• GOV_01{{CLIENT_NAME}} dispose d'une PSSI formalisée.
• GOV_02La PSSI est validée par la direction.
• GOV_03La PSSI est remise à chaque collaborateur lors de son arrivée.
• GOV_04La PSSI est accessible à tout moment dans l'espace documentaire de l'entreprise.
• GOV_05La PSSI fait l'objet d'une révision annuelle.
• GOV_06La PSSI est révisée en cas d'évolution significative de l'organisation, de la réglementation ou de l'environnement technique.

• PSSI signée par le dirigeant.
• Accusés de réception signés par chaque collaborateur.
• Historique des versions documentées.

• Présente PSSI.
• Charte utilisateur informatique.
• Registre des signatures collaborateurs.

• GOV_07Le dirigeant est responsable de la sécurité de l'information au sein de {{CLIENT_NAME}}.
• GOV_08Le dirigeant valide les politiques de sécurité et s'assure de leur application.
• OPTIONGOV_09Le dirigeant délègue l'implémentation et la gestion des mesures techniques de sécurité du système d'information à {{PRESTATAIRE}}.
• GOV_10Les rôles et responsabilités en matière de sécurité sont connus de l'ensemble des collaborateurs.

• Désignation formelle du responsable sécurité.
• Contrat de prestation MSP le cas échéant.

• Présente PSSI.
• Contrat de prestation de services informatiques.

• GOV_11{{CLIENT_NAME}} identifie les opérations sensibles nécessitant une séparation des tâches.
• OPTIONGOV_12Les tâches critiques sont réparties entre plusieurs personnes habilitées.
• GOV_13Lorsque la séparation des tâches n'est pas possible, un message de confirmation explicite est demandé avant toute réalisation d'une opération sensible.
• GOV_14Les opérations critiques font l'objet d'une double validation lorsqu'au moins deux personnes habilitées sont disponibles.

• Liste des opérations sensibles identifiées.
• Procédure de validation des opérations critiques.

• Présente PSSI.

• GOV_15La direction alloue les ressources nécessaires à la mise en oeuvre de la politique de sécurité, selon son appréciation du risque couru par l'entreprise.
• GOV_16La direction remet la présente PSSI à chaque collaborateur et s'assure de son accusé de réception signé.
• GOV_17La direction rappelle les règles et bonnes pratiques de sécurité lorsqu'elle constate un manquement.
• GOV_18La direction décide in fine des mesures de sécurité mises en oeuvre au sein de {{CLIENT_NAME}}.

• PSSI signée par le dirigeant.
• Accusés de réception de la PSSI signés par chaque collaborateur.

• Présente PSSI.
• Registre des signatures collaborateurs.

• GOV_19La sécurité de l'information fait l'objet d'un audit par un prestataire externe indépendant tous les 5 ans.
• GOV_20Le périmètre technique fait l'objet de tests d’intrusion à minima annuels. Les résultats sont documentés et les points d’amélioration identifiés sont traités.
• GOV_21Un prestataire transmet annuellement son rapport de conformité couvrant le périmètre technique géré au sein de {{CLIENT_NAME}}.

• Rapport d'audit.
• Date et périmètre du dernier audit.
• OPTION — Rapport de conformité prestataire.

• Présente PSSI.
• Rapport d'audit.
• OPTION — Rapport de conformité prestataire.

• GOV_22{{CLIENT_NAME}} vérifie annuellement que ses pratiques sont conformes à la présente PSSI.
• OPTIONGOV_23Un prestataire réalise annuellement une vérification de conformité du périmètre technique géré au sein de {{CLIENT_NAME}} et en transmet le résultat à la direction.

• Résultats de la vérification annuelle de conformité.
• OPTION — Rapport de conformité prestataire.

• Présente PSSI.
• OPTION — Rapport de conformité prestataire.

• GOV_24Les procédures d'exploitation du système d'information sont formalisées et documentées.
• GOV_25Les procédures sont accessibles aux personnes habilitées.
• GOV_26Les procédures sont mises à jour en cas d'évolution significative du système d'information.

• Procédures d'exploitation documentées et datées.
• Historique des mises à jour.

• Procédures d'exploitation.
• PCA/PRI.

• EXT_01{{CLIENT_NAME}} maintient les coordonnées des autorités compétentes suivantes :
• CNIL — cnil.fr / notifications.cnil.fr
• Cybermalveillance.gouv.fr
• ANSSI — anssi.fr
• Police / Gendarmerie — 17 ou gendarmerie.interieur.gouv.fr
• CNB — cnb.avocat.fr (avocats)
• Conseil National de l'Ordre des Médecins — conseil-national.medecin.fr (médecins)
• Agence Régionale de Santé (médecins)
• Ordre des Experts-Comptables — experts-comptables.fr (experts-comptables)
• EXT_02En cas de violation de données personnelles, la CNIL est notifiée dans les 72 heures (article 33 RGPD).
• EXT_03En cas de risque élevé pour les personnes concernées, celles-ci sont informées dans les meilleurs délais (article 34 RGPD).
• EXT_04Tout incident cyber fait l'objet d'un signalement sur cybermalveillance.gouv.fr.
• OPTIONEXT_05Pour les médecins : tout incident SI est notifié à l'ARS compétente (article L.1111-8-2 du Code de la Santé Publique).

• Liste des contacts autorités documentée et à jour.
• Registre des violations de données.
• Preuves de notification le cas échéant.

• Présente PSSI.
• Registre des violations de données RGPD.
• Procédure de gestion des incidents.

• EXT_06{{CLIENT_NAME}} s'informe régulièrement des menaces et bonnes pratiques de sécurité via des sources reconnues.
• EXT_07Les alertes et bulletins de sécurité pertinents sont transmis à la direction.
• OPTIONEXT_08{{CLIENT_NAME}} participe à des groupes ou associations professionnelles partageant des informations sur les menaces cyber.

• Abonnement aux alertes ANSSI / CERT-FR.
• Traces de transmission des alertes pertinentes à la direction.

• Présente PSSI.

• EXT_09{{CLIENT_NAME}} identifie les fournisseurs ayant accès à ses systèmes d'information ou à ses données.
• EXT_10Les risques liés à la sécurité sont évalués pour les fournisseurs ayant accès aux données ou aux systèmes de {{CLIENT_NAME}}. À minima, les questions suivantes doivent être examinées : le fournisseur garantit-il la confidentialité des données ? Où sont hébergées les données ? Dispose-t-il d'une politique de sécurité ou d'une certification reconnue ? Quelles mesures en cas d'incident ? Que se passe-t-il en fin de contrat ?
• EXT_11Des exigences de sécurité sont définies et communiquées à chaque fournisseur concerné.
• EXT_12Un questionnaire de sécurité est transmis aux fournisseurs ayant accès aux données de {{CLIENT_NAME}}.

• Liste des fournisseurs ayant accès aux SI ou aux données.
• Questionnaires de sécurité fournisseurs complétés.
• Clauses de sécurité dans les contrats fournisseurs.

• Présente PSSI.
• Questionnaire de sécurité fournisseurs.
• Registre des fournisseurs.

• EXT_13Les contrats conclus avec les fournisseurs ayant accès aux données ou aux systèmes de {{CLIENT_NAME}} incluent des clauses de sécurité.
• EXT_14Ces clauses précisent a minima : confidentialité des données confiées, notification en cas d'incident de sécurité, conditions de restitution et suppression des données en fin de contrat, droit d'audit ou de vérification de la conformité.
• EXT_15Un accord de sous-traitance RGPD (DPA) est conclu avec tout fournisseur traitant des données personnelles pour le compte de {{CLIENT_NAME}}.

• Contrats fournisseurs incluant des clauses de sécurité.
• DPA signés avec les sous-traitants RGPD.

• Présente PSSI.
• Registre des fournisseurs.
• Modèle de clauses de sécurité fournisseurs.

• EXT_16{{CLIENT_NAME}} identifie les fournisseurs critiques dont une défaillance pourrait impacter la sécurité ou la continuité de l'activité.
• EXT_17Les fournisseurs critiques sont inclus dans le plan de continuité d'activité.
• EXT_18En cas de changement significatif chez un fournisseur critique, une réévaluation de la relation est effectuée.

• Liste des fournisseurs critiques identifiés.
• Prise en compte des fournisseurs critiques dans le PCA/PRI.

• Présente PSSI.
• PCA/PRI.
• Registre des fournisseurs.

