cahier des clauses simplifiées de cybersécurité

[Alb11]

Bonjour,

Le document cité en objet est paru au JO du 27 septembre 2018 :

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037436658&dateTexte=&categorieLien=id

Ce cahier des clauses n'est applicable qu'aux marchés qui s'y réfèrent (article 1er de l'Arrêté)

Bonne lecture.

[goran]

ce truc peut-il remplacer toutes les clauses RGPD qu'on s'efforce de rédiger  

[Ponta]

Si quelqu'un a des infos, ce serait un genre de CCAG ?

En tout cas, l'arrêté est court avec 11 articles sur 3 pages.

[Ponta]

Je l'ai lu. C'est assez complexe pour qui ne maîtrise pas bien le vocabulaire de cybersécurité ou plus globalement les marchés de "logiciels". Mon post sera donc court et imprécis parce que je n'ai pas tout compris (doux euphémisme ).

Ca fait référence à la protection des données et aux relations entre l'acheteur et le titulaire et ses sous-traitants. Il y a des clauses intéressantes notamment sur le "droit de regard" de l'acheteur. Il y a également des garanties pour l'acheteur. C'est une sorte de mini-CCAG. Ca rééquilibre les relations entre l'acheteur et le titulaire, à supposer que vous ayez un(e) expert(e) qui saura utiliser cet arrêté.

Certaines procédures pourront paraître surdimensionnées pour les "très petits, petits et moyens acheteurs" (TPA/PMA ).

[Vivaelparaguay]

La question devient : est-ce qu'on peut se référer à ce texte dans tous nos marchés, et ainsi virer de nos CCAP toutes les tartines sur la protection des données, RGPD, cnil, sécurité des données...

[Michel]

Titre Alias : "Comment plomber l'ambiance chez le Candidat     

Après lecture rapide ; pécadilles ?   B'en non !  , pauvres titulaires

Extraits :

2.3. Le référentiel général de sécurité (RGS) et la PSSI Etat s'appliquent aux marchés des entités couvertes par ces textes, sans qu'il soit besoin que le cahier des charges en fasse mention explicitement.

4.2. Par ailleurs, les règlementations applicables par exemple à la protection des données à caractère personnel (RGPD) ou aux données de santé prévoient la tenue de registres des traitements et la documentation des mesures de protection. Le candidat ou titulaire et leurs sous-traitants identifient proactivement les traitements de données personnelles ou sensibles et aident à la réalisation d'analyses d'impact relative à la protection des données et à la consultation préalable des autorités de contrôle.

4.3. Dans tous les cas, un titulaire de marché est tenu de fournir à première demande la documentation nécessaire

le titulaire a obligation d'enregistrer les failles auprès des autorités compétentes (CERT nationaux pour les éditeurs, registres RGPD et CNIL ou équivalent pour la divulgation de données personnelles, ANSSI pour les opérateurs d'importance vitale ou de services essentiels, etc.) 

8.1. Les clauses de ce cahier s'appliquent aux marchés publics en incluant tous les sous-traitants. Comme les titulaires sont responsables de leurs sous-traitants, les contrôles et les éventuelles actions de remédiation en cas de défaut, y compris jusqu'au remplacement, sont donc à la charge des titulaires.

11.4. Services de courriels
Authenticité des émetteurs garantie par l'émission de messages depuis des serveurs associés publiquement aux domaines, signature numérique par domaine et une politique publique liant le tout.
- Identification claire du statut des comptes émetteurs de courriels, par exemple en ajoutant un suffixe à ceux fournis aux personnels qui ne sont pas agents ou salariés directs.
- Intégrité des messages par leur signature numérique.

11.6. Sauvegardes des données stockées
- Sauvegardes 3-2-1 (3 copies, 2 technologies, 1 exemplaire hors site principal, donc avec chiffrement) pour se protéger des rançongiciels, des erreurs de manipulations ou des défaillances de matériels.

et ce ne sont que quelques extraits !

Si vous me trouvez un seul titulaire qui peut respecter tout ce texte et ses conséquences, vous me l'indiquez que je lui décerne une médaille !

Perso, je comprend le texte, mais aussi ses implications ! donc je ne candidate à aucune consultation qui s'y réfère 

[Vivaelparaguay]

si vous me trouvez un seul acheteur public qui peut respecter à la lettre le droit de la commande publique et ses conséquences...bon ben, pareil hein, médaille, tout ça 

[goran]

La question devient : est-ce qu'on peut se référer à ce texte dans tous nos marchés, et ainsi virer de nos CCAP toutes les tartines sur la protection des données, RGPD, cnil, sécurité des données...

c était aussi ma question

[Vivaelparaguay]

  c était aussi ma question

Toutaffé 

Je l'ai posée aux personnes concernées dans ma Cogip. Je vous dirai si j'ai un retour...

[goran]

Toutaffé 

Je l'ai posée aux personnes concernées dans ma Cogip. Je vous dirai si j'ai un retour...

on a peut-être dit une connerie, vu que personne ne nous répond 

[Michel]

La question devient : est-ce qu'on peut se référer à ce texte dans tous nos marchés, et ainsi virer de nos CCAP toutes les tartines sur la protection des données, RGPD, cnil, sécurité des données...

Perso OUI cela me semble fait en ce sens.         plus simple pour la PP oui ; pour les OE ! j'ai un doute 

[Vivaelparaguay]

Perso OUI cela me semble fait en ce sens.         plus simple pour la PP oui ; pour les OE ! j'ai un doute 

la clause que des "vendeurs de clauses" nous demandent de mettre dans tous les contrats est plutôt pire 

concrètement on peut mettre ce qu'on veut dans les DCE, les OE signeront et s'engageront à tout et n'importe quoi, mais je m'interroge sur le fait d'imposer des clauses dont je suis certain que 90% de mes titulaires seront incapables de les respecter, voire de comprendre. On balance ça dans les marchés, on prévient, personne ne comprend rien et tout le monde est content. Un seul intérêt : si une autorité ou un particulier tatillon vient nous chercher des noises, on aura quelqu'un à massacrer sous prétexte qu'il avait pris un engagement incompréhensible pour lui. Vive le futur !

[Michel]

concrètement on peut mettre ce qu'on veut dans les DCE, les OE signeront et s'engageront à tout et n'importe quoi, mais je m'interroge sur le fait d'imposer des clauses dont je suis certain que 90% de
mes titulaires seront incapables de les respecter, voire de comprendre.
On balance ça dans les marchés, on prévient, personne ne comprend rien et tout le monde est content. Un seul intérêt : si une autorité ou un particulier tatillon vient nous chercher des noises, on aura quelqu'un à massacrer sous prétexte qu'il avait pris un engagement incompréhensible pour lui. Vive le futur !

+1           

[Vivaelparaguay]

Et donc on ne sait toujours pas dire si ce nouveau CCAG suffit à remplacer toutes clauses sur le rgpd / la confidentialité et la protection des données dans le cadre de nos contrats ?

[goran]

Et donc on ne sait toujours pas dire si ce nouveau CCAG suffit à remplacer toutes clauses sur le rgpd / la confidentialité et la protection des données dans le cadre de nos contrats ?

oui, on sait ou pas ??