|
Titre: cahier des clauses simplifiées de cybersécurité Posté par: Alb11 le Octobre 11, 2018, 06:52:41 Bonjour,
Le document cité en objet est paru au JO du 27 septembre 2018 : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037436658&dateTexte=&categorieLien=id Ce cahier des clauses n’est applicable qu’aux marchés qui s’y réfèrent (article 1er de l'Arrêté) Bonne lecture. :) Titre: Re : cahier des clauses simplifiées de cybersécurité Posté par: goran le Octobre 11, 2018, 07:29:23 ce truc peut-il remplacer toutes les clauses RGPD qu'on s'efforce de rédiger ??? :-\
Titre: Re : cahier des clauses simplifiées de cybersécurité Posté par: Ponta le Octobre 11, 2018, 07:49:14 Si quelqu'un a des infos, ce serait un genre de CCAG ?
En tout cas, l'arrêté est court avec 11 articles sur 3 pages. Titre: Re : cahier des clauses simplifiées de cybersécurité Posté par: Ponta le Octobre 11, 2018, 08:14:45 Je l'ai lu. C'est assez complexe pour qui ne maîtrise pas bien le vocabulaire de cybersécurité ou plus globalement les marchés de "logiciels". Mon post sera donc court et imprécis parce que je n'ai pas tout compris (doux euphémisme ::)).
Ca fait référence à la protection des données et aux relations entre l'acheteur et le titulaire et ses sous-traitants. Il y a des clauses intéressantes notamment sur le "droit de regard" de l'acheteur. Il y a également des garanties pour l'acheteur. C'est une sorte de mini-CCAG. Ca rééquilibre les relations entre l'acheteur et le titulaire, à supposer que vous ayez un(e) expert(e) qui saura utiliser cet arrêté. Certaines procédures pourront paraître surdimensionnées pour les "très petits, petits et moyens acheteurs" (TPA/PMA :D). Titre: Re : cahier des clauses simplifiées de cybersécurité Posté par: Vivaelparaguay le Octobre 11, 2018, 08:23:05 La question devient : est-ce qu'on peut se référer à ce texte dans tous nos marchés, et ainsi virer de nos CCAP toutes les tartines sur la protection des données, RGPD, cnil, sécurité des données...
Titre: Re : cahier des clauses simplifiées de cybersécurité Posté par: Michel le Octobre 11, 2018, 10:05:08 Titre Alias : "Comment plomber l'ambiance chez le Candidat :D ;D
Après lecture rapide ; pécadilles ? B'en non ! , pauvres titulaires Extraits : 2.3. Le référentiel général de sécurité (RGS) et la PSSI Etat s'appliquent aux marchés des entités couvertes par ces textes, sans qu'il soit besoin que le cahier des charges en fasse mention explicitement. 4.2. Par ailleurs, les règlementations applicables par exemple à la protection des données à caractère personnel (RGPD) ou aux données de santé prévoient la tenue de registres des traitements et la documentation des mesures de protection. Le candidat ou titulaire et leurs sous-traitants identifient proactivement les traitements de données personnelles ou sensibles et aident à la réalisation d'analyses d'impact relative à la protection des données et à la consultation préalable des autorités de contrôle. 4.3. Dans tous les cas, un titulaire de marché est tenu de fournir à première demande la documentation nécessaire le titulaire a obligation d'enregistrer les failles auprès des autorités compétentes (CERT nationaux pour les éditeurs, registres RGPD et CNIL ou équivalent pour la divulgation de données personnelles, ANSSI pour les opérateurs d'importance vitale ou de services essentiels, etc.) 8.1. Les clauses de ce cahier s'appliquent aux marchés publics en incluant tous les sous-traitants. Comme les titulaires sont responsables de leurs sous-traitants, les contrôles et les éventuelles actions de remédiation en cas de défaut, y compris jusqu'au remplacement, sont donc à la charge des titulaires. 11.4. Services de courriels Authenticité des émetteurs garantie par l'émission de messages depuis des serveurs associés publiquement aux domaines, signature numérique par domaine et une politique publique liant le tout. - Identification claire du statut des comptes émetteurs de courriels, par exemple en ajoutant un suffixe à ceux fournis aux personnels qui ne sont pas agents ou salariés directs. - Intégrité des messages par leur signature numérique. 11.6. Sauvegardes des données stockées - Sauvegardes 3-2-1 (3 copies, 2 technologies, 1 exemplaire hors site principal, donc avec chiffrement) pour se protéger des rançongiciels, des erreurs de manipulations ou des défaillances de matériels. et ce ne sont que quelques extraits ! Si vous me trouvez un seul titulaire qui peut respecter tout ce texte et ses conséquences, vous me l'indiquez que je lui décerne une médaille ! Perso, je comprend le texte, mais aussi ses implications ! donc je ne candidate à aucune consultation qui s'y réfère ;D Titre: Re : cahier des clauses simplifiées de cybersécurité Posté par: Vivaelparaguay le Octobre 11, 2018, 11:09:27 si vous me trouvez un seul acheteur public qui peut respecter à la lettre le droit de la commande publique et ses conséquences...bon ben, pareil hein, médaille, tout ça ;D
