Description de l'outil d'évaluation de la conformité à la DNSSI

Dans le cadre de l’implémentation de la DNSSI au sein des entités et des infrastructures d'importance vitale (IIV) concernées par ses
dispositions, la DGSSI a réalisé cet outil dans l'objectif d'évaluer la conformité des entités et des IIV par rapport à la DNSSI et d'assurer un suivi
pour l'état de mise en oeuvre des règles de sécurité.

Description des feuilles de ce document

1.Identification de l'entité ou de l'IIV
L'objectif de cette feuille est de renseigner la dénomination de l'entité ou de l'IIV, son adresse ainsi que les infomations relatives au RSSI et à
l'auteur de l'évaluation.

2. Evaluation de la mise en œuvre des règles de la DNSSI

L'objectif de cette feuille est d'évaluer le niveau de maturité atteint pour chacune des mesures de sécurité édictées par la DNSSI et ainsi en
déduire le niveau de conformité.
L'auteur de l'évaluation est invité à évaluer la mise en oeuvre de chacune des règles selon l'échelle suivante :
Niveau de maturité Description
N/A La règle est non applicable dans le contexte de l'entité ou de l'IIV. (à justifier)
Aucun Aucun processus/documentation en place.
Le processus est caractérisé par la prédominance d'interventions ponctuelles, voir chaotiques. Il est très peu
Initial
défini et la réussite dépend de l'effort individuel.
Une gestion élémentaire de la sécurité est définie pour assurer le suivi des couts, des délais et de la
Reproductible
fonctionnalité. L'expertise nécessaire au processus est en place pour reproduire la même action.
Le processus de sécurité est documenté, normalisé et intégré dans les processus standards de l'entité ou de
Défini
l'IIV.
Des mesures détaillées sont prises en ce qui concerne le déroulement du processus et la qualité générée. Le
Maitrisé
processus et le niveau de qualité sont connus et contrôlés quantitativement.

Description_outil_évalualuation Page 1
 Une amélioration continue du processus est mise en œuvre par une rétroaction quantitative émanant du
Optimisé
processus lui-même et par l'application d'idées et de technologies innovatrices.

Le niveau de conformité d'un contrôle est déduit du niveau de maturité de ce dernier selon l'échelle de correspondance suivante:
Niveau de maturité Niveau de conformité
N/A N/A
Aucun
Non_conforme
Initial
Reproductible
Partielle
Défini
Maitrisé
Totale
Optimisé
3. Synthèse du niveau de maturité SSI par rapport aux règles de la DNSSI
Cette feuille a pour but de donner une synthèse du niveau de maturité selon les valeurs renseignées par l'entité ou de l'IIV, à l'aide de
représentations graphiques.
4. Synthèse du niveau de conformité à la DNSSI
Cette feuille a pour but de donner une synthèse de niveau de conformité du SI par rapport aux règles de la DNSSI selon les valeurs renseignées
par l'entité ou de l'IIV, à l'aide de représentations graphiques.

5. Etat d'avancement
Cette feuille a pour but de renseigner les actions déjà entreprises ainsi que les actions qui seront implémentées pour la mise en conformité de
l'entité ou de l'IIV avec la DNSSI. Cet apperçu sur l'état d'avancement tiendra en compte les mesures à court terme et les mesures atteignables à
moyen terme.

6. Indicateurs de la SSI
Les indicateurs de la SSI énumérés dans ce document sont données à titre indicatif. Ils peuvent être complétés par l'entité ou l'IIV. Ces
indicateurs permettent aux responsables des entités et des l'IIV de définir les axes de progrés et de s'inscrire dans un processus d'amélioration
continue.

