Iriaf 2023-2024 m2 Audit Pssi Exemple de Pssi

Politique de Sécurité du Système
d’Information
Pour le compte de : HIRIAPHE
Diffusion restreinte
HIRIAPHE
Politique de Sécurité du Système d’Information
Diffusion Restreinte
Table des matières
1. Introduction..........................................................................................................4
1.1. Objet du document.........................................................................................4
1.2. Champ d’application du document................................................................4
1.3. Responsabilités et revue du document.........................................................4
1.4. Classification du document...........................................................................4
2. Documents de référence......................................................................................5
3. Terminologie.........................................................................................................6
3.1. Acronyme.......................................................................................................6
3.2. Définitions......................................................................................................6
4. Présentation du document...................................................................................7
5. Politique de sécurité du système d’information (PSSI).......................................8
5.1. Formalisation de la PSSI................................................................................8
5.2. Diffusion de la PSSI et des documents thématiques....................................9
5.3. Revue de la PSSI et des politiques thématiques..........................................9
6. Organisation de la sécurité................................................................................10
o Organisation de la sécurité interne au périmètre..........................................10
6.1.1. Fonctions et responsabilités.................................................................10
6.1.2. Sécurité de l’information dans la gestion des projets..........................11
6.2. Appareils mobiles et travail à distance.......................................................11
6.2.1. Politique en matière d’appareils mobiles.............................................11
6.2.2. Travail à distance..................................................................................11
7. Sécurité liée aux ressources humaines.............................................................13
7.1. Gestion des arrivants...................................................................................13
7.2. Gestion des arrivées, des mouvements et des départs..............................15
7.3. Application des règles, sensibilisation et formation des intervenants......15
8. Gestion des actifs du SI.....................................................................................17
8.1. Responsabilités relatives aux actifs...........................................................17
8.2. Classification et marquage de l’information et des supports.....................18
8.3. Gestion des supports amovibles.................................................................18
8.4. Réaffectation, maintenance et mise au rebut............................................19
9. Contrôle d’accès.................................................................................................20
9.1. Exigences en matière de contrôle d’accès.................................................20
9.2. Gestion de l’accès utilisateur et des privilèges d’accès............................20

Document à diffusion restreinte Page 2 sur 62
d’Information
10. Cryptologie......................................................................................................24
11. Sécurité physique et environnementale.........................................................26
11.1. Zones de sécurité.....................................................................................26
11.2. Matériels...................................................................................................27
12. Sécurité liée à l’exploitation...........................................................................29
12.1. Procédures et responsabilités liées à l’exploitation...............................30
12.2. Durcissement des configurations............................................................30
12.3. Administration des systèmes...................................................................31
12.4. Protection contre les codes malveillants................................................32
12.5. Gestion des correctifs de sécurité...........................................................32
12.6. Gestion des changements........................................................................33
12.7. Sauvegarde...............................................................................................34
12.8. Journalisation et surveillance..................................................................35
12.9. Maîtrise des logiciels en exploitation......................................................35
13. Sécurité des communications........................................................................36
13.1. Management de la sécurité des réseaux.................................................36
13.2. Transfert de l’information.........................................................................38
14. Développement...............................................................................................40
15. Relation avec les fournisseurs.......................................................................43
16. Gestion des incidents liés à la sécurité de l’information...............................44
17. Continuité d’activité........................................................................................46
18. Conformité.......................................................................................................48
18.1. Conformité aux obligations règlementaires et contractuelles...............48
18.2. Conformité des pratiques à la politique...................................................49

d’Information
1. Introduction
1.1. Objet du document

Le présent document constitue la politique de sécurité du système d’information
de HIRIAPHE.
Il décline par domaine d’activité les règles opérationnelles à mettre en œuvre afin
d’adresser les risques identifiés dans l’analyse de risques du S.I. HIRIAPHE que le
Comité de Pilotage Stratégique (CPS) a décidé de traiter. Ces règles sont soit
directement prises en compte par HIRIAPHE, soit déclinées plus précisément
dans des modes opératoires ou procédures.
Les règles énoncées dans cette PSSI sont ordonnées selon les chapitres de la
norme ISO27002:2017 afin d’en faciliter l’analyse, l’audit et le suivi.
1.2. Champ d’application du document

Cette politique de sécurité s’applique à toutes les entités, à toutes les
composantes du SI de HIRIAPHE et à toutes les personnes, internes ou externes,
impliquées dans la conception, l’administration, l’exploitation ou l’utilisation du
système d’information.
1.3. Responsabilités et revue du document

Ce document est sous la responsabilité du RSSI. Il est chargé de gérer les
révisions du présent document.
Cette politique est revue au moins sur une base annuelle. Une revue peut être
effectuée dans les cas suivants : évolution majeure du SI HIRIAPHE, événement
exceptionnel, changement ou incident majeur.
Toute nouvelle version de ce document est présentée au comité de de pilotage
stratégique (CPS).
1.4. Classification du document

Ce document est de classification restreinte. Il est à diffuser à l’ensemble des
collaborateurs, selon leur besoin d’en connaître, ainsi qu’aux stagiaires et
prestataires, selon la même notion du besoin d’en connaître.

d’Information
2. Documents de référence
Identifiant Intitulé
Norme ISO/IEC 27001:2017 Technologies de l’information –
[ISO27001] Techniques de sécurité – Systèmes de management de la
sécurité de l’information – Exigences
Norme ISO/IEC 27002:2017 Technologies de l’information –
[ISO27002] Techniques de sécurité – Code de bonne pratique pour le
management de la sécurité de l’information
RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU
CONSEIL du 27 avril 2016 relatif à la protection des personnes
physiques à l'égard du traitement des données à caractère
[RGPD]
personnel et à la libre circulation de ces données, et abrogeant
la directive 95/46/CE (RGPD : règlement général sur la protection
des données)

d’Information
3. Terminologie
3.1. Acronyme
Acronyme Signification
CPS Comité de pilotage stratégique
CPO Comité de pilotage stratégique et opérationnel
PCA Plan de continuité d’activité
Politique de gouvernance de la sécurité des systèmes
PGSSI
d’information
PSSI Politique de sécurité du système d’information
DRH Direction des ressources humaines
RSSI Responsable de la sécurité des systèmes d’information
SI Système d’information
DG Direction Générale
AD Active Directory
Réglementation Européenne sur la Protection des Données à
RGPD
caractère personnelle
DSI Direction du Système d’Information
DAF Direction Administrative et Financière
3.2. Définitions
Terme Définition
Ensemble des moyens humains et matériels ayant pour
Système
finalité d’élaborer, traiter, stocker, acheminer, présenter ou
d’information
détruire l’information
Ensemble d’éléments interactifs permettant à un organisme
Système de
d’établir une politique et des objectifs en matière de
management de la
sécurité de l’information, d’appliquer la politique,
sécurité de
d’atteindre ces objectifs et de contrôler l’atteinte des
l’information
objectifs

d’Information
4. Présentation du document
Ce document se compose de l’ensemble des règles à appliquer, réparties suivant
les chapitres de ISO27002 (annexe A de l’ISO27001).
Chaque chapitre est présenté sous une forme identique, avec les champs
suivants :
Objectif Description générale de l’objectif du chapitre

Documents de
Liste des documents de référence et d’application
référence et
génériques au chapitre
d’application
Liste des principaux points de contrôle permettant de
Points de contrôle
vérifier l’atteinte de l’objectif
Chaque règle est également présentée sous une forme identique, avec les champs
suivants :
Identifiant Titre de la règle

Règle Description détaillée de la règle
Identification des acteurs concernés par la mise en
Acteurs
œuvre de la règle
Responsable de
l’application de la Identification du responsable de l’application de la règle
règle
Les identifiants des règles sont basés sur les abréviations détaillées dans le
tableau qui suit :
Abréviatio No du
Intitulé du chapitre
n chapitre
PSSI V Politique de sécurité du système d’information
ORG VI Organisation de la sécurité
RH VII Sécurité liée aux ressources humaines
ACT VIII Gestion des actifs du SI
ACC IX Contrôle d’accès
CRY X Cryptologie
PHY XI Sécurité physique et environnementale
EXP XII Sécurité liée à l’exploitation
COM XIII Sécurité des communications
ACQ XIV Acquisition, développement et maintenance du SI
FRN XV Relation avec les fournisseurs
INC XVI Gestion des incidents liés à la sécurité de l’information

d’Information
Abréviatio No du
Intitulé du chapitre
n chapitre
PCA XVII Continuité d’activité
CONF XVIII Conformité

d’Information
5. Politique de sécurité du système

d’information (PSSI)
Objectif La PSSI définit l’ensemble des règles de sécurité devant
être appliquées par tout usager interne ou externe afin
de répondre aux risques de sécurité à traiter, dans le
respect des exigences règlementaires
Documents de  Politique de sécurité du système d’information

référence et  Plan d’actions
d’application  Politiques thématiques
Points de contrôle  Existence et mise à jour de l’ensemble des documents
de référence et d’application
 Validation par le CPS de la PSSI, et par le CPO des
documents de référence et d’application
 Facilité d’accès à la PSSI et aux documents de
référence et d’application conformément au besoin d’en
connaître de chacun
 Définition du processus de mise à jour de la PSSI
 Responsabilisation de la DG
 Définition du processus pour le suivi et le contrôle de
l’application de la PSSI
 Connaissance par l’ensemble des usagers du
périmètre
5.1. Formalisation de la PSSI

Rédaction, mise en œuvre et contrôle de la mise en
PSSI-R01
œuvre de la PSSI
La PSSI définit les règles de sécurité à mettre en œuvre
en réponse aux risques identifiés et aux exigences
règlementaires.
Le RSSI a la responsabilité de rédiger la PSSI, d’en suivre
Règle et contrôler la mise en œuvre sur le périmètre identifié.
Ces contrôles sont effectués en collaboration avec
l’ensemble des Directions sur leur périmètre de
responsabilités.
Il présente le suivi de ses actions au CPS et au CPO.
Acteurs CPS, CPO, RSSI, Directions
Responsable de
l’application de la RSSI
règle

d’Information
PSSI-R02 Périmètre de la PSSI

La PSSI s’applique à l’ensemble des personnes physiques
ou morales intervenant sur le SI, et à l’ensemble des
systèmes d’information sous la responsabilité de
Règle HIRIAPHE.
La DG s’assure de la mise en œuvre des règles dans
l’ensemble des processus concernés, en collaboration
avec l’ensemble des Directions.
Acteurs DG, RSSI, Toutes Directions
Responsable de
l’application de la DG
règle
PSSI-R03 Déclinaison opérationnelle de la PSSI

