Guide "hygiène informatique" de l'Agence nationale de la sécurité des systèmes d’information (ANSSI) sur la sécurité des systèmes d'information.
S’adressant aux personnes en charge de la sécurité informatique, que ce soit un responsable de la sécurité des systèmes d’information (RSSI) ou toute autre personne qui remplit cette fonction, ce document présente les 40 règles d’hygiène informatique incontournables.
Elles ne prétendent pas avoir un caractère d’exhaustivité. Elles constituent cependant le socle minimum des règles à respecter pour protéger les informations d’une entreprise.
Ne pas les suivre expose l’entreprise à des risques d’incidents majeurs, susceptibles de mettre sa compétitivité, voire sa pérennité, en danger.
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
Présentation PME-PMI - Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions digitales, réalisée pour la RCC Bretagne et Vesperale GRANIT du 10 avril 2014
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
ANSSI D2IE "Référentiel pédagogique Formation à la cybersécurité des TPE / PME"
La Délégation interministérielle à l’intelligence économique (D2IE – www.intelligence-economique.gouv.fr), avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI – www.ssi.gouv.fr) vient de faire paraître un référentiel pédagogique / cahier des charges destiné à aider les organismes de formation à élaborer des offres de stage en cybersécurité au profit des TPE/PME.
Guide "hygiène informatique" de l'Agence nationale de la sécurité des systèmes d’information (ANSSI) sur la sécurité des systèmes d'information.
S’adressant aux personnes en charge de la sécurité informatique, que ce soit un responsable de la sécurité des systèmes d’information (RSSI) ou toute autre personne qui remplit cette fonction, ce document présente les 40 règles d’hygiène informatique incontournables.
Elles ne prétendent pas avoir un caractère d’exhaustivité. Elles constituent cependant le socle minimum des règles à respecter pour protéger les informations d’une entreprise.
Ne pas les suivre expose l’entreprise à des risques d’incidents majeurs, susceptibles de mettre sa compétitivité, voire sa pérennité, en danger.
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
Présentation PME-PMI - Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions digitales, réalisée pour la RCC Bretagne et Vesperale GRANIT du 10 avril 2014
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
ANSSI D2IE "Référentiel pédagogique Formation à la cybersécurité des TPE / PME"
La Délégation interministérielle à l’intelligence économique (D2IE – www.intelligence-economique.gouv.fr), avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI – www.ssi.gouv.fr) vient de faire paraître un référentiel pédagogique / cahier des charges destiné à aider les organismes de formation à élaborer des offres de stage en cybersécurité au profit des TPE/PME.
La cybersécurité est aujourd’hui un enjeu de premier plan qui s’explique par les révélations presque incessantes sur des attaques informatiques et des violations de données. Dans ce contexte d’imprévisibilité et d’insécurité, les organisations redéfinissent leur approche de la sécurité et recherchent un équilibre entre risque, innovation et coût. En parallèle, le domaine de la cybersécurité enregistre des évolutions spectaculaires, qui imposent aux
organisations d’appliquer de nouvelles pratiques et d’acquérir de nouvelles compétences.
Le risque en matière de cybersécurité est désormais clairement commercial. Sous-estimer l’importance de la sécurité peut ainsi constituer une menace pour l’avenir d’une organisation. Pourtant, de nombreuses organisations continuent à gérer et à envisager la cybersécurité dans le champ du service informatique. Cela doit changer.
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII (Systèmes d'Information Industriels) ont fait leur apparition. Quels sont les impacts sur vos systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faîtes sur vos systèmes de sécurité ? La culture et les modes opératoires industriels très éloignés de ceux de l'informatique de gestion nécessitent une réponse adaptée.
Fort de son expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, Beijaflore a souhaité partager avec vous quelques questions importantes et éléments concrets de solutions pour renforcer la protection de vos infrastructures industrielles.
Pour + d'infos sur l'offre Risk & Security du cabinet : bit.ly/1N4bF8y
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
L’École Européenne d’Intelligence Économique lance son cinquième webinar avec en intervenant, Frédéric Mouffle, Expert Cybersécurité et Directeur général associé de KER-MEUR.
Le thème : Cybersécurité : Best Practices.
Introduction :
La cybersécurité est un sujet majeur devenu stratégique pour les entreprises mais également pour les utilisateurs.
Nous verrons dans ce webinar, les principaux vecteurs d’attaques et comment s’en prémunir.
En appliquant les « best practices », vous serez a même de pouvoir éviter 95% des menaces.
Les best practices seront abordées, de la robustesse du mot de passe, au chiffrement des données en passant par une politique de sauvegarde efficace.
Retrouvez le Replay de ce webinar à l’adresse suivante : https://www.eeie.fr/webinar-eeie-05-cybersecurite-best-practices/
La sécurité informatique c'est avant tout un problème technique. La grande majorité des faiblesses du TI dont se servent les pirates, sont fondées sur l’inconscience des entreprises, utilisateurs, développeurs, cadres, qui pensent que cela n’arrive qu’aux autres… Ce webinaire passe en revue les règles à appliquer pour tenter de se protéger : charte de sécurité imposée, éducation sur les risques encourus, sanctions contre les fautifs, mise en place d’un véritable SSO et fédération d’identités, interdiction du BYOD et BYOA, recours à de véritables spécialistes sécurité dont nous donnerons le profil, recours au Cloud pour les données stratégiques et confidentielles, etc.
Vous souhaitez en apprendre plus sur la cybersécurité? Découvrez notre séminaire ainsi que les cours de préparation à la certification (en anglais uniquement) offerts chez Technologia :
Les tendances des nouvelles technologies de l’information,
Certified Ethical Hacker (CEH), Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), CISSP Certification.
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
Nous vous pressentons un un panorama des menaces et des mesures à mettre en place pour protéger ses données :
- Quelles tendances pour la cybersécurité en 2017 ?
- Comment se protéger au mieux ?
Etude réalisée en janvier 2016 par Small Business France sur la filière industrielle nationale de la cybersécurité. Cette étude a été présentée au #FIC2106, à Lille, le 26 janvier 2016, par Henri d'Agrain, Président de Small Business France, le commissaire divisionnaire Thierry Delville, Délégué ministérielle aux industries de sécurité du Ministère de l'intérieur et Jean-Noël de Galzain, Président d'HexaTrust.
À DESTINATION DES RESPONSABLES INFORMATIQUES
Vous êtes responsable de la sécurité des systèmes d’information de votre organisation ou, plus simplement, c’est à vous que revient la responsabilité du bon fonctionnement de son informatique. Vous le savez, en quelques années, votre métier a évolué au rythme de l’arrivée des technologies de l’information qui irriguent désormais toutes les fonctions des entreprises, des administrations, des collectivités territoriales, comme de notre vie quotidienne. De nouveaux usages rendent également plus complexe la maîtrise des systèmes dont vous avez la charge.
Les conséquences qu’auraient pour votre organisation la perte ou le vol de certaines informations ou l’indisponibilité de son informatique peuvent être extrêmement lourdes. À l’inverse, bien protéger les informations confidentielles de l’entreprise ou celles confiées par des clients, des partenaires ou des fournisseurs génère la confiance et fluidifie l’activité.
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
Les cyberattaques se multiplient et évoluent. Déployer une solution de sécurité et l’oublier ne suffit pas ; il est essentiel de connaître et comprendre les nouvelles menaces afin de les prévenir efficacement. Avec l’adoption grandissante de l’infonuagique et l’augmentation des exigences en matière de cybersécurité, la pression sur la gestion des risques informatiques s’accentue de façon constante. Ces thématiques seront abordées au travers de retours d'expérience et de cas vécus. Ainsi, découvrez:
- Quelles sont les principales tendances en matière de cybersécurité ?