Description_outil_évalualuation Page 2
 1. Identification de l'entité ou de l'IIV
Informations générales
Dénomination
Département d'appartenance
Adresse
Ville
Adresse du site web

Responsable de la Sécurité des SI

Nom et Prénom
Rattachement
e-mail
Téléphone

Gestion du document
Auteur de l’évaluation
Date de l’évaluation
Validé par
Date de validation

Page 3
 2. Evaluation de la mise en oeuvre des règles de la DNSSI

Niveau de Justificatif de non

Chapitre Objectif Règle Conformité
maturité applicabilité

POL-RISQUE N/A
Objectif 1 : Apporter à la sécurité des systèmes
1. POLITIQUE DE POL-FORMEL N/A
d’information (SI) une orientation et un soutien de la
SECURITE DES
part de la direction de l’entité ou de l’IIV, conformément
SYSTEMES
aux exigences métier et aux lois, règlements, directives POL-PAS N/A
D'INFORMATION
et référentiels en vigueur.
POL-TDB N/A

ORG-INTER-GOUV N/A
Objectif 2 : Établir un cadre de gestion pour engager,
2. puis vérifier la mise en œuvre et le fonctionnement de la ORG-INTER-RSSI N/A
ORGANISATION DE LA sécurité du SI au sein de l’entité ou de l’IIV.
SECURITE DES ORG-INTER-RESP N/A
SYSTEMES
D’INFORMATION
Objectif 3 : Assurer la sécurité du système d’information
ORG-TELETRAV-SEC N/A
de l’entité ou de l’IIV en cas d’adoption du télétravail.

Objectif 4 : S’assurer que le personnel et les contractuels RH-AVT- PERSON N/A

comprennent leurs responsabilités et qu’ils sont
compétents pour remplir les fonctions que l’entité ou
l’IIV envisage de leur confier. RH-AVT- COND N/A

3. SECURITE DES Objectif 5 : S’assurer que les employés et les

RESSOURCES contractuels sont conscients de leurs responsabilités en
RH-APRES- FORM N/A
HUMAINES matière de sécurité des SI et qu’ils assument ces
responsabilités.

Evaluation_MO_DNSSI Page 4
3. SECURITE DES
RESSOURCES
HUMAINES

Objectif 6 : Protéger les intérêts de l’entité ou de l’IIV

dans le cadre du processus de modification, de rupture RH-FIN-GEST N/A
ou de terme d’un contrat de travail.

ACTIF-RESP-INV N/A
Objectif 7 : Identifier les actifs informationnels de
ACTIF-RESP-PROP N/A
l’entité ou de l’IIV et définir les responsabilités
appropriées en matière de protection. ACTIF-RESP-CHARTE N/A
ACTIF- RESP-CARTO N/A

Objectif 8 : S’assurer que les actifs informationnels ACTIF- CLASSIF-INFO N/A

4. GESTION DES bénéficient d’un niveau de protection approprié
ACTIFS conforme à leur importance pour l’entité ou pour l’IIV. ACTIF- CLASSIF-MES N/A
INFORMATIONNELS ACTIF- CLASSIF- EXAM N/A

ACTIF-SUP-AMOV N/A
Objectif 9 : Empêcher la divulgation, la modification, le
retrait ou la destruction non autorisé(e) de l’information ACTIF-SUP-MOBIL N/A
de l’entité ou de l’IIV stockée sur des supports et assurer
la sécurité de l’utilisation des appareils mobiles. ACTIF-SUP-NOMAD N/A

ACTIF-SUP-REB N/A
Objectif 10 : Limiter l’accès à l’information et aux
ACC-EXIG-POL N/A
moyens de traitement de l’information.

ACC-UTILIS-ENREGIS/
N/A
DESINSCRI

Objectif 11 : Maîtriser l’accès utilisateur par le biais ACC-UTILIS-IDF/AUTH N/A

d’autorisations et empêcher les accès non autorisés aux
5. CONTROLE D’ACCES systèmes et services d’information.
ACC-UTILIS-HABILIT N/A

ACC-UTILIS-GENERIQ N/A
ACC-UTILIS-REVUE N/A
ACC-SYS/APP-ACC N/A
Objectif 12 : Empêcher les accès non autorisés aux
ACC-SYS/APP-PRIVIL N/A
systèmes et aux applications.
ACC-SYS/APP-MDP N/A

Evaluation_MO_DNSSI Page 5
 Objectif 13 : Garantir l’utilisation correcte et efficace de CRYPTO-MES-POL N/A
6. CRYPTOGRAPHIE la cryptographie en vue de protéger la confidentialité,
l’authenticité et l’intégrité de l’information. CRYPTO-MES-GESTCLE N/A

