Académique Documents
Professionnel Documents
Culture Documents
Dans le cadre de l’implémentation de la DNSSI au sein des entités et des infrastructures d'importance vitale (IIV) concernées par ses
dispositions, la DGSSI a réalisé cet outil dans l'objectif d'évaluer la conformité des entités et des IIV par rapport à la DNSSI et d'assurer un suivi
pour l'état de mise en oeuvre des règles de sécurité.
Description_outil_évalualuation Page 1
Une amélioration continue du processus est mise en œuvre par une rétroaction quantitative émanant du
Optimisé
processus lui-même et par l'application d'idées et de technologies innovatrices.
Le niveau de conformité d'un contrôle est déduit du niveau de maturité de ce dernier selon l'échelle de correspondance suivante:
Niveau de maturité Niveau de conformité
N/A N/A
Aucun
Non_conforme
Initial
Reproductible
Partielle
Défini
Maitrisé
Totale
Optimisé
3. Synthèse du niveau de maturité SSI par rapport aux règles de la DNSSI
Cette feuille a pour but de donner une synthèse du niveau de maturité selon les valeurs renseignées par l'entité ou de l'IIV, à l'aide de
représentations graphiques.
4. Synthèse du niveau de conformité à la DNSSI
Cette feuille a pour but de donner une synthèse de niveau de conformité du SI par rapport aux règles de la DNSSI selon les valeurs renseignées
par l'entité ou de l'IIV, à l'aide de représentations graphiques.
5. Etat d'avancement
Cette feuille a pour but de renseigner les actions déjà entreprises ainsi que les actions qui seront implémentées pour la mise en conformité de
l'entité ou de l'IIV avec la DNSSI. Cet apperçu sur l'état d'avancement tiendra en compte les mesures à court terme et les mesures atteignables à
moyen terme.
6. Indicateurs de la SSI
Les indicateurs de la SSI énumérés dans ce document sont données à titre indicatif. Ils peuvent être complétés par l'entité ou l'IIV. Ces
indicateurs permettent aux responsables des entités et des l'IIV de définir les axes de progrés et de s'inscrire dans un processus d'amélioration
continue.
Description_outil_évalualuation Page 2
1. Identification de l'entité ou de l'IIV
Informations générales
Dénomination
Département d'appartenance
Adresse
Ville
Adresse du site web
Gestion du document
Auteur de l’évaluation
Date de l’évaluation
Validé par
Date de validation
Page 3
2. Evaluation de la mise en oeuvre des règles de la DNSSI
POL-RISQUE N/A
Objectif 1 : Apporter à la sécurité des systèmes
1. POLITIQUE DE POL-FORMEL N/A
d’information (SI) une orientation et un soutien de la
SECURITE DES
part de la direction de l’entité ou de l’IIV, conformément
SYSTEMES
aux exigences métier et aux lois, règlements, directives POL-PAS N/A
D'INFORMATION
et référentiels en vigueur.
POL-TDB N/A
ORG-INTER-GOUV N/A
Objectif 2 : Établir un cadre de gestion pour engager,
2. puis vérifier la mise en œuvre et le fonctionnement de la ORG-INTER-RSSI N/A
ORGANISATION DE LA sécurité du SI au sein de l’entité ou de l’IIV.
SECURITE DES ORG-INTER-RESP N/A
SYSTEMES
D’INFORMATION
Objectif 3 : Assurer la sécurité du système d’information
ORG-TELETRAV-SEC N/A
de l’entité ou de l’IIV en cas d’adoption du télétravail.
Evaluation_MO_DNSSI Page 4
3. SECURITE DES
RESSOURCES
HUMAINES
ACTIF-RESP-INV N/A
Objectif 7 : Identifier les actifs informationnels de
ACTIF-RESP-PROP N/A
l’entité ou de l’IIV et définir les responsabilités
appropriées en matière de protection. ACTIF-RESP-CHARTE N/A
ACTIF- RESP-CARTO N/A
ACTIF-SUP-AMOV N/A
Objectif 9 : Empêcher la divulgation, la modification, le
retrait ou la destruction non autorisé(e) de l’information ACTIF-SUP-MOBIL N/A
de l’entité ou de l’IIV stockée sur des supports et assurer
la sécurité de l’utilisation des appareils mobiles. ACTIF-SUP-NOMAD N/A
ACTIF-SUP-REB N/A
Objectif 10 : Limiter l’accès à l’information et aux
ACC-EXIG-POL N/A
moyens de traitement de l’information.