• EXT_19{{CLIENT_NAME}} s'assure que les fournisseurs critiques continuent de satisfaire les exigences de sécurité définies lors de leur sélection.
• EXT_20Tout changement significatif chez un fournisseur critique — changement de propriétaire, modification des conditions contractuelles, incident de sécurité déclaré — fait l'objet d'une réévaluation.
• EXT_21En cas de dégradation avérée du niveau de sécurité d'un fournisseur critique, une action corrective est engagée et documentée.
• EXT_22Si aucune résolution satisfaisante n'est obtenue dans un délai raisonnable, un fournisseur alternatif est identifié.

• Traces de suivi des fournisseurs critiques.
• Documentation des réévaluations effectuées.

• Présente PSSI.
• Registre des fournisseurs.

• EXT_23{{CLIENT_NAME}} recense les services cloud utilisés dans le cadre de son activité.
• EXT_24Tout nouveau service cloud est évalué avant adoption. À minima les critères suivants sont examinés : localisation des données, conformité RGPD du prestataire, disponibilité d'un DPA, politique de sauvegarde et de restitution, conditions de sortie et portabilité des données.
• EXT_25L'utilisation de services cloud non approuvés par la direction est interdite.
• EXT_26Tout outil numérique en ligne utilisé à des fins professionnelles (messagerie, stockage, comptabilité, signature électronique, outils collaboratifs...) doit être approuvé avant utilisation.
• EXT_27L’utilisation d’outils numériques en ligne non approuvés sur les équipements professionnels est interdite.
• EXT_28Les outils numériques en ligne approuvés sont soumis aux mêmes exigences de sécurité que les autres fournisseurs (cf. 5.2.4 et 5.2.7).

• Liste des services cloud approuvés.
• DPA signés avec les prestataires cloud concernés.

• Présente PSSI.
• Registre des fournisseurs.
• Liste des services cloud approuvés.

• CTI_01{{CLIENT_NAME}} s'abonne aux alertes et bulletins de sécurité des autorités compétentes (ANSSI, CERT-FR, Cybermalveillance.gouv.fr).
• CTI_02Les alertes reçues sont examinées et les mesures correctives nécessaires sont appliquées.
• CTI_03Les informations sur les menaces sont prises en compte lors de la révision annuelle de la PSSI.
• CTI_04Une surveillance de l'exposition externe de {{CLIENT_NAME}} est assurée de manière continue (domaines typosquattés, comptes compromis, données exposées).

• Abonnements aux alertes ANSSI / CERT-FR actifs.
• Traces de traitement des alertes reçues.
• Rapports de surveillance de l'exposition externe.

• Présente PSSI.
• Rapports de surveillance de l'exposition externe.

• CTI_05Tout projet impliquant le système d'information ou des données de {{CLIENT_NAME}} intègre une réflexion sur la sécurité dès sa conception.
• CTI_06Avant l'adoption d'un nouvel outil ou service, les impacts sur la sécurité et la conformité sont examinés. À minima les points suivants sont vérifiés : nature des données traitées, criticité de l'outil pour l'activité, modalités d'accès et d'hébergement, conformité RGPD et disponibilité d'un DPA.

• Traces d'examen de sécurité avant adoption de tout nouvel outil.

• Présente PSSI.
• Questionnaire d'évaluation sécurité. (annexe)

• ACT_01{{CLIENT_NAME}} tient un inventaire des actifs informatiques incluant les postes de travail, équipements mobiles et périphériques.
• ACT_02{{CLIENT_NAME}} tient un inventaire des données et informations traitées dans le cadre de son activité.
• ACT_03L'inventaire des données précise pour chaque catégorie : la nature des données, leur localisation, leur niveau de sensibilité et leur durée de conservation.
• ACT_04L'inventaire inclut les applications et services utilisés dans le cadre de l'activité.
• ACT_05Les inventaires sont mis à jour en cas d'arrivée ou de départ d'un collaborateur, d'acquisition d'un nouvel équipement ou d'adoption d'un nouvel outil.
• ACT_06Chaque actif est associé à un responsable identifié.

• Inventaire des actifs informatiques à jour.
• Inventaire des données et informations traitées.
• Inventaire des applications et services.

• Présente PSSI.
• Inventaire des actifs.
• Registre des traitements RGPD.

• ACT_07Les actifs informatiques de {{CLIENT_NAME}} sont utilisés exclusivement à des fins professionnelles.
• ACT_08Les collaborateurs sont informés des règles d'utilisation acceptable des équipements et des données.
• ACT_09L'installation de logiciels non approuvés sur les équipements de {{CLIENT_NAME}} est interdite.
• ACT_09b — L'utilisation de services SaaS, applications web ou outils en ligne non approuvés par la direction pour traiter des données de {{CLIENT_NAME}} est interdite.
• ACT_10L'accès aux données de {{CLIENT_NAME}} depuis des équipements personnels est interdit par défaut. Une dérogation documentée peut être accordée par la direction sous conditions minimales de sécurité (MFA actif, antivirus à jour, chiffrement du poste).

Note : cette interdiction couvre notamment les assistants IA et chatbots en ligne (ex. : ChatGPT, Gemini, Copilot personnel), ainsi que les services SaaS de traitement de documents (conversion PDF, OCR, traduction en ligne, etc.) qui traitent les fichiers transmis sur des serveurs tiers.

• Charte utilisateur signée par chaque collaborateur.
• Liste des logiciels approuvés.
• Dérogations BYOD documentées le cas échéant.

• Présente PSSI.
• Charte utilisateur informatique.

• ACT_11À la fin du contrat ou de la mission d'un collaborateur, l'ensemble des équipements et actifs informatiques confiés sont restitués à {{CLIENT_NAME}}.
• ACT_12Les accès aux systèmes d'information sont révoqués au plus tard le jour du départ du collaborateur.
• ACT_13Avant le départ d'un collaborateur, la direction s'assure que les dossiers en cours, informations métiers et accès nécessaires à la continuité de l'activité ont été transmis ou documentés.
• ACT_14Une procédure de départ formalisée est appliquée pour chaque collaborateur quittant {{CLIENT_NAME}}.

• Procédure de départ documentée et appliquée.
• Traces de révocation des accès.
• Accusé de restitution des équipements signé.

• Présente PSSI.
• Procédure d'offboarding collaborateur.

• ACT_15{{CLIENT_NAME}} applique la classification des informations suivante : PUBLIC — toute personne peut diffuser librement sans restriction. INTERNE — tout collaborateur peut partager avec des tiers sous sa responsabilité, le destinataire externe ne pouvant pas rediffuser sans autorisation. CONFIDENTIEL — seul le propriétaire du document ou la direction est habilité à diffuser, toute transmission nécessitant une autorisation explicite.
• ACT_16Les données à caractère personnel sont classifiées au niveau CONFIDENTIEL.
• ACT_17Chaque collaborateur connaît les niveaux de classification et les règles de diffusion associées.

• Grille de classification documentée.
• Charte utilisateur mentionnant les niveaux de classification et les règles de diffusion.

• Présente PSSI.
• Charte utilisateur informatique.

• ACT_18Tout document produit par {{CLIENT_NAME}} est marqué avec son niveau de classification.
• ACT_19Le marquage est apposé de manière visible sur le document (en-tête ou pied de page).
• ACT_20Le niveau de classification est également renseigné dans les métadonnées du document.
• ACT_21Lorsque le marquage visible n'est pas possible (document officiel, formulaire tiers...), le niveau de classification est indiqué dans le nom du fichier (ex : NomFichier_CONFIDENTIEL.pdf).
• ACT_22Les niveaux de marquage utilisés sont : PUBLIC — INTERNE — CONFIDENTIEL.
• ACT_23En l'absence de marquage, le document est considéré comme INTERNE par défaut.

• Documents comportant un marquage visible ou dans le nom de fichier.
• Métadonnées de classification renseignées.

• Présente PSSI.
• Charte utilisateur informatique.

• ACT_24Le transfert des informations respecte les règles suivantes selon le niveau de classification : PUBLIC — tous les canaux sont autorisés sans condition. INTERNE — le transfert à des tiers est autorisé sous la responsabilité de l'émetteur, le destinataire devant être informé de l'interdiction de rediffusion. CONFIDENTIEL — le transfert est autorisé uniquement par le propriétaire ou la direction, via un canal garantissant le chiffrement en transit et la traçabilité (accusé de réception, horodatage, identité du destinataire vérifiée).
• ACT_25Le transfert de documents CONFIDENTIELS par email standard non chiffré est interdit.
• ACT_26Les supports amovibles ne peuvent pas être utilisés pour transférer des données CONFIDENTIELLES sans autorisation explicite de la direction.
• ACT_27Tout transfert de données à caractère personnel vers un destinataire externe respecte les obligations du RGPD.
• Note : les services de partage grand public (WhatsApp, WeTransfer, Google Drive personnel...) ne constituent pas des canaux sécurisés au sens de cette politique.