PHYS-ZONE-DECOUP N/A

Objectif 14 : Empêcher tout accès physique non PHYS-ZONE-PROC N/A

autorisé, tout dommage ou intrusion portant sur PHYS-ZONE-DISPO N/A
l’information et les moyens de traitement de
l’information de l’entité ou de l’IIV. PHYS-ZONE- VIDEOPROT N/A
7. SECURITE PHYS-ZONE-INCEN N/A
PHYSIQUE ET PHYS-ZONE-EAU N/A
ENVIRONNEMENTALE
PHYS-MAT- CABL N/A
PHYS-MAT-OND N/A
Objectif 15 : Empêcher la perte, l’endommagement, le PHYS-MAT-ELECTROG N/A
vol ou la compromission des actifs informationnels et
l’interruption des activités de l’entité ou de l’IIV. PHYS-MAT-CLIM N/A
PHYS-MAT-EQUIP N/A
PHYS-MAT-HORSLOC N/A
EXP-PROC-CHANG N/A
Objectif 16 : S’assurer de l’exploitation correcte et
EXP- PROC-CAP N/A
sécurisée des moyens de traitement de l’information.
EXP-PROC-ENVIR N/A
Objectif 17 : Garantir que l’information et les moyens de
traitement de l’information sont protégés contre les EXP-PROTEC-MALVEIL N/A
logiciels malveillants.

EXP-SAUV-PROC N/A
Objectif 18: Se protéger de la perte de données. EXP-SAUV-RESTAUR N/A
EXP-SAUV-SEC N/A
EXP- JOURN/SURV-
N/A
JOURNAL
EXP- JOURN/SURV-
N/A
PRIVIL
EXP-JOURN/SURV-MAINT N/A
8. SECURITE LIEE A Objectif 19 : Enregistrer les événements et générer des
L’EXPLOITATION preuves. EXP- JOURN/SURV
N/A
SYNCHRON

Evaluation_MO_DNSSI Page 6
8. SECURITE LIEE A Objectif 19 : Enregistrer les événements et générer des
L’EXPLOITATION preuves.

EXP- JOURN/SURV -DIST N/A

EXP- JOURN/SURV -
N/A
CENTR
EXP-SYS-CONFIG N/A
EXP-SYS-DURC N/A
Objectif 20: Garantir l’intégrité des systèmes en
exploitation et empêcher toute exploitation des EXP-VULN-INSTALL N/A
vulnérabilités techniques.
EXP-VULN-GEST N/A
EXP-VULN-CORRECT N/A

Objectif 21 : Réduire au minimum l’incidence des

EXP-AUDIT-MES N/A
activités d’audit sur les systèmes en exploitation.

COM-MANAG-CLOISON N/A

COM-MANAG-FILTRAGE N/A
Objectif 22 : Garantir la protection des informations sur
les réseaux et des moyens de traitement de l’information COM-MANAG-SYSAUT N/A
sur lesquels elle s’appuie. COM-MANAG-DISTANT N/A
9. SECURITE DES
COMMUNICATIONS COM-MANAG-TUNEL N/A
COM-MANAG-RSF N/A

Objectif 23 : Maintenir la sécurité de l’information COM-TRANS-FICHIER N/A

transférée au sein de l’entité ou de l’IIV et vers COM-TRANS-MESS N/A
l’extérieur. COM-TRANS-FILTR N/A

Objectif 24 : Veiller à ce que la sécurité fasse partie DEV-EXIG-PROJET N/A

intégrante des SI tout au long de leur cycle de vie.
DEV-EXIG-TRANSAC N/A
10. ACQUISITION, DEV-PROC-POL N/A
DEVELOPPEMENT ET
MAINTENANCE DES DEV-PROC-CHANG N/A
Objectif 25: S’assurer que la sécurité de l’information
SYSTEMES est mise en œuvre dans le cadre du cycle de DEV-PROC-ENVIR N/A
D’INFORMATION développement des SI conformément aux référentiels et DEV-PROC-TEST N/A
guides en vigueur.
DEV-PROC-CODE N/A
DEV-PROC-DONNEE N/A
FOURNIS-REL-RISQ N/A
Objectif 26 : Garantir la protection des actifs de l’entité
ou de l’IIV accessibles aux fournisseurs.
11. RELATIONS AVEC
LES FOURNISSEURS Evaluation_MO_DNSSI Page 7
 Objectif 26 : Garantir la protection des actifs de l’entité
FOURNIS-REL-POL N/A
ou de l’IIV accessibles aux fournisseurs.
FOURNIS-REL-EXIG N/A
11. RELATIONS AVEC
LES FOURNISSEURS
Objectif 27 : Maintenir un niveau convenu de sécurité de
l’information et de prestation de services, conformément FOURNIS-GEST-SURVEIL N/A
aux accords conclus avec les fournisseurs.

