe doit faire l’objet d’une attention plus rigoureuse que pour un simple
utilisateur.
L’attribution de droits d’accès à une ressource doit se faire uniquement avec l’accord de l’entité
fonctionnelle propriétaire du système ou des informations qu’il héberge.
Auditabilité
Les interventions du prestataire sont systématiquement journalisées, les journaux étant diffusés au
Responsable du Service Sécurité SI à des fins de contrôle.
Les incidents rencontrées lors des interventions et ayant trait à la sécurité du système d'information
font l'objet de fiches de relevé et d'analyse communiquées au Responsable de la Sécurité SI.