diff --git a/Dockerfile_web b/Dockerfile_web new file mode 100644 index 00000000..cf62ce14 --- /dev/null +++ b/Dockerfile_web @@ -0,0 +1,26 @@ +FROM --platform=amd64 nginx:bookworm + +RUN apt update && apt dist-upgrade -y +RUN apt install -y git composer php php-cli php-opcache php-mysql php-zip php-gd php-mbstring php-curl php-xml + +RUN useradd -ms /bin/bash deming +RUN mkdir -p /var/www/deming +COPY deming.conf /etc/nginx/conf.d/default.conf + +WORKDIR /var/www/deming + +RUN git clone https://www.github.com/dbarzin/deming . +RUN mkdir -p storage/framework/views && mkdir -p storage/framework/cache && mkdir -p storage/framework/sessions && mkdir -p bootstrap/cache +RUN chmod -R 775 /var/www/deming/storage && chown -R www-data:www-data /var/www/deming +RUN composer install +RUN php artisan vendor:publish --all + +RUN cp .env.example .env +RUN sed -i 's/DB_HOST=127\.0\.0\.1/DB_HOST=mysql/' .env + +COPY entrypoint.sh /opt/entrypoint.sh +RUN chmod u+x /opt/entrypoint.sh + +EXPOSE 80 + +ENTRYPOINT "/opt/entrypoint.sh" \ No newline at end of file diff --git a/deming-27001_2013.sql b/deming-27001_2013.sql new file mode 100644 index 00000000..09158c38 --- /dev/null +++ b/deming-27001_2013.sql @@ -0,0 +1,188 @@ +-- MySQL dump 10.13 Distrib 8.0.33, for Linux (x86_64) +-- +-- Host: localhost Database: deming +-- ------------------------------------------------------ +-- Server version 8.0.33-0ubuntu0.22.04.2 + +/*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */; +/*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */; +/*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */; +/*!50503 SET NAMES utf8mb4 */; +/*!40103 SET @OLD_TIME_ZONE=@@TIME_ZONE */; +/*!40103 SET TIME_ZONE='+00:00' */; +/*!40014 SET @OLD_UNIQUE_CHECKS=@@UNIQUE_CHECKS, UNIQUE_CHECKS=0 */; +/*!40014 SET @OLD_FOREIGN_KEY_CHECKS=@@FOREIGN_KEY_CHECKS, FOREIGN_KEY_CHECKS=0 */; +/*!40101 SET @OLD_SQL_MODE=@@SQL_MODE, SQL_MODE='NO_AUTO_VALUE_ON_ZERO' */; +/*!40111 SET @OLD_SQL_NOTES=@@SQL_NOTES, SQL_NOTES=0 */; + +-- +-- Dumping data for table `domains` +-- + +LOCK TABLES `domains` WRITE; +/*!40000 ALTER TABLE `domains` DISABLE KEYS */; +INSERT INTO `domains` (`id`, `title`, `description`, `created_at`, `updated_at`) VALUES +(7,'27001:2013','SMSI','2021-03-08 05:42:12','2023-04-06 17:30:50'), +(8,'27001:2013-A5','Politique de Sécurité','2019-08-08 03:40:27','2023-04-06 17:31:03'), +(9,'27001:2013-A6','Organisation de la sécurité de l\'information','2019-08-08 03:41:07','2023-04-06 17:31:18'), +(10,'27001:2013-A7','Sécurité des ressources humaines','2019-08-08 03:41:25','2023-04-06 17:31:55'), +(11,'27001:2013-A8','Gestion des actifs','2019-08-08 03:41:36','2023-04-06 17:32:10'), +(12,'27001:2013-A9','Contrôle d\'accès','2019-08-08 03:41:55','2023-04-06 17:32:38'), +(13,'27001:2013-A10','Cryptographie','2019-08-08 03:42:08','2023-04-06 17:32:22'), +(14,'27001:2013-A11','Sécurité physique et environnementale','2019-08-08 03:42:52','2023-04-06 17:32:51'), +(15,'27001:2013-A12','Sécurité liée à l’exploitation','2019-08-08 03:43:08','2023-04-06 17:33:03'), +(16,'27001:2013-A13','Sécurité des communications','2019-08-08 03:43:22','2023-04-06 17:33:15'), +(17,'27001:2013-A14','Acquisition, développement et maintenance','2019-08-08 03:43:50','2023-04-06 17:33:37'), +(18,'27001:2013-A15','Relation avec les fournisseurs','2019-08-08 03:44:05','2023-04-06 17:33:46'), +(19,'27001:2013-A16','Gestion des incidents de sécurité','2019-08-08 03:44:19','2023-04-06 17:34:15'), +(20,'27001:2013-A17','Gestion de la continuité d\'activité','2019-08-08 03:44:35','2023-04-06 17:34:23'), +(21,'27001:2013-A18','Conformité','2019-08-08 03:44:57','2023-04-06 17:34:31'); +/*!40000 ALTER TABLE `domains` ENABLE KEYS */; +UNLOCK TABLES; + +-- +-- Dumping data for table `measures` +-- + +LOCK TABLES `measures` WRITE; +/*!40000 ALTER TABLE `measures` DISABLE KEYS */; +INSERT INTO `measures` (`id`, `domain_id`, `name`, `clause`, `objective`, `input`, `model`, `indicator`, `action_plan`, `created_at`, `updated_at`, `standard`, `attributes`) VALUES +(7,8,'Revue des Politiques de Sécurité','A.5.1.2','S’assurer que les politiques de sécurité sont revues à intervalles programmés ou en cas de changements majeurs pour garantir leur pertinence, leur adéquation et leur effectivité dans le temps.','• Périodicité de la revue de la politique de sécurité ;\r\n• Date de la dernière version validée de la politique de sécurité.','Nombre de politique de sécurité à jour par rapport nombre de politiques de sécurité.','Vert : 100%\r\nOrange : >= 90%\r\nRouge : < 90%','Lorsque le contrôle est orange ou rouge, il faut démarrer un processus de revue des politiques de sécurité.','2019-08-12 06:48:26','2021-07-12 05:09:01',NULL,NULL), +(8,7,'Audit Interne','9.2','S\'assurer qu\'un audit interne a été réalisé','La date du dernier audit interne\r\nLa date du contrôle','Comparer la date du contrôle avec la date du dernier audit interne','Vert : < 1 an\r\nOrange : => 1 an\r\nRouge : > 1 an et 3 mois','Effectuer l\'audit interne','2019-08-12 06:49:44','2021-03-08 05:57:57',NULL,NULL), +(9,7,'Revue de Direction','9.3','S’assurer que la revue de directions est tenue annuellement','• La date de la dernière revue de direction ;\r\n• La date du contrôle.','La date de la dernière revue de direction par rapport à la date du contrôle.','Vert : < 1 an\r\nOrange : => 1 an\r\nRouge : > 1 an et 3 mois','Planifer une revue de direction','2019-08-12 06:50:41','2022-03-08 12:27:09',NULL,NULL), +(10,7,'Non-conformité et actions correctives','10.1','S’assurer que les non-conformités et les actions correctives sont suivies régulièrement.','• Le plan de suivi des non-confrmités et d\'actions correctives\r\n• La date du contrôle','Compter le nombre de non-conformité qui dont le plan d\'action n\'a pas de suivi','Vert : = 0\r\nOrange : >=1\r\nRouge : >=3','Si le contrôle est orange ou rouge, il faut lancer le processus de suivi des non-conformités','2019-08-12 06:52:10','2023-02-05 10:42:03',NULL,NULL), +(12,8,'Politique de sécurité de l\'information','A.5.1.1','Un ensemble de politiques de sécurité de l\'information est défini, approuvé par la direction, diffusé et communiqué aux salariés et aux tiers concernés.','- ensemble de politique de sécurité de l\'information\r\n- preuves d\'approbation\r\n- preuves de diffusion','Existence de l\'ensemble des politiques de sécurité validé, diffusé et communiqué aux salariés et aux tiers concernés.','Vert: conforme\r\nOrange: manquements mineurs\r\nRouge: non-conforme','Faire valider l\'ensemble des politiques de sécurité de l\'information, le faire approuver par la direction, le diffuser et le communiquer aux salariés et aux tiers concernés.','2020-04-13 02:06:52','2021-01-19 07:20:08',NULL,NULL), +(13,9,'Fonctions et responsabilités liées à la sécurité de l’information','A.6.1.1','S\'assurer que toutes les responsabilités en matière de sécurité de l’information sont définies et attribuées.','- Politique d\'organisation de la sécurité\r\n- Preuve d\'attribution par la direction des responsabilités en matière de sécurité de l\'information','Présence des preuves','Vert : présence des preuves\r\nOrange : manquement mineur\r\nRouge : absence de preuves','Définir et attribuer toutes les responsabilités en matière de sécurité de l’information.','2020-04-13 02:32:22','2020-04-13 02:33:22',NULL,NULL), +(14,9,'Séparation des tâches','A.6.1.2','Les tâches et les domaines de responsabilité incompatibles doivent être cloisonnés pour limiter les possibilités de modification ou de mauvais usage, non autorisé(e) ou involontaire, des actifs de l’organisation.','- Définition des tâches et domaines de responsabilités incompatibles\r\n- Validation par la direction de l\'application de la mesure','Présence de la définition et validation par la direction de la mesure','Vert: présence des preuves\r\nOrange : non-conformité mineure\r\nRouge : absence de preuves','Définir et faire valider par la direction les tâches et les domaines de responsabilité incompatibles, les cloisonner pour limiter les possibilités de modification ou de mauvais usage, non autorisé(e) ou involontaire, des actifs de l’organisation.','2020-04-13 03:05:05','2021-01-19 07:21:48',NULL,NULL), +(15,9,'Relations avec les autorités','A.6.1.3','Des relations appropriées avec les autorités compétentes doivent être entretenues.','- procédure d\'organisation de la sécurité\r\n- inventaire des autorités compétentes\r\n- preuve de relation avec les autorités','La procédure et l\'inventaire sont à jour\r\nil existe des preuves de relation avec les autorités','Vert : présence des preuves\r\nOrange : non-conformité mineure\r\nRouge: absence de preuves','Des relations appropriées avec les autorités compétentes doivent être entretenues.','2020-04-13 03:10:32','2021-01-19 07:24:07',NULL,NULL), +(16,9,'Relations avec des groupes de travail spécialisés','A.6.1.4','Des relations appropriées avec des groupes d’intérêt, des forums spécialisés dans la sécurité et des associations professionnelles doivent être entretenues.','- procédure d\'organisation de la sécurité\r\n- inventaire des groupes de spécialistes\r\n- preuves de relation avec les groupes de spécialistes','La procédure et l\'inventaire des groupes de spécialistes sont à jour.\r\nIl existe des preuves de relation avec les groupes de spécialistes.','Vert : présence des preuves\r\nOrange : non-conformité mineure\r\nRouge: preuves manquantes','Revoir la procédure, mettre à jour l\'inventaire et entretenir des relations avec les groupes de spécialistes.','2020-04-13 03:15:12','2021-01-19 07:25:25',NULL,NULL), +(17,9,'La sécurité de l’information dans la gestion de projet','A.6.1.5','La sécurité de l’information est considérée dans la gestion de projet, quel que soit le type de projet concerné.','- procédure d\'organisation de la sécurité\r\n- preuves de la prise en considération de la sécurité de l\'information dans la gestion des projets','La procédure existe et est à et jour\r\nprésence de preuves de considération de la sécurité de l\'information','Vert : présence des preuves\r\nOrange : non-conformité mineure\r\nRouge : absence de preuves','Revoir la procédure et prendre en considération la sécurité de l’information dans la gestion de projet, quel que soit le type de projet concerné.','2020-04-13 03:21:53','2021-01-19 07:25:33',NULL,NULL), +(18,9,'Politique en matière d’appareils mobiles','A.6.2.1','Une politique et des mesures de sécurité complémentaires doivent être adoptées pour gérer les risques découlant de l’utilisation des appareils mobiles.','- Politique et mesure de sécurité complémentaires\r\n- Preuves d\'application des mesures complémentaires','- Existence d\'une politique et de mesures complémentaires\r\n- preuves d\'application des mesures complémentaires','Vert : présence de preuves\r\nOrange : non-conformité mineure\r\nRouge : absence de preuves','Définir ou mettre à jour une politique et des mesures de sécurité complémentaires, et la faire adopter adoptées pour gérer les risques découlant de l’utilisation des appareils mobiles.','2020-04-13 03:27:31','2021-07-12 10:33:19',NULL,NULL), +(19,9,'Télétravail','A.6.2.2','Une politique et des mesures de sécurité complémentaires doivent être mises en œuvre pour protéger les informations consultées, traitées ou stockées sur des sites de télétravail.','- Politique et mesures de sécurité complémentaires \r\n- preuves d\'application des mesures complémentaires','- Existance et mise à jour de la politique de sécurité\r\n- Existance de preuves d\'application des mesures','Vert : présence des preuves\r\nOrange : non-conformité mineure\r\nRouge : absence de preuves','Définir et mettre en oeuvre une politique et des mesures de sécurité complémentaires pour protéger les informations consultées, traitées ou stockées sur des sites de télétravail.','2020-04-13 03:31:33','2021-01-19 07:26:49',NULL,NULL), +(20,7,'Amélioration continue','10.2','L’organisation doit continuellement améliorer la pertinence, l’adéquation et l’efficacité du système de management de la sécurité de l’information.','- plan d\'amélioration continue\r\n- date du contrôle','Un plan d\'amélioration continue existe et est suivi','Vert : presence de preuves\r\nOrange : non-conformité mineure\r\nRouge : absence de preuves','Définir un plan d\'amélioration de la pertinence, l’adéquation et l’efficacité du système de management de la sécurité de l’information.','2020-04-13 04:15:30','2021-03-08 05:58:22',NULL,NULL), +(21,10,'Des vérifications doivent être effectuées sur tous les candidats à l’embauche','A.7.1.1','Des vérifications doivent être effectuées sur tous les candidats à l’embauche conformément aux lois, aux règlements et à l’éthique et être proportionnées aux exigences métier, à la classification des informations accessibles et aux risques identifiés.','- Procédure de sélection des candidats\r\n- Preuves d\'exécution du processus de sélection','- Existence d\'une procédure à jour\r\n- Existence de preuves d’exécution du processus de sélection','Vert : conforme\r\nOrange : non-conformité mineure\r\nRouge : absence de preuves','Mettre à jour la procédure et effectuer des vérifications sur tous les candidats à l’embauche.','2020-04-13 04:41:20','2023-03-09 21:19:47',NULL,'#Confidentialité #Intégrité #Disponibilité'), +(22,10,'Termes et conditions d’embauche','A.7.1.2','Les accords contractuels entre les salariés et les sous-traitants doivent préciser leurs responsabilités et celles de l’organisation en matière de sécurité de l’information.','- définitions des termes\r\n- preuves d\'existence des termes dans les accords','Existence des termes et preuves de présence des termes les accords','Vert : présence de pruves\r\nOrange : Non-conformité mineure\r\nRouge : absence de pruves','Définir les responsabilités et celles de l’organisation en matière de sécurité de l’information dans les accords contractuels entre les salariés et les sous-traitants.','2020-04-13 04:52:01','2021-01-19 07:28:14',NULL,NULL), +(23,10,'Sensibilisation, apprentissage et formation à la sécurité de l’information','A.7.2.2','L’ensemble des salariés de l’organisation et, quand cela est pertinent, des sous-traitants, doit bénéficier d’une sensibilisation et de formations adaptées et recevoir régulièrement les mises à jour des politiques et procédures de l’organisation s’appliquant à leurs fonctions.','- plan de sensibilisation à la sécurité de l\'information\r\n- feuilles de présence','Existence d\'un plan de sensibilisation à la sécurité\r\nPreuve de présence de personnel à ces réunions','Vert : existence d\'un plan et présence du personnel\r\nOrange : non-conformité mineure\r\nRouge : Absence de sensibilisation','Définir un plan de sensibilisation et de formations adaptées','2020-04-13 04:57:19','2021-08-30 11:17:41',NULL,NULL), +(24,10,'Processus disciplinaire','A.7.2.3','Un processus disciplinaire formel et connu de tous doit exister pour prendre des mesures à l’encontre des salariés ayant enfreint les règles liées à la sécurité de l\'information.','- Processus disciplinaire\r\n- Communication du process','Existence du processus\r\nPreuve de communication du processus','Vert : existe\r\nOrange : non-conformité mineure\r\nRouge : absence de preuves','Définir un processus disciplinaire formel et le communiquer au personnel.','2020-04-13 05:01:31','2021-01-19 07:31:29',NULL,NULL), +(25,10,'Achèvement ou modification des responsabilités associées au contrat de travail','A.7.3.1','Les responsabilités et les missions liées à la sécurité de l’information qui restent valables à l’issue de la rupture, du terme ou de la modification du contrat de travail, doivent être définies, communiquées au salarié ou au sous-traitant, et appliquées.','- définition des termes\r\n- preuves d\'application','Existence des termes et des preuves d\'application','Vert : existe\r\nOrange : non-conformités mineures\r\nRouge : absence de preuves','Définir les responsabilités et les missions liées à la sécurité de l’information qui restent valables à l’issue de la rupture, du terme ou de la modification du contrat de travail.','2020-04-13 05:04:30','2021-01-19 07:32:25',NULL,NULL), +(26,11,'Inventaire des actifs','A.8.1.1','Les actifs associés à l’information et aux moyens de traitement de l’information doivent être identifiés et un inventaire de ces actifs doit être dressé et tenu à jour.','- procédure de mise à jour\r\n- inventaire des actifs','Vérifier la procédure est à jour\r\nPrendre un échantillon de l\'inventaire et vérifier qu\'il est conforme','Vert : conforme\r\nOrange : non-conformités mineures\r\nRouge : non-conforme','Revoir la procédure de gestion de l\'inventaire\r\nMettre à jour l\'inventaire des assets','2020-04-15 02:10:56','2020-04-15 02:10:56',NULL,NULL), +(27,11,'Propriété des actifs','A.8.1.2','Les actifs figurant à l’inventaire doivent être attribués à un propriétaire.','- propriétaire des assets\r\n- échantillon de l\'inventaire','Vérifier que les assets sont attribués aux bons propriétaires.','Vert : pas d\'erreur\r\nOrange : > 1 erreur\r\nRouge : > 3 erreurs','Effectuer une revue de l\'inventaire','2020-04-15 02:23:01','2021-01-19 07:32:54',NULL,NULL), +(28,11,'Utilisation correcte des actifs','A.8.1.3','Vérifier que des règles d’utilisation correcte de l’information, des actifs associés à l’information et des moyens de traitement de l’information sont identifiées, documentées et mises en œuvre.','Vérifier sur un échantillon de l\'inventaire, l\'application des règles d\'utilisation correcte de l’information, des actifs associés à l’information et des moyens de traitement','Compter le nombre d\'anomalies','Vert : aucune anomalie\r\nOrange : <= 3 anomalies\r\nRouge : > 3 anomalies','Revoir les règles d\'utilisation et les faire appliquer','2020-04-15 02:49:50','2021-01-19 07:34:12',NULL,NULL), +(29,11,'Restitution des actifs','A.8.1.4','Vérifier que tous les salariés et les utilisateurs tiers ont restitué la totalité des actifs de l’organisation qu’ils ont en leur possession au terme de leur période d’emploi, du contrat ou de l’accord.','- échantillon des employés ayant quitté l\'organisation sur la période\r\n- preuves de restitution des assets','compter le nombre d\'anomalies','Vert : aucune anomalie\r\nOrange : <= 3 anomalies\r\nRouge : > 3 anomalies','Revoir le processus de restitution des assets et refaire le contrôle','2020-04-15 03:02:14','2021-01-19 07:34:47',NULL,NULL), +(30,11,'Classification des informations','A.8.2.1','Vérifier que les informations sont classifiées en termes d’exigences légales, de valeur, de caractère critique et de sensibilité au regard d’une divulgation ou modification non autorisée.','- vérifier la date de mise à jour de la procédure\r\n- vérifier avec le DPO et juriste la conformité de la procédure au vu des changements du contexte de l\'organisation','compter le nombre d\'anomalies','Vert : pas d\'anomalies\r\nOrange > 1 anomalie\r\nRouge : > 3 anomalies','Revoir la procédure de classification de l\'information','2020-04-15 03:05:16','2021-02-01 07:56:58',NULL,NULL), +(31,11,'Marquage des informations','A.8.2.2','Vérifier qu\'un ensemble de procédures pour le marquage de l’information est élaboré et mis en œuvre conformément au plan de classification adopté par l’organisation.','- procédure de marquage\r\n- échantillon d’information (procédure, formulaire ...)','compter le nombre d\'anomalies de marquage de l\'information','Vert : pas d\'anomalie\r\nOrange : <=3 anomalies\r\nRouge : >3 anomalies','Revoir la procédure de marquage de l\'information et son application','2020-04-15 03:13:38','2021-01-19 07:35:52',NULL,NULL), +(32,11,'Gestion des supports amovibles','A.8.3.1','Vérifier que des procédures de gestion des supports amovibles sont mises en œuvre conformément au plan de classification adopté par l’organisation.','- procédure de gestion des supports amovibles\r\n- échantillons de supports\r\n- preuves de gestion des supports (conservation, classification ...)','Compter le nombre d\'anomalies','Vert : pas d\'anomalies\r\nOrange : <= 3 anomalies\r\nRouge: > 3 anomalies','Revoir la procédure de gestion des supports amovibles et son application','2020-04-15 03:35:59','2021-01-19 07:36:33',NULL,NULL), +(33,11,'Mise au rebut des supports','A.8.3.2','Vérifier que les supports qui ne sont plus nécessaires sont mis au rebut de manière sécurisée en suivant des procédures formelles.','- procédure de mise au rebut des supports\r\n- preuves de mise au rebut','Vérifier sur base d\'un échantillon des supports mis au rebut que ceux-ci ont été détruits de manière sécurisée.','Vert : présence des preuves\r\nOrange : non-conformités mineures\r\nRouge : absence de preuves, non-conformité','Vérifier la procédure de mise au rebut des supports et son application','2020-04-15 03:40:39','2021-01-19 07:37:39',NULL,NULL), +(34,11,'Transfert physique des supports','A.8.3.3','Vérifier que les supports contenant de l’information sont protégés contre les accès non autorisés, les erreurs d’utilisation et l’altération lors du transport.','Procédure de transport physique des supports\r\nEchantillon de transports effectués\r\nPreuve de transport','Compter le nombre d\'anomalies','Vert : pas d\'anomalies\r\nOrange <= 3 anomalies\r\nRouge : > 3 anomalies','Revoir la procédure de transport physique des supports et son application.','2020-04-15 03:52:23','2020-04-15 03:52:23',NULL,NULL), +(35,12,'Politique de contrôle d’accès','A.9.1.1','Une politique de contrôle d’accès est établie, documentée et revue sur base des exigences métier et de sécurité de l’information.','- Politique de contrôle d\'accès\r\n- Date de revue de la politique\r\n- Date du contrôle','Existence de la politique\r\nNombres de jours depuis la revue de la politique de contrôle d\'accès','Vert : =< 6 mois\r\nOrange : > 6 mois\r\nRouge : > 12 mois','Etablir, documenter et revoir la politique de contrôle d\'accès','2020-04-16 