INCID-GEST- PROC N/A

INCID-GEST-CAT N/A

Objectif 28 : Garantir une méthode cohérente et efficace INCID-GEST-SIGNAL N/A

12. GESTION DES
de détection et de traitement des incidents de INCID-GEST-QUALIF N/A
INCIDENTS DE
cybersécurité, incluant la communication des INCID-GEST-REPONSE N/A
CYBERSECURITE
événements et des failles liés à la sécurité.
INCID-GEST-ALERT N/A
INCID-GEST-REP N/A
INCID-GEST-PREUV N/A

CONTINU-BIA N/A
Objectif 29 : Neutraliser les interruptions des activités de
13. GESTION DE LA l’entité ou de l’IIV, protéger les processus métier CONTINU-ACT N/A
CONTINUITE DE cruciaux des effets causés par les défaillances des
L’ACTIVITE systèmes d’information ou par des sinistres et garantir CONTINU-PLAN N/A
une reprise de ces processus dans les meilleurs délais.
CONTINU-EXERCICE N/A

CONF-OBLIG-IDF N/A

CONF-OBLIG-CYBERSEC N/A
Objectif 30 : Éviter toute violation des obligations
légales, statutaires, réglementaires ou contractuelles
CONF-OBLIG-INTELLECT N/A
relatives à la sécurité des SI.
14. CONFORMITE
CONF-OBLIG-PERSO N/A
CONF-OBLIG-CRYPTO N/A
Objectif 31 : Garantir que la sécurité des SI est mise en
œuvre et appliquée conformément aux politiques et CONF-REVU-SSI N/A
procédures organisationnelles.

Evaluation_MO_DNSSI Page 8
 3. Synthèse du niveau de maturité SSI par rapport aux règles de la DNSSI

Répartition des contrôles par niveau de maturité Etat de la mise

% des règles
en œuvre par
par leur état de
niveau de
mise en œuvre
maturité

Aucun 0.00%
Initial 0.00%
Reproductible 0.00%
Défini 0.00%
Maitrisé 0.00%
Optimisé 0.00%

Aucun Initial Reproductible Défini Maitrisé Optimisé

1.DE
1. POLITIQUE POLITIQUE DE
SECURITE DES SECURITE
SYSTEMES DES
D'INFORMATION
SYSTEMES D'INFORMATION
1
Maturité
Aucun Initial Reproductible Défini Maitrisé Optimisé
0.00% 0.00% 0.00% 0.00% 0.00% 0.00%

Aucun Initial Reproductible Défini Maitrisé Optimisé

Maturité
% de règles N/A
Chapitre / Maturité
par chapitre Aucun Initial Reproductible Défini Maitrisé Optimisé

1. POLITIQUE DE SECURITE DES SYSTEMES D'INFORMATION 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
2. ORGANISATION DE LA SECURITE DES SYSTEMES D’INFORMATION 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
3. SECURITE DES RESSOURCES HUMAINES 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
4. GESTION DES ACTIFS INFORMATIONNELS 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
5. CONTROLE D’ACCES 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
6. CRYPTOGRAPHIE 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
7. SECURITE PHYSIQUE ET ENVIRONNEMENTALE 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
8. SECURITE LIEE A L’EXPLOITATION 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
9. SECURITE DES COMMUNICATIONS 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
10. ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES
0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
D’INFORMATION
11. RELATION AVEC LES FOURNISSEURS 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
12. GESTION DES INCIDENTS DE CYBERSECURITE 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
13. GESTION DE LA CONTINUITE DE L’ACTIVITE 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
14. CONFORMITE 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%
 4. Synthèse du niveau de conformité à la DNSSI

Répartition des contrôles par conformité

Etat de la mise en % des règles
œuvre par niveau par leur état de
de conformité mise en œuvre

