Déclaration d'applicabilité ISO27001:2013

Version du 03/02/2023 Modifiée par : Equipe sécurité

Classification : Public

ISO27001:2013
Solution mise en œuvre Preuves et livrables

4 Contexte de l'organisation
4.1 Compréhension de l'organisation et son conctexte
4.2 Compréhension des besoins et des attentes des parties intéressés
Périmètre du Système de Management de la sécurité du SaaS (SEPO12) SELI030 - D.D.A
4.3 Détermination du domaine d'application du système de management de la sécurité de l'information

4.4 Système de management de la sécurité de l'information

5 Leadership
5.1 Leadership et engagement Lettre d'engagement de la Direction
5.2 Politique Gestion de la Gouvernance, des rôles et des responsabilités SMSI (SEPS4) CR réunions des structures de la sécurité de l’information
5.3 Rôles, responsabilités et autorités au sein de l'organisation
6 Planification
6.1 Actions liées aux risques et opportunités
Processus d'Évaluation et de Traitement du Risque (SEPS5) Résultats Analyse de risques et PTR
6.2 Objectifs de sécurité de l'information et plans pour les atteindre
7 Support
7.1 Ressources
7.2 Compétence Sécurité des Ressources Humaines (SEPO9) Processus et document RH
7.3 Sensibilisation
7.4 Communication Processus Communication du SMSI (SEPO11) CR Comite de Sécurité
7.5 Information Documentées Processus de gestion de la documentation (SEPS2) Processus GED
8 Fonctionnement
8.1 Planification et contrôle opérationnels Politique de contrôle, surveillance et Amélioration (SEPO17) CR Comite de Sécurité
8.2 Appreciation des risques de sécurité de l'information
Processus de gestion des risques (SEPS5) Resultat Analyse de risques et PTR
8.3 Traitement des risques de sécurité de l'information
9 Evaluation des performanaces
9.1 Surveillance, mesures, analyse et évaluation Politique de contrôle, surveillance et Amélioration (SEPO17) CR Comite de Sécurité
9.2 Audit interne Gestion de la conformité et des audits (SEPO10) Planification des audits
9.3 Revue de direction Gestion de la Gouvernance, des rôles et des responsabilités SMSI (SEPS4) Revue de direction
10 Amélioration
10.1 Non-conformité et actions correctives Gestion de la conformité et des audits (SEPO10) Planification des audits
CR Comite de Sécurité
10.2 Amélioration continue Politique de contrôle, surveillance et amélioration (SEPO17)
CR Revue de direction
OL = Obligations légales
OC = Obligations contractuelles
EB = Engagement Business
BP= Bonnes Pratiques
AR = Analyse de Risques La mise en œuvre des contrôles de sécurité définis dans la déclaration d’applicabilité visent à réduire les risques de sécurité pouvant exister dans le SMSI.

ISO27001:2013 Annexe A
Exigences Retenue OL OC EB BP AR Solution mise en œuvre Preuves et livrables
5 Politiques de sécurité de l’information SEPO16 - Politique de sécurité de l'information Cegid Cloud Factory
Établir un cadre de gestion pour engager, puis vérifier la
5.1 Orientations de la direction en matière de sécurité de l’information mise en œuvre et le fonctionnement de la sécurité de Retenue OL OC EB BP AR
l’information au sein de l’organisation
Il convient de définir un ensemble de politiques en matière de sécurité
de l’information qui soit approuvé par la direction, diffusé et
5.1.1 Politiques de sécurité de l’information OUI X X
communiqué aux salariés et aux tiers concernés.
Une politique de sécurité de l'information a été rédigée
Lettre d'engagement de la Direction
Pour garantir la constance de la pertinence, de l’adéquation et de Elle est révisée annuellement et approuvée par la Direction des services Cloud
l’efficacité des politiques liées à la sécurité de l’information, il convient
5.1.2 Revue des politiques de sécurité de l’information OUI X
de revoir ces politiques à intervalles programmés ou en cas de
changements majeurs.
6 Organisation de la sécurité de l’information SEPS4 - Gestion de la Gouvernance, des rôles et des responsabilités SMSI
Établir un cadre de gestion pour engager, puis vérifier la
6.1 Organisation interne mise en œuvre et le fonctionnement de la sécurité de Retenue OL OC EB BP AR
l’information au sein de l’organisation
Il convient de définir et d’attribuer toutes les responsabilités en L'Equipe sécurité groupe est organisée de maniére transverse.
6.1.1 Fonctions et responsabilités liées à la sécurité de l’information OUI X Présentation des missions et de l'organisation des équipes dédiées à la sécurité de l'information
matière de sécurité de l’information. Elle est indépendante hiérarchiquement et opérationnellement des activités du SMSI
Il convient de séparer les tâches et les domaines de responsabilité
incompatibles pour limiter les possibilités de modification ou de Organisation de type DevOps des missions et des équipes
6.1.2 Séparation des tâches OUI X Organisation des équipes AzurDevOps (Teams)
mauvais usage, non autorisé(e) ou involontaire, des actifs de
l’organisation.
Il convient d’entretenir des relations appropriées avec les autorités L'équipe Sécurité de Cegid entretien des échanges réguliers
6.1.3 Relations avec les autorités OUI X X Echange de Mail/Courrier
compétentes. avec la CNIL et l'ANSSI
Il convient d’entretenir des relations appropriées avec des groupes Les collaborateurs de l'équipe Sécurité de Cegid sont membre des associations suivantes:
6.1.4 Relations avec des groupes de travail spécialisés d’intérêt, des forums spécialisés dans la sécurité et des associations OUI X CLUSIR/CLUSIF/Club ISO27001 Justification des abonnement au Clusir/Clusif/
professionnelles.
Organisation des équipes AzurDevOps (Teams)
Il convient de traiter la sécurité de l’information dans la gestion de Organisation des équipes et des processus en mode agile (AzureDevOps) pour la prise en compte de la Charte de développement sécurisé
6.1.5 La sécurité de l’information dans la gestion de projet OUI X X
projet, quel que soit le type de projet concerné. sécurité dans les infrastructures et le développement dans tous les projets liés au SMSI Convention de services interne Cloud/Dev
Sécurité des projets infra
Assurer la sécurité du télétravail et de l’utilisation d’appareils
6.2 Appareils mobiles et télétravail
mobiles
Retenue OL OC EB BP AR SEOP7- Politique en matière d’appareils mobiles et télétravail
Il convient d’adopter une politique et des mesures de sécurité
6.2.1 Politique en matière d’appareils mobiles complémentaires pour gérer les risques découlant de l’utilisation des OUI X X
appareils mobiles Chiffrement des disques des laptops des collaborateurs
Filtres de confidentialité
MFA et VPN en situation de mobilité
 Chiffrement des disques des laptops des collaborateurs
Il convient de mettre en œuvre une politique et des mesures de Filtres de confidentialité
sécurité complémentaires pour protéger les informations consultées, MFA et VPN en situation de mobilité
6.2.2 Télétravail OUI X X
traitées ou stockées sur des sites de télétravail.

