法律人 LawPlayer logo

資料由法律人 LawPlayer整理提供·Droit français / LawPlayer, à partir des données DILA (Légifrance)

Texte réglementaire

Arrêté du 8 décembre 2023

Numéro
Date du texte
8 décembre 2023
Articles
6
Article 1

Le maintien en condition opérationnelle et de sécurité des systèmes d'information prévu dans le règlement général de sécurité ainsi que la politique de sécurité des systèmes d'information de l'Etat implique une maintenance préventive qui se matérialise par des contrôles au minimum annuels.

Ces points de contrôles incluent les mesures définies en annexe.

Article 2

Sont visés par cette instruction tous les systèmes d'information en réseau qui totalisent 500 heures d'utilisation mensuelle (l'usage est estimé par multiplication du nombre usuel d'utilisateurs et leur durée habituelle d'usage) ou plus de 10 000 requêtes par mois.

Article 3

Les maîtres d'ouvrage et donneurs d'ordre sont responsables du bilan annuel de maintenance.

Ils peuvent déléguer la maintenance préventive et la réalisation des points de contrôle à la maîtrise d'œuvre de leur choix.

Article 4

Les systèmes d'information qui n'avait pas de politique de maintenance préventive préexistante disposent d'un délai supplémentaire jusqu'au 31 décembre 2024 pour réaliser le premier bilan annuel.

Article 5

Le présent arrêté sera publié au Journal officiel de la République française.

Annexes

Article annexe-6

ANNEXE

POINTS DE CONTRÔLE DE LA MAINTENANCE D'UN SYSTÈME D'INFORMATION

Article 1er

Traçabilité

Les contrôles ne sont pas nécessairement réalisés le même jour, mais ils sont synthétisés dans une fiche datée par rubrique qui reprend les articles de cette annexe dans l'ordre.

Article 2

Sauvegardes et capacité de redémarrage

Des données de sauvegardes, locales et distantes, sont restaurées. En particulier, il est contrôlé l'âge des dernières sauvegardes exploitables, après déchiffrement éventuel pour les sauvegardes distantes. Tout âge de dernière sauvegarde supérieur à une semaine est justifié.

Une relance machine vérifie les capacités de redémarrage sans assistance manuelle, et évalue la durée d'un tel redémarrage. Tout temps de service machine continu " uptime " supérieur à un an est justifié.

Article 3

Contrôle des composants par rapport à des failles connues et au support

Les versions des composants sont comparées aux bases d'inventaires des failles connues.

La filière sécurité des systèmes d'information est chargée de tenir à jour la panoplie d'outils permettant l'automatisation de ces contrôles. Exemple à date des outils recommandés pour les piles technologiques les plus courantes du ministère, des couches les plus basses aux plus hautes.

- Linux : audit Lynis ;

- Conteneur : scan docker ou trivy ;

- Java : rapport dependency-check ;

- Php : rapport symfony security-checker ou repman security scanner ;

- Node.js : rapport npm audit.

Ce contrôle s'assure aussi du support de l'éditeur ou d'une communauté active, par exemple via le référentiel https://endoflife.date.

Toute utilisation d'un composant présentant une faille connue avec un score CVSS supérieur ou égal à 7 ou sans support depuis 6 mois est justifié.

Article 4

Mises à jour des enregistrements

La maîtrise d'ouvrage actualise les inventaires suivants :

- cartographie des acteurs dans les registres d'aide à l'exploitation et à la gestion d'incident (portail support produits et services SPS) ;

- description des tests de supervision réalisés par le pôle de supervision informatique national (PSIN) ;

- abonnements aux fils d'alerte de sécurité des composants ;

- échéances d'homologation SSI, déclaration CNIL.

Article 5

Revue des incidents

La maîtrise d'œuvre synthétise les événements d'exploitation notables de la période extraits de :

- historique des indisponibilités non programmées ;

- tickets d'incidents et problèmes récurrents.

6 articles en vigueur

Citer ce texte

du Arrêté du 8 décembre 2023 (Légifrance). Consulté via LawPlayer, https://lawplayer.com/fr/act/LEGITEXT000048571711

Contient des informations publiques issues de la base LEGI, mise à disposition par la Direction de l’information légale et administrative (DILA) sous Licence Ouverte 2.0 (Etalab). Source : legifrance.gouv.fr.

FR-LicenceOuverte-2.0

本頁資料來源:Légifrance (DILA)·整理提供:法律人 LawPlayer· lawplayer.com