- Quels sont les enjeux de sécurité propres à l’infonuagique ?
- Comment mettre en œuvre une stratégie efficace afin de se protéger et limiter les risques ?
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...Ouest Online
La cybersécurité doit être prise en compte dans toutes les stratégies digitales. Etienne Hebert et Yann Grivet de la société Icodia nous donnent des conseils pour anticiper les menaces et se protéger face aux cyberattaques.
Une présentation réalisée dans le cadre de l'événement Adopte Une Stratégie, qui s'est déroulée le 31 mars dernier à la French Tech Rennes Saint Malo.
Plus d'information sur cet événement sur notre site web.
http://www.ouest-online.com/
Maitriser la ssi pour les systèmes industrielsBee_Ware
Ce document présente les enjeux sécuritaires liés aux systèmes informatiques industriels. Découvrez les mythes, vulnérabilités et impacts potentiels ainsi qu’une check list de bonnes pratiques à suivre.
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieApec
Les systèmes de production et les solutions de type embarquées sont depuis plusieurs années déjà la cible de cyberattaques. Face à la multiplication de ces menaces, la
cybersécurité industrielle est devenue un enjeu crucial pour les entreprises afin de préserver leur image et leur compétitivité. Des opportunités d’emploi cadre existent dans le domaine de la sécurisation informatique appliquée à ces outils industriels que ce soit dans des cabinets d’ingénierie-R&D ou des ESN, avec des compétences attendues en automatisme, ou équipements connectés…
En 2017, un peu moins de 200 offres d’emploi ont été publiées sur ce champ, soit une multiplication par 1,6 en un an des besoins en recrutements exprimés.
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - DiaporamaASIP Santé
Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
"Les risques liés à la sécurité des SI" Philippe LOUDENOT, FSSI/HFDS - Diaporama
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
Guide de sensibilisation informatique par l'ANSSI.
Nos solutions de protection informatique : http://www.nrc.fr/nos-solutions/infrastructures/securite-informatique/
Quelles sont les organismes concernés ? Cette démarche est-elle obligatoire ou simplement conseillée ? Sur quel périmètre de données ? Comment apprécier les risques ? Quels sont les acteurs impliqués dans la démarche et quels rôles pour le Cil et le Rssi ? Comment mettre en œuvre une démarche d’homologation conforme aux recommandations de la Cnil et de l’Anssi ? Cet atelier vise à échanger sur les éléments juridiques, fonctionnels et techniques permettant d’intégrer les exigences du RGS et de la PSSI-E dans les processus opérationnels
Impacts et facteurs clés de la mise en conformité des parcours client en Ass...Nicolas Roose
L’arrivée de nouvelles exigences oblige l’assureur à rechercher la meilleure conciliation possible entre rapidité et fluidité des parcours clients et respect des obligations règlementaires.
Adequation Advisory vous propose un éclairage sur les impacts et facteurs clés de succès de la mise en œuvre des nouvelles dispositions réglementaires sur les parcours client.
La cybersécurité est aujourd’hui un enjeu de premier plan qui s’explique par les révélations presque incessantes sur des attaques informatiques et des violations de données. Dans ce contexte d’imprévisibilité et d’insécurité, les organisations redéfinissent leur approche de la sécurité et recherchent un équilibre entre risque, innovation et coût. En parallèle, le domaine de la cybersécurité enregistre des évolutions spectaculaires, qui imposent aux
organisations d’appliquer de nouvelles pratiques et d’acquérir de nouvelles compétences.
Le risque en matière de cybersécurité est désormais clairement commercial. Sous-estimer l’importance de la sécurité peut ainsi constituer une menace pour l’avenir d’une organisation. Pourtant, de nombreuses organisations continuent à gérer et à envisager la cybersécurité dans le champ du service informatique. Cela doit changer.
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII (Systèmes d'Information Industriels) ont fait leur apparition. Quels sont les impacts sur vos systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faîtes sur vos systèmes de sécurité ? La culture et les modes opératoires industriels très éloignés de ceux de l'informatique de gestion nécessitent une réponse adaptée.
Fort de son expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, Beijaflore a souhaité partager avec vous quelques questions importantes et éléments concrets de solutions pour renforcer la protection de vos infrastructures industrielles.
Pour + d'infos sur l'offre Risk & Security du cabinet : bit.ly/1N4bF8y
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
L’École Européenne d’Intelligence Économique lance son cinquième webinar avec en intervenant, Frédéric Mouffle, Expert Cybersécurité et Directeur général associé de KER-MEUR.
Le thème : Cybersécurité : Best Practices.
Introduction :
La cybersécurité est un sujet majeur devenu stratégique pour les entreprises mais également pour les utilisateurs.
Nous verrons dans ce webinar, les principaux vecteurs d’attaques et comment s’en prémunir.
En appliquant les « best practices », vous serez a même de pouvoir éviter 95% des menaces.
Les best practices seront abordées, de la robustesse du mot de passe, au chiffrement des données en passant par une politique de sauvegarde efficace.
Retrouvez le Replay de ce webinar à l’adresse suivante : https://www.eeie.fr/webinar-eeie-05-cybersecurite-best-practices/
La sécurité informatique c'est avant tout un problème technique. La grande majorité des faiblesses du TI dont se servent les pirates, sont fondées sur l’inconscience des entreprises, utilisateurs, développeurs, cadres, qui pensent que cela n’arrive qu’aux autres… Ce webinaire passe en revue les règles à appliquer pour tenter de se protéger : charte de sécurité imposée, éducation sur les risques encourus, sanctions contre les fautifs, mise en place d’un véritable SSO et fédération d’identités, interdiction du BYOD et BYOA, recours à de véritables spécialistes sécurité dont nous donnerons le profil, recours au Cloud pour les données stratégiques et confidentielles, etc.
Vous souhaitez en apprendre plus sur la cybersécurité? Découvrez notre séminaire ainsi que les cours de préparation à la certification (en anglais uniquement) offerts chez Technologia :
Les tendances des nouvelles technologies de l’information,
Certified Ethical Hacker (CEH), Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), CISSP Certification.
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
Nous vous pressentons un un panorama des menaces et des mesures à mettre en place pour protéger ses données :
- Quelles tendances pour la cybersécurité en 2017 ?
- Comment se protéger au mieux ?
Etude réalisée en janvier 2016 par Small Business France sur la filière industrielle nationale de la cybersécurité. Cette étude a été présentée au #FIC2106, à Lille, le 26 janvier 2016, par Henri d'Agrain, Président de Small Business France, le commissaire divisionnaire Thierry Delville, Délégué ministérielle aux industries de sécurité du Ministère de l'intérieur et Jean-Noël de Galzain, Président d'HexaTrust.
À DESTINATION DES RESPONSABLES INFORMATIQUES
Vous êtes responsable de la sécurité des systèmes d’information de votre organisation ou, plus simplement, c’est à vous que revient la responsabilité du bon fonctionnement de son informatique. Vous le savez, en quelques années, votre métier a évolué au rythme de l’arrivée des technologies de l’information qui irriguent désormais toutes les fonctions des entreprises, des administrations, des collectivités territoriales, comme de notre vie quotidienne. De nouveaux usages rendent également plus complexe la maîtrise des systèmes dont vous avez la charge.
Les conséquences qu’auraient pour votre organisation la perte ou le vol de certaines informations ou l’indisponibilité de son informatique peuvent être extrêmement lourdes. À l’inverse, bien protéger les informations confidentielles de l’entreprise ou celles confiées par des clients, des partenaires ou des fournisseurs génère la confiance et fluidifie l’activité.