Titre: Re : Re : cahier des clauses simplifiées de cybersécurité Posté par: goran le Octobre 11, 2018, 11:36:03 La question devient : est-ce qu'on peut se référer à ce texte dans tous nos marchés, et ainsi virer de nos CCAP toutes les tartines sur la protection des données, RGPD, cnil, sécurité des données... c était aussi ma question Titre: Re : Re : Re : cahier des clauses simplifiées de cybersécurité Posté par: Vivaelparaguay le Octobre 11, 2018, 01:25:43 c était aussi ma question Toutaffé ;D Je l'ai posée aux personnes concernées dans ma Cogip. Je vous dirai si j'ai un retour... Titre: Re : Re : Re : Re : cahier des clauses simplifiées de cybersécurité Posté par: goran le Octobre 11, 2018, 01:39:04 Toutaffé ;D Je l'ai posée aux personnes concernées dans ma Cogip. Je vous dirai si j'ai un retour... on a peut-être dit une connerie, vu que personne ne nous répond ;D ;D ;D ;D Titre: Re : Re : cahier des clauses simplifiées de cybersécurité Posté par: Michel le Octobre 11, 2018, 03:32:01 La question devient : est-ce qu'on peut se référer à ce texte dans tous nos marchés, et ainsi virer de nos CCAP toutes les tartines sur la protection des données, RGPD, cnil, sécurité des données... Perso OUI cela me semble fait en ce sens. plus simple pour la PP oui ; pour les OE ! j'ai un doute ;DTitre: Re : Re : Re : cahier des clauses simplifiées de cybersécurité Posté par: Vivaelparaguay le Octobre 18, 2018, 11:30:24 Perso OUI cela me semble fait en ce sens. plus simple pour la PP oui ; pour les OE ! j'ai un doute ;D la clause que des "vendeurs de clauses" nous demandent de mettre dans tous les contrats est plutôt pire :) concrètement on peut mettre ce qu'on veut dans les DCE, les OE signeront et s'engageront à tout et n'importe quoi, mais je m'interroge sur le fait d'imposer des clauses dont je suis certain que 90% de mes titulaires seront incapables de les respecter, voire de comprendre. On balance ça dans les marchés, on prévient, personne ne comprend rien et tout le monde est content. Un seul intérêt : si une autorité ou un particulier tatillon vient nous chercher des noises, on aura quelqu'un à massacrer sous prétexte qu'il avait pris un engagement incompréhensible pour lui. Vive le futur ! Titre: Re : Re : Re : Re : cahier des clauses simplifiées de cybersécurité Posté par: Michel le Octobre 18, 2018, 02:34:31 concrètement on peut mettre ce qu'on veut dans les DCE, les OE signeront et s'engageront à tout et n'importe quoi, mais je m'interroge sur le fait d'imposer des clauses dont je suis certain que 90% de +1 :D :D :Dmes titulaires seront incapables de les respecter, voire de comprendre. On balance ça dans les marchés, on prévient, personne ne comprend rien et tout le monde est content. Un seul intérêt : si une autorité ou un particulier tatillon vient nous chercher des noises, on aura quelqu'un à massacrer sous prétexte qu'il avait pris un engagement incompréhensible pour lui. Vive le futur ! Titre: Re : cahier des clauses simplifiées de cybersécurité Posté par: Vivaelparaguay le Novembre 13, 2018, 10:11:21 Et donc on ne sait toujours pas dire si ce nouveau CCAG suffit à remplacer toutes clauses sur le rgpd / la confidentialité et la protection des données dans le cadre de nos contrats ?
Titre: Re : Re : cahier des clauses simplifiées de cybersécurité Posté par: goran le Novembre 13, 2018, 11:00:14 Et donc on ne sait toujours pas dire si ce nouveau CCAG suffit à remplacer toutes clauses sur le rgpd / la confidentialité et la protection des données dans le cadre de nos contrats ? ;D ;D ;D ;D oui, on sait ou pas ?? Titre: Re : cahier des clauses simplifiées de cybersécurité Posté par: Vivaelparaguay le Novembre 14, 2018, 11:45:08 pour info, je viens de rencontrer et donc d'interroger le consultant qui aide ma cogip à se mettre en conformité avec le rgpd. Ils nous font toute une série de préconisation, clauses type et autre conventions cadre à faire signer.
J'ai donc sauté sur l'occasion pour lui demander si viser ce nouveau CCAG ne serait pas suffisant. Résultat : - ce consultant a découvert le texte (!) - après l'avoir lu en diagonal il lui a semblé plus protecteur (plus large, et plus précis également) que ses propres clauses (!) Je lui ai donc demandé que sa société analyse ce texte, évalue sa portée, et vérifie la correspondance entre lui et leur fameuse clause type que je dois mettre partout, pour me permettre de viser ce CCAG tout en utilisant sa clause, avec les bonnes dérogations... Titre: Re : Re : cahier des clauses simplifiées de cybersécurité Posté par: Michel le Novembre 14, 2018, 03:31:30 - ce consultant a découvert le texte (!) :D :D :D J'espère que vous appliquerez une réfaction sur la facture de sa prestation " Titre: Re : cahier des clauses simplifiées de cybersécurité Posté par: arboretum le D?cembre 12, 2018, 11:05:25 Et donc on sait toujours pas si on peut l'utiliser en remplacement ??
Titre: Re : cahier des clauses simplifiées de cybersécurité Posté par: mighty le D?cembre 12, 2018, 11:20:54 A suivre car la planète serait heureuse d'économiser justement trois pages de CCAP ;D
|