• Charte utilisateur mentionnant les règles de transfert.
• Traces de transferts sécurisés pour les documents CONFIDENTIELS.

• Présente PSSI.
• Charte utilisateur informatique.

• ACC_01L'accès aux systèmes d'information de {{CLIENT_NAME}} est accordé sur la base du besoin réel et du principe du moindre privilège.
• ACC_02Les droits d'accès sont définis par la direction et attribués individuellement à chaque collaborateur.
• ACC_03Les accès sont revus lors de tout changement de poste, de mission ou de départ d'un collaborateur.
• ACC_04Les comptes partagés entre plusieurs utilisateurs sont identifiés et documentés.
• ACC_05Pour chaque compte partagé, la liste des personnes ayant accès est maintenue à jour.
• ACC_06Les secrets d'authentification des comptes partagés sont transmis et stockés via un moyen approprié garantissant la confidentialité (gestionnaire de mots de passe dédié).
• ACC_07En cas de départ d'un collaborateur ayant accès à un compte partagé, les secrets d'authentification sont renouvelés sans délai.

• Matrice des droits d'accès documentée.
• Liste des comptes partagés et des personnes y ayant accès.
• Traces de révision des accès lors des changements.

• Présente PSSI.
• Matrice des droits d'accès.
• Procédure d'offboarding collaborateur.

• ACC_08Chaque collaborateur dispose d'une identité numérique unique au sein de {{CLIENT_NAME}}.
• ACC_09L'identité numérique regroupe l'ensemble des comptes et accès attribués au collaborateur selon son rôle.
• ACC_10Les comptes associés à une identité sont créés lors de l'arrivée du collaborateur et désactivés au plus tard le jour de son départ.
• ACC_11Un collaborateur exerçant plusieurs rôles peut disposer de plusieurs comptes distincts, chacun limité aux droits nécessaires à ce rôle.
• ACC_12Un inventaire des identités et des comptes associés est tenu à jour.
• ACC_13Les comptes inactifs depuis plus de 90 jours sont désactivés.

• Inventaire des identités et comptes associés à jour.
• Traces de création et désactivation des comptes.
• Absence de comptes inactifs non désactivés.

• Présente PSSI.
• Procédure d'onboarding collaborateur.
• Procédure d'offboarding collaborateur.

• ACC_14Chaque collaborateur est responsable de la confidentialité de ses secrets d'authentification.
• ACC_15Les secrets d'authentification ne sont jamais communiqués à un tiers, y compris au support informatique.
• ACC_16Les mots de passe respectent les exigences minimales de complexité définies par l'organisation.
• ACC_17Un gestionnaire de mots de passe est utilisé pour stocker et générer les secrets d'authentification.
• ACC_18L'authentification multifacteur (MFA) est activée sur tous les comptes donnant accès aux systèmes d'information de {{CLIENT_NAME}}.
• ACC_19Les secrets d'authentification par défaut des équipements et services sont modifiés lors de leur mise en service.
• ACC_20L'authentification unique (SSO) est privilégiée pour l'accès aux applications et services, afin de réduire le nombre de secrets d'authentification gérés par les collaborateurs.
• ACC_21Les applications compatibles SSO sont configurées pour s'appuyer sur l'annuaire d'entreprise comme source d'authentification de référence.

• Politique de mots de passe configurée et appliquée.
• MFA activé sur l'ensemble des comptes.
• Gestionnaire de mots de passe déployé.

• Présente PSSI.
• Charte utilisateur informatique.

• ACC_22Les droits d'accès sont attribués sur la base du rôle et des besoins réels du collaborateur.
• ACC_23Toute demande d'attribution, modification ou révocation de droits d'accès fait l'objet d'une demande formelle validée par la direction.
• ACC_24Les droits d'accès sont révisés au minimum une fois par an.
• ACC_25Les droits d'accès sont révisés immédiatement en cas de changement de poste ou de départ d'un collaborateur.
• ACC_26Les droits d'accès privilégiés (administrateurs) sont strictement limités aux personnes habilitées et font l'objet d'une révision renforcée.
• ACC_27Les droits d'accès non utilisés sont identifiés lors de la révision annuelle et révoqués si le besoin n'est plus justifié.

• Matrice des droits d'accès à jour.
• Traces de révision annuelle des droits.
• Traces de révocation lors des départs.

• Présente PSSI.
• Matrice des droits d'accès.
• Procédure d'onboarding et offboarding collaborateur.

• INC_01{{CLIENT_NAME}} dispose d'une procédure de gestion des incidents de sécurité formalisée.
• INC_02Les rôles et responsabilités en cas d'incident sont définis et connus des collaborateurs.
• INC_03Tout collaborateur ayant connaissance d'un incident ou d'une suspicion d'incident est tenu de le signaler sans délai.
• INC_04Le système d'information dispose d'outils de surveillance permettant la détection automatique d'incidents ou de comportements anormaux.
• INC_05Les incidents sont enregistrés dans un registre dédié avec leur date, nature, impact et mesures prises.

• Procédure de gestion des incidents documentée.
• Outils de détection en place et opérationnels.
• Registre des incidents à jour.

• Présente PSSI.
• Procédure de gestion des incidents.
• Registre des incidents de sécurité.

• INC_06Tout collaborateur signale sans délai tout événement suspect, inhabituel ou anormal sur son poste ou dans ses outils de travail.
• INC_07Un canal de signalement clair et accessible est mis à disposition des collaborateurs.
• INC_08Les événements signalés sont évalués pour déterminer s'ils constituent un incident de sécurité.

• Canal de signalement documenté et connu des collaborateurs.
• Traces des signalements reçus et de leur traitement.

• Présente PSSI.
• Procédure de gestion des incidents.
• Charte utilisateur informatique.

• INC_09Tout événement signalé fait l'objet d'une évaluation pour déterminer sa nature, sa gravité et son impact potentiel.
• INC_10En fonction de la gravité estimée, les actions de réponse sont priorisées et engagées sans délai.
• INC_11Les décisions prises suite à l'évaluation d'un événement sont documentées.

• Traces des évaluations réalisées.
• Décisions documentées dans le registre des incidents.

• Présente PSSI.
• Procédure de gestion des incidents.
• Registre des incidents de sécurité.

• INC_12Tout incident avéré fait l'objet d'une réponse structurée visant à limiter l'impact, résoudre le problème et rétablir le fonctionnement normal dans les meilleurs délais.
• INC_13Les parties prenantes concernées sont informées de l'incident selon sa gravité.
• INC_14Les obligations légales de notification sont respectées le cas échéant (cf. EXT_02 à EXT_05).

• Traces de la réponse à l'incident documentées.
• Notifications effectuées le cas échéant.

• Présente PSSI.
• Procédure de gestion des incidents.
• Registre des incidents de sécurité.

• INC_15Une analyse post-incident est réalisée après tout incident significatif.
• INC_16Cette analyse comprend à minima : la chronologie des événements, la raison pour laquelle l'incident a pu se produire, l'impact réel (données compromises, durée d'indisponibilité, personnes affectées) et les mesures correctives à mettre en place.
• INC_17Les mesures correctives identifiées sont suivies jusqu'à leur mise en oeuvre effective.

• Rapport post-incident documenté.
• Suivi des mesures correctives.

• Présente PSSI.
• Registre des incidents de sécurité.

• INC_18En cas d’incident avéré, les éléments pertinents (logs, captures d’écran, fichiers concernés...) sont conservés sans modification.
• INC_19Ces éléments sont stockés dans un espace sécurisé et leur accès est limité.
• INC_20Les circonstances de la collecte sont documentées (date, nature des éléments collectés, personne ayant procédé à la collecte).
• INC_21Tout vol d’équipement est immédiatement signalé à la personne en charge de la sécurité informatique, qui déclenche les mesures d’urgence appropriées.
• INC_22Un dépôt de plainte est effectué dans les meilleurs délais.
• INC_23L’effacement à distance de l’équipement volé est déclenché via la solution MDM dès que le vol est confirmé (cf. MAT_06).

• Éléments collectés documentés et conservés.

• Présente PSSI.
• Procédure de gestion des incidents.

• BCP_01{{CLIENT_NAME}} identifie les outils et systèmes dont l'indisponibilité bloquerait son activité.
• BCP_02Pour chaque élément critique, {{CLIENT_NAME}} sait comment continuer à travailler s'il devient indisponible.
• BCP_03Pour chaque élément critique, {{CLIENT_NAME}} sait qui contacter et quoi faire pour le rétablir rapidement.
• BCP_04Le plan est révisé en cas d'évolution significative des outils ou de l'organisation.