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
Les cyberattaques se multiplient et évoluent. Déployer une solution de sécurité et l’oublier ne suffit pas ; il est essentiel de connaître et comprendre les nouvelles menaces afin de les prévenir efficacement. Avec l’adoption grandissante de l’infonuagique et l’augmentation des exigences en matière de cybersécurité, la pression sur la gestion des risques informatiques s’accentue de façon constante. Ces thématiques seront abordées au travers de retours d'expérience et de cas vécus. Ainsi, découvrez:
- Quelles sont les principales tendances en matière de cybersécurité ?
- Quels sont les enjeux de sécurité propres à l’infonuagique ?
- Comment mettre en œuvre une stratégie efficace afin de se protéger et limiter les risques ?
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...Ouest Online
La cybersécurité doit être prise en compte dans toutes les stratégies digitales. Etienne Hebert et Yann Grivet de la société Icodia nous donnent des conseils pour anticiper les menaces et se protéger face aux cyberattaques.
Une présentation réalisée dans le cadre de l'événement Adopte Une Stratégie, qui s'est déroulée le 31 mars dernier à la French Tech Rennes Saint Malo.
Plus d'information sur cet événement sur notre site web.
http://www.ouest-online.com/
Maitriser la ssi pour les systèmes industrielsBee_Ware
Ce document présente les enjeux sécuritaires liés aux systèmes informatiques industriels. Découvrez les mythes, vulnérabilités et impacts potentiels ainsi qu’une check list de bonnes pratiques à suivre.
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieApec
Les systèmes de production et les solutions de type embarquées sont depuis plusieurs années déjà la cible de cyberattaques. Face à la multiplication de ces menaces, la
cybersécurité industrielle est devenue un enjeu crucial pour les entreprises afin de préserver leur image et leur compétitivité. Des opportunités d’emploi cadre existent dans le domaine de la sécurisation informatique appliquée à ces outils industriels que ce soit dans des cabinets d’ingénierie-R&D ou des ESN, avec des compétences attendues en automatisme, ou équipements connectés…
En 2017, un peu moins de 200 offres d’emploi ont été publiées sur ce champ, soit une multiplication par 1,6 en un an des besoins en recrutements exprimés.
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - DiaporamaASIP Santé
Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
"Les risques liés à la sécurité des SI" Philippe LOUDENOT, FSSI/HFDS - Diaporama
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
Guide de sensibilisation informatique par l'ANSSI.
Nos solutions de protection informatique : http://www.nrc.fr/nos-solutions/infrastructures/securite-informatique/
Quelles sont les organismes concernés ? Cette démarche est-elle obligatoire ou simplement conseillée ? Sur quel périmètre de données ? Comment apprécier les risques ? Quels sont les acteurs impliqués dans la démarche et quels rôles pour le Cil et le Rssi ? Comment mettre en œuvre une démarche d’homologation conforme aux recommandations de la Cnil et de l’Anssi ? Cet atelier vise à échanger sur les éléments juridiques, fonctionnels et techniques permettant d’intégrer les exigences du RGS et de la PSSI-E dans les processus opérationnels
Impacts et facteurs clés de la mise en conformité des parcours client en Ass...Nicolas Roose
L’arrivée de nouvelles exigences oblige l’assureur à rechercher la meilleure conciliation possible entre rapidité et fluidité des parcours clients et respect des obligations règlementaires.
Adequation Advisory vous propose un éclairage sur les impacts et facteurs clés de succès de la mise en œuvre des nouvelles dispositions réglementaires sur les parcours client.
Ce document décrit les exigences de sécurité demandées par les opérateurs membres de la Fédération française des télécoms à leurs fournisseurs d’équipements d’infrastructure et de plateformes de service, ainsi qu’à leurs prestataires.
Le périmètre d’application de ce document est l’ensemble des actifs de chaque opérateur de télécommunications. Il comporte des exigences sur les produits, ainsi que sur les prestations réalisées dans le cadre de l’intégration, l’exploitation et leur maintenance.
Les exigences de sécurité décrites dans le document sont la déclinaison du document cité en référence, en particulier celles concernant le poste d’administration des systèmes techniques qui devra faire l’objet d’une attention particulière de la part des fournisseurs.
Ces exigences sont un socle. Chaque opérateur pourra particulariser ce socle et ajouter ses propres exigences en fonction de son architecture et de ses prestations de SOC.
Par ailleurs, dans le contexte d’un système d’information d’importance vitale, il convient de s’assurer du respect par le fournisseur - ou son prestataire -, en tant que sous-traitants de l’opérateur, de l’ensemble des règles applicables du document de référence.
Comment appliquer le principe du Privacy By DesignThierry RAMARD
Ce livre blanc décrit la démarche et les prérequis permettant de prendre en compte la protection des données et la sécurité des SI dès les phases de conception d'un nouveau projet.
Présentation de la procédure d'enregistrement pour l'obtention de la certification permettant de devenir fournisseur de Petrobras (CRCC).
L'entreprise Alter-Pro est spécialisée dans l'accompagnement des entreprises étrangères à l'obtention de la certification CRCC.
La certification offre d'énormes opportunités aux entreprises, Petrobras étant le plus gros acteur du marché du pétrole et du gaz au Brésil.
Elle représente également un avantage concurrentiel certain, puisqu'elle prouve les qualités et compétences de l'entreprise aux autres acteurs du marché.
plus d'informations: www.alter-pro.net
Pool safer® système de gestion de la sécurité aquatique (version française)InnoQuatic
PoolSafer® la qualité du système de gestion et de sécurité des installations d'eau.
Certification des installations aquatiques (piscines, parcs aquatiques, spas, hôtels, campings, etc.)
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...Mailjet
Dans ce webinar Mailjet & AFNOR Certification, nous vous présentons :
- Les enjeux essentiels du RGPD
- L’article 42 du RGPD dédié à la certification
- La certification AFAQ Protection des données personnelles pour vous aider à démontrer votre maîtrise du RGPD
Voir la vidéo ici : https://fr.mailjet.com/blog/news/webinar-rgpd-certification/
- Quels sont les critères de classification des secteurs concernés par cette directive ? Où mon organisation se situe-t-elle ?
- Quelles sont les exigences spécifiques en matière de sécurité que mon organisation doit mettre en œuvre et quels sont les délais pour leur mise en application ?
- Quels sont les mécanismes de reporting et de documentation imposée et comment mon organisation peut-elle s’assurer de respecter ces obligations en matière de transparence et de suivi ?
- Quelles sont les sanctions potentielles en cas de non-conformité et comment pouvons-nous mettre en place des stratégies de mitigation pour réduire ces risques ?
par Alexandre CASSART, Antoine LANGE et Léa QUERTEMONT.
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?Lexing - Belgium
- Comment identifier le type de contraintes applicables à mon entreprise ?
- Quelles sont les principales obligations du fournisseur de solution IA ?
- Quelles sont les principales obligations de l’utilisateur d’une solution IA ?
- Comment anticiper le Règlement IA dans mes contrats et partenariats ?
par Alexandre CRUQUENAIRE, Anne-Valentine RENSONNET et Chloé ANTOINE.
Guide pratique de sensibilisation au RGPD pour les TPE&PMEpolenumerique33
BPI France et la CNIL se sont associées pour aider les PME de se mettre en conformité avec le nouveau règlement européen relatif à la protection des données personnelles.
Découvrez le "Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises"
Les influenceurs, acteurs de l'e-réputation des entreprises -2polenumerique33
Présentation de Camille In Bordeaux à la CCI Bordeaux Gironde sur le thème "Influenceurs, acteurs de la e-réputation des entreprises" - Chai numérique (secteur vin)
Les influenceurs, acteurs de l'e-réputation des entreprises -1polenumerique33
Les avis transforment en profondeur la relation client, influent sur l’acte d’achat et sur la notoriété de l'entreprise.
