Identification de l'entité

Informations générales
Dénomination de l'entité
Département d'appartenance
Adresse
Ville
Adresse du site web

Responsable de la Sécurité des SI

Nom et Prénom
Rattachement
e-mail
Téléphone

Gestion du document
Auteur de l’évaluation
Date de l’évaluation
Validé par
Date de validation
 Outil de suivi de l'implémentation de la DNSSI

Dans le cadre de l’implémentation de la DNSSI au sein des administrations et organismes publics, la DGSSI a produit ce document,
dont l'objectif est de leur permettre de :
 
- Mesurer la maturité de la sécurité de leurs systèmes d'information;
- Fournir les indicateurs de sécurité permettant de définir les axes de progrès et de s'inscrire dans un processus d'amélioration
continue.
Description des feuilles de ce document

1. Classe de sensibilité du SI
Cette feuille permet à l'entité de définir la classe de sensibilité de son SI, en effet, la classe d’un SI est fonction :
- de la dépendance de l’entité par rapport au SI;
- des fonctions majeures assurées par le SI;
- de l’ampleur de l’impact d’un incident de sécurité sur la capacité de l’entité à remplir ses missions vitales de l’Etat, sur ses
biens essentiels, ou sur les individus.
2. Maturité de la SSI
L'objectif de cette feuille est de calculer le niveau de maturité de la sécurité des systèmes d'information atteint au sein de l’entité par
rapport à la DNSSI. Pour chacune des règles, l'auteur de l'évaluation est invité àdonner une cotation allant de 0 à 4 définit comme suit:

0: si l'entité n'est pas concernée par la règle,

1: si la règle n'est pas mise en œuvre,
2: si la mise en œuvre de la règle est en cours de réflexion (une règle est jugée en cours de réflexion si une étude d'opportunité
ou de faisabilité est initiée),
3 : si la règle est mise en œuvre partiellement,
4: si la règle est totalement mise en œuvre.
 
Les moyennes se calculent automatiquement en prenant en compte le poids de la règle et la cotation saisie.
3.  Représentation graphique de la maturité
Cette feuille a pour but de donner une synthèse de la maturité de la SSI selon les valeurs renseignées par l'entité, à l'aide de
diagrammes de kiviat .
ou de faisabilité est initiée),
3 : si la règle est mise en œuvre partiellement,
4: si la règle est totalement mise en œuvre.
 
Les moyennes se calculent automatiquement en prenant en compte le poids de la règle et la cotation saisie.
3.  Représentation graphique de la maturité
Cette feuille a pour but de donner une synthèse de la maturité de la SSI selon les valeurs renseignées par l'entité, à l'aide de
diagrammes de kiviat .
4. Indicateurs de la SSI
 Ces indicateurs ont été déduits des principes directeurs définis dans la DNSSI, ils vont permettre d'une part aux responsables des
entités à tous les niveaux de définir les axes de progrés et de s'inscrire dans un processus d'amélioration continue, et d'autre part,
d’aider la DGSSI à consolider une synthèse servant à la prise de décision.
 Niveau
Moyenne
de
Chapitre Objectifs Règle Question Poids par
maturité
objectifs
Objectif O.1: choisi
Apporter à la sécurité
de l’information une DS-BESOIN Besoins de sécurité définis ? 0
orientation et un
1.POLITIQUE soutien de la part du Examen annuel de l'application des
DS-EXAM 0 #DIV/0!
DE SECURITE management de mesures ?
Objectif O.2: Mettre
l’entité,
en place
conformément au seinaux
de DS-TDB Tableaux de bord renseignés ? 0
l’entité une
exigences de la ORG-INTER-DIR Implication de la direction ? 0
organisation
DNSSI.
adéquate ORG-INTER-RSSI RSSI désigné ? 0
#DIV/0!
garantissant une Relations avec les autorités compétentes en
gestion préventive et ORG-INTER-AUT 0
SSI entretenues ?
réactive de la
Objectif O.3: Assurer
sécurité de
2.ORGANISATIO la sécurité de
N DE LA l’information. ORG-TIER-EXIG Exigences vis-à-vis des tiers rédigées ? 0
l’information et des
SECURITE moyens de
traitement de
#DIV/0!
l’information de ORG-TIER-RISQ Risques émanant des tiers pris en compte ? 0
l’entité, consultés,
opérés, ORG-TIER-EXTER Externalisation maîtrisée ? 0
communiqués ou
gérés paraux
desbiens
tiers. ORG-TIER-HEBERG Hébergement sur territoire national ? 0
relatives
Objectif O.4: RESP-BIEN-INV Inventaire des biens réalisé ? 0
Inventorier tous les RESP-BIEN-CARTO Cartographie SI réalisée et maintenue ? 0 #DIV/0!
biens et leur RESP-BIEN-PROP Propriétaires des biens identifiés ? 0
attribuer un
3.GESTION DES informations CLASSIF-INFO-ECH Echelle de classification établie ? 0
BIENS Objectif O.5: Classer
les informations en CLASSIF-INFO- MES Mesures de protection des informations 0
termes d’exigences mises en œuvre ? #DIV/0!
légales, de sensibilité
et de criticité, afin de CLASSIF-INFO-EXAM Examen annuel de la classification ? 0
garantir un niveau de
Objectif O.6: Garantir RH-AVT-ENQ Personnel de confiance ? 0
que le personnel, les
4.SECURITE LIEE RH-AVT- CONFID Engagements de confidentialité ? 0
contractants et les
AUX
utilisateurs tiers RH-PDT- FORM Formation du personnel 0 #DIV/0!
RESSOURCES
connaissent leurs
HUMAINES
4.SECURITE LIEE
AUX
RESSOURCES #DIV/0!
connaissent leurs RH-FIN-REST Restitution des biens ? 0
HUMAINES
obligations en
matière de SSI. RH-FIN-ACC Retrait des accès ? 0
PHYS-DECOUP Zones physiques de sécurité délimitées ? 0
PHYS-SIGNAL Signalitique déployée ? 0
Procédure de contrôle d’accès physique
PHYS-PROC 0
formalisée ?
Accès réseau installé dans une zone d’accueil
PHYS-PUBLIC- RES 0
du public filtré ou isolé ?
PHYS-PUBLIC- Mesures spécifiques pour informations
0
INFO.SENS sensibles en zone publique ?
Zones sécurisées

