1. Objet & périmètre
Le présent dossier décrit les engagements et dispositifs de sécurité appliqués par TecSoft TVTools (ci-après « le Prestataire ») dans le cadre de ses prestations (logiciels, services, exploitation, support, interventions et sous-traitance associée).
Objectif principal
Garantir confidentialité • intégrité • disponibilité des informations
Public concerné
Collaborateurs, prestataires externes autorisés, sous-traitants
2. Gouvernance SSI
La sécurité est pilotée par un Responsable de la Sécurité des Systèmes d’Information (RSSI). Les documents SSI sont revus au minimum annuellement et à chaque évolution majeure (incident, changement technique ou réglementaire).
Principes
- Politique formalisée et validée par la direction.
- Rôles et responsabilités définis (pilotage, exploitation, support, gestion de crise).
- Sensibilisation sécurité à l’intégration puis renouvelée périodiquement.
3. Politique de sécurité (PSSI)
La PSSI de TecSoft TVTools encadre les mesures organisationnelles et techniques visant à protéger les actifs informationnels et les services numériques.
Objectifs (CIA + continuité + conformité)
- Confidentialité, intégrité et disponibilité des données.
- Protection des ressources contre accès non autorisés, intrusion, perte ou altération.
- Continuité d’activité en cas d’incident de sécurité.
- Respect des exigences légales, réglementaires et contractuelles applicables.
Diffusion & appropriation
- PSSI disponible et accessible aux personnes concernées.
- Intégrée au parcours d’intégration (onboarding).
- Engagement individuel via une charte informatique associée.
4. Sécurité des sous-traitants
TecSoft TVTools applique sa PSSI à ses sous-traitants lorsque ceux-ci interviennent sur un périmètre lié à la prestation. La sélection et le suivi intègrent des exigences de sécurité.
Sélection & contractualisation
- Évaluation préalable (capacité à respecter les exigences SSI).
- Clauses contractuelles : confidentialité, sécurité, conformité, traçabilité, notification d’incidents.
- Principe de moindre privilège : accès limités au strict nécessaire.
Suivi
- Contrôles et revues ponctuelles selon criticité et exposition.
- Possibilité de retrait d’accès / arrêt de mission en cas de non-respect.
5. Conformité & protection des données
TecSoft TVTools s’engage à respecter les référentiels et obligations applicables en fonction des catégories de données traitées.
Référentiels / normes (selon périmètre)
- RGPD : principes de minimisation, sécurité, confidentialité, droits des personnes, encadrement de la sous-traitance.
- PCI-DSS : en cas de traitement de données de paiement, contrôles d’accès, chiffrement, audit et sécurisation du SI.
- HDS : en cas d’hébergement/traitement de données de santé, alignement sur les exigences associées (authentification, traçabilité, sécurité physique et logique, etc.).
Les normes mentionnées s’appliquent uniquement lorsque les données et cas d’usage correspondants sont effectivement couverts
par la prestation.
6. Charte informatique & usages
La charte encadre l’usage des ressources (poste de travail, comptes, messagerie, accès distants, supports, logiciels, mots de passe) par toute personne autorisée.
Exemples de règles couvertes
- Authentification forte quand disponible, mots de passe robustes, gestion des accès.
- Interdiction d’installer des logiciels non autorisés.
- Verrouillage de session, protection des postes, prudence face au phishing.
- Utilisation maîtrisée des supports amovibles et du partage de fichiers.
- Signalement des incidents et comportements suspects.
7. Gestion des risques & contrôles
TecSoft TVTools met en œuvre une gestion structurée des risques afin d’identifier, évaluer, traiter et suivre les risques de sécurité et de continuité.
Cycle de gestion
- Identification des risques (techniques, organisationnels, humains, fournisseurs).
- Évaluation (probabilité, impact, criticité) et priorisation.
- Plan de traitement : réduction, transfert, acceptation, évitement.
- Suivi et amélioration continue (revues, audits, retours d’expérience).
8. Gestion de crise & incidents
Un dispositif de gestion de crise est défini afin de traiter rapidement tout événement susceptible de compromettre la continuité de service, la sécurité du SI ou le respect des engagements de service.
Déclenchement & escalade
- Critères de déclenchement définis (gravité, étendue, indisponibilité, compromission, etc.).
- Chaîne d’escalade avec rôles et suppléances.
- Communication : canaux dédiés et points de situation.
Cellule de crise
- Fonctions représentées : technique/exploitation, sécurité, support, management.
- Journal de crise (décisions, actions, horodatage, preuves).
9. Données : mise à disposition, transfert, archivage
TecSoft TVTools formalise les pratiques de gestion des données et documents produits pendant la prestation : mise à disposition, transmission, archivage et conservation selon les règles applicables.
Principes
- Traçabilité des échanges et des versions (où applicable).
- Accès contrôlés et limitation au besoin opérationnel.
- Archivage et restitution selon les modalités définies contractuellement.
10. Annexe : Topologie réseau (visuels)
Figure 1 — Topologie réseau (page 1)
Figure 2 — Topologie réseau (page 2)
Figure 3 — Topologie réseau (page 3)
11. Annexe : Exigences de sécurité (matrice)
Pour faciliter la lecture, la matrice ci-dessous reprend les exigences, le statut de conformité et les éléments justificatifs de haut niveau.
| Référence | Exigence | Conformité | Preuve / commentaire |
|---|---|---|---|
| ORGA - Politique, organisation et gouvernance de la sécurité | |||
| ORGA-01 | Le prestataire dispose d'une politique de sécurité de son système d'information, connue de tous ses collaborateurs. | Conforme | voir Word joint |
| ORGA-02 | Le Prestataire applique et fait appliquer à ses sous-traitants sa politique de sécurité. | Conforme | voir Word joint |
| ORGA-03 | Le prestataire est conforme aux normes qui lui sont applicables compte tenu des données traitées (PCI-DSS, HDS, etc). | Conforme | voir Word joint |
| ORGA-04 | Le Prestataire dispose d'une charte informatique, signée préalablement par tout collaborateur pouvant intervenir dans le cadre de la prestation au le Client ou l'un des sites du Client. Ces derniers sont sensibilisés et formés aux enjeux liés à la sécurité de l'information. | Conforme | voir Word joint |
| ORGA-05 | Le Prestataire désigne parmi son personnel un correspondant sécurité pour toute la durée de la prestation. Ce correspondant est notamment : - l’interlocuteur privilégié du le Client et/ou du Client pour toutes les questions relatives à la sécurité de la prestation au sens de la présente annexe; - ce correspondant est joignable et tout remplacement de ce correspondant doit être notifié au le Client et/ou au Client. De plus, une suppléance de ce correspondant de sécurité doit être assurée pour pallier son indisponibilité. | Conforme | Correspondant sécurité, backup Suppléant correspondant sécurité |
| ORGA-06 | Le Prestataire met en place une gestion des risques et assure un suivi permanent de son niveau de maîtrise des risques ainsi que du respect des politiques et règles de sécurité applicables sur le périmètre de la prestation, y compris auprès de ses propres sous-traitants. | Conforme | voir Word joint |
| ORGA-07 | Le Prestataire applique sur son domaine de responsabilité, le processus formalisé et opérationnel de gestion de crise, apte à assurer le traitement d’événements remettant en cause de façon inacceptable pour le le Client et/ou pour un site du Client le respect des engagements de service et de sécurité SI contractualisés. Ce plan précise au minimum : - les principes d’escalade (critères de déclenchement, synoptique d’escalade) ; - la composition de la cellule de crise : fonctions et responsabilités des membres (le le Client et/ou le Client et le Prestataire) ainsi que la liste nominative des membres et de leurs suppléants est référencée dans un annuaire ; - les moyens dédiés à la gestion de crise (salle de crise, procédures opérationnelles, moyens de communication). | Conforme | voir Word joint |
| DATA - Gestion des biens et des données | |||
| DATA-01 | Le Prestataire conserve et traite les données du le Client et des sites du Client de manière séparée de ses propres données ou des données d’autres clients du Prestataire. Le Prestataire met en place un système de cloisonnement pour restreindre l’accès aux données du le Client et des sites du Client au strict nécessaire. | Conforme | espace disque dédié, comptes individuels |
| DATA-02 | Le prestataire assure le chiffrement au repos et en transit des données du le Client et des sites du Client. | Conforme | stockage des fichiers médias destinés à l'affichage dynamique |
| DATA-03 | Le Prestataire assure la protection de la documentation du le Client et des sites du Client sur support papier au sein des locaux, et sa destruction à la fin de la prestation. | Non applicable | tout est en ligne |
| DATA-04 | Le Prestataire garantit que les modalités de stockage et d’échange d’informations par mail permettent d’en assurer la confidentialité et l’intégrité. | Non applicable | tout est en ligne |
| DATA-05 | L’ensemble des opérations de transferts de disques durs, de supports d’archives ou de sauvegarde doit être inscrit dans un registre des opérations précisant l’émetteur et le destinataire ainsi que le détail des opérations de transferts notamment la date. Sur simple demande, ce registre est mis à la disposition du le Client ou du site du Client concerné par le Prestataire. | Conforme | backup differentiel quotidien vers pbs, hebdomadaire vers un autre pbs, backup offline sur hdd mensuel |
| DATA-06 | Le Prestataire conserve en lieu sûr les supports de stockage de données en fin de vie hébergeant des données du le Client et des sites du Client, en attendant de procéder à leur effacement ou à leur destruction avec des moyens adaptés visant à s’assurer qu’aucune donnée ne puisse être récupérée. Le cas échéant, le Prestataire ne met pas au rebut ou ne fait pas emporter par une société de maintenance, ou encore réutilise ces supports de sauvegarde à d’autres fins que celles prévues initialement sans l’autorisation expresse du le Client. | Conforme | hdd offlline au coffre |
| DATA-07 | Le Prestataire maintient à jour et est en mesure de mettre à disposition du le Client ou du site du Client concerné toutes les données relatives à la prestation. Le Prestataire fournit systématiquement toute la documentation générée dans le cadre de la prestation au le Client ou aux sites du Client pour archive. | Conforme | voir Word |
| DATA-08 | Dans le cadre d’une opération de maintenance, le Prestataire s’engage à chiffrer ou effacer de manière sécurisée toutes les données avant l’envoi en maintenance externe de toute ressource informatique du le Client et/ou du Client. Si les données ne sont pas sensibles, et si elles ne peuvent être chiffrées ou effacées en totalité, l’envoi en maintenance externe ne peut se faire que sous couvert d’un engagement de confidentialité de la part du mainteneur. Si les données sont sensibles et si elles ne peuvent être chiffrées ou effacées en totalité, l’envoi en maintenance externe est interdit. | Conforme | tls 1.2 ou 1.3, hdd bitlocker |
| PHY - Sécurité physique | |||
| PHY-01 | En cas de changement de localisation des données ou services, le Prestataire en informe préalablement le le Client et/ou le Client. | Conforme | cluster chez Ovh Roubaix, Gravelines et Strasbourg, infra de secours chez Scaleway Paris |
| PHY-02 | Le Prestataire identifie tous les prestataires techniques hébergeant ou stockant les données et leurs copies, utilisées ou échangées en cours de contrat ainsi que leur localisation. | Conforme | cluster chez Ovh Roubaix, Gravelines et Strasbourg, infra de secours chez Scaleway Paris |
| PHY-03 | Les bâtiments du Prestataire hébergeant son personnel dans le cadre de la prestation doivent être équipés d’un dispositif de contrôle d’accès individuel. Les accès physiques aux bâtiments en question doivent être restreints aux stricts besoins opérationnels des différentes populations présentes dans les locaux du Prestataire. Le Prestataire dispose d’une procédure de gestion des accès physiques à ses bâtiments. Celle-ci précise au minimum les modalités de gestion des demandes et de suppressions d’accès. Le Prestataire dispose d’une organisation relative à la gestion et au suivi des autorisations d’accès pour les bâtiments du Prestataire. | Conforme | https://corporate.ovhcloud.com/fr/trusted-cloud/security-certifications/ |
| PHY-04 | Les accès physiques aux salles informatiques sont strictement restreints aux besoins opérationnels des différentes populations présentes sur les sites utilisés dans le cadre de la prestation. Les accès sont équipés d’un dispositif de contrôle d’accès individuel. Une procédure de gestion des accès physiques aux locaux techniques est formalisée et précise au minimum les modalités de gestion des demandes et suppressions d’accès. Une organisation relative à la gestion et au suivi des autorisations d’accès est mise en place pour les locaux hébergeant les données du le Client et des sites du Client. | Conforme | https://corporate.ovhcloud.com/fr/trusted-cloud/security-certifications/ |
| PHY-05 | Les locaux qui hébergent les ressources techniques (serveurs, équipements informatiques, équipements réseaux / télécoms, etc.) sont équipés de moyens de : - protection contre les intrusions ; - détection d’intrusion et d’effraction reliés à un système de surveillance centralisé ; - réaction en cas d’intrusion ou d’effraction. Ces équipements sont opérationnels 24h/24h et 7j/7j. Les moyens de protection sont adaptés aux moyens de détection et de réaction. | Conforme | https://corporate.ovhcloud.com/fr/trusted-cloud/security-certifications/ |
