62 résultats
62 résultats
La réalisation d’un audit PASSI (conditions de réalisation spécifiques et auditeur certifié PASSI) n’est pas requise. La seule obligation est de faire réaliser le test d'intrusion par un organisme qualifié PASSI (Liste des prestataires de services qualifiés).
NB : Le lien est susceptible de changer si l'ANSSI y apporte des modifications à posteriori.
Cette réponse vous a-t-elle été utile ?
La veille technologique concerne les composants du système tels que les bibliothèques, les logiciels, les dépendances, etc.
Cette réponse vous a-t-elle été utile ?
La responsabilité de garantir le bon fonctionnement de ces processus et de veiller à l'application en temps opportun des correctifs repose sur l'équipe ou la personne chargée de la sécurité informatique de votre système.
Cette réponse vous a-t-elle été utile ?
Les principaux objectifs de la procédure de sauvegarde et de restauration sont de garantir la disponibilité des données essentielles en cas de défaillance du système, de perturbation ou de perte de données.
Cette procédure contribue à la sécurité des solutions en minimisant les risques de perte de données critiques. Elle permet de restaurer rapidement et efficacement les systèmes à un état de fonctionnement antérieur, réduisant ainsi les temps d'indisponibilité et les impacts potentiels sur la sécurité et la continuité des opérations.
Cette réponse vous a-t-elle été utile ?
La procédure de sauvegarde et de restauration doit contenir des informations détaillées sur la manière de réaliser des sauvegardes efficaces, ainsi que sur la manière de restaurer les données en cas de besoin. Cela peut inclure :
- Les acteurs de la procédure de sauvegarde et de restauration et leur rôles (RACI) ;
- La fréquence de sauvegarde ;
- Le plan de sauvegarde mis en place par l'éditeur ;
- Le champ d'application (périmètre de la sauvegarde) ;
- Le lieu de stockage des sauvegardes ;
- Les méthodes de sauvegarde (ex: sauvegardes complètes, incrémentielles ou différentielles)
- Les règles de sécurité : les mesures de sécurité sont mises en place pour protéger les sauvegardes (ex: chiffrement des données, l'accès restreint aux sauvegardes,etc.) ;
- Les tests de récupération (champ des tests, fréquence, etc.)
Cette réponse vous a-t-elle été utile ?
Les preuves demandées sont majoritairement de la documentation spécifique à chaque exigence, une attestation sur l'honneur, ainsi que le formulaire du test d'intrusion en particulier pour l'exigence SC.SSI/GEN.18. Elles permettent de vérifier que les processus en question sont bien mis en œuvre et conformes à une démarche SSI.
Cette réponse vous a-t-elle été utile ?
Pour être évaluées, les preuves doivent être déposées sur Convergence dans un conteneur ZED garantissant l'intégrité et la confidentialité des documents. Ces preuves sont consultées par les vérificateurs uniquement.
Cette réponse vous a-t-elle été utile ?
Cette exigence permet à la fois de s'assurer que le professionnel sera effectivement en mesure de s'authentifier (ou de récupérer son compte) le moment venu, et de renforcer la sécurité de l'authentification.
En effet :
- Si par exemple le professionnel commet une erreur à la saisie de son numéro de téléphone portable et que ce numéro est utilisé pour lui envoyer un code OTP par SMS comme second facteur d'authentification, alors le professionnel ne recevra pas cet OTP au moment de son authentification et ne pourra pas se connecter. Le professionnel va demander une modification de cette coordonnée, mais à ce moment-là il faudra s'assurer de son identité de manière fiable, avec deux facteurs d'authentification. Ceci peut devenir contraignant et constituer une très mauvaise expérience pour un nouvel utilisateur ;
- Si le professionnel commet une erreur à la saisie d'une adresse email utilisée comme second facteur d'authentification en cas d'oubli de son mot de passe par exemple, alors il découvrira ce problème le jour où il a besoin de récupérer son compte. Déjà en situation exceptionnelle et de perte de temps, le professionnel ne pourra pas récupérer son compte facilement et devra alors passer par une vérification fiable mais contraignante de son identité.
La vérification permet de s'assurer que la coordonnée est bien exacte et sous la maîtrise du professionnel. De plus, ceci évite la tentation de demander le contournement des mesures de sécurité pour répondre à des situations problématiques et urgentes, prétextes justement utilisés par des attaquants pour prendre possession illégalement d'un compte.
Cette réponse vous a-t-elle été utile ?
Lorsque les coordonnées d'un professionnel sont récupérées dans un annuaire comme le RPPS ou le RPPS+ (considéré comme un "autre système en amont"), les coordonnées sont supposées fiables et leur vérification n'est pas demandée dans la gestion du compte.
Cette réponse vous a-t-elle été utile ?
Afin de vérifier l'exactitude d'une adresse email, il y a deux grands types de méthode :
- envoyer un code numérique ou alphanumérique (lettres majuscules et chiffres) sur l'adresse email, et demander au professionnel de saisir cette valeur dans un formulaire ;
- envoyer un lien unique (URL générée spécifiquement pour ce cas d'usage) sur l'adresse email, et déclencher la validation de cette adresse email lorsqu'une connexion est ouverte sur l'URL transmise.
Afin de vérifier l'exactitude d'un numéro de téléphone, il est généralement envoyé un code numérique de 4 ou 6 chiffres par SMS sur ce numéro et le professionnel doit le ressaisir dans un formulaire.
Cette vérification doit avoir lieu au moment de la création du compte ou de la modiifcation de la coordonnée. En l'absence de vérification effective, la coordonnée ne pourra pas être utilisée car étant potentiellement invalide.
Cette réponse vous a-t-elle été utile ?