• Liste des éléments critiques et solutions de secours associées.
• Historique des révisions.

• Présente PSSI.
• Plan de continuité et de reprise d'activité.

• BCP_05Les données critiques de {{CLIENT_NAME}} font l'objet de sauvegardes régulières.
• BCP_06Les sauvegardes sont stockées dans un emplacement distinct des données d'origine.
• BCP_07Les sauvegardes sont testées périodiquement pour vérifier que la restauration est possible.
• BCP_08Les sauvegardes sont supprimées à l'issue des durées de conservation définies dans l'inventaire des données (cf. ACT_03).
• BCP_09Au moins une copie de sauvegarde est conservée de manière immuable chez un prestataire tiers dont les contrôles d’accès sont indépendants du tenant de production. Cette copie ne peut être modifiée ou supprimée depuis les systèmes de production, y compris en cas de compromission du tenant (ex. : Keepit).
• BCP_10Le plan de continuité fait l’objet d’un exercice de simulation à minima tous les deux ans. Les résultats sont documentés et les points d’amélioration identifiés sont traités.

• Politique de sauvegarde documentée.
• Traces des sauvegardes réalisées et supprimées.
• Résultats des tests de restauration.

• Présente PSSI.
• PCA/PRI.
• Inventaire des données (ACT_03).

• CPL_01{{CLIENT_NAME}} identifie les obligations légales, réglementaires et contractuelles applicables à son activité en matière de sécurité de l'information et de protection des données.
• CPL_02Ces obligations sont documentées et tenues à jour.
• CPL_03Les obligations propres au métier de {{CLIENT_NAME}} sont prises en compte (obligations ordinales, secret professionnel, obligations sectorielles).
• CPL_04{{CLIENT_NAME}} vérifie et documente que les mesures de sécurité en place lui permettent de bien répondre à ses obligations.

• Liste des obligations légales et réglementaires documentée.
• Document de traçabilité à jour.

• Présente PSSI.
• Fichier de traçabilité multi-référentiels.

• CPL_05{{CLIENT_NAME}} n'utilise pas de contenus, images, textes ou bases de données sans disposer des droits d'utilisation nécessaires.
• CPL_06Avant d'utiliser tout contenu produit par un tiers (images, textes, logiciels, bases de données...), {{CLIENT_NAME}} s'assure de disposer des droits nécessaires à cet usage.
• CPL_07{{CLIENT_NAME}} utilise uniquement des logiciels disposant de licences valides et adaptées à son usage professionnel.
• CPL_08Un inventaire des licences logicielles est tenu à jour.
• CPL_09L'installation de logiciels non licenciés est interdite.
• CPL_10Les documents et créations produits par {{CLIENT_NAME}} dans le cadre de son activité sont identifiés comme lui appartenant.

• Inventaire des licences logicielles à jour.
• Absence de logiciels non licenciés sur les postes.

• Présente PSSI.
• Inventaire des actifs (ACT_04).

• CPL_21{{CLIENT_NAME}} identifie les catégories de documents et enregistrements soumis à une obligation de conservation, qu’elle soit légale, réglementaire ou contractuelle.
• CPL_22Ces documents sont conservés dans un espace dédié, avec des droits d’accès restreints aux personnes habilitées, inclus dans le périmètre de sauvegarde, et toute consultation ou modification est tracée.
• CPL_23L’intégrité des enregistrements est garantie — ils ne peuvent pas être modifiés ou supprimés avant l’échéance de conservation.
• CPL_24À l’issue de la durée de conservation, les documents sont détruits de manière sécurisée.

• Liste des obligations de conservation par catégorie de documents.
• Traces de conservation et de destruction des enregistrements.

• Présente PSSI.
• Politique de conservation des documents.

• CPL_11{{CLIENT_NAME}} identifie les données personnelles qu'il traite dans le cadre de son activité.
• CPL_12Un registre des traitements de données personnelles est tenu à jour conformément aux exigences du RGPD.
• CPL_13Les données personnelles sont collectées pour des finalités déterminées, explicites et légitimes.
• CPL_14Les données personnelles ne sont pas conservées au-delà des durées définies dans le registre des traitements.
• CPL_15Tout sous-traitant traitant des données personnelles pour le compte de {{CLIENT_NAME}} fait l'objet d'un accord de sous-traitance (DPA) conformément à l'article 28 du RGPD.
• CPL_16En cas de violation de données personnelles, {{CLIENT_NAME}} respecte les obligations de notification prévues par le RGPD (cf. EXT_02 et EXT_03).

• Registre des traitements à jour.
• DPA signés avec les sous-traitants concernés.
• Preuves de notification en cas de violation le cas échéant.

• Présente PSSI.
• Registre des traitements RGPD.

• CPL_17{{CLIENT_NAME}} informe les personnes concernées de la collecte et du traitement de leurs données personnelles.
• CPL_18{{CLIENT_NAME}} met en place les moyens permettant aux personnes concernées d'exercer leurs droits (accès, rectification, suppression, portabilité) conformément au RGPD.
• CPL_19{{CLIENT_NAME}} ne collecte que les données strictement nécessaires à la finalité poursuivie.
• CPL_20Les données personnelles ne sont pas utilisées à des fins autres que celles pour lesquelles elles ont été collectées.

• Politique de confidentialité documentée et accessible.
• Procédure de traitement des demandes d'exercice des droits.

• Présente PSSI.
• Politique de confidentialité.
• Registre des traitements RGPD.

• REC_01Les antécédents professionnels du candidat sont vérifiés (références professionnelles, cohérence du parcours, diplômes).
• OPTIONREC_02Pour les postes ayant accès à des données confidentielles ou impliqués dans des opérations sensibles, des vérifications complémentaires peuvent être effectuées dans la limite de ce qu’autorise la réglementation : vérification du casier judiciaire, vérification d’inscription à un ordre professionnel.
• REC_03Avant toute attribution d'accès, l'identité du nouveau collaborateur est vérifiée.

• Vérifications effectuées documentées.

• Présente PSSI.

• REC_04Les contrats de travail ou lettres de mission incluent à minima : une clause de confidentialité, les obligations de sécurité applicables au poste et les conséquences en cas de manquement.
• REC_05La charte d'utilisation des outils informatiques est annexée au contrat de travail ou à la lettre de mission et signée par le collaborateur.
• REC_06Le nouveau collaborateur est informé de la politique de sécurité de {{CLIENT_NAME}} avant la prise de poste.

• Contrats de travail incluant des clauses de sécurité et de confidentialité.
• Accusé de réception de la PSSI avant prise de poste.

• Présente PSSI.
• Contrat de travail ou lettre de mission.
• Charte utilisateur informatique.

• AWR_00Une procédure d'arrivée formalisée est appliquée pour chaque nouveau collaborateur rejoignant {{CLIENT_NAME}}.
• AWR_01Les collaborateurs reçoivent une sensibilisation à la sécurité de l'information lors de leur arrivée.
• AWR_02Les collaborateurs sont informés des menaces et bonnes pratiques de sécurité de manière régulière.
• AWR_03Les collaborateurs sont informés de toute évolution significative de la politique de sécurité ou des procédures.

• Traces de sensibilisation réalisées.
• Accusés de réception des mises à jour de la PSSI.

• Présente PSSI.
• Charte utilisateur informatique.
• Procédure d'onboarding collaborateur.

• AWR_04Tout manquement avéré aux règles de sécurité fait l'objet d'une procédure disciplinaire adaptée.

• Procédure disciplinaire documentée.
• Traces des mesures disciplinaires appliquées le cas échéant.

• Présente PSSI.
• Contrat de travail.

• OFF_01Lors de tout départ ou changement de poste, les droits d'accès du collaborateur sont révoqués ou adaptés sans délai.
• OFF_02Les équipements et actifs confiés au collaborateur sont restitués avant son départ (cf. ACT_11 à ACT_14).
• OFF_03Le collaborateur est rappelé de ses obligations de confidentialité qui s'appliquent au-delà de la fin du contrat.
• OFF_04Une procédure formalisée est appliquée pour chaque départ ou changement de poste — elle couvre la restitution des accès et équipements liés à l'ancien poste ainsi que l'attribution des droits liés au nouveau poste le cas échéant.

• Procédure de départ documentée et appliquée.
• Traces de révocation ou d'adaptation des accès.
• Accusé de restitution des équipements signé.

