├── .gitignore ├── CODE_OF_CONDUCT.md ├── CONTRIBUTING.md ├── LICENSE ├── create_framework.js ├── data └── France │ ├── HDS │ ├── ANS-PPHD-MSP_control_set │ │ ├── ANS-SEC-admin-activities-sec_control.json │ │ └── ANS-purpose-comp-sec_control.json │ ├── ANS-PPHD_control_set │ │ ├── ANS-LOC-data-location-sec_control.json │ │ ├── ANS-LOC-data-location-selection-sec_control.json │ │ ├── ANS-PGSSI-sec_control.json │ │ ├── ANS-PII-communication-sec_control.json │ │ ├── ANS-PII-data-breach-sec_control.json │ │ ├── ANS-PII-notification-sec_control.json │ │ ├── ANS-PII-recording-sec_control.json │ │ ├── ANS-PII-return-transfer-disposal-contract-cert-sec_control.json │ │ ├── ANS-PII-return-transfer-disposal-sec_control.json │ │ ├── ANS-PII-subcontracting-sec_control.json │ │ ├── ANS-SEC-NDA-sec_control.json │ │ ├── ANS-SEC-contract-main-sec_control.json │ │ ├── ANS-SEC-contract-sub-sec_control.json │ │ ├── ANS-SEC-data-restoration-sec_control.json │ │ ├── ANS-SEC-encryption-communication-sec_control copy.json │ │ ├── ANS-SEC-expired-id-sec_control.json │ │ ├── ANS-SEC-gid-sec_control.json │ │ ├── ANS-SEC-logging-monitoring-sec_control.json │ │ ├── ANS-SEC-paper-disposal-sec_control.json │ │ ├── ANS-SEC-paper-sec_control.json │ │ ├── ANS-SEC-physical-data-transfer-sec_control.json │ │ ├── ANS-SEC-responsabilities-sec_control.json │ │ ├── ANS-SEC-storage-sec_control.json │ │ ├── ANS-SEC-user-mng-sec_control.json │ │ ├── ANS-SEC-uuid-sec_control.json │ │ ├── ANS-certification-sec_control.json │ │ ├── ANS-customer-contact-sec_control.json │ │ ├── ANS-french-support-sec_control.json │ │ ├── ANS-purpose-comp-sec_control.json │ │ ├── ANS-purpose-main-sec_control.json │ │ ├── ANS-right-of-the-data-subject-sec_control.json │ │ ├── ANS-security-policy-sec_control.json │ │ └── OPTIONAL-ISO-27018-sec_control.json │ ├── ISO-20000-1_control_set │ │ ├── ISO-20000-1-chapt-5-2-1_sec_control.json │ │ ├── ISO-20000-1-chapt-5-3-b_sec_control.json │ │ ├── ISO-20000-1-chapt-5-3-comp_sec_control.json │ │ ├── ISO-20000-1-chapt-6-3_sec_control copy.json │ │ └── ISO-20000-1-chapt-6-5_sec_control.json │ ├── ISO-27001-MSP_control_set │ │ └── ISO-27001-comp-3_sec_control.json │ ├── ISO-27001_control_set │ │ ├── ISO-27001-comp-1_sec_control.json │ │ ├── ISO-27001-comp-2_sec_control.json │ │ ├── ISO-27001-comp-4_sec_control.json │ │ └── ISO-27001-core_sec_control.json │ ├── custom_framework.json │ └── readme.md │ └── PSSIE │ ├── Architecture-des-SI_control_set │ ├── ARCHI-PASS_sec_control.json │ ├── ARCHI-HEBERG_sec_control.json │ └── ARCHI-STOCKCI_sec_control.json │ ├── Conformité-Audit-Inspection-contrôle_control_set │ ├── CONTR-BILAN-SSI_sec_control.json │ └── CONTR-SSI_sec_control.json │ ├── Continuité-d'activité_control_set │ ├── PCA-EXERC_sec_control.json │ ├── PCA-LOCAL_sec_control.json │ ├── PCA-MINIS_sec_control.json │ ├── PCA-MISAJOUR_sec_control.json │ ├── PCA-PROC_sec_control.json │ ├── PCA-PROT_sec_control.json │ ├── PCA-SAUVE_sec_control.json │ └── PCA-SUIVILOCAL_sec_control.json │ ├── Exploitation-des-SI_control_set │ ├── ARCHI-PASS_sec_control.json │ ├── EXP-CERTIFS_sec_control.json │ ├── EXP-CI-EFFAC_sec_control.json │ ├── EXP-CONF-AUTH_sec_control.json │ ├── EXP-INIT-PASS_sec_control.json │ ├── EXP-POL-PASS_sec_control.json │ ├── EXP-REVUE-AUTH_sec_control.json │ ├── EXP-ACC-DIST_sec_control.json │ ├── EXP-CENTRAL_sec_control.json │ ├── EXP-CI-ACCRES_sec_control.json │ ├── EXP-CI-ADMIN_sec_control.json │ ├── EXP-CI-AMOV_sec_control.json │ ├── EXP-CI-AUDIT_sec_control.json │ ├── EXP-CI-DESTR_sec_control.json │ ├── EXP-CI-DNS_sec_control.json │ ├── EXP-CI-FILT_sec_control.json │ ├── EXP-CI-LTA_sec_control.json │ ├── EXP-CI-LTD_sec_control.json │ ├── EXP-CI-LTP_sec_control.json │ ├── EXP-CI-MESSTECH_sec_control.json │ ├── EXP-CI-OS_sec_control.json │ ├── EXP-CI-PROTFIC_sec_control.json │ ├── EXP-CI-SUPERVIS_sec_control.json │ ├── EXP-CI-TRAC_sec_control.json │ ├── EXP-CONFIG_sec_control.json │ ├── EXP-CONS-JOUR_sec_control.json │ ├── EXP-COR-SEC_sec_control.json │ ├── EXP-DECLAR-VOL_sec_control.json │ ├── EXP-DEP-ADMIN_sec_control.json │ ├── EXP-DOC-CONFIG_sec_control.json │ ├── EXP-DOM-ADMINLOC_sec_control.json │ ├── EXP-DOM-LIMITSERV_sec_control.json │ ├── EXP-DOM-NOMENCLAT_sec_control.json │ ├── EXP-DOM-PASS_sec_control.json │ ├── EXP-DOM-RESTADMIN_sec_control.json │ ├── EXP-DOM-SERV_sec_control.json │ ├── EXP-DROITS_sec_control.json │ ├── EXP-GES-ANTIVIR_sec_control.json │ ├── EXP-GES-DYN_sec_control.json │ ├── EXP-GEST-ADMIN_sec_control.json │ ├── EXP-GEST-PASS_sec_control.json │ ├── EXP-HABILIT-ADMIN_sec_control.json │ ├── EXP-ID-AUTH_sec_control.json │ ├── EXP-IMP-2_sec_control.json │ ├── EXP-IMP-SENS_sec_control.json │ ├── EXP-ISOL_sec_control.json │ ├── EXP-JOUR-SUR_sec_control.json │ ├── EXP-MAINT-EXT_sec_control.json │ ├── EXP-MAIT-MAT_sec_control.json │ ├── EXP-MAJ-ANTIVIR_sec_control.json │ ├── EXP-MIS-REB_sec_control.json │ ├── EXP-NAVIG_sec_control.json │ ├── EXP-NOMAD-SENS_sec_control.json │ ├── EXP-OBSOLET_sec_control.json │ ├── EXP-POL-ADMIN _sec_control.json │ ├── EXP-POL-COR_sec_control.json │ ├── EXP-POL-JOUR_sec_control.json │ ├── EXP-PROC-AUTH_sec_control.json │ ├── EXP-PROFILS_sec_control.json │ ├── EXP-PROT-ADMIN_sec_control.json │ ├── EXP-PROT-MALV_sec_control.json │ ├── EXP-PROT-VOL_sec_control.json │ ├── EXP-QUAL-PASS_sec_control.json │ ├── EXP-REAFFECT_sec_control.json │ ├── EXP-RESTR-DROITS_sec_control.json │ ├── EXP-SEC-FLUXADMIN_sec_control.json │ ├── EXP-SECX-DIST_sec_control.json │ ├── EXP-SEQ-ADMIN_sec_control.json │ └── EXP-TRAC_sec_control.json │ ├── Gestion-des-biens_control_set │ ├── GDB-CARTO_sec_control.json │ ├── GDB-INVENT_sec_control.json │ ├── GDB-PROT-IS_sec_control.json │ └── GDB-QUALIF-SENSI_sec_control.json │ ├── Intégration-SSI-SI_control_set │ ├── INT-AQ-PSL_sec_control.json │ ├── INT-HOMOLOG-SSI_sec_control.json │ ├── INT-PRES-CNTRL_sec_control.json │ ├── INT-PRES-CS_sec_control.json │ ├── INT-QUOT-SSI_sec_control.json │ ├── INT-REX-AR_sec_control.json │ ├── INT-REX-HB_sec_control.json │ ├── INT-REX-HS_sec_control.json │ ├── INT-SSI_sec_control.json │ └── INT-TDB_sec_control.json │ ├── Politique-Organisation-Gouvernance_control_set │ ├── ORG-ACT-SSI_sec_control.json │ ├── ORG-APP-DOCS_sec_control.json │ ├── ORG-APP-INSTR_sec_control.json │ ├── ORG-PIL-PSSIM_sec_control.json │ ├── ORG-RESP_sec_control.json │ ├── ORG-RSSI_sec_control.json │ ├── ORG-SSI_sec_control.json │ └── ORG-TIER_sec_control.json │ ├── Ressources-Humaines_control_set │ ├── RH-CONF_sec_control.json │ ├── RH-MOTIV_sec_control.json │ ├── RH-MOUV_sec_control.json │ ├── RH-NPERM_sec_control.json │ ├── RH-SSI_sec_control.json │ └── RH-UTIL_sec_control.json │ ├── Securité-des-réseaux_control_set │ ├── RES-CARTO_sec_control.json │ ├── RES-CLOIS _sec_control.json │ ├── RES-COUCHBAS-SPECIFIQUE_sec_control.json │ ├── RES-DURCI _sec_control.json │ ├── RES-ENTSOR_sec_control.json │ ├── RES-INTERCOGEO_sec_control.json │ ├── RES-INTERCO_sec_control.json │ ├── RES-INTERNET-SPECIFIQUE_sec_control.json │ ├── RES-MAITRISE_sec_control.json │ ├── RES-PROT_sec_control.json │ ├── RES-RESS_sec_control.json │ ├── RES-ROUTDYN _sec_control.json │ ├── RES-ROUTDYN-EGP_sec_control.json │ ├── RES-ROUTDYN-IGP_sec_control.json │ ├── RES-SECRET_sec_control.json │ └── RES-SSFIL-SPECIFIQUE_sec_control.json │ ├── Sécurité-Physique_control_set │ ├── PHY-SI-SUR_sec_control.json │ ├── PHY-CI-CLIM_sec_control.json │ ├── PHY-CI-CTRLACC_sec_control.json │ ├── PHY-CI-ENERGIE_sec_control.json │ ├── PHY-CI-HEBERG_sec_control.json │ ├── PHY-CI-INC_sec_control.json │ ├── PHY-CI-LOC_sec_control.json │ ├── PHY-CI-MOYENS_sec_control.json │ ├── PHY-CI-TRACE_sec_control.json │ ├── PHY-CTRL_sec_control.json │ ├── PHY-PUBL_sec_control.json │ ├── PHY-SENS_sec_control.json │ ├── PHY-TECH_sec_control.json │ ├── PHY-TELECOM_sec_control.json │ ├── PHY-ZONES_sec_control.json │ └── PHY_CI-EAU_sec_control.json │ ├── Sécurité-du-développement-des-systèmes_control_set │ ├── DEV-FILT-APPL_sec_control.json │ ├── DEV-FUITES_sec_control.json │ ├── DEV-INTEGR-SECLOC_sec_control.json │ ├── DEV-LOG-ADHER_sec_control.json │ ├── DEV-LOG-CRIT_sec_control.json │ ├── DEV-LOG-CYCLE_sec_control.json │ ├── DEV-LOG-PASS_sec_control.json │ ├── DEV-LOG-WEB_sec_control.json │ └── DEV-SOUS-TRAIT_sec_control.json │ ├── Sécurité-du-poste-de-travail_control_set │ ├── PDT-ADM-LOCAL_sec_control.json │ ├── PDT-AMOV_sec_control.json │ ├── PDT-CHIFF-SENS_sec_control.json │ ├── PDT-CONF-VERIF_sec_control.json │ ├── PDT-CONFIG_sec_control.json │ ├── PDT-GEST_sec_control.json │ ├── PDT-MUL-DURCISS_sec_control.json │ ├── PDT-MUL-SECNUM_sec_control.json │ ├── PDT-NOMAD-ACCESS_sec_control.json │ ├── PDT-NOMAD-CONNEX_sec_control.json │ ├── PDT-NOMAD-DESACTIV_sec_control.json │ ├── PDT-NOMAD-FILT_sec_control.json │ ├── PDT-NOMAD-PAREFEU_sec_control.json │ ├── PDT-NOMAD-STOCK _sec_control.json │ ├── PDT-PART-FIC_sec_control.json │ ├── PDT-PRIVIL_sec_control.json │ ├── PDT-PRIV_sec_control.json │ ├── PDT-REAFFECT_sec_control.json │ ├── PDT-SAUV-LOC_sec_control.json │ ├── PDT-STOCK _sec_control.json │ ├── PDT-SUPPR-PART_sec_control.json │ ├── PDT-TEL-CODES_sec_control.json │ ├── PDT-TEL-DECT_sec_control.json │ ├── PDT-TEL-MINIM_sec_control.json │ ├── PDT-VEROUIL-FIXE_sec_control.json │ └── PDT-VEROUIL-PORT_sec_control.json │ ├── Traitement-des-incidents_control_set │ ├── TI-INC-REM_sec_control.json │ ├── TI-MOB_sec_control.json │ ├── TI-OPS-SSI_sec_control.json │ └── TI-QUAL-TRAIT_sec_control.json │ ├── custom_framework.json │ └── readme.md ├── delete_framework.js ├── img ├── aws-shared-responsibility.png ├── hds │ ├── hds-cli-deployment.png │ ├── hds-cli-supression.png │ ├── hds-console-view-1.png │ └── hds-console-view-2.png ├── pssie │ ├── pssie-cli-deployment.png │ ├── pssie-cli-supression.png │ ├── pssie-console-view-1.png │ └── pssie-console-view-2.png └── readme │ ├── readme-en.png │ └── readme-fr.png ├── model ├── framework_output-model.json ├── sec_assesment_framework-model.json └── sec_control-model.json ├── package-lock.json ├── package.json ├── readme-en.md ├── readme.md └── src ├── create ├── create_security_control.js └── create_security_framework.js ├── delete ├── delete_security_control.js └── delete_security_framework.js └── logger.js /.gitignore: -------------------------------------------------------------------------------- 1 | .DS_Store 2 | 3 | util.js 4 | node_modules/* 5 | out/* -------------------------------------------------------------------------------- /CODE_OF_CONDUCT.md: -------------------------------------------------------------------------------- 1 | ## Code of Conduct 2 | This project has adopted the [Amazon Open Source Code of Conduct](https://aws.github.io/code-of-conduct). 3 | For more information see the [Code of Conduct FAQ](https://aws.github.io/code-of-conduct-faq) or contact 4 | opensource-codeofconduct@amazon.com with any additional questions or comments. -------------------------------------------------------------------------------- /LICENSE: -------------------------------------------------------------------------------- 1 | Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved. 2 | 3 | Licensed under the Apache License, Version 2.0 (the "License"). 4 | You may not use this file except in compliance with the License. 5 | You may obtain a copy of the License at 6 | 7 | http://www.apache.org/licenses/LICENSE-2.0 8 | 9 | Unless required by applicable law or agreed to in writing, software 10 | distributed under the License is distributed on an "AS IS" BASIS, 11 | WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. 12 | See the License for the specific language governing permissions and 13 | limitations under the License. -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD-MSP_control_set/ANS-SEC-admin-activities-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | MSP | [GRC/TECH] - Communication of administration activities", 3 | "description": "Technical and organizational means must be implemented in order to communicate administrator activity logs to the customer.", 4 | "testingInformation": "Ensure that the provider has formalized and implemented organizational and technical means in order to process its customers’ requests concerning logs of access by the provider’s administrators to the hosted health information systems.", 5 | "actionPlanInstructions": "Define, implement and make available the requested procedure.", 6 | "actionPlanTitle": "Procedure framing the communication of administration activities not in place.", 7 | 8 | "tags": { 9 | "TagKey": "aws-hds" 10 | }, 11 | 12 | "controlMappingSources": [{ 13 | "sourceName": "Governance risk and compliance | Cloud engineer", 14 | "sourceType": "MANUAL", 15 | "sourceSetUpOption": "Procedural_Controls_Mapping" 16 | }] 17 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD-MSP_control_set/ANS-purpose-comp-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | MSP | [GRC/TECH] - Processing of temporary data", 3 | "description": "The provider must define a data retention period and comply with this deadline. The provider must document and set up the means to ensure that temporary data is deleted upon the expiry of this deadline.", 4 | "testingInformation": "Procedures and mecanisms has been put in place in order to specify the data retention period and the deletion mecanisms.", 5 | 6 | "actionPlanInstructions": "Define a maximal data retention period and automate the deletation of temporary data. Identify data stores and use Lifecycle, data stream and expiration policies.", 7 | "actionPlanTitle": "Automation of the deletion of temporary data not in place.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance | Cloud engineer", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-LOC-data-location-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC] - Data location", 3 | "description": "The provider must list all the countries in which the customer’s data is or might be stored.", 4 | "testingInformation": "The list of locations where data is or might be stored must has been established and made available.", 5 | 6 | "actionPlanInstructions": "Establish the list of locations where data is or might be processed.", 7 | "actionPlanTitle": "List of locations of data not available.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-LOC-data-location-selection-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC/TECH] - Data location selection", 3 | "description": "The provider must inform the customer of the storage locations and allow the latter to choose the country or countries where the health data will be stored and must implement measures to respect this choice.", 4 | "testingInformation": "Customers of the provider must be able to choose the location where data will be stored after being informed of all the location available.", 5 | 6 | "actionPlanInstructions": "Customers must be able to choose the location for their data amongst the one supported by the offering.", 7 | "actionPlanTitle": "Selection of locations not available to customers", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance | Cloud engineer", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-PII-communication-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC/TECH] - Integrity and acknowlegement of exchanges", 3 | "description": "Personal data transmitted via a communication network must be subject to controls to ensure that the data has indeed been received by the target system.", 4 | "testingInformation": "Data transmitted over a communication network are subject to controls to ensure that they have been correctly recieved.", 5 | 6 | "actionPlanInstructions": "Define and implement a procedure to control the successful transmission of data.", 7 | "actionPlanTitle": "Successful transmission of data not confirmed.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance | Cloud engineer", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-PII-data-breach-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC] - Notification of a data breach involving PII", 3 | "description": "The provider must notify its customer of any breach of personal data as soon as possible after becoming aware thereof.", 4 | "testingInformation": "A procedure framing the notification of customer impacted by a personal data breach has been documented and implemented.", 5 | 6 | "actionPlanInstructions": "Define and implement a procedure to notify customers in the event of a data breach.", 7 | "actionPlanTitle": "Notification procedure not in place.