04:20:13','2021-08-30 11:16:48',NULL,NULL), +(36,12,'Accès aux réseaux et aux services réseau','A.9.1.2','Les utilisateurs doivent avoir uniquement accès au réseau et aux services réseau pour lesquels ils ont spécifiquement reçu une autorisation.','- inventaire des services réseau\r\n- liste des utilisateurs\r\n- liste des autorisations','Compter le nombre d\'anomalies.','Vert : pas d\'anomalies\r\nOrange <= 3 anomalies\r\nRouge : > 3 anomalies','Vérifier les accès au réseau et aux services réseau des utilisateurs.','2020-04-16 04:22:02','2022-03-08 12:41:53',NULL,NULL), +(37,12,'Enregistrement et désinscription des utilisateurs','A.9.2.1','Un processus formel d’enregistrement et de désinscription des utilisateurs est mis en œuvre pour permettre l’attribution des droits d’accès.','- processus d\'enregistrement et de désinscription des utilisateurs\r\n- date du contrôle','Le processus existe','Vert : oui\r\nRouge : non','Mettre en oeuvre un processus formel d’enregistrement et de désinscription des utilisateurs.','2020-04-16 04:58:24','2020-04-16 04:58:24',NULL,NULL), +(38,12,'Maîtrise de la gestion des accès utilisateur','A.9.2.2','Un processus formel de maîtrise de la gestion des accès aux utilisateurs est mis en œuvre pour attribuer et retirer des droits d’accès à tous types d’utilisateurs sur l’ensemble des services et des systèmes.','- Processus de maîtrise de la gestion des accès aux utilisateurs\r\n- Preuves d\'application du processus de maîtrise de la gestion des accès aux utilisateurs','Existance du processus de maîtrise de la gestion des accès aux utilisateurs\r\nValidité des preuves d\'application du processus','Vert : conforme\r\nOrange : preuves faibles\r\nRouge : processus inexistant ou pas à jour','Mettre en oeuvre un processus formel de maîtrise de la gestion des accès aux utilisateurs','2020-04-16 05:00:45','2021-08-02 05:53:52',NULL,NULL), +(39,12,'Gestion des droits d’accès à privilèges','A.9.2.3','L’allocation et l’utilisation des droits d’accès à privilèges sont restreintes et contrôlées.','- restrictions des droits d\'accès à privilèges\r\n- contrôle des droits d\'accès à privilèges','- existence des restrictions de droits d\'accès à privilège\r\n- contrôle des doits d\'accès à privilèges','Vert : conforme\r\nOrange: non conformités mineures\r\nRouge: non conforme','Restreindre et contrôler l’allocation et l’utilisation des droits d’accès à privilèges','2020-04-16 05:04:48','2022-03-08 12:42:13',NULL,NULL), +(40,12,'Gestion des informations secrètes d’authentification des utilisateurs','A.9.2.4','L’attribution des informations secrètes d’authentification doit être réalisée dans le cadre d’un processus de gestion formel.','- processus de gestion de l\'attribution des informations secrètes d\'authentification','Vérifier l\'existance et l\'application du processus de gestion de l\'attribution des informations secrètes d\'authentification','Vert : conforme\r\nOrange : non-conformités mineures\r\nRouge : non conforme','Mettre en place un processus de gestion formel de l’attribution des informations secrètes d’authentification.','2020-04-16 05:07:56','2020-04-16 05:07:56',NULL,NULL), +(41,12,'Revue des droits d’accès utilisateur','A.9.2.5','Les propriétaires d’actifs vérifient les droits d’accès des utilisateurs à intervalles réguliers.','- inventaire des actifs concernés\r\n- vérification des droits d\'accès des utilisateurs\r\n- date de la vérification\r\n- date du contrôle','- existence de l\'inventaire\r\n- existence de la vérification\r\n- différence entre la date du contrôle et la date de la vérification','Vert : conforme\r\nOrange : non-conformités mineures\r\nRouge : non-conforme','Faire vérifier les droits d’accès des utilisateurs par les propriétaires des actifs.','2020-04-16 05:20:30','2021-08-30 11:15:27',NULL,NULL), +(42,12,'Suppression ou adaptation des droits d’accès','A.9.2.6','Les droits d’accès aux informations et aux moyens de traitement des informations de l’ensemble des salariés et utilisateurs tiers doivent être supprimés à la fin de leur période d’emploi, ou adaptés en cas de modification du contrat ou de l’accord.','- liste des salariés et utilisateurs tiers ayant changé de poste ou ayant quitté l\'organisation\r\n- suppression ou modification des droits d\'accès correspondants','compter le nombre d\'anomalies',NULL,'Revoir les droits d\'accès de l\'ensemble des salariés et utilisateurs tiers','2020-04-16 05:22:42','2022-03-08 12:43:00',NULL,NULL), +(43,12,'Utilisation d’informations secrètes d’authentification','A.9.3.1','Les utilisateurs suivent les pratiques de l’organisation pour l’utilisation des informations secrètes d’authentification.','- pratiques de l’organisation pour l’utilisation des informations secrètes d’authentification.\r\n- application des pratiques','- vérification de l\'application des pratiques de l’organisation pour l’utilisation des informations secrètes d’authentification.','Vert : conforme\r\nOrange : non-conformité mineure\r\nRouge : non-conforme','Sensibiliser les utilisateurs aux pratiques de l’organisation pour l’utilisation des informations secrètes d’authentification.','2020-04-16 05:51:24','2021-01-19 07:40:00',NULL,NULL), +(44,12,'Restriction d’accès à l’information','A.9.4.1','L’accès à l’information et aux fonctions d’application système est restreint conformément à la politique de contrôle d’accès.','- restrictions d\'accès à l\'information \r\n- application de ces restrictions','compter le nombre de différences','Vert : conforme\r\nOrange : conconformité mineure\r\nRouge : non-conforme','Revoir les restrictions d\'accès à l\'information et leur application','2020-04-17 01:50:04','2021-08-30 11:16:22',NULL,NULL), +(45,12,'Sécuriser les procédures de connexion','A.9.4.2','Lorsque la politique de contrôle d’accès l’exige, l’accès aux systèmes et aux applications est contrôlé par une procédure de connexion sécurisée.','- procédures de connexion sécurisée\r\n- application de la procédure de connexion','Vérifier l\'application des procédures de connexion sécurisée','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Lorsque la politique de contrôle d’accès l’exige, contrôler par une procédure de connexion sécurisée l\'accès aux systèmes et aux applications.','2020-04-17 01:54:56','2020-04-17 01:54:56',NULL,NULL), +(46,12,'Système de gestion des mots de passe','A.9.4.3','Les systèmes qui gèrent les mots de passe doivent être interactifs et doivent garantir la qualité des mots de passe.','- inventaire des systèmes qui gèrent des mots de passe\r\n- qualité des mots de passe\r\n- application de l\'objectif','vérifier que l\'objectif est atteint','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Faire l\'inventaire des systèmes qui gèrent les mots de passe, les configurer pour qu\'ils soient interactifs et qu\'ils garantissent la qualité des mots de passe.','2020-04-17 02:00:31','2021-08-30 11:16:06',NULL,NULL), +(47,12,'Utilisation de programmes utilitaires à privilèges','A.9.4.4','L’utilisation des programmes utilitaires permettant de contourner les mesures de sécurité d’un système ou d’une application doit être limitée et étroitement contrôlée.','- inventaire des programmes utilitaires\r\n- contrôles mis en place','Vérifier l\'application des contrôles sur l\'utilisation des programmes utilitaires','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Faire l\'inventaire des programmes utilitaires permettant de contourner les mesures de sécurité d’un système ou d’une application, limiter et étroitement contrôler leur utilisation.','2020-04-17 02:07:47','2020-04-17 02:07:47',NULL,NULL), +(48,12,'Contrôle d’accès au code source des programmes','A.9.4.5','L’accès au code source des programmes est restreint.','- inventaire du code source des programmes\r\n- restriction d\'accès au code source','Vérifier l\'effectivité de la restriction de l\'accès au code source des programmes.','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Restreindre l’accès au code source des programmes.','2020-04-17 02:10:43','2020-04-17 02:10:43',NULL,NULL), +(49,13,'Politique d’utilisation des mesures cryptographiques','A.10.1.1','Une politique d’utilisation des mesures cryptographiques en vue de protéger l’information est élaborée et mise en œuvre.','- Politique d\'utilisation des mesures de cryptographiques\r\n- Preuves d\'élaboration et de mise en œuvre de la politique','Compter le nombre non conformités','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Elaborer et mettre en œuvre une politique d’utilisation des mesures cryptographiques en vue de protéger l’information.','2020-04-17 02:21:00','2021-01-19 05:51:38',NULL,NULL), +(50,13,'Gestion des clés','A.10.1.2','Une politique sur l’utilisation, la protection et la durée de vie des clés cryptographiques est élaborée et mise en œuvre tout au long de leur cycle de vie.','- Politique sur l’utilisation, la protection et la durée de vie des clés cryptographiques\r\n- Preuve de mise en œuvre de politique','Vérifier l\'application de la politique','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Elaborer et mettre en œuvre une politique sur l’utilisation, la protection et la durée de vie des clés cryptographiques.','2020-04-17 02:24:15','2021-01-19 05:52:04',NULL,NULL), +(51,14,'Périmètre de sécurité physique','A.11.1.1','Des périmètres de sécurité sont définis et utilisés pour protéger les zones contenant l’information sensible ou critique et les moyens de traitement de l’information.','- définition des périmètres de sécurité\r\n- inventaire des zones contenant de l\'information sensible','Compter le nombre d\'anomalies','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Définir des périmètres de sécurité pour protéger les zones contenant l’information sensible ou critique et les moyens de traitement de l’information.','2020-04-17 02:50:43','2020-04-17 02:51:19',NULL,NULL), +(52,14,'Contrôle d’accès physique','A.11.1.2','Les zones sécurisées sont protégées par des contrôles adéquats à l’entrée pour s’assurer que seul le personnel autorisé est admis.','- inventaire des zones sécurisées\r\n- contrôles adéquats à l\'entrée\r\n- application des contrôles','Vérification l\'application des contrôles. \r\nCompter le nombre d\'anomalies.','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Mettre en place des contrôles adéquats à l’entrée des zones sécurisées pour s’assurer que seul le personnel autorisé est admis.','2020-04-17 03:05:14','2021-01-19 05:53:11',NULL,NULL), +(53,14,'Sécurisation des bureaux, des salles et des équipements','A.11.1.3','Des mesures de sécurité physique aux bureaux, aux salles et aux équipements sont conçues et appliquées.','- inventaire des bureaux, salles et équipements\r\n- mesures de sécurité physique\r\n- application des mesures','Vérifier l\'inventaire, les mesures de sécurité et l\'application des mesures.','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Concevoir et appliquer des mesures de sécurité physique aux bureaux, aux salles et aux équipements.','2020-04-17 03:14:06','2020-04-17 03:14:06',NULL,NULL), +(54,14,'Protection contre les menaces extérieures et environnementales','A.11.1.4','Des mesures de protection physique contre les désastres naturels, les attaques malveillantes ou les accidents sont conçues et appliquées.','- inventaire des désastres naturels attaques malveillantes ou les accidents pris en compte\r\n- mesures de protection physique\r\n- application de ces mesures','Vérifier l\'inventaire et l\'application des mesures. Compter le nombre d\'anomalies.','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Concevoir et appliquer des mesures de protection physique contre les désastres naturels, les attaques malveillantes ou les accidents.','2020-04-17 03:17:18','2021-01-19 06:06:30',NULL,NULL), +(55,14,'Travail dans les zones sécurisées','A.11.1.5','Des procédures pour le travail dans les zones sécurisées sont conçues et appliquées.','- procédure pour le travail dans les zones sécurisées \r\n- zones sécurisées\r\n- application de la procédure',NULL,'-','Concevoir et appliquer des procédures pour le travail dans les zones sécurisées.','2020-04-17 03:20:05','2020-10-05 06:06:53',NULL,NULL), +(56,14,'Zones de livraison et de chargement','A.11.1.6','Les points d’accès tels que les zones de livraison et de chargement et les autres points par lesquels des personnes non autorisées peuvent pénétrer dans les locaux sont contrôlés et isolés des moyens de traitement de l’information, de façon à éviter les accès non autorisés.','- inventaire des zones de livraison et de chargement\r\n- mesures de protection et d\'isolement\r\n- application des mesures','Vérifier l\'application des mesures d\'isolement des zones de livraison et de chargement.','Vert : conforme\r\nOrange : anomalies\r\nRouge: non-conforme','Isoler les points d’accès tels que les zones de livraison et de chargement et les autres points par lesquels des personnes non autorisées peuvent pénétrer dans les locaux.','2020-04-17 03:42:29','2021-01-19 06:07:00',NULL,NULL), +(57,14,'Emplacement et protection des matériels','A.11.2.1','Les matériels sont localisés et protégés de manière à réduire les risques liés à des menaces et des dangers environnementaux et les possibilités d’accès non autorisé.','- inventaire du matériel concerné\r\n- menaces et dangers environnementaux retenus\r\n- emplacements\r\n- mesures mises en œuvre','Vérifier l\'inventaire du matériel concerné et leurs emplacements.\r\nVérifier l\'application des mesures de protection.','-','Protéger les matériels contre les risques liés à des menaces et des dangers environnementaux et les possibilités d’accès non autorisé.','2020-04-17 04:10:43','2021-01-19 06:07:47',NULL,NULL), +(58,14,'Services généraux','A.11.2.2','Les matériels sont protégés des coupures de courant et autres perturbations dues à une défaillance des services généraux.','- inventaire du matériel concerné\r\n- mesures de protection','Vérifier l\'inventaire du matériel et l\'application des mesures de protection.','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Protéger les matériels des coupures de courant et autres perturbations dues à une défaillance des services généraux.','2020-04-17 04:15:13','2020-04-17 04:15:13',NULL,NULL), +(59,14,'Sécurité du câblage','A.11.2.3','Les câbles électriques ou de télécommunication transportant des données\r\nou supportant les services d’information sont protégés contre toute interception ou tout dommage.','- inventaire du câblage concerné \r\n- mesures de protection contre les interceptions et les dommages','Vérifier l\'inventaire du câblage et l\'application des mesures','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Protégés contre toute interception ou tout dommage les câbles électriques ou de télécommunication transportant des données ou supportant les services d’information.','2020-04-17 05:03:40','2022-03-08 12:30:15',NULL,NULL), +(60,14,'Maintenance des matériels','A.11.2.4','Les matériels sont entretenus correctement pour garantir leur disponibilité permanente et leur intégrité.','- inventaire du matériel concerné\r\n- mesures d’entretiens\r\n- preuves d\'application des mesures d\'entretien','Vérifier l\'inventaire du matériel concerné, les mesures d\'entretien et l\'application des mesures','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Entretenir correctement les matériels pour garantir leur disponibilité permanente et leur intégrité.','2020-04-17 05:08:27','2021-01-19 06:08:42',NULL,NULL), +(61,14,'Sortie des actifs','A.11.2.5','Les matériels, les informations ou les logiciels des locaux de l’organisation ne doivent pas sortir sans autorisation préalable.','- matériel, information ou logiciels dont la sortie est soumis à autorisation préalable\r\n- preuves de demandes d\'autorisation','Vérifier l\'inventaire du matériel.\r\nVérifier les preuves d\'autorisation de sortie du matériel.','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Mettre en place et faire appliquer une procédure de sortie des matériels, informations et/ou logiciels des locaux de l’organisation.','2020-04-17 06:00:33','2022-03-08 12:30:54',NULL,NULL), +(62,14,'Sécurité des matériels et des actifs hors des locaux','A.11.2.6','Des mesures de sécurité sont appliquées aux matériels utilisés hors des locaux de l’organisation en tenant compte des différents risques associés au travail hors site.','- mesures de sécurité appliquées\r\n- preuves d\'application des mesures de sécurité','Vérifier l\'application des mesures de sécurité','Vert : conforme\r\nOrange : non-conformité mineure\r\nRouge : non-conforme','Appliquer des mesures de sécurité aux matériels utilisés hors des locaux de l’organisation en tenant compte des différents risques associés au travail hors site.','2020-04-21 02:36:52','2020-04-21 02:36:52',NULL,NULL), +(63,14,'Mise au rebut ou recyclage sécurisé(e) des matériels','A.11.2.7','Tous les composants des matériels contenant des supports de stockage sont vérifiés pour s’assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant leur mise au rebut ou leur réutilisation.','- inventaire du matériel contenant des données sensibles\r\n- preuves d\'effacement des données','Vérifier que l\'inventaire est à jour.\r\nVérifier la présence des preuves d\'effacement des données','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','S’assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée du matériel contenant des données sensibles avant leur mise au rebut ou leur réutilisation.','2020-04-21 02:44:40','2021-01-28 08:39:33',NULL,NULL), +(64,14,'Matériels utilisateur laissés sans surveillance','A.11.2.8','Les utilisateurs s’assurent que les matériels non surveillés sont dotés d’une protection appropriée.','- matériel laissé sans surveillance\r\n- protection appropriée','Vérifier que le matériel laissé sans surveillance est doté d\'une protection appropriée.','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Sensibiliser les utilisateurs afin qu\'ils s’assurent que les matériels non surveillés sont dotés d’une protection appropriée.','2020-04-21 02:48:07','2020-04-21 02:48:07',NULL,NULL), +(65,14,'Politique du bureau propre et de l’écran verrouillé','A.11.2.9','Une politique du bureau propre pour les documents papier et les supports de stockage amovibles, et une politique de l’écran verrouillé pour les moyens de traitement de l’information sont adoptées.','- Politique du bureau propre\r\n- Respect de la politique par les utilisateurs','- Vérifier la présence et la mise à jour de la politique\r\n- Vérifier l\'adoption de la politique par les utilisateurs','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','- Revoir la politique du bureau propre pour les documents papier et les supports de stockage amovibles, \r\n- Sensibiliser les utilisateurs au respect de la politique du bureau propre et de l’écran verrouillé','2020-04-21 02:52:37','2022-03-08 12:31:55',NULL,NULL), +(66,15,'Procédures d’exploitation documentées','A.12.1.1','Les procédures d’exploitation sont documentées et mises à disposition de tous les utilisateurs concernés.','- procédure d\'exploitation\r\n- disponibilité des procédures aux utilisateurs','- Vérifier l\'existant et la mise à jour des procédures d\'exploitation\r\n- Vérifier la mise à disposition des procédures aux utilisateurs concernés','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Documenter et mettre à disposition des utilisateurs concernés les procédures d’exploitation.','2020-04-21 03:00:06','2020-04-21 05:02:10',NULL,NULL), +(67,15,'Gestion des changements','A.12.1.2','Les changements apportés à l’organisation, aux processus métier, aux systèmes et moyens de traitement de l’information ayant une incidence sur la sécurité de l’information sont contrôlés.','- Procédure de gestion des changements\r\n- Changements apportés ayant une incidence sur la sécurité de l\'information\r\n- Contrôle des changements','- Vérifier la mise à jour de la procédure\r\n- Vérifier que les changements sont contrôlés','Vert : conforme\r\nOrange : anomalies\r\nRouge : non conforme','Contrôler les changements apportés à l’organisation, aux processus métier, aux systèmes et moyens de traitement de l’information ayant une incidence sur la sécurité de l’information.','2020-04-21 03:10:08','2021-01-19 06:17:35',NULL,NULL), +(68,15,'Dimensionnement','A.12.1.3','L’utilisation des ressources est surveillée et ajustée et des projections sur les dimensionnements futurs sont effectuées pour garantir les performances exigées du système.','- ressources surveillées\r\n- preuves de surveillance et de dimensionnement des ressources\r\n- projection sur les dimensionnements futurs','- vérifier l\'inventaire des ressources surveillées\r\n- vérifier les preuves de surveillances\r\n- vérifier les projections effectuées','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Surveiller et ajuster l’utilisation des ressources et effectuer des projections sur les dimensionnements futurs pour garantir les performances exigées du système.','2020-04-21 03:24:50','2022-03-08 12:34:29',NULL,NULL), +(69,15,'Séparation des environnements de développement, de test et d’exploitation','A.12.1.4','Les environnements de développement, de test et d’exploitation sont séparés pour réduire les risques d’accès ou de changements non autorisés dans l’environnement en exploitation.','- inventaire des applications concernées\r\n- environnements de développement, de test et d\'exploitation\r\n- mesures de séparation des environnements','- Vérifier la présence des environnements pour chaque application\r\n- Vérifier l\'effectivité de la séparation des environnements','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Séparer les environnements de développement, de test et d’exploitation pour réduire les risques d’accès ou de changements non autorisés dans l’environnement en exploitation.','2020-04-21 03:34:11','2020-04-21 03:34:11',NULL,NULL), +(71,15,'Mesures contre les logiciels malveillants','A.12.2.1','Des mesures de détection, de prévention et de récupération conjuguées à une sensibilisation des utilisateurs adaptée sont mises en œuvre pour se protéger contre les logiciels malveillants.','- mesures de détection de préventions et de récupération\r\n- effectivité des mesures \r\n- plan de sensibilisation des utilisateurs','- Vérifier l’existence des mesures de détection, de prévention et de récupération\r\n- Vérifier que les mesures sont effectives\r\n- Vérifier qu\'une sensibilisation des utilisateurs a eu lieu','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Mettre en œuvre des mesures de détection, de prévention et de récupération conjuguées à une sensibilisation des utilisateurs adaptée, pour se protéger contre les logiciels malveillants.','2020-04-21 04:09:51','2021-01-19 06:19:09',NULL,NULL), +(72,15,'Sauvegarde des informations','A.12.3.1','Des copies de sauvegarde de l’information, des logiciels et des images système sont réalisées et testées régulièrement conformément à une politique de sauvegarde convenue.','- Politique de sauvegarde\r\n- Copies de sauvegarde\r\n- Tests de copies de sauvegarde','- Vérifier l\'existence et la mise à jour de la politique de sauvegarde\r\n- Existence des copies de sauvegarde\r\n- Tests des copies de sauvegarde','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','- Rédiger et valider une politique de sauvegarde.