• Présente PSSI.
• Procédure d'onboarding et offboarding collaborateur.

• OFF_05{{CLIENT_NAME}} fait signer un accord de confidentialité à toute personne tierce ayant accès à des données internes ou confidentielles, avant toute transmission.
• OFF_06L’accord précise les catégories d’informations concernées, les obligations de l’intéressé et la durée des engagements au-delà de la fin de la relation.
• OFF_07Les accords signés sont conservés et archivés.

• Accords de confidentialité signés et archivés.

• Présente PSSI.
• Modèle d’accord de confidentialité.

• TEL_01{{CLIENT_NAME}} définit les règles applicables au travail à distance et les porte à la connaissance des collaborateurs concernés.
• TEL_02Le collaborateur en télétravail s’assure que son environnement physique ne permet pas à des tiers de voir ou d’entendre des informations confidentielles.
• TEL_03L’accès aux ressources cloud et services en ligne de {{CLIENT_NAME}} depuis l’extérieur s’effectue via un canal chiffré (HTTPS).
• OPTIONTEL_04L’accès aux ressources hébergées en interne depuis l’extérieur s’effectue via un accès distant sécurisé (VPN ou équivalent).
• TEL_05Les règles de sécurité applicables au bureau (verrouillage du poste, bureau propre...) s’appliquent également en télétravail.

• Règles de télétravail documentées et signées par les collaborateurs concernés.

• Présente PSSI.
• Charte utilisateur informatique.

• INC_06Tout collaborateur signale sans délai tout événement suspect, inhabituel ou anormal sur son poste ou dans ses outils de travail.
• INC_07Un canal de signalement clair et accessible est mis à disposition des collaborateurs.

• Canal de signalement documenté et connu des collaborateurs.

• Présente PSSI.
• Charte utilisateur informatique.

• PHY_01{{CLIENT_NAME}} identifie les espaces de travail ou de stockage contenant des données confidentielles ou des équipements informatiques sensibles.
• PHY_02L'accès à ces espaces est limité aux personnes autorisées — bureau fermé à clé, armoire sécurisée le cas échéant.

• Liste des espaces sensibles identifiés.
• Mesures de protection en place.

• Présente PSSI.

• PHY_04L'accès aux locaux de {{CLIENT_NAME}} est contrôlé et limité aux personnes autorisées.
• PHY_05Les moyens d'accès physiques (clés, badges, codes) sont gérés et mis à jour lors du départ d'un collaborateur.

• Liste des personnes disposant d'un accès physique.
• Traces de mise à jour des moyens d'accès lors des départs.

• Présente PSSI.
• Procédure d'offboarding collaborateur.

• PHY_03Les visiteurs n’ont pas accès sans accompagnement aux espaces contenant des données confidentielles ou des équipements informatiques sensibles.

• Registre des accès visiteurs.

• Présente PSSI.

• PHY_09Les visiteurs accédant aux zones sécurisées sont accompagnés en permanence par un collaborateur de {{CLIENT_NAME}}.
• PHY_10Les équipements informatiques sensibles et documents confidentiels sont mis hors de portée visuelle des visiteurs.

• Règles de travail en zone sécurisée documentées et connues des collaborateurs.

• Présente PSSI.

• PHY_06Les documents contenant des informations confidentielles ne sont pas laissés sans surveillance sur les bureaux.
• PHY_07Les postes de travail sont verrouillés dès que le collaborateur s'éloigne de son poste.
• PHY_08Les documents papier contenant des informations confidentielles sont rangés ou détruits de manière sécurisée lorsqu’ils ne sont plus utilisés.

• Charte utilisateur mentionnant les règles de bureau propre et verrouillage de poste.

• Présente PSSI.
• Charte utilisateur informatique.

• PHY_11{{CLIENT_NAME}} met en place les moyens de surveillance adaptés à la sensibilité de ses locaux.
• OPTIONPHY_12Les zones sensibles font l’objet d’une surveillance par caméra ou système d’alarme.

• Moyens de surveillance en place et opérationnels.

• Présente PSSI.

• PHY_13{{CLIENT_NAME}} identifie les menaces physiques et environnementales susceptibles d’affecter ses locaux et équipements.
• PHY_14Des mesures de protection adaptées sont mises en place selon les menaces identifiées (détecteur de fumée, extincteur, protection contre les inondations...).
• PHY_15Les équipements critiques sont protégés contre les variations et coupures d’alimentation électrique.

• Présente PSSI.
• PCA/PRI.

• MAT_01Les équipements informatiques sont placés dans des espaces dont l’accès est contrôlé (cf. 7.1).
• MAT_02Les équipements sont protégés contre les dommages physiques prévisibles — chutes, liquides, chaleur excessive.
• OPTIONMAT_03Les équipements hébergeant des données confidentielles sont fixés ou sécurisés physiquement contre le vol.

• Inventaire des équipements avec leur emplacement.

• Présente PSSI.
• Inventaire des actifs.

• MAT_04Les équipements mobiles (ordinateurs portables, téléphones, tablettes) ne sont jamais laissés sans surveillance dans un lieu public ou un véhicule.
• MAT_05Les équipements mobiles contenant des données confidentielles sont chiffrés — par une solution dédiée pour les ordinateurs portables (ex. BitLocker), et par activation du chiffrement natif pour les smartphones et tablettes.
• MAT_06Les équipements mobiles sont inscrits dans une solution de gestion permettant leur effacement à distance en cas de perte ou de vol (ex. Microsoft Intune).

• Chiffrement activé et vérifié sur les équipements mobiles.
• Équipements inscrits dans la solution de gestion.

• Présente PSSI.
• Inventaire des actifs.

• MAT_07{{CLIENT_NAME}} s’assure de disposer d’une connexion internet fiable pour accéder à ses services.
• OPTIONMAT_08Les équipements critiques sont protégés contre les coupures électriques par un onduleur.
• OPTIONMAT_09En cas de défaillance de la connexion principale, un moyen de secours est identifié et disponible (partage de connexion mobile, clé 4G...).

• Équipements de protection en place le cas échéant.

• Présente PSSI.

• MAT_10Le réseau WiFi de {{CLIENT_NAME}} est sécurisé par un protocole de chiffrement fort (WPA2 ou supérieur) et un mot de passe robuste.
• MAT_11Un réseau WiFi distinct est mis en place pour les visiteurs, isolé du réseau de l’organisation.
• MAT_12Les câbles réseau et d’alimentation sont fixés et organisés de manière à éviter tout dommage accidentel ou arrachage.
• MAT_13Les credentials d’accès aux équipements réseau (WiFi, routeur, connexion de secours...) sont conservés dans un espace sécurisé accessible en cas d’incident.

• Configuration WiFi conforme aux exigences.

• Présente PSSI.

• MAT_14{{CLIENT_NAME}} identifie un moyen de remplacement rapide en cas de défaillance d’un équipement (rachat immédiat, équipement de spare...).
• MAT_15Le moyen de remplacement identifié est renseigné dans l’inventaire des actifs.

• Moyen de remplacement identifié et documenté.

• Présente PSSI.
• PCA/PRI.

• MAT_16Avant toute cession, recyclage ou mise au rebut d’un équipement, les données qu’il contient sont effacées de manière irréversible (réinitialisation complète, formatage...).
• MAT_17Les opérations d’effacement et de destruction sont tracées (date, support concerné, méthode utilisée).

• Traces des opérations d’effacement réalisées.

• Présente PSSI.
• Inventaire des actifs.

• MED_01L’utilisation de supports amovibles (clés USB, disques externes...) est encadrée et limitée aux besoins professionnels.
• MED_02Les supports amovibles contenant des données confidentielles sont chiffrés (ex. BitLocker To Go).
• MED_03Les supports amovibles perdus ou volés sont signalés sans délai comme incident de sécurité.
• MED_04La destruction des supports amovibles en fin de vie suit les mêmes règles que le matériel (cf. MAT_16 et MAT_17).
• MED_05Les documents papier contenant des informations confidentielles sont détruits par broyage ou tout autre moyen rendant leur lecture impossible.

• Règles d’utilisation des supports amovibles documentées et connues des collaborateurs.

• Présente PSSI.
• Charte utilisateur informatique.

• PAM_01Les comptes à privilèges élevés (administrateurs) sont distincts des comptes utilisateurs du quotidien.
• PAM_02Les droits d’administration sont attribués uniquement aux personnes dont le rôle le justifie.
• PAM_03Les comptes administrateurs font l’objet d’une authentification renforcée (MFA obligatoire).
• PAM_04Les actions réalisées avec un compte administrateur sont journalisées.
• PAM_05Les droits d’administration sont révoqués dès qu’ils ne sont plus nécessaires.