ACC-UTILIS-ENREGIS/
N/A
DESINSCRI
ACC-UTILIS-GENERIQ N/A
ACC-UTILIS-REVUE N/A
ACC-SYS/APP-ACC N/A
Objectif 12 : Empêcher les accès non autorisés aux
ACC-SYS/APP-PRIVIL N/A
systèmes et aux applications.
ACC-SYS/APP-MDP N/A
Evaluation_MO_DNSSI Page 5
Objectif 13 : Garantir l’utilisation correcte et efficace de CRYPTO-MES-POL N/A
6. CRYPTOGRAPHIE la cryptographie en vue de protéger la confidentialité,
l’authenticité et l’intégrité de l’information. CRYPTO-MES-GESTCLE N/A
PHYS-ZONE-DECOUP N/A
EXP-SAUV-PROC N/A
Objectif 18: Se protéger de la perte de données. EXP-SAUV-RESTAUR N/A
EXP-SAUV-SEC N/A
EXP- JOURN/SURV-
N/A
JOURNAL
EXP- JOURN/SURV-
N/A
PRIVIL
EXP-JOURN/SURV-MAINT N/A
8. SECURITE LIEE A Objectif 19 : Enregistrer les événements et générer des
L’EXPLOITATION preuves. EXP- JOURN/SURV
N/A
SYNCHRON
Evaluation_MO_DNSSI Page 6
8. SECURITE LIEE A Objectif 19 : Enregistrer les événements et générer des
L’EXPLOITATION preuves.
COM-MANAG-CLOISON N/A
COM-MANAG-FILTRAGE N/A
Objectif 22 : Garantir la protection des informations sur
les réseaux et des moyens de traitement de l’information COM-MANAG-SYSAUT N/A
sur lesquels elle s’appuie. COM-MANAG-DISTANT N/A
9. SECURITE DES
COMMUNICATIONS COM-MANAG-TUNEL N/A
COM-MANAG-RSF N/A
CONTINU-BIA N/A
Objectif 29 : Neutraliser les interruptions des activités de
13. GESTION DE LA l’entité ou de l’IIV, protéger les processus métier CONTINU-ACT N/A
CONTINUITE DE cruciaux des effets causés par les défaillances des
L’ACTIVITE systèmes d’information ou par des sinistres et garantir CONTINU-PLAN N/A
une reprise de ces processus dans les meilleurs délais.
CONTINU-EXERCICE N/A
CONF-OBLIG-IDF N/A
CONF-OBLIG-CYBERSEC N/A
Objectif 30 : Éviter toute violation des obligations
légales, statutaires, réglementaires ou contractuelles
CONF-OBLIG-INTELLECT N/A
relatives à la sécurité des SI.
14. CONFORMITE
CONF-OBLIG-PERSO N/A
CONF-OBLIG-CRYPTO N/A
Objectif 31 : Garantir que la sécurité des SI est mise en
œuvre et appliquée conformément aux politiques et CONF-REVU-SSI N/A
procédures organisationnelles.