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-PII-notification-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC] - PII disclosure to authorities notification", 3 | "description": "Court-ordered seizures that include personal data must be governed contractually. A procedure must define the conditions under which such a transfer is notified to the customer, unless such notification is prohibited.", 4 | "testingInformation": "Procedures framing the disclosing of personal data to authorities and the notification of customers have been documented, implememented and made available.", 5 | 6 | "actionPlanInstructions": "Define and implement the requested procedure.", 7 | "actionPlanTitle": "Procedures to handle authorities request and customer notification not in place.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance | Legal", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-PII-recording-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC] - PII disclosure recording", 3 | "description": "The provider must keep a log of the transmission of personal data to third parties containing the following information at minimum: a list of the data transmitted, the recipient(s) and the dates of disclosure.", 4 | "testingInformation": "A procedure framing the archiving of all the disclosure of personnal data has been documented and implemented.", 5 | 6 | "actionPlanInstructions": "Define and implement the requested procedure.", 7 | "actionPlanTitle": "Procedure to keep record of the PII disclosure not in place.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-PII-return-transfer-disposal-contract-cert-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC] - Return, transfer and disposal of PII (2)", 3 | "description": "A reversibility procedure defining the methods of return of the data at the end of the contract or upon withdrawal of certification must be formalized and applied.", 4 | "testingInformation": "A procedure framing the methods of return of the data at the end of the contract or upon withdrawal of the certification has been defined and implemented.", 5 | 6 | "actionPlanInstructions": "Define and implement a procedure to explicit the methods of return of the data at the end of the contract or upon withdrawal of the certification.", 7 | "actionPlanTitle": "Requested procedure not in place.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-PII-return-transfer-disposal-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC] - Return, transfer and disposal of PII (1)", 3 | "description": "The provider must have defined and formalized a policy governing the making available and return of personal data to the provider’s customers, as well as the destruction of the data. This policy must be provided to customers upon request.", 4 | "testingInformation": "A procedure framing the availability, the return and the destruction of the PII to customers has been defined, implemented and is available upon request.", 5 | 6 | "actionPlanInstructions": "Define and implement a procedure to clarify the availability, return conditions and destruction of PII.\nMake the procedure available upon request.", 7 | "actionPlanTitle": "Requested procedure not in place.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-PII-subcontracting-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC/LEGAL] - Disclosure of subcontracted PII processing", 3 | "description": "The provisions of the agreements entered into between the provider and its customer must specify any recourse to the subcontracting of personal data processing. Thus, the provider must not use a subcontractor without having first informed the customer.", 4 | "testingInformation": "Subcontracting the processing of PII must be documented and made available.\nA procedure has been defined and implemented to inform the end customer in the event of a change.", 5 | 6 | "actionPlanInstructions": "Define a list of subcontractors and a procedure to handle changes of subcontractors.", 7 | "actionPlanTitle": "Subcontracting entities not properly defined and repertoriated.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance | Legal", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-SEC-NDA-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC/LEGAL] - Employment confidentiality clause", 3 | "description": "The employment contracts of the provider’s employees must include a confidentiality clause. In the event of recourse to subcontracting, this requirement also applies to the subcontractors.", 4 | "testingInformation": "Employments contract must include a confidentiality clause. In the event of recourse to subcontracting, subcontractors employment contracts must include a confidentiality clause.", 5 | 6 | "actionPlanInstructions": "Review employment contract of employees and subcontractor.", 7 | "actionPlanTitle": "Confidentialy clause in employment contracts not in place.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance | Legal | Human Resources", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-SEC-data-restoration-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC/TECH] - Control logging and data restoration", 3 | "description": "The provider must have a procedure governing data restoration. Any restoration operations performed must be logged.", 4 | "testingInformation": "A procedure framing data restoration and its logging has been defined and implemented.", 5 | 6 | "actionPlanInstructions": "Define and implement a procedure to perform data restoration, precise how it should be logged.", 7 | "actionPlanTitle": "Procedure defining the data restoration process and its logging not in place.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance | Cloud engineer", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-SEC-encryption-communication-sec_control copy.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [TECH] - Personnal data must be encrypted when transmitted over public data transmission networks", 3 | "description": "Personal data must be encrypted before being transmitted over public networks.", 4 | "testingInformation": "Data must be transmitted over public networks using encrypted protocols. (IPSEC, TLS, HTTPS, E2E . . .)", 5 | 6 | "actionPlanInstructions": "Use and restrict to the use of encrypted protocols before transmitting data over public network.", 7 | "actionPlanTitle": "Data not encrypted when transmitted over public network.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Cloud engineer", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-SEC-expired-id-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [TECH] - Expired user IDs must not be recycled.", 3 | "description": "De-activated or expired user IDs should not be assigned to other individuals.", 4 | "testingInformation": "1. The process for generating IDs must ensure that issued credentials are unique\n2. When IDs are expired they must not be recycled or re-attributed.", 5 | 6 | "actionPlanInstructions": "1. Use appropriate random generators to generate uuid.\n2. Standardize the use of temporary sessions when possible\n3. Identify and remove the processes recycling IDs", 7 | "actionPlanTitle": "IDs are not unique or being recycled.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Cloud engineer", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-SEC-paper-disposal-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC] - Secure disposal of paper copies", 3 | "description": "Paper copies must be destroyed using appropriate means.", 4 | "testingInformation": "Employees must have access to secure paper destruction mecanisms. See NIST 800-88 or ''pgssi_guide_destruction_donnees_v1.0.pd'' for media sanitization guidances.", 5 | 6 | "actionPlanInstructions": "Acquire, deploy and inform about the use of secure means of destruction of paper copies.", 7 | "actionPlanTitle": "Appropriate means for the destruction of paper copies not available.