Non_Conforme 0.00%
Partielle 0.00%
Totale 0.00%

Non_Conforme Partielle Totale

Taux de conformité1par chapitre

14 2
100.00%

13 3

50.00%

12 4

% Totale et par-
tielle
0.00%

% Totale
11 5

10 6

9 7
8

Taux de conformité par objectif Taux de conformité par chapitre

Chapitre / Conformité Objectif % Partielle % Totale Chapitre / Conformité % Partielle % Totale et partielle % Totale

1. POLITIQUE DE SECURITE DES SYSTEMES D'INFORMATION O.1 0,00% 0,00% 1. POLITIQUE DE SECURITE DES SYSTEMES D'INFORMATION 0,00% #VALUE! 0,00%

2. ORGANISATION DE LA SECURITE DES SYSTEMES

O.2 0,00% 0,00% 0,00% #VALUE! 0,00%
2. ORGANISATION DE LA SECURITE DES SYSTEMES D’INFORMATION D’INFORMATION

O.3 0.00% 0.00% 3. SECURITE DES RESSOURCES HUMAINES 0,00% #VALUE! 0,00%
O.4 0,00% 0,00% 4. GESTION DES ACTIFS INFORMATIONNELS 0,00% 0.00% 0,00%
3. SECURITE DES RESSOURCES HUMAINES O.5 0.00% 0.00% 5. CONTROLE D’ACCES 0,00% #VALUE! 0,00%
O.6 0.00% 0.00% 6. CRYPTOGRAPHIE 0,00% #VALUE! 0,00%
O.7 0,00% 0,00% 7. SECURITE PHYSIQUE ET ENVIRONNEMENTALE 0,00% #VALUE! 0,00%
4. GESTION DES ACTIFS INFORMATIONNELS O.8 0,00% 0,00% 8. SECURITE LIEE A L’EXPLOITATION 0,00% #VALUE! 0,00%
O.9 0,00% 0,00% 9. SECURITE DES COMMUNICATIONS 0,00% #VALUE! 0,00%
10. ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES
O.10 0.00% 0.00% 0,00% #VALUE! 0,00%
SYSTEMES D’INFORMATION
5. CONTROLE D’ACCES O.11 0,00% 0,00% 11. RELATION AVEC LES FOURNISSEURS 0,00% #VALUE! 0,00%
O.12 0,00% 0,00% 12. GESTION DES INCIDENTS DE CYBERSECURITE 0,00% #VALUE! 0,00%
6. CRYPTOGRAPHIE O.13 0,00% 0,00% 13. GESTION DE LA CONTINUITE DE L’ACTIVITE 0,00% #VALUE! 0,00%
O.14 0,00% 0,00% 14. CONFORMITE 0,00% #VALUE! 0,00%
7. SECURITE PHYSIQUE ET ENVIRONNEMENTALE
O.15 0,00% 0,00%
O.16 0,00% 0,00%
O.17 0.00% 0.00%
O.18 0,00% 0,00%
8. SECURITE LIEE A L’EXPLOITATION O.19 0,00% 0,00%
O.20 0,00% 0,00%
O.21 0.00% 0.00%
O.22 0,00% 0,00%
9. SECURITE DES COMMUNICATIONS
O.23 0,00% 0,00%
10. ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES O.24 0,00% 0,00%
D’INFORMATION O.25 0,00% 0,00%
O.26 0,00% 0,00%
11. RELATIONS AVEC LES FOURNISSEURS
O.27 0.00% 0.00%
12. GESTION DES INCIDENTS DE CYBERSECURITE O.28 0,00% 0,00%
13. GESTION DE LA CONTINUITE DE L’ACTIVITE O.29 0,00% 0,00%
O.30 0,00% 0,00%
14. CONFORMITE
O.31 0.00% 0.00%
 5. Etat d'avancement
Etat d'avancement
Niveau de Niveau de Délai de de
Chapitre Objectif Règle Actions achevées Actions programmées Commentaires
conformité maturité réalisation l'implémentation
de la règle
Objectif 1 : Apporter à la sécurité des systèmes d’information
(SI) une orientation et un soutien de la part de la direction de POL-RISQUE N/A 0
l’entité ou de l’IIV, conformément aux exigences métier et aux
lois, règlements, directives et référentiels en vigueur.
1. POLITIQUE DE SECURITE DES POL-FORMEL N/A 0
SYSTEMES D'INFORMATION
POL-PAS N/A 0

POL-TDB N/A 0
Objectif 2 : Établir un cadre de gestion pour engager, puis
vérifier la mise en œuvre et le fonctionnement de la sécurité du ORG-INTER-GOUV N/A 0
SI au sein de l’entité ou de l’IIV.