Découvrez le rôle des influenceurs, réels acteurs de la e- reputation et les règles de bonnes pratiques pour adapter votre communication en les mettant au cœur de votre stratégie.
Avec l'intervention des blogueuses @CamilleinBordeaux et @joelle_Dubois. Organisé par le Pôle Numérique de la CCI et le Club Best Of Wine Tourism
Les avis de consommateurs transforment en profondeur la relation client et influent sur l’acte d’achat. Découvrez les risques, opportunités de cette réalité et adaptez votre communication en mettant la recommandation au cœur de votre stratégie.
Atelier Pôle Numérique CCI Bordeaux Gironde à Bruges
Linked In et Twitter, duo gagnant de la communication B2Bpolenumerique33
Découvrez le lien entre ces deux réseaux sociaux incontournables pour améliorer votre visibilité et développer vos business, en accord avec vos objectifs et votre stratégie d’entreprise. Par le Pôle Numérique de la CCI et Digitall Conseil
ADEME TPE PME gagnantes sur tous les coûts - codes naf + critères éligibilitépolenumerique33
ADEME dispositif " TPE PME gagnantes sur tous les coûts" - codes naf + critères éligibilité. Plus de détail et inscription ici http://bit.ly/2E2vgLI
Les critères d’éligibilité sont les suivants :
Etablissements privés sur le territoire français
Effectif global moyen 2016 de l’établissement compris entre 0 et 250 salariés
Secteurs d’activité : L’accompagnement s’adresse à des établissements dont l’activité principale nécessite la transformation, le stockage et la manutention, la réparation ou la vente d’un flux matériel important avec une consommation d’énergie significative.
Les principaux secteurs visés sont :
L’industrie de transformation
Le commerce de gros et de détail de produits périssables (alimentaires, plantes, bricolage…)
La restauration
Les métiers de l’artisanat qui transforment de la matière et consomment de l’énergie.
Liste détaillées des NAF éligibles / non éligibles dans le document
80% des entreprises peuvent économiser plus de 180€ par an et par salarié en optimisant leurs flux matières, énergie, eau & déchets : Pourquoi pas vous ?
Plus de détail et inscription ici http://bit.ly/2E2vgLI
Animation d'une journée consacrée aux commerçants et artisans de Gironde, CCI Bordeaux Gironde et CMAI33 sur les bases de la présence en ligne et de l'aide à la vente par le numérique.
Linkedin, Twitter : le duo gagnant de votre visibilité BtoBpolenumerique33
Découvrez le lien entre ces deux réseaux sociaux incontournables pour améliorer votre visibilité et développer vos business, en accord avec vos objectifs et votre stratégie d’entreprise.
Programme Compétitivité énergétique Région Nouvelle Aquitaine - Club Industri...polenumerique33
Présentation "programme Compétitivité énergétique "de la Région Nouvelle Aquitaine - Club Industrie Performance Energetique et Hydrique - 23 11 2017 - CCI Bordeaux Gironde
Cci Aquitaine Programme d'actions 2018-2020 transition énergétique et écologi...polenumerique33
Cci Aquitaine Programme d'actions 2018-2020 transition énergétique et écologique un facteur de performance - Club Industrie Performance Energetique et Hydrique - 23 11 2017 - CCI Bordeaux Gironde
Linkedin, Twitter : le duo gagnant de votre visibilité BtoB polenumerique33
Découvrez le lien entre ces deux réseaux sociaux incontournables pour améliorer votre visibilité et développer vos business, en accord avec vos objectifs et votre stratégie d’entreprise !
Atelier animé par le Pôle numérique de la CCI Bordeaux Gironde et Aquitem .
Aquassay - Club Industrie Performance Energetique et Hydrique - 23 11 2017polenumerique33
CCI Bordeaux Gironde - Club Industrie "Performance Énergétique et Hydrique" - 23 11 2017 2e temps fort : "Equipements connectés et analyse des données au service de l'intelligence opérationnelle" - Intervention de Jean-Emmanuel Gilbert (Aquassay)
Lycée Horticole Farzanis de Tonneins - projet SOLAH - Club Industrie "Perform...polenumerique33
CCI Bordeaux Gironde - Club Industrie "Performance Énergétique et Hydrique" - 23 11 2017 2e temps fort : "Equipements connectés et analyse des données au service de l'intelligence opérationnelle" - Intervention de Serge Fort (Lycée Horticole Farzanis de Tonneins) projet SOLAH
Worldcast systems - Club Industrie "Performance Énergétique et Hydrique" - 23...polenumerique33
CCI Bordeaux Gironde - Club Industrie "Performance Énergétique et Hydrique" - 23 11 2017 2e temps fort : "Equipements connectés et analyse des données au service de l'intelligence opérationnelle" - Intervention de M. Chomat Worldcast systems
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...Horgix
This is the slide deck of a talk by Alexis "Horgix" Chotard and Laurentiu Capatina presented at the MongoDB Paris User Group in June 2024 about the feedback on how PayFit move away from a monolithic hell of a self-hosted MongoDB cluster to managed alternatives. Pitch below.
March 15, 2023, 6:59 AM: a MongoDB cluster collapses. Tough luck, this cluster contains 95% of user data and is absolutely vital for even minimal operation of our application. To worsen matters, this cluster is 7 years behind on versions, is not scalable, and barely observable. Furthermore, even the data model would quickly raise eyebrows: applications communicating with each other by reading/writing in the same MongoDB documents, documents reaching the maximum limit of 16MiB with hundreds of levels of nesting, and so forth. The incident will last several days and result in the loss of many users. We've seen better scenarios.
Let's explore how PayFit found itself in this hellish situation and, more importantly, how we managed to overcome it!
On the agenda: technical stabilization, untangling data models, breaking apart a Single Point of Failure (SPOF) into several elements with a more restricted blast radius, transitioning to managed services, improving internal accesses, regaining control over risky operations, and ultimately, approaching a technical migration when it impacts all development teams.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
1. ACHAT DE PRODUITS DE SÉCURITÉ ET
DE SERVICES DE CONFIANCE QUALIFIÉS
dans le cadre du référentiel général de sécurité
SERVICE DES ACHATS DE L'ÉTAT
2.
3. 1 . Objectifs
Le présent guide a vocation à :
•• accompagner la fonction achat des administrations pour le recours à des
prestations et pour l’acquisition de produits liés à la sécurité des systèmes
d’information (SSI), par exemple, des chiffreurs, des cartes à puces, des
pare-feux, des infrastructures de gestion de clés (IGC), des applications,
des certificats électroniques, des prestations d’audit, etc.
•• permettre la mise en conformité des administrations avec le référentiel
général de sécurité (RGS).
Ce guide a pour objectif de faciliter le choix par les administrations, lors des
appels d’offres, de produits de sécurité et de prestataires de services de confiance
ayant fait l’objet d’une « labellisation », dans le cadre du RGS.
2 . Contexte
Le RGS fixe les règles « que doivent respecter les fonctions des systèmes d’informa-
tion contribuant à la sécurité des informations échangées par voie électronique » 1
. Il
soutient la démarche de sécurisation de la dématérialisation des procédures et
1) Ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités
administratives et entre les autorités administratives, article 9.
Résumé
4. des échanges avec l’administration. À ce titre, il contient un ensemble de règles
de sécurité qui s’imposent aux autorités administratives 2
et aux prestataires qui
les assistent dans leur démarche de sécurisation de leurs systèmes.
En complément de ces règles, des bonnes pratiques et des exigences en
matière de sécurité des systèmes d’information ont été intégrées dans le RGS,
afin de guider les autorités administratives et les prestataires dans leurs choix,
afin de sécuriser au mieux les systèmes d’information.
En tout état de cause, le RGS s’impose aux autorités administratives éga-
lement soumises au code des marchés publics (CMP) pour la passation de tout
contrat.
3 . Destinataires
Ce guide s’adresse à l’ensemble des acteurs de l’achat de produits ou de pres-
tations liés à la sécurité des systèmes d’information et en particulier ceux des
autorités administratives, à savoir :
•• les pouvoirs adjudicateurs ou les entités adjudicatrices ;
•• leurs représentants ;
•• les maîtrises d’ouvrage et leurs représentants ;
•• les maîtrises d’œuvre ;
•• les responsables de la sécurité des systèmes d’information.
2) Ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les
autorités administratives et entre les autorités administratives, art. 1 : « les administrations de l’État, les collectivités
territoriales, les établissements publics à caractère administratif, les organismes gérant des régimes de protection sociale
relevant du code de la sécurité sociale et du code rural ou mentionnés aux articles L. 223-16 et L. 351-21 du code du
travail et les autres organismes chargés de la gestion d’un service public administratif ».
5. 4 . Contenu
Ce guide contient :
•• un rappel de la réglementation relative aux produits de sécurité et aux
prestations de services de confiance ;
•• des éléments de méthode afin de faciliter l’acquisition, dans le respect du
code des marchés publics, de produits et de services conformes au RGS ;
Ce guide constitue une première version, il sera enrichi des commentaires des
services utilisateurs.
Les lecteurs pourront contacter les rédacteurs à l’adresse suivante : rgs@ssi.
gouv.fr pour leur soumettre des commentaires ou des questions.
6. Contexte réglementaire
1 . Assise réglementaire
Le RGS est créé par l’article 9 de l’ordonnance n° 2005-1516 du 8 décembre
2005 relative aux échanges électroniques entre les usagers et les autorités
administratives et entre les autorités administratives. Ses conditions d’élabora-
tion, d’approbation, de modification et de publication sont fixées par le décret
n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de
l’ordonnance n°2005-1516 du 8 décembre 2005.
La version initiale du RGS (v.1.0) a été rendue officielle par arrêté du Pre-
mier ministre en date du 6 mai 2010. Une version 2.0 a été publiée par arrêté du
Premier ministre du 13 juin 2014. Elle est applicable à partir du 1er juillet 2014.
2 . Périmètre
Les règles énoncées par le RGS sont obligatoires pour les autorités adminis-
tratives qui échangent, par voie électronique, des informations entre elles et
avec les usagers via des téléservices 3
. L’application du RGS est recommandée
pour tous les autres systèmes d’information, y compris de niveau Diffusion Res-
treinte. Il ne s’applique pas aux systèmes traitant d’informations classifiées de
défense 4
.
3) Ordonnance du 8 décembre 2005, art 1 : « tout système d’information permettant aux usagers de procéder par
voie électronique à des démarches ou formalités administratives ».
4) Les systèmes traitant d’informations classifiées sont soumis, en particulier, aux dispositions de l’Instruction
générale interministérielle n°1300 sur la protection du secret de la défense nationale. Ils doivent mettre en œuvre des
produits agréés qui y sont définis.
7. 3 . Produits de sécurité et prestataires de service de confiance
Le RGS prévoit le recours à des produits de sécurité et à des prestataires de
services de confiance dont le niveau de sécurité et la conformité au RGS ont
été préalablement évalués et approuvés. En contrepartie de cette évaluation, ils
obtiennent un label dénommé qualification, valide pendant une durée maxi-
male de trois ans.
4 . Qualification
La qualification est un processus d’évaluation de sécurité qui permet d’attester
de la conformité du produit ou du prestataire à un niveau de sécurité défini par
le RGS. Il est destiné à garantir que le produit ou le prestataire répond à un
besoin spécifique de l’administration.
La qualification permet également de transférer la responsabilité de l’au-
torité administrative au fournisseur de produit de sécurité ou au prestataire de
services de confiance, sur le périmètre couvert par son offre. Elle dispense les
autorités administratives de la charge de la preuve relative à la conformité au
RGS des produits de sécurité et des prestataires de services puisque cette preuve
est apportée par le fournisseur ou le prestataire qui transmet l’attestation de
qualification. A défaut, l’autorité administrative doit apporter cette preuve.
Le catalogue des produits de sécurité qualifiés est publié sur le site de l’ANSSI :
http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-qualifies.
Le catalogue des prestataires de services de confiance qualifiés est publié sur le
site de l’ANSSI : http://www.ssi.gouv.fr/fr/produits-et-prestataires/presta-
taires-de-services-de-confiance-qualifies.
8.
9. 7
Table des matières
Passation d’un marché public de fourniture de produits de
sécurité ou de services qualifiés de confiance
1 . Aspects techniques
1.1 / Détermination précise du besoin
1.2 / La qualification comme spécification technique
1.3 / Rédaction du cahier des charges
2 . Procédures d’achat recommandées
2.1 / Appel d’offres restreint
2.2 / Utilisation de l’article 3-7° du code des marchés publics
2.3 / Marchés de défense ou de sécurité prévus dans la
troisième partie du code des marchés publics
2.4 / Acquisition de produits ou de services qualifiés par
accord-cadre ou par l’intermédiaire d’une centrale d’achat
3 . Aspects administratifs
3.1 / Rédaction du règlement de consultation
3.2 / Rédaction du cahier des clauses administratives
particulières (CCAP)
4 . Examen des candidatures et analyse des offres
4.1 / Examen des candidatures
4.2 / Examen et analyse des offres
9
11
12
13
14
17
18
18
19
20
23
24
26
29
30
30
10.
11. Passation d’un marché public
de fourniture de produits
de sécurité ou de services
qualifiés de confiance
L’objectif principal de la passation d’un tel marché public est d’acquérir des
produits de sécurité et de recourir à des prestataires de services de confiance
conformes aux exigences du RGS. La qualification est le moyen de preuve par
excellence pour démontrer cette conformité.
14. 12
ASPECTS TECHNIQUES
1.1 / Détermination précise du besoin
Le code des marchés publics (CMP) dispose, dans son article 5, que la nature et
l’étendue des besoins à satisfaire doivent être déterminées avec précision avant
tout appel à la concurrence.
Dans le cadre du RGS, la cible de sécurité qui correspond au besoin fonc-
tionnel particulier du produit ou au périmètre de la prestation doit être mise en
exergue.
Pour définir ce besoin, le pouvoir adjudicateur peut recourir à des spécifi-
cations techniques. Celles-ci lui permettent de définir les exigences qu’il estime
indispensables, notamment pour le niveau de sécurité à atteindre. Par exemple,
si le besoin porte sur l’audit d’un système d’information, il doit être assorti
d’une exigence particulière, traduite par une spécification technique qui, elle-
même, prévoit le recours à des prestataires qualifiés pour cet audit.
Le pouvoir adjudicateur est légitime à exiger des spécifications techniques
en matière de sécurité, et donc d’exiger un produit qualifié par l’ANSSI, dès
lors que :
1. l’exigence est raisonnable au regard de l’objectif poursuivi. Les pro-
duits de sécurité acquis visent à protéger des données dont l’administra-
tion a la garde (données personnelles, données internes non publiques,
données sensibles mais non classifiées, données Diffusion restreinte, etc.).
La conformité au RGS est une exigence raisonnable vis-à-vis de l’objec-
tif à atteindre car elle correspond à l’état de l’art général en matière de
cryptographie et de sécurité informatique. Elle ne constitue donc pas une
sur-spécification manifeste qui pourrait être jugée comme un moyen de
restreindre indûment la concurrence.
2. la transparence et la publicité des critères de qualification sont garan-
ties.
15. 13
ASPECTS TECHNIQUES
1.2 / La qualification comme
spécification technique
L’article 6-IV du CMP énonce que, par principe, les spécifications techniques
ne peuvent faire référence explicitement à une origine de fabrication
particulière.
Il est toutefois possible de mentionner une origine particulière ou une
marque dans les cas où les spécifications techniques ne peuvent être décrites
d’une autre manière. Il faut alors impérativement y ajouter les mentions « ou
équivalent » 5
. Il reviendra dès lors à chaque soumissionnaire de proposer une
offre adéquate au besoin exprimé et de démontrer que la solution proposée est
équivalente à celle décrite.
Le pouvoir adjudicateur doit accoler cette mention à l’exigence de la
qualification définie selon les règles du RGS et décrire, ou renvoyer au texte
décrivant, la procédure permettant au produit de sécurité ou au prestataire de
services de confiance d’être qualifié.
Le prestataire peut lui-même se déclarer conforme s’il respecte les exi-
gences posées. Il lui appartient cependant de prouver l’équivalence au modèle
demandé, par exemple à travers la production d’un dossier de sécurité relatif à
son produit ou à sa prestation. L’autorité administrative devra instruire ce dos-
sier et vérifier sa conformité par rapport aux exigences du RGS 6
.
Le pouvoir adjudicateur peut indiquer, dans les documents de consulta-
tion, que les produits ou les services de confiance ayant obtenu une qualification
satisfont de fait aux caractéristiques techniques mentionnées dans les spécifica-
tions techniques mais il est tenu d’accepter l’offre qui propose tout produit ou
service présentant des caractéristiques équivalentes.
5) CE, 11 septembre 2006, commune de Saran, n°257545.
6) Lire le chapitre 5 de la version 2.0 du Référentiel général de sécurité ainsi que l’annexe C relative au référentiel
d’exigences des prestataires d’audit de la sécurité des systèmes d’information.
16. 14
ASPECTS TECHNIQUES
1.3 / Rédaction du cahier des charges
Avant la rédaction du cahier des charges, il est fortement recommandé de re-
courir à la pratique du dialogue technique 7
. Cette dernière permet, à l’issue
des consultations nécessaires, d’adapter les exigences de l’administration aux
capacités de réponse des fournisseurs dans l’objectif de limiter les surcoûts, de
favoriser la concurrence et de faciliter l’exécution du futur marché.
Le pouvoir adjudicateur précise, dans son cahier des charges, les spécifica-
tions techniques que le produit proposé devra respecter. Il doit notamment sé-
lectionner les exigences techniques décrites dans le RGS qui s’appliquent à son
besoin et éventuellement les compléter. La cible de sécurité doit être précisée.
La référence au respect, pendant toute la durée du marché, de l’article 4 du
décret n° 2010-112 du 2 février 2010 8
doit apparaître dans le cahier des charges.
Lors de la phase préparatoire du cahier des charges, le pouvoir adjudica-
teur est invité à se rapprocher de sa chaîne SSI et à consulter la liste des pro-
duits et des prestataires qualifiés publiée sur le site de l’ANSSI. Si cette liste ne
couvre pas le besoin exprimé, il est recommandé de se rapprocher de l’ANSSI
afin de préciser le besoin.
Il est également indispensable de préciser le contexte sécuritaire qui en-
toure le besoin, afin d’adapter le cahier des charges à la sensibilité du mar-
ché et tout particulièrement de prévoir des obligations de confidentialité et de
contrôle, si une externalisation est envisageable lors de l’exécution du marché 9
.
7) Le dialogue technique est défini par la directive 2004/18/CE du Parlement européen et du Conseil du 31 mars
2004 portant coordination des procédures de passation des marchés publics de travaux, de fournitures et de services.):
« Avant le lancement d’une procédure de passation d’un marché, les pouvoirs adjudicateurs peuvent, en recourant à
un « dialogue technique », solliciter ou accepter un avis pouvant être utilisé pour l’établissement du cahier des charges,
à condition que cet avis n’ait pas pour effet d’empêcher la concurrence. Il fait l’objet d’un guide à la mise en œuvre
proposé par le SAE sur le portail des achats.
8) Article 4 du décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9,10 et 12 de l’ordonnance
n°2005-1516 du 8 décembre 2005 : « l’autorité administrative recourt à des produits de sécurité et à des prestataires de
services de confiance ayant fait l’objet d’une qualification […] ou à tout autre produit ou prestataire pour lesquels elle
s’est assurée de la conformité de leurs fonctions de sécurité au référentiel général de sécurité. »
9) L’ANSSI a publié à ce sujet un guide relatif à l’externalisation et à la sécurité des systèmes d’information.
17. 15
ASPECTS TECHNIQUES
Par exemple, pour l’achat d’un parc de pare-feux, celui-ci doit être fourni
avec son attestation de sécurité ou un document équivalent. De plus, l’attesta-
tion de sécurité doit être valide jusqu’à la fin du marché. Dans le cas contraire
une mise à jour doit être prévue.
Synthèse
Déterminer précisément le besoin par sa cible de sécurité
Dans le cadre du RGS, la détermination précise de la nature et de l’éten-
due du besoin à satisfaire doit faire référence à la cible de sécurité du pro-
duit qualifié ou au périmètre de la prestation qualifiée.
Un dialogue technique préparatoire avec les fournisseurs est fortement
recommandé.
Exprimer un besoin assorti de la spécification technique relative à la
qualification
Dans le cadre du RGS, le besoin est assorti de la spécification technique de
la qualification à laquelle le pouvoir adjudicateur doit accoler la mention
« ou équivalent ».
Rédiger le CCTP avec la référence à l’article 4 du décret n°2010-112 du
2 février 2010.
Le cahier des charges doit mentionner le respect de l’article 4 du décret
n°2010-112 du 2 février 2010.
18.
19. 2
Procédures d’achat recommandées
Le présent guide ne concerne que les procédures formalisées (par opposition
aux procédures adaptées et aux marchés de faible montant). Dans ce cadre, le
pouvoir adjudicateur a une plus grande liberté pour définir les modalités de
passation de son marché 10
.
10) Les procédures formalisées sont : l’appel d’offres ouvert ou restreint, les procédures négociées, le dialogue
compétitif, le concours et le système d’acquisition dynamique.
20. 18
PROCÉDURES D’ACHAT RECOMMANDÉES
2.1 / Appel d’offres restreint
Le cahier des charges étant susceptible de contenir des informations sensibles,
telles que des éléments de la politique de sécurité des systèmes d’information
de l’organisme pour le compte duquel l’achat est effectué, il est recommandé de
privilégier la procédure d’appel d’offres restreint pour la passation des marchés
relatifs à l’utilisation de produits de sécurité ou de prestataires de services de
confiance 11
.
Cette procédure permet de limiter la diffusion des cahiers des charges aux
seuls candidats autorisés à présenter une offre. Elle permet donc d’éviter que ces
documents soient accessibles sans maîtrise du pouvoir adjudicateur, par exemple
par téléchargement sur une plate-forme de dématérialisation ouverte à tous. Un
appel d’offres restreint permet en outre de limiter le nombre de candidats admis
à présenter une offre.
Il est judicieux, pour éviter les candidatures inutiles, que le pouvoir adju-
dicateur informe les candidats, dans l’avis d’appel public à la concurrence, que le
produit objet du marché devra satisfaire pendant toute la durée du marché aux
exigences du décret n° 2010-112 du 2 février 2010.
2.2 / Utilisation de l’article 3-7° du code
des marchés publics
Cette disposition permet de recourir à une procédure spécifique, sans
publicité, dans les cas suivants :
a. Exigence du secret. Il peut s’agir du caractère secret de l’exécution du
marché lui-même mais également de la nécessaire confidentialité de la
procédure de passation, lorsque des mesures de publicité (avis d’appel pu-
blic à la concurrence, par exemple) seraient de nature à attirer l’attention
11) Dans les cas limitativement énumérés à l’article 35 du code des marchés publics (CMP) où le pouvoir
adjudicateur peut recourir au marché négocié, cette procédure permet, de même que l’appel d’offres restreint, de
contrôler la diffusion du dossier de consultation.
21. 19
PROCÉDURES D’ACHAT RECOMMANDÉES
de puissances étrangères hostiles ou de groupes terroristes sur l’activité
concernée par le marché ;
b. Marchés requérant des mesures particulières de sécurité pour leur pas-
sation ou leur exécution, lorsque celles-ci ont été explicitement pré-
vues par un texte législatif ou réglementaire ;
c. Marchés mettant en jeu les intérêts essentiels de l’État. Cette notion
qui n’est pas définie par un texte précis vise toutes les situations où le mar-
ché a des implications pour les intérêts stratégiques de l’État, tant sur le
terrain de la défense ou du renseignement que sur des questions de sécu-
rité intérieure, notamment lorsque le marché est conclu par un opérateur
d’importance vitale (OIV).
Le champ d’application de ces différentes dispositions est beaucoup plus étendu
que celui des dispositions visant des marchés de défense ou de sécurité 12
, dé-
crites ci-dessous, limité aux matériels à caractère militaire.
D’une manière générale, la procédure de l’article 3-7° peut être mise en
œuvre aussi bien pour des contrats impliquant la défense que pour les marchés
concernant la sécurité intérieure, l’une et l’autre entendues au sens large.
2.3 / Marchés de défense ou de sécurité
prévus dans la troisième partie du code
des marchés publics
Les marchés de défense ou de sécurité bénéficient de conditions de publicité et
de mise en concurrence adaptées à leurs spécificités. Il est donc nécessaire de
vérifier, au préalable, que le marché concerné entre bien dans le champ d’appli-
cation décrit à l’article 179 du CMP.
L’acquisition des produits qualifiés est une fourniture d’équipements des-
tinés à la sécurité qui font intervenir, nécessitent ou comportent des supports ou
12) Ibid.
22. 20
PROCÉDURES D’ACHAT RECOMMANDÉES
informations protégés ou classifiés dans l’intérêt de la sécurité nationale. Cela
correspond donc au champ d’application du 2° de l’article 179 du CMP.
Il est également possible d’invoquer le 6° de l’article 180. Cette disposi-
tion vise les achats particulièrement sensibles, qui nécessitent une confidentia-
lité extrêmement élevée, notamment dans le domaine de la cryptographie.
2.4 / Acquisition de produits ou de services
qualifiés par accord-cadre ou par l’intermé-
diaire d’une centrale d’achat
L’achat de produits qualifiés ou la fourniture de prestations qualifiées peuvent
être effectués par l’intermédiaire d’une centrale d’achat telle que l’UGAP, cen-
trale d’achat public, ou encore par l’intermédiaire d’un accord-cadre intermi-
nistériel.
Dans de tels contextes, l’acquisition de produits ou de services s’effectue
par une procédure formalisée spécifique. Il convient néanmoins de vérifier que
les produits et les prestations proposés sont réellement qualifiés par l’ANSSI en
se référant à la liste publiée sur le site de l’Agence.
23. 21
PROCÉDURES D’ACHAT RECOMMANDÉES
Synthèse
Déterminer une procédure adaptée aux besoins en sécurité des systèmes
d’information
Le choix de la procédure adéquate s’effectue en fonction du contexte de
l’achat du produit ou du recours au prestataire et de l’environnement qui
les entoure.
Articles
du CMP
Désignation Contexte d’utilisation Effets
Articles
60 à 64
Appel d’offres
restreint
Contenu sensible du CCTP
Limite la diffusion
du CCTP
Article
3-7°
Procédure
spécifique du
3-7
Utilisation dans 3 cas :
• exigence du secret
• exécution du marché avec
des mesures particulières de
sécurité imposées par des
dispositions législatives ou
réglementaires
• exigence de la protection
des intérêts essentiels de
l’État.
Dispense de
l’exigence de
publicité
Article
176 et
suivants
Marchés de
défense et de
sécurité
Utilisation dans le cas de la
fourniture d’équipements,
travaux et services :
• à des fins spécifiquement
militaires ;
• destinés à la sécurité
avec des supports ou
informations protégés ou
classifiés dans l’intérêt de la
sécurité nationale ;
• lorsque la passation d’un
marché unique est justifiée
pour des raisons objectives.
Procédure
particulière prévue
par le CMP
24.
25. 3
Aspects administratifs
Compte tenu de la spécificité de leur achat, les fournitures et services pour
lesquels la dimension sécuritaire est essentielle et ceux concernés par des
contraintes spécifiques de sécurité doivent faire l’objet d’un allotissement spé-
cifique.
Outre le fait de s’inscrire dans les obligations de l’article 10 du CMP, cette
mesure favorise l’expression d’offres provenant de fournisseurs spécialisés.
26. 24
ASPECTS ADMINISTRATIFS
3.1 / Rédaction du règlement de consultation
L’article 42 du CMP précise que « les marchés et accords-cadres passés après
mise en concurrence font l’objet d’un règlement de consultation » 13
. Le règle-
ment de consultation définit notamment des critères d’attribution assortis d’une
pondération. L’article 53 du code des marchés publics impose au pouvoir ad-
judicateur de choisir des critères d’attribution « non discriminatoires et liés à
l’objet du marché ».
Pour le recours à un produit ou à un service qualifié, il est recommandé
de valoriser les critères d’ordre technique, par rapport au critère du prix, et
de les rendre suffisamment discriminants pour mettre en avant les meilleures
solutions en matière de sécurité. Il est en particulier indispensable que la pon-
dération des critères techniques soit suffisamment précise afin que le critère du
prix ne soit pas le seul décisif. Ces critères pertinents doivent être adaptés en
fonction du produit ou du prestataire considéré.
Il est rappelé que les critères du règlement de consultation s’appliquent
à des solutions qui sont toutes considérées comme répondant aux niveaux de
sécurité attendus. Dans le cas contraire elles sont réputées non conforme et
ne seront pas retenues dans l’analyse des offres (offres irrégulières au sens de
l’article 35 du CMP).
Plus particulièrement, la conformité des propositions de produits de sécu-
rité est appréciée en la comparant avec la cible publique de sécurité ou le profil
public de protection indiqués dans le CCTP au même titre qu’une norme.
L’attribution du marché au candidat qui a présenté l’offre économiquement la
plus avantageuse peut être fondée sur les trois critères ci-après établis selon la
pondération suivante :
13) Le règlement de consultation est facultatif si les mentions correspondantes figurent dans l’avis de consultation et
il peut se limiter aux caractéristiques principales de la procédure dans le cas d’une procédure adaptée. La rédaction d’un
règlement de consultation qui est un facteur de la qualité des offres est cependant recommandée.
27. 25
ASPECTS ADMINISTRATIFS
1. la valeur technique de l’offre, représentant le critère principal de la valeur
totale, à savoir 60 à 70 % minimum, est appréciée sur la base :
•• de la qualité, de la pertinence et du respect des réponses apportées aux
exigences du cahier des clauses techniques particulières, de la compré-
hension de la problématique de sécurité et de la prise en compte des
impératifs sécuritaires ;
•• de la qualité, de la pertinence et du respect des réponses apportées aux
exigences relatives aux types de prestations et compétences attendues ;
•• de la qualité, de la pertinence et du respect des réponses apportées aux
exigences relatives au détail des prestations attendues ;
2. la qualité des ressources humaines affectées au projet, qui représentent
10 % de la valeur totale de l’offre;
3. le prix, représentant 20 à 30% de la valeur totale de l’offre.
Cette pondération doit être circonscrite aux seuls lots consacrés aux fournitures
et services pour lesquels la dimension sécuritaire est essentielle ou concernés par
des contraintes spécifiques de sécurité
Les critères du règlement de consultation doivent être précisés par des
éléments d’appréciation opérationnels et comparables, suffisamment explicites
pour les candidats. Ces éléments d’appréciation opérationnels peuvent être uti-
lisés pour vérifier la pertinence de l’offre du candidat.
A titre d’exemple, la valeur technique de l’offre peut être appréciée fine-
ment grâce à la mise au point d’une grille de réponse technique permettant
d’analyser les propositions.
28. 26
ASPECTS ADMINISTRATIFS
3. 2 / Rédaction du cahier des clauses admi-
nistratives particulières (CCAP)
Pour l’achat de produits de sécurité et le recours à des prestataires de confiance,
il est recommandé de recourir au cahier des clauses administratives générales
(CCAG) applicable aux marchés publics de techniques de l’information et de
la communication 14
.
Il est possible de préciser le CCAG, grâce au cahier des clauses adminis-
tratives particulières (CCAP).
Dans le cas des marchés de produits et de prestataires qualifiés, le CCAP
doit normalement comprendre :
1. des clauses de vérification particulières, qui prouvent que les exigences
techniques du RGS sont bien appliquées pendant toute la durée d’exécu-
tion du marché (audits sur place, revue des fournisseurs, possible interven-
tion de l’ANSSI, exécution aux frais et risques du titulaire, etc.);
2. des clauses de pénalité, en cas de mauvaise exécution du marché, dont le
taux proportionné incite au strict respect du marché ;
3. des clauses sur la réversibilité des produits et la portabilité des données.
14) Arrêté du 16 septembre 2009 portant approbation du cahier des clauses administratives générales applicables
aux marchés publics de techniques de l’information et de la communication.
29. 27
ASPECTS ADMINISTRATIFS
SYNTHESE
Isoler par l’allotissement les achats à fort besoin de sécurité
Cela permet d’appliquer les bons critères de choix tout en élargissant la
concurrence et en limitant les risques de surcoût sur l’ensemble du marché.
Valoriser les critères techniques
La rédaction du règlement de consultation doit permettre de valoriser les
critères techniques par rapport au critère du prix. Les critères de sécurité
présents dans la note attribuée sur la base de critères techniques doivent
aussi être suffisamment discriminants pour mettre en avant les meilleures
solutions en matière de sécurité.
Prévoir des clauses de pénalités et de vérification technique
Dans le cadre du RGS, il faut appliquer le CCAG applicable aux marchés
publics de techniques de l’information et de la communication. Il doit être
accompagné d’un CCAP afin d’ajouter des clauses spécifiques relatives à
la vérification technique et à la présence de pénalités proportionnées.
32. 30
EXAMEN DES CANDIDATURES ET ANALYSE DES OFFRES
4.1 / Examen des candidatures
Concernant la phase d’examen des candidatures, il n’existe pas de développe-
ments spécifiques à la sécurité des systèmes d’information.
4.2 / Examen et analyse des offres
Par principe, lorsque la conformité du produit aux spécifications décrites dans le
RGS est requise, elle doit être regardée comme une exigence de conformité de
l’offre et non comme un simple critère d’analyse. Le respect de ces exigences ne
constitue donc pas un critère de choix des offres mais fait partie intégrante de la
définition des prestations envisagées.
La règle peut toutefois être aménagée. Il est notamment possible que,
dans certains domaines techniques, aucun produit de sécurité ne puisse ré-
pondre directement aux exigences du RGS au stade de l’offre. La conformité
du produit au RGS constitue alors une obligation de résultat, dans les délais
fixés par le marché. Le titulaire peut attester de la conformité du produit aux
exigences du RGS en fournissant une attestation de qualification du produit, ou
par tout autre moyen équivalent permettant au pouvoir adjudicateur de s’assurer
que le produit répond à ces exigences. Ces attestations doivent être adressées à
l’ANSSI.
La qualité de la méthode retenue et les moyens envisagés pour le respect
des étapes nécessaires à l’obtention de la conformité du produit au RGS peuvent
être intégrés dans les critères de choix des offres.
Enfin, dans le texte contractuel, des sanctions (pénalités ou résiliation aux
torts du titulaire) peuvent être prévues en cas d’échec de la procédure d’obten-
tion de la conformité du produit au RGS ou de non-respect des délais établis
dans le marché pour l’accomplissement de cette procédure.
33. 31
EXAMEN DES CANDIDATURES ET ANALYSE DES OFFRES
Quatre hypothèses distinctes sont envisageables :
•• Hypothèse 1 : le produit proposé est un produit « qualifié ».
Au-delà du respect des exigences règlementaires, l’autorité administrative
devra vérifier, en premier lieu, que le produit qualifié répond le mieux à
son besoin d’interopérabilité et à ses propres fonctionnalités.
•• Hypothèse 2 : le produit proposé n’est pas un produit « qualifié » mais
est accompagné d’un rapport de conformité au RGS.
L’autorité administrative analyse le rapport de conformité et établit une
attestation d’équivalence.
L’ANSSI demande à être rendue destinataire, préalablement à l’attribu-
tion du marché, du rapport et de l’attestation de conformité de l’autorité
administrative.
•• Hypothèse 3 : le produit proposé n’est pas qualifié et sans rapport de
conformité.
Au-delà de la satisfaction du besoin, l’autorité administrative peut prendre
la responsabilité de s’assurer du respect de l’article 4 du décret 2010-112,
en vérifiant par elle-même la conformité au RGS.
L’ANSSI demande à être rendue destinataire, préalablement à l’attri-
bution du marché, de l’analyse menée par l’autorité administrative et de
l’attestation de conformité.
•• Hypothèse 4 : le produit proposé est jugé par l’autorité administrative
non conforme aux exigences du RGS ou aucun produit n’est proposé.
L’autorité administrative devra réviser son besoin fonctionnel de sécurité.
Il est conseillé de se rapprocher de l’ANSSI avant de relancer la procédure.
34. 32
EXAMEN DES CANDIDATURES ET ANALYSE DES OFFRES
SYNTHESE
Vérifier la conformité de l’offre aux exigences techniques décrites dans
le RGS
Le pouvoir adjudicateur est chargé de vérifier que l’offre proposée est
conforme aux exigences techniques décrites dans le RGS. Dans le cadre
d’un appel d’offres formalisé, si le produit ou le prestataire n’est pas
conforme à ces exigences, son offre doit être rejetée.
À l’issue de l’analyse de chaque offre, quatre hypothèses distinctes
sont envisageables, allant de la satisfaction complète du besoin à la non
satisfaction du besoin.
35.
36. Ce guide a été élaboré par l’agence nationale de la sécurité des systèmes d’information
(ANSSI), en concertation avec le service des achats de l’État (SAE) et la direction des
affaires juridiques (DAJ) des ministères économiques et financiers.
SERVICE DES ACHATS DE L'ÉTAT
37.
38. Version 1.0 - Septembre 2014
20140923-1156
Licence Ouverte/Open Licence (Etalab - V1)
AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
ANSSI - 51, boulevard de la Tour-Maubourg - 75700 PARIS 07 SP
www.ssi.gouv.fr / communication@ssi.gouv.fr