7 Sécurité des ressources humaines SEPO9-Sécurité des Ressources Humaines

S’assurer que les salariés et les contractants comprennent

7.1 Avant l’embauche leurs responsabilités et qu’ils sont compétents pour remplir Retenue OL OC EB BP AR
les fonctions que l’organisation envisage de leur confier.

Il convient que des vérifications des informations concernant tous les

candidats à l’embauche soient réalisées conformément aux lois, aux
Un contôle des références (Diplômes, extrait de casier judiciare …)
7.1.1 Sélection des candidats règlements et à l’éthique, et il convient qu’elles soient OUI X X
est effectué par le service de recrutement du Groupe
proportionnelles aux exigences métier, à la classification des
Procédures de recrutement RH Groupe
informations accessibles et aux risques identifiés
Convention de services SaaS/RH

Il convient que les accords contractuels conclus avec les salariés et les
Le contrat de travail signé par les nouveaux salariés comporte
7.1.2 Termes et conditions d’embauche contractants déterminent leurs responsabilités et celles de OUI X X
une clause de confidentilaité et une clause de non concurrence
l’organisation en matière de sécurité de l’information

S’assurer que les salariés et les contractants sont conscients

7.2 Pendant la durée du contrat de leurs responsabilités en matière de sécurité de Retenue OL OC EB BP AR
l’information et qu’ils assument ces responsabilités

Il convient que la direction demande à tous les salariés et contractants

Engagement formel de la Direction des services Cloud Lettre d'engagement de la Direction
7.2.1 Responsabilités de la direction d’appliquer les règles de sécurité conformément aux politiques et aux OUI X
au travers des différens comités , réunions et communications autours de la sécurité et du SMSI
procédures en vigueur dans l’organisation.

Il convient que l’ensemble des salariés de l’organisation et, le cas

échéant, les contractants suivent un apprentissage et des formations Une formation sécurité nouveaux collaborateurs est systématiquement dispensée
Plans de formations et contenus
7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l’information de sensibilisation adaptés et qu’ils reçoivent régulièrement les mises à OUI X X X Un plan annuel de sensibilisation est élaboré
Contenu des sensibilisations et résultats
jour des politiques et procédures de l’organisation s’appliquant à leurs
fonctions.
Il convient qu’il existe un processus disciplinaire formel et connu de Règlement Intérieur
Un processus disciplinaire peut être engagé en cas de manquement à la PSSI
7.2.3 Processus disciplinaire tous pour prendre des mesures à l’encontre des salariés ayant enfreint OUI X X X Contrat de travail
ou à la charte d'utilisation des outils et des matériels informatiques
les règles liées à la sécurité de l’information. Clause de confidentilité renforcée

Protéger les intérêts de l’organisation dans le cadre du

7.3 Rupture, terme ou modification du contrat de travail processus de modification, de rupture ou de terme d’un Retenue OL OC EB BP AR
contrat de travail.
Il convient de définir les responsabilités et les missions liées à la
sécurité de l’information qui restent valables à l’issue de la rupture, du Le collaborateur est informé de ses responsabilités en cas de modification
7.3.1 Achèvement ou modification des responsabilités associées au contrat de travail OUI X X x Contrat de travail
terme ou de la modification du contrat de travail, d’en informer le de rupture ou de fin de contrat par son correspondant RH
salarié ou le contractant et de veiller à leur application.

8 Gestion des actifs SEPO5-Gestion des actifs

Identifier les actifs de l’organisation et définir les
8.1 Responsabilités relatives aux actifs Retenue OL OC EB BP AR
responsabilités appropriées en matière de protection
Il convient d’identifier les actifs associés à l’information et aux moyens
8.1.1 Inventaire des actifs de traitement de l’information et de dresser et tenir à jour un OUI X X L'inventaire des actifs est revu et mis à jour dans l'outil d'analyse de risques Liste des actifs
inventaire de ces actifs.

8.1.2 Propriété des actifs Il convient que les actifs figurant à l’inventaire aient un propriétaire. OUI X X Les actifs sont propriétés de la Direction des services Cloud définir le propriétaire des actifs matériels et le rôle du propriétaire

Il convient d’identifier, de documenter et de mettre en œuvre des

8.1.3 Utilisation correcte des actifs règles d’utilisation correcte de l’information, des actifs associés à OUI X X X Une charte d'utilisation des outils informatiques à destination des collaborateurs a été rédigée et Charte d'utilsation des outils infomatique
l’information et des moyens de traitement de l’information. communiquée

Il convient que tous les salariés et utilisateurs tiers restituent la totalité

Restitution des actifs suivant l'inventaire
8.1.4 Restitution des actifs des actifs de l’organisation qu’ils ont en leur possession au terme de la OUI X X Fiche de départ Ressources Humaines Groupe Cegid
de la fiche de départ collaborateur sous la responsabilité du manager
période d’emploi, du contrat ou de l’accord.

S’assurer que l’information bénéficie d’un niveau de

8.2 Classification de l’information protection approprié conforme à son importance pour Retenue OL OC EB BP AR SEPS2-Gestion de la documentation
l’organisation.
Il convient de classer les informations en termes de valeur, d’exigences
8.2.1 Classification des informations légales, de sensibilité ou de leur caractère critique pour l’entreprise. OUI X Les informations sont classifiés suivant 5 critéres

Il convient d’élaborer et de mettre en œuvre un ensemble approprié

8.2.2 Marquage des informations de procédures pour le marquage de l’information, conformément au OUI X L'ensemble des actifs (documentaires , actifs clients) est soumis à la politique de RCNT7- Cycle de vie disque client
plan de classification de l’information adopté par l’organisation gestion des actifs.
Cette politique prend en compte le niveau de claissfication des actifs
Il convient d’élaborer et de mettre en œuvre des procédures de
associé à son niveau de diffusion et de chiffrement nécessaire à sa diffusion
8.2.3 Manipulation des actifs traitement des actifs, conformément au plan de classification de OUI X
l’information adopté par l’organisation.
Empêcher la divulgation, la modification, le retrait ou la
8.3 Manipulation des supports destruction non autorisé(e) de l’information de Retenue OL OC EB BP AR
l’organisation stockée sur des supports.
Il convient de mettre en œuvre des procédures de gestion des
Restriction d'utilsation des médias amovibles (USB) pour les collaborateurs
8.3.1 Gestion des supports amovibles supports amovibles conformément au plan de classification adopté OUI X Charte d'utilisation des outils du SI
Procédure fournisseur DC pour les média amovibles de stockage des données clients
par l’organisation.