\r\n- Réalisés et testés régulièrement des copies de sauvegarde de l’information, des logiciels et des images système conformément à la politique de sauvegarde.','2020-04-21 04:14:39','2022-03-08 12:35:50',NULL,NULL), +(73,15,'Journalisation des événements','A.12.4.1','Des journaux d’événements enregistrant les activités de l’utilisateur, les exceptions, les défaillances et les événements liés à la sécurité de l’information sont créés, tenus à jour et vérifiés régulièrement.','- inventaire des journaux d\'événements\r\n- preuve de création et mise à jour des journaux','- vérifier l\'inventaire des journaux d\'événements\r\n- vérifier l\'existence et la mise à jour des journaux\r\n- vérifier l\'analyse des journaux','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Créer, tenir à jour et vérifier régulièrement des journaux d’événements enregistrant les activités des utilisateurs, les exceptions, les défaillances et les événements liés à la sécurité de l’information.','2020-04-21 04:28:22','2021-01-19 06:22:57',NULL,NULL), +(74,15,'Protection de l’information journalisée','A.12.4.2','Les moyens de journalisation et d’information journalisée sont protégés contre les risques de falsification ou d’accès non autorisé.','- inventaire des moyens de journalisation et d’information journalisée \r\n- mesures de protection contre les risques de falsification ou d\'accès non-autorisé\r\n- effectivité des mesures de protection','- Vérifier l\'inventaire\r\n- Vérifier les mesures de protection\r\n- Vérifier l\'effectivité des mesures de protection','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Protégés contre les risques de falsification ou d’accès non autorisé les moyens de journalisation et d’information journalisée.','2020-04-21 04:36:33','2020-04-21 04:36:58',NULL,NULL), +(75,15,'Journaux administrateur et opérateur','A.12.4.3','Les activités de l’administrateur système et de l’opérateur système sont journalisées, protégées et vérifiées régulièrement.','- inventaire des activités concernées\r\n- inventaire des journaux\r\n- revue des journaux','- Vérifier que les inventaires sont en place et à jour\r\n- Vérifier l\'effectivité de la revue','Vert : conforme\r\nOrange : anomalie\r\nRouge : non conforme','Journaliser, protéger et vérifier régulièrement les activités de l’administrateur système et de l’opérateur système.','2020-04-21 04:47:44','2021-01-19 06:40:55',NULL,NULL), +(76,15,'Synchronisation des horloges','A.12.4.4','Les horloges de l’ensemble des systèmes de traitement de l’information concernés d’une organisation ou d’un domaine de sécurité sont synchronisées sur une source de référence temporelle unique.','- inventaire des horloges concernées\r\n- source temporelle unique\r\n- mécanisme de synchronisation\r\n- effectivité de la synchronisation','Vérifier l\'inventaire des horloges\r\nVérifier la source temporelle unique\r\nVérifier la synchronisation des horloges sur la source','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Synchronisées sur une source de référence temporelle unique les horloges de l’ensemble des systèmes de traitement de l’information concernés d’une organisation ou d’un domaine de sécurité.','2020-04-21 04:51:27','2020-07-14 10:44:54',NULL,NULL), +(77,15,'Installation de logiciels sur les systèmes en exploitation','A.12.5.1','Des procédures sont mises en œuvre pour contrôler l’installation de logiciel sur les systèmes en exploitation.','- procédures de contrôle d\'installation\r\n- mise en oeuvre des mesures','Vérifier l\'effectivité de la procédure de contrôle d\'installation','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Mettre en œuvre des procédures sont mises en œuvre pour contrôler l’installation de logiciels sur les systèmes en exploitation.','2020-04-21 04:56:25','2021-03-17 13:44:46',NULL,NULL), +(78,15,'Gestion des vulnérabilités techniques','A.12.6.1','Des informations sur les vulnérabilités techniques des systèmes d’information en exploitation sont obtenues en temps opportun, l’exposition de l’organisation à ces vulnérabilités sont évaluée et les mesures appropriées sont prises pour traiter le risque associé.','- informations sur les vulnérabilités techniques\r\n- évaluation de l\'exposition\r\n- mesures prises pour traiter le risque','- Vérifier la réception d\'information sur les vulnérabilités techniques\r\n- Vérifier l\'évaluation de l\'exposition\r\n- Vérifier la prise de mesures pour traiter le risque','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Obtenir en temps opportun des informations sur les vulnérabilités techniques des systèmes d’information en exploitation.\r\nPrendre les mesures appropriées traiter le risque associé à l’exposition de l’organisation à ces vulnérabilités.','2020-04-21 05:13:19','2022-03-08 12:36:24',NULL,NULL), +(79,15,'Restrictions liées à l’installation de logiciels','A.12.6.2','Des règles régissant l’installation de logiciels par les utilisateurs sont établies et mises en œuvre.','- règles régissant l\'installation de logiciels par les utilisateurs\r\n- preuve d\'application de ces règles','Vérifier la définition et la communication des règles d\'installation de logiciels par les utilisateurs\r\nVérifier l\'application des règles','Vert : conforme\r\nOrange : anomalie\r\nRouge: non-conforme','Etablir et mettre en oeuvre des règles régissant l’installation de logiciels par les utilisateurs.','2020-04-21 05:19:26','2020-04-21 05:19:26',NULL,NULL), +(80,15,'Mesures relatives à l’audit des systèmes d’information','A.12.7.1','Les exigences et activités d’audit impliquant des vérifications sur des systèmes en exploitation sont prévues avec soin et validées afin de réduire au minimum les perturbations subies par les processus métier.','- exigences et activités d\'audit impliquant des vérifications sur des systèmes en exploitation\r\n- prévision et validation des activités\r\n- perturbations engendrées par ces vérifications','Vérifier les exigences\r\nVérifier la prévision et la validation des activités\r\nVérifier l’existence de perturbations engendrées par ces vérifications','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Prévoir avec soin et valider les exigences et activités d’audit impliquant des vérifications sur des systèmes en exploitation afin de réduire au minimum les perturbations subies par les processus métier.','2020-04-21 05:24:10','2021-01-19 06:46:51',NULL,NULL), +(81,16,'Contrôle des réseaux','A.13.1.1','Les réseaux sont gérés et contrôlés pour protéger l’information contenue dans les systèmes et les applications.','- réseaux concernés\r\n- contrôles mis en œuvre\r\n- vérification des contrôles','Vérifier que des contrôles sont en place et que ces contrôles sont effectifs','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Gérer et contrôler les réseaux pour protéger l’information contenue dans les systèmes et les applications.','2020-04-21 06:21:39','2021-01-19 06:47:40',NULL,NULL), +(82,16,'Sécurité des services de réseau','A.13.1.2','Pour tous les services de réseau, les mécanismes de sécurité, les niveaux de service et les exigences de gestion sont identifiés et intégrés dans les accords de services de réseau, que ces services soient fournis en interne ou externalisés.','- Inventaire des services de réseau concernés\r\n- Mécanismes de sécurité, niveaux de service et exigence de gestion identifiés','L\'inventaire des services de réseau concernés est complet et à jour\r\nLes mécanismes de sécurité de niveaux de service et les exigences sont identifiés\r\nIls sont intégrés dans les accords de service','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Pour tous les services de réseau, identifier et intégrer dans les accords de services de réseau, les mécanismes de sécurité, les niveaux de service et les exigences de gestion.','2020-04-21 06:27:38','2021-01-19 06:48:44',NULL,NULL), +(83,16,'Messagerie électronique','A.13.2.3','L’information transitant par la messagerie électronique doit être protégée de manière appropriée.','- mesures de protection mise en place\r\n- preuves de mise en place des mesures','Vérifier l\'effectivité des mesures de protection','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Protéger l’information transitant par la messagerie électronique de manière appropriée.','2020-04-22 01:40:59','2020-04-22 01:40:59',NULL,NULL), +(84,16,'Engagements de confidentialité ou de non-divulgation','A.13.2.4','Les exigences en matière d’engagements de confidentialité ou de non-divulgation sont identifiées, vérifiées régulièrement et documentées conformément aux besoins de l’organisation.','- exigences en matière d\'engagement de confidentialité ou de non-divulgation\r\n- vérification et documentation des exigences','Vérifier que les exigences sont identifiées et documentées','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Identifier, vérifier et documenter les exigences en matière d’engagements de confidentialité ou de non-divulgation.','2020-04-22 01:45:25','2022-03-08 12:37:30',NULL,NULL), +(85,16,'Cloisonnement des réseaux','A.13.1.3','Les groupes de services d’information, d’utilisateurs et de systèmes d’information sont cloisonnés sur les réseaux.','- inventaire des groupes de services d\'information, d\'utilisateurs et de systèmes d\'information\r\n- mesures de cloisonnement réseau','- vérifier l\'inventaire\r\n- vérifier la mise en place des mesures de cloisonnement réseau','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Cloisonner sur les réseaux les groupes de services d’information, d’utilisateurs et de systèmes d’information.','2020-04-22 01:55:53','2020-04-22 01:55:53',NULL,NULL), +(86,16,'Politiques et procédures de transfert de l’information','A.13.2.1','Des politiques, des procédures et des mesures de transfert formelles sont mises en place pour protéger les transferts d’information transitant par tous types d’équipements de communication.','- Politiques, procédures et mesures de transfert de l\'information','- Vérifier l\'existence et la mise à jour des politiques, des procédures et des mesures et la mise en place des mesures\r\n- Compter le nombre d\'anomalies','Vert : conforme\r\nOrange : =1 anomalie\r\nRouge : >1 anomalie','Mettre en place des politiques, des procédures et des mesures de transfert formelles pour protéger les transferts d’information transitant par tous types d’équipements de communication.','2020-04-22 02:00:14','2021-01-22 13:35:32',NULL,NULL), +(87,16,'Accords en matière de transfert d’information','A.13.2.2','Des accords traitent du transfert sécurisé de l’information liée à l’activité entre l’organisation et les tiers.','- inventaire des accords concernés\r\n- termes des accords','Vérifier l\'inventaire et les termes des accords','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Mettre en place des accords traitant du transfert sécurisé de l’information liée à l’activité entre l’organisation et les tiers.','2020-04-22 02:05:09','2020-04-22 02:05:09',NULL,NULL), +(88,17,'Analyse et spécification des exigences de sécurité de l’information','A.14.1.1','Les exigences liées à la sécurité de l’information sont intégrées aux exigences des nouveaux systèmes d’information ou des améliorations de systèmes d’information existants.','- exigences liées à la sécurité de l\'information\r\n- inventaire des nouveaux systèmes et des améliorations des systèmes d\'information existants','- Vérifier l\'existence et la mise à jour des exigences\r\n- Vérifier l\'intégration des exigences aux nouveaux systèmes et des améliorations des systèmes existants','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Intégrer les exigences liées à la sécurité de l’information aux exigences des nouveaux systèmes d’information ou des améliorations de systèmes d’information existants.','2020-04-22 02:28:07','2021-01-19 06:51:06',NULL,NULL), +(89,17,'Sécurisation des services d’application sur les réseaux publics','A.14.1.2','Les informations liées aux services d’application transmises sur les réseaux publics sont protégées contre les activités frauduleuses, les différents contractuels, ainsi que la divulgation et la modification non autorisées.','- services d\'application transmis sur les réseaux publics\r\n- mesures de protection','- vérifier l\'inventaire des services réseau\r\n- vérifier l\'effectivité des mesures','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Protéger contre les activités frauduleuses, les différents contractuels, ainsi que la divulgation et la modification non autorisées les informations liées aux services d’application transmises sur les réseaux publics.','2020-04-22 03:26:51','2021-01-19 06:52:15',NULL,NULL), +(90,17,'Protection des transactions liées aux services d’application','A.14.1.3','Les informations impliquées dans les transactions liées aux services d’application sont protégées pour empêcher une transmission incomplète, des erreurs d’acheminement, la modification non autorisée, la divulgation non autorisée, la duplication non autorisée du message ou sa réémission.','- transactions liées aux services d\'application\r\n- mesures de protection','Vérifier l\'inventaire des transactions liées aux services d\'application\r\nVérifier que les mesures de protection sont en place','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Protéger les informations impliquées dans les transactions liées aux services d’application pour empêcher une transmission incomplète, des erreurs d’acheminement, la modification non autorisée, la divulgation non autorisée, la duplication non autorisée du message ou sa réémission.','2020-04-22 03:31:29','2021-10-25 02:32:39',NULL,NULL), +(91,17,'Politique de développement sécurisé','A.14.2.1','Des règles de développement des logiciels et des systèmes sont établies et appliquées aux développements de l’organisation.','- règles de développement\r\n- développements réalisés\r\n- preuves d\'application des règles','- Vérifier l\'existence des règles de développement et leur mise à jour\r\n- Vérifier l\'application des règles de développement','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Etablir et appliquer des règles de développement des logiciels et des systèmes aux développements de l’organisation.','2020-04-22 03:38:55','2021-01-19 06:53:06',NULL,NULL), +(92,17,'Procédures de contrôle des changements de système','A.14.2.2','Les changements des systèmes dans le cadre du cycle de développement sont contrôlés par le biais de procédures formelles.','- procédure de gestion des changements\r\n- changements réalisés','- Vérifier la procédure gestion des changements et sa mise à jour\r\n- Vérifier que les changements réalisés suivent la procédure','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Contrôler les changements des systèmes dans le cadre du cycle de développement par le biais de procédures formelles.','2020-04-22 03:47:38','2020-04-22 03:48:05',NULL,NULL), +(93,17,'Revue technique des applications après changement apporté à la plateforme d’exploitation.','A.14.2.3','Lorsque des changements sont apportés aux plateformes d’exploitation, les applications critiques métier sont vérifiées et testées afin de vérifier l’absence de tout effet indésirable sur l’activité ou sur la sécurité.','- changements apportés\r\n- tests réalisés','Vérifier que des tests sont réalisés lors des changements','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Vérifier et tester les applications critiques métier afin de vérifier l’absence de tout effet indésirable sur l’activité ou sur la sécurité lorsque de changements apportés aux plateformes d’exploitation.','2020-04-22 03:52:54','2020-04-22 03:52:54',NULL,NULL), +(94,17,'Restrictions relatives aux changements apportés aux progiciels','A.14.2.4','Les modifications des progiciels ne sont pas encouragées, sont limitées aux changements nécessaires et tout changement est strictement contrôlé.','- inventaire des progiciels\r\n- changements réalisés\r\n- contrôles réalisés','Vérifier que les changements réalisés aux progiciels sont nécessaires et contrôlés','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Ne pas encourager les modifications des progiciels, les limiter aux changements nécessaires, et les contrôler strictement.','2020-04-22 04:02:53','2021-01-19 06:53:31',NULL,NULL), +(95,17,'Principes d’ingénierie de la sécurité des systèmes','A.14.2.5','Des principes d’ingénierie de la sécurité des systèmes sont établis, documentés, tenus à jour et appliqués à tous les travaux de mise en œuvre des systèmes d’information.','- principes d\'ingénierie de la sécurité des systèmes\r\n- travaux de mise en œuvre des systèmes d\'information','- Vérifier que les principes d\'ingénierie sont établis et mis à jour\r\n- Vérifier que ces principes sont appliqués dans les travaux de mise en ouvre des systèmes d\'information','Vert: conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Etablir et documenter des principes d’ingénierie de la sécurité des systèmes, les tenir à jour et les appliquer à tous les travaux de mise en œuvre des systèmes d’information.','2020-04-22 04:07:16','2021-01-19 06:54:11',NULL,NULL), +(96,17,'Environnement de développement sécurisé','A.14.2.6','Les organisations établissent des environnements de développement sécurisés pour les tâches de développement et d’intégration du système, qui englobe l’intégralité du cycle de vie du développement du système, et en assurer la protection de manière appropriée.','- environnements de développement sécurisé\r\n- mesures de protection appliquées','Vérifier que des mesures de protection sont apportées aux environnements de développement sécurisé','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Etablir des environnements de développement sécurisés pour les tâches de développement et d’intégration du système, qui englobe l’intégralité du cycle de vie du développement du système, et en assurer la protection de manière appropriée.','2020-04-22 04:16:33','2021-01-19 06:54:51',NULL,NULL), +(97,17,'Développement externalisé','A.14.2.7','L’organisation supervise et contrôle l’activité de développement du système externalisée.','- développements du système externalisés\r\n- contrôles réalisés','Vérifier que des contrôles sont réalisés sur les développements externalisés.','Vert : conforme\r\nOrange : anomalie\r\nRourge : non-conforme','Superviser et contrôler l’activité de développement du système externalisée.','2020-04-22 04:23:24','2022-03-08 12:38:08',NULL,NULL), +(98,17,'Test de la sécurité du système','A.14.2.8','Les tests de fonctionnalité de la sécurité sont réalisés pendant le développement.','- développements réalisés\r\n- tests de fonctionnalité de la sécurité','Vérifier que des tests de fonctionnalité de la sécurité sont réalisés','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Réaliser des tests de fonctionnalité de la sécurité pendant le développement.','2020-04-22 04:26:44','2020-04-22 04:26:44',NULL,NULL), +(99,17,'Test de conformité du système','A.14.2.9','Des programmes de test de conformité et des critères associés sont déterminés pour les nouveaux systèmes d’information, les mises à jour et les nouvelles versions.','- programmes de tests de conformités\r\n- nouveaux systèmes, mises à jour et nouvelles versions\r\n- tests réalisés','Vérifier que des tests sont réalisés sur les nouveaux systèmes, mises à jour et nouvelles versions.','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Déterminer pour les nouveaux systèmes d’information, les mises à jour et les nouvelles versions, des programmes de test de conformité et des critères associés.','2020-04-22 04:34:38','2020-04-22 04:34:38',NULL,NULL), +(100,17,'Protection des données de test','A.14.3.1','Les données de test sont sélectionnées avec soin, protégées et contrôlées.','- données de test\r\n- mesures de protection','Vérifier l\'application des mesures de protection aux données de test','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Sélectionner avec soin, protéger et contrôler les données de test.','2020-04-22 04:37:26','2020-04-22 04:37:26',NULL,NULL), +(101,18,'Politique de sécurité de l’information dans les relations avec les fournisseurs','A.15.1.1','Des exigences de sécurité de l’information pour limiter les risques résultant de l’accès des fournisseurs aux actifs de l’organisation sont acceptées par le fournisseur et documentées.','- fournisseurs soumis aux exigences de sécurité de l\'information\r\n- exigences de sécurité de