La PSSI est étayée par des politiques thématiques
(modes opératoires, procédures…) spécifiant les
mesures à mettre en œuvre pour décliner
opérationnellement les règles énoncées.
Règle
Ces politiques thématiques sont référencées dans la
PSSI. Leur rédaction est de la responsabilité des acteurs
ou des Directions concernées, telle que définie dans le
plan d’actions. Elles sont validées en CPO.
CPO, Acteurs et Directions en charge des actions du
Acteurs
Plan d’actions
Responsable de
règle
5.2. Diffusion de la PSSI et des documents

thématiques
PSSI-R04 Diffusion de la PSSI et des politiques thématiques
La PSSI et les politiques thématiques sont mises à
disposition de l’ensemble des collaborateurs, stagiaires
Règle et sous-traitants selon le besoin d’en connaître qu’ils
présentent (rubriques dédiées). Les personnes
concernées doivent en prendre connaissance.
RSSI, collaborateurs, stagiaires, sous-traitants
Acteurs
concernés
Responsable de
règle

d’Information
5.3. Revue de la PSSI et des politiques

thématiques
PSSI-R05 Révision de la PSSI et des politiques thématiques
La PSSI est revue et évaluée au moins annuellement, en
fonction de l’évolution des risques à traiter, des
améliorations décidées par le CPS et des plans d’actions
correspondant.
Elle peut être revue en dehors de cette périodicité, par
Règle exemple en cas de modification des exigences
règlementaires, ou si l’intégration d’un nouveau projet
présente des spécificités de sécurité nécessitant des
modifications de la politique.
Les politiques thématiques sont modifiées en
conséquence le cas échéant.
Acteurs DG, CPS, RSSI
Responsable de
règle

d’Information
6. Organisation de la sécurité
Objectif Mettre en place une organisation adéquate, garantissant
la prise en compte préventive et réactive de la sécurité
de l’information
Documents de  Politique de Gouvernance de la Sécurité du Système
référence et d’Information
d’application  Procédure d’intégration de la sécurité dans les projets
 Chartes
Points de contrôle  PGSSI validée par la DG
 Existence et mise à jour des documents de référence
et d’application
 Études de sécurité macroscopique des projets
 Analyses de risques des projets sensibles et/ou
soumis au RGPD (démarche d’homologation sécurité)
 Comptes rendus des CPS / CPO
 Conformité RGPD
o Organisation de la sécurité interne au

périmètre
6.1.1. Fonctions et responsabilités

Définition de l’organisation interne de la sécurité de
ORG-R01
l’information
La DG établit dans la PGSSI l’organisation interne de la
sécurité de l’information, définissant :
Règle  Les acteurs de la sécurité de l’information ;
 Les structures de pilotage ;
 Les comités de gouvernance (sécurité, RGPD).
Acteurs DG, CPS / CPO, RSSI, DPO
Responsable de
règle
ORG-R02 Affectation des responsabilités

Les responsabilités relatives à la mise en œuvre et à la
Règle gestion de la sécurité de l’information sont définies dans
la PGSSI, entérinées par le CPS et validées par la DG.
Acteurs DG, CPS

d’Information
ORG-R02 Affectation des responsabilités

Responsable de
règle
Relations avec les autorités et les groupes de travail

ORG-R03
spécialisés
Les parties prenantes de la sécurité de l’information
entretiennent des relations régulières avec les autorités
locales et les groupes d’experts (CNIL, ANSSI, CLUSIF,
Règle …).
Des points de contacts existent avec les autorités :
CNIL pour le volet RGPD et la BEFTI pour le volet
sécurité.
Acteurs DG, CPS
Responsable de
règle
6.1.2. Sécurité de l’information dans la gestion

des projets
ORG-R04 Sécurité dans les projets
Conformément à la procédure d’intégration de la sécurité
dans les projets, tout projet donne lieu à une analyse de
C’est a partir de
sécurité sommaire dès sa phase de conception, afin de
la que je vais
juger de la pertinence et de la profondeur de
formuler mes
l’accompagnement sécurité à effectuer.
questions pour
Selon la nature des besoins de sécurité identifiés,
Damien.
l’accompagnement peut comprendre un fonctionnement
en équipe intégrée pour la prise en compte de la sécurité
R
dans la phase de conception, de développement, de
ègle
recette et de production.
Selon le contexte règlementaire identifié et les données
manipulées, l’accompagnement peut être matérialisé par
des démarches spécifiques (conformité RGPD par
exemple).
La prise en compte de la sécurité dans les projets est
spécifiée dans la procédure ci-dessus référencée,
intégrant l’aspect RGPD dans le cas de traitement de
données à caractère personnel.
Acteurs DSI, RSSI, DPO
Responsable de
Métiers concernés, accompagné par le DSI, RSSI et le
l’application de la
DPO le cas échéant
règle

d’Information
6.2. Appareils mobiles et travail à distance
6.2.1. Politique en matière d’appareils mobiles

ORG-R05 Utilisation des postes de travail portables
Les postes de travail portables ainsi que les
smartphones sont mis à disposition par la DSI et utilisés
conformément aux pratiques définies dans la charte
Règle
informatique et connues du personnel interne.
Toute dérogation doit être soumise à la validation du
RSSI.
Acteurs DSI, personnels utilisateurs
Responsable de
règle
6.2.2. Travail à distance

ORG-R06 Accès distant au SI Interne
Les utilisateurs nomades doivent s’authentifier au
travers d’un mécanisme d’authentification forte sur le
Règle
poste de travail avant d’accéder aux ressources internes
du SI.
Acteurs DSI, personnel autorisé
Responsable de
l’application de la DSI
règle
ORG-R07 Accès distant au SI Production

Les utilisateurs nomades doivent s’authentifier au
travers d’un mécanisme d’authentification forte sur le
Règle
poste de travail avant d’accéder aux ressources de
production du SI.
Acteurs Equipes opérationnelles CLOUD, personnel autorisé
Responsable de
l’application de la Equipes opérationnelles CLOUD
règle

d’Information
7. Sécurité liée aux ressources humaines

Objectif Garantir que toute personne ayant accès au SI connaisse
les responsabilités liées à sa fonction ou à sa mission et
ait la capacité de respecter les règles de sécurité
définies par HIRIAPHE
Documents de  Charte informatique
référence et  Charte des administrateurs
d’application  Charte d’utilisation des services de téléphonie
 Engagement de confidentialité
 Procédure de gestion des entrées, sorties et
mouvements du personnel
 Plan de formation et de sensibilisation à la sécurité de
l’information
 Livret d’accueil SSI
Points de contrôle  Liste et fiches de postes sensibles
 Modalités de recrutement définies et respectées sur
les postes sensibles
 Sensibilisation sécurité effectuée
 Charte d’utilisation écrite, connue des arrivants,
signée
 Processus de gestion des arrivées, des mouvements
et des départs défini et mis en place
7.1. Gestion des arrivants

Prise en compte de la sécurité dans la sélection du
RH-R01
personnel
Les postes sensibles sont identifiés (liste et fiches de
postes) et le recrutement est adapté à la sensibilité de
ceux-ci.
En accord avec la législation locale, des vérifications
adaptées sont effectuées concernant les candidats à
Règle
l’embauche ou à la mutation sur ces postes sensibles :
vérification du CV, confirmation des formations et
certifications, vérification des références, etc.
Cette procédure est également appliquée pour les
prestataires le cas échéant.
Acteurs DRH
Responsable de DRH

d’Information
Prise en compte de la sécurité dans la sélection du

RH-R01
personnel
règle
Chartes relatives à l’usage du système d’information et

RH-R02
de communication de HIRIAPHE
Trois chartes relatives à l‘utilisation du SI sont fournies à
toute personne accédant au SI :
- Une charte utilisateur, à destination de l’ensemble
des collaborateurs ;
- Une charte administrateur, à destination de
l’ensemble des collaborateurs disposant d’accès
privilégiés (techniques ou fonctionnels).
- Une charte d’utilisation des services de
téléphonie, à destination des utilisateurs
possédant un appareil mobile fourni par la société.
Les chartes rappellent les bonnes pratiques de sécurité,
les responsabilités de chacun vis-à-vis de celles-ci et les
conséquences légales et réglementaires en cas de non-
respect des obligations de sécurité.
Il appartient :
Règle
- Au RSSI de tenir cette charte à jour ;
- À la DRH de fournir les chartes à tout nouvel
arrivant, et de s’assurer de la prise de
connaissance des chartes par les personnes
concernées ;
- Aux directions accueillant des prestataires
utilisant le SI de s’assurer de la prise de
connaissance de la charte par lesdits prestataires.
Ces chartes sont :

- Validées par les instances représentatives du
personnel,
- Déposées au greffe du conseil de prud’hommes,
- Communiquées à l’inspection du travail,
- Annexées au règlement intérieur de la société.
RSSI, DRH, toutes directions concernées, personnel
Acteurs
interne, prestataires
Responsable de
l’application de la RSSI, Direction Juridique
règle
RH-R03 Engagement de confidentialité

Règle En signant leur contrat, l’ensemble des collaborateurs
sont de fait soumis à un devoir de réserve.

d’Information
RH-R03 Engagement de confidentialité
Toute personne externe (stagiaire, prestataire) ayant

accès à des informations sensibles du SI dans le cadre
de sa fonction ou de sa mission est avisée par la
Direction concernée de la confidentialité des
informations traitées et signe un engagement de
confidentialité.
Les sanctions éventuelles s’appliquant en cas de non-

respect de cet engagement sont rappelées.
Direction concernée, collaborateurs, stagiaires,
Acteurs
prestataires
Responsable de
l’application de la Direction concernée
règle
Manquement aux obligations de la charte relative à

RH-R04
l’usage du SI par les collaborateurs
Tout manquement au respect des obligations de sécurité
auxquelles sont assujetti les collaborateurs de
HIRIAPHE, utilisateurs comme administrateurs, est
Règle
constitutif d’une faute l’exposant à des sanctions
proportionnées définies par la DRH et identifiées au sein
du règlement intérieur de la société.
Acteurs DRH, collaborateurs
Responsable de
l’application de la DRH
règle
Manquement aux obligations de la charte relative à

