Cahier simplifié des clauses de cybersécurité

  • Description de ce document juridique

  • Votre accès ne vous permet pas de télécharger ce document

  • Cahier simplifié des clauses de cybersécurité.  Ce cahier de clauses simplifiées fixe les clauses qui ont pour vocation d'assurer un premier cadre de sécurisation des systèmes d'information et des données associées via le marché conclu avec le Prestataire, y compris lorsque ledit marché a pour objet principal une prestation associée aux technologies de l'information et de la communication (ordinateurs, logiciels, développements ou hébergement d'application via le web) ou la fourniture de services annexes (extranet de commande et service clients), ou même les simples échanges d'information par messageries électroniques.

     

    Pour les marchés ayant un objet principal numérique comme l'externalisation d'une brique de système d'information, les présentes clauses simplifiées peuvent être complétées dans le cahier de clauses particulières du marché auquel fait écho la production par le Prestataire puis la contractualisation avec le titulaire d'un plan d'assurance sécurité (PAS).

     

    Le Prestataire est tenu de respecter les prescriptions des politiques de sécurité des systèmes d'information (PSSI) du Client, dès lors que ces prescriptions lui ont été communiquées avant  contractualisation.

     

    Il en est de même pour les annexes techniques des PSSI dès lors qu'elles sont disponibles à première demande motivée.

     

    Durant la préparation ou la réalisation du marché, le Client peut conduire ou mandater des contrôles et audits de sécurité informatique des fournitures, prestations, moyens utilisés et services proposés par le Prestataire, et ses sous-traitants acceptés par le Client.

     

    Dans tous les cas, des audits peuvent être réalisés sans accord préalable dès lors que les tests et sondes respectent les conventions techniques d'usage permettant de les identifier (par exemple, User-Agent référençant une URL d'explication, reverse-DNS permettant de donner une origine claire à une adresse IP, etc).

     

    Le Prestataire est informé que les politiques de sécurité du Client prévoient une revue formelle de sécurité appelée homologation, auquel le Prestataire doit apporter son concours en matière de documentations et de réponses aux questions, permettant d'analyser les risques résiduels en matière de confidentialité, authentification, traçabilité, intégrité, disponibilité et résilience.

     

    Par ailleurs, les règlementations applicables par exemple à la protection des données à caractère personnel (RGPD) prévoient la tenue de registres des traitements et la documentation des mesures de protection. Le Prestataire et ses sous-traitants identifient pro-activement les traitements de données personnelles ou sensibles et aident à la réalisation d'analyses d'impact relative à la protection des données et à la consultation préalable des autorités de contrôle.

     

    Dans tous les cas, le Prestataire est tenu de fournir à première demande la documentation nécessaire à la sécurisation et la protection des données du Client et aux démonstrations du respect de ses obligations.

     

    En particulier, la documentation explicite tous les flux échangés (entrants et sortants, applicatif mais aussi de maintenance, de statistiques, de mise à jour, d'administration distante, etc), et les dispositifs de contrôle d'accès et de maintien en condition de sécurité.

     

    Si l'emploi sécurisé du produit ou du service nécessite des actions particulières de la part du Prestataire, elles doivent être clairement identifiées dans un chapitre Sécurité du mode d'emploi (par exemple, la procédure de changement des mots de passe par défaut ou des interfaces exposées, de mise à jour de composants logiciels…).

    Thème Réponses Dernières réponses Actualisé
    Aucune Question Réponse

    Connectez-vous pour poser votre question

    « Retour à Tous les téléchargements

    Haut
    AIDE / QUESTION ?
    close slider
    Question juridique ? Abonnement express ? Réponse assurée dans la journée
    Civilité*
    Email:*
    Sujet :