l\'information\r\n- acceptations par les fournisseurs','- Vérifier que les exigences sont documentées et mises à jour\r\n- Vérifier que les mesures sont acceptées par les fournisseurs','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Définir et faire accepter par les fournisseurs des exigences de sécurité de l’information pour limiter les risques résultant de l’accès de ces fournisseurs aux actifs de l’organisation.','2020-04-22 05:02:50','2021-01-19 06:58:21',NULL,NULL), +(102,18,'La sécurité dans les accords conclus avec les fournisseurs','A.15.1.2','Les exigences applicables liées à la sécurité de l’information sont établies et convenues avec chaque fournisseur pouvant accéder, traiter, stocker, communiquer ou fournir des composants de l’infrastructure informatique destinés à l’information de l’organisation.','- exigences applicables liées à la sécurité de l’information\r\n- fournisseurs concernés\r\n- convention avec les fournisseurs','- Vérifier que les exigences sont documentées et mises à jour\r\n- Vérifier que les exigences sont convenues avec les fournisseurs','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Etablir et convenir avec chaque fournisseur pouvant accéder, traiter, stocker, communiquer ou fournir des composants de l’infrastructure informatique destinés à l’information de l’organisation, des exigences applicables liées à la sécurité de l’information.','2020-04-22 05:12:06','2021-01-19 06:59:02',NULL,NULL), +(103,18,'Chaîne d’approvisionnement des produits et des services informatiques','A.15.1.3','Les accords conclus avec les fournisseurs comprennent des exigences sur le traitement des risques liés à la sécurité de l’information associés à la chaîne d’approvisionnement des produits et des services informatiques.','- fournisseurs concernés\r\n- exigences sur le traitement des risques\r\n- accords conclus avec ces fournisseurs','Vérifier les exigences sont documentées\r\nVérifier que les accords conclus contiennent les exigences','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Inclure dans les accords conclus avec les fournisseurs, des exigences sur le traitement des risques liés à la sécurité de l’information associé à la chaîne d’approvisionnement des produits et des services informatiques.','2020-04-22 05:33:41','2021-01-19 07:04:25',NULL,NULL), +(104,18,'Surveillance et revue des services des fournisseurs','A.15.2.1','L\'organisation surveille, vérifie et audite à intervalles réguliers la prestation des services assurés par les fournisseurs.','- Fournisseurs concernés\r\n- Surveillances, vérifications et audits effectués','Vérifier que les contrôles ont lieu','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Surveiller, vérifier et auditer à intervalles réguliers la prestation des services assurés par les fournisseurs.','2020-04-22 05:37:36','2020-04-22 05:37:36',NULL,NULL), +(105,18,'Gestion des changements apportés dans les services des fournisseurs','A.15.2.2','Les changements effectués dans les prestations de service des fournisseurs, comprenant le maintien et l’amélioration des politiques, procédures et mesures existant en matière de sécurité de l’information, sont gérés en tenant compte du caractère critique de l’information, des systèmes et des processus concernés et de la réappréciation des risques.','- fournisseurs concernés\r\n- changements effectués dans les prestations de service','Vérifier que les changements sont gérés en tenant compte du caractère critique de l’information, des systèmes et des processus concernés et de la réappréciation des risques','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Gérer les changements effectués dans les prestations de service des fournisseurs, comprenant le maintien et l’amélioration des politiques, procédures et mesures existant en matière de sécurité de l’information, en tenant compte du caractère critique de l’information, des systèmes et des processus concernés et de la réappréciation des risques.','2020-04-22 06:03:32','2020-04-22 06:03:32',NULL,NULL), +(106,19,'Responsabilités et procédures','A.16.1.1','Des responsabilités et des procédures permettant de garantir une réponse rapide, efficace et pertinente sont établies en cas d’incident lié à la sécurité de l’information.','- procédure de gestion des incidents\r\n- date de mise à jour','Vérifier que les responsabilités dans la gestion des incidents sont définies\r\nVérifier que la procédure de gestion des incidents existe et est à jour','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Etablir des responsabilités et des procédures permettant de garantir une réponse rapide, efficace et pertinente en cas d’incident lié à la sécurité de l’information.','2020-04-23 01:47:52','2020-04-23 01:47:52',NULL,NULL), +(107,19,'Signalement des événements liés à la sécurité de l’information','A.16.1.2','Les événements liés à la sécurité de l’information sont signalés dans les meilleurs délais par les voies hiérarchiques appropriées.','- Procédure de gestion des incidents\r\n- Exemple d\'incident signalé par les voies hiérarchiques','Vérifier l\'existence de la procédure, son application et sa mise à jour','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Signaler les événements liés à la sécurité de l’information dans les meilleurs délais par les voies hiérarchiques appropriées.','2020-04-23 02:01:34','2021-01-19 07:06:13',NULL,NULL), +(108,19,'Signalement des failles liées à la sécurité de l’information','A.16.1.3','Les salariés et les sous-traitants utilisant les systèmes et services d’information de l’organisation notent et signalent toute faille de sécurité observée ou soupçonnée dans les systèmes ou services.','- Procédure de gestion des incidents\r\n- Notifications par les salariés et les sous-traitants','- Vérifier que la notification est faite aux salariés et sous-traitants','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Sensibiliser les salariés et les sous-traitants utilisant les systèmes et services d’information de l’organisation afin qu\'ils notent et signalent toute faille de sécurité observée ou soupçonnée dans les systèmes ou services.','2020-04-23 02:22:40','2020-04-23 02:22:40',NULL,NULL), +(109,19,'Réponse aux incidents liés à la sécurité de l’information','A.16.1.5','Les incidents liés à la sécurité de l’information sont traités conformément aux procédures documentées.','Procédure de gestion des incidents de sécurité\r\nPreuves d\'application de la procédure','Vérifier que la procédure existe et est à jour\r\nVérifier que la procédure est suivie','Vert: conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Traiter les incidents liés à la sécurité de l’information conformément aux procédures documentées.','2020-04-23 02:26:46','2020-04-23 02:26:46',NULL,NULL), +(110,19,'Tirer des enseignements des incidents liés à la sécurité de l’information','A.16.1.6','Les connaissances recueillies suite à l’analyse et la résolution d’incidents sont utilisées pour réduire la probabilité ou l’impact d’incidents ultérieurs.','- Procédure de gestion des incidents\r\n- Preuves d\'utilisation des connaissances','Vérifier l\'existence de l\'amélioration dans la procédure\r\nVérifier l\'existence de preuve d\'amélioration','Vert: conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Utiliser les connaissances recueillies suite à l’analyse et la résolution d’incidents pour réduire la probabilité ou l’impact d’incidents ultérieurs.','2020-04-23 02:30:28','2020-04-23 02:30:28',NULL,NULL), +(111,19,'Collecte de preuves','A.16.1.7','L’organisation définit et applique des procédures d’identification, de collecte, d’acquisition et de protection de l’information pouvant servir de preuve.','- procédure de collecte de preuves\r\n- preuve de collecte de preuves','Vérifier la documentation de la collecte de preuve dans la procédure\r\nVérifier l\'application de la collecte de preuve','Vert : conforme\r\nOrange : anomalie\r\nRouge : non conforme','Définir et appliquer des procédures d’identification, de collecte, d’acquisition et de protection de l’information pouvant servir de preuve.','2020-04-23 02:33:57','2020-04-23 02:33:57',NULL,NULL), +(112,20,'Organisation de la continuité de la sécurité de l’information','A.17.1.1','L’organisation détermine ses exigences en matière de sécurité de l’information et de continuité de management de la sécurité de l’information dans des situations défavorables, comme lors d’une crise ou d’un sinistre.','- Procédure de gestion de la continuité d\'activité\r\n- exigence en matière de sécurité et de continuité','Vérifier l\'existence et la mise à jour de la procédure\r\nVérifier les exigences en matière de sécurité et de continuité','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Déterminer ses exigences en matière de sécurité de l’information et de continuité de management de la sécurité de l’information dans des situations défavorables, comme lors d’une crise ou d’un sinistre.','2020-04-23 02:42:30','2020-04-23 02:42:30',NULL,NULL), +(113,20,'Mise en œuvre de la continuité de la sécurité de l’information','A.17.1.2','L’organisation établit, documente, met en œuvre et tient à jour des processus, des procédures et des mesures permettant de fournir le niveau requis de continuité de sécurité de l’information au cours d’une situation défavorable.','- Procédure de continuité de la sécurité de l\'information\r\n- Preuves de mise en œuvre de la procédure','Vérifier l\'existence et la mise à jour de la procédure\r\nVérifier la mise en œuvre de la procédure','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Établir, documenter, mettre en œuvre et tenir à jour des processus, des procédures et des mesures permettant de fournir le niveau requis de continuité de sécurité de l’information au cours d’une situation défavorable.','2020-04-23 02:48:28','2020-04-28 11:12:39',NULL,NULL), +(114,20,'Vérifier, revoir et évaluer la continuité de la sécurité de l’information','A.17.1.3','L’organisation vérifie les mesures de continuité de la sécurité de l’information mises en œuvre à intervalles réguliers afin de s’assurer qu’elles sont valables et efficaces dans des situations défavorables.','- Procédure de continuité de la sécurité de l\'information\r\n- Preuves de vérification des mesures','Vérifier l\'existence de la documentation et sa mise à jour\r\nExistence de vérification des mesures','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Vérifier les mesures de continuité de la sécurité de l’information à intervalles réguliers afin de s’assurer qu’elles sont valables et efficaces dans des situations défavorables.','2020-04-23 02:57:01','2020-04-23 02:57:01',NULL,NULL), +(115,20,'Disponibilité des moyens de traitement','A.17.2.1','Des moyens de traitement de l’information sont mis en œuvre avec suffisamment de redondances pour répondre aux exigences de disponibilité.','- Inventaire des moyens de traitement de l\'information concernés\r\n- exigence de disponibilité\r\n- preuve de redondance','- Vérifier que l\'inventaire est à jour\r\n- Vérifier les exigences de disponibilité\r\n- Vérifier l\'existence de preuves de redondance','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Mettre en œuvre des moyens de traitement de l’information avec suffisamment de redondances pour répondre aux exigences de disponibilité.','2020-04-23 03:01:36','2021-01-19 07:06:48',NULL,NULL), +(116,21,'Identification de la législation et des exigences contractuelles applicables','A.18.1.1','Toutes les exigences légales, statutaires, réglementaires et contractuelles en vigueur, ainsi que l’approche adoptée par l’organisation pour satisfaire à ces exigences sont explicitement définies, documentées et mises à jour pour chaque système d’information et pour l’organisation elle-même.','- inventaire des exigences légales, statutaires, réglementaires et contractuelles en vigueur\r\n- approche adoptée par l’organisation pour satisfaire à ces exigences','- vérifier que l\'inventaire est à jour\r\n- vérifier que l\'approche est documentée','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Définir explicitement, documenter et mettre à jour toutes les exigences légales, statutaires, réglementaires et contractuelles en vigueur, ainsi que l’approche adoptée par l’organisation pour satisfaire à ces exigences pour chaque système d’information et pour l’organisation elle-même.','2020-04-24 01:41:07','2020-04-24 01:41:07',NULL,NULL), +(117,21,'Droits de propriété intellectuelle','A.18.1.2','Des procédures appropriées sont mises en œuvre pour garantir la conformité avec les exigences légales, réglementaires et contractuelles relatives à la propriété intellectuelle et à l’usage des licences de logiciels propriétaires.','- procédure pour garantir la propriété intellectuelle\r\n- preuves d\'application de la procédure','- Vérifier l\'existence de la procédure et sa mise à jour\r\n- Vérifier les preuves d\'application de la procédure','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Mettre en œuvre des procédures appropriées pour garantir la conformité avec les exigences légales, réglementaires et contractuelles relatives à la propriété intellectuelle et à l’usage des licences de logiciels propriétaires.','2020-04-24 01:44:27','2020-04-24 01:44:27',NULL,NULL), +(118,21,'Protection des enregistrements','A.18.1.3','Les enregistrements sont protégés de la perte, de la destruction, de la falsification, des accès non autorisés et des diffusions non autorisées, conformément aux exigences légales, réglementaires, contractuelles et aux exigences métier.','- mesures de protection des enregistrements\r\n- exigences légales, réglementaires, contractuelles et aux exigences métier\r\n- preuves d\'application des mesures','- Vérifier que les mesures respectent les exigences.\r\n- Vérifier les preuves d\'application des mesures','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Protéger les enregistrements de la perte, de la destruction, de la falsification, des accès non autorisés et des diffusions non autorisées, conformément aux exigences légales, réglementaires, contractuelles et aux exigences métier.','2020-04-24 01:55:33','2021-01-19 07:07:25',NULL,NULL), +(119,21,'Protection de la vie privée et protection des données à caractère personnel','A.18.1.4','La protection de la vie privée et la protection des données à caractère personnel sont garanties telles que l’exigent la législation ou les réglementations applicables, et les clauses contractuelles le cas échéant.','- Politique vie privée\r\n- mesures de protection','- Vérifier l\'existence et la mise à jour de la politique vie privée\r\n- Vérifier l\'application des mesures de protection','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Garantir la protection de la vie privée et la protection des données à caractère personnel telles que l’exigent la législation ou les réglementations applicables, et les clauses contractuelles le cas échéant.','2020-04-24 02:13:27','2020-04-24 02:13:27',NULL,NULL), +(120,21,'Réglementation relative aux mesures cryptographiques','A.18.1.5','Des mesures cryptographiques sont prises conformément aux accords, législations et réglementations applicables.','- Mesures cryptographiques\r\n- Accords, législation et réglementations applicables\r\n- Preuves d\'application des mesures','- Vérifier que les mesures sont conformes aux accords, législations et réglementations applicables\r\n- Vérifier les preuves d\'application des mesures','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Prendre des mesures cryptographiques conformément aux accords, législation et réglementations applicables.','2020-04-24 02:18:47','2022-03-08 12:39:55',NULL,NULL), +(121,21,'Revue indépendante de la sécurité de l’information','A.18.2.1','Des revues régulières et indépendantes de l’approche retenue par l’organisme pour gérer et mettre en œuvre la sécurité de l’information (à savoir le suivi des objectifs de sécurité, les mesures, les politiques, les procédures et les processus relatifs à la sécurité de l’information) sont effectuées à intervalles définis ou lorsque des changements importants sont intervenus.','- Revues indépendantes\r\n- Plan de suivi des revues','Vérifier qu\'une revue a eu lieu\r\nVérifier que des plans de suivis sont en place','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Effectuer une revue indépendante de l’approche retenue par l’organisme pour gérer et mettre en œuvre la sécurité de l’information (à savoir le suivi des objectifs de sécurité, les mesures, les politiques, les procédures et les processus relatifs à la sécurité de l’information) et mettre en place un plan de suivi de la revue.','2020-04-24 02:23:51','2021-07-19 06:51:59',NULL,NULL), +(122,21,'Conformité avec les politiques et les normes de sécurité','A.18.2.2','Les responsables vérifient régulièrement la conformité du traitement de l’information et des procédures dont ils sont chargés au regard des politiques, des normes de sécurité applicables et autres exigences de sécurité.','- domaines concernés\r\n- procédure et traitements\r\n- preuve des vérifications effectuées','Vérifier que des vérifications sont effectuées','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Faire vérifier per les responsables la conformité du traitement de l’information et des procédures dont ils sont chargés au regard des politiques, des normes de sécurité applicables et autres exigences de sécurité.','2020-04-24 02:35:42','2021-01-19 07:09:07',NULL,NULL), +(123,21,'Vérification de la conformité technique','A.18.2.3','Les systèmes d’information sont examinés régulièrement quant à leur conformité avec les politiques et les normes de sécurité de l’information de l’organisation.','- inventaire des systèmes d\'information concernés\r\n- preuves de vérification','- Vérifier que l\'inventaire est pertinent\r\n- Vérifier l\'existence des preuves','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Examiner les systèmes d’information quant à leur conformité avec les politiques et les normes de sécurité de l’information de l’organisation.','2020-04-24 02:38:18','2021-08-30 11:17:21',NULL,NULL), +(126,7,'Compréhension de l\'organisation et de son contexte','4.x','- L\'organisation doit déterminer les enjeux externes et internes pertinents compte tenu de sa mission et qui influent sur sa capacité à obtenir les résultats attendus de son SMSI ;\r\n- Avoir une compréhension des besoins et des attentes des parties intéressées ;\r\n- Détermination du domaine d’application du système de management de la sécurité \r\nde l’information ; et\r\n- Etablir, mettre en œuvre, tenir à jour et améliorer continuellement un système de management de la sécurité de l’information, conformément aux exigences de la présente Norme internationale.','- enjeux externes et internes de l\'organisation\r\n- compréhension des besoins et des attentes des parties intéressées\r\n- déclaration d\'applicabilité\r\n- système de management de la sécurité de l’information','Conformité et complétude de la documentation du contexte','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Revoir la compréhension de l\'organisation et de son contexte','2021-03-15 11:39:55','2021-03-25 09:22:29',NULL,NULL), +(130,7,'Leadership','5.x','Les rôles, responsabilités et autorités en matière de sécurité de l\'information sont définis et assignés au sein de l\'organisation\r\nLes personnes responsables sont identifiées nominativement','- Définitions des rôles, responsabilités et autorités en matière de sécurité de l\'information\r\n- Personnes responsables de ces rôles sont désignées','Vérifier les définition et assignations','- Vert : OK\r\n- Rouge : Anomalies','Définir les rôles, responsabilités et autorités en matière de sécurité de l\'information au sein de l\'organisation\r\nDésigner les personnes responsables des différents rôles','2021-03-22 08:59:09','2023-03-12 14:26:07',NULL,NULL), +(131,7,'Planification','6.x','L\'organisation doit :\r\n- Apprécier les risques de sécurité de l’information ;\r\n- Traiter les risques de sécurité de l’information ;\r\n- Définir et appliquer un processus d’appréciation des risques de sécurité de l’information ; et\r\n- Etablir des objectifs de sécurité de l’information.','- Appréciation des risques\r\n- Plan de traitement des risques\r\n- Appréciation des risques\r\n- Objetifs de sécurité de l\'information','Conformité et complétude de la planification','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Revoir la planification de l\'organisation','2021-03-25 09:30:28','2022-03-08 12:25:51',NULL,NULL), +(132,7,'Support','7.x','L’organisation doit :\r\n- Identifier et fournir les ressources nécessaires à l’établissement, la mise en œuvre, la tenue à jour et l’amélioration continue du système de management de la sécurité de l’information ;\r\n- Déterminer les compétences nécessaires de la ou des personnes effectuant, sous son contrôle, un travail qui a une incidence sur les performances de la sécurité de l’information ;\r\n- Sensibilisées à la politique de sécurité de l’information ;\r\n- Déterminer les besoins de communication interne et externe pertinents pour le système de management de la sécurité de l’information ; et\r\n- Documenter son Système de Management de la Sécurité de l\'Information.','- ressources nécessaires\r\n- compétences nécessaires\r\n- besoins de communication\r\n- processus de documentation',NULL,NULL,NULL,'2021-03-25 09:57:55','2021-03-25 09:57:55',NULL,NULL), +(133,7,'Fonctionnement','8.x','L\'organisation doit :\r\n- planifier, mettre en œuvre et contrôler les processus nécessaires à la satisfaction des exigences liées à la sécurité de l’information\r\n- Réaliser des appréciations des risques de sécurité de l’information ; et\r\n- Mettre en œuvre le plan de traitement des risques de sécurité de l’information.','- contrôle des processus\r\n- appréciations des risques\r\n- plans de traitement des risques','Conformité et complétude du fonctionnement','Vert : conforme\r\nOrange : anomalies\r\nRouge : non-conforme','Revoir le fonctionnement de l\'organisation','2021-03-25 11:24:56','2021-03-25 11:24:56',NULL,NULL), +(134,19,'Appréciation des événements liés à la sécurité de l’information et prise de décision','A.16.1.4','Apprécier les événements liés à la sécurité de l’information et de décider s’ils doivent être classés comme incidents liés à la sécurité de l’information.','- liste des incidents\r\n- processus de sélection\r\n- liste des incidents liés à la sécurité de l\'information','Vérifier que le processus de sélection est appliqué','Vert : conforme\r\nOrange : anomalie\r\nRouge : non-conforme','Revoir le processus d\'appréciation des incidents','2021-04-15 11:43:49','2022-03-08 12:39:03',NULL,NULL), +(135,13,'Chiffrement des réseaux sans-fils','A.10.1.1','Vérifier que les algorithmes de chiffrement des réseaux sans-fils respectent la politique de chiffrement.','- Politique de Chiffrement\r\n- Algorithmes de chiffrement utilisés','Compter le nombre d\'algorithmes qui ne respectent pas la politique de chiffrement','0 : Vert\r\n>=1 : Rouge','Revoir les algorithmes de chiffrement utilisés dans les réseaux sans-fils','2021-10-25 07:53:03','2022-03-08 12:28:40',NULL,NULL), +(136,13,'Chiffrement des flux HTTPS','A.10.1.1','Vérifier que les algorithmes de chiffrement utilisés et les clés utilisés pour chiffrer les flux HTTPS respectent la politique de chiffrement','- Politique de chiffrement\r\n- Clés de chiffrement et algorithmes utilisés pour chiffrer les flux HTTPS','Compter le nombre de flux qui ne respectent pas la politique de chiffrement','0 : Vert\r\n>=1 : Rouge','Revoir le chiffrement des flux HTTPS non-conformes.','2021-10-25 07:56:07','2021-10-25 07:56:07',NULL,NULL), +(137,11,'Revue de l\'inventaire des équipements réseau','A.8.1.1','S\'assurer que l\'inventaire des équipements réseau est à jour.','- inventaire des équipements réseau extrait de Mercator\r\n- contrôle physique de l\'inventaire','Néant','Vert : le contrôle a été réalisé et les corrections effectuées\r\nRouge : le contrôle n\'a pas été réalisé','Faire le contrôle de l\'inventaire des équipements réseau.','2021-11-29 10:32:44','2022-03-08 12:40:57',NULL,NULL), +(138,12,'Sécurité des connexions externes','A.9.4.2','Vérifier les règles mises en place pour autoriser les fournisseurs externes à accéder au système d\'information.','- Liste des fournisseurs concernés\r\n- Justification d\'accès\r\n- Systèmes concernés\r\n- Règles d\'accès mises en place','Vérifier que les règles sont documentées, justifiées et limitées uniquement à ce qui est nécessaire.','Vert : conforme\r\nRouge : anomalies constatées','Revoir les règles d\'accès des forunisseurs externes au système d\'information.','2022-02-14 11:28:08','2022-03-08 12:43:52',NULL,NULL), +(139,12,'Mots de passe partagés','A9.4.3','Les mots de passe partagés sont conservés dans une application spécifique.