RH-R05 l’usage du SI ou de l’engagement de confidentialité par
les stagiaires et prestataires
Tout manquement au respect des obligations de sécurité
auxquelles est assujetti un stagiaire ou un prestataire
est constitutif d’une faute l’exposant à une rupture de
contrat et, le cas échéant, à des sanctions pénales.
Règle
Les conséquences de tout manquement aux obligations
de sécurité par le prestataire sont définies dans les
clauses contractuelles des contrats de prestation, et
pour les stagiaires dans les conventions de stage.
Acteurs Direction Juridique, DAF, DRH, stagiaire, prestataires
Responsable de
l’application de la DRH (pour les stagiaires), DAF (pour les prestataires)
règle

d’Information
7.2. Gestion des arrivées, des mouvements et

des départs
Mise en place du processus de gestion des arrivées, des
RH-R06
mouvements et des départs
Un processus de gestion des arrivées, des mouvements
et des départs est défini et mis en place pour gérer les
dotations et les accès physiques et logiques de toute
personne accédant au SI (collaborateurs, prestataires,
Règle stagiaires). Ce processus est documenté dans la
procédure de gestion des entrées, sorties et
mouvements du personnel.
La cohérence entre les bases RH et l’AD est
régulièrement testée
Acteurs DRH, DSI, Moyens Généraux, Directions concernées,
Responsable de
règle
7.3. Application des règles, sensibilisation et

formation des intervenants
RH-R07 Application des règles de sécurité
Chaque Direction est responsable de l’application des
Règle règles les concernant par ses collaborateurs, stagiaires
et prestataires.
Acteurs Direction concernée, RSSI
Responsable de
règle
RH-R08 Sensibilisation et formation

Règle Des modules de sensibilisation et de formation à la
sécurité sont mis en place pour les collaborateurs, les
stagiaires et les prestataires ; les contenus et formes
des modules sont définies dans le Plan de Formation et
de Sensibilisation à la sécurité de l’information . En
particulier, un livret d’accueil rappelant les éléments de
sécurité essentiels à respecter est communiqué à tout
nouvel arrivant.
La DRH a la charge de la mise en place des modules de
formation et de sensibilisation.
Le RSSI a la charge de la construction des modules, et

d’Information
RH-R08 Sensibilisation et formation

du contrôle de leur suivi par les collaborateurs,
stagiaires et prestataires.
Acteurs RSSI, DRH, collaborateurs, prestataires, stagiaires
Responsable de
l’application de la RSSI, DRH
règle

d’Information
8. Gestion des actifs du SI

Objectif Identifier les actifs sensibles du système d’information
pour pouvoir mettre en place une protection appropriée
Documents de  Procédure de gestion de l’information
référence et  Procédure de gestion des entrées, sorties et
d’application mouvements du personnel
 Cartographie du SI (interne et de production)
 Procédure d’inventaire des actifs
 Procédures d’exploitation thématiques
 Chartes informatiques (utilisateur, administrateur,
téléphonie)
Points de contrôle  Existence de l’inventaire à jour
 Identification des actifs sensibles
8.1. Responsabilités relatives aux actifs

ACT-R01 Inventaire des actifs
Un inventaire des actifs est tenu à jour par la DSI
(informatique interne, on-premise), par l’équipe Equipes
Règle opérationnelles CLOUD (production) et par les moyens
généraux (sûreté) conformément à la procédure
d’inventaire des actifs.
Acteurs DSI, Equipes opérationnelles CLOUD, Moyens généraux
Responsable de
l’application de la DSI, Equipes opérationnelles CLOUD, Moyens généraux
règle
ACT-R02 Attribution de propriétaire aux actifs

Les utilisateurs auxquels sont confiés des portables et
smartphones sont leur propriétaire au sens de la
sécurité, et sont responsables de la gestion de ces
Règle
actifs. Un inventaire des dotations est tenu par la DSI,
Equipes opérationnelles CLOUD et les Moyens généraux
en fonction des responsabilités.
DSI, Equipes opérationnelles CLOUD, Moyens Généraux,
Acteurs
collaborateurs, stagiaires, prestataires
Responsable de
l’application de la DSI, Equipes opérationnelles CLOUD, Moyens généraux
règle

d’Information
ACT-R03 Utilisation correcte des actifs

Des règles d’utilisation des actifs sont définies au sein
de la procédure de gestion de l’information et fournies
aux personnes y ayant accès. Ces règles sont décrites
dans les procédures d’exploitation (pour les actifs
sensibles réseaux, serveurs) ou dans des documents
Règle spécifiques (poste de travail portable, smartphone,
partage réseau…).
Les chartes informatiques (utilisateur, administrateur,
téléphonie) recensent l’ensemble des pratiques de
sécurité à respecter par les collaborateurs internes ou
externes de HIRIAPHE.
DSI, RSSI, collaborateurs, stagiaires ou prestataires
Acteurs concernés, Equipes opérationnelles CLOUD, Moyens
généraux
Responsable de
règle
ACT-R04 Restitution des actifs

Conformément à la procédure de gestion des entrées,
sorties et mouvements du personnel, un processus de fin
de mission inclut la restitution de tous les actifs
Règle
supports (postes de travail portable, smartphone, …) qui
ont été confiés aux collaborateurs, stagiaires ou
prestataires.
DRH, DSI, Moyens Généraux collaborateurs, stagiaires,
Acteurs
prestataires
Responsable de
règle
ACT-R05 Cartographie détaillée, complète et à jour du SI

La DSI tient à jour la cartographie du SI pour
l’informatique interne et les actifs on-premise.
Règle
Equipes opérationnelles CLOUD tient à jour la
cartographie de la production.
Acteurs DSI, Equipes opérationnelles CLOUD
Responsable de
l’application de la DSI, Equipes opérationnelles CLOUD
règle

d’Information
8.2. Classification et marquage de

l’information et des supports
Classification et marquage des informations et des
ACT-R06
supports
Par défaut, toutes les informations traitées au sein de
HIRIAPHE sont considérées comme restreintes et
limitées en accès aux seules personnes autorisées. Les
informations à caractère public sont marquées comme
Règle telles.
La procédure de gestion de l’information décline cette
règle et permet d’identifier les pratiques à suivre pour
manipuler l’information en fonction de son niveau de
classification.
Acteurs Collaborateurs, stagiaires, prestataires
Responsable de
l’application de la Toutes Directions
règle
8.3. Gestion des supports amovibles

ACT-R07 Gestion des supports amovibles
Sauf autorisation expresse pour certaines directions,
seuls les supports amovibles mis à disposition par la DSI
sont autorisés.
Un mécanisme est mis en place pour que ces supports
soient reconnus par le poste de travail. Dans tous les
Règle
cas, l’antivirus de poste est configuré de manière à
contrôler systématiquement les supports connectés.
Les médias amovibles sont chiffrés dans l’éventualité où
ceux-ci contiendraient des données sensibles pour
HIRIAPHE.
Acteurs DSI
Responsable de
règle

d’Information
8.4. Réaffectation, maintenance et mise au

rebut
ACT-R08 Réaffectation du matériel
Tout matériel réaffecté fait l’objet d’un effacement
Règle
préalable efficace des données locales.
Acteurs DSI
Responsable de
règle
ACT-R09 Mise au rebut des supports numériques

Une procédure de mise au rebut et de recyclage du
matériel est rédigée. Cette procédure définit les règles
Règle
de destruction des supports numériques. Elle est connue
et appliquée par tous les acteurs concernés.
Acteurs RSSI, DSI, Equipes opérationnelles CLOUD
Responsable de
règle
ACT-R11 Mise au rebut des supports papiers

Les supports papiers relatifs à des informations non
identifiées comme publiques font l’objet d’une
Règle destruction sécurisée. À cette fin, des broyeuses sont
mises à disposition des collaborateurs au sein de chaque
Direction qui en fait la demande.
Acteurs Moyens généraux, Toutes directions
Responsable de
l’application de la Toutes directions
règle

d’Information
9. Contrôle d’accès
Objectif Limiter l’accès à l’information et aux moyens de
traitement de l’information conformément aux besoins
d’en connaître de chacun
Documents de  Politique de gestion des identités et des accès
 Procédure de contrôle des accès logiques et des
habilitations.
Points de contrôle  Contrôle des traces d’accès
 Existence de l’inventaire à jour
 Marquage des actifs
9.1. Exigences en matière de contrôle

d’accès
ACC-R01 Politique de contrôle d’accès
La Politique de gestion des identités et des accès
Règle définissant les règles de contrôle d’accès est rédigée par
le RSSI, connue de tous et appliquée.
RSSI, administrateur de droits d’accès, collaborateurs,
Acteurs
stagiaires, prestataires
Responsable de
règle
ACC-R02 Identification, authentification et contrôle d’accès

L’accès aux ressources du SI doit nécessiter une
identification et une authentification de l’utilisateur.
Le RSSI documente ces éléments au sein de la politique
de gestion des identités et des accès, incluant la
politique de mot de passe (utilisateur, administrateur).
Règle Par défaut, le principe du moindre privilège doit être
respecté.
La DSI et Equipes opérationnelles CLOUD mettent en
œuvre des moyens adaptés à la nature restreinte des
informations accédées, conformément à la procédure de
contrôle des accès logiques et des habilitations.
Responsable de RSSI

d’Information
ACC-R02 Identification, authentification et contrôle d’accès

règle
9.2. Gestion de l’accès utilisateur et des

privilèges d’accès
ACC-R03 Enregistrement et désinscription des utilisateurs
Une procédure d’enregistrement et de désinscription des
utilisateurs est mise en place au sein de la procédure de
gestion des entrées, sorties et mouvements du
personnel.
Cette procédure d’enregistrement permet de définir les
Règle
droits sur les applications et sur les moyens transverses
des nouveaux arrivants (collaborateurs, stagiaires,
prestataires…) selon leur besoin d’en connaître.
Une revue des droits est effectuée régulièrement sur les
annuaires centralisés et locaux.
RSSI, DSI, Equipes opérationnelles CLOUD,
Acteurs
collaborateurs, stagiaires, prestataires
Responsable de
règle
ACC-R04 Gestion des accès