2. ORGANISATION DE LA ORG-INTER-RSSI N/A 0

SECURITE DES SYSTEMES
D’INFORMATION ORG-INTER-RESP N/A 0
Objectif 3 : Assurer la sécurité du système d’information de
l’entité ou de l’IIV en cas d’adoption du télétravail. ORG-TELETRAV-SEC N/A 0

Objectif 4 : S’assurer que le personnel et les contractuels

comprennent leurs responsabilités et qu’ils sont compétents pour RH-AVT- PERSON N/A 0
remplir les fonctions que l’entité ou l’IIV envisage de leur
confier.
RH-AVT- COND N/A 0

Objectif 5 : S’assurer que les employés et les contractuels sont

3. SECURITE DES RESSOURCES
conscients de leurs responsabilités en matière de sécurité des SI
HUMAINES RH-APRES- FORM N/A 0
et qu’ils assument ces responsabilités.

Objectif 6 : Protéger les intérêts de l’entité ou de l’IIV dans le

cadre du processus de modification, de rupture ou de terme d’un
contrat de travail. RH-FIN-GEST N/A 0

Objectif 7 : Identifier les actifs informationnels de l’entité ou de ACTIF-RESP-INV N/A 0

l’IIV et définir les responsabilités appropriées en matière de
protection. ACTIF-RESP-PROP N/A 0
ACTIF-RESP-CHARTE N/A 0

ACTIF- RESP-CARTO N/A 0

Objectif 8 : S’assurer que les actifs informationnels bénéficient
d’un niveau de protection approprié conforme à leur importance ACTIF- CLASSIF-INFO N/A 0
4. GESTION DES ACTIFS pour l’entité ou pour l’IIV.
INFORMATIONNELS ACTIF- CLASSIF-MES N/A 0

ACTIF- CLASSIF- EXAM N/A 0

Objectif 9 : Empêcher la divulgation, la modification, le retrait

ou la destruction non autorisé(e) de l’information de l’entité ou ACTIF-SUP-AMOV N/A 0
de l’IIV stockée sur des supports et assurer la sécurité de
l’utilisation des appareils mobiles.
ACTIF-SUP-NOMAD N/A 0

Objectif 10 : Limiter l’accès à l’information et aux moyens de

traitement de l’information. ACC-EXIG-POL N/A 0

Objectif 11 : Maîtriser l’accès utilisateur par le biais

d’autorisations et empêcher les accès non autorisés aux systèmes ACC-UTILIS-ENREGIS/ N/A 0
et services d’information. DESINSCRI

ACC-UTILIS-IDF/AUTH N/A 0
5. CONTROLE D’ACCES ACC-UTILIS-HABILIT N/A 0
ACC-UTILIS-GENERIQ N/A 0
ACC-UTILIS-REVUE N/A 0

Etat d'avancement Page 11

5. CONTROLE D’ACCES

Objectif 12 : Empêcher les accès non autorisés aux systèmes et

aux applications. ACC-SYS/APP-ACC N/A 0

ACC-SYS/APP-PRIVIL N/A 0
ACC-SYS/APP-MDP N/A 0
Objectif 13 : Garantir l’utilisation correcte et efficace de la
CRYPTO-MES-POL N/A 0
6. CRYPTOGRAPHIE cryptographie en vue de protéger la confidentialité,
l’authenticité et l’intégrité de l’information. CRYPTO-MES-GESTCLE N/A 0
Objectif 14 : Empêcher tout accès physique non autorisé, tout PHYS-ZONE-DECOUP N/A 0
dommage ou intrusion portant sur l’information et les moyens
de traitement de l’information de l’entité ou de l’IIV. PHYS-ZONE-PROC N/A 0