\r\nL\'accès à ces mots de passes est tracé.\r\nUne copie des mots de passe est conservée de manière sécurisée.','- Inventaires des mots de passe partagés\r\n- Vérifier la copie sécurisée des mots de passe partagés','Compter le nombre d\'anomalies','Vert : conforme\r\nRouge : non-conforme','Protéger l\'accès aux mots de passe partagés','2022-02-14 12:55:49','2022-03-08 12:44:45',NULL,NULL); +/*!40000 ALTER TABLE `measures` ENABLE KEYS */; +UNLOCK TABLES; +/*!40103 SET TIME_ZONE=@OLD_TIME_ZONE */; + +/*!40101 SET SQL_MODE=@OLD_SQL_MODE */; +/*!40014 SET FOREIGN_KEY_CHECKS=@OLD_FOREIGN_KEY_CHECKS */; +/*!40014 SET UNIQUE_CHECKS=@OLD_UNIQUE_CHECKS */; +/*!40101 SET CHARACTER_SET_CLIENT=@OLD_CHARACTER_SET_CLIENT */; +/*!40101 SET CHARACTER_SET_RESULTS=@OLD_CHARACTER_SET_RESULTS */; +/*!40101 SET COLLATION_CONNECTION=@OLD_COLLATION_CONNECTION */; +/*!40111 SET SQL_NOTES=@OLD_SQL_NOTES */; + +-- Dump completed on 2023-07-21 14:25:37 diff --git a/deming-27001_2022.sql b/deming-27001_2022.sql new file mode 100644 index 00000000..a6660623 --- /dev/null +++ b/deming-27001_2022.sql @@ -0,0 +1,171 @@ +-- MySQL dump 10.13 Distrib 8.0.33, for Linux (x86_64) +-- +-- Host: localhost Database: deming +-- ------------------------------------------------------ +-- Server version 8.0.33-0ubuntu0.22.04.2 + +/*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */; +/*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */; +/*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */; +/*!50503 SET NAMES utf8mb4 */; +/*!40103 SET @OLD_TIME_ZONE=@@TIME_ZONE */; +/*!40103 SET TIME_ZONE='+00:00' */; +/*!40014 SET @OLD_UNIQUE_CHECKS=@@UNIQUE_CHECKS, UNIQUE_CHECKS=0 */; +/*!40014 SET @OLD_FOREIGN_KEY_CHECKS=@@FOREIGN_KEY_CHECKS, FOREIGN_KEY_CHECKS=0 */; +/*!40101 SET @OLD_SQL_MODE=@@SQL_MODE, SQL_MODE='NO_AUTO_VALUE_ON_ZERO' */; +/*!40111 SET @OLD_SQL_NOTES=@@SQL_NOTES, SQL_NOTES=0 */; + +-- +-- Dumping data for table `attributes` +-- + +LOCK TABLES `attributes` WRITE; +/*!40000 ALTER TABLE `attributes` DISABLE KEYS */; +INSERT INTO `attributes` (`id`, `name`, `values`, `created_at`, `updated_at`) VALUES +(1,'Mesures de sécurité','#Préventive #Détective #Corrective','2023-01-30 19:35:24','2023-01-30 19:35:24'), +(2,'Concepts de cybersécurité','#Identifier #Protéger #Détecter #Répondre #Rétablir','2023-01-30 19:37:12','2023-03-12 13:33:52'), +(3,'Domaines de sécurité','#Gouvernance_et_Écosystème #Protection #Défense #Résilience','2023-01-30 19:37:53','2023-01-30 19:37:53'), +(4,'Sécurité de l\'information','#Confidentialité #Intégrité #Disponibilité','2023-01-30 19:44:10','2023-01-30 19:44:10'), +(5,'Capacités opérationnelles','#Gouvernance #Gestion_des_actifs #Protection_des_informations #Sécurité_des_ressources_humaines #Sécurité_physique #Sécurité_système_et_réseau #Sécurité_des_applications #Configuration_sécurisée #Gestion_des_identités_et_des_accès #Gestion_des_menaces_et_des_vulnérabilités #Continuité #Assurance_de_sécurité_de_l\'information','2023-01-30 19:46:23','2023-03-12 14:14:55'), +(7,'Club-27001','#Gouvernance #Ressources_humaines #Protection_des_informations #Gestion_des_actifs #Gestion_des_identités_et_des_accès #Sécurité_système_et_réseau #Gestion_des_menaces_et_des_vulnérabilités #Protection_physique #Gestion_et_durcissement_des_configurations #Protection_des_applications #Relations_fournisseurs #Continuité #Gestion_des_événements_et_des_incidents #Conformité','2023-03-29 13:25:53','2023-03-29 13:25:53'); +/*!40000 ALTER TABLE `attributes` ENABLE KEYS */; +UNLOCK TABLES; + +-- +-- Dumping data for table `domains` +-- + +LOCK TABLES `domains` WRITE; +/*!40000 ALTER TABLE `domains` DISABLE KEYS */; +INSERT INTO `domains` (`id`, `title`, `description`, `created_at`, `updated_at`) VALUES +(25,'27001:2022','SMSI','2023-04-06 17:51:24','2023-04-06 17:51:24'), +(26,'27001:2022-5','Sécurité organisationnelle','2023-04-06 17:51:56','2023-04-06 17:51:56'), +(27,'27001:2022-6','Sécurité des personnes','2023-04-06 17:52:35','2023-04-06 17:52:35'), +(28,'27001:2022-7','Sécurité physique','2023-04-06 17:53:00','2023-04-06 17:53:00'), +(29,'27001:2022-8','Sécurité technique','2023-04-06 17:53:51','2023-04-06 17:53:51'); +/*!40000 ALTER TABLE `domains` ENABLE KEYS */; +UNLOCK TABLES; + +-- +-- Dumping data for table `measures` +-- + +LOCK TABLES `measures` WRITE; +/*!40000 ALTER TABLE `measures` DISABLE KEYS */; +INSERT INTO `measures` (`id`, `domain_id`, `name`, `clause`, `objective`, `input`, `model`, `indicator`, `action_plan`, `created_at`, `updated_at`, `standard`, `attributes`) VALUES +(335,25,'Compréhension de l\'organisation et de son contexte','4.x','Comprendre l\'organisation et son contexte, définir le domaine d\'application et mettre en place un SMSI','- Compréhension de l\'organisation et de son contexte\n- Compréhension des besoins et des attentes des parties intéressées\n- Détermination du domaine d\'application du SMSI\n- Système de management de la sécurité de l\'information','Contrôler la compréhension de l\'organisation et de son contexte, la compréhension des besoins et attentes des parties intéressées, le domaine d\'application et le système de management de la sécurité de l\'information.','Vert : conforme\nRouge : non-conforme','Revoir la compréhension de l\'organisation et de son contexte',NULL,'2023-06-18 18:32:39',NULL,NULL), +(336,25,'Leadership','5.x','Etre en capacité de diriger l\'organisation afin d\'atteindre les objectifs du SMSI.','- Preuves de leadership de la direction\n- Politique de sécurité de l\'information\n- Définitions des rôles, responsabilités et autorités en matière de sécurité de l\'information','Contrôler :\n- Les preuves de leadership et d\'engagement de la direction\n- La politique de sécurité de l\'information\n- Les rôles, responsabilités et autorités au sein de l\'organisation','Vert : conforme\nRouge : non-conforme','Définir et assigner au sein de l\'organisation les rôles, responsabilités et autorités en matière de sécurité de l\'information ;\nEtablir une politique de sécurité de l\'information ;\nIdentifier les personnes responsables nominativement.',NULL,'2023-06-18 18:32:39',NULL,NULL), +(337,25,'Planification','6.x','- Mettre en œuvre des actions face aux risques et aux opportunités\n- Définir des objectifs de sécurité de l\'information et plans pour les atteindre\n- Planifier les modifications du SMSI','- Appréciation des risques\n- Registre des risques\n- Plan de traitement des risques\n- Objectifs de sécurité de l\'information','Contrôler les actions mises en œuvre face aux risques et opportunités\n- Objectifs de sécurité de l\'information\n- Plan de modifications du SMSI','Vert : conforme\nRouge : non-conforme','Mettre en œuvre des actions face aux risques et aux opportunités, des objectifs de sécurité de l\'information et un plan de modification du SMSI.',NULL,'2023-06-18 18:32:39',NULL,NULL), +(338,25,'Compétences','7.2','Disposer des ressources et compétences nécessaires pour la mise en place du SMSI.','- Ressources nécessaires\n- Matrice de compétences','Contrôler que les ressources nécessaires sont disponibles et disposent des compétences nécessaires.','Vert : conforme\nRouge : non-conforme','Disposer des ressources nécessaires ayant les compétences requises pour la gestion du SMSI.',NULL,'2023-06-18 18:32:39',NULL,NULL), +(339,25,'Support','7.x','Sensibiliser et communiquer sur l\'importance de la sécurité de l\'information et documenter le SMSI\n','- Actions de sensibilisation réalisées\n- Communication aux parties prenantes\n- Processus de documentation du SMSI.','Contrôler les actions de sensibilisation réalisés et la communication aux parties prenantes.\nVérifier la qualité de la documentation du SMSI.','Vert : conforme\nRouge : non-conforme','Sensibiliser à la politique de sécurité de l\'information, communiquer aux parties prenantes. Revoir la documentation du SMSI.',NULL,'2023-06-18 18:32:39',NULL,NULL), +(340,25,'Fonctionnement','8.x','Contrôler le fonctionnement du SMSI, apprécier et traiter les risques.','- contrôle des processus du SMSI\n- appréciations des risques\n- plan de traitement des risques','Contrôler que l\'appréciation des risques et le plan de traitement des risques sont à jour.','Vert : conforme\nRouge : non-conforme','Planifier, mettre en œuvre et contrôler les processus nécessaires à la satisfaction des exigences liées à la sécurité de l’information ;\nRéaliser des appréciations des risques de sécurité de l’information ; et\nMettre en œuvre le plan de traitement des risques de sécurité de l’information.',NULL,'2023-06-18 18:32:39',NULL,NULL), +(341,25,'Audit Interne','9.2','Recueillir des informations permettant de déterminer si le système de management de la sécurité de l\'information est conforme et efficacement mise en œuvre et maintenu.','- Plan d\'audit interne\n- Audits internes réalisés\n- Plan dactions','Contrôler l\'existence et la cohérence du plan d\'audit interne, des audits internes réalisés et le suivi des plans d\'action','Vert : conforme\nRouge : non-conforme','Définir un plan d\'audit interne.\nRéaliser des audits internes\nSuivre les recommandations d\'audit dans un plan d\'action',NULL,'2023-06-18 18:32:39',NULL,NULL), +(342,25,'Revue de Direction','9.3','S\'assurer que le SMSI est toujours approprié, adapté et efficace.','- Documentation de la revue de direction','Contrôler la documentation de la revue de direction, son contenu et les conclusions de la revue.','Vert : conforme\nRouge : non-conforme','Planifier une revue de direction conformément aux attentes de la norme',NULL,'2023-06-18 18:32:39',NULL,NULL), +(343,25,'Amélioration continue','10.1','Mettre en place l\'amélioration continue au sein du SMSI.','- plan d\'amélioration continue','Contrôler l\'amélioration de la pertinence, de l\'adéquation et de l\'efficacité du système de management de la sécurité de l\'information.','Vert : conforme\nRouge : non-conforme','Améliorer continuellement la pertinence, l\'adéquation et l\'efficacité du système de management de la sécurité de l\'information.',NULL,'2023-06-21 05:03:03',NULL,NULL), +(344,25,'Non-conformité et actions correctives','10.2','S’assurer que les non-conformités et les actions correctives sont traitées.','- Le plan de suivi des non-conformités et d\'actions correctives','Contrôler le plan de traitement des non-conformités et des actions correctives','Vert : conforme\nRouge : non-conforme','Mettre en place un plan de gestion des non-conformités et des actions correctives',NULL,'2023-06-18 18:32:39',NULL,NULL), +(345,26,'Politiques de sécurité de l\'information','5.01 ','Assurer de manière continue la pertinence, l\'adéquation, l\'efficacité des orientations de la direction et de son soutien à la sécurité de l\'information selon les exigences métier, légales, statutaires, réglementaires et contractuelles.','- ensemble de politique de sécurité de l\'information\n- preuves d\'approbation\n- preuves de diffusion','Contrôler l\'existence de l\'ensemble des politiques de sécurité, leur validé, leur diffusion et communication aux salariés et aux tiers concernés.','Vert: conforme\nOrange: manquements mineurs\nRouge: non-conforme','Définir une politique de sécurité de l\'information et des politiques portant sur des thèmes, de les faire approuver par la direction, de les publier, de les communiquer et d\'en demander confirmation au personnel et aux parties intéressées concernés, ainsi que de les réviser à intervalles planifiés et si des changements notoires interviennent.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Gouvernance #Gouvernance_et_Écosystème #Résilience'), +(346,26,'Fonctions et responsabilités liées à la sécurité de l\'information','5.02 ','Établir une structure définie, approuvée et comprise pour la mise en œuvre, le fonctionnement et la gestion de la sécurité de l\'information au sein de l\'organisation.','- Politique d\'organisation de la sécurité\n- Attribution par la direction des responsabilités en matière de sécurité de l\'information','Contrôler la définition et l\'attribution des fonctions et responsabilités liées à la sécurité de l\'information selon les besoins de l\'organisation.','Vert : présence des preuves\nOrange : manquement mineur\nRouge : absence de preuves','Définir et attribuer toutes les responsabilités en matière de sécurité de l’information.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Gouvernance #Gouvernance_et_Écosystème #Protection #Résilience'), +(347,26,'Séparation des tâches','5.03 ','Réduire le risque de fraude, d\'erreur et de contournement des mesures de sécurité de l\'information.','- Définition des tâches et domaines de responsabilités incompatibles','Contrôler que les tâches et domaines de responsabilité incompatibles sont séparés','Vert: présence des preuves\nOrange : non-conformité mineure\nRouge : absence de preuves','Séparer les tâches et domaines de responsabilité incompatibles.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gouvernance #Gestion_des_identités_et_des_accès #Gouvernance_et_Écosystème'), +(348,26,'Responsabilités de la direction','5.04 ','S’assurer que la direction comprend son rôle en matière de sécurité de l\'information et qu\'elle entreprend des actions visant à garantir que tout le personnel est conscient de ses responsabilités liées à la sécurité de l\'information et qu\'il les mène à bien.','- communication de la direction \n- date du contrôle','Contrôler l\'existence d\'une communication de la direction sur l\'importance de la sécurité de l\'information.','Vert : =< 1 an\nOrange : > 1 an\nRouge : absence de communication','Publier une communication de la direction sur l\'importance de la sécurité de l\'information pour l\'organisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Gouvernance #Gouvernance_et_Écosystème'), +(349,26,'Relations avec les autorités','5.05 ','Assurer la circulation adéquate de l\'information en matière de sécurité de l’information, entre l\'organisation et les autorités légales, réglementaires et de surveillance pertinente.','- procédure d\'organisation de la sécurité\n- inventaire des autorités compétentes\n- preuve de relation avec les autorités','La procédure et l\'inventaire sont à jour\nil existe des preuves de relation avec les autorités','Vert : présence des preuves\nOrange : non-conformité mineure\nRouge: absence de preuves','Des relations appropriées avec les autorités compétentes doivent être entretenues.',NULL,NULL,NULL,'#Préventive #Corrective #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Répondre #Rétablir #Gouvernance #Défense #Résilience'), +(350,26,'Relations avec des groupes de travail spécialisés','5.06 ','Assurer la circulation adéquate de l\'information en matière de sécurité de l’information.','- procédure d\'organisation de la sécurité\n- inventaire des groupes de spécialistes\n- preuves de relation avec les groupes de spécialistes','La procédure et l\'inventaire des groupes de spécialistes sont à jour.\nIl existe des preuves de relation avec les groupes de spécialistes.','Vert : présence des preuves\nOrange : non-conformité mineure\nRouge: preuves manquantes','Revoir la procédure, mettre à jour l\'inventaire et entretenir des relations avec les groupes de spécialistes.',NULL,NULL,NULL,'#Préventive #Corrective #Confidentialité #Intégrité #Disponibilité #Protéger #Répondre #Rétablir #Gouvernance #Défense'), +(351,26,'Intelligence des menaces','5.07 ','Apporter une connaissance de l\'environnement des menaces de l\'organisation afin que les mesures d\'atténuation appropriées puissent être prises.','- sources d\'information sur les menaces\n- preuves d\'analyses','Il existe des sources d\'information et des preuves d\'analyses','Vert : présence des preuves\nOrange : non-conformité mineure\nRouge: preuves manquantes','Recueillir et analyser des informations sur les menaces.',NULL,NULL,NULL,'#Préventive #Détective #Corrective #Confidentialité #Intégrité #Disponibilité #Identification #Détecter #Répondre #Gestion_des_menaces_et_des_vulnérabilités #Défense #Résilience'), +(352,26,'Sécurité de l\'information dans la gestion de projet','5.08 ','Assurer que les risques de sécurité de l\'information relatifs aux projets et aux livrables sont traités efficacement dans la gestion de projet, tout au long du cycle de vie du projet.','- procédure d\'organisation de la sécurité\n- preuves de la prise en considération de la sécurité de l\'information dans la gestion des projets','Contrôler la prise en considération de la sécurité de l\'information dans la gestion de projet.','Vert : présence des preuves\nOrange : non-conformité mineure\nRouge : absence de preuves','Intégrer la sécurité de l\'information aux activités de gestion de projet de l\'organisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Gouvernance #Gouvernance_et_Écosystème #Protection'), +(353,26,'Inventaire des informations et des autres actifs associés','5.09 ','Identifier les informations et autres actifs associés de l\'organisation afin de préserver leur sécurité et d\'en attribuer la propriété de manière appropriée.','- extrait de l\'inventaire \n- contrôle physique de l\'inventaire\n- vérifier l\'attribution d\'un propriétaire','Contrôler qu\'un inventaire des informations et des autres actifs associés, y compris leurs propriétaires et tenu et mis à jour','Vert : présence des preuves\nOrange : manquement mineur\nRouge : absence de preuves','Elaborer et de tenir à jour un inventaire des informations et des autres actifs associés, y compris leurs propriétaires.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Gestion_des_actifs #Gouvernance_et_Écosystème #Protection'), +(354,26,'Utilisation correcte de l\'information et des autres actifs associés','5.10 ','Assurer que les informations et autres actifs associés sont protégés, utilisés et traités de manière appropriée.','- Règle d\'utilisation correcte des actifs\n- Date de publication','Contrôler l\'existence des règles\nComparer la date de publication à la date du contrôle','Vert : présence des preuves\nOrange : manquement mineur\nRouge : absence de preuves','Identifier, documenter et mettre en oeuvre des règles d\'utilisation correcte et des procédures de traitement de l\'information et des autres actifs associés.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_actifs #Protection_des_informations #Gouvernance_et_Écosystème #Protection'), +(355,26,'Restitution des actifs','5.11 ','Protéger les actifs de l\'organisation dans le cadre du processus du changement ou de la fin de leur emploi, contrat ou accord.','- échantillon des employés ayant quitté l\'organisation sur la période\n- preuves de restitution des assets','Contrôler la listes de employés ayant quitté l\'organisation et les preuves de restitution des actifs à l\'organisation.','Vert : conforme\nOrange : non-conformités mineures\nRouge : non conforme','Le personnel et les autres parties intéressées, au besoin, restituent tous les actifs de l\'organisation qui sont en leur possession en cas de modification ou de rupture de leur relation de travail, contrat de travail ou engagement.