Evaluation_MO_DNSSI Page 8
3. Synthèse du niveau de maturité SSI par rapport aux règles de la DNSSI
Aucun 0.00%
Initial 0.00%
Reproductible 0.00%
Défini 0.00%
Maitrisé 0.00%
Optimisé 0.00%
1.DE
1. POLITIQUE POLITIQUE DE
SECURITE DES SECURITE
SYSTEMES DES
D'INFORMATION
SYSTEMES D'INFORMATION
1
Maturité
Aucun Initial Reproductible Défini Maitrisé Optimisé
0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
Maturité
% de règles N/A
Chapitre / Maturité
par chapitre Aucun Initial Reproductible Défini Maitrisé Optimisé
1. POLITIQUE DE SECURITE DES SYSTEMES D'INFORMATION 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
2. ORGANISATION DE LA SECURITE DES SYSTEMES D’INFORMATION 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
3. SECURITE DES RESSOURCES HUMAINES 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
4. GESTION DES ACTIFS INFORMATIONNELS 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
5. CONTROLE D’ACCES 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
6. CRYPTOGRAPHIE 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
7. SECURITE PHYSIQUE ET ENVIRONNEMENTALE 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
8. SECURITE LIEE A L’EXPLOITATION 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
9. SECURITE DES COMMUNICATIONS 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
10. ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES
0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
D’INFORMATION
11. RELATION AVEC LES FOURNISSEURS 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
12. GESTION DES INCIDENTS DE CYBERSECURITE 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
13. GESTION DE LA CONTINUITE DE L’ACTIVITE 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
14. CONFORMITE 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
4. Synthèse du niveau de conformité à la DNSSI
Non_Conforme 0.00%
Partielle 0.00%
Totale 0.00%
13 3
50.00%
12 4
% Totale et par-
tielle
0.00%
% Totale
11 5
10 6
9 7
8
Chapitre / Conformité Objectif % Partielle % Totale Chapitre / Conformité % Partielle % Totale et partielle % Totale
1. POLITIQUE DE SECURITE DES SYSTEMES D'INFORMATION O.1 0,00% 0,00% 1. POLITIQUE DE SECURITE DES SYSTEMES D'INFORMATION 0,00% #VALUE! 0,00%
O.3 0.00% 0.00% 3. SECURITE DES RESSOURCES HUMAINES 0,00% #VALUE! 0,00%
O.4 0,00% 0,00% 4. GESTION DES ACTIFS INFORMATIONNELS 0,00% 0.00% 0,00%
3. SECURITE DES RESSOURCES HUMAINES O.5 0.00% 0.00% 5. CONTROLE D’ACCES 0,00% #VALUE! 0,00%
O.6 0.00% 0.00% 6. CRYPTOGRAPHIE 0,00% #VALUE! 0,00%
O.7 0,00% 0,00% 7. SECURITE PHYSIQUE ET ENVIRONNEMENTALE 0,00% #VALUE! 0,00%
4. GESTION DES ACTIFS INFORMATIONNELS O.8 0,00% 0,00% 8. SECURITE LIEE A L’EXPLOITATION 0,00% #VALUE! 0,00%
O.9 0,00% 0,00% 9. SECURITE DES COMMUNICATIONS 0,00% #VALUE! 0,00%
10. ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES
O.10 0.00% 0.00% 0,00% #VALUE! 0,00%
SYSTEMES D’INFORMATION
5. CONTROLE D’ACCES O.11 0,00% 0,00% 11. RELATION AVEC LES FOURNISSEURS 0,00% #VALUE! 0,00%
O.12 0,00% 0,00% 12. GESTION DES INCIDENTS DE CYBERSECURITE 0,00% #VALUE! 0,00%
6. CRYPTOGRAPHIE O.13 0,00% 0,00% 13. GESTION DE LA CONTINUITE DE L’ACTIVITE 0,00% #VALUE! 0,00%
O.14 0,00% 0,00% 14. CONFORMITE 0,00% #VALUE! 0,00%
7. SECURITE PHYSIQUE ET ENVIRONNEMENTALE
O.15 0,00% 0,00%
O.16 0,00% 0,00%
O.17 0.00% 0.00%
O.18 0,00% 0,00%
8. SECURITE LIEE A L’EXPLOITATION O.19 0,00% 0,00%
O.20 0,00% 0,00%
O.21 0.00% 0.00%
O.22 0,00% 0,00%
9. SECURITE DES COMMUNICATIONS
O.23 0,00% 0,00%
10. ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES O.24 0,00% 0,00%
D’INFORMATION O.25 0,00% 0,00%
O.26 0,00% 0,00%
11. RELATIONS AVEC LES FOURNISSEURS
O.27 0.00% 0.00%
12. GESTION DES INCIDENTS DE CYBERSECURITE O.28 0,00% 0,00%
13. GESTION DE LA CONTINUITE DE L’ACTIVITE O.29 0,00% 0,00%
O.30 0,00% 0,00%
14. CONFORMITE
O.31 0.00% 0.00%
5. Etat d'avancement
Etat d'avancement
Niveau de Niveau de Délai de de
Chapitre Objectif Règle Actions achevées Actions programmées Commentaires
conformité maturité réalisation l'implémentation
de la règle
Objectif 1 : Apporter à la sécurité des systèmes d’information
(SI) une orientation et un soutien de la part de la direction de POL-RISQUE N/A 0
l’entité ou de l’IIV, conformément aux exigences métier et aux
lois, règlements, directives et référentiels en vigueur.