PHYS-ZONE-DISPO N/A 0

PHYS-ZONE- VIDEOPROT N/A 0

PHYS-ZONE-INCEN N/A 0
7. SECURITE PHYSIQUE ET
ENVIRONNEMENTALE
PHYS-ZONE-EAU N/A 0

Objectif 15 : Empêcher la perte, l’endommagement, le vol ou la PHYS-MAT- CABL N/A 0

compromission des actifs informationnels et l’interruption des
activités de l’entité ou de l’IIV. PHYS-MAT-OND N/A 0
PHYS-MAT-ELECTROG N/A 0
PHYS-MAT-CLIM N/A 0
PHYS-MAT-EQUIP N/A 0
PHYS-MAT-HORSLOC N/A 0
Objectif 16 : S’assurer de l’exploitation correcte et sécurisée des
moyens de traitement de l’information. EXP-PROC-CHANG N/A 0

EXP- PROC-CAP N/A 0

EXP-PROC-ENVIR N/A 0
Objectif 17 : Garantir que l’information et les moyens de
traitement de l’information sont protégés contre les logiciels EXP-PROTEC-MALVEIL N/A 0
malveillants.
Objectif 18: Se protéger de la perte de données. EXP-SAUV-PROC N/A 0
EXP-SAUV-RESTAUR N/A 0
EXP-SAUV-SEC N/A 0
Objectif 19 : Enregistrer les événements et générer des preuves. EXP- JOURN/SURV-JOURNAL N/A 0
EXP- JOURN/SURV-PRIVIL N/A 0
EXP-JOURN/SURV-MAINT N/A 0
8. SECURITE LIEE A EXP- JOURN/SURV
L’EXPLOITATION N/A 0
SYNCHRON
EXP- JOURN/SURV -DIST N/A 0
EXP- JOURN/SURV - CENTR N/A 0
Objectif 20: Garantir l’intégrité des systèmes en exploitation et EXP-SYS-CONFIG N/A 0
empêcher toute exploitation des vulnérabilités techniques.
EXP-SYS-DURC N/A 0

EXP-VULN-INSTALL N/A 0
EXP-VULN-GEST N/A 0
EXP-VULN-CORRECT N/A 0
Objectif 21 : Réduire au minimum l’incidence des activités
d’audit sur les systèmes en exploitation. EXP-AUDIT-MES N/A 0

Objectif 22 : Garantir la protection des informations sur les COM-MANAG-CLOISON N/A 0

réseaux et des moyens de traitement de l’information sur COM-MANAG-FILTRAGE N/A 0
lesquels elle s’appuie.
COM-MANAG-SYSAUT N/A 0
COM-MANAG-DISTANT N/A 0
COM-MANAG-TUNEL N/A 0
9. SECURITE DES
COMMUNICATIONS
COM-MANAG-RSF N/A 0

Objectif 23 : Maintenir la sécurité de l’information transférée au COM-TRANS-FICHIER N/A 0

sein de l’entité ou de l’IIV et vers l’extérieur. COM-TRANS-MESS N/A 0
COM-TRANS-FILTR N/A 0

Etat d'avancement Page 12

 Objectif 24 : Veiller à ce que la sécurité fasse partie intégrante DEV-EXIG-PROJET N/A 0
des SI tout au long de leur cycle de vie.
DEV-EXIG-TRANSAC N/A 0
Objectif 25: S’assurer que la sécurité de l’information est mise DEV-PROC-POL N/A 0
10. ACQUISITION, en œuvre dans le cadre du cycle de développement des SI
DEVELOPPEMENT ET DEV-PROC-CHANG N/A 0
conformément aux référentiels et guides en vigueur.
MAINTENANCE DES SYSTEMES DEV-PROC-ENVIR N/A 0
D’INFORMATION
DEV-PROC-TEST N/A 0
DEV-PROC-CODE N/A 0
DEV-PROC-DONNEE N/A 0
Objectif 26 : Garantir la protection des actifs de l’entité ou de FOURNIS-REL-RISQ N/A 0
l’IIV accessibles aux fournisseurs.
FOURNIS-REL-POL N/A 0
11. RELATIONS AVEC LES FOURNIS-REL-EXIG N/A 0
FOURNISSEURS Objectif 27 : Maintenir un niveau convenu de sécurité de
l’information et de prestation de services, conformément aux FOURNIS-GEST-SURVEIL N/A 0
accords conclus avec les fournisseurs.
Objectif 28 : Garantir une méthode cohérente et efficace de
détection et de traitement des incidents de cybersécurité, INCID-GEST- PROC N/A 0
incluant la communication des événements et des failles liés à la
sécurité. INCID-GEST-CAT N/A 0