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_actifs #Protection'), +(356,26,'Classification de l\'information','5.12 ','Assurer l\'identification et la compréhension des besoins de protection de l\'information en fonction de son importance pour l\'organisation.','- vérifier la date de mise à jour de la procédure\n- vérifier avec le DPO et juriste la conformité de la procédure au vu des changements du contexte de l\'organisation','Contrôler l\'existence et la mise à jour de la procédure et son contenu compte-tenu du contexte de l\'organisation','Vert : conforme\nOrange : non-conformités mineures\nRouge : non conforme','Classifier l\'information conformément aux besoins de l\'organisation en termes de sécurité de l\'information sur le plan de la confidentialité, de l\'intégrité, de la disponibilité et des exigences des parties intéressées.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Protection_des_informations #Protection #Défense'), +(357,26,'Marquage des informations','5.13 ','Faciliter la communication de la classification de l\'information et appuyer l\'automatisation de la gestion et du traitement de l\'information.','- procédure de marquage\n- échantillon d’information (procédure, formulaire ...)','Contrôler la procédure de marquege et sa mise en œuvre sur un échantillon des informations de l\'organisation.','Vert : conforme\nOrange : non-conformités mineures\nRouge : non conforme','Revoir la procédure de marquage de l\'information et son application',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Protection_des_informations #Défense #Protection'), +(358,26,'Transfert de l\'information','5.14 ','Maintenir la sécurité de l\'information transférée au sein de l\'organisation et vers toute partie intéressée externe','- règles, procédures ou accords de transfert de l\'information\n- inventaire des accords concernés\n- termes des accords','Contrôler la mise place des règles, procédures ou accords de transfert de l\'information, l\'inventaire des accords concernés et les termes des accords.','Vert : conforme\nOrange : non-conformités mineures\nRouge : non conforme','Mettre en place des politiques, des procédures et des mesures de transfert formelles pour protéger les transferts d’information transitant par tous types d’équipements de communication.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_actifs #Protection_des_informations #Protection'), +(359,26,'Contrôle d\'accès','5.15 ','Assurer l\'accès autorisé et empêcher l\'accès non autorisé aux informations et autres actifs associés.','- Politique de contrôle d\'accès\n- Date de revue de la politique\n- Date du contrôle','Contrôler la définition et la mise en oeuvre des règles visant à gérer l\'accès physique et logique à l\'information et aux autres actifs associés en fonction des exigences métier et de sécurité de l\'information.','Vert : conforme\nOrange : non-conformités mineures\nRouge : non conforme','Etablir, documenter et revoir la politique de contrôle d\'accès',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Protection'), +(360,26,'Gestion des identités','5.16 ','Permettre l\'identification unique des personnes et des systèmes qui accèdent aux informations et autres actifs associés de l\'organisation, et pour permettre l’attribution appropriée des droits d\'accès.','- processus d\'enregistrement et de désinscription des utilisateurs\n- date du contrôle','Contrôler la gestion du cycle de vie complet des identités.','Vert : conforme\nOrange : non-conformités mineures\nRouge : non conforme','Gérer le cycle de vie complet des identités.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Protection'), +(361,26,'Informations d\'authentification','5.17 ','Assurer l\'authentification correcte de l\'entité et éviter les défaillances des processus d\'authentification.','- processus de gestion de l\'attribution des informations secrètes d\'authentification','Contrôler l\'existence et l\'application du processus de gestion de l\'attribution des informations secrètes d\'authentification','Vert : conforme\nOrange : non-conformités mineures\nRouge : non conforme','Mettre en place un processus de gestion formel de l’attribution des informations secrètes d’authentification.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Protection'), +(362,26,'Droits d\'accès','5.18 ','Assurer que l\'accès aux informations et aux autres actifs associés est défini et autorisé conformément aux exigences métier','- Processus de maîtrise de la gestion des accès aux utilisateurs\n- Preuves d\'application du processus de maîtrise de la gestion des accès aux utilisateurs\n- Revue des droits d\'accès','Contrôler l\'existence du processus de maîtrise de la gestion des accès aux utilisateurs, la validité des preuves d\'application du processus et la revue des droits d\'accès','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Les droits d\'accès à l\'information et aux autres actifs associés sont mis en service, révisés, modifiés et supprimés conformément à la politique portant sur le thème de l\'organisation et aux règles de contrôle d\'accès.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Protection'), +(363,26,'Sécurité de l\'information dans les relations avec les fournisseurs','5.19 ','Maintenir le niveau de sécurité de l\'information convenu dans les relations avec les fournisseurs.','- fournisseurs soumis aux exigences de sécurité de l\'information\n- exigences de sécurité de l\'information\n- acceptations par les fournisseurs','Contrôler que les exigences sont documentées et mises à jour et que les mesures sont acceptées par les fournisseurs','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Définir et faire accepter par les fournisseurs des exigences de sécurité de l’information pour limiter les risques résultant de l’accès de ces fournisseurs aux actifs de l’organisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Sécurité_des_relations_fournisseurs #Gouvernance_et_Écosystème #Protection'), +(364,26,'Prise en compte de la sécurité de l\'information dans les accords conclus avec les fournisseurs','5.20 ','Maintenir le niveau de sécurité de l\'information convenu dans les relations avec les fournisseurs.','- exigences applicables liées à la sécurité de l’information\n- fournisseurs concernés\n- convention avec les fournisseurs','Contrôler que les exigences sont documentées et mises à jour et que les exigences sont convenues avec les fournisseurs','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Etablir et convenir avec chaque fournisseur pouvant accéder, traiter, stocker, communiquer ou fournir des composants de l’infrastructure informatique destinés à l’information de l’organisation, des exigences applicables liées à la sécurité de l’information.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Sécurité_des_relations_fournisseurs #Gouvernance_et_Écosystème #Protection'), +(365,26,'Management de la sécurité de l\'information dans la chaîne d\'approvisionnement TIC','5.21 ','Maintenir le niveau de sécurité de l\'information convenu dans les relations avec les fournisseurs.','- fournisseurs concernés\n- exigences sur le traitement des risques\n- accords conclus avec ces fournisseurs','Contrôler les exigences sont documentées et que les accords conclus contiennent les exigences','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Inclure dans les accords conclus avec les fournisseurs, des exigences sur le traitement des risques liés à la sécurité de l’information associé à la chaîne d’approvisionnement des produits et des services informatiques.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Sécurité_des_relations_fournisseurs #Gouvernance_et_Écosystème #Protection'), +(366,26,'Suivi, revue et gestion des changements des services fournisseurs','5.22 ','Maintenir un niveau convenu de sécurité de l\'information et de prestation de services, conformément aux accords conclus avec les fournisseurs.','- Fournisseurs concernés\n- Surveillances, vérifications et audits effectués','Contrôler que l\'organisation procède régulièrement à la surveillance, à la revue, à l\'évaluation et à la gestion des changements de pratiques des fournisseurs en matière de sécurité de l\'information et de prestation de services.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Surveiller, vérifier et auditer à intervalles réguliers la prestation des services assurés par les fournisseurs.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Sécurité_des_relations_fournisseurs #Assurance_de_sécurité_de_l\'information #Gouvernance_et_Écosystème #Protection #Défense'), +(367,26,'Sécurité de l\'information dans l\'utilisation de services en nuage','5.23 ','Spécifier et gérer la sécurité de l\'information lors de l\'utilisation de services en nuage.','- Services en nuage concernés\n- Processus d\'acquisition, d\'utilisation, de management et de cessation des services en nuages\n- Preuves d\'application des processus d\'acquisition, d\'utilisation de management et de cessation','Contrôler que les processus d\'acquisition, d\'utilisation, de management et de cessation des services en nuage sont définis conformément aux exigences de sécurité de l\'information de l\'organisation.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Définir et surveiller les processus d\'acquisition, d\'utilisation, de management et de cessation des services en nuage conformément aux exigences de sécurité de l\'information de l\'organisation',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_relations_fournisseurs #Gouvernance_ et_Écosystème #Protection'), +(368,26,'Planification et préparation de la gestion des incidents liés à la sécurité de\nl\'information','5.24 ','Assurer une réponse rapide, efficace, cohérente et ordonnée aux incidents de sécurité de l\'information, notamment la communication sur les événements de sécurité de l\'information.','- procédure de gestion des incidents\n- date de mise à jour','Contrôler que les responsabilités dans la gestion des incidents sont définies\nContrôler que la procédure de gestion des incidents existe et est à jour','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Etablir des responsabilités et des procédures permettant de garantir une réponse rapide, efficace et pertinente en cas d’incident lié à la sécurité de l’information.',NULL,NULL,NULL,'#Corrective #Confidentialité #Intégrité #Disponibilité #Répondre #Rétablir #Gouvernance #Gestion_des_événements_de_sécurité_de_l\'information #Défense'), +(369,26,'Appréciation des événements liés à la sécurité de l\'information et prise de décision','5.25 ','Assurer une catégorisation et une priorisation efficaces des événements de sécurité de l\'information.','- liste des incidents\n- processus de sélection\n- liste des incidents liés à la sécurité de l\'information','Contrôler que le processus de sélection est appliqué','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Revoir le processus d\'appréciation des incidents',NULL,NULL,NULL,'#Détective #Confidentialité #Intégrité #Disponibilité #Détecter #Répondre #Gestion_des_événements_de_sécurité_de_l\'information #Défense'), +(370,26,'Réponse aux incidents liés à la sécurité de l\'information','5.26 ','Assurer une réponse efficace et effective aux incidents de sécurité de l\'information.','Procédure de gestion des incidents de sécurité\nPreuves d\'application de la procédure','Contrôler que la procédure existe et est à jour\nContrôler que la procédure est suivie','Vert: conforme\nOrange : anomalie\nRouge : non-conforme','Traiter les incidents liés à la sécurité de l’information conformément aux procédures documentées.',NULL,NULL,NULL,'#Corrective #Confidentialité #Intégrité #Disponibilité #Répondre #Rétablir #Gestion_des_événements_de_sécurité_de_l\'information #Défense'), +(371,26,'Tirer des enseignements des incidents liés à la sécurité de l\'information','5.27 ','Réduire la probabilité ou les conséquences des incidents futurs.','- Procédure de gestion des incidents\n- Preuves d\'utilisation des connaissances','Contrôler l\'existence de l\'amélioration dans la procédure\nContrôler l\'existence de preuve d\'amélioration','Vert: conforme\nOrange : anomalie\nRouge : non-conforme','Utiliser les connaissances recueillies suite à l’analyse et la résolution d’incidents pour réduire la probabilité ou l’impact d’incidents ultérieurs.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Gestion_des_événements_de_sécurité_de_l\'information #Défense'), +(372,26,'Recueil de preuves','5.28 ','Assurer une gestion cohérente et efficace des preuves relatives aux incidents de sécurité de l\'information pour les besoins d\'actions judiciaires ou de disciplinaires.','- procédure de collecte de preuves\n- preuve de collecte de preuves','Contrôler la documentation de la collecte de preuve dans la procédure\nContrôler l\'application de la collecte de preuve','Vert : conforme\nOrange : anomalie\nRouge : non conforme','Définir et appliquer des procédures d’identification, de collecte, d’acquisition et de protection de l’information pouvant servir de preuve.',NULL,NULL,NULL,'#Corrective #Confidentialité #Intégrité #Disponibilité #Détecter #Répondre #Gestion_des_événements_de_sécurité_de_l\'information #Défense'), +(373,26,'Sécurité de l\'information durant une perturbation','5.29 ','Protéger les informations et autres actifs associés pendant une perturbation.','- Procédure de gestion de la continuité d\'activité\n- Exigences en matière de sécurité et de continuité\n- Preuves de vérification des mesures','Contrôler l\'existence et la mise à jour de la procédure\nContrôler les exigences en matière de sécurité et de continuité','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Déterminer ses exigences en matière de sécurité de l’information et de continuité de management de la sécurité de l’information dans des situations défavorables, comme lors d’une crise ou d’un sinistre.',NULL,NULL,NULL,'#Préventive #Corrective #Confidentialité #Intégrité #Disponibilité #Protéger #Répondre #Continuité #Protection #Résilience'), +(374,26,'Préparation des TIC pour la continuité d\'activité','5.30 ','Assurer la disponibilité des informations et autres actifs associés de l\'organisation pendant une perturbation.','- Systèmes concernés\n- Objectifs de continuité\n- Tests de continuité','Contrôler l\'identification des systèmes et de leurs objectifs de sécurité\nContrôler la réalisation de tests de continuité','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Identifier les objectifs de continuité d\'action et les exigences de continuité des TIC. Réaliser des tests de continuité.',NULL,NULL,NULL,'#Corrective #Disponibilité #Répondre #Continuité #Résilience'), +(375,26,'Identification des exigences légales, statutaires, réglementaires et contractuelles','5.31 ','Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles relatives à la sécurité de l\'information.','- inventaire des exigences légales, statutaires, réglementaires et contractuelles en vigueur\n- approche adoptée par l’organisation pour satisfaire à ces exigences','Contrôler que l\'inventaire est à jour et que l\'approche est documentée','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Définir explicitement, documenter et mettre à jour toutes les exigences légales, statutaires, réglementaires et contractuelles en vigueur, ainsi que l’approche adoptée par l’organisation pour satisfaire à ces exigences pour chaque système d’information et pour l’organisation elle-même.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Réglementation_et_conformité #Gouvernance_et_Écosystème #Protection'), +(376,26,'Droits de propriété intellectuelle','5.32 ','Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles relatives aux droits de propriété intellectuelle et à l\'utilisation de produits propriétaires.','- procédure pour garantir la propriété intellectuelle\n- preuves d\'application de la procédure','Contrôler l\'existence de la procédure et sa mise à jour et les preuves d\'application de la procédure','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Mettre en œuvre des procédures appropriées pour garantir la conformité avec les exigences légales, réglementaires et contractuelles relatives à la propriété intellectuelle et à l’usage des licences de logiciels propriétaires.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Réglementation_et_conformité #Gouvernance_et_Écosystème'), +(377,26,'Protection des enregistrements','5.33 ','Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles, ainsi qu\'aux attentes de la société ou de la communauté relatives à la protection et à la disponibilité des enregistrements.','- mesures de protection des enregistrements\n- exigences légales, réglementaires, contractuelles et aux exigences métier\n- Inventaire des sources d\'information clé','- Contrôler que les mesures respectent les exigences.\n- Contrôler les preuves d\'application des mesures\n- Contrôler la mise à jour de l\'inventaire des sources d\'information clé\n- Contrôler la suppression des informations','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Protéger les enregistrements de la perte, de la destruction, de la falsification, des accès non autorisés et des diffusions non autorisées, conformément aux exigences légales, réglementaires, contractuelles et aux exigences métier.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Réglementation_et_conformité #Gestion_des_actifs #Protection_des_informations #Défense'), +(378,26,'Vie privée et protection des DCP','5.34 ','Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles relatives aux aspects de la sécurité de l\'information portant sur la protection des DCP.','- Politique vie privée\n- mesures de protection','Contrôler l\'existence et la mise à jour de la politique vie privée et l\'application des mesures de protection','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Garantir la protection de la vie privée et la protection des données à caractère personnel telles que l’exigent la législation ou les réglementations applicables, et les clauses contractuelles le cas échéant.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Protection_des_informations #Réglementation_et_conformité #Protection'), +(379,26,'Revue indépendante de la sécurité de l\'information','5.35 ','S’assurer que l’approche de l’organisation pour gérer la sécurité de l’information est continuellement adaptée, adéquate et efficace.','- Revues indépendantes\n- Plan de suivi des revues\n- Changements dans l\'organisaiton','Contrôler que des revues indépendantes de l\'approche retenue par l\'organisation pour gérer et mettre en oeuvre la sécurité de l\'information, y compris des personnes, processus et technologies sont menées à intervalles définis ou lorsque des changements importants sont intervenus.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Effectuer une revue indépendante de l’approche retenue par l’organisme pour gérer et mettre en œuvre la sécurité de l’information (à savoir le suivi des objectifs de sécurité, les mesures, les politiques, les procédures et les processus relatifs à la sécurité de l’information) et mettre en place un plan de suivi de la revue.',NULL,NULL,NULL,'#Préventive #Corrective #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Assurance_de_sécurité_de_l\'information #Gouvernance_et_Écosystème'), +(380,26,'Conformité aux politiques et normes de sécurité de l\'information','5.36 ','S’assurer que la sécurité de l\'information est mise en œuvre et fonctionne conformément à la politique de sécurité de l\'information, aux politiques spécifiques à une thématique, aux règles et aux normes de l\'organisation.','- inventaire des systèmes d\'information concernés\n- preuves de vérification','Contrôler que la conformité à la politique de sécurité de l\'information, aux politiques portant sur des thèmes et aux normes de l\'organisation est vérifiée régulièrement.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Examiner les systèmes d’information quant à leur conformité avec les politiques et les normes de sécurité de l’information de l’organisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Réglementation_et_conformité #Assurance_de_sécurité_de_l\'information #Gouvernance_et_Écosystème'), +(381,26,'Procédures d\'exploitation documentées','5.37 ','S\'assurer du fonctionnement correct et sécurisé des moyens de traitement de l\'information.','- procédure d\'exploitation\n- disponibilité des procédures aux utilisateurs','Contrôler l\'existence et la mise à jour des procédures d\'exploitation et la mise à disposition des procédures aux utilisateurs concernés','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Documenter et mettre à disposition des utilisateurs concernés les procédures d’exploitation.',NULL,NULL,NULL,'#Préventive #Corrective #Confidentialité #Intégrité #Disponibilité #Protéger #Rétablir #Gestion_des_actifs #Sécurité_physique #Sécurité_système_et_réseau #Sécurité_des_applications #Configuration_sécurisée #Gestion_des_identités_et_des_accès #Gestion_des_menaces_et_des_vulnérabilités #Continuité #Gestion_des_événements_de_sécurité_de_l\'information #Gouvernance_et_Écosystème #Protection #Défense'), +(382,27,'Présélection','6.01 ','S\'assurer que tous les membres du personnel sont éligibles et adéquats pour remplir les fonctions pour lesquelles ils sont candidats, et qu\'ils le restent tout au long de leur emploi.','- Procédure de sélection des candidats\n- Preuves d\'exécution du processus de sélection','Contrôler l\'existence d\'une procédure à jour et l\'existence de preuves d’exécution du processus de sélection.','Vert : conforme\nOrange : non-conformité mineure\nRouge : absence de preuves','Mettre à jour la procédure et effectuer des vérifications sur tous les candidats à l’embauche.