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-SEC-paper-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC] - Restrict the use of paper copies", 3 | "description": "The provider must restrict the use of paper copies.", 4 | "testingInformation": "A company policy restricting the use of paper copies has been defined and implemented.", 5 | 6 | "actionPlanInstructions": "Define and implement a company policy to restrict the production of paper copies.", 7 | "actionPlanTitle": "Restriction of paper copies not in place.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-SEC-physical-data-transfer-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC/TECH] - Protect data on media leaving the premises", 3 | "description": "Prior authorization must be obtained for portable storage media containing personal data to leave the provider’s premises. Such data must be made inaccessible to unauthorized personnel, for example by protecting it using state-of-the-art encryption.", 4 | "testingInformation": "A procedure framing the authorization process and the protection measures has been defined and implemented.", 5 | 6 | "actionPlanInstructions": "Define and implement a procedure formalize the authorization to move data on portable storage and precise applied protection mecanisms.", 7 | "actionPlanTitle": "Procedure defining the authorization process to physically move data on portable storage outside of the premises and associated protection measures not in place.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance | Cloud engineer", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-SEC-responsabilities-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC/LEGAL] - Security responsabilities", 3 | "description": "The division of responsibilities in terms of information security between the provider and its client must be defined and formalized.", 4 | "testingInformation": "Responsabilities for security has been defined, formalized, documented and made available.", 5 | 6 | "actionPlanInstructions": "Defined, formalize, document and make available securities responsabilities.", 7 | "actionPlanTitle": "Division of responsabilities not adequately formalized and documented.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance | Legal", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-SEC-storage-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [TECH] - Re-use of storage area", 3 | "description": "The provider must ensure that in the event of the re-use of storage space, the latter has first been purged and that no old data can be accessed.", 4 | "testingInformation": "Storage space are properly sanitized before being re-used", 5 | 6 | "actionPlanInstructions": "1. Use storage space provided by AWS that present the HDS certification.\n2. When working directly with EBS volume, release and re-provision the space will ensure that no data are incorrectly transfered to the new storage space.", 7 | "actionPlanTitle": "Storage space not properly sanitized when being re-used", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Cloud engineer", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-SEC-uuid-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [TECH] - Nominative accounts must be used when accessing personnal data or system processing personnal data.", 3 | "description": "Access to personal data or to systems used to process personal data must be through nominative accounts.", 4 | "testingInformation": "1. Authentification mecanisms must be individualized and nominative across all scoped assets\n2. When using IAM User: engineers must have and use their dedicated IAM profile.\n3. When using IAM Role: Identifying attributes must be passed to sessions in order to identify the engineer that assumed the role.", 5 | 6 | "actionPlanInstructions": "Review access control implementations and user authentication processes and shift to the use of nominative accounts and service-accounts.", 7 | "actionPlanTitle": "Nominative credentials and service-accounts not in use.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Cloud engineer", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-certification-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC] - Certification audit reports available uppon request", 3 | "description": "The provider must provide certification audit reports to any customers who request them. The provider must also provide such reports to the certification body, in the event of transfer or request for recognition of equivalency.", 4 | "testingInformation": "A procedure framing the communication of audit reports of valid certification owned by the provider has been defined and implemented.", 5 | 6 | "actionPlanInstructions": "Define and implement the requested procedure.", 7 | "actionPlanTitle": "Procedure to communicate certification audit reports not in place.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-french-support-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC] - French support", 3 | "description": "localization of customer relations.", 4 | "testingInformation": "1. Ensure that the user interfaces offered to the customers are available at least in French.\n2. The provider must provide first-level support at least in French.\n3. Verify that the SoA is available at least in French.", 5 | 6 | "actionPlanInstructions": "Provide user interface, support and document in French.", 7 | "actionPlanTitle": "Requested support and document not available in French.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance | Product Team", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-purpose-comp-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC/LEGAL] - Purpose of data collection and processing (2)", 3 | "description": "The provider must not use the health data that it hosts for any purposes other than the performance of the hosting services. In particular, it is prohibited from using said data for marketing, advertising, commercial or statistical purposes.", 4 | "testingInformation": "The processing of the data as per the the set of instructions agreed upon has been documented, audited and reflect that it is been strictly followed.", 5 | 6 | "actionPlanInstructions": "Minimize data processing to respect the purpose of the collection and processing of data.", 7 | "actionPlanTitle": "Data collection and processing not compliant.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance | Legal", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-purpose-main-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC/LEGAL] - Purpose of data collection and processing (1)", 3 | "description": "The provider must process personal data only on documented instructions from its customer and must not depart from the purposes stated in the instructions. These instructions must be documented within the framework of the agreement entered into with the customer.", 4 | "testingInformation": "The processing of the data as per the the set of instructions agreed upon has been documented, audited and reflect that it is been strictly followed.", 5 | 6 | "actionPlanInstructions": "Minimize data processing to respect the purpose of the collection and processing of data.", 7 | "actionPlanTitle": "Data collection and processing not compliant.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance | Legal", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-right-of-the-data-subject-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC/LEGAL] - Rights of the data subjects", 3 | "description": "The provider must make available the procedures and means to enable its customers to respond to requests from data subjects to exercise their rights. The rights covered are those defined in articles 15 to 22 of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016.", 4 | "testingInformation": "Procedures for data subjects to exerce their rights has been documented, implememented and made available.", 5 | 6 | "actionPlanInstructions": "Getting expert guidances from a legal expert is advised.", 7 | "actionPlanTitle": "Procedures for subjects to exercise their rights not in place.