Objectif O.7: PHYS-INTER/RESTR- Dispositif de contrôle d’accès physique

Empêcher tout accès 0
DISPO individualisé dans les zones restreintes ?
physique non
autorisé, tout #DIV/0!
dommage ou
intrusion dans les PHYS-INTER/RESTR- Traçabilité des accès du personnel et des 0
locaux et les TRACE visiteurs externes aux zones restreintes ?
informations de
l’entité
PHYS-INTER/RESTR-
VIDEOPROT Vidéo-protection dans les zones restreintes ? 0
5.SECURITE
PHYSIQUE PHYS-ENVIR- Détecteurs d'incendie dans les zones
0
INCEN.FUM restreintes ?
PHYS-ENVIR- Extinction automatique d'incendie dans les 0
INCEN.EXTINCT zones restreintes ?

PHYS-ENVIR-EAU Protections contre les dégâts des eaux des 0

équipements sensibles ?
PHYS-MAT- CABL Sécurité du câblage ? 0
PHYS-MAT-OND Protections par onduleurs ? 0
Sécurité du matériel
PHYS-MAT-ELECTROG Groupe électrogène en secours ? 0
Objectif O8 :
Empêcher la perte, PHYS-MAT-CLIM Climatisation en zones restreintes ? 0
l’endommagement Contrôle périodique des équipements de #DIV/0!
ou la compromission PHYS-MAT-MAINT sécurité ? 0
des biens et
l’interruption des
activités de l’entité
 Objectif O8 :
Empêcher la perte,
l’endommagement #DIV/0!
ou la compromission
des biens et
l’interruption des PHYS-MAT-MAINT. Délais d'intervention spécifiés dans contrats
0
activités de l’entité DELAI de maintenance ?
Procédures de mise au rebut avec
PHYS-MAT-REB 0
effacements ?
Procédures d'exploitation rédigées et
Procédures et EXP-PROC-FORMEL maintenues ? 0
responsabilités liées
à l'exploitation
Procédure formelle d'autorisation d'accès aux
PROC-ADMIN- ACC 0
Objectif O.9: Assurer outils et interfaces d'admistration ?
l’exploitation
correcte et sécurisée #DIV/0!
des moyens de PROC-ADMIN-TRACE Traçabilité des actions d'administration ? 0
traitement de
l’information et gérer PROC-ADMIN- DIST Sécurisation de l'administration à distance ? 0
les actions
d’administration du
SI. Outils centralisés d'automatisation et de
PROC-ADMIN- CENTR 0
Planification et supervision ?
acceptation du Procédures formalisées de configurations
système EXP-SYS-CONFIG 0
systèmes ?
Objectif O.10: #DIV/0!
Réduire le plus EXP-SYS-ANAL Analyses de dimensionnement ? 0
possible le risque de
Protection
pannes ducontre les
système
codes malveillants EXP-PROTEC-
Logiciels de protection déployés ? 0
Objectif O.11: CODE.MALVEIL
#DIV/0!
Protéger l’intégrité
des logiciels et de EXP-PROTEC-NAVIG Configuration sécurisée des navigateurs 0
l’information
Sauvegarde des
informations EXP-SAUV-PROC Procédures de sauvegardes ? 0
Objectif O.12:
Maintenir l’intégrité EXP-SAUV-RESTAUR Restauration en temps voulu ? 0
et la disponibilité des #DIV/0!
informations et des EXP-SAUV-PHYS Protection physique des sauvegardes ? 0
moyens de
traitement de EXP-SAUV-SENSI Sauvegarde chiffrée des données sensibles ? 0
6.GESTION DE l’information
L’EXPLOITATION Objectif O.13:
Assurer la protection EXP-RES-CONFIG Configurations durcies ? 0
ET DES
TELECOMMUNIC des informations sur #DIV/0!
les réseaux et la EXP-RES-WIFI Étude de sécurité spécifique pour le sans-fil ? 0
ATIONS
protection de
 6.GESTION DE
L’EXPLOITATION
ET DES
TELECOMMUNIC
ATIONS
EXP-NOM/AMOV- Traitement de sécurité adapté aux supports
0
GEST amovibles ?