Note : en cas d’externalisation de l’administration des systèmes, {{CLIENT_NAME}} s’assure que le prestataire répond à ces mêmes exigences.

• Liste des comptes privilégiés à jour.
• MFA activé sur tous les comptes administrateurs.

• Présente PSSI.
• Matrice des droits d’accès.

• ACC_28L’accès aux données et applications est accordé selon le principe du moindre privilège — chaque collaborateur n’accède qu’à ce dont il a besoin pour exercer ses fonctions.
• ACC_29Les droits d’accès sont définis et documentés dans la matrice des droits d’accès.
• ACC_30Les partages de fichiers et espaces collaboratifs sont configurés pour limiter l’accès aux seules personnes concernées.

• Matrice des droits d’accès à jour.
• Configuration des droits sur les espaces de stockage conforme.

• Présente PSSI.
• Matrice des droits d’accès.

• OPTIONSRC_01L’accès aux codes sources des applications développées ou utilisées par {{CLIENT_NAME}} est restreint aux personnes dont le rôle le justifie.
• OPTIONSRC_02Les dépôts de code sont soumis aux mêmes règles de contrôle d’accès que les autres systèmes d’information.

• Droits d’accès aux dépôts de code documentés et à jour.

• Présente PSSI.

• AUT_01L’authentification multi-facteurs (MFA) est obligatoire pour tous les comptes d’accès aux systèmes de {{CLIENT_NAME}}.
• AUT_02Les mots de passe respectent une politique de complexité définie — longueur minimale, combinaison de lettres, chiffres et caractères spéciaux, absence de mots courants, non-réutilisation.
• *Recommandation : il est conseillé de laisser le gestionnaire de mots de passe générer automatiquement les mots de passe afin de garantir leur robustesse (ex. Bitwarden).*
• AUT_03Les mots de passe sont stockés dans un gestionnaire de mots de passe dédié (ex. Bitwarden).
• AUT_04Les mots de passe par défaut des équipements et services sont changés dès leur mise en service.
• AUT_05Les comptes inactifs depuis plus de 90 jours sont désactivés.
• AUT_06Les mots de passe sont renouvelés au minimum une fois par an, ou tous les 3 mois en l’absence de MFA activé.
• AUT_07Les 5 derniers mots de passe ne peuvent pas être réutilisés.
• AUT_08Après 3 tentatives de connexion échouées consécutives, un délai d’attente progressif est appliqué. Au bout de 3 séries d’échecs, une alerte est déclenchée.

Note : cette exigence va volontairement à l’encontre de certaines recommandations récentes préconisant l’abandon de la rotation périodique. Ce choix est délibéré : en cas de compromission non détectée d’un mot de passe, le renouvellement régulier limite la durée d’exposition. L’utilisation d’un gestionnaire de mots de passe (AUT_03) rend cette contrainte non gênante pour l’utilisateur.

• MFA activé sur tous les comptes.
• Gestionnaire de mots de passe déployé et utilisé.

• Présente PSSI.
• Charte utilisateur informatique.

• PAM_06L’utilisation d’outils d’administration système (scripts, outils de diagnostic, accès distant...) est réservée aux personnes autorisées.
• PAM_07Toute utilisation d’un outil à privilèges est journalisée.
• OPTIONPAM_08Les outils d’administration non nécessaires sont désinstallés ou désactivés sur les postes utilisateurs.

• Liste des outils à privilèges autorisés.
• Journaux d’utilisation disponibles.

• Présente PSSI.
• Matrice des droits d’accès.

• END_01Tous les postes de travail sont inscrits dans une solution de gestion centralisée (ex. Microsoft Intune) avant toute utilisation professionnelle.
• END_02Une configuration de sécurité de référence est appliquée sur tous les postes (hardening, désactivation des fonctionnalités inutiles, paramètres de sécurité standardisés).
• END_03Le chiffrement du disque est activé sur tous les postes (ex. BitLocker).
• END_04Le verrouillage automatique de session est configuré après une période d’inactivité définie.
• END_05L’installation de logiciels non autorisés est restreinte sur les postes utilisateurs.
• END_06Les postes sont configurés pour afficher le dernier utilisateur connecté afin de détecter toute connexion anormale.
• END_07Le fond d’écran de verrouillage affiche les coordonnées de {{CLIENT_NAME}} pour faciliter la restitution en cas de perte.
• END_08Le pare-feu local est activé sur tous les postes.
• END_09L’accès aux paramètres système sensibles est restreint aux administrateurs.
• END_10Les postes sont configurés pour se mettre à jour automatiquement (OS et applications).
• END_11Le BIOS/UEFI est protégé par un mot de passe pour empêcher le démarrage sur support externe.
• OPTIONEND_12Les fonctionnalités de partage réseau local entre postes sont désactivées — les partages cloud sécurisés (ex. OneDrive, SharePoint) sont à privilégier pour l’échange de fichiers.
• END_13L’exécution automatique des supports amovibles est désactivée sur les postes.
• OPTIONEND_14Un filtre de confidentialité est recommandé pour les collaborateurs travaillant régulièrement en mobilité ou dans des espaces ouverts.

• Tous les postes inscrits dans la solution de gestion.
• Politique de configuration appliquée et conforme.
• Chiffrement activé sur tous les postes.

• Présente PSSI.
• Politique de gestion des postes de travail.

• END_15Une solution de protection des terminaux (EDR/antivirus) est déployée et active sur tous les postes (ex. Microsoft Defender for Endpoint).
• END_16Les signatures et moteurs de détection de la solution EDR sont maintenus à jour automatiquement.
• END_17Tout incident détecté par l’EDR est traité conformément à la procédure de gestion des incidents (cf. 5.6).
• END_18Les règles de réduction de la surface d’attaque (ASR) sont activées sur les postes (ex. blocage des macros Office, protection contre les exploits...).
• END_19La protection contre le phishing et les pièces jointes malveillantes est activée sur la messagerie (ex. Defender for Office 365).
• END_20Un rapport périodique de l’état de santé des postes est produit et analysé (postes non conformes, alertes en cours, mises à jour manquantes...).

• EDR déployé et opérationnel sur tous les postes.
• Signatures à jour vérifiées.

• Présente PSSI.

• VUL_01Un scan de vulnérabilités est réalisé quotidiennement sur l’ensemble des systèmes (ex. Microsoft Defender Vulnerability Management). Les résultats sont consolidés et accessibles.
• VUL_02Les vulnérabilités identifiées sont cotées selon le score CVSS et priorisées en tenant compte du contexte (exposition, criticité du système). En l’absence de score CVSS officiel, une évaluation manuelle est réalisée.
• VUL_03Les mises à jour de sécurité sont appliquées selon leur criticité : critiques sous 72h, importantes sous 7 jours, les autres sous 15 jours.
• VUL_04Un processus de gestion des patchs est en place et tracé (ex. Windows Update for Business via Intune).
• VUL_05Les applications et systèmes en fin de support (EOL) sont identifiés et remplacés ou isolés.
• VUL_06Avant tout déploiement de mise à jour critique, un point de restauration système est créé pour permettre un retour arrière si nécessaire.

• Rapport de scan de vulnérabilités quotidien (ex. Defender VM).
• Cotation CVSS documentée et priorisation des vulnérabilités tracée.
• Tableau de bord des mises à jour conforme.
• Aucun système critique en retard de patch.

• Présente PSSI.
• Politique de patch management.

• CFG_01Une configuration de sécurité de référence est définie et documentée pour chaque type d’équipement (postes, équipements réseau...).
• CFG_02Les configurations sont déployées et maintenues via une solution de gestion centralisée (ex. Intune).
• CFG_03Tout écart par rapport à la configuration de référence est détecté et corrigé.
• CFG_04Les configurations sont révisées lors de tout changement significatif de l’environnement.

• Configuration de référence documentée.
• Conformité des postes vérifiée périodiquement.

• Présente PSSI.
• Politique de gestion des postes de travail.

• LOG_01Seuls les logiciels approuvés par {{CLIENT_NAME}} peuvent être installés sur les postes de travail.
• LOG_02L’installation de logiciels est réservée aux administrateurs — les utilisateurs standard ne disposent pas des droits d’installation.
• LOG_03Une liste des logiciels autorisés est tenue à jour et accessible.
• LOG_04Tout logiciel installé en dehors du processus d’approbation est détecté et supprimé.

• Liste des logiciels autorisés à jour.
• Aucun logiciel non autorisé détecté sur les postes.

• Présente PSSI.
• Inventaire des actifs.