| PHY-06 | Le Prestataire dispose d’une procédure spécifique à l’accueil des visiteurs. Il dispose également d’une procédure pour l’accès des véhicules au site. En particulier, les personnes extérieures nécessitant un accès aux salles hébergeant des ressources informatiques (techniciens, visiteurs, maintenance, etc.) sont accompagnées par une personne habilitée. | Conforme | https://corporate.ovhcloud.com/fr/trusted-cloud/security-certifications/ |
| HEB - Sécurité de l'hébergement et de l'exploitation | |||
| HEB-01 | Le Prestataire héberge ses données dans des datacentres localisés dans l'Union Européenne. | Conforme | cluster chez Ovh Roubaix, Gravelines et Strasbourg, infra de secours chez Scaleway Paris |
| HEB-02 | Les datacentres utilisés par le Prestataire dans le cadre des services rendus sont protégés contre les attaques de type DDOS. | Conforme | mitigation par OVH |
| HEB-03 | Le Prestataire dispose d’un inventaire et d’une cartographie de ses systèmes d’information dont il a la charge et doit les maintenir. L’inventaire et la cartographie comprennent également la liste des « briques » matérielles et logicielles utilisées, ainsi que leurs versions exactes et leur configuration. La cartographie est livrée à la demande du le Client et au minimum tous les ans. | Conforme | cluster HA à 9 nœuds sous Proxmox, VM sous Windows server |
| HEB-04 | Le Prestataire est garant du bon cloisonnement physique et/ou logique des environnements utilisés dans le cadre de la prestation. Les règles de filtrage des équipements réseaux et sécurité utilisés dans le cadre du projet doivent répondre au principe de « tout ce qui n’est pas explicitement autorisé est interdit ». | Conforme | oui |
| HEB-05 | Les environnements de test sont disjoints des environnements de production et leurs accès sont autant contrôlé. | Conforme | oui, machines de test et preprod hors cluster |
| HEB-06 | Le Prestataire chiffre tous les flux d’administration système et applicatifs, par des procédés fiables garantissant la confidentialité et l’intégrité des données. Par ailleurs, les postes d'administration utilisés pour la prestation doivent être dédiés et n'avoir accès ni à Internet, ni aux infrastructures bureautique du Prestataire. Dans le cas où les postes ne peuvent pas être dédiés à l'administration, des mesures de durcissement doivent être mises en place pour éviter la compromission de ces postes. | Conforme | administration possible que depuis la whitelist IP |
| HEB-07 | Le Prestataire s’assure de la bonne installation et mise à jour d’un logiciel anti-virus opérationnel et à jour sur tous les postes de travail et serveurs dont il est responsable dans le cadre de la prestation. La désactivation, même temporaire, d’un antivirus sur un serveur utilisé dans le cadre de la prestation devra avoir été préalablement notifiée au le Client et/ou au Client. | Conforme | protégé par Eset Security Complete |
| HEB-08 | Le Prestataire gère les mises à jour et l’application des correctifs de sécurité des logiciels et applicatifs ainsi que les mises à jour antivirales, pour assurer le maintien en conditions opérationnelle et de sécurité de l’ensemble de ses équipements pour les services fournis au le Client et aux sites du Client. | Conforme | protégé par Eset Security Complete incluant deploiement patches et updates |
| HEB-09 | Le Prestataire met en place un système de sauvegarde permettant la sauvegarde des données de la prestation hébergées sur les serveurs du Prestataire conformément aux besoins de sauvegarde exprimés par le le Client et des sites du Client dans le cadre de la Prestation. Des tests périodiques (a minima semestriels) de restauration des sauvegardes effectuées sur les données contenues dans les serveurs du Prestataire sont formalisés et effectués.* | Conforme | backup differentiel quotidien vers pbs, hebdomadaire vers un autre pbs, backup offline sur hdd mensuel |
| HEB-10 | Le Prestataire protège les sauvegardes informatiques en les stockant dans un coffre étanche et ignifuge pour les supports magnétiques, ou sur un site de back up sécurisé. | Conforme | oui en plus de ce qui precede une version hebdomadaire est stockée chez Synology C2 |