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_ressources_humaines #Gouvernance_et_Écosystème'), +(383,27,'Conditions générales d\'embauche','6.02 ','S\'assurer que le personnel comprend ses responsabilités en termes de sécurité de l\'information dans le cadre des fonctions que l’organisation envisage de lui confier.','- définitions des termes\n- preuves d\'existence des termes dans les accords','Contrôler l\'existence des termes et preuves de présence des termes les accords','Vert : présence de preuves\nOrange : Non-conformité mineure\nRouge : absence de preuves','Définir les responsabilités et celles de l’organisation en matière de sécurité de l’information dans les accords contractuels entre les salariés et les sous-traitants.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_ressources_humaines #Gouvernance_et_Écosystème'), +(384,27,'Sensibilisation, apprentissage et formation à la sécurité de l\'information','6.03 ','S\'assurer que le personnel et les parties intéressées pertinentes connaissent et remplissent leurs responsabilités en matière de sécurité de l\'information.','- plan de sensibilisation à la sécurité de l\'information\n- feuilles de présence','Contrôler l\'existence d\'un plan de sensibilisation à la sécurité et la participation du personnel à des formations','Vert : existence d\'un plan et présence du personnel\nOrange : non-conformité mineure\nRouge : Absence de sensibilisation','Sensibilier le personnel de l\'organisation et les parties intéressées à la sécurité de l\'information, leur communiquer un apprentissage et des formations à la sécurité de l\'information adaptés, et leur transmettre régulièrement les mises à jour des politiques et procédures de l\'organisation s\'appliquant à leur fonction.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_ressources_humaines #Gouvernance_et_Écosystèm'), +(385,27,'Processus disciplinaire','6.04 ','S\'assurer que le personnel et d’autres parties intéressées pertinentes comprennent les conséquences des violations de la politique de sécurité de l\'information, prévenir ces violations, et traiter de manière appropriée le personnel et d’autres parties intéressées qui ont commis des violations.','- Processus disciplinaire\n- Communication du process\n- Parties intéressées','Contrôler qu\'un processus disciplinaire permettant de prendre des mesures à l\'encontre du personnel et des autres parties intéressées qui ont commis une violation de la politique de sécurité de l\'information est formalisé et de communiqué.','Vert : existe\nOrange : non-conformité mineure\nRouge : absence de preuves','Formaliser et communiquer un processus disciplinaire permettant de prendre des mesures à l\'encontre du personnel et des autres parties intéressées qui ont commis une violation de la politique de sécurité de l\'information.',NULL,NULL,NULL,'#Préventive #Corrective #Confidentialité #Intégrité #Disponibilité #Protéger #Répondre #Sécurité_des_ressources_humaines #Gouvernance_et_Écosystème'), +(386,27,'Responsabilités consécutivement à la fin ou à la modification du contrat de tr','6.05 ','Protéger les intérêts de l\'organisation dans le cadre du processus de changement ou de fin d\'un emploi ou d’un contrat.','- définition des termes\n- preuves d\'application','Existence des termes et des preuves d\'application','Vert : existe\nOrange : non-conformités mineures\nRouge : absence de preuves','Définir les responsabilités et les missions liées à la sécurité de l’information qui restent valables à l’issue de la rupture, du terme ou de la modification du contrat de travail.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_ressources_humaines #Gestion_des_actifs #Gouvernance_et_Écosystème'), +(387,27,'Engagements de confidentialité ou de non-divulgation','6.06 ','Assurer la confidentialité des informations accessibles par le personnel ou des parties externes.','- les exigences en matière d\'engagement de confidentialité ou de non-divulgation sont documentées \n- les engagements de confidentialités ont été signés par les prestataires lors des derniers projets effectués.','Contrôler que les exigences sont identifiées et documentées','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Identifier, vérifier et documenter les exigences en matière d’engagements de confidentialité ou de non-divulgation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Protéger #Sécurité_des_ressources_humaines #Protection_des_informations #Relations_fournisseurs #Gouvernance_et_Écosystème'), +(388,27,'Travail à distance','6.07 ','Assurer la sécurité des informations lorsque le personnel travaille à distance.','- Mesures de sécurité complémentaires \n- Preuves d\'application des mesures complémentaires','Contrôler l\'existence et mise à jour des mesures de sécurité complémentaires et les preuves d\'application de ces mesures','Vert : présence des preuves\nOrange : non-conformité mineure\nRouge : absence de preuves','Définir et mettre en oeuvre une politique et des mesures de sécurité complémentaires pour protéger les informations consultées, traitées ou stockées sur des sites de télétravail.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_actifs #Protection_des_informations #Sécurité_physique #Sécurité_système_et_réseau #Protection'), +(389,27,'Signalement des événements liés à la sécurité de l\'information','6.08 ','Permettre la déclaration des événements de sécurité de l\'information qui peuvent être identifiés par le personnel, de manière rapide, cohérente et efficace.','- Procédure de gestion des incidents\n- Exemple d\'incident signalé par les voies hiérarchiques','Contrôler l\'existence de la procédure, son application et sa mise à jour','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Signaler les événements liés à la sécurité de l’information dans les meilleurs délais par les voies hiérarchiques appropriées.',NULL,NULL,NULL,'#Détective #Confidentialité #Intégrité #Disponibilité #Détecter #Gestion_des_événements_de_sécurité_de_l\'information #Défense'), +(390,28,'Périmètre de sécurité physique','7.01 ','Empêcher l’accès physique non autorisé, les dommages ou interférences portant sur les informations et autres actifs associés de l\'organisation.','- définition des périmètres de sécurité\n- inventaire des zones contenant de l\'information sensible','Contrôler que des périmètres de sécurité servant à protéger les zones qui contiennent l\'information sensible ou critique et les autres actifs associés sont définis.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Définir des périmètres de sécurité pour protéger les zones contenant l’information sensible ou critique et les moyens de traitement de l’information.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Protection'), +(391,28,'Contrôles physiques des accès','7.02 ','Assurer que seul l\'accès physique autorisé aux informations et autres actifs associés de l\'organisation soit possible.','- inventaire des zones sécurisées\n- contrôles adéquats à l\'entrée\n- application des contrôles','Contrôler que les zones sécurisées sont protégées par des contrôles adéquats à l’entrée pour s’assurer que seul le personnel autorisé est admis.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Mettre en place des contrôles adéquats à l’entrée des zones sécurisées pour s’assurer que seul le personnel autorisé est admis.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Gestion_des_identités_et_des_accès #Protection'), +(392,28,'Sécurisation des bureaux, des salles et des équipements','7.03 ','Empêcher l’accès physique non autorisé, les dommages et les interférences impactant les informations et autres actifs associés de l\'organisation dans les bureaux, salles et installations.','- inventaire des bureaux, salles et équipements\n- mesures de sécurité physique\n- application des mesures','Contrôler l\'inventaire, les mesures de sécurité et l\'application des mesures.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Concevoir et appliquer des mesures de sécurité physique aux bureaux, aux salles et aux équipements.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Gestion_des_actifs #Protection'), +(393,28,'Surveillance de la sécurité physique','7.04 ','Détecter et dissuader l’accès physique non autorisé.','- locaux physiques concernés\n- mesures de sécurité mises en place\n- preuves de surveillance','Contrôler l\'application des mesures de surveillances continue des locaux','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Identifier les locaux concernés, identifier les mesures à mettre en place et surveiller en continu l\'accès physique non autorisé',NULL,NULL,NULL,'#Préventive #Détective #Confidentialité #Intégrité #Disponibilité #Protéger #Détecter #Sécurité_physique #Protection #Défense'), +(394,28,'Protection contre les menaces physiques et environnementales','7.05 ','Prévenir ou réduire les conséquences des événements issus des menaces physiques ou environnementales.','- inventaire des désastres naturels attaques malveillantes ou les accidents pris en compte\n- mesures de protection physique\n- application de ces mesures','Contrôler l\'inventaire et l\'application des mesures. Compter le nombre d\'anomalies.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Concevoir et appliquer des mesures de protection physique contre les désastres naturels, les attaques malveillantes ou les accidents.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Protection'), +(395,28,'Travail dans les zones sécurisées','7.06 ','Protéger les informations et autres actifs associés dans les zones sécurisées contre tout dommage et contre toutes interférences non autorisées par le personnel travaillant dans ces zones.','- procédure pour le travail dans les zones sécurisées \n- zones sécurisées\n- application de la procédure','Contrôler que les invantaires existent et sont à jour.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Concevoir et appliquer des procédures pour le travail dans les zones sécurisées.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Protection'), +(396,28,'Bureau propre et écran vide','7.07 ','Réduire les risques d\'accès non autorisé, de perte et d\'endommagement des informations sur les bureaux, les écrans et dans d’autres emplacements accessibles pendant et en dehors des heures normales de travail.','- Politique du bureau propre\n- Respect de la politique par les utilisateurs','Contrôler que des règles du bureau propre pour les documents papier et les supports de stockage amovibles, et les règles de l\'écran vide pour les moyens de traitement de l\'information sont définies et d\'appliquées.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','- Revoir la politique du bureau propre pour les documents papier et les supports de stockage amovibles, \n- Sensibiliser les utilisateurs au respect de la politique du bureau propre et de l’écran verrouillé',NULL,NULL,NULL,'#Préventive #Confidentialité #Protéger #Sécurité_physique #Protection'), +(397,28,'Emplacement et protection du matériel','7.08 ','Réduire les risques liés à des menaces physiques et environnementales, et à des accès non autorisés et à des dommages.','- inventaire du matériel concerné\n- menaces et dangers environnementaux retenus\n- emplacements\n- mesures mises en œuvre','Contrôler l\'inventaire du matériel concerné et leurs emplacements.\nContrôler l\'application des mesures de protection.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Protéger les matériels contre les risques liés à des menaces et des dangers environnementaux et les possibilités d’accès non autorisé.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Gestion_des_actifs #Protection'), +(398,28,'Sécurité des actifs hors des locaux','7.09 ','Empêcher la perte, l\'endommagement, le vol ou la compromission des terminaux hors du site et l\'interruption des activités de l\'organisation.','- mesures de sécurité appliquées\n- preuves d\'application des mesures de sécurité','Contrôler l\'application des mesures de sécurité','Vert : conforme\nOrange : non-conformité mineure\nRouge : non-conforme','Appliquer des mesures de sécurité aux matériels utilisés hors des locaux de l’organisation en tenant compte des différents risques associés au travail hors site.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Gestion_des_actifs #Protection'), +(399,28,'Supports de stockage','7.10 ','Assurer que seuls la divulgation, la modification, le retrait ou la destruction autorisés des informations de l\'organisation sur des supports de stockage sont effectués.','- procédure de gestion des supports de stockage\n- échantillons de supports\n- preuves de gestion des supports (conservation, classification ...)\n- Echantillon de transports effectués\n- Preuve de transport\n- Preuves de mise au rebut','- Contrôler que des procédures de gestion des supports amovibles sont mises en œuvre conformément au plan de classification adopté par l’organisation.\n- Contrôler que les supports qui ne sont plus nécessaires sont mis au rebut de manière sécurisée en suivant des procédures formelles.\n- Contrôler que les supports contenant de l’information sont protégés contre les accès non autorisés, les erreurs d’utilisation et l’altération lors du transport.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Gérer les supports de stockage tout au long de leur cycle de vie d\'acquisition, d\'utilisation, de transport et de mise au rebut conformément au plan de classification et aux exigences de manipulation de l\'organisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Gestion_des_actifs #Protection'), +(400,28,'Services généraux','7.11 ','Empêcher la perte, l\'endommagement ou la compromission des informations et autres actifs associés, ou l\'interruption des activités de l\'organisation, causés par les défaillances et les perturbations des services supports.','- inventaire du matériel concerné\n- mesures de protection','Contrôler l\'inventaire du matériel et l\'application des mesures de protection.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Protéger les matériels des coupures de courant et autres perturbations dues à une défaillance des services généraux.',NULL,NULL,NULL,'#Préventive #Détective #Intégrité #Disponibilité #Protéger #Détecter #Sécurité_physique #Protection'), +(401,28,'Sécurité du câblage','7.12 ','Empêcher la perte, l\'endommagement, le vol ou la compromission des informations et autres actifs associés et l\'interruption des activités de l\'organisation liés au câblage électrique et de communications.','- inventaire du câblage concerné \n- mesures de protection contre les interceptions et les dommages','Contrôler l\'inventaire du câblage et l\'application des mesures','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Protéger les câbles électriques, transportant des données ou supportant les services d\'information contre toute interception, interférence ou tout dommage.',NULL,NULL,NULL,'#Préventive #Confidentialité #Disponibilité #Protéger #Sécurité_physique #Protection'), +(402,28,'Maintenance du matériel','7.13 ','Empêcher la perte, l\'endommagement, le vol ou la compromission des informations et autres actifs associés et l\'interruption des activités de l\'organisation causés par un manque de maintenance.','- inventaire du matériel concerné\n- mesures d’entretiens\n- preuves d\'application des mesures d\'entretien','Contrôler l\'inventaire du matériel concerné, les mesures d\'entretien et l\'application des mesures','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Entretenir correctement les matériels pour garantir leur disponibilité permanente et leur intégrité.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_physique #Gestion_des_actifs #Protection #Résilience'), +(403,28,'Mise au rebut ou recyclage sécurisé(e) du matériel','7.14 ','Éviter la fuite d\'informations à partir de matériel à éliminer ou à réutiliser.','- inventaire du matériel contenant des données sensibles\n- preuves d\'effacement des données','Contrôler que l\'inventaire est à jour.\nContrôler la présence des preuves d\'effacement des données','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','S’assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée du matériel contenant des données sensibles avant leur mise au rebut ou leur réutilisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Protéger #Sécurité_physique #Gestion_des_actifs #Protection'), +(404,29,'Terminaux utilisateurs','8.01 ','Protéger les informations contre les risques liés à l\'utilisation de terminaux finaux des utilisateurs.','- Mesure de sécurité mises en place\n- Inventaire des terminaux utilisateur\n- Preuves d\'application de mesures de protection','Contrôler que toute information stockée sur un terminal utilisateur final, traitée par ou accessible via ce type d\'appareil et protégée.','Vert : présence de preuves\nOrange : non-conformité mineure\nRouge : absence de preuves','Protéger toute information stockée ou traitée sur un terminal utilisateur final ou accessible via ce type d\'appareil.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_actifs #Protection_des_informations #Protection'), +(405,29,'Privilèges d\'accès','8.02 ','S\'assurer que seuls les utilisateurs, composants logiciels et services autorisés sont dotés de droits d\'accès privilégiés.','- restrictions des droits d\'accès à privilèges\n- contrôle des droits d\'accès à privilèges','Contrôler l\'existence des restrictions de droits d\'accès à privilège et l\'allocation des doits d\'accès à privilèges','Vert : conforme\nOrange: non conformités mineures\nRouge: non conforme','Restreindre et contrôler l’allocation et l’utilisation des droits d’accès à privilèges',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Protection'), +(406,29,'Restriction d\'accès à l\'information','8.03 ','Assurer les accès autorisés seulement et empêcher les accès non autorisés aux informations et autres actifs associés.','- restrictions d\'accès à l\'information \n- application de ces restrictions','Contrôler les restriction d\'accès à l\'information et l\'application de ces restriction conformément à la politique portant sur le thème du contrôle d\'accès.','Vert : conforme\nOrange : conconformité mineure\nRouge : non-conforme','Revoir les restrictions d\'accès à l\'information et leur application',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Protection'), +(407,29,'Accès au code source','8.04 ','Empêcher l\'introduction d\'une fonctionnalité non autorisée, éviter les modifications non intentionnelles ou malveillantes et préserver la confidentialité de la propriété intellectuelle importante.','- inventaire du code source des programmes\n- restriction d\'accès au code source','Contrôler l\'effectivité de la restriction de l\'accès au code source des programmes.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Restreindre l’accès au code source des programmes.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Sécurité_des_applications #Configuration_sécurisée #Protection'), +(408,29,'Authentification sécurisée','8.05 ','S\'assurer qu\'un utilisateur ou une entité est authentifié de façon sécurisée lorsque l\'accès aux systèmes, applications et services lui est accordé.','- procédures de connexion sécurisée\n- application de la procédure de connexion','Contrôler l\'application des procédures de connexion sécurisée','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Lorsque la politique de contrôle d’accès l’exige, contrôler par une procédure de connexion sécurisée l\'accès aux systèmes et aux applications.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Gestion_des_identités_et_des_accès #Protection'), +(409,29,'Dimensionnement','8.06 ','Assurer les besoins en termes de moyens de traitement de l\'information, de ressources humaines, de bureaux et autres installations.','- ressources surveillées\n- preuves de surveillance et de dimensionnement des ressources\n- projection sur les dimensionnements futurs','Contrôler l\'inventaire des ressources surveillées, les preuves de surveillances et les projections effectuées','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Surveiller et ajuster l’utilisation des ressources et effectuer des projections sur les dimensionnements futurs pour garantir les performances exigées du système.',NULL,NULL,NULL,'#Préventive #Détective #Intégrité #Disponibilité #Identifier #Protéger #Détecter #Continuité #Gouvernance_et_Écosystème #Protection'), +(410,29,'Protection contre les programmes malveillants','8.07 ','S’assurer que les informations et autres actifs associés sont protégés contre les programmes malveillants.','- procédure d\'exploitation\n- disponibilité des procédures aux utilisateurs','Contrôler l\'existence et la mise à jour des procédures d\'exploitation et la mise à disposition des procédures aux utilisateurs concernés','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Documenter et mettre à disposition des utilisateurs concernés les procédures d’exploitation.',NULL,NULL,NULL,'#Préventive #Détective #Corrective #Confidentialité #Intégrité #Disponibilité #Protéger #Détecter #Sécurité_système_et_réseau #Protection_des_informations #Protection #Défense'), +(411,29,'Gestion des vulnérabilités techniques','8.08 ','Empêcher l’exploitation des vulnérabilités techniques.','- vulnérabilités techniques obtenues\n- preuves d\'analyse\n- mesures appropriées prises','Contrôler que l\'inventaire est pertinent, qu\'il existe des preuves de vérification lees mesures prises','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Obtenir des informations sur les vulnérabilités techniques des systèmes d\'information, évaluer l\'exposition de l\'organisation à ces vulnérabilités et prendre les mesures appropriées.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Gestion_des_menaces_et_des_vulnérabilités #Gouvernance_et_Écosystème #Protection #Défense'), +(412,29,'Gestion de la configuration','8.09 ','S\'assurer que le matériel, les logiciels, les services et les réseaux fonctionnent correctement avec les paramètres de sécurité requis, et que la configuration n’est pas altérée par des changements non autorisés ou incorrects.','- Systèmes concernés \n- documentations de configuration\n- vérifications réalisées','Contrôler que l\'inventaire des systèmes concernés est complet, la documentation de configuration et que des contrôles sont réalisés','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Vérifier le matériel, les logiciels, les services et les réseaux afin de s\'assurer qu\'ils fonctionnent correctement avec les paramètres de sécurité requis, et que la configuration n’est pas altérée par des changements non autorisés ou incorrects.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Configuration_sécurisée #Protection'), +(413,29,'Suppression d\'information','8.10 ','Empêcher l\'exposition inutile des informations sensibles et se conformer aux exigences légales, statutaires, réglementaires et contractuelles relatives à la suppression d\'informations.','- Inventaire des exigences légales, statutaires, réglementaires et contractuelles relatives à la suppression d\'informations\n- Informations, dispositifs et informations concernées\n- Preuves de suppression sécurisée des informations','Contrôler l\'inventaire des exigences, les informations concernées et les preuves de suppression','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Supprimer l\'information stockée dans les systèmes d\'information et les dispositifs lorsqu\'elle n\'est plus utile.',NULL,NULL,NULL,'#Préventive #Confidentialité #Protéger #Protection_des_informations #Réglementation_et_conformité #Protection'), +(414,29,'Masquage des données','8.11 ','Limiter l\'exposition des données sensibles, y compris les DCP, et se conformer aux exigences légales, statutaires, réglementaires et contractuelles.','- Procédure de masquage des données\n- Données concernées\n- Preuves d\'application du masquage','Contrôler l\'existence et la mise à jour de la procédure de masquage, la pertinence des données concernées et l\'application du masquage','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Utiliser le masquage des données conformément à la politique de l\'organisation portant sur le thème du contrôle d\'accès et aux exigences métier, tout en prenant en compte les exigences d\'ordre légal.',NULL,NULL,NULL,'#Préventive #Confidentialité #Protéger #Protection_des_informations #Protection'), +(415,29,'Prévention de la fuite de données','8.12 ','Détecter et empêcher la divulgation et l\'extraction non autorisées d\'informations par des personnes ou des systèmes.','- Procédure de prévention de la fuite de données\n- Données concernées\n- Preuve d\'application des mesures','- Contrôler l\'existence et la date de la procédure\n- Contrôler les données concernées\n- Contrôler l\'application des mesures','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Appliquer des mesures de prévention de la fuite de données aux systèmes, réseaux et terminaux qui traitent, stockent ou transmettent de l\'information sensible.',NULL,NULL,NULL,'#Préventive #Détective #Confidentialité #Protéger #Détecter #Protection_des_informations #Protection #Défense'), +(416,29,'Sauvegarde des informations','8.13 ','Permettre la récupération en cas de perte de données ou de systèmes.','- Politique de sauvegarde\n- Copies de sauvegarde\n- Tests de copies de sauvegarde','- Contrôler l\'existence et la mise à jour de la politique de sauvegarde\n- Existence des copies de sauvegarde\n- Tests des copies de sauvegarde','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Conserver des copies de sauvegarde de l\'information, des logiciels et des systèmes et de les tester régulièrement à l\'aide de la politique définie sur le thème de la sauvegarde.',NULL,NULL,NULL,'#Corrective #Intégrité #Disponibilité #Rétablir #Continuité #Protection'), +(417,29,'Redondance des moyens de traitement de l\'information','8.14 ','S\'assurer du fonctionnement continu des moyens de traitement de l\'information.','- Inventaire des moyens de traitement de l\'information concernés\n- exigence de disponibilité\n- preuve de redondance','Contrôler que l\'inventaire est à jour, les exigences de disponibilité et l\'existence de preuves de redondance','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Mettre en œuvre des moyens de traitement de l’information avec suffisamment de redondances pour répondre aux exigences de disponibilité.',NULL,NULL,NULL,'#Préventive #Disponibilité #Protéger #Continuité #Gestion_des_actifs #Protection #Résilience'), +(418,29,'Journalisation','8.15 ','Enregistrer les événements, générer des preuves, assurer l\'intégrité des informations de journalisation, empêcher les accès non autorisés, identifier les événements de sécurité de l\'information qui peuvent engendrer un incident de sécurité de l\'information et assister les investigations.','- inventaire des journaux\n- mesures de protection des journaux\n- stockage des journaux\n- analyses des journaux','Contrôler que les journaux existent et sont à jour, les mesures de protection des journaux\nles capacités de stockage et que l\'analyse réalisée sur ces journaux.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Créer, protéger, stocker et dnalyser des journaux enregistrant les activités, exceptions, pannes et autres événements pertinents.',NULL,NULL,NULL,'#Détective #Confidentialité #Intégrité #Disponibilité #Détecter #Gestion_des_événements_de_sécurité_de_l\'information #Protection #Défense'), +(419,29,'Activités de surveillance','8.16 ','Détecter les comportements anormaux et les éventuels incidents de sécurité de l\'information.','- Inventaire des réseaux, systèmes et applications concernées\n- Mesures de détection mise en place\n- Evaluation / Incidents détectés','Contrôler l\'inventaire des réseaux, systèmes et application concernés, les mesures de détection mises en place et que des évaluations sont réalisées ou des incidents générés','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Surveiller les réseaux, systèmes et applications pour détecter tout comportement anormal et de prendre les mesures appropriées pour évaluer les incidents liés à la sécurité de l\'information potentiels.',NULL,NULL,NULL,'#Détective #Corrective #Confidentialité #Intégrité #Disponibilité #Détecter #Répondre #Gestion_des_événements_de_sécurité_de_l\'information #Défense'), +(420,29,'Synchronisation des horloges','8.17 ','Permettre la corrélation et l\'analyse d’événements de sécurité et autres données enregistrées, assister les investigations sur les incidents de sécurité de l\'information.','- inventaire des horloges concernées\n- source temporelle unique\n- mécanisme de synchronisation\n- effectivité de la synchronisation','Contrôler l\'inventaire des horloges, la source temporelle unique utilisée et la synchronisation des horloges sur la source','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Synchronisées sur une source de référence temporelle unique les horloges de l’ensemble des systèmes de traitement de l’information concernés d’une organisation ou d’un domaine de sécurité.',NULL,NULL,NULL,'#Détective #Intégrité #Protéger #Détecter #Gestion_des_événements_de_sécurité_de_l\'information #Protection #Défense'), +(421,29,'Utilisation de programmes utilitaires à privilèges','8.18 ','S\'assurer que l\'utilisation de programmes utilitaires ne nuise pas aux mesures de sécurité de l\'information des systèmes et des applications.','- inventaire des programmes utilitaires\n- contrôles mis en place','Contrôler l\'application des contrôles sur l\'utilisation des programmes utilitaires','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Faire l\'inventaire des programmes utilitaires permettant de contourner les mesures de sécurité d’un système ou d’une application, limiter et étroitement contrôler leur utilisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_système_et_réseau #Configuration_sécurisée #Sécurité_des_applications #Protection'), +(422,29,'Installation de logiciels sur des systèmes en exploitation','8.19 ','Assurer l\'intégrité des systèmes opérationnels et empêcher l\'exploitation des vulnérabilités techniques.','- procédures de contrôle d\'installation\n- mise en oeuvre des mesures','Contrôler l\'effectivité de la procédure de contrôle d\'installation','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Mettre en œuvre des procédures sont mises en œuvre pour contrôler l’installation de logiciels dans les systèmes opérationnels.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Configuration_sécurisée #Sécurité_des_applications #Protection'), +(423,29,'Mesures liées aux réseaux','8.20 ','Protéger les informations dans les réseaux et les moyens de traitement de l\'information support contre les compromission via le réseau.','- réseaux concernés\n- contrôles mis en œuvre\n- vérification des contrôles','Contrôler que des contrôles sont en place et que ces contrôles sont effectifs','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Gérer et contrôler les réseaux pour protéger l’information contenue dans les systèmes et les applications.',NULL,NULL,NULL,'#Préventive #Détective #Confidentialité #Intégrité #Disponibilité #Protéger #Détecter #Sécurité_système_et_réseau #Protection'), +(424,29,'Sécurité des services en réseau','8.21 ','Assurer la sécurité lors de l\'utilisation des services réseau.','- Inventaire des services de réseau concernés\n- Mécanismes de sécurité, niveaux de service et exigence de gestion identifiée','Contrôler que l\'inventaire des services de réseau concernés est complet et à jour, que les mécanismes de sécurité de niveaux de service et les exigences sont identifiés et sont intégrés dans les accords de service','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Pour tous les services de réseau, identifier et intégrer dans les accords de services de réseau, les mécanismes de sécurité, les niveaux de service et les exigences de gestion.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_système_et_réseau #Protection'), +(425,29,'Filtrage Internet','8.22 ','Diviser le réseau en périmètres de sécurité et contrôler le trafic entre eux en fonction des besoins métier.','- mesures d\'accès mises en place\n- blocages réalisés','Contrôler les règles d\'accès aux sites web externes et les blocages réalisés.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Gérer l\'accès aux sites Web externes pour réduire l\'exposition à tout contenu malveillant.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_système_et_réseau #Protection'), +(426,29,'Cloisonnement des réseaux','8.23 ','Protéger les systèmes contre la compromission des programmes malveillants et empêcher l\'accès aux ressources web non autorisées.','- inventaire des groupes de services d\'information, d\'utilisateurs et de systèmes d\'information\n- mesures de cloisonnement réseau','Contrôler l\'inventaire des groupes de services d\'information, d\'utilisateurs et de systèmes d\'information et la mise en place des mesures de cloisonnement réseau','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Cloisonner sur les réseaux les groupes de services d’information, d’utilisateurs et de systèmes d’information.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_système_et_réseau #Protection'), +(427,29,'Utilisation de la cryptographie','8.24 ','Assurer l’utilisation correcte et efficace de la cryptographie afin de protéger la confidentialité, l\'authenticité ou l\'intégrité des informations conformément aux exigences métier et de sécurité de l\'information, et en tenant compte des exigences légales, statutaires, réglementaires et contractuelles relatives à la cryptographie.','- Règles d\'utilisation de la cryptographie\n- Preuves d\'élaboration et de mise en œuvre de ces règles\n- Clés et algorithmes cryptographiques utilisés','Contrôles les règles d\'utilisation des mesures de cryptographie, leur élaboration et leur mise en œuvre ainsi que les clés et algorithmes cryptographiqes utilisés.','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Définir et de mettre en oeuvre des règles relatives à l\'utilisation de la cryptographie, notamment la gestion des clés cryptographiques.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Configuration_sécurisée #Protection'), +(428,29,'Cycle de vie de développement sécurisé','8.25 ','S\'assurer que la sécurité de l\'information est conçue et mise en œuvre au cours du cycle de vie de développement sécurisé des logiciels et des systèmes.','- règles de développement\n- développements réalisés\n- preuves d\'application des règles','Contrôler l\'existence des règles de développement, leur mise à jour et l\'application des règles de développement','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Etablir et appliquer des règles de développement des logiciels et des systèmes aux développements de l’organisation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_applications #Sécurité_système_et_réseau #Protection'), +(429,29,'Exigences de sécurité des applications','8.26 ','S\'assurer que toutes les exigences de sécurité de l\'information sont identifiées et traitées lors du développement ou de l’acquisition d\'applications.','- services d\'application transmis sur les réseaux publics\n- mesures de protection','Contrôler l\'inventaire des services réseau et l\'effectivité des mesures contre les activités frauduleuses, les différents contractuels, ainsi que la divulgation et la modification non autorisées.','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Protéger contre les activités frauduleuses, les différents contractuels, ainsi que la divulgation et la modification non autorisées les informations liées aux services d’application transmises sur les réseaux publics.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_applications #Sécurité_système_et_réseau #Protection #Défense'), +(430,29,'Principes d\'ingénierie et d\'architecture système sécurisée','8.27 ','S\'assurer que les systèmes d\'information sont conçus, mis en œuvre et exploités de manière sécurisée au cours du cycle de vie de développement.','- principes d\'ingénierie de la sécurité des systèmes\n- travaux de mise en œuvre des systèmes d\'information','Contrôler que les principes d\'ingénierie sont établis et mis à jour et que ces principes sont appliqués dans les travaux de mise en ouvre des systèmes d\'information','Vert: conforme\nOrange : anomalie\nRouge : non-conforme','Etablir et documenter des principes d’ingénierie de la sécurité des systèmes, les tenir à jour et les appliquer à tous les travaux de mise en œuvre des systèmes d’information.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_applications #Sécurité_système_et_réseau #Protection'), +(431,29,'Codage sécurisé','8.28 ','S\'assurer que les logiciels sont développés de manière sécurisée afin de réduire le nombre d’éventuelles vulnérabilités de sécurité de l\'information dans les logiciels.','- inventaire des développements réalisés\n- preuves d\'application des règles de codage','Contrôler l\'inventaire des développements réalisés et l\'application de règles de codage','Vert: conforme\nOrange : anomalie\nRouge : non-conforme','Appliquer des principes de codage sécurisé au développement de logiciels.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_applications #Sécurité_système_et_réseau #Protection'), +(432,29,'Tests de sécurité dans le développement et l\'acceptation','8.29 ','Valider le respect des exigences de sécurité de l\'information lorsque des applications ou des codes sont déployés dans l\'environnement .','- programmes de tests de conformités\n- nouveaux systèmes, mises à jour et nouvelles versions\n- tests réalisés','Contrôler que des tests sont réalisés sur les nouveaux systèmes, lors de mise ) jour er sur les nouvelles versions','Vert : conforme\nOrange : anomalies\nRouge : non-conforme','Réaliser des tests de fonctionnalité de la sécurité pendant le développement.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Identifier #Sécurité_des_applications #Assurance_de_sécurité_de_l\'information #Sécurité_système_et_réseau #Protection'), +(433,29,'Développement externalisé','8.30 ','S\'assurer que les mesures de sécurité de l\'information requises par l\'organisation sont mises en œuvre dans le cadre du développement externalisé des systèmes.','- développements externalisés\n- contrôles réalisés','Contrôler que des contrôles sont réalisés sur les développements externalisés.','Vert : conforme\nOrange : anomalie\nRourge : non-conforme','Superviser et contrôler l’activité de développement du système externalisée.',NULL,NULL,NULL,'#Préventive #Détective #Confidentialité #Intégrité #Disponibilité #Identifier #Protéger #Détecter #Sécurité_système_et_réseau #Sécurité_des_applications #Sécurité_des_relations_fournisseurs #Gouvernance_et_Écosystème #Protection'), +(434,29,'Séparation des environnements de développement, de test et de production','8.31 ','Protéger l\'environnement opérationnel et les données correspondantes contre les compromissions qui pourraient être dues aux activités de développement et de test.','- inventaire des applications concernées\n- environnements de développement, de test et d\'exploitation\n- mesures de séparation des environnements','Contrôler la présence des environnements pour chaque application et l\'effectivité de la séparation des environnements','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Séparer les environnements de développement, de test et d’exploitation pour réduire les risques d’accès ou de changements non autorisés dans l’environnement en exploitation.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_applications #Sécurité_système_et_réseau #Protection'), +(435,29,'Gestion des changements','8.32 ','Préserver la sécurité de l\'information lors de l\'exécution des changements.','- procédure de gestion des changements\n- changements réalisés','Contrôler la procédure gestion des changements, sa mise à jour et les changements réalisés suivent la procédure','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Contrôler les changements des systèmes dans le cadre du cycle de développement par le biais de procédures formelles.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_des_applications #Sécurité_système_et_réseau #Protection'), +(436,29,'Informations relatives aux tests','8.33 ','Assurer la pertinence des tests et la protection des informations opérationnelles utilisées pour les tests.','- inventaire des environnements contenant des données de test\n- mesures de protection appliquées (anonymisation)','Contrôler l\'application des mesures de protection aux données de test','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Sélectionner avec soin, protéger et contrôler les données de test.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Protéger #Protection_des_informations #Protection'), +(437,29,'Protection des systèmes d\'information en cours d\'audit et de test','8.34 ','Minimiser l\'impact des activités d\'audit et autres activités d\'assurance sur les systèmes opérationnels et les processus métier.','- exigences et activités d\'audit impliquant des vérifications sur des systèmes en exploitation\n- prévision et validation des activités\n- perturbations engendrées par ces vérifications','Contrôler les exigences, la prévision et la validation des activités et l’existence de perturbations engendrées par ces vérifications','Vert : conforme\nOrange : anomalie\nRouge : non-conforme','Prévoir avec soin et valider les exigences et activités d’audit impliquant des vérifications sur des systèmes en exploitation afin de réduire au minimum les perturbations subies par les processus métier.',NULL,NULL,NULL,'#Préventive #Confidentialité #Intégrité #Disponibilité #Protéger #Sécurité_système_et_réseau #Protection_des_informations #Gouvernance_et_Écosystème #Protection'); +/*!40000 ALTER TABLE `measures` ENABLE KEYS */; +UNLOCK TABLES; +/*!40103 SET TIME_ZONE=@OLD_TIME_ZONE */; + +/*!40101 SET SQL_MODE=@OLD_SQL_MODE */; +/*!40014 SET FOREIGN_KEY_CHECKS=@OLD_FOREIGN_KEY_CHECKS */; +/*!40014 SET UNIQUE_CHECKS=@OLD_UNIQUE_CHECKS */; +/*!40101 SET CHARACTER_SET_CLIENT=@OLD_CHARACTER_SET_CLIENT */; +/*!40101 SET CHARACTER_SET_RESULTS=@OLD_CHARACTER_SET_RESULTS */; +/*!40101 SET COLLATION_CONNECTION=@OLD_COLLATION_CONNECTION */; +/*!40111 SET SQL_NOTES=@OLD_SQL_NOTES */; + +-- Dump completed on 2023-06-22 7:48:55 diff --git a/deming.conf b/deming.conf new file mode 100644 index 00000000..100fb4f2 --- /dev/null +++ b/deming.conf @@ -0,0 +1,13 @@ +server { + listen 0.0.0.0; + server_name _; + + location / { + proxy_redirect off; + proxy_buffering off; + proxy_set_header Host $host; + proxy_set_header X-Real-IP $remote_addr; + + proxy_pass http://127.0.0.1:8000; + } +} \ No newline at end of file diff --git a/docker-compose.yml b/docker-compose.yml new file mode 100644 index 00000000..d263f7be --- /dev/null +++ b/docker-compose.yml @@ -0,0 +1,26 @@ +version: "3" +services: + web: + build: + context: . + dockerfile: Dockerfile_web + ports: + - 80:80 + depends_on: + mysql: + condition: service_healthy + + mysql: + image: mysql:8 + environment: + MYSQL_DATABASE: 'deming' + MYSQL_USER: 'deming_user' + MYSQL_PASSWORD: 'demPasssword-123' + MYSQL_ROOT_PASSWORD: 'root' + ports: + - "3306:3306" + healthcheck: + test: ["CMD", "curl", "-f", "http://localhost:3306"] + interval: 3s + timeout: 60s + retries: 5 \ No newline at end of file diff --git a/entrypoint.sh b/entrypoint.sh new file mode 100644 index 00000000..db5d565b --- /dev/null +++ b/entrypoint.sh @@ -0,0 +1,12 @@ + +#!/usr/bin/env bash + +cd /var/www/deming +php artisan migrate --seed +php artisan key:generate +php artisan storage:link +php artisan deming:generateTests +php artisan serve --host 0.0.0.0 --port 8000 & + +nginx -g "daemon off;" +