• DLP_01Les données qui ne sont plus nécessaires sont supprimées conformément aux durées de conservation définies (cf. CPL_21 à CPL_24).
• DLP_02La suppression des données sur les services cloud est effectuée via les outils natifs de la plateforme (ex. purge définitive dans M365).
• DLP_03Les sauvegardes sont supprimées à l’issue de leur durée de rétention définie.

• Politique de rétention et suppression documentée et appliquée.

• Présente PSSI.
• Politique de conservation des documents (cf. CPL_21).

• DLP_04Les données personnelles utilisées à des fins de test ou de formation sont systématiquement anonymisées.
• DLP_05Les données personnelles utilisées à des fins d’analyse sont anonymisées. Si l’anonymisation n’est pas techniquement possible, la pseudonymisation est appliquée.

• Procédure d’anonymisation/pseudonymisation documentée.

• Présente PSSI.
• Registre des traitements RGPD.

• DLP_06Des règles de prévention des fuites de données sont configurées sur les outils de messagerie et de partage (ex. politiques DLP dans M365).
• DLP_07Le partage de données vers des destinataires externes est encadré et tracé.
• DLP_08Toute tentative de transfert de données non autorisée déclenche une alerte.
• DLP_09L’envoi de données classées comme confidentielles ou secrètes vers l’extérieur est soumis à une approbation explicite avant transmission.

• Politiques DLP configurées et actives.
• Alertes DLP surveillées.

• Présente PSSI.
• Politique de classification des données.

• CRY_01Les données stockées sur les postes sont chiffrées par BitLocker avec un algorithme AES 256 bits minimum.
• CRY_02Les données stockées sur les supports amovibles sont chiffrées par BitLocker To Go en AES 256 bits (cf. MED_02).
• CRY_03Les communications utilisent TLS 1.2 minimum — TLS 1.3 est privilégié. Les protocoles obsolètes (SSL, TLS 1.0, TLS 1.1) sont désactivés.
• CRY_04Les données stockées dans le cloud sont chiffrées par le fournisseur selon les standards en vigueur — ce point est vérifié lors de la sélection du fournisseur (cf. 5.2.7).
• CRY_05Les mots de passe sont stockés sous forme hachée avec un algorithme moderne (bcrypt, Argon2 ou équivalent) — jamais en clair.
• CRY_06Les clés cryptographiques sont stockées dans un espace sécurisé dédié (ex. Bitwarden, Azure Key Vault) et leur accès est tracé.
• CRY_07Les certificats numériques sont surveillés et renouvelés avant expiration.

• Chiffrement activé sur tous les postes et supports.
• Protocoles de communication conformes.

• Présente PSSI.

• CAP_01Les capacités de stockage disponibles sont surveillées et des alertes sont configurées en cas d’approche du seuil limite.
• CAP_02Les besoins en capacité sont évalués régulièrement et anticipés avant d’atteindre les limites.
• CAP_03Les quotas de stockage par utilisateur sont définis et appliqués (ex. quotas OneDrive/Exchange dans M365).
• CAP_04Un archivage automatique des boîtes mail est configuré — les messages de plus de 18 mois sont automatiquement déplacés vers l’archive en ligne.

• Alertes de capacité configurées et actives.
• Quotas définis et appliqués.

• Présente PSSI.

• SAV_01Un système de sauvegarde est mis en œuvre par {{CLIENT_NAME}}.
• SAV_02La politique de sauvegarde prévoit au minimum une sauvegarde incrémentale quotidienne et une sauvegarde complète hebdomadaire. Pour les environnements cloud, les mécanismes de rétention et de restauration du fournisseur doivent permettre d’atteindre ces mêmes objectifs.
• SAV_03Les sauvegardes sont conservées pendant une durée minimale d’un mois. Cette durée peut être portée à plus selon les obligations légales applicables (cf. CPL_21 à CPL_24) ou les besoins métier.
• SAV_04Les sauvegardes sont stockées dans un emplacement distinct des données d’origine.
• SAV_05Les sauvegardes sont testées périodiquement pour vérifier que la restauration est possible.
• SAV_06La procédure de restauration est documentée et connue des personnes en charge.

Note : la durée minimale d’un mois est volontairement accessible pour s’adapter aux contraintes techniques et financières d’une TPE/PME. Elle ne constitue pas une durée cible mais un plancher — chaque catégorie de données doit faire l’objet d’une analyse spécifique selon les obligations légales et les besoins métier pour définir la durée de rétention appropriée.

• Sauvegardes réalisées et tracées.
• Tests de restauration documentés.

• Présente PSSI.
• PCA/PRI.

• RED_01Les services cloud utilisés par {{CLIENT_NAME}} sont hébergés sur des infrastructures disposant d’une redondance géographique garantie par le fournisseur.
• RED_02Les niveaux de service (SLA) des fournisseurs de matériels et de services cloud sont vérifiés lors de leur sélection et intégrés aux contrats (cf. 5.2.4).
• OPTIONRED_03Les équipements informatiques critiques hébergés sur site disposent d’une alimentation redondante ou d’un onduleur.
• OPTIONRED_04Les liens réseau critiques disposent d’une connexion de secours (cf. MAT_09).
• RED_05En cas d’indisponibilité d’un service ou équipement, une procédure de continuité est définie (cf. BCP_01 à BCP_04).

• SLA fournisseurs documentés.
• Procédure de continuité en cas d’indisponibilité documentée.

• Présente PSSI.
• PCA/PRI.

• LOG_05Les systèmes et services utilisés par {{CLIENT_NAME}} génèrent des journaux d’activité couvrant a minima : les connexions et déconnexions, les actions d’administration, les erreurs système et les alertes de sécurité.
• LOG_06Les journaux sont conservés pendant une durée minimale de 90 jours.
• LOG_07Les journaux sont protégés contre toute modification ou suppression non autorisée.
• LOG_08L’accès aux journaux est restreint aux personnes autorisées.
• OPTIONLOG_09Les journaux d’accès aux données à caractère personnel sont conservés conformément aux exigences du RGPD et mis à disposition en cas de contrôle de la CNIL.
• OPTIONLOG_10Pour les professions réglementées (avocats, médecins, experts-comptables...), les journaux d’accès aux dossiers clients sont conservés conformément aux règles de leur ordre professionnel.
• OPTIONLOG_11Pour les structures soumises à des référentiels sectoriels (HDS, NIS2...), les exigences de journalisation spécifiques à ces référentiels sont appliquées.

• Journaux configurés et actifs sur les systèmes.
• Durée de rétention conforme.

• Présente PSSI.

• SUR_01Les alertes de sécurité remountées par les outils de surveillance sont examinées et traitées dans des délais adaptés à leur criticité.
• SUR_02Une solution de gestion des événements et informations de sécurité (SIEM) est mise en place pour centraliser, corréler et analyser les événements de sécurité en temps réel (ex. Microsoft Sentinel, Defender XDR).
• SUR_03La console de surveillance est consultée régulièrement par une personne habilitée — les alertes ne doivent pas rester sans traitement.
• SUR_04Les comportements anormaux (connexions inhabituelles, tentatives d’accès répétées, volumes de données inhabituels...) font l’objet d’une investigation.
• SUR_05Les résultats de la surveillance sont consignés et les actions correctives tracées.

• Tableau de bord de surveillance opérationnel.
• Alertes traitées et tracées.

• Présente PSSI.
• Procédure de gestion des incidents.

• SYN_01Tous les équipements et systèmes sont synchronisés sur une source de temps de référence via le protocole NTP (ex. Microsoft Time Service).
• SYN_02La synchronisation est vérifiée périodiquement et tout écart significatif est corrigé.

• Synchronisation NTP active et conforme sur tous les systèmes.

• Présente PSSI.

• NET_01Le réseau de {{CLIENT_NAME}} est protégé par un pare-feu configuré et maintenu à jour.
• NET_02Les règles du pare-feu suivent le principe du moindre privilège — seuls les flux nécessaires sont autorisés.
• NET_03Les accès distants au réseau sont sécurisés (cf. TEL_03 et TEL_04).
• NET_04En cas d’utilisation d’une box internet grand public, aucun service interne n’est exposé sur internet et l’UPnP est désactivé.
• NET_05Les équipements réseau (routeur, switch, point d’accès WiFi...) sont configurés selon les bonnes pratiques de sécurité et leurs mots de passe par défaut sont changés.

• Pare-feu en place et configuré.
• Règles de filtrage documentées.

• Présente PSSI.