Manipulation des Stockage sécurisé des postes nomades et

EXP-NOM/AMOV- supports amovibles contenant des données 0
supports STOCK
Objectif O.14: sensibles ?
Contrôler et #DIV/0!
protéger les supports EXP-NOM/AMOV- Mesures de sécurité appliquées aux postes
MES nomades et supports amovibles ? 0
amovibles et
nomades
Chiffrement des données sensibles sur poste
EXP-AMOV-SENSI nomade ou support amovible par dispositif de 0
confiance ?

Echange des Exigences de confidentialité pour les

EXP-ECHG-TELECOM 0
informations échanges d'informations sensibles ?
Objectif O.15:
Maintenir la sécurité EXP-ECHG- Sécurisation des échanges physiques de 0
des échanges des PHYS.COUR supports ?
#DIV/0!
informations et des EXP-ECHG-
supports physiques Bon usage de la messagerie professionnelle ? 0
MAIL.PERSO
au sein de l’entité et
avec un organisme EXP-ECHG-
externe. Filtrage de sécurité des mails ? 0
MAIL.FILTR

Supervision EXP-SUPERV-MAINT Actions de maintenance tracées ? 0

Objectif O.16:
Détecter les EXP-SUPERV-
traitements non JOURNAL Journalisation des événements ? 0 #DIV/0!
autorisés de
l’information EXP-SUPERV-
Base de temps unique ? 0
SYNCHRON

Gestion de l'accès ACC-UTILIS-IDF/AUTH Droits individuels d'accès aux ressources 0

utilisateur nécessaires et suffisants ?
Objectif O.17: ACC-UTILIS -
Maîtriser l’accès à Traçabilité des comptes métiers ? 0
MULTIUTILIS #DIV/0!
l’information par
l’application d’une Règles de gestion des mots de passe définies
politique du moindre ACC-UTILIS-MDP et appliquées ? 0
privilège
ACC-UTILIS-EXAM Examen périodique des droits d'accès ? 0
 ACC-DISTANT-AUT Authentification forte des accès distants ? 0

Contrôle d'accès au
réseau ACC-DISTANT-CHIFFR Chiffrement des connexions à distance ? 0

Objectif O.18: ACC-PORT-DIS Désactivation des ports d'accès inutiles ? 0

#DIV/0!
Empêcher les accès Accès strictement limité et contrôlé aux ports
7.CONTROLE non autorisés aux ACC-PORT-CONFIG 0
de diagnostic et de configuration ?
D’ACCES services disponibles
sur le réseau ACC-RES-SEG Segmentation du réseau ? 0
ACC-RES- Filtrages entre zones documentés et
SEG.PROTEC maintenus ? 0

Contrôle d'accès aux

applications et à
l'information
Objectif O.19 : Filtrage applicatif pour les applications à
Empêcher les accès ACC-APP-SENSI 0 0.00
risque ?
non autorisés aux
informations
stockées dans les
applications

Exigences de sécurité
applicable aux
systèmes
d'information
Objectif O.20: Veiller
à ce que la sécurité Sécurité intégrée dans toutes les étapes du
DEV-EXIG-PROJ 0 0.00
fasse partie cycle de vie du projet ?
intégrante dans les
projets de
développement des
systèmes
d’information
 des applications
Objectif O. 21: DEV-FONCT- ENTREE Contrôles des données en entrée ? 0
Empêcher toute
erreur, perte,
DEV-FCT- INTERN Programmation défensive ? 0 #DIV/0!
modification non
autorisée ou tout Contrôles de validation automatique des
mauvais usage des DEV-FCT- SORT sorties des traitement sensibles ? 0
Objectif O.22:
informations dans les
protéger la Usage de la cryptographie spécifiée au niveau
confidentialité, DEV-CRYPTO-FICH 0
de l'architecture applicative ? #DIV/0!
l’authenticité ou
l’intégrité de DEV-CRYPTO-PKI PKI ou IGC de confiance ? 0
l’information par des

Sécurité des fichiers

système
8.ACQUISITION, Objectif O.23: Mener
DEVELOPPEMEN les développements
T ET logiciels selon une DEV-CODE Protection des codes sources ? 0 0.00
MAINTENANCE méthodologie de
sécurisation du code
source pour son
intégrité

Sécurité en matière
de développement et
d'assistance
technique
DEV-FUITE Limitation des fuites d'information ? 0 0.00
Objectif O.24:
Empêcher toute
possibilité de fuite
d’informations
 Gestion des
vulnérabilités
techniques
Objectif O.25:
Réduire les risques DEV-VULN Études de vulnérabilités système et
0 0.00
liés à l’exploitation applicative ?
des vulnérabilités
techniques ayant fait
l’objet d’une
publication

Signalement des
événements et des Formalisation d'une procédure de
INCID-SIGNAL 0
failles liés à la signalement d'incidents ?
sécurité de
l'information
Objectif O. 26 :
Garantir que le mode
9.GESTION DES
de notification des #DIV/0!
INCIDENTS événements et failles Formalisation des procédures de gestion
INCID-PROC 0
liés à la sécurité de d'incidents ?
l’information
permette la mise en INCID-ACTION Prise des bonnes décisions pour la collecte de 0
œuvre d’une action traces ?
corrective, dans les
meilleurs délais INCID-REACT Mobilisation suite à réception d'une alerte ? 0

Constitution d'une base répertoire des

INCID-REP 0
incidents ?
Neutraliser les
interruptions des CONTINU-BIA Analyse d'impacts sur l'activité ? 0
activités de l’entité, CONTINU-ACT Constitution d'un PCA/PRA ? 0
10.GESTION DU protéger les
PLAN DE processus métier
INCID-TEST.PLAN Planification de tests techniques annuels ? 0 #DIV/0!
CONTINUITE DE cruciaux des effets
L’ACTIVITE causés par les
principales INCID-TEST.EX/SCEN Exercices de crise ? 0
défaillances des
systèmes
 Explicitation des exigences réglementaires,
CONF-EXIG 0
contractuelles et légales dans une charte ?