1. POLITIQUE DE SECURITE DES POL-FORMEL N/A 0
SYSTEMES D'INFORMATION
POL-PAS N/A 0
POL-TDB N/A 0
Objectif 2 : Établir un cadre de gestion pour engager, puis
vérifier la mise en œuvre et le fonctionnement de la sécurité du ORG-INTER-GOUV N/A 0
SI au sein de l’entité ou de l’IIV.
ACC-UTILIS-IDF/AUTH N/A 0
5. CONTROLE D’ACCES ACC-UTILIS-HABILIT N/A 0
ACC-UTILIS-GENERIQ N/A 0
ACC-UTILIS-REVUE N/A 0
ACC-SYS/APP-PRIVIL N/A 0
ACC-SYS/APP-MDP N/A 0
Objectif 13 : Garantir l’utilisation correcte et efficace de la
CRYPTO-MES-POL N/A 0
6. CRYPTOGRAPHIE cryptographie en vue de protéger la confidentialité,
l’authenticité et l’intégrité de l’information. CRYPTO-MES-GESTCLE N/A 0
Objectif 14 : Empêcher tout accès physique non autorisé, tout PHYS-ZONE-DECOUP N/A 0
dommage ou intrusion portant sur l’information et les moyens
de traitement de l’information de l’entité ou de l’IIV. PHYS-ZONE-PROC N/A 0
PHYS-ZONE-DISPO N/A 0
PHYS-ZONE-INCEN N/A 0
7. SECURITE PHYSIQUE ET
ENVIRONNEMENTALE
PHYS-ZONE-EAU N/A 0
EXP-VULN-INSTALL N/A 0
EXP-VULN-GEST N/A 0
EXP-VULN-CORRECT N/A 0
Objectif 21 : Réduire au minimum l’incidence des activités
d’audit sur les systèmes en exploitation. EXP-AUDIT-MES N/A 0
INCID-GEST-SIGNAL N/A 0
12. GESTION DES INCIDENTS DE
CYBERSECURITE INCID-GEST-QUALIF N/A 0
INCID-GEST-REPONSE N/A 0
INCID-GEST-ALERT N/A 0
INCID-GEST-REP N/A 0
INCID-GEST-PREUV N/A 0
Objectif 29 : Neutraliser les interruptions des activités de l’entité
CONTINU-BIA N/A 0
ou de l’IIV, protéger les processus métier cruciaux des effets
causés par les défaillances des systèmes d’information ou par
13. GESTION DE LA CONTINUITE des sinistres et garantir une reprise de ces processus dans les CONTINU-ACT N/A 0
DE L’ACTIVITE meilleurs délais.
CONTINU-PLAN N/A 0
CONTINU-EXERCICE N/A 0
Objectif 30 : Éviter toute violation des obligations légales,
statutaires, réglementaires ou contractuelles relatives à la CONF-OBLIG-IDF N/A 0
sécurité des SI.
CONF-OBLIG-CYBERSEC N/A 0
CONF-OBLIG-INTELLECT N/A 0
14. CONFORMITE
CONF-OBLIG-PERSO N/A 0
CONF-OBLIG-CRYPTO N/A 0
Objectif 31 : Garantir que la sécurité des SI est mise en œuvre et
appliquée conformément aux politiques et procédures CONF-REVU-SSI N/A 0
organisationnelles.
Nombre par an
Nombre par an