Enquête RSSI – Grille d’évaluation des fournisseurs

Dans le cadre de notre démarche qualité (certifications ISO 9001 et ISO 27001), nous vous remercions de bien vouloir compléter le formulaire ci-joint. Cette procédure est obligatoire pour tous nos fournisseurs. Pour les entreprises certifiées ISO 27001, la démarche est simplifiée : la transmission d’une preuve de certification valide dispense de répondre au volet sécurité, réduisant ainsi le nombre d’informations à fournir.

GOUV1 : Politique de Sécurité : Le fournisseur a défini une politique de sécurité de l'information (PSI) qui permet de définir clairement les rôles, les responsabilités et la comitologie. Cette politique est documentée et diffusée en interne.

GOUV2 : Charte numérique : Le fournisseur a rédigé une charte numérique établissant les règles pour une utilisation responsable et sécurisée des systèmes d'information. Cette charte est signée par l'ensemble des collaborateurs.

GOUV3 : Engagement de la Direction : La direction du fournisseur est engagée dans la sécurité de l'information.

GOUV4 : Ressources : Les ressources nécessaires pour la gestion du Système de Management de la Sécurité de l'Information (SMSI) sont disponibles et en adéquation avec les enjeux (présence d'un RSSI par exemple).

GOUV5 : Sensibilisation et formation : Le personnel est formé ou sensibilisé aux enjeux de sécurité en fonction de leur statut. Les sessions de sensibilisation ou de formation sont récurrentes.

GOUV6 : Évaluation et traitement des risques : Le fournisseur réalise des évaluations régulières des risques de sécurité de son système d'information. Des mesures sont mises en place pour traiter les risques identifiés. Ces évaluations et ces mesures sont documentées.

GOUV7 : Amélioration continue : Le fournisseur a mis en place un ou plusieurs systèmes de managements de(s) systèmes d'information, les non-conformités sont identifiées à l'aide d'indicateurs et corrigées de manière efficace et régulière.

GESR1 : Gestion des Incidents : Le fournisseur dispose d'un processus de gestion des incidents de sécurité, ce processus est documenté (ticketing…)

GESR2 : Surveillance et Mesure : Des mécanismes de surveillance et de mesure de la sécurité sont en place pour monitorer en temps réel les systèmes d'information.

GESR3 : Audits : Des audits internes et externes réguliers sont réalisés pour vérifier la conformité et l'efficacité des mesures de sécurité.

GESR4 : Continuité des activités : Le fournisseur a la capacité de maintenir son activité en cas d'interruption de service à l'aide d'un PRA documenté. Les données sont sauvegardées de façon régulière, intègre et sécurisée.

GESR5 : Chaine d'approvisionnement : le fournisseur évalue régulièrement ses propres fournisseurs et maîtrise l'impact potentiel de ces derniers sur la sécurité de son organisation.

GESR6 : Acquisition, développement et maintenance des systèmes d'information : le fournisseur maîtrise le cycle de vie de son système d'information. Il a mis en place une cartographie des actifs logiciels qui lui permet de gérer les environnements de développement et/ou les mises à jour.

GESR7 : Cryptographie : le fournisseur a rédigé une politique de l'utilisation de la cryptographie qui permet de gérer les clés, définir les données à chiffrer et anticiper la révocation et la rotation des clés de chiffrement.

GESR8 : Sécurité des ressources humaines : le fournisseur a rédigé des politiques et/ou des procédures pour contrôler les accès et les privilèges des utilisateurs du SI, tant sur des accès physiques que sur des accès numériques.

GESR9 : Authentification, identification : le fournisseur sait identifier et authentifier de manière fiable les utilisateurs ayant accès aux données de l'entreprise. Des solutions d'authentification fortes sont mises en place quand le système est jugé sensible. Une politique de gestion des mots de passe est rédigée et validée par l'ensemble des collaborateurs.

GESR10 : Sécurité des communications : le fournisseur maîtrise la confidentialité et l'intégrité des échanges d'informations.

JURI1 : Emplacement des données : le fournisseur assure que les lieux géographiques dans lesquels sont localisés les données, les services et les personnes réalisant la prestation ne sont pas contraires au RGPD.

JURI2 : Transfert de données : le fournisseur s'engage à ne pas déplacer les données du client sur un autre environnement que ceux définis dans le contrat, sans avoir préalablement reçu une autorisation formelle du client.ne sont pas contraires au RGPD.

JURI3 : Certifications : dans le cas où le fournisseur déclare qu'il dispose d'une certification applicable sur le périmètre du contrat, il s'engage à fournir le justificatif de certification au client.

REMED1 : Audit à la demande : le fournisseur autorise le client à réaliser ou à faire réaliser par le prestataire de son choix des contrôles de sécurité (exemples : « scan de vulnérabilité » ou « test d'intrusion informatique »).

REMED2 : Remédiation : Suite à un audit ou à un contrôle, le fournisseur s'engage à mettre en œuvre un plan d'action pour remédier aux écarts constatés sur les exigences légales, de sécurité ou de vulnérabilité. Ces actions de remédiation se feront dans un délai convenu d'un commun accord entre les deux parties. Le Client devra être tenu informé régulièrement de l'avancement de ces actions.

REVER1 : Restitution des données en fin de prestation : le fournisseur dispose d’une procédure permettant la restitution des données du client. Cette procédure peut être demandée par le client à tout moment durant la durée de la prestation.

REVER2 : Destruction des données en fin de prestation : le fournisseur dispose d’une procédure de destruction définitive des données du client. Cette procédure peut être exécutée à tout moment (pendant la durée du contrat ou après) à la demande du client. Elle inclut la production et la fourniture par le fournisseur d'une preuve de destruction au client.

EVAL1 : Évaluation de la sécurité des fournisseurs : le fournisseur évalue ses propres fournisseurs pour identifier les risques de sécurité.

EVAL2 : Évaluation Bilan Carbone : le fournisseur évalue ses propres fournisseurs pour connaître leurs maturités Bilan Carbone.

EVAL3 : Évaluation RSE : le fournisseur évalue ses propres fournisseurs pour connaître leurs maturités RSE.

BC1 : Organisation : le fournisseur a défini la gouvernance et identifié les périmètres de son bilan.

BC2 : Bilan Carbone : le fournisseur a réalisé une cartographie des émissions et connaît son bilan carbone.

BC3 : Mise en œuvre : le plan d'action Bilan Carbone est en cours de déploiement (ou déployé) et maintenu.

RSE1 : État des lieux : le fournisseur a réalisé un diagnostic pour identifier les pratiques actuelles et les enjeux RSE.

RSE3 : Engagements : le fournisseur a défini les grandes orientations de sa politique RSE.

RSE4 : Plan d'action : le fournisseur a défini un plan d'action détaillé avec des objectifs précis, des échéances, des indicateurs de performance et des responsables pour chaque action.

RSE5 : Mise en œuvre : le fournisseur exécute les actions prévues en mobilisant toutes les équipes concernées. La stratégie RSE est intégrée à tous les niveaux de l'entreprise.

RSE6 : Suivi, évaluation et reporting : le fournisseur réalise un suivi régulier de l'avancement des actions, évalue les résultats obtenus et ajuste les actions si nécessaire.