CONF-LIC Licences en règles ? 0

CONF-ARCH Protection des archives conformément à la 0

législation ?
Conformité avec les
exigences légales CONF-DONNEE. Protection des données à caractère personnel
Objectif O.28: Eviter 0
PERSO conformément à la législation ?
toute violation des
obligations légales, #DIV/0!
statutaires,
réglementaires ou Respect du cadre normatif relatif à la mise en
CONF-CRYPTO œuvre des mesures cryptographiques ? 0
contractuelles et des
exigences de sécurité
Vérifications régulières de la conformité à la
CONF-DNSSI 0
DNSSI ?
11.CONFORMITE
Charte de sécurité du SI signée par les
CONF-CHART.SI 0
utilisateurs ?
Conformité au référentiel général de la
CONF-RGS 0
sécurité ?

Prise en compte de
l'audit du système
d'information
Objectif O.29: Mener CONF-AUDIT
Audits réguliers ? 0 0.00
des opérations
d’audit et capitaliser
sur les résultats
obtenus

Taux de conformité à la DNSSI 0.00%

 Conformité avec la DNSSI

Vue par chapitres1 de la DNSSI

11 4.00 2

3.00

10 2.00 3

1.00

0.00
9 4

8 5

7 6

Vue par objectifs de la DNSSI

O.29 O.1 O.2

O.28 O.3
O.27 4.00 O.4
O.26 O.5
3.00
O.25 O.6
2.00
O.24 O.7
1.00
O.23 O.8
0.00
O.22 O.9

O.21 O.10

O.20 O.11
O.19 O.12
O.18 O.13
O.17 O.14
O.16 O.15

Taux de conformité à la DNSSI 0.00%

 Objectifs de la Moyenne par
Chapitres DNSSI
DNSSI objectif

1. Politique de sécurité O.1 #DIV/0!

O.2 #DIV/0!
2. Organisation de la sécurité d'information
O.3 #DIV/0!
O.4 #DIV/0!
3. Gestion des biens
O.5 #DIV/0!
4. Sécurité liée aux ressources humaines O.6 #DIV/0!
O.7 #DIV/0!
5. Sécurité physique et environementale
O.8 #DIV/0!
O.9
#DIV/0!
O.10 #DIV/0!
O.11 #DIV/0!
6. Gestion de l'exploitation et des O.12 #DIV/0!
télécommunications
O.13 #DIV/0!
O.14 #DIV/0!
O.15 #DIV/0!
O.16 #DIV/0!
O.17 #DIV/0!
7. Contrôle d'accés O.18 #DIV/0!
O.19 #DIV/0!
O.20 #DIV/0!
O.21 #DIV/0!
8. Acquisition, développement et maintenance O.22 #DIV/0!
des systémes d'information O.23 0.00
O.24 0.00
O.25 0.00
9. Gestion des incidents liés à la sécurité de
l'information O.26
#DIV/0!
10. Gestion de plan de continuité de l'activité O.27
#DIV/0!
O.28 #DIV/0!
11. Conformité
O.29 0.00
 Chapitres DNSSI Moyenne par chapitre

1. Politique de sécurité #DIV/0!

2. Organisation de la sécurité d'information #DIV/0!
3. Gestion des biens #DIV/0!
4. Sécurité liée aux ressources humaines #DIV/0!
5. Sécurité physique et environementale #DIV/0!
6. Gestion de l'exploitation et des
télécommunications #DIV/0!
7. Contrôle d'accés #DIV/0!
8. Acquisition, développement et maintenance
des systémes d'information #DIV/0!
9. Gestion des incidents liés à la sécurité de
l'information #DIV/0!
10. Gestion de plan de continuité de l'activité #DIV/0!
11. Conformité #DIV/0!
 Principes Libellé indicateur Description (méthode de calcul) Valeur
directeurs
Valeur indiquée à extraire de la feuille maturité
de la SSI. Elle est sur une échelle de 0 à 4. une
P1: Structure Moyenne obtenu en fonction de valeur inférieur à 2,5 par exemple indique
organisationne l'implémentation des régles de l'objectif 2 de la qu'une attention particulière est demandée #DIV/0!
lle DNSSI relatif à l'organisation de la SSI. concernant cet aspect.

Valeur indiquée à extraire de la feuille maturité

de la SSI. Elle est sur une échelle de 0 à 4. une
P2: Moyenne obtenu en fonction de valeur inférieur à 2,5 par exemple indique
cartographie l'implémentation des régles de l'objectif 4 de la qu'une attention particulière est demandée #DIV/0!
des SI DNSSI relatif à la gestion des biens. concernant cet aspect.