| HEB-11 | En cas d'incident, le Client peut être autorisé à consulter les logs d'audits. Le Prestataire conserve de manière exploitable, sur une durée d’un an après la fin de la prestation, la trace des actions réalisées dans son système à des fins de contrôle et de preuves. Le Prestataire collecte et stocke au moins les informations suivantes : - connexion et déconnexion aux équipements et applications ; - consultations d’informations relatives à la vie privée ; - informations (identifiant de l’utilisateur, date, heure) concernant les accès fructueux et les connexions infructueuses aux serveurs du le Prestataire. Les traces enregistrées par le Prestataire doivent être imputables à un individu, elles sont par ailleurs horodatées selon une référence horaire commune à l’ensemble des équipements d’un même réseau. | Conforme | oui tout est tracé, les logs sont consultables en ligne via l'interface de gestion et exportables en Excel |
| HEB-12 | Le Prestataire dispose des sources d’installation des logiciels utilisés dans le cadre de la prestation, lorsque ces logiciels ne sont pas mis à disposition par le le Client ou des sites du Client. | Conforme | oui, repository sur d.tecsoft.fr |
| HEB-13 | Le Prestataire s’assure de la bonne validité des licences des logiciels qu’il met à disposition de son personnel, du le Client et des sites du Client dans le cadre de la prestation. | Conforme | oui, SaaS sur logiciel propriétaire |
| HEB-14 | Dans le cas où le Prestataire utilise des ordinateurs portables pour la réalisation de la prestation, le Prestataire : - met en place des mécanismes de protection pour prévenir le vol des postes. Le Prestataire met notamment en place des câbles antivol de façon systématique ; - met en place une solution de chiffrement des disques des ordinateurs portables et des supports amovibles. | Non applicable | postes fixes sur réseau interne |
| IAM – Gestion du contrôle d'accès | |||
| IAM-01 | Le Prestataire s’assure que son personnel devant accéder à des ressources informatiques ou réseau dans le cadre de la prestation dispose d’un compte individuel qui peut être : - soit un compte nominatif qui lui est personnel et qui ne sera utilisé uniquement par cette personne tout au cours de la vie du compte ; - soit un compte individualisé qui pourra être attribué à des personnes différentes au cours de la vie du compte tout en n’étant toujours attribué qu’à une seule personne à la fois. | Conforme | oui, compte Azure Entry avec 2FA |
| IAM-02 | L'authentification des utilisateurs peut être déléguée à un service SSO le Client compatible SAML ou OpenIDConnect. | Conforme | compatible Azure AD, 365, et Saml 2.0 |
| IAM-03 | En cas d'exposition d'API, un contrôle d'accès respectant les bonnes pratiques de sécurité est en place. | Conforme | jwtoken protection |
| IAM-04 | Le Prestataire s’assure de réaliser des revues régulières pour identifier les comptes inutiles ou obsolètes et les désactiver. De même, les mots de passe par défaut devront être systématiquement modifiés en appliquant une politique de mot de passe robuste. | purge automatique des comptes non logués depuis 60 jours (paramétrable) | |
| IAM-05 | Le Prestataire doit maintenir et pouvoir fournir un inventaire justifié des comptes techniques nécessaires au fonctionnement du système. | Conforme | oui, compte Azure Entry avec 2FA dans le groupe opérateur |
| IAM-06 | Le Prestataire tient à jour la liste exhaustive des comptes d’accès au SI du Client existants ainsi que des rôles et privilèges qui y sont associés. Il fournit cette liste au Client sur demande. Le Prestataire effectue et formalise une revue trimestrielle des comptes d’accès aux serveurs et autres ressources utilisées dans le cadre de la prestation. | Conforme | oui, export des comptes AD et groupes |
| IAM-07 | Le Prestataire s’assure que tous les comptes des intervenants dans le cadre de la prestation sont habilités selon le principe du moindre privilège. | Conforme | oui, par défaut lecture seule |
| IAM-08 | Les moyens d’authentification mis en place par le Prestataire sur ses serveurs, applications et postes de travail, incluent une protection contre les attaques en essai et erreur sur les secrets d’authentification. | Conforme | oui, Azure policy |
| IAM-09 | Le Prestataire s'engage à s'assurer que les activités réalisées à distance ou à domicile et concernant les informations et les systèmes du le Client ou des sites du Client font l'objet des contrôles de sécurité appropriés au sein de l'organisation du fournisseur, y compris, mais sans exclusivité, des procédures fortes de vérification de l'identité des utilisateurs qui ont un accès à distance. | Non applicable | postes fixes sur réseau interne |
| IAM-10 | Le Prestataire respecte une politique de définition des mots de passe conforme aux bonnes pratiques de sécurité sur l’ensemble des comptes d’accès utilisateurs aux postes de travail et applications sous la responsabilité du Prestataire, mis en oeuvre dans le cadre de la prestation | Conforme | oui, Azure policy |
| IAM-11 | En cas d'exposition de ses services sur internet, le prestataire dispose de moyens de filtrage réseau permettant de limiter l'accès à l'instance du Client uniquement aux collaborateurs de celui-ci. | Conforme | oui |
| INCID – Gestion des incidents | |||
| INCID-01 | Le Prestataire met en place un système de remontée d’alerte au le Client et des sites du Client concernés, afin de détecter tout comportement anormal sur un périmètre du système d'information lié à la prestation, vol ou perte d’informations sensibles appartenant au le Client ou à un site du Client. | Conforme | oui, incluant déclaration et dépôt de plainte à https://www.cybermalveillance.gouv.fr |
| INCID-02 | Le Prestataire assure l’enregistrement et la traçabilité des incidents de sécurité et dispose d’un processus formalisé et opérationnel de gestion des incidents de sécurité. | Conforme | oui, backup des logs |
| INCID-03 | Le Prestataire contacte les interlocuteurs sécurité désignés du le Client et du site du Client concerné, pour signaler tout incident de sécurité susceptible d’affecter les données ou le système d'information du le Client ou du site du Client concerné. Par ailleurs - si cet incident a lieu sur le système d'information du le Client ou du site du Client, le Prestataire participera à la demande du Client au traitement de l’incident ; - si cet incident a lieu sur le système d'information du Prestataire, ce dernier autorisera le le Client et le site du Client concerné ou un tiers désigné à participer au traitement de l’incident (si le le Client le souhaite). En outre, des réunions périodiques d’analyse post incident devront être planifiées avec le le Client et le site du Client concerné; - le Prestataire capitalise les procédures de résolution des problèmes techniques récurrents dans une base de connaissance dédiée qu’il fournit au Client sur demande. | Conforme | SaaS uniquement donc seuls les incidents serveur sont à tracer |
| PCA - Plan de continuité d'activité | |||
| PCA-01 | Le Prestataire maintient la disponibilité immédiate des données quel que soit leur support, leur conservation et la disponibilité des systèmes d’information. En cas de non-respect, le Client est en droit d’appliquer des pénalités. | Conforme | oui, cluster HA |
| PCA-02 | Le Prestataire assure la disponibilité de l’ensemble des services liés à la prestation tout au long du contrat dans les délais exigés par le Client. Il fournit, à la demande du le Client et/ou du Client, la preuve de l’existence d’un plan de continuité d’activité régulièrement testé pour l’ensemble des services fournis au le Client et aux sites du Client. | Conforme | oui, cluster HA |
| PCA-03 | Le le Client et/ou le Client se réserve le droit de demander les résultats des exercices de continuité d’activité réalisés régulièrement par le Prestataire. | Conforme | oui, cluster HA |
| AUDIT - Auditabilité et gestion des vulnérabilités | |||
| AUDIT-01 | Le Prestataire effectue des audits de conformité aux exigences du le Client et/ou du Client pour garantir le niveau de sécurité au démarrage de la prestation ainsi que son maintien tout au long de la prestation. | Conforme | oui, pentest réguliers |
| AUDIT-02 | Le prestataire réalise des audits de sécurité réguliers, par un tiers expert dans le domaine et partage les rapports d'audit au le Client, ou autorise le le Client à réaliser ces audits le cas échéant | Conforme | oui, pentest réguliers par tiers ou Galec possible |
| AUDIT-03 | En cas de non-conformité ou d'une vulnérabilité identifiée lors d'un audit, un plan de remédiation devra être formalisé par le Prestataire 15 jours après la constatatio. Le Prestataire doit ensuite régulariser ces écarts par l’application du plan de remédiation dans les plus brefs délais, en apportant de la visibilité au le Client et/ou centre le Client sur les délais de remédiation prévus. | Conforme | oui |
| AUDIT-04 | Le prestataire dispose de moyens permettant d'identifier les vulnérabilités affectant ses systèmes et composants mis en oeuvre dans le cadre de la prestation, ainsi qu'effectuer une veille technologique et s'engage à corriger les vulnérabilités identifiées dans des délais raisonables en fonction de leur criticité | Conforme | oui |
Remarque : lorsque la preuve indique « voir document », elle renvoie aux sections correspondantes du présent dossier
(PSSI, sous-traitance, conformité, charte, risques, crise, etc.).