Il convient de procéder à une mise au rebut sécurisée des supports qui Formatage bas niveau des medias de stockage des postes collaborateurs
8.3.2 Mise au rebut des supports OUI X X X X Preuves Destruction des Données par la production SaaS /mise à dsipo de broyeur
ne servent plus, en suivant des procédures formelles. Destruction physque des médias de stockage données client par les fournisseurs DC

Il convient de protéger les supports contenant de l’information contre

Chiffrement des médias de stockages amovibles en cas de transfert de données client
8.3.3 Transfert physique des supports les accès non autorisés, l’utilisation frauduleuse ou l’altération lors du OUI X X X RCNT7- Cycle de vie disque client
Suivi des réceptions et des expéditions par Chronopost
transport.
9 Contrôle d'accès SEPO1-Contôle des accès
 Limiter l’accès à l’information et aux moyens de traitement
9.1 Exigences métier en matière de contrôle d’accès Retenue OL OC EB BP AR
de l’information
Il convient d’établir, de documenter et de revoir une politique du
9.1.1 Politique de contrôle d’accès contrôle d’accès sur la base des exigences métier et de sécurité de OUI X X X X Politique de contrôle des accès revue annuellement
l’information.
Il convient que les utilisateurs aient uniquement accès au réseau et
Une matrice des droits assure la gestion des droits utilisateurs et l'accès aux ressources
9.1.2 Accès aux réseaux et aux services en réseau aux services en réseau pour lesquels ils ont spécifiquement reçu une OUI X X Matrice des droits
Cette matrice est révisée annuellement à minima
autorisation.

Maîtriser l’accès utilisateur par le biais d’autorisations et

9.2 Gestion de l’accès utilisateur Retenue OL OC EB BP AR
empêcher les accès non autorisés aux systèmes
Il convient de mettre en œuvre une procédure formelle
9.2.1 Enregistrement et désinscription des utilisateurs d’enregistrement et de désinscription des utilisateurs destinée à OUI X X X X X
permettre l’attribution de droits d’accès.
Gestion des inscriptions/désinscriptions des utilisateurs dans notre outil
Il convient de mettre en œuvre un processus formel de maîtrise de la Service Request et Workflow stratus
d'orchestration de la plateforme Cloud Factory
gestion des accès utilisateur pour attribuer ou révoquer des droits
9.2.2 Distribution de l'accès aux utilisateurs OUI X X X X X
d’accès à tous les types d’utilisateurs de tous les systèmes et de tous
les services d’information.
Il convient de restreindre et de contrôler l’attribution et l’utilisation
9.2.3 Gestion des privilèges d’accès OUI X X X Affectation des droits par groupe d'utilsateurs sur les applications à utiliser Matrice des droits Cegid Cloud Factory
des privilèges d’accès.
Il convient que l’attribution des informations secrètes
9.2.4 Gestion des informations secrètes d’authentification des utilisateurs d’authentification soit réalisée dans le cadre d’un processus de gestion OUI X X X Les informations d'authentification sont communiquées suivant un processus RH formalisé
formel. Elles ne sont communiquées qu'a l'attribution du matricule du collaborateur
Il convient que les propriétaires d’actifs revoient les droits d’accès des
9.2.5 Revue des droits d’accès utilisateur OUI X X X Une revalidation des droits des équipes par les manager est effectuée tous les trimestres Liste de revalidation des droits trimestrielle vlaidée par les manager
utilisateurs à intervalles réguliers

Il convient que les droits d’accès de l’ensemble des salariés et

utilisateurs tiers à l’information et aux moyens de traitement de A la réception de la confirmation de nos outils RH de la fin de la période d'emploi ,
9.2.6 Suppression ou adaptation des droits d’accès OUI X X X Service Request et Workflow stratus
l’information soient supprimés à la fin de leur période d’emploi, ou la demande est traitéedans notre outil d'orchestration.
adaptés en cas de modification du contrat ou de l’accord.