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance | Legal", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/ANS-security-policy-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ANS | [GRC] - Retention period of administrative security policies", 3 | "description": "The retention periods for the different versions of the security documents must be defined and formalized.", 4 | "testingInformation": "The retention periods for the different version of the security documents has been documented and implemented.\nSecurity documents are accordingly stored and versionned.", 5 | 6 | "actionPlanInstructions": "Define, document and implement a retention period for administrative security policies.\nAccordingly store and archive decomissioned administrative security policies.", 7 | "actionPlanTitle": "Retention period of administrative security policies not definied and implemented.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance", 15 | "sourceType": "MANUAL", 16 | "sourceSetUpOption": "Procedural_Controls_Mapping" 17 | }] 18 | } -------------------------------------------------------------------------------- /data/France/HDS/ANS-PPHD_control_set/OPTIONAL-ISO-27018-sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ISO 27018 | [GRC]", 3 | "description": "When considering the protection of personnal health data (PPHD), the provider will be presumed compliant if it has implemented all the requirements of ISO 27018.", 4 | "testingInformation": "A valid certification for ISO 27018 is available.", 5 | 6 | "actionPlanInstructions": "Getting expert guidances from an accredited ISO 27018 professionals will help identify the gaps and provide a clear path toward the obtention of the certification.", 7 | "actionPlanTitle": "ISO 27018 not attained.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Accredited certification authority", 15 | "sourceDescription": "An accredited certification authority should deliver the ISO-27001 certification.", 16 | "sourceType": "MANUAL", 17 | "troubleshootingText": "Contact your local governance risk and compliance team.", 18 | "sourceSetUpOption": "Procedural_Controls_Mapping" 19 | }] 20 | } -------------------------------------------------------------------------------- /data/France/HDS/ISO-20000-1_control_set/ISO-20000-1-chapt-5-2-1_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "NF ISO 20000-1 chapter 5.2 | [GRC] ", 3 | "description": "The provider must provide proof of compliancy against chapter 5.2 of NF ISO 20000-1.", 4 | "testingInformation": "Requirements of chapter 5.2 of NF ISO 20000-1 must be in place.", 5 | 6 | "actionPlanInstructions": "Getting expert guidances from an accredited ISO 20000 professionals will help identify gaps and provide a clear path toward the obtention of the certification.", 7 | "actionPlanTitle": "Requirements of chapter 5.2 of NF ISO 20000-1 not attained.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance", 15 | "sourceDescription": "Requirements of chapter 5.2 of NF ISO 20000-1 must be implemented.", 16 | "sourceType": "MANUAL", 17 | "sourceSetUpOption": "Procedural_Controls_Mapping" 18 | }] 19 | } -------------------------------------------------------------------------------- /data/France/HDS/ISO-20000-1_control_set/ISO-20000-1-chapt-5-3-b_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "NF ISO 20000-1 chapter 5.3 (b) | [GRC]", 3 | "description": "The provider must provide proof of compliancy against chapter 5.3 (b) of NF ISO 20000-1.", 4 | "testingInformation": "Requirements of chapter 5.3 (b) of NF ISO 20000-1 must be in place.", 5 | 6 | "actionPlanInstructions": "Getting expert guidances from an accredited ISO 20000 professionals will help identify gaps and provide a clear path toward the obtention of the certification.", 7 | "actionPlanTitle": "Requirements of chapter 5.3 (b) of NF ISO 20000-1 not attained.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance", 15 | "sourceDescription": "Requirements of chapter 5.2 of NF ISO 20000-1 must be implemented.", 16 | "sourceType": "MANUAL", 17 | "sourceSetUpOption": "Procedural_Controls_Mapping" 18 | }] 19 | } -------------------------------------------------------------------------------- /data/France/HDS/ISO-20000-1_control_set/ISO-20000-1-chapt-6-3_sec_control copy.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "NF ISO 20000-1 chapter 6.3 | [GRC]", 3 | "description": "The provider must provide proof of compliancy against chapter 6.3 of NF ISO 20000-1.", 4 | "testingInformation": "Requirements of chapter 6.3 of NF ISO 20000-1 must be in place.", 5 | 6 | "actionPlanInstructions": "Getting expert guidances from an accredited ISO 20000 professionals will help identify gaps and provide a clear path toward the obtention of the certification.", 7 | "actionPlanTitle": "Requirements of chapter 6.3 of NF ISO 20000-1 not attained.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance", 15 | "sourceDescription": "Requirements of chapter 6.3 of NF ISO 20000-1 must be implemented.", 16 | "sourceType": "MANUAL", 17 | "sourceSetUpOption": "Procedural_Controls_Mapping" 18 | }] 19 | } -------------------------------------------------------------------------------- /data/France/HDS/ISO-20000-1_control_set/ISO-20000-1-chapt-6-5_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "NF ISO 20000-1 chapter 6.5 | [GRC]", 3 | "description": "The provider must provide proof of compliancy against chapter 6.5 of NF ISO 20000-1.", 4 | "testingInformation": "Requirements of chapter 6.5 of NF ISO 20000-1 must be in place.", 5 | 6 | "actionPlanInstructions": "Getting expert guidances from an accredited ISO 20000 professionals will help identify gaps and provide a clear path toward the obtention of the certification.", 7 | "actionPlanTitle": "Requirements of chapter 6.5 of NF ISO 20000-1 not attained.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance", 15 | "sourceDescription": "Requirements of chapter 6.5 of NF ISO 20000-1 must be implemented.", 16 | "sourceType": "MANUAL", 17 | "sourceSetUpOption": "Procedural_Controls_Mapping" 18 | }] 19 | } -------------------------------------------------------------------------------- /data/France/HDS/ISO-27001_control_set/ISO-27001-comp-2_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ISO 27001 | [GRC] - Additional requirement (chapter 6.1.3 of standard NF ISO 27001)", 3 | "description": "The SoA (Statement of Applicability) of the ISMS must include all the requirements of the HDH certification reference system. Any exclusion of the requirements of the scope of certification must be formally justified and the justification must be approved by the certification body.", 4 | "testingInformation": "The SoA has been written and contains the requested information.", 5 | 6 | "actionPlanInstructions": "For this security control to be valid, all other security requirements must be met.", 7 | "actionPlanTitle": "Security requirements not met.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Governance risk and compliance | Security engineer.", 15 | "sourceDescription": "You can use the provided framework to ease the creation of the SoA (Statement of Applicability).", 16 | "sourceType": "MANUAL", 17 | "sourceSetUpOption": "Procedural_Controls_Mapping" 18 | }] 19 | } -------------------------------------------------------------------------------- /data/France/HDS/ISO-27001_control_set/ISO-27001-core_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ISO 27001 | [GRC]", 3 | "description": "Physical infrastructure providers and IT managed services providers must be certified to NF-ISO 27001.", 4 | "testingInformation": "Scoped solutions and organizations have been certified.", 5 | 6 | "actionPlanInstructions": "1. AWS Audit Manager ISO-IEC 27001:2013 Annex A from the framework library can be leveraged to facilitate the obtention of the certification.\n2. Getting expert guidances from an accredited ISO 27001 professionals will help identify gaps and provide a clear path toward the obtention of the certification.", 7 | "actionPlanTitle": "ISO 27001 not attained.", 8 | 9 | "tags": { 10 | "TagKey": "aws-hds" 11 | }, 12 | 13 | "controlMappingSources": [{ 14 | "sourceName": "Accredited certification authority", 15 | "sourceDescription": "An accredited certification authority should deliver the ISO-27001 certification.", 16 | "sourceType": "MANUAL", 17 | "sourceSetUpOption": "Procedural_Controls_Mapping" 18 | }] 19 | } -------------------------------------------------------------------------------- /data/France/HDS/custom_framework.