Pourcentage du budget consacré aux projets SSI

P3: Budget de Taux de budget consacré aux projets SSI par par rapport au budget total annuel consacré aux
la SSI rapport au budget SI projets SI

Pourcentage des plateformes et systèmes dont

P4: Contrôle Taux de plateformes et de systèmes dont les les journaux d'événement sont traités et revus
des journaux d'événement sont traités et revus périodiquement par rapport au nombre total des
administrateur périodiquement plateformes et systèmes
s

Nombre d'incidents de securité induisant

Nombre par an
l'indisponibilité d'un /ou des services

Nombre d'incidents induisant la perte des

Nombre par an
données sensibles(vol, divulgation, altération )
Pourcentage de plateformes et de systèmes
dont l'application des patchs et mises à jour se
Taux d'application de patch et mises à jour font régulièrement par rapport au nombre total
P5: Protection logiciels et matériel des plateformes et systèmes
de
l’information

Fréquence de vérification des sauvegardes Nombre d'opération de restauration test par an

 de
l’information

Pourcentage de plateformes et systèmes

Taux de plateformes et de système critiques critiques disposant d'un plan de reprise d'activité
disposant d'un plan de reprise d'activité par rapport au nombre totale de plateformes et
de système critiques
Nombre des audits effectués Nombre par an
Pourcentage d'utilisateurs sensibilisés en SSI par
Taux d'utilisateurs sensibilisés en SSI rapport au nombre d'utiisateurs cibles devant
P6:Formation suivre une formation de sensibilisation en SSI
et
sensibilisation Pourcentage d'administrateurs formés en SSI par
Taux d'administrateurs formés en SSI
rapport au nombre d'administrateurs
Commentaire
 Date de début (MM/AA)

Etat d'avancement de
Classe de

Date de fin (MM/AA)

Niveau de maturité
Règles de sécurité
sensibilité du SI

Responsable(s)

Budget (KDH)

l'action (%)
Chapitre

choisi
Poids
Actions à
Objectif Commentaire

Classe C

Classe B

Classe A
réaliser

PS- Dec-15 Nov-16 1,000.00

CONF:
Conformi Applic
4 = =
té avec able
la
DNSSI

Objectif O.1:
POLITIQUE DE SECURITE

Apporter à la PS-
sécurité de BESOIN:
Applic
l’information une Besoins 4 = = 3
able
orientation et un de
soutien de la part sécurité
du management
de l’entité, PS-
conformément aux EXAM: :
exigences de la Applic
Examen 2 = = 2
DNSSI. able
de la
DNSSI

PS-TDB:
Tableau Applic
x de
3
able + = 2
bord
 ORG-
INTER-
DIR: Applic
Implicati
4
able + = 2
on de la
direction

ORG-
Objectif O.2: INTER-
Mettre en place au RSSI : Applic
sein de l’entité une 4 = = 4
Désignat able
organisation ion d’un
adéquate RSSI
garantissant une
gestion préventive
et réactive de la
sécurité de
l’information. ORG-
INTER-
AUT :
Relation
s avec Applic
les
2
able + = 2
autorités
compéte
ntes en
ORGANISATION DE LA SECURITE

SSI

ORG-
TIER-
EXIG:
Applic
Exigenc 4
able + = 3
es vis-à-
vis des
tiers
NISATION DE LA SECURITE ORG-
TIER-
EXIG:
Applic
Exigenc 4
able + = 3
es vis-à-
vis des
tiers

ORG-
Objectif O.3: TIER-
Assurer la sécurité RISQ: Applic
3 = = 2
de l’information et Risques able
des moyens de émanant
traitement de des tiers
l’information de
l’entité, consultés,
opérés,
communiqués ou
gérés par des tiers. ORG-
TIER-
Applic
EXTER: 4
able + ++ 3
Externali
sation

ORG-
TIER-
HEBER Applic
G :
4
able + ++ 4
Héberge
ment
 RESP-
BIEN-
INV : Applic
2 = = 3
Inventair able
e des
biens

RESP-
Objectif O.4: BIEN-
Inventorier tous les CARTO : 4 Applic = = 2
biens et leur able
Cartogra
attribuer un phie SI 
propriétaire.

RESP-
BIEN-
PROP: Applic
Propriéta
2
able + = 3
ires des
biens
GESTION DES BIENS

CLASSI
F-INFO-
ECH:
Echelle 4Applicable + = 3
de
classifica
tion 

Objectif O.5:
Classer les
informations en
termes d’exigences
S
Objectif O.5:
Classer les CLASSI
informations en F-INFO-
termes d’exigences MES :
Applic
légales, de Protectio 4
able + = 3
sensibilité et de n des
criticité, afin de informati
garantir un niveau ons
de protection
approprié.