Tout accès aux ressources du SI s’inscrit dans le cadre
d’un processus d’autorisation formalisé qui s’appuie sur
la procédure de gestion des entrées, sorties et
mouvements du personnel.
Les attributions de droits sont revues à chaque arrivée,
mouvement ou départ du collaborateur, ou à défaut de
Règle manière périodique.
L’ensemble des accès est géré par la DSI ou par Equipes

opérationnelles CLOUD en fonction du périmètre (interne
ou production). Les annuaires locaux sont identifiés et
gérés par la DSI et/ou par Equipes opérationnelles
CLOUD en fonction du périmètre.
Acteurs DSI, DRH, Directions concernées
Responsable de
règle

d’Information
ACC-R05 Gestion des informations secrètes d’authentification

Une procédure de gestion des éléments
d’authentification est mise en place au sein de la
procédure de contrôle des accès logiques et des
Règle habilitations.
Les éléments d’authentification doivent être considérés
comme des données sensibles et doivent être protégés
en conséquence.
RSSI, Collaborateurs, DSI, Equipes opérationnelles
Acteurs
CLOUD, Prestataires
Responsable de
règle
ACC-R06 Gestion des privilèges d’accès

Les comptes à privilèges élevés nominatifs sont définis
et validés par la DSI et Equipes opérationnelles CLOUD.
Seuls les administrateurs techniques de HIRIAPHE ont
Règle accès aux composants techniques (équipements
réseaux, composants de sécurité…).
Une revue régulière des comptes est réalisée en
collaboration avec le RSSI.
RSSI, Administrateurs, DSI, Equipes opérationnelles
Acteurs
CLOUD
Responsable de
règle
ACC-R07 Protection des authentifiants d’administration

Les authentifiants permettant l’administration des
ressources du SI doivent être placés sous séquestre et
tenus à jour, dans un lieu sécurisé.
Règle
Tout accès à ces données doit être tracé de manière
précise, et les traces doivent être protégées et
conservées pendant un an.
Responsable de
règle
ACC-R08 Compte d’administration

Règle Les administrateurs doivent avoir un compte nominatif
dédié aux opérations d’administration, sauf exception
validée par le RSSI. En cas d’usage du SI en tant que
simple usager, ils doivent utiliser un compte utilisateur.

d’Information
ACC-R08 Compte d’administration

La création de comptes d’administration sur des
environnements de production doit être au préalable
validée et justifiée par le supérieur hiérarchique du
demandeur, par le RSSI et par le responsable de la
plateforme de production Cloud ou le DSI en fonction du
contexte.
Chaque demande de compte est tracée.

DSI, Equipes opérationnelles CLOUD, demandeur,
Acteurs
manager du demandeur, RSSI
Responsable de
l’application de la DSI, Equipes opérationnelles CLOUD, RSSI
règle
ACC-R09 Accès administrateurs

Les accès des administrateurs sont effectués via un
bastion centralisant les accès et permettant de tracer
les opérations réalisées. Les accès sur ce bastion sont
gérés et attribués conformément à la politique de
gestion des identités et des accès.
Une revue régulière des accès sur le bastion est
effectuée (trimestrielle).
Chaque accès aux environnements de production ne
passant pas par le bastion d’administration mais via des
réseaux privés ou avec des restrictions fortes (SSH par
clé, filtrage IP sources, VPN, …) doit faire l’objet d’une
dérogation auprès du RSSI.
Règle
Tous les accès administrateurs sont chiffrés (SSL/TLS,
SSH, RDP over HTTPS...).
Les exploitants se connectent avec un accès nominatif

et personnel.
Le compte administrateur (root/administrateur) des VM

et des équipements ne doit pas être utilisé pour se
connecter directement (interdiction de l’accès SSH root
et passer par un compte nominatif avec une élévation de
privilège (sudo) si besoin).
Acteurs DSI, Equipes opérationnelles CLOUD, R&D, Support
Responsable de
règle

d’Information
ACC-R10 Départ d’un administrateur

En cas de départ d’un administrateur disposant de
privilèges sur des ressources du SI, les comptes
individuels dont il disposait doivent être immédiatement
Règle désactivés. Les éventuels mots de passe
d’administration de comptes génériques accessibles
depuis l’extérieur dont il avait connaissance doivent être
changés.
Responsable de
règle
ACC-R11 Accès des mainteneurs et constructeurs

Les constructeurs et mainteneurs des équipements de
l’infrastructure de HIRIAPHE peuvent se connecter à
distance afin d’opérer des mises à jour ou des
Règle
changements.
Chaque connexion doit faire l’objet d’une traçabilité
rigoureuse des actions effectuées.
Responsable de
règle

d’Information
10. Cryptologie
Objectif Garantir l’utilisation correcte et efficace de la
cryptologie en vue de protéger la confidentialité,
l’authenticité et/ou l’intégrité de l’information
Documents de
référence et  Politique de gestion des moyens cryptographiques
d’application
Points de contrôle  Existence et mise à jour des documents de référence
et d’application
CRY-R01 Infrastructure de gestion des certificats

Des certificats sont utilisés au sein du système
d’information pour des usages internes ou externes.
Des PKI (Public Key Infrastructure) interne et externe,
Règle gérées respectivement par le DSI et Equipes
opérationnelles CLOUD délivrent des certificats
conformément aux principes documentés au sein de la
politique de gestion des moyens cryptographiques.
Acteurs Equipes opérationnelles CLOUD, DSI
Responsable de
l’application de la Equipes opérationnelles CLOUD, DSI
règle
CRY-R02 Contexte d’utilisation des certificats en production

Les certificats sont utilisés uniquement dans les
contextes suivants :
- SSL Serveurs pour les serveurs web, reverse
proxy (exposés sur internet ou sur des réseaux
privés) et load balancer.
- Chiffrement du tunnel RDS (Remote Desktop
Service) de l’application EWR sur le domaine
*.HIRIAPHE.biz
Règle
- FTP over SSL pour le domaine *.HIRIAPHE.biz
- Chiffrement et signature des flux d’informations
EDI du protocole AS2 (HTTPS ou SSL Client)
- Signature électronique des factures via certificat
RGS**
Toute autre utilisation est soumise à validation du RSSI

et de Equipes opérationnelles CLOUD
Acteurs RSSI, Utilisateurs

d’Information
CRY-R02 Contexte d’utilisation des certificats en production

Responsable de
l’application de la RSSI, Equipes opérationnelles CLOUD
règle
CRY-R03 Caractéristiques des certificats

Les certificats créés doivent respecter les contraintes
définies au sein de la politique de gestion des moyens
Règle cryptographiques concernant l’algorithme de hachage à
utiliser et à la longueur de clé de chiffrement à
respecter.
Responsable de
règle
CRY-R04 Utilisation des certificats

- L’utilisation du wildcard *.HIRIAPHE.biz est à
privilégier pour les protocoles RDP, FTPS et
HTTPS
- L’utilisation d’un SSL Serveur est obligatoire lors
d’une exposition publique du site web afin
Règle d’assurer la confidentialité et l’intégrité des
échanges ainsi que conformité vis-à-vis du
navigateur
- L’utilisation d’un certificat SSL Serveur dans le
cas où certains clients interdisent l’utilisation d’un
certificat wildcard.
Responsable de
règle
CRY-R04 Création, renouvellement et révocation des certificats

Les certificats utilisés sur le SI Production sont gérés
par Equipes opérationnelles CLOUD.
Les certificats utilisés sur le SI Interne sont gérés par la
DSI.
Règle
Tous les certificats créés respectent une convention de
nommage définie au sein de la politique de gestion des
moyens cryptographiques.
Responsable de
règle

d’Information

d’Information
11. Sécurité physique et environnementale

Objectif Empêcher les accès physiques non autorisés, les
dommages et intrusions dans les locaux de HIRIAPHE ;
mettre en place les moyens physiques assurant un bon
fonctionnement du SI
Documents de  Politique de sécurité physique et environnementale
 Procédure de gestion des incidents de sécurité
 Politique de gestion des identités et des accès
Points de contrôle  Documents rédigés, connus et appliqués en interne et
externe
 Existence des documents suivants : audits de
sécurité physique
 Contrôle d’accès : badge, digicode, lecteurs de
badges…
11.1. Zones de sécurité

PHY-R01 Zones de sécurité
Conformément à la politique de sécurité physique et
environnementale, le RSSI établit, en coordination avec
les moyens généraux, trois zones physiques de
sécurité :
 Une zone publique (accueil)
 Une zone restreinte regroupant les locaux techniques
ainsi que les directions et composantes des directions
Règle
non ouvertes au public ;
 Une zone protégée, dont l’accès est limité aux seules
personnes présentant un besoin d’en connaître
(datacenters par exemple).
Pour chaque zone de sécurité, il en définit :
 Les conditions précises d’autorisation d’accès ;
 Les protections physiques à mettre en œuvre.
RSSI, Moyens généraux, DSI, Equipes opérationnelles
Acteurs
CLOUD
Responsable de
règle

d’Information
PHY-R02 Accès aux zones restreintes et protégées de HIRIAPHE

Les locaux restreints et protégés de HIRIAPHE sont
soumis à un contrôle d’accès physique limitant l’accès
Règle aux seules personnes autorisées, dans une plage de
temps donnée. L’accès est conditionné par la détention
d’un badge toujours porté visible.
Acteurs Moyens généraux, Collaborateurs, Prestataires
Responsable de
l’application de la Moyens généraux
règle
PHY-R03 Accès aux Datacenters

Les accès aux Datacenters de HIRIAPHE sont gérés par
les sous-traitants et sont soumis à une autorisation
préalable de la part de la DSI ou de Equipes
opérationnelles CLOUD.
Règle
La DSI et Equipes opérationnelles CLOUD maintiennent à
jour un listing exhaustif de l’ensemble des accès
attribués et effectuent des revues périodiques (minimum
trimestrielles).
DSI, Equipes opérationnelles CLOUD, Prestataires et
Acteurs
collaborateurs autorisés
Responsable de
règle
PHY-R04 Prise en charge des visiteurs

Afin d’éviter tout risque de compromission d’actifs
sensibles de l’entité, le service d’accueil des sites doit
demander à la personne interne qui reçoit un visiteur au
sein d’une zone restreinte ou protégée de venir le
prendre en charge à l’accueil.
En cas d’impossibilité, le personnel d’accueil se chargera
de guider le visiteur dans les locaux jusqu’à la personne
visitée.
Règle
Le visiteur sera équipé d’un badge visiteur portée de
façon visible. Sauf dérogation validée par les moyens
généraux, ce badge ne disposera d’aucun accès aux
locaux HIRIAPHE.
La personne interne visitée accompagnera le visiteur

jusqu’à son départ des locaux HIRIAPHE.
Acteurs Moyens généraux, Collaborateurs
Responsable de
règle

d’Information
PHY-R05 Maîtrise des accès en zone d’accueil

Les accès réseau en zone d’accueil doivent être
effectués depuis un réseau cloisonné logiquement
Règle (VLAN) du reste du SI. Une architecture sécurisée est
mise en place pour chaque accès réseau depuis une
zone d’accueil.
Acteurs DSI
Responsable de
règle
PHY-R06 Moyens d’accès physiques