INCID-GEST-SIGNAL N/A 0
12. GESTION DES INCIDENTS DE
CYBERSECURITE INCID-GEST-QUALIF N/A 0
INCID-GEST-REPONSE N/A 0
INCID-GEST-ALERT N/A 0
INCID-GEST-REP N/A 0
INCID-GEST-PREUV N/A 0
Objectif 29 : Neutraliser les interruptions des activités de l’entité
CONTINU-BIA N/A 0
ou de l’IIV, protéger les processus métier cruciaux des effets
causés par les défaillances des systèmes d’information ou par
13. GESTION DE LA CONTINUITE des sinistres et garantir une reprise de ces processus dans les CONTINU-ACT N/A 0
DE L’ACTIVITE meilleurs délais.
CONTINU-PLAN N/A 0

CONTINU-EXERCICE N/A 0
Objectif 30 : Éviter toute violation des obligations légales,
statutaires, réglementaires ou contractuelles relatives à la CONF-OBLIG-IDF N/A 0
sécurité des SI.
CONF-OBLIG-CYBERSEC N/A 0

CONF-OBLIG-INTELLECT N/A 0
14. CONFORMITE
CONF-OBLIG-PERSO N/A 0
CONF-OBLIG-CRYPTO N/A 0
Objectif 31 : Garantir que la sécurité des SI est mise en œuvre et
appliquée conformément aux politiques et procédures CONF-REVU-SSI N/A 0
organisationnelles.

Etat d'avancement Page 13

 6. Indicateurs de la SSI (liste non exhaustive)
Libellé indicateur
Moyenne obtenu en fonction de l'implémentation des
régles de l'objectif 2 de la DNSSI relatif à
l'organisation de la SSI.

Moyenne obtenu en fonction de l'implémentation des

régles de l'objectif 7 portant sur les responsabilités
relatives aux actifs informationnels

Taux de budget consacré aux projets SSI par

rapport au budget SI
Taux de plateformes et de systèmes dont les
journaux d'événement sont traités et revus
périodiquement

Nombre d'incidents de securité induisant

l'indisponibilité d'un /ou des services
Nombre d'incidents induisant la perte des données
sensibles(vol, divulgation, altération )
Taux d'application de patch et mises à jour logiciels
et matériel

Fréquence de vérification des sauvegardes

Taux de plateformes et de système critiques
disposant d'un plan de reprise d'activité

Nombre des audits effectués

Taux d'utilisateurs sensibilisés en SSI

Taux d'administrateurs formés en SSI

6. Indicateurs de la SSI (liste non exhaustive)
Description (méthode de calcul) Valeur Commentaire

Valeur indiquée à extraire de la feuille synthèse du niveau de conformité.

Une valeur inférieur à 50% par exemple indique qu'une attention 0,00%
particulière est demandée concernant cet aspect.

Valeur indiquée à extraire de la feuille synthèse du niveau de

conformité. une valeur inférieur à 50% par exemple indique qu'une 0,00%
attention particulière est demandée concernant cet aspect.

Pourcentage du budget consacré aux projets SSI par rapport au budget

total annuel consacré aux projets SI

Pourcentage des plateformes et systèmes dont les journaux d'événement

sont traités et revus périodiquement par rapport au nombre total des
plateformes et systèmes

Nombre par an

Nombre par an

Pourcentage de plateformes et de systèmes dont l'application des patchs

et mises à jour se font régulièrement par rapport au nombre total des
plateformes et systèmes

Nombre d'opération de restauration test par an

Pourcentage de plateformes et systèmes critiques disposant d'un plan de
reprise d'activité par rapport au nombre totale de plateformes et de
système critiques
Nombre par an

Pourcentage d'utilisateurs sensibilisés en SSI par rapport au nombre

d'utiisateurs cibles devant suivre une formation de sensibilisation en SSI

Pourcentage d'administrateurs formés en SSI par rapport au nombre

d'administrateurs