CLASSI
F-INFO-
EXAM:
Applic
Examen 2
able + = 3
de la
classifica
tion

RH-AVT-
ENQ:
Personn Applic
3 = = 3
el de able
confianc
e
SECURITE LIEE A

Objectif O.6:
 RH-AVT-
CONFID
:
Applic
Engage 4 + + 3
SECURITE LIEE AUX RESSOURCES HUMAINES

able
ment de
confident
ialité

Objectif O.6:
Garantir que le
personnel, les RH-
contractants et les PDT-
utilisateurs tiers FORM :
connaissent leurs Formatio 3 Applic = = 3
obligations en able
n du
matière de SSI. personn
el

RH-FIN-
REST:
Applic
Restituti 3 = = 2
able
on des
biens
RH-FIN-
ACC:
Applic
Retrait 4
able + = 3
des
accès

PHYS-
DECOU
P: Applic
4 = = 3
Découpa able
ge des
zones 

PHYS-
SIGNAL: Applic
1 = = 2
Signaléti able
ques

PHYS-
PROC:
Procédur Applic
3 = = 2
e de able
contrôle
d’accès

PHYS-
PUBLIC-
Applic
RES : 4
able + = 3
Accès
réseau
 PHYS-
PUBLIC-
Applic
RES : 4
able + = 3
Accès
réseau

PHYS-
PUBLIC-
INFO.SE
NS: Applic
Informati
3 N/A
able + 3
ons
sensible
s

PHYS-
INTER/R
ESTR-
DISPO : Applic
Dispositif
4
able + = 4
de
contrôle
Objectif O.7:
Empêcher tout accès
d’accès
physique non
autorisé, tout
dommage ou
intrusion dans les
locaux et les
informations de
l’entité.
 Objectif O.7:
Empêcher tout accès
physique non
autorisé, tout
dommage ou
intrusion dans les
locaux et les
informations de
l’entité.
PHYS-
INTER/R
ESTR-
Applic
TRACE: 4
able + ++ 3
Traçabilit
é des
accès 

PHYS-
INTER/R
ESTR-
VIDEOP Applic
ROT:
3 N/A
able + 2
Vidéo
protectio
n
SECURITE PHYSIQUE

PHYS-
ENVIR-
INCEN.F
UM: Applic
Détecteu
4
able + + 2
rs
d’incendi
e
SIQUE

PHYS-
ENVIR-
INCEN.E
Applic
XTINCT: 4
able
= + 2
Extincte
urs de
feu

PHYS-
ENVIR-
Applic
EAU: 2
able + ++ 3
Dégâts
des eaux

PHYS-
MAT-
CABL: Applic
4 = = 3
Sécurité able
du
câblage

PHYS-
MAT-
Applic
OND: 4 = = 3
able
Onduleu
rs
 PHYS-
MAT-
ELECTR
Applic
OG : 2 N/A = 1
able
Groupe
électrog
ène

PHYS-
MAT-
Applic
Objectif O8 : CLIM: 4 = = 2
able
Empêcher la perte, Climatis
l’endommagement ation
ou la
compromission des
biens et
l’interruption des
activités de l’entité. PHYS-
MAT-
MAINT:
Mainten Applic
ance des
3
able
= + 2
équipem
ents de
sécurité
 PHYS-
MAT-
MAINT.
Applic
DELAI: 2 N/A
able + 3
Délai
d’interve
ntion

PHYS-
MAT-
Applic
REB: 3
able + ++ 2
Mise au
rebut

EXP-
PROC-
FORME
L: Applic
Procédur
4
able + ++ 3
es
d’exploit
ation

PROC-
ADMIN-
ACC:
Accès
des Applic
Administ
4
able + ++ 2
rateurs
système
s et
réseaux 
 PROC-
ADMIN-
ACC:
Accès
des Applic
Administ
4
able + ++ 2
rateurs
système
s et
réseaux 

Objectif O.9:
Assurer
l’exploitation
correcte et
sécurisée des PROC-
moyens de ADMIN-
traitement de TRACE:
l’information et Traçabilit Applic
gérer les actions é des
4
able + ++ 3
d’administration du actions
SI. d’admini
stration

PROC-
ADMIN-
DIST: Applic
Administ
4 N/A
able + 2
ration à
distance
 PROC-
ADMIN-
Applic
CENTR : 3 N/A
able + 2
Centralis
ation

EXP-
SYS-
CONFIG
Applic
 : 4 = = 3
able
Configur
Objectif O.10: ation
Réduire le plus système
possible le risque
de pannes du
système.
EXP-
SYS-
ANAL: Applic
Dimensi
3
able + ++ 2
onneme
nt

EXP-
PROTE
C-
CODE.M
ALVEIL: Applic
Protectio
4
able + ++ 3
n contre
codes
Objectif O.11: malveilla
Protéger l’intégrité nts
des logiciels et de
l’information.
 EXP-
PROTE
C-
CODE.M
ALVEIL: Applic
Protectio
4
able + ++ 3
n contre
codes
Objectif O.11: malveilla
Protéger l’intégrité nts
des logiciels et de
l’information.

EXP-
PROTE
C-
NAVIG : Applic
Sécurité
3
able + ++ 3
du
navigate
ur

EXP-
SAUV-
PROC :
Procédur Applic
e de
4
able + = 3
sauvega
rde

EXP-
SAUV-
RESTAU Applic
R :
4
able + = 3
Restaura
Objectif O.12: tion
Maintenir l’intégrité
et la disponibilité
des informations et
des moyens de
 EXP-
SAUV-
RESTAU Applic
R :
4
able + = 3
Restaura
Objectif O.12: tion
Maintenir l’intégrité
et la disponibilité
des informations et
des moyens de EXP-
traitement de SAUV-
l’information PHYS :
Sécurité
Applic
physique 3 N/A = 2
able
des
sauvega
rdes

EXP-
SAUV-
SENSI: Applic
Sauvega
4
able + ++ 2
rde
sensible

EXP-
RES-
CONFIG
 :
Configur
Applic
Objectif O.13:
ation des 4
able + = 2
équipem
Assurer la
GESTION DE L’EXPLOIT

ents
protection des réseaux
informations sur
les réseaux et la
protection de
l’infrastructure sur
laquelle ils
s’appuient.
 EXP-
RES-
CONFIG
 :
Configur
Applic
Objectif O.13:
ation des 4
able + = 2
équipem
Assurer la
GESTION DE L’EXPLOITATION ET DES TELECOMMUNICATIONS

ents
protection des réseaux
informations sur
les réseaux et la
protection de
l’infrastructure sur
laquelle ils
s’appuient. EXP-
RES-
Applic
WIFI : 3 = = 2
able
Sécurité
du WIFI

EXP-
NOM/A
MOV-
GEST :
Applic
Gestion 4
able
= + 3
des
supports
amovible
s
NS

EXP-
NOM/A
MOV-
STOCK :
Sécurité
physique
Applic
des 3
able + ++ 4
postes
nomade
s et
supports
amovible
s

Objectif O.14:
Contrôler et
protéger les
supports amovibles
et nomades
EXP-
NOM/A
MOV-
MES:
Mesures
de
sécurité Applic
sur
3
able + ++ 3
postes
nomade
s et
supports
amovible
s
 EXP-
AMOV-
SENSI :
Données
Applic
sensible 4
able + ++ 2
s sur
supports
amovible
s

EXP-
ECHG-
TELECO
M: Les
échange
Applic
s par 4
able + ++ 3
équipem
ents de
télécom
municati
ons

Objectif O.15:
Maintenir la
sécurité des
échanges des
informations et des
 EXP-
ECHG-
PHYS.C
OUR : Applic
Objectif O.15:
Supports
2
able + = 3
Maintenir la
physique
sécurité des
s en
échanges des
transit
informations et des
supports physiques
au sein de l’entité
et avec un
organisme externe
EXP-
ECHG-
MAIL.PE
RSO:
Bon
Applic
usage 4
able + = 3
de la
message
rie
professio
nnelle

EXP-
ECHG-
MAIL.FIL
Applic
TR : 4
able + = 4
Filtrage
des
mails
 EXP-
SUPER
V-
MAINT :
Traçabilit Applic
é des
4
able + ++ 3
actions
de
mainten
ance

Objectif O.16: EXP-

Détecter les SUPER
traitements non V-
autorisés de JOURN
l’information. Applic
AL: 4
able + ++ 3
Journalis
ation des
événem
ents

EXP-
SUPER
V-
Applic
SYNCH 4
able + = 2
RON :
Synchro
nisation
 ACC-
UTILIS-
IDF/AUT
H : Applic
4 = = 2
identifica able
tion et
authentifi
cation

ACC-
UTILIS -
MULTIU
TILIS : Applic
Les
4 N/A
able + 2
sessions
Objectif O.17: multiutili
Maîtriser l’accès à sateurs
l’information par
l’application d’une
politique du moindre
privilège

ACC-
UTILIS-
MDP : Applic
4 = = 3
Gestion able
des mots
de passe
 ACC-
UTILIS-
EXAM :
Applic
Examen 4
able + = 3
des
droits
d’accès

ACC-
DISTAN
T-AUT:
Utilisate Applic
urs
4
able + = 3
distants
autorisés
CONTROLE D’ACCES

ACC-
DISTAN
T- Applic
CHIFFR:
4
able + = 3
Tunnelis
ation

ACC-
PORT-
DIS : Applic
Ports
4
able + = 2
d’accès
Objectif O.18: distants
Empêcher les
accès non
autorisés aux
 ACC-
PORT-
DIS : Applic
Ports
4
able + = 2
d’accès
Objectif O.18: distants
Empêcher les
accès non
autorisés aux
services
disponibles sur le ACC-
réseau. PORT-
CONFIG
Applic
 : Ports 4
able + ++ 2
de
configur
ation

ACC-
RES-
SEG : Applic
3 = = 2
Segment able
ation
réseau
 ACC-
RES-
SEG.PR
OTEC :
Applic
Protectio 4
able + ++ 1
n des
zones
segment
ées

ACC-
APP-
Objectif O.19 : SENSI :
Empêcher les accès Accès App
non autorisés aux Applic
informations
aux 4
able lica + 3
applicati
stockées dans les
ons ble
applications.
sensible
s

DEV-
Objectif O.20: EXIG-
Veiller à ce que la PROJ :
sécurité fasse Exigenc
partie intégrante es de
Applic
dans les projets de sécurité 4
able + = 3
développement dans les
des systèmes projets
d’information. de
développ
ement
 DEV-
Objectif O.20: EXIG-
Veiller à ce que la PROJ :
sécurité fasse Exigenc
partie intégrante es de
Applic
dans les projets de sécurité 4
able + = 3
développement dans les
des systèmes projets
d’information. de
développ
ement

DEV-
FONCT-
ENTREE
 : Applic
3 = = 3
Validatio able
n des
données
d’entrée

Objectif O.21:
Empêcher toute
erreur, perte,
DEV-
modification non
FCT-
autorisée ou tout
INTERN 
mauvais usage des Applic
: 1 = = 2
informations dans able
Traiteme
les applications.
nts
internes
ACQUI
 informations dans
les applications.