• NET_06Un service DNS filtrant est mis en place pour bloquer les domaines malveillants, les sites de phishing et les domaines de commande et contrôle (C2) connus (ex. Defender for Endpoint DNS protection, Cloudflare Gateway).
• NET_07Les requêtes DNS sont journalisées pour permettre la détection de comportements anormaux (ex. requêtes vers des domaines suspects, volumes inhabituels).
• NET_08Les services réseau actifs sont inventoriés — tout service non justifié est désactivé.
• NET_09Les firmwares des équipements réseau (routeur, switch, point d’accès...) sont maintenus à jour.
• NET_10Les interfaces d’administration des équipements réseau ne sont pas accessibles depuis internet.
• NET_11Les enregistrements DNS de {{CLIENT_NAME}} sont sécurisés par DNSSEC pour prévenir la falsification des réponses DNS.
• NET_12Les enregistrements SPF, DKIM et DMARC sont configurés sur le domaine de messagerie de {{CLIENT_NAME}} pour prévenir l’usurpation d’identité par email.

• DNS filtrant actif et configuré.
• Inventaire des services réseau à jour.
• DNSSEC, SPF, DKIM et DMARC configurés et valides.

• Présente PSSI.

• NET_13Le réseau WiFi visiteurs est isolé du réseau de l’organisation (cf. MAT_11).
• NET_14Les équipements personnels (BYOD) non gérés sont isolés du réseau professionnel.
• OPTIONNET_15En cas d’infrastructure sur site, les serveurs et équipements critiques sont placés dans un segment réseau distinct des postes utilisateurs.

• Séparation réseau visiteurs / réseau professionnel effective.
• BYOD isolé le cas échéant.

• Présente PSSI.

• NET_16Un filtrage web est mis en place pour bloquer l’accès aux sites malveillants, de phishing et aux catégories de contenus inappropriés pour un usage professionnel.
• NET_17Les tentatives d’accès à des sites bloqués sont journalisées et les alertes sont traitées.
• NET_18Les catégories bloquées incluent a minima : les sites malveillants et de phishing, les contenus adultes, les jeux d’argent, les réseaux d’anonymisation (proxy, Tor), les sites de téléchargement illégal et les domaines nouvellement enregistrés.
• NET_19Toute demande de dérogation à une règle de filtrage est formalisée et approuvée.

• Filtrage web actif et configuré.
• Journaux de filtrage disponibles.

• Présente PSSI.

• DEV_01Les exigences de sécurité sont définies dès le démarrage de tout projet de développement ou d’intégration d’un nouveau service.
• DEV_02La sécurité est prise en compte à chaque phase du cycle du projet : conception, développement, tests, déploiement et maintenance.
• DEV_03Les développeurs sont formés aux bonnes pratiques de développement sécurisé.
• DEV_04Un processus de revue de code intégrant des critères de sécurité est appliqué avant toute mise en production.

• Exigences de sécurité documentées dans les projets.
• Traces de revues de code.

• Présente PSSI.
• Guide des bonnes pratiques de développement sécurisé.

• DEV_05Pour chaque application développée, un cahier des charges incluant les exigences de sécurité est rédigé avant le démarrage des travaux.
• DEV_06Les exigences de sécurité couvrent a minima : la gestion des authentifications, le contrôle d’accès, la protection des données, la journalisation et la gestion des erreurs.
• DEV_07La conformité aux exigences de sécurité est vérifiée avant toute mise en production.

• Cahiers des charges avec exigences de sécurité documentés.
• Validation de conformité avant mise en production.

• Présente PSSI.
• Guide des bonnes pratiques de développement sécurisé.

• DEV_08Les architectures applicatives et infrastructurelles suivent les principes de sécurité reconnus : moindre privilège, défense en profondeur, séparation des privilèges, fail secure, zero trust.
• DEV_09Les composants exposés sur internet sont isolés des composants internes (ex. séparation frontend/backend, DMZ).
• DEV_10Les dépendances et bibliothèques tierces utilisées sont inventoriées, maintenues à jour et vérifiées pour l’absence de vulnérabilités connues (ex. SCA — Software Composition Analysis).
• DEV_11Les secrets (clés API, mots de passe, certificats...) ne sont jamais stockés en clair dans le code source ni dans les dépôts de code.
• DEV_12Les principes de privacy by design sont appliqués — la protection des données personnelles est intégrée dès la conception.

• Principes d’architecture documentés.
• Inventaire des dépendances à jour.
• Absence de secrets dans les dépôts de code vérifiée.

• Présente PSSI.
• Guide des bonnes pratiques de développement sécurisé.

• DEV_13Les développeurs appliquent les bonnes pratiques de codage sécurisé référencées dans le guide interne (cf. documents associés).
• DEV_14Les vulnérabilités classiques sont prévenues dès le code : injections SQL, XSS, CSRF, dépassements de tampon, exposition de données sensibles...
• DEV_15Des outils d’analyse statique du code (SAST) sont utilisés pour détecter les vulnérabilités avant la mise en production.
• DEV_16Les entrées utilisateur sont systématiquement validées et assainies avant traitement.

• Rapports d’analyse statique disponibles.
• Absence de vulnérabilités critiques en production.

• Présente PSSI.
• Guide des bonnes pratiques de développement sécurisé.

• DEV_17Des tests de sécurité sont réalisés avant toute mise en production : tests fonctionnels de sécurité, revues de code, analyses automatisées.
• DEV_18Les vulnérabilités identifiées lors des tests sont corrigées avant mise en production selon leur criticité.
• DEV_19Pour les applications exposées sur internet, un test d’intrusion est réalisé avant la première mise en production et après toute évolution majeure.

• Rapports de tests de sécurité documentés.
• Vulnérabilités critiques corrigées avant mise en production.

• Présente PSSI.
• Guide des bonnes pratiques de développement sécurisé.

• DEV_20Lorsque le développement est externalisé, les exigences de sécurité de la présente PSSI sont imposées contractuellement au prestataire.
• DEV_21Le code livré par un prestataire fait l’objet d’une revue de sécurité avant intégration en production.
• DEV_22Les droits de propriété intellectuelle et d’accès au code source sont définis dans le contrat.

• Contrats prestataires avec clauses de sécurité.
• Traces de revues de code avant intégration.

• Présente PSSI.

• DEV_23Les environnements de développement, de test et de production sont séparés et leurs accès sont distincts.
• DEV_24Les déploiements en production sont réalisés via un processus formalisé — aucun déploiement direct depuis un environnement de développement n’est autorisé.
• DEV_25Les données de production ne sont pas utilisées dans les environnements de développement ou de test sans anonymisation préalable (cf. DLP_04).

• Environnements distincts documentés.
• Procédure de déploiement en production formalisée.

• Présente PSSI.
• Politique de gestion des changements.
• Guide des bonnes pratiques de développement sécurisé.

• CHG_01Tout changement sur les systèmes doit suivre une procédure documentée de gestion des changements.
• CHG_02Chaque changement est évalué en termes d’impact, de risque et de réversibilité avant approbation.
• CHG_03Les changements sont testés en environnement de test avant déploiement en production (cf. DEV_23).
• CHG_04Un plan de déploiement est prévu dans la gestion des changements. Ce plan prévoit a minima une phase de déploiement pilote et une phase de déploiement global.
• CHG_05Un plan de retour arrière est défini pour tout changement significatif.
• CHG_06Les changements réalisés sont tracés et documentés.
• CHG_07En cas d’incident lié à un changement, la procédure de gestion des incidents est déclenchée (cf. 5.6).

Note : les patchs de sécurité critiques et correctifs critiques peuvent suivre un plan de déploiement plus court du fait de l’urgence (cf. VUL_03).

• Demandes de changement documentées et tracées.
• Plans de retour arrière disponibles.

• Présente PSSI.
• Politique de gestion des changements.

• TST_01Les données de test sont fictives ou anonymisées — les données de production ne sont jamais utilisées telles quelles en environnement de test (cf. DLP_04).
• TST_02Les accès aux environnements de test sont restreints aux seules personnes dont le rôle le justifie.

• Absence de données réelles en environnement de test.

• Présente PSSI.

• AUD_01Les tests d’audit sur les systèmes en production sont planifiés à l’avance et réalisés en dehors des heures critiques d’activité.
• AUD_02Les accès accordés dans le cadre d’un audit sont limités à la durée de l’audit et révoqués à son issue.
• AUD_03Les résultats des audits sont documentés et les actions correctives tracées.
• AUD_04Les outils installés sur les systèmes dans le cadre d’un audit sont supprimés à l’issue de celui-ci.

• Planification des audits documentée.
• Rapports d’audit et actions correctives tracés.

• Présente PSSI.