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "AWS HDS", 3 | "complianceType": "France Healthcare Security Controls", 4 | "description": "Introduced by the French governmental agency for health, “Agence du Numérique en Santé” (ANS), the HDS (Hébergeur de Données de Santé) certification aims to strengthen the security and protection of personal health data. Achieving this certification demonstrates that your entity provides a framework for technical and governance measures to secure and protect personal health data, governed by French law. The HDS certification validates that your organisation ensures data confidentiality, integrity, and availability to its customers and partners. AWS worked with an independent third-party auditor to achieve the certification." 5 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Architecture-des-SI_control_set/ ARCHI-PASS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ARCHI-PASS | [TECH] - Passerelle Internet", 3 | "description": "Les interconnexions Internet passent obligatoirement par les passerelles nationales homologuées.", 4 | "testingInformation": "Les accès internet passent par les passerelles et infrastructures nationales homologuées.", 5 | "actionPlanInstructions": "1. Mise en place d'une architecture réseaux de type 'hub and spoke' en face des passerelles internet.\n2. Redirection du traffic internet vers le VPC (Amazon VPC) dédié aux flux internet pour redirection vers les passerelles adéquates.", 6 | "actionPlanTitle": "Interconnexions internet faîtes en dehors des passerelles et infrastructures nationales.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Architecture-des-SI_control_set/ARCHI-STOCKCI_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ARCHI-STOCKCI | [TECH] - Architecture de stockage et de sauvegarde", 3 | "description": "Le réseau de stockage/sauvegarde pour les besoins des centres informatiques repose sur une architecture dédiée à cet effet.", 4 | "testingInformation": "Les espaces de stockage font l'objet de protections dédiées.", 5 | "actionPlanInstructions": "1. Les espaces et bases de données ne sont pas directement exposées sur internet, des sous-réseaux privés sont utilisés.\n2. Les communications avec les services hébergeant des données sont effectuées via des 'privatelink'.\n3. Implémentation de 'ressource policy' précisant les conditions d'accès aux données.\n4. Mise en place de mécanismes d'authentification robustes.\n5. Mise en place d'automatismes de sauvegardes et backups.\n6. Utilisation systématique du chiffrement des espaces.", 6 | "actionPlanTitle": "Absence de protections dédiées pour les espaces de stockage.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Conformité-Audit-Inspection-contrôle_control_set/CONTR-BILAN-SSI_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "CONTR-BILAN-SSI | [GRC] - Bilan annuel", 3 | "description": "Chaque ministère établit un bilan annuel mesurant sa maturité SSI globale. L’ANSSI consolide l’ensemble de ces bilans. Le document de synthèse est soumis au Premier ministre.", 4 | "testingInformation": "Un bilan annuel de la maturité SSI est établi.", 5 | "actionPlanInstructions": "Réalisation d'un bilan annuel de la maturité SSI.", 6 | "actionPlanTitle": "Absence de la réalisation d'un bilan annuel de maturité SSI.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Conformité-Audit-Inspection-contrôle_control_set/CONTR-SSI_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "CONTR-SSI | [GRC/TECH] - Contrôles locaux", 3 | "description": "La conformité à la PSSIE et à la PSSI ministérielle est vérifiée par des contrôles réguliers. Les RSSI de chaque entité conduisent des actions locales d’évaluation de la conformité à la PSSIE et contribuent à la consolidation, dans un bilan annuel, de l’état d’avancement de sa mise en œuvre.", 4 | "testingInformation": "Evaluation régulière de la conformité des environnements, systèmes et applications.", 5 | "actionPlanInstructions": "Utilisation régulière d'AWS Audit Manager, et d'AWS Config afin d'évaluer programmatiquement et régulièrement la conformité des environnements, systèmes et applications déployés.", 6 | "actionPlanTitle": "Absence d'évaluation régulière.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Continuité-d'activité_control_set/PCA-EXERC_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PCA-EXERC | [TECH] - Exercice régulier du plan local de continuité d’activité des systèmes d’information", 3 | "description": "Le RSSI d’une entité organise des exercices réguliers, afin de tester le plan local de continuité d’activité des systèmes d’information.", 4 | "testingInformation": "Des exercices réguliers sont conduits afin d'attester de la bonne implémentation des mesures techniques visant la résilience des systèmes et des applications.", 5 | "actionPlanInstructions": "Utilisation d'AWS Fault Injection Simulator afin de réaliser des exercices.", 6 | "actionPlanTitle": "Absence d'exercices réguliers visant l'évaluation de la bonne implémentation des mesures technique en matière de résilience des des systèmes et des applications.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Continuité-d'activité_control_set/PCA-MINIS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PCA-MINIS | [GRC] - Définition du plan ministériel de continuité d’activité des Systèmes d’Information", 3 | "description": "Chaque ministère définit un plan de continuité d’activité ministériel des systèmes d’information permettant d’assurer, en cas de sinistre, la continuité d’activité des systèmes d’information.", 4 | "testingInformation": "Un plan ministèriel fixant les objectifs de résilience et de continuité d'activité est formalisé, appliqué et testé.", 5 | "actionPlanInstructions": "Formalisation, application et test du plan ministèriel fixant les objectifs de résilience des systèmes d'information.", 6 | "actionPlanTitle": "Absence de formalisation, application et test d'un plan fixant les objectifs de résilience et de continuité des systèmes d'information.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Continuité-d'activité_control_set/PCA-MISAJOUR_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PCA-MISAJOUR | [GRC] - Mise à jour du plan local de continuité d’activité des systèmes d’information", 3 | "description": "Le RSSI d’une entité assure le maintien à jour du plan local de continuité d’activité des Systèmes d’Information.", 4 | "testingInformation": "Les plans de continuité et de reprise d'activité sont revus régulièrements par le RSSI.", 5 | "actionPlanInstructions": "Relecture et validation régulière des plans de continuité et de reprise d'activité.", 6 | "actionPlanTitle": "Absence de relecture régulière des plans de continuité et de reprise d'activité.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance.", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Continuité-d'activité_control_set/PCA-PROC_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PCA-PROC | [TECH] - Mise en œuvre des dispositifs techniques et des procédures opérationnelles.", 3 | "description": "Les équipes informatiques mettent en œuvre les dispositifs techniques et les procédures opérationnelles contribuant à la continuité des SI, en assurent la supervision au quotidien et la maintenance dans le temps.", 4 | "testingInformation": "Les systèmes et applications implémentent les directives techniques afin d'atteindre les objectifs de résilience établis.", 5 | "actionPlanInstructions": "1. Utilisation d'AWS Resiliency Hub afin d'attester de la robustesse des déploiements.\n2. Utilisation d'AWS Fault Injector afin de tester la résilience des systèmes et applications.\n3. Utilisation prioritaire des services managés et serverless ainsi que des automatismes de réponses et de re-construction automatiques.", 6 | "actionPlanTitle": "Absence d'implémentation des directives techniques visant l'atteinte des objectifs en matière de résilience.