La délivrance des moyens d’accès physiques respecte un
processus formel permettant de s’assurer de l’identité de
Règle
la personne, s’appuyant sur la procédure de gestion des
entrées, sorties et mouvements du personnel.
Acteurs RSSI, DRH, Moyens généraux
Responsable de
règle
PHY-R07 Intervention au sein des zones protégées

Toute personne externe intervenant dans les zones
protégées (locaux techniques, Datacenter, …) doit être
Règle accompagnée d’un membre du personnel interne
explicitement autorisé et habilité, durant toute la durée
d’intervention.
Acteurs RSSI, DSI, Equipes opérationnelles CLOUD, prestataire
Responsable de
règle
11.2. Matériels
PHY-R08 Protection du câblage
Les câbles de l’infrastructure du SI (réseau,
Règle communication…) sont protégés contre les dommages et
les interceptions.
Acteurs Moyens généraux, DSI, Equipes opérationnelles CLOUD
Responsable de
l’application de la Moyens généraux, DSI, Equipes opérationnelles CLOUD
règle
PHY-R09 Matériel sans surveillance

Règle Les équipements (postes de travail portables,

d’Information
PHY-R09 Matériel sans surveillance

téléphones…) ainsi que les moyens physiques
d’authentification forte (badge, ton) ne doivent pas être
laissés sans surveillance.
Dans le cas contraire, les équipements son verrouillés et
les éléments stockés dans des armoires fermées à clef.
Acteurs Moyens généraux, Collaborateurs Agents
Responsable de
règle
PHY-R10 Alimentation électrique des datacenters

L’alimentation secteur des datacenters est conforme aux
règles de l’art (protection électrique, onduleur,
redondance…).
Règle
Dans la mesure du possible, les datacenters tiers
possèdent une certification de sécurité reconnue (uptime
institute, ISO 27001, ISO 22301, …)
Acteurs RSSI
Responsable de
règle
PHY-R11 Alimentation électrique des bureaux DSI

La DSI possède une alimentation électrique secourue par
des onduleurs afin de permettre l’assurance du service
Règle support en cas de panne.
Les onduleurs peuvent supporter une charge d’une heure
sur le sous-système d’information de la DSI.
Acteurs RSSI
Responsable de
règle
PHY-R11 Groupe électrogène du Datacenter

Un groupe électrogène dimensionné en fonction des
besoins énergétiques du SI est installé au sein du
Datacenter.
Règle
DSI et Equipes opérationnelles CLOUD s’assurent que
des tests réguliers sont effectués par les prestataires
hébergeurs.
Responsable de
règle

d’Information
PHY-R11 Climatisation
Un dispositif de climatisation dimensionné en fonction
des besoins énergétiques du SI doit être installé dans les
locaux le nécessitant (Datacenters, locaux techniques,
…).
La DSI, en coordination avec les moyens généraux, ont la
charge de définir des procédures de réaction en cas de
panne de la climatisation des locaux techniques équipés
Règle au sein de bâtiments de HIRIAPHE. Ces procédures
doivent être testées périodiquement et mises à jour le
cas échéant. Elles doivent être connues de l’ensemble du
personnel DSI.
La DSI et Equipes opérationnelles CLOUD s’assurent que
des tests réguliers sont effectués par les prestataires
hébergeurs.

Responsable de
règle
PHY-R12 Détection d’incendie et protection

La DSI et Equipes opérationnelles CLOUD ont la charge
de définir les moyens de détection et de protection
(techniques et procédures) contre les incendies à mettre
en œuvre dans les datacenters. Ils s’assurent que des
tests réguliers sont effectués par les prestataires
hébergeurs.
Règle
Les moyens généraux ont la charge de l’installation et de
la maintenance des moyens de détection et de
protection au sein des bureaux.
Les procédures et le bon fonctionnement de ces moyens
de détection et de protection doivent être testés
périodiquement par les moyens généraux.
Responsable de
règle
PHY-R13 Mise en place d’un détecteur d’humidité au sol

La DSI et Equipes opérationnelles CLOUD ont la charge
de définir les moyens de détection (procédures et
Règle techniques) d’humidité au sol à mettre en œuvre dans les
datacenters. Ils s’assurent que des tests réguliers sont
effectués par les prestataires hébergeurs.

d’Information
PHY-R13 Mise en place d’un détecteur d’humidité au sol

Responsable de
règle
12. Sécurité liée à l’exploitation

Objectif S’assurer de l’exploitation correcte et sécurisée des
moyens de traitement de l’information du SI
Documents de  Procédures d’exploitation thématiques
référence et  Politique de gestion des identités et des accès
d’application  Politique de maintien en condition de sécurité
 Politique de gestion des changements
 Politique de sauvegarde
 Politique de journalisation
 Charte des administrateurs
 Charte utilisateur
Points de contrôle  Présence d’une politique de sauvegarde tenue à jour
 Résultats de tests de sauvegarde et restauration
 Traces et journaux d’événements
 Postes de travail et serveurs patchés et à jour
 Vérification régulière du déploiement et mise à jour
des antivirus sur les postes de travail et serveurs de
téléchargement
 Postes de travail configurés de manière sécurisé
 Catalogue des outils autorisés
 Sensibilisation des usagers incluant la présentation
des procédures
12.1. Procédures et responsabilités liées à

l’exploitation
EXP-R01 Procédures d’exploitation
Des procédures décrivant les actions (techniques,
d’administration, de gestion…) à réaliser pour le maintien
en condition opérationnelle des applications, des
équipements réseaux, des systèmes, des postes de
Règle
travail, des composants de sécurité sont rédigées.
Les actions concernent aussi bien les environnements
DSI, Equipes opérationnelles CLOUD, R&D ou RH.
Ces procédures sont connues de tous.
Acteurs RSSI, DSI, collaborateurs, stagiaires, prestataires

d’Information
EXP-R01 Procédures d’exploitation

Responsable de
l’application de la DSI, Equipes opérationnelles CLOUD, RH, R&D
règle
Séparation logique des environnements de

EXP-R02
développement, de test et d’exploitation
Les environnements de développement, de test et
d’exploitation sont logiquement séparés.
Règle Des filtrages de flux sont mis en place entre chaque
environnement. Cette matrice de flux est revue sur une
base annuelle.
Acteurs RSSI, DSI, Equipes opérationnelles CLOUD, R&D
Responsable de
règle
12.2. Durcissement des configurations

EXP-R03 Configuration des ressources informatiques
Toutes les ressources informatiques du SI de production
doivent être « durcies » (hardening), c’est-à-dire
configurées selon le strict nécessaire. Également, tous
les paramètres par défaut doivent être modifiés.
En particulier, les points suivants doivent être respectés
(liste non-exhaustive) :
- Les comptes standards par défaut sont
obligatoirement désactivés ou renommés
Règle - Les composants inutiles au fonctionnement
souhaité du service sont désactivés
- Dans la mesure du possible, les services ne
doivent pas être exécutés avec les droits
administrateurs.
- Dans la mesure du possible, chaque compte
possède un mot de passe créé conformément à la
politique en vigueur
Ces configurations doivent être documentées.
Responsable de
règle
EXP-R04 Configuration du navigateur Internet

Règle Les navigateurs utilisés sur les postes et serveurs

d’Information
EXP-R04 Configuration du navigateur Internet

doivent être configurés de manière sécurisée (cookies,
envoi de données, modules de sécurité, …).
Les collaborateurs de HIRIAPHE sont sensibilisés sur
l’utilisation du navigateur Internet au travers des
sessions de sensibilisation et de la charte informatique.
Acteurs RSSI, DSI
Responsable de
règle
12.3. Administration des systèmes

EXP-R05 Restriction des droits sur les postes de travail
Sauf dérogation, les utilisateurs ne doivent pas avoir les
droits d’administration.
Règle
Le RSSI valide les dérogations avant la création du
compte administrateur local par la DSI.
Acteurs RSSI, DSI
Responsable de
l’application de la DSI, RSSI
règle
EXP-R06 Traçabilité des interventions

Toute intervention d’administration ou de maintenance
sur les ressources du SI doit être tracée de manière
précise (date, heure, action, identité…) et en conformité
Règle avec les règles relatives à la gestion des changements
(cf. Chapitre 12.6 du présent document).
Les traces doivent être protégées et accessibles
pendant un an.
Responsable de
règle
EXP-R07 Flux d’administration dédiés

Les opérations d’administration doivent s’effectuer sur
Règle
un réseau dédié et au travers de protocoles sécurisés.
Responsable de
règle
EXP-R08 Sécurisation des postes d’administration

Règle Les postes utilisés pour administrer les ressources

d’Information
EXP-R08 Sécurisation des postes d’administration

sensibles du SI ne doivent pas être connectés à Internet.
Responsable de
règle
EXP-R09 Prise en main à distance par le support informatique

L’affichage d’une session utilisateur à distance d’un
Règle poste par un administrateur ne peut se faire sans la
validation du propriétaire du poste visé.
Acteurs RSSI, DSI
Responsable de
règle
12.4. Protection contre les codes malveillants

EXP-R10 Protection contre les codes malveillants
Des logiciels de protection contre les codes malveillants
doivent être installés sur l’ensemble des serveurs
d’interconnexion, serveurs applicatifs et postes de
Règle
travail. Dans la mesure du possible, ces logiciels de
protection doivent être distincts pour ces trois types
d’équipement.
Responsable de
règle
EXP-R11 Gestion des événements de sécurité

Les événements de sécurité doivent être remontés sur
Règle
un outil centralisé.
Responsable de
règle
EXP-R12 Mise à jour de la base de signatures

Les mises à jour des bases antivirales et des moteurs
Règle d’antivirus doivent être déployées automatiquement sur
les serveurs et les postes de travail.
Responsable de
règle

d’Information
12.5.Gestion des correctifs de sécurité

EXP-R13 Politique de gestion des correctifs
Un processus de gestion des correctifs est défini au sein
de la procédure de maintien en conditions de sécurité
pour l’ensemble des ressources du SI. Le processus de
gestion des correctifs respecte les règles liées à la
Règle
gestion des changements.
Les responsabilités relatives à l’identification, l’analyse
et le déploiement des correctifs sont définies au sein
d’un RACI.
Responsable de
l’application de la DSI, Equipes opérationnelles CLOUD, R&D
règle
EXP-R14 Veille sécurité