Rendre les utilisateurs responsables de la protection de leurs

9.3 Responsabilités des utilisateurs Retenue OL OC EB BP AR
informations d’authentification.
Il convient d’exiger des utilisateurs des informations secrètes
Des régles d'utilisation des informations secrètes sont clairement définis SENT14- Politique de gestion des mots de passe
9.3.1 Utilisation d’informations secrètes d’authentification d’authentification qu’ils appliquent les pratiques de l’organisation en OUI X X X
dans la charte d'utilisation des outils informatique Charte d'utilisation des outils informatiques
la matière
Empêcher les accès non autorisés aux systèmes et aux
9.4 Contrôle de l’accès au système et à l’information Retenue OL OC EB BP AR
applications
Il convient de restreindre l’accès à l’information et aux fonctions
9.4.1 Restriction d’accès à l’information d’application système conformément à la politique de contrôle OUI X X La matrice des droits et des accès définit les accès par groupe de métiers et par application Matrice des droits
d’accès.
Lorsque la politique de contrôle d’accès l’exige, il convient que l’accès La connexion des collaborateurs de Cegid Cloud Factory
9.4.2 Sécuriser les procédures de connexion aux systèmes et aux applications soit contrôlé par une procédure de OUI X X aux environnements de production est effectué via un P.A.M (Bastion) Manuel d'utilisation du PAM
connexion sécurisée. et par un systéme sécurisé d'accès à distance (RDM)
Une politiques de gestion des mots de passe est définie pour
Il convient que les systèmes qui gèrent les mots de passe soient SENT14- Politique de gestion des mots de passe
9.4.3 Système de gestion des mots de passe OUI X X les collaborateurs de Cegid Cloud Factory ainsi que
interactifs et fournissent des mots de passe de qualité.
pour les clients utilsateurs des applications Cegid SaaS
Il convient de limiter et de contrôler étroitement l’utilisation des
Un outil de gestion et de limitation du shadow IT est utilisé pour contôler
9.4.4 Utilisation de programmes utilitaires à privilèges programmes utilitaires permettant de contourner les mesures de OUI Matrice des droits
l'utilisation de programmes et d'appplications non autorisés
sécurité d’un système ou d’une application.
Les scripts sont stockés dans des espaces sécurisés uniquement
9.4.5 Contrôle d’accès au code source des programmes Il convient de restreindre l’accès au code source des programmes OUI X X Liste des utilisateurs autorisés
accessibles aux équipes de production
10 Cryptographie SEPO12-Transfert et chifrement de l'information
Garantir l’utilisation correcte et efficace de la cryptographie
10.1 Mesures cryptographiques en vue de protéger la confidentialité, l’authenticité et/ou Retenue OL OC EB BP AR
l’intégrité de l’information.
Il convient d’élaborer et de mettre en oeuvre une politique Politique édictée sur le chiffrement des flux et des données
10.1.1 Politique d’utilisation des mesures cryptographiques d’utilisation de mesures cryptographiques en vue de protéger OUI X X X X Cette politique est révisée réguliérement afin d'offrir le meilleur Révision annuelle de cette politique
l’information. niveau de sécurité en adéquation avec les bonnes pratiques normalisées
Administration des certificats pour accès HTTPS
Il convient d’élaborer et de mettre en oeuvre tout au long de leur
en accord avec les bonnes pratiques Certificats administrés par Cegid et issus d'une CA reconnue
10.1.2 Gestion des clés cycle de vie une politique sur l’utilisation, la protection et la durée de OUI X X
autorité de certifcation reconnue , stockage des clés dans un keyvault Gestion des clés par Cegid (Cloud Privé) ou par le fournisseur (Cloud Publique)
vie des clés cryptographiques
Gestion des clès de chiffrement de données stockées dans les Datacenter
11 Sécurité physique et environnementale SEPO1 Contôle des accès / SEPO6 Sécurité Physique et environnementale
Empêcher tout accès physique non autorisé, tout dommage
11.1 Zones sécurisées ou intrusion portant sur l’information et les moyens de Retenue OL OC EB BP AR
traitement de l’information de l’organisation.
Il convient de définir des périmètres de sécurité servant à protéger les
Les équipes d'exploitation et de production sont dans des locaux isolés
11.1.1 Périmètre de sécurité physique zones contenant l’information sensible ou critique et les moyens de OUI X Convention de service avec les services généraux
physiquement
traitement de l’information
Il convient de protéger les zones sécurisées par des contrôles
Accès sécurisés et par badge aux locaux de Production
11.1.2 Contrôles physiques des accès adéquats à l’entrée pour s’assurer que seul le personnel autorisé est OUI X X Liste de contôle mensuel des accès
aux seuls collaborateurs autorisés
admis
Il convient de concevoir et d’appliquer des mesures de sécurité
11.1.3 Sécurisation des bureaux, des salles et des équipements OUI X X Portes vérouillées avec alarmes en cas d'ouverture prolongée
physique aux bureaux, aux salles et aux équipements
Il convient de concevoir et d’appliquer des mesures de protection
Protection du bâtiment hébergeant les équipes de production
11.1.4 Protection contre les menaces extérieures et environnementales physique contre les désastres naturels, les attaques malveillantes ou OUI X X X X
Alimentation,climatisation,câblage réseau ..
les accidents
Protection du bâtiment hébergeant les équipes de production
Il convient de concevoir et d’appliquer des procédures pour le travail Alimentation,climatisation,câblage réseau ..
11.1.5 Travail dans les zones sécurisées OUI X
en zone sécurisée. Pour les locaux historiques de Talentsoft, il n'y a pas de travail en zones sécurisées. Cette exigence n'est
Contrat de service fournisseur interne avec les Services Généraux
donc pas incluse.
Il convient de contrôler les points d’accès tels que les zones de
Les livraisons sont effectuées au PC sécurité du bâtiment
livraison et de chargement et les autres points par lesquels des
Le contôle est effectuée par une société de gardiennage privée
11.1.6 Zones de livraison et de chargement personnes non autorisées peuvent pénétrer dans les locaux et, si OUI X X
sous le responsabilité des SG de Cegid
possible, de les isoler des moyens de traitement de l’information, de
façon à éviter les accès non autorisés
 Empêcher la perte, l’endommagement, le vol ou la
11.2 Matériels compromission des actifs et l’interruption des activités de Retenue OL OC EB BP AR
l’organisation.
Il convient de déterminer l’emplacement du matériel et de le protéger
11.2.1 Emplacement et protection du matériel de manière à réduire les risques liés à des menaces et dangers OUI X X Les matériels sensibles sont sockés dans des locaux sécurisés Contrat de service fournisseur interne avec les Services Généraux
environnementaux et les possibilités d’accès non autorisé.

Il convient de protéger le matériel des coupures de courant et autres Systéme d'alimentation électrique indépendant est opérationnel
11.2.2 Services généraux OUI X Contrat de mainteance fournisseur onduleur
perturbations dues à une défaillance des services généraux. en cas de défaillance du systéme général

Il convient de protéger les câbles électriques ou de télécommunication

Le réseau local de la production SaaS est un réseau switché
11.2.3 Sécurité du câblage transportant des données ou supportant les services d’information OUI X X Configuration et shéma d'architecture réseau SaaS
physiquement indépendant du reste de l'entreprise
contre toute interception, interférence ou dommage.

Il convient d’entretenir le matériel correctement pour garantir sa La maintenance des matériels internes et collaborateurs est sous traitée
11.2.4 Maintenance des matériels OUI X X Contrat de service fournisseur interne avec la DSI
disponibilité permanente et son intégrité et contractualisée par la DSI

Il convient de ne pas sortir un matériel, des informations ou des

11.2.5 Sortie des actifs OUI X Formalisé dans la charte d'utilisation des outils et des moyens informatiques
logiciels des locaux de l’organisation sans autorisation préalable

Il convient d’appliquer des mesures de sécurité au matériel utilisé hors

Chiffrement des disques, Anti Virus,
11.2.6 Sécurité du matériel et des actifs hors des locaux des locaux de l’organisation en tenant compte des différents risques OUI X X Contrat de service fournisseur interne avec la DSI
connexion à distance sécurisée par passerelle d'accès et/ou VPN
associés au travail hors site.

Il convient de vérifier chacun des éléments du matériel contenant des

supports de stockage pour s’assurer que toute donnée sensible a bien Destruction des supports contenant des données clients Preuves Destruction des Données par la production SaaS
11.2.7 Mise au rebut ou recyclage sécurisé des matériels OUI X X X X X
été supprimée et que tout logiciel sous licence a bien été désinstallé ou en rapport avec ces données (poste des collaborateurs) Contrat Cloud
ou écrasé de façon sécurisée, avant sa mise au rebut ou sa réutilisation

Il convient que les utilisateurs s’assurent que le matériel non surveillé Cable antivol sur les postes collaborateurs
11.2.8 Matériel utilisateur laissé sans surveillance OUI X X Vérouillage des écrans au bout de 15mn ( stratégie AD)
est doté d’une protection appropriée
Il convient d’adopter une politique du bureau propre pour les
Stockage des documents sur espace collaboratif privilégié
documents papier et les supports de stockage amovibles, et une
11.2.9 Politique du bureau propre et de l’écran vérouillé OUI X Casier individuel de stockage - Broyeuse pour document à dipsosition
politique de l’écran vide pour les moyens de traitement de
Verouillage automatique des sessions en cas d'inactivité prolongée
l’information
12 Sécurité liée à l’exploitation SEPO4 Sécurité liée à l'exploitation
S’assurer de l’exploitation correcte et sécurisée des moyens
12.1 Procédures et responsabilités liées à l’exploitation Retenue OL OC EB BP AR
de traitement de l’information
Il convient de documenter les procédures d’exploitation et de les Toutes les procédures d'explotation sont documentées et
12.1.1 Procédures d’exploitation documentées OUI X X Processus de Gestion des documents de la GED
mettre à disposition de tous les utilisateurs concernés accessibles à tous les collaborateurs de SaaS dans la GED

Il convient de contrôler les changements apportés à l’organisation, aux

12.1.2 Gestion des changements processus métier, aux systèmes et moyens de traitement de OUI X X Une instance hebdomadaire est planifiée sur la gestion des changements CR et gestion des changes dans Inside
l’information qui influent sur la sécurité de l’information

Il convient de surveiller et d’ajuster au plus près l’utilisation des

Console de supervision Centreon
ressources et il convient de faire des projections sur les Surveillance permanente de l'allocation des ressources
12.1.3 Dimensionnement OUI X X X Compte rendus de réunion de capacity planning
dimensionnements futurs pour garantir les performances exigées du Comité mensuel sur le dimensionnemnt des infrastructures et des ressources
Adaptation des RH à l'activité
système

Il convient de séparer les environnements de développement, de test

12.1.4 Séparation des environnements de développement, de test et d’exploitation et d’exploitation pour réduire les risques d’accès ou de changements OUI X X X Segrégation assurée par le workflow automatisé dans AzureDevOps Architecture Réseaux
non autorisés dans l’environnement en exploitation

Garantir que l’information et les moyens de traitement de

12.2 Protection contre les logiciels malveillants Retenue OL OC EB BP AR
l’information sont protégés contre les logiciels malveillants

Il convient de mettre en oeuvre des mesures de détection, de

12.2.1 Mesures contre les logiciels malveillants prévention et de récupération, conjuguées une sensibilisation des OUI X X Antivirus / Antimalware centralisé et administré pour toutes les ressources Console antivirale (MAJ du document à voir)
utilisateurs adaptée, pour se protéger contre les logiciels malveillants

12.3 Sauvegarde Se protéger de la perte de données Retenue OL OB EB BP AR

Il convient de réaliser des copies de sauvegarde de l’information, des
La politique de sauvegarde prend en compte la spécificité de chaque offre client.
12.3.1 Sauvegarde des informations logiciels et des images systèmes, et de les tester régulièrement OUI X Rapports de sauvegarde
Elle prend en compte la disponibilité, l'intégrite et la rétension.
conformément à une politique de sauvegarde convenue

12.4 Journalisation et surveillance Enregistrer les événements et générer des preuves. Retenue OL OC EB BP AR
Il convient de créer, de tenir à jour et de revoir régulièrement les
journaux d’événements enregistrant les activités de l’utilisateur, les Les événements relatifs à la sécurité de l'information sont centralisés dans un outil
12.4.1 Journalisation des événements OUI X X X X X Consoles de centralisation des journaux (Splunk)
exceptions, les défaillances et les événements liés à la sécurité de de concaténation des [Link] outil est régit par une politique bien définie
l’information

Il convient de protéger les moyens de journalisation et l’information L'outil de gestion de logs est hébergé dans une architecture sécurisée
12.4.2 Protection de l’information journalisée OUI X X X Consoles de centralisation des journaux (Splunk)
journalisée contre les risques de falsification ou d’accès non autorisé (redondance,chiffrement des flux et des disques, gestion des accès, sauvegarde)

Il convient de journaliser les activités de l’administrateur système et de

Un rapport l automatique des journaux administrateurs et opérateurs
12.4.3 Journaux administrateur et opérateur l’opérateur système, ainsi que de protéger et de revoir régulièrement OUI X X X Rapport comptes administrateurs (Splunk)
est produit mensuellement
les journaux.

Il convient de synchroniser les horloges de l’ensemble des systèmes

12.4.4 Synchronisation des horloges de traitement de l’information concernés d’une organisation ou d’un OUI X X X Une synchronisation NTP est configurée sur tous les actifs Stratégies de groupes et doc NTP
domaine de sécurité sur une source de référence temporelle unique

12.5 Maîtrise des logiciels en exploitation Garantir l’intégrité des systèmes en exploitation Retenue OL OC EB BP AR
Un outil et une Console centralisée permette une gestion d'inventaire des logiciels en exploitation.
Il convient de mettre en oeuvre des procédures pour contrôler Des Template d'installation sont utilisés pour la configurationdes serveurs virtuels
12.5.1 Installation de logiciels sur des systèmes en exploitation OUI X X Consoles d’inventaire logiciel
l’installation de logiciels sur des systèmes en exploitation.

12.6 Gestion des vulnérabilités techniques Empêcher toute exploitation des vulnérabilités techniques Retenue OL OC EB BP AR Sécurité Liée à l’Exploitation (SEPO4)

Il convient d’être informé en temps voulu des vulnérabilités

La gestion des vulnérabilité se fait par un outil de scan et par les alertes
techniques des systèmes d’information en exploitation, d’évaluer
12.6.1 Gestion des vulnérabilités techniques OUI X X remontées par les C.E.R.T. Compte Rendu des réunions de suivi sécurité des SI
l’exposition de l’organisation à ces vulnérabilités et de prendre les
Politiqe de traitement de ces vulnérabilités par périmétre en mode d'escalade
mesures appropriées pour traiter le risque associé
 Il convient d’établir et de mettre en oeuvre des règles régissant Politique de détection de shadowIT
12.6.2 Restrictions liées à l’installation de logiciels OUI X X Charte utilisation des outils
l’installation de logiciels par les utilisateurs outillage sur les postes collaborateurs
Réduire au minimum l’incidence des activités d’audit sur les
12.7 Considérations sur l’audit des systèmes d’information Retenue OL OC EB BP AR Sécurité Liée à l’Exploitation (SEPO4)
systèmes en exploitation
Pour réduire au minimum les perturbations subies par les processus
métier, il convient de planifier avec soin et d’arrêter avec les personnes Les différentes politiques (Scan) et accords (Pentest) prennent en compte les périodes d'activités des
12.7.1 Mesures relatives à l’audit des systèmes d’information OUI X X Modèles concernant les accords d’audit / Pentest
intéressées les exigences d’audit et les activités impliquant des métiers afin de minimiser les impacts
contrôles des systèmes en exploitation

13 Sécurité des communications SEPO14-Management de la sécurité des réseaux

Garantir la protection de l’information sur les réseaux et des
13.1 Gestion de la sécurité des réseaux moyens de traitement de l’information sur lesquels elle Retenue OL OC EB BP AR
s’appuie
Procédure de ségrégation des droits et des équipes.
Contrôle et logs des accès sur les équipements.
Redondance des équipes des équipements et des ressources.
Il convient de gérer et de contrôler les réseaux pour protéger Les réseaux et les liens sont supervisés par les outils de surveillance.
13.1.1 Contrôle des réseaux OUI X X Contrat de service Fournisseur Interne - DSI
l’information contenue dans les systèmes et les applications Les accès sont traçés et contrôlés
Un contrat de service portant sur la garantie de service est appliquée avec la DSI pour la partie LAN et la WAN
Cloisonnement des réseaux par la mise en place de DMZ et de VLAN.
Les réseaux et les liens sont supervisés en direct par les outils de surveillance.
Pour tous les services de réseau, il convient d’identifier les
mécanismes de sécurité, les niveaux de service et les exigences de Une convention de service interne est contractualisée annuellement avec la DSI
13.1.2 Sécurité des services de réseau OUI X X Les réseaux et les liens sont supervisés en direct par les outils de surveillance.
gestion, et de les intégrer dans les accords de services de réseau, que Elle prend en compte la sécurité des réseaux
ces services soient fournis en interne ou externalisés

Il convient que les groupes de services d’information, d’utilisateurs et

13.1.3 Cloisonnement des réseaux OUI X X Cloisonnement des réseaux par la mise en place de DMZ et de VLAN. Documents d’architecture réseau
de systèmes d’information soient cloisonnés sur les réseaux

Maintenir la sécurité de l’information transférée au sein de

13.2 Transfert de l’information Retenue OL OC EB BP AR SEPO2- Transfert et chiffrement de l'information
l’organisation et vers une entité extérieure.
Il convient de mettre en place des politiques, des procédures et des
Une politique énonçant les régles de chiffrements et de sécurité
mesures de transfert formelles pour protéger les transferts
13.2.1 Politiques et procédures de transfert de l’information OUI X X des communications est établie.
d’information transitant par tous types d’équipements de
Elle est révisée périodiquement.
communication
Il convient que les accords traitent du transfert sécurisé de Les protocoles sécurisés d'échanges utilisés avec les tiers permetteent
13.2.2 Accords en matière de transfert d’information OUI X X X
l’information liée à l’activité entre l’organisation et les tiers de garantir l'intégrité , la confidentialité et la non répudiation des informations
La messagerie électronique n'utilise que
Il convient de protéger de manière appropriée l’information transitant
13.2.3 Messagerie électronique OUI X X des processus sécurisé (flux , authentification) Configuration serveur de messagerie
par la messagerie électronique

Il convient d’identifier, de revoir régulièrement et de documenter les

L’ensemble du personnel Cegid intervenant sur des données confidentielles signe
exigences en matière d’engagements de confidentialité ou de non-
13.2.4 Engagements de confidentialité ou de non-divulgation OUI X X X un engagement de confidentialité sans limite de temps, impliquant des mesures disciplinaires ou Processus RH
divulgation, conformément aux besoins de l’organisation en matière
poursuites en cas de non-respect.
de protection de l’information

14 Acquisition, développement et maintenance des systèmes d’information SEPO8-Politique de sécurité de l'information dans la gestion de projet
Veiller à ce que la sécurité de l’information fasse partie
intégrante des systèmes d’information tout au long de leur
14.1 Exigences de sécurité applicables aux systèmes d’information cycle de vie. Cela inclut notamment des exigences Retenue OL OC EB BP AR SEPO2- Transfert et chiffrement de l'information
spécifiques pour les systèmes d’information fournissant des
services sur les réseaux publics.

Il convient que les exigences liées à la sécurité de l’information

Des procédures formalisée sur la sécurité sont intégrées dans
14.1.1 Analyse et spécification des exigences de sécurité de l’information figurent dans les exigences des nouveaux systèmes d’information ou OUI X X Questionnaires d’expression des besoins sécurité du projet
tous les projets et tout au long du cycle de vie du projet
des changements apportés aux systèmes existants

Il convient de protéger l’information liée aux services d’application

Protection périmétrique des accès au réseaux publics (Pare Feu , Sonde IDS/IPS )
transmise sur les réseaux publics contre les activités frauduleuses, les
14.1.2 Sécurisation des services d’application sur les réseaux publics OUI X X X Chiffrement des flux par certificats issus d'une autotité de certification reconnue, les clés sont Politique de transfert et chiffrement de l’information
différends contractuels, ainsi que la divulgation et la modification non
stockées dans un coffre fort numérique
autorisées.
Il convient de protéger l’information impliquée dans les transactions
liées aux services d’application pour empêcher une transmission Utilisation de protocoles sécurisés garantissant une transmission
14.1.3 Protection des transactions liées aux services d’application incomplète, des erreurs d’acheminement, la modification non OUI X X complète sans modification,possible de l'information et interdisant, la modification non autorisée, la
autorisée, la divulgation non autorisée, la duplication non autorisée du divulgation non autorisée, la duplication non autorisée .
message ou sa réémission.

S’assurer que les questions de sécurité de l’information sont

14.2 Sécurité des processus de développement et d’assistance technique étudiées et mises en oeuvre dans le cadre du cycle de Retenue OL OC EB BP AR SEPO15 - Politique de développement sécurisé
développement des systèmes d’information

Il convient d’établir des règles de développement des logiciels et des

14.2.1 Politique de développement sécurisé OUI X X Une politique décrit et cadre la sécurité des processus de développement STRATUS
systèmes, et de les appliquer aux développements de l’organisation

Il convient de contrôler les changements apportés au système dans le

Les changments standards sont opérés via le worflow de l'orchestrateur
14.2.2 Procédures de contrôle des changements de système cycle de développement en utilisant des procédures formelles de OUI X
de la plateforme. Les changements non standard sont traités par le processus de change
contrôle des changements
Lorsque des changements sont apportés aux plateformes
d’exploitation, il convient de revoir et de tester les applications Les mises à jour matériel et/ou systéme sont testés sur des groupes pilotes avant
14.2.3 Revue technique des applications après changement apporté à la plateformed’exploitation OUI X X Processus de mises à jour des systèmes
critiques métier afin de vérifier l’absence de tout effet indésirable sur application sur les environnements de production
l’activité ou sur la sécurité
Il convient de ne pas encourager la modification des progiciels et de
se limiter aux changements
14.2.4 Restrictions relatives aux changements apportés aux progiciels OUI X Tous les changements relatifs aux scrips et automates sont consignés dans un git Pas de modification du code des progiciels utilisés
nécessaires. Il convient également d’exercer un contrôle strict sur ces
changements

Il convient d’établir, de documenter, de tenir à jour et d’appliquer des

14.2.5 Principes d’ingénierie de la sécurité des systèmes principes d’ingénierie de la sécurité des systèmes à tous les travaux de OUI X X Les scripts et automates sont normalisés et testés avant mise en production Formation/Sensibilisation
mise en oeuvre de systèmes d’information.
 Il convient que les organisations établissent un environnement de
développement sécurisé pour les tâches de développement et
14.2.6 Environnement de développement sécurisé d’intégration du système, qui englobe l’intégralité du cycle de OUI X X Gérer par le workflow AzureDevOps et les serveurs de développement Architecture Réseaux
développement du système, et qu’ils en assurent la protection de
manière appropriée
Il convient que l’organisation supervise et contrôle l’activité de Une convention de service interne avec les BU de développement
14.2.7 Développement externalisé OUI X X
développement du système externalisé supervise et contôle les activités et applications externes au SMSI
Il convient de réaliser les tests de fonctionnalité de la sécurité pendant
14.2.8 Test de la sécurité du système OUI X X
le développement
Les phases de test et les tests de conformité sont assurés dans
Il convient de déterminer des programmes de test de conformité et
le workflow AzureDevOps
14.2.9 Test de conformité du système des critères associés pour les nouveaux systèmes d’information, les OUI X X Résultat Scan vulnérabilité (I/O Tenable)
mises à jour et les nouvelles versions

14.3 Données de test Garantir la protection des données utilisées pour les tests Retenue OL OC EB BP AR

Il convient que les données de test soient sélectionnées avec soin,

14.3.1 Protection des données de test OUI X X Gérer par le workflow AzureDevOps et les serveurs de développement Journalisation de la copie
protégées et contrôlées
15 Relations avec les fournisseurs SEP013-Relaion avec les fournisseurs
Garantir la protection des actifs de l’organisation accessibles
15.1 Sécurité dans les relations avec les fournisseurs Retenue OL OC EB BP AR
aux fournisseurs
Il convient de convenir avec le fournisseur les exigences de sécurité de La poltique de sécurité dans les relations fournisseurs prend en compte et décrit
15.1.1 Politique de sécurité de l’information dans les relations avec les fournisseurs l’information pour limiter les risques résultant de l’accès du OUI X X X X X les besoins et mesures de sécurité nécessaires pour respecter les obligations
fournisseur aux actifs de l’organisation et de les documenter. légales, réglementaires et contractuelles de Cegid

Il convient que les exigences applicables liées à la sécurité de

l’information soient établies et convenues avec chaque fournisseur
Cegid s'assure de l'implication de ses fournisseurs dans la sécurité du service
15.1.2 La sécurité dans les accords conclus avec les fournisseurs pouvant avoir accès, traiter, stocker, communiquer ou fournir des OUI X X X X
délivré au travers de certification et d'engagement contractuel
composants de l’infrastructure informatique destinés à l’information
de l’organisation
Il convient que les accords conclus avec les fournisseurs incluent des Cegid s'assure de l'implication de ses fournisseurs dans la sécurité du service
exigences sur le traitement des risques de sécurité de l’information délivré au travers de certification et d'engagement contractuel
15.1.3 Chaine d’approvisionnement des produits et des services informatique OUI X X X X
associés à la chaîne d’approvisionnement des produits et des services Pour les activités historiques de Talentsoft, il n'y a pas d'approvisionnement dans le cadre de la
informatiques production, celle-ci est sous la responsabilité de Quadria. Cette exigence n'est donc pas incluse.

Maintenir un niveau convenu de sécurité de l’information et

15.2 Gestion de la prestation du service de prestation de services, Retenue OL OC EB BP AR
conformément aux accords conclus avec les fournisseurs
Il convient que les organisations surveillent, revoient et auditent à
15.2.1 Surveillance et revue des services des fournisseurs intervalles réguliers la prestation des OUI X X X X
services assurés par les fournisseurs
Il convient de gérer les changements effectués dans les prestations de Des comités de pilotage de la sécurité sont planifiés et organisés
service des fournisseurs, y compris le maintien et l’amélioration des de façon récurrente avec les fournisseurs. Des audits permettent CR Comité de sécurité Kyndryl/Microsoft
politiques, procédures et mesures existant en matière de sécurité de l'évaluation de l'évolution et des changements dans le cadre contractuel
15.2.2 Gestion des changements apportés dans les services des fournisseurs OUI X X X
l’information, en tenant compte du caractère critique de l’information,
des systèmes et des processus concernés et de la réappréciation du
risque
16 Gestion des incidents liés à la sécurité de l’information SEPS3-Gestion des incidents de sécurité
Garantir une méthode cohérente et efficace de gestion des
incidents liés à la sécurité de
16.1 Gestion des incidents liés à la sécurité de l’information et améliorations Retenue OL OC EB BP AR
l’information, incluant la communication des événements et
des failles liés à la sécurité
Il convient d’établir des responsabilités et des procédures permettant
16.1.1 Responsabilités et procédures de garantir une réponse rapide, OUI X X X X
efficace et pertinente en cas d’incident lié à la sécurité de l’information

Il convient de signaler, dans les meilleurs délais, les événements liés à

16.1.2 Signalement des événements liés à la sécurité de l’information la sécurité de l’information, par les OUI X X X X
voies hiérarchiques appropriées Processus de gestion des incidents de sécurité en conformaité avec ISO 27035 comprenant
Il convient d’enjoindre tous les salariés et contractants utilisant les Signalement de l'événement de sécurité
systèmes et services d’information Préqualification de l'événement
16.1.3 Signalement des failles liées à la sécurité de l’information OUI X X X X
de l’organisation à noter et à signaler toute faille de sécurité observée Phase de qualification
ou soupçonnée dans les systèmes ou services Investigation
Il convient d’apprécier les événements liés à la sécurité de
Communication / Déclaration
16.1.4 Appréciation des événements liés à la sécurité de l’information et prise de décision l’information et de décider s’ils doivent être OUI X X X X Stratus
Traitement
classés comme incidents liés à la sécurité de l’information
Retour d'expérience
Il convient de répondre aux incidents liés à la sécurité de l’information
Clôture de l'incident
16.1.5 Réponse aux incidents liés à la sécurité de l’information conformément aux procédures OUI X X X X
Une matrice de type RACI détermine les rôles et responsabilité pour chaque phase
documentées.
Il convient de tirer parti des connaissances recueillies suite à l’analyse Une revue hebdomadaire des incidents est effectuée

et la résolution des incidents liés

16.1.6 Tirer des enseignements des incidents liés à la sécurité de l’information OUI X X X X
à la sécurité de l’information pour réduire la probabilité ou les
conséquences d’incidents ultérieurs
Il convient que l’organisation définisse et applique des procédures
d’identification, de recueil,
16.1.7 Collecte de preuves OUI X X X X
d’acquisition et de protection de l’information pouvant servir de
preuve
17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité SEIT25-Gestion de crise SaaS
Il convient que la continuité de la sécurité de l’information
17.1 Continuité de la sécurité de l’information fasse partie intégrante des systèmes Retenue OL OC EB BP AR
de gestion de la continuité de l’activité
Il convient que l’organisation détermine ses exigences en matière de
sécurité de l’information et de Une politique de continuité des affaires encadre l'organisation
17.1.1 Organisation de la continuité de la sécurité de l’information continuité du management de la sécurité de l’information dans des OUI X X X et les processus de continuité de la sécurtité de l'information
situations défavorables, comme lors Un processus "code rouge" réglemente la gestion de crise
d’une crise ou d’un sinistre
 Il convient que l’organisation établisse, documente, mette en oeuvre
et maintienne à jour des processus, Différents processus permettent la continuité de la sécurité de l'information
17.1.2 Mise en oeuvre de la continuité de la sécurité de l’information des procédures et des mesures permettant de garantir le niveau OUI X X X (Sauvegarde des données , résilience des infrastructures et des ressources humaines , administration Gestion des incidents / Code Rouge
requis de continuité de la sécurité de des outils de production sécurisée à distance)
l’information au cours d’une situation défavorable
Il convient que l’organisation vérifie à intervalles réguliers les mesures
de continuité de la sécurité de
17.1.3 Vérifier, revoir et évaluer la continuité de la sécurité de l’information l’information déterminées et mises en oeuvre, afin que s’assurer OUI X X X La continuité de la sécurité des informations est évaluée de façon récurrente
qu’elles restent valables et efficaces
dans des situations défavorables
Garantir la disponibilité des moyens de traitement de
17.2 Redondances Retenue OL OC EB BP AR
l’information
Il convient de mettre en oeuvre des moyens de traitement de Des mécanismes de redondance et de résilience des architectures
17.2.1 Disponibilité des moyens de traitement de l’information l’information avec suffisamment de OUI X X X X et des équipes sont actifs de bout en bout. Documents d’architectures SaaS
redondances pour répondre aux exigences de disponibilité Il y a une supervision constante de ces mécanismes
18 Conformité SEPO10-Gestion de la conformaité et des audits
Éviter toute violation des obligations légales, statutaires,
réglementaires ou contractuelles
18.1 Conformité aux obligations légales et réglementaires Retenue OL OC EB BP AR
relatives à la sécurité de l’information, éviter toute violation
des exigences de sécurité.
Il convient, pour chaque système d’information et pour l’organisation
elle-même, de définir, documenter
et mettre à jour explicitement toutes les exigences légales, Le processus juridique du groupe Cegid définis, documente et met à jours
18.1.1 Identification de la législation et des exigences contractuelles applicables OUI X X X X Processus Juridique
réglementaires et contractuelles en vigueur, toutes les exigences légales, réglementaires et contractuelles applicables au SMSI
ainsi que l’approche adoptée par l’organisation pour satisfaire à ces
exigences
Il convient de mettre en oeuvre des procédures appropriées visant à
Cegid Cloud Factory s'engage à garantir la conformité avec les exigences légales, réglementaire et
garantir la conformité avec les
contractuelles relatives aux droits de la propriété intellectuelle et à l’utilisation des logiciels propriétaires.
18.1.2 Droits de propriété intellectuelle exigences légales, réglementaires et contractuelles relatives aux droits OUI X X X X Registre des licences
Les logiciels sont acquis à partir de sources connues et réputées afin de s’assurer du respect des droits
de propriété intellectuelle et à
d’auteur.
l’utilisation de logiciels propriétaires
Il convient de protéger les enregistrements de la perte, de la
destruction, de la falsification, des accès
Les enregistrements sont protégés de la perte, de la destruction,
18.1.3 Protection des enregistrements non autorisés et des diffusions non autorisées conformément aux OUI X X X
de la falsification, des accès non autorisés et des diffusions non autorisés.
exigences légales, réglementaires,
contractuelles et aux exigences métier
Il convient de garantir la protection de la vie privée et la protection
Le règlement général sur la protection des données personnelles est applicable
des données à caractère personnel
18.1.4 Protection de la vie privée et protection des données à caractère personnel OUI X X X X sur le périmètre depuis le 25 mai 2018. Dans ce cadre, Cegid a nommé un DPO
telles que l’exigent la législation et les réglementations applicables, le
qui est en charge de suivre le sujet de manière transverse au niveau du groupe
cas échéant
Il convient de prendre des mesures cryptographiques conformément Cegid Cloud Factory respecte les accords, lois et réglementations applicables
18.1.5 Réglementation relative aux mesures cryptographiques aux accords, lois et OUI X relatives à la cryptographies. Cegid n’importe pas ou n’exporte pas de solution
réglementations applicables de cryptographie.
Garantir que la sécurité de l’information est mise en oeuvre
18.2 Revue de la sécurité de l’information et appliquée conformément aux Retenue OL OC EB BP AR
politiques et procédures organisationnelles
Il convient de procéder à des revues régulières et indépendantes de
l’approche retenue par l’organisation
pour gérer et mettre en oeuvre la sécurité de l’information (à savoir le
18.2.1 Revue indépendante de la sécurité de l’information suivi des objectifs, les mesures, les OUI X X
politiques, les procédures et les processus relatifs à la sécurité de
l’information) à intervalles définis ou Cegid Cloud Factory réalise au moins une fois par an un audit interne
lorsque des changements importants sont intervenus du système d’information. Une revue de Direction est planifiée à l'issus
Il convient que les responsables revoient régulièrement la conformité
du traitement de l’information
18.2.2 Conformité avec les politiques et les normes de sécurité et des procédures dont ils sont chargés au regard des politiques, des OUI X Indicateurs et Objectifs SMSI
normes de sécurité applicables et
autres exigences de sécurité
Il convient que les systèmes d’information soient régulièrement revus
pour vérifier leur conformité avec
18.2.3 Vérification de la conformité technique OUI X X X Une politique de pentests et d'audit technique permet d'identifier les écatrs Rapport de Scan
les politiques et les normes de sécurité de l’information de
l’organisation