DEV-
FCT-
ACQUISITION, DEVELOPPEMENT ET MAINTENANCE

SORT :
Applic
Validatio 2
able + = 3
n des
données
de sortie

DEV-
CRYPT
O-FICH:
Mesures
cryptogr
Applic
aphiques 3
able + = 2
sur les
Objectif O.22: fichiers
protéger la et les
confidentialité, transacti
l’authenticité ou ons
l’intégrité de
l’information par
des moyens
cryptographiques.
 l’authenticité ou
l’intégrité de
l’information par
des moyens
cryptographiques.

DEV-
CRYPT
O-PKI :
Applic
Système 4
able + = 2
de
gestion
des clés

Objectif O.23:
Mener les
développements
DEV-
logiciels selon une
CODE :
méthodologie de Applic
Sécurité 3 N/A = 2
sécurisation du able
du code
code source pour
source
son intégrité.

Objectif O.24:
DEV-
Empêcher toute
FUITE : App
possibilité de fuite
d’informations.
Fuite 3 N/A lica + 3
d’inform
ations ble

DEV-
Objectif O.25:
VULN :
Réduire les risques
Mesures
liés à l’exploitation
aux Applic
des vulnérabilités 4 = = 2
vulnérabi able
techniques ayant
lités
fait l’objet d’une
techniqu
publication.
es
 INCID-
SIGNAL 
:
Signale
ment
des
événem
Applic
ents liés 4
able + ++ 2
à la
sécurité
des
système
s
d’inform
ation

Objectif O. 26 : INCID-

Garantir que le PROC :
GESTION DES INCIDENTS

mode de Procédur
Applic
notification des e de 4
able + ++ 2
événements et gestion
failles liés à la des
sécurité de incidents
l’information
permette la mise
en œuvre d’une
action corrective,
dans les meilleurs INCID-
délais. ACTION 
: Applic
Collecte
4
able + + 2
de
traces
 INCID-
REACT :
Applic
Réaction 4
able
= + 2
aux
incidents

INCID-
REP:
Répertoi Applic
2 = = 3
re able
d’inciden
ts

CONTIN
U-BIA :
Continuit
é de
Applic
l’activité 4 N/A
able + 2
et
apprécia
tion du
risque
GESTION DU PLAN DE CONTINUI

Objectif O.27:
Neutraliser les
interruptions des CONTIN
activités de l’entité, U-ACT:
protéger les Plan de
processus métier Continuit Applic
cruciaux des effets é et de 4 N/A
able
= 2
causés par les Reprise
principales d’Activité
défaillances des (PCA/PR
systèmes A)
GESTION DU PLAN DE CONTINUITE DE L’ACTIVITE
Objectif O.27:
Neutraliser les
interruptions des CONTIN
activités de l’entité, U-ACT:
protéger les Plan de
processus métier Continuit Applic
cruciaux des effets é et de 4 N/A
able
= 2
causés par les Reprise
principales d’Activité
défaillances des (PCA/PR
systèmes A)
d’information ou
par des sinistres et
garantir une
reprise de ces
processus dans les
meilleurs délais INCID-
TEST.PL
AN :
Mise à Applic
l’essai
4 N/A
able + 2
des
PCA/PR
A

INCID-
TEST.E
X/SCEN 
: Applic
Exercice
2 N/A
able + 2
s et
Scenario
s
 CONF-
EXIG :
Identifica
Applic
tion de la 3 = = 2
able
législatio
n en
vigueur

CONF-
LIC:
Droits de Applic
4 = = 3
propriété able
intellectu
elle

CONF-
ARCH:
Applic
Protectio 2 = = 2
able
n des
archives

CONF-
DONNE
E.
PERSO:
Applic
Protectio 4 = = 3
able
n des
données
personn
elles
Objectif O.28:
Eviter toute
violation des
obligations légales,
 CONF-
DONNE
E.
PERSO:
Applic
Protectio 4 = = 3
able
n des
données
personn
elles
Objectif O.28:
Eviter toute
violation des
obligations légales,
statutaires,
réglementaires ou CONF-
contractuelles et CRYPT
des exigences de O:
CONFORMITE

sécurité. Régleme
ntation Applic
4 = = 3
relative able
aux
mesures
cryptogr
aphiques
 CONF-
DNSSI :
Vérificati
on de la Applic
2 = = 2
conformi able
té avec
la
DNSSI

CONF-
CHART.
SI: Applic
2 = = 4
Charte able
d’utilisati
on SI

CONF-
RGS :
Vérificati
Applic
on de la 2 = = 1
able
conformi
té avec
le RGS

Objectif O.29:
CONF-
Mener des
AUDIT :
opérations d’audit
Audit du Applic
et capitaliser sur 4 = = 3
système able
les résultats
d’inform
obtenus.
ation
 Objectif O.29:
CONF-
Mener des
AUDIT :
opérations d’audit
Audit du Applic
et capitaliser sur 4 = = 3
système able
les résultats
d’inform
obtenus.
ation