Un processus de veille est défini au sein de la procédure
de maintien en conditions de sécurité (abonnements à
des mailing list, flux RSS, courriels
éditeurs/constructeurs) afin d’identifier les vulnérabilités
impactant le système d’information.
Règle
La DSI, la R&D et l’équipe Equipes opérationnelles
CLOUD ont la charge d’identifier les correctifs de
sécurité à appliquer. Le processus d’identification des
correctifs de sécurité respecte les règles liées à la
gestion des changements.
Responsable de
règle
EXP-R15 Analyse des alertes

Les alertes et vulnérabilités sont analysées selon des
critères précis (applicabilité, exposition, criticité).
Par défaut le patch est appliqué. Sinon, le traitement de
Règle l’alerte est décidé de concert entre le RSSI, la R&D, la
DSI et Equipes opérationnelles CLOUD conformément au
processus d’analyse des alertes décrit au sein des règles
liées à la gestion des changements.
Responsable de
règle
EXP-R16 Déploiement des correctifs

Règle Le déploiement des correctifs sensibles est effectué

d’Information
EXP-R16 Déploiement des correctifs

conformément à la procédure de gestion des
changements avec une coordination précise.
Dans la mesure du possible, les correctifs de sécurité
des ressources du SI doivent être déployés via des outils
centralisés.
Toute impossibilité de déploiement de correctif doit faire
l’objet d’une exception de sécurité validée par le RSSI.
Responsable de
l’application de la RSSI, DSI, Equipes opérationnelles CLOUD, R&D
règle
EXP-R17 Migration des systèmes obsolètes

L’ensemble des logiciels utilisé sur le SI doit être dans
une version pour laquelle l’éditeur assure le support, et
Règle tenu à jour.
Les systèmes obsolètes résiduels sont isolés au sein
d’un réseau local logique dédié (VLAN Toxique).
Responsable de
règle
12.6. Gestion des changements

EXP-R18 Politique de gestion des changements
Règle Une politique de gestion des changements au sein du
système d’information est définie et appliquée par tous
les services en charge de l’administration des
environnements de développement, test, QA et
production.
Un changement a pour objectif de modifier, créer ou
supprimer un des composants de l'infrastructure du
système d'information.
Cette politique aborde :
- La planification des changements en analysant
notamment les impacts liés aux changements
(client, sécurité, …) ;
- La conception et l’implémentation des
changements (planification, communication,
déploiement, test)
- La continuité de services et gestion de la
disponibilité sur les infrastructures impactées par

d’Information
EXP-R18 Politique de gestion des changements

ces changements.
Acteurs DSI, Equipes opérationnelles CLOUD, R&D, Métiers, QA
Responsable de Métiers,
règle
EXP-R19 Comité d’approbation des changements

Tous les changements sont centralisés au sein d’un
Comité d’approbation des changements, appelé CAB
(Change Advisory Board).
Le CAB est chargé d'autoriser les changements qui sont
Règle demandés et d'établir une priorité entre ces différentes
demandes de changements. Il a également la charge
d’analyser les impacts des changements et de
coordonner les différents services afin de respecter la
politique de gestion des changements.
CAB (RSSI, DSI, R&D, Métiers, QA, Equipes
Acteurs
opérationnelles CLOUD)
Responsable de
règle
12.7. Sauvegarde
EXP-R20 Politique de sauvegarde
Une politique de sauvegarde du SI (systèmes serveurs,
images, configurations) est rédigée. Cette politique
définit les méthodes, les supports de sauvegarde, le
périmètre ainsi que les durées de rétention des actifs
sauvegardés.
Dans la mesure du possible, les sauvegardes sont
Règle réalisées par l’intermédiaire d’un ordonnanceur.
Les sauvegardes de données ne doivent pas être
soumises aux mêmes risques de sinistres que les
données sauvegardées.
Les sauvegardes doivent être traitées de manière à
garantir leur confidentialité, leur intégrité et leur
disponibilité.
Responsable de
règle

d’Information
EXP-R21 Restauration et tests des sauvegardes

Les pratiques de restauration et de tests des
sauvegardes du SI sous forme d’échantillonnage sont
Règle
formalisées au sein de la politique de sauvegarde mise
en place.
Responsable de
règle
12.8. Journalisation et surveillance

EXP-R22 Journalisation des événements de sécurité
Un événement de sécurité est une occurrence identifiée
de l’état du système d’information, d’un service ou d’un
réseau de HIRIAPHE indiquant une faille possible dans la
Politique de Sécurité du Système d’Information (PSSI) ou
un échec des mesures de sécurité.
Conformément à la politique de journalisation, chaque
ressource du SI doit posséder un dispositif de
Règle
journalisation permettant de conserver une trace des
événements de sécurité.
Les équipes R&D et Equipes opérationnelles CLOUD
travaillent de concert afin de définir les logs à générer et
à recueillir.
Ces traces doivent être protégés contre la perte des
données, l’altération ou la divulgation.
Responsable de
règle
EXP-R23 Gestion et analyse des événements de sécurité

Les événements de sécurité journalisés sont gérés et
Règle corrélés au sein d’un outil spécifique (Security
Information and Event Management).
Responsable de
règle
EXP-R24 Conservation des journaux

Lorsque cela est techniquement possible, ces
Règle événements de sécurité journalisés sont à conserver
pour une durée de 6 mois.

d’Information
EXP-R24 Conservation des journaux

Responsable de
règle
12.9. Maîtrise des logiciels en exploitation

Logiciels sur les postes de travail connectés au réseau
EXP-R25
local
L’installation de logiciels spécifiques sur les postes de
travail est restreinte à un catalogue d’outils autorisés
par la DSI, en fonction du besoin des utilisateurs.
Règle
Les responsabilités relatives à l’utilisation du poste de
travail par les administrateurs sortant ainsi de la
maintenance de la DSI sont définies au sein d’un RACI.
DSI, RSSI, administrateurs, collaborateurs, stagiaires,
Acteurs
prestataires
Responsable de DSI
règle

d’Information
13. Sécurité des communications

Objectif Garantir la protection de l’information sur le SI
Documents de  Procédures d’exploitation
référence et  Cartographie du SI
d’application  Politique de journalisation
 Charte informatique
 Charte des administrateurs
 Procédure de gestion des informations
Points de contrôle  Journaux de l’activité réseau
 Document de contrôle des accès réseaux
 Configuration des équipements
 Règles de filtrage des flux
 Événements remontés par les équipements de filtrage
(IDS/IPS, proxy, pare-feu)
13.1. Management de la sécurité des réseaux

COM-R01 Cloisonnement des réseaux
Par analogie avec le cloisonnement physique, le SI est
segmenté en plusieurs réseaux logiques présentant
chacun un niveau de sécurité homogène (VLAN).
Un filtrage des flux inter-VLAN est mis en place, tenu à
jour et revu régulièrement.
Règle La cartographie du SI est constituée et mise à jour
régulièrement (configuration de pare-feu, ports des
switches, adressages, etc.).
Des procédures dédiées à l’exploitation des réseaux
ainsi qu’un processus de revue des règles et des
configurations sont rédigées.
Responsable de
règle
Filtrage des flux entrants et sortants du SI Corporate et

COM-R02
des agences locales
Règle Le RSSI a la charge de définir les flux autorisés en
entrée et en sortie du système d’information du siège et
des agences locales.
La DSI et Equipes opérationnelles CLOUD doivent

d’Information
Filtrage des flux entrants et sortants du SI Corporate et

COM-R02
des agences locales
appliquer le filtrage.
La matrice des flux DSI/Equipes opérationnelles CLOUD
est revue sur une base annuelle par le RSSI, la DSI et
Equipes opérationnelles CLOUD.
Responsable de
règle
COM-R03 Analyse des traces réseaux

L’ensemble des traces techniques des équipements
réseaux liées aux événements systèmes, aux tentatives
Règle de connexions et aux accès sont centralisés et exploités
au travers d’un outil de corrélation des événements (cf.
EXP-R23).
Responsable de
règle
COM-R04 Détection des tentatives d’intrusion

Des dispositifs de détection et de prévention d’intrusion
(Intrusion Detection System/Intrusion Prevention System)
sont mis en œuvre.
En complément du SIEM (cf. EXP-R23), un Security
Operations Center (SOC) est implémenté et permet
Règle d’analyser intelligemment les événements de sécurité
récoltés afin d’identifier et d’anticiper d’éventuelles
intrusions au sein du système d’information.
Des indicateurs liés aux tentatives d’intrusion sont
implémentés afin de surveiller et prévenir de tout
incident de sécurité.
Responsable de
règle
COM-R05 Systèmes autorisés sur le réseau interne (Wifi et filaire)

Seuls les équipements gérés et configurés par la DSI
peuvent être connectés au réseau HIRIAPHE (LAN)
Règle
Une authentification par certificat des systèmes
autorisés est implémentée.
Acteurs DSI
Responsable de
règle

d’Information
COM-R06 Sécurisation des services publiés sur internet

Tous les services exposés sur Internet sont équipés d’un
pare-feu d’application web (Web Application Firewall -
WAF) correctement configuré.
Règle
Chaque publication de service doit faire l’objet d’une
validation par la DSI et d’un paramétrage du WAF au sein
de l’application web.
Acteurs RSSI, DSI
Responsable de
règle
COM-R07 Accès aux ressources exposées sur Internet

Dans la mesure du possible, les accès aux services
restreints (réservés aux clients, partenaires et/ou
Règle collaborateurs) exposés sur internet s’effectuent via un
contrôle d’accès par filtrage (authentification via
certificat par exemple)
Responsable de
règle
COM-R08 Maîtrise des interconnexions au SI

Toute interconnexion au SI doit être effectuée via un
réseau maîtrisé et/ou via une authentification forte. Par
exemple (liste non-exhaustive) :
- Ne pas passer par Internet sans être protégé par
un réseau privé virtuel VPN
- Mettre en place une authentification forte afin
Règle d’accéder à l’application (certificat machine, OTP,
…). Les entités (agences locales, partenaires) se
connectant au réseau HIRIAPHE doivent respecter
a minima l’ensemble des règles de la présente
politique.
Toute interconnexion ne pouvant respecter la présente
règle doit faire l’objet d’une dérogation auprès du RSSI
Acteurs DSI, RSSI
Responsable de
règle
COM-R09 Maîtrise des accès Internet

Règle Le RSSI doit définir en collaboration avec la DSI la
politique d’accès à Internet en fonction des risques

d’Information
COM-R09 Maîtrise des accès Internet

identifiés et de la sensibilité du SI.
La DSI doit appliquer cette politique pour l’ensemble du
groupe
Acteurs RSSI, DSI
Responsable de
règle
COM-R10 Maîtrise des réseaux sans fil et Wifi guest

Le RSSI doit définir en collaboration avec la DSI la
politique de configuration et d’usage des réseaux sans
fil, en fonction des risques identifiés et de la sensibilité
du SI.
Un wifi est à disposition des visiteurs invités et est géré
Règle
par la DSI. Chaque invité souhaitant accéder au réseau
wifi Guest est identifié nommément et signer une clause
de responsabilité sur son usage de l’accès Internet fourni
par HIRIAPHE.
La DSI applique cette politique.
Acteurs RSSI, DSI
Responsable de
règle
COM-R11 Configuration durcie des équipements réseaux

La configuration des équipements d’infrastructure de
communication doit être durcie (hardening).
En particulier :
Règle
 Modification des données par défaut (compte, mot
de passe, certificat…) ;
 Les services inutiles doivent être désactivés.
Acteurs DSI, Equipes opérationnelles CLOUD RSSI
Responsable de
règle
13.2. Transfert de l’information

COM-R12 Sécurité des informations transférées
Les flux externes sont chiffrés à travers l’utilisation de
protocoles sécurisés (HTTPS, SFTP, FTPS) et des VPN
Règle
mis en œuvre pour les accès aux applications et au
réseau local.
Acteurs RSSI, DSI, R&D, Equipes opérationnelles CLOUD, DSI

d’Information
COM-R12 Sécurité des informations transférées

Client, Prestataires
Responsable de DSI, Equipes opérationnelles CLOUD, R&D
règle
COM-R12 Partage de fichiers

Le RSSI définit au sein de la procédure de gestion de
l’information les pratiques à respecter concernant le
partage de fichiers et s’assure de son application
Règle
(quelles sont les conditions, quels sont les usages,
quelles sont les personnes autorisées, quelles sont les
collaborateurs en charge de la gestion des droits…).
Acteurs RSSI, DSI, Métiers
Responsable de
règle
COM-R13 Impression d’informations sensibles

Le RSSI définit au sein de la charte informatique et
rappelle au sein des sessions de sensibilisation
l’utilisation sécurisée des imprimantes et des copieurs
Règle
multifonctions pour les informations sensibles.
L’utilisation des impressions sécurisées (protégées par
code PIN) est obligatoire.
Acteurs RSSI, DSI
Responsable de
règle

d’Information
14. Développement
Objectif Veiller à ce que la sécurité fasse partie intégrante du SI
tout au long de son cycle de vie
Documents de  Procédure d’intégration de la sécurité dans la relation
référence et avec les fournisseurs
d’application  Plan de formation et de sensibilisation
 Politique de développement sécurisé
Points de contrôle  Journaux applicatifs
 Documentation d’urbanisation applicative
 Document de contrôle des accès applicatifs
 Revue et audit de codes
 Tests d’intrusion régulier sur les applicatifs
accessibles de l’Internet
DEV-R01 Politique de développement sécurisé

Une politique de développement sécurisé est définie et
appliquée par tous les développeurs, internes ou
prestataires.
Cette politique définit les règles et usages liés aux
pratiques de sécurité à intégrer tout au long du cycle de
vie du développement, notamment :
Règle - Les référentiels (normes, guides, …) à respecter ;

- Le contrôle des versions
- Les points de contrôle de la sécurité
- Les capacités des développeurs à éviter,
découvrir et corriger les vulnérabilités
- Chiffrement des mots de passe en base
- …
Acteurs RSSI, R&D, Prestataires développeurs, PS
Responsable de
l’application de la RSSI, R&D
règle
DEV -R02 Formation des développeurs

Les développeurs sont formés aux bonnes pratiques de
Règle développement sécurisé conformément au plan de
formation et de sensibilisation.
Acteurs RH, R&D, Prestataires développeurs, RSSI
Responsable de
l’application de la RH
règle

d’Information
DEV -R03 Intégration de la sécurité dans les spécifications

Tous les projets de développement ou de paramétrage
Règle respectent la procédure d’intégration de la sécurité dans
les projets (cf. ORG-R04).
Acteurs R&D, PS
Responsable de
règle
DEV -R04 Utilisation de sources externes

Les sources externes utilisées dans le cadre des
développements sont validées par le designer authority.
Règle
Toute exception est tracée et suivie dans le temps par le
designer authority et le RSSI.
Acteurs R&D, RSSI
Responsable de
l’application de la Designer Authority
règle
DEV -R05 Environnement de développement sécurisé

Les développements sont effectués au sein d’un
environnement cloisonné, accédé seulement par les
personnes autorisées.
Les développements sont qualifiés dans un
Règle
environnement dédié avant mise en production.
Une phase de recette trimestrielle est effectuée par la
QA sur les développements. Les développements
externalisés sont également recettés.
Acteurs DSI, R&D, QA, Prestataires développeurs
Responsable de
l’application de la PS, QA, R&D
règle
DEV -R06 Mise en production des développements

Toutes les applications ou déploiements doivent recevoir
l’aval de la QA et du CAB avant mise en production,
Règle
conformément à la politique de gestion des changements
(cf. EXP-R18).
Acteurs R&D, PS
Responsable de
l’application de la CAB, QA
règle
DEV -R07 Exigences de sécurité pour les développements tiers

Règle Conformément à la procédure d’intégration de la sécurité
dans la relation avec les fournisseurs, des exigences
doivent être intégrées dans les contrats de

d’Information
DEV -R07 Exigences de sécurité pour les développements tiers

développement par les tiers pour que la sécurité soit
prise en compte (formation obligatoire des développeurs,
utilisation d’outil et de framework reconnus, tests…).
Acteurs RSSI, Legal, R&D
Responsable de
l’application de la Legal, RSSI
règle
Adhérence des applications à des technologies

DEV -R08
spécifiques
Dans la mesure du possible, il est nécessaire d’éviter
l’adhérence des solutions à des technologies
spécifiques, afin d’avoir la capacité de changer
Règle d’environnement facilement sans impacter les
applications.
Tout choix d’adhésion à une technologie spécifique doit
être discuté et validé par le designer authority.
DSI, Equipes opérationnelles CLOUD, R&D, Métiers,
Acteurs
Designer Authority
Responsable de
l’application de la Designer Authority
règle
DEV -R09 Revue du code

Régulièrement, des revues de tout ou partie du code sont
effectuées afin d’identifier des pratiques de codage ou
Règle
des règles ne satisfaisant pas la politique de
développement en place.
Acteurs R&D
Responsable de
l’application de la R&D
règle
DEV -R10 Changement au sein des applications développées

Règle Cf. Gestion du changement (CAB)
DSI, Equipes opérationnelles CLOUD, R&D, Métiers,
Acteurs
Designer Authority, QA
Responsable de
l’application de la CAB
règle
DEV -R11 Anonymisation des données de test

Les données de test sont purgées de tout caractère
Règle personnel ou confidentiel, sauf exceptions justifiées et
validées par le RSSI et le DPO.
Acteurs RSSI, Métiers, DSI
Responsable de RSSI, DPO

d’Information
DEV -R11 Anonymisation des données de test

règle

d’Information
15. Relation avec les fournisseurs

Objectif Garantir la protection des actifs de HIRIAPHE
accessibles par les fournisseurs
Documents de
 Procédure d’intégration de la sécurité dans la relation
référence et
avec les fournisseurs
d’application
Points de contrôle  Documentation existante
 Audits
FRN-R01 Contractualisation
Les fournisseurs critiques sont identifiés, et des
exigences de sécurité encadrent les activités
contractualisées. Le suivi de ces exigences de sécurité
est régulièrement effectué par les responsables
Règle concernés de HIRIAPHE.
Les mesures de sécurité mises en place par les
fournisseurs critiques afin de répondre aux exigences de
HIRIAPHE font l’objet d’un plan d’assurance sécurité
contractualisé.
Acteurs RSSI, Legal, Fournisseurs, DAF, Métiers
Responsable de
règle
FRN-R02 Suivi de la sécurité

Contractuellement, et dans la mesure du possible, il est
spécifié que des audits de sécurité de l’information
peuvent être diligentés par HIRIAPHE vers ses
Règle prestataires critiques afin de juger de la sécurité en
place dans les éléments externalisés.
Il est également demandé des reportings en cas
d’incidents.
Acteurs Fournisseurs, RSSI, Métiers, Legal
Responsable de
l’application de la RSSI, Legal
règle

d’Information
16. Gestion des incidents liés à la sécurité

de l’information
Objectif Garantir une méthode cohérente et efficace de gestion
des incidents liés à la sécurité de l’information
Documents de  Procédure de gestion des incidents de sécurité
référence et  Politique de journalisation
d’application  Plan de formation et de sensibilisation
 Livret d’accueil SSI
Points de contrôle  Documents de retour d’expérience sur les incidents
Définition de la politique de traitement des incidents liés

INC-R01
à la sécurité de l’information
Le RSSI définit la procédure de gestion des incidents liés
à la sécurité de l’information, en particulier
l’organisation, les modes de communication, la
qualification et le traitement des incidents.
Règle
Cette procédure intègre le volet réglementaire lié à la
protection des données à caractère personnel et
notamment les notifications vers la CNIL en cas de
violation de données.
Acteurs RSSI
Responsable de
règle
INC-R02 Traitement des alertes

Que les alertes soient identifiées par des actions de
veille ou remontées par un utilisateur ou un outil, le
support (DSI, Equipes opérationnelles CLOUD, Support
Règle client) doit dans un premier temps créer un nouveau
ticket d’incident et le qualifier selon les fiches réflexes à
disposition afin d’orienter les actions aux personnels
idoines.
RSSI, DSI, Equipes opérationnelles CLOUD, Support
Acteurs
Client
Responsable de
règle

d’Information
INC-R03 Traçabilité des actions

À des fins d’amélioration, l’ensemble des actions de
traitement des incidents de sécurité doit être tracé afin
Règle
de pouvoir identifier les actions correctives
implémentées.
Acteurs
Client
Responsable de
règle
INC-R04 Analyse causale

Des analyses causales sont systématiquement réalisées
sur les incidents de sécurité identifiés une fois qu’ils
sont clos.
Règle
Ces analyses permettront de mettre en place une
meilleure maturité sécurité au sein de HIRIAPHE et
d’implémenter des actions curatives et préventives.
Acteurs
Client
Responsable de
règle
INC-R05 Capitalisation des incidents et amélioration continue

La gestion des incidents doit être sauvegardée afin de
capitaliser les enseignements sur la résolution, les
problèmes rencontrés… Les sessions de sensibilisation
Règle
peuvent être mises à jour en conséquence en intégrant
des retours d’expérience sur les incidents de sécurité
rencontrés.
Acteurs RSSI
Responsable de
règle

d’Information
17. Continuité d’activité

Objectif Garantir que HIRIAPHE dispose d’un plan de continuité
d’activités en cohérence avec les besoins de sécurité du
SI
Documents de  Plan de Continuité des Activités
référence et  Procédure d’intégration de la sécurité dans la
d’application relation avec les fournisseurs
Points de contrôle  PCA rédigé et à jour
 PCI rédigé et à jour
 Tests annuels effectués
PCA-R01 Définition du plan de continuité d’activités

Un plan de continuité d’activité pour les activités
stratégiques de HIRIAPHE est défini par le RSSI et les
directions métiers concernées afin de pallier toute
indisponibilité du personnel ou des locaux, et à tout arrêt
prolongé des systèmes et applications sensibles.
Ce plan de continuité d’activité définit notamment :

- Les SPOF (Single Point Of Failure) du SI
HIRIAPHE ;
Règle
- Les sinistres majeurs potentiels pouvant
déclencher une crise ;
- Les moyens mis en œuvre et les modalités
opérationnelles permettant d’assurer la continuité
des fonctions vitales de HIRIAPHE à la suite d’une
situation de crise ;
- Les rôles et les activités de chacun ;
- Les modalités de basculement en mode dégradé
ou sur les solutions de secours.
RSSI, DSI, Equipes opérationnelles CLOUD, Directions
Acteurs
métiers concernées
Responsable de
règle
PCA-R02 Mise en œuvre du plan de continuité

Règle Le RSSI doit garantir la mise à disposition des moyens
(procédures et techniques) prévus dans le plan de
continuité.
La DSI, Equipes opérationnelles CLOUD, les moyens

d’Information
PCA-R02 Mise en œuvre du plan de continuité

généraux ainsi que les directions métiers concernées ont
la charge de la mise en œuvre, de la supervision et de la
maintenance de ces moyens.
Ces moyens sont testés de manière périodique, et des
mises à jour sont effectuées au besoin.
RSSI, DSI, Directions métiers concernés, Moyens
Acteurs
généraux
Responsable de
règle
PCA-R03 Continuité d’activités liées à un tiers

dans la relation avec les fournisseurs, toute activité
critique sous-traitée à une société tierce doit faire l’objet
d’une évaluation de la sensibilité qui recensera le besoin
Règle et les possibles conséquences d’une perte de
disponibilité.
En conséquence, une convention de continuité de
services pourra être contractualisée conformément aux
besoins exprimés par la Direction métier concernée.
Acteurs RSSI, Directions métiers concernées
Responsable de
règle
PCA-R04 Tests
Des exercices de reprise d’activités annuels sont
effectués par la DSI et Equipes opérationnelles CLOUD et
Règle
les moyens généraux, sous la supervision du RSSI qui en
définit le scénario.
RSSI, DSI, Equipes opérationnelles CLOUD, moyens
Acteurs
généraux, personnel interne, prestataires
Responsable de
règle

d’Information
18. Conformité
Objectif Éviter toute violation des obligations relatives à la
sécurité des SI
Documents de  Procédure d’intégration de la sécurité dans les
référence et projets
d’application  Programme d’audits
 Politique de Gouvernance de la Sécurité du
Système d’Information
Points de contrôle  Analyse annuelle de conformité de la PSSI au
regard des obligations règlementaires
 Comptes rendus d’activité du processus de
veille réglementaire
 Plan d’audit
 Suivi du plan d’audit
 Contrôle et suivi des rapports d’audit
 Audits internes
 Contrôle annuel des licences logicielles
18.1. Conformité aux obligations

règlementaires et contractuelles
Exigences règlementaires et contractuelles dans les
CONF-R01
projets
dans les projets, chaque nouveau projet fait l’objet d’une
analyse visant à identifier les nouvelles exigences
Règle réglementaires et contractuelles (locales et
internationales). Une analyse d’écart est ensuite
effectuée visant à identifier les mesures à mettre en
place afin de respecter ces nouvelles exigences.
Acteurs RSSI, Chefs de projet, Legal
Responsable de
l’application de la Legal
règle
Évolution des exigences règlementaires et

CONF-R02
contractuelles
Règle Une gouvernance globale de veille est mise en place afin

d’Information
Évolution des exigences règlementaires et

CONF-R02
contractuelles
de suivre les évolutions règlementaires et
contractuelles, d’en analyser l’impact sur les projets et
de faire évoluer la politique en conséquence.
Cette veille est effectuée par le département Legal sur le
site de Paris et au sein des agences locales par les
référents locaux.
Les MANAGERS participent également à la veille
opérationnelle afin de faire remonter au département
Legal les nouvelles exigences opérationnelles
réglementaires et contractuelles.
Acteurs RSSI, Legal, MANAGERS
Responsable de
l’application de la RSSI, Legal
règle
Conformité à la réglementation générale sur la

CONF-R03
protection des données (RGPD)
Un Délégué à la Protection des Données est nommé et
est responsable de la mise en conformité des pratiques
réglementaires attendues. Il a également la charge de la
coordination des référents DPO au sein de chaque
service.
Les référents DPO sont les interlocuteurs privilégiés
Règle
entre les clients et les fournisseurs pour toutes les
questions relatives aux données personnelles.
La politique de gouvernance SSI de HIRIAPHE mentionne
l’organisation mise en place afin d’assurer la sécurité
des données personnelles manipulées dans le cadre des
activités du groupe.
Acteurs RSSI, DPO
Responsable de
l’application de la DPO
règle
18.2. Conformité des pratiques à la politique

CONF-R04 Audit de contrôle de conformité à la PSSI
Règle Le RSSI a la charge de la conduite d’un programme
d’audits de conformité à la PSSI. Ce programme a pour
objectif de vérifier l’application correcte et conforme de
la PSSI par les différentes entités concernées.
Les contrôles effectués sont spécifiés dans le plan
annuel défini par le RSSI et concernent les :
 Audit de conformité de HIRIAPHE au regard de la

d’Information
CONF-R04 Audit de contrôle de conformité à la PSSI

présente PSSI ;
 Audits techniques de prise en compte des règles
et exigences de sécurité.
Acteurs RSSI, auditeurs indépendants du RSSI
Responsable de
règle
CONF-R05 Audit sécurité

Des contrôles et audits techniques annuels doivent être
Règle réalisés sur les composants sensibles, sous forme de
tests d’intrusion (blackbox, whitebox).
RSSI, DSI, Equipes opérationnelles CLOUD, auditeurs
Acteurs
indépendants du RSSI
Responsable de
règle
CONF-R06 Enregistrements
Les enregistrements générés dans le cadre des audits
internes et des tests de conformité technique sont
stockés sur un espace documentaire sécurisé,
Règle
uniquement accessible par des personnes autorisées.
Ces enregistrements sont gérés conformément à la
procédure de gestion documentaire.
Acteurs RSSI, DSI
Responsable de
règle
CONF-R07 Propriété intellectuelle

Tous les logiciels utilisés au sein du système
d’information du groupe respectent les droits d’auteurs
Règle
et les exigences légales relatives aux droits de propriété
intellectuelle et à l’utilisation de logiciels propriétaires.
Acteurs RSSI, DSI, Legal, Administrateurs de postes
Responsable de
règle

d’Information

Iriaf 2023-2024 m2 Audit Pssi Exemple de Pssi

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Iriaf 2023-2024 m2 Audit Pssi Exemple de Pssi

Transféré par

Droits d'auteur :

Formats disponibles

Politique de Sécurité du Système

Pour le compte de : HIRIAPHE

Table des matières

Politique de Sécurité du Système

Politique de Sécurité du Système

1.1. Objet du document

1.2. Champ d’application du document

1.3. Responsabilités et revue du document

1.4. Classification du document

Politique de Sécurité du Système

Politique de Sécurité du Système

Politique de Sécurité du Système

Objectif Description générale de l’objectif du chapitre

Identifiant Titre de la règle

Politique de Sécurité du Système

Politique de Sécurité du Système

5. Politique de sécurité du système

Documents de  Politique de sécurité du système d’information

5.1. Formalisation de la PSSI

Politique de Sécurité du Système

PSSI-R02 Périmètre de la PSSI

PSSI-R03 Déclinaison opérationnelle de la PSSI

5.2. Diffusion de la PSSI et des documents

Politique de Sécurité du Système

5.3. Revue de la PSSI et des politiques

Politique de Sécurité du Système

o Organisation de la sécurité interne au

6.1.1. Fonctions et responsabilités

ORG-R02 Affectation des responsabilités

Politique de Sécurité du Système

ORG-R02 Affectation des responsabilités

Relations avec les autorités et les groupes de travail

6.1.2. Sécurité de l’information dans la gestion

Politique de Sécurité du Système

6.2. Appareils mobiles et travail à distance

6.2.1. Politique en matière d’appareils mobiles

6.2.2. Travail à distance

ORG-R07 Accès distant au SI Production

Politique de Sécurité du Système

7. Sécurité liée aux ressources humaines

7.1. Gestion des arrivants

Politique de Sécurité du Système

Prise en compte de la sécurité dans la sélection du

Chartes relatives à l’usage du système d’information et

Ces chartes sont :

RH-R03 Engagement de confidentialité

Politique de Sécurité du Système

RH-R03 Engagement de confidentialité

Toute personne externe (stagiaire, prestataire) ayant

Les sanctions éventuelles s’appliquant en cas de non-

Manquement aux obligations de la charte relative à

Manquement aux obligations de la charte relative à

Politique de Sécurité du Système

7.2. Gestion des arrivées, des mouvements et

7.3. Application des règles, sensibilisation et

RH-R08 Sensibilisation et formation

Politique de Sécurité du Système

RH-R08 Sensibilisation et formation

Politique de Sécurité du Système

8. Gestion des actifs du SI

8.1. Responsabilités relatives aux actifs

ACT-R02 Attribution de propriétaire aux actifs

Politique de Sécurité du Système