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Continuité-d'activité_control_set/PCA-PROT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PCA-PROT | [TECH] - Protection de la confidentialité des sauvegardes", 3 | "description": "Les sauvegardes doivent être traitées de manière à garantir leur confidentialité et leur intégrité.", 4 | "testingInformation": "Les sauvegardes font l'objet de contrôles de sécurité visant à garantir leur confidentialité et leur intégrité.", 5 | "actionPlanInstructions": "1. Création d'environnements dédiés au stockage des sauvegardes.\n2. Utilisation des fonctionnalités 'write once read many' et 'vault lock' sur les sauvegardes, a minima activation de la fonctionalité 'MFA delete' et de la mise sous versions.\n3. Révision de la politique de gestion des accès et application d'un modèle 'Pull' sur les environnements stockant les sauvegardes.\n4. Chiffrement des espaces de stockage des sauvegardes.", 6 | "actionPlanTitle": "Absence de contrôles de sécurité visant la confidentialité et l'intégrité des sauvegardes.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Continuité-d'activité_control_set/PCA-SAUVE_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PCA-SAUVE | [TECH] - Protection de la disponibilité des sauvegardes", 3 | "description": "Les sauvegardes de données ne doivent pas être soumises aux mêmes risques de sinistres que les données sauvegardées.", 4 | "testingInformation": "Les sauvegardes capitalisent sur les différentes zones de disponibilité et régions disponibles afin de disposer de profils de risques distincts.", 5 | "actionPlanInstructions": "1. Utilisation d'Amazon S3 (et de ses différentes classes) pour le stockage des sauvegardes.\n2. Lorsque nécessaire, utilisation des fonctionnalités de réplication des sauvegardes vers d'autre région.\n3. Activation des fonctionnalités 'write once read many' sur les sauvegardes.\n4. Utilisation d'AWS Backup afin d'orchestrer la réalisation des sauvegardes.\n5. Création d'environnements dédiés au stockage des sauvegardes.", 6 | "actionPlanTitle": "Absence d'utilisation de l'infrastructure globalisée dans le cadre de la protection des sauvegardes.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/ EXP-CERTIFS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CERTIFS | [TECH] - Utilisation de certificats électroniques", 3 | "description": "L’utilisation de certificats électroniques doit respecter les règles édictées par le RGS.", 4 | "testingInformation": "Lorsque des certificats électroniques sont utilisés (mtls, authentification, https, signatures) ces derniers respectent les recommandations de l'ANSSI prévues par le RGS.", 5 | "actionPlanInstructions": "Mise en conformité de l'usage des certificats électroniques.", 6 | "actionPlanTitle": "L'utilisation des certificats n'est pas conforme aux recommandations présentes dans le RGS.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/ EXP-CI-EFFAC_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CI-EFFAC | [TECH] - Effacement de support", 3 | "description": "Le reconditionnement et la réutilisation des disques durs pour un autre usage (ex : ré-attribution d’une machine/serveur) ne sont autorisés qu’après une opération d’effacement sécurisé des données.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "1. Les disques Amazon EBS ne sont pas ré-utilisés. Provisionnement de nouveaux disques Amazon EBS en fonction des besoins.\n2. Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/ EXP-INIT-PASS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-INIT-PASS | [TECH] - Initialisation des mots de passe", 3 | "description": "Chaque compte utilisateur doit être créé avec un mot de passe initial aléatoire unique. Si les circonstances l’imposent, un mot de passe plus simple mais à usage unique peut être envisagé.", 4 | "testingInformation": "Les comptes utilisateur sont initialisés depuis des mots de passe aléatoires unique, changés lors de la première authentification.", 5 | "actionPlanInstructions": "1. Lors de la création de profils (IAM User) via AWS IAM, utilisation systématique de l'option d'initalisation des profils via un mot de passe unique et aléatoire.", 6 | "actionPlanTitle": "Absence de mots de passe aléatoire uniques lors de la création de profils utilisateur.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/ EXP-POL-PASS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-POL-PASS | [TECH] - Politiques de mots de passe", 3 | "description": "Les règles de gestion et de protection des mots de passe donnant accès aux applications et infrastructures nationales, telles qu’édictées par les maîtrises d’ouvrage nationales, doivent être respectées dans chaque entité. Pour les ressources dont la politique de mots de passe est gérée localement, les recommandations de l’ANSSI doivent être appliquées pour tous les comptes.", 4 | "testingInformation": "Les recommandations de l'ANSSI sont appliquées en matière de politique de mots de passe. (IM901 & RGS)", 5 | "actionPlanInstructions": "Configuration depuis AWS IAM Account settings, et AWS Identity Center Account settings d'une politique de mots de passe conforme avec les recommandations de l'ANSSI.", 6 | "actionPlanTitle": "Absence d'application des recommandations de l'ANSSI en matière de politique de mots de passe.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/ EXP-REVUE-AUTH_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-REVUE-AUTH | [TECH] - Revue des autorisations d’accès", 3 | "description": "Une revue des autorisations d’accès doit être réalisée annuellement sous le contrôle du RSSI, le cas échéant avec l’appui du correspondant local SSI.", 4 | "testingInformation": "Des revues périodique des profils d'identité sont réalisées.", 5 | "actionPlanInstructions": "1. Utilisation d'AWS IAM Access Analyzer et AWS IAM Credential report afin d'effectuer une revue des profils et credentials actifs.\n2. Utilisation de la console ou de la AWS cli et de l'api 'generate-service-last-accessed-details' afin d'évaluer l'historique d'un utilisateur.\n3. Croisement de l'historique d'un utilisateur avec ses traces provenant d'AWS Cloudtrail.", 6 | "actionPlanTitle": "Absence de revues périodique des profils d'identité.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-ACC-DIST_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-ACC-DIST | [TECH] - Accès à distance au système d’information de l’organisme", 3 | "description": "Les utilisateurs distants doivent s’authentifier sur le réseau de l’entité en utilisant une méthode conforme à l’annexe B3 du RGS.", 4 | "testingInformation": "Les utilisateurs distants s'authentifie sur le réseau de l'entité selon une méthode conforme à l'annexe B3 du RGS.", 5 | "actionPlanInstructions": "Mises en place de l'ensemble des recommandations de l'annexe B3 du RGS.", 6 | "actionPlanTitle": "La méthode d'authentification des utilisateurs distants n'est pas conforme à la prescription de l'annexe B3 du RGS.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-CENTRAL_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CENTRAL | [TECH] - Centraliser la gestion du système d’information", 3 | "description": "Afin de gérer efficacement un grand nombre de postes d’utilisateurs, de serveurs ou d’équipements réseau, les administrateurs doivent utiliser des outils centralisés, permettant l’automatisation de traitements quotidiens et offrant une vue globale et pertinente sur le système d’information.", 4 | "testingInformation": "Utilisation d'outils et d'automatismes centralisés à des fin d'administration des ressources et systèmes.", 5 | "actionPlanInstructions": "1. Utilisation prioritaire des services managés\n2. Utilisation d'AWS SSM à des fin d'administration\n3. Centralisation des outils d'administration dans des environnements isolés.", 6 | "actionPlanTitle": "Absence d'utilisation d'outils et de mécanismes centralisés et automatisés à des fins d'administration.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-CI-ACCRES_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CI-ACCRES | [GRC] - Accès aux réseaux", 3 | "description": "Dans un centre informatique, le contrôle physique des accès réseaux, l’attribution des adresses IP, le filtrage des informations et l’usage de dispositifs spécifiques (machines virtuelles, cartes d’administration à distance, etc.) font l’objet de procédures sécurisées.", 4 | "testingInformation": "Les procédures encadrant l'accès aux réseaux de l'entité sont formalisées et appliquées.", 5 | "actionPlanInstructions": "Formalisation des procédures encadrant l'accès aux réseaux de l'entité.", 6 | "actionPlanTitle": "Absence de formalisation et d'application de procédures sécurisées pour la gestion des accès aux réseaux.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-CI-AMOV_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CI-AMOV | [GRC/TECH] - Accès aux périphériques amovibles", 3 | "description": "L’accès aux supports informatiques amovibles fait l’objet d’un traitement adapté, plus particulièrement lorsqu’ils ont été utilisés pour mémoriser de l’information sensible ou lorsqu’ils sont utilisés pour des opérations d’exploitation.", 4 | "testingInformation": "Formalisation et application d'un traitement adapté dans l'utilisation des supports amovibles.", 5 | "actionPlanInstructions": "Formalisation et application des mesures relatives à l'utilisation de supports amovibles.", 6 | "actionPlanTitle": "Absence de formalisation d'application d'un traitement adapté aux supports informatiques amovibles.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-CI-AUDIT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CI-AUDIT | [GRC/TECH] - Audit/contrôle", 3 | "description": " Le RSSI pilote des audits réguliers du système d’information relevant de sa responsabilité.", 4 | "testingInformation": "Les objectifs et périmètres des audit des systèmes d'information sont définit et appliqués.", 5 | "actionPlanInstructions": "1. Définition des objectifs et périmètres des audit depuis AWS Audit Manager.\n2. Automatisation des objectifs et évaluations de l'audit depuis AWS Config\n3. Utilisation des packs de conformité depuis AWS Security Hub.\n3. Utilisation d'Amazon Macie", 6 | "actionPlanTitle": "Absence de formalisation et de récurence dans la mise en place d'audit de sécurité.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-CI-DESTR_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CI-DESTR | [TECH] - Destruction de support", 3 | "description": "La fin de vie d’un support ou d’un matériel embarquant un support de stockage (imprimante, routeur, commutateur...) doit s’accompagner d’une opération de destruction avant remise au constructeur.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-CI-DNS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CI-DNS | [TECH] - Service de noms de domaine – DNS technique", 3 | "description": "Dans le cas du déploiement d’un serveur de noms de domaines pour les besoins techniques internes au centre informatique, on utilisera les extensions sécurisées DNSSEC.", 4 | "testingInformation": "Le protocole DNSSEC est déployé.", 5 | "actionPlanInstructions": "Utilisation de la configuration DNSSEC de d'Amazon Route 53.", 6 | "actionPlanTitle": "Absence de l'utilisation de DNSSEC.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-CI-FILT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CI-FILT | [TECH] - Filtrage des flux applicatifs", 3 | "description": "De façon à garantir un niveau de sécurité satisfaisant face aux attaques informatiques, des mécanismes de filtrage et de cloisonnement doivent être mis en œuvre.", 4 | "testingInformation": "Des mécanismes de filtrage et de cloisonnement sont mis en oeuvre.", 5 | "actionPlanInstructions": "1. Déploiement des différents service de filtrage : AWS WAF, AWS Network Firewall, AWS Firewall Manager, AWS Route53DnsFirewall.\n2. Déploiment et configuration des 'security group' et 'network access control list' en fonction des ports et protocoles devant être utilisés.", 6 | "actionPlanTitle": "Absence de déploiement de mécanismes de filtrage", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-CI-LTP_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CI-LTP | [TECH] - Logiciels en Tiers Présentation", 3 | "description": "La mise en œuvre d’une configuration renforcée est obligatoire sur les logiciels déployés pour le tiers présentation (ex : serveur Web, Reverse Proxy).", 4 | "testingInformation": "Les composants frontaux font l'objet de protections et de configurations de sécurité.", 5 | "actionPlanInstructions": "1. Formalisation des configurations et modes de déploiement pour les composants frontaux.\n2. Réalisation et distribution d'images standards pour l'organisation via EC2 Image Builder ou utilisation de conteneurs standards distribués avec ECR.\n3. Utilisation d'AWS Service Catalogue afin de distribuer des images de services validées.\n4. Utilisation des services AWS WAF et AWS Network Firewall afin de filtrer le traffic et requêtes entrants.", 6 | "actionPlanTitle": "Absence de déploiement de protections et de configurations de sécurité sur les composants frontaux.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-CI-MESSTECH_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CI-MESSTECH | [TECH] - Messagerie technique", 3 | "description": "Pour satisfaire les besoins d’exploitation et de supervision des infrastructures et des applications, une messagerie dite technique peut être déployée en zone de Back-office du centre informatique. Cette messagerie technique ne doit être en aucun cas utilisée directement par un utilisateur.", 4 | "testingInformation": "Lorsqu'une messagerie technique est déployée, cette dernière est isolée et dans une zone réseaux dédié.", 5 | "actionPlanInstructions": "Création d'espaces réseaux dédiés pour les ressources d'administration.", 6 | "actionPlanTitle": "Absence de contingentement des ressources d'administration technique.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-CI-OS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CI-OS | [TECH] - Systèmes d’exploitation", 3 | "description": "Les systèmes d’exploitation déployés doivent faire l’objet d’un support valide de la part d’un éditeur ou d’un prestataire de service. Seuls les services et applications nécessaires sont installés, de façon à réduire la surface d’attaque. Une attention particulière doit être apportée aux comptes administrateurs.", 4 | "testingInformation": "Les systèmes d'exploitation font l'objet d'une sélection et d'un durcissment particulier.", 5 | "actionPlanInstructions": "1. Réalisation et distribution d'images standards pour l'organisation via EC2 Image builder\n2. Utilisation d'AWS Service Catalogue afin de distribuer des images de services validées.", 6 | "actionPlanTitle": "Absence de sélection et de durcissement des systèmes d'exploitation déployés.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-CI-PROTFIC_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CI-PROTFIC | [TECH] - Passerelle d’échange de fichiers", 3 | "description": "Les échanges de fichiers entre applications doivent privilégier les protocoles sécurisés (SSL/TLS, FTPS...).", 4 | "testingInformation": "Les échanges de fichiers se font via des protocoles sécurisés, lorsque celà est nécessaire le chiffrement de bout en bout est mis en oeuvre.", 5 | "actionPlanInstructions": "1. Utilisation d'AWS Transfer Family et durcissement des espaces de stockage S3 associés.\n2. Filtrage des protocoles et ports des protocoles non-sécurisés au niveau des 'security group' (sg) et 'network access control list' (nacl).\n3. Déploiement des règles à l'échelle avec AWS Firewall Manager.", 6 | "actionPlanTitle": "Absence d'utilisation de protocoles sécurisés dans les échanges de fichiers.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-CI-SUPERVIS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CI-SUPERVIS | [TECH] - Supervision", 3 | "description": "Un cloisonnement entre les flux de supervision (remontée d’informations) et les flux d’administration (commandes, mises à jour) doit être mis en place.", 4 | "testingInformation": "Les flux de supervision et d'administration sont cloisonés.", 5 | "actionPlanInstructions": "1. Utilisation d'Amazon CloudWatch et lorsque nécessaire : utilisation d' 'Interface VPC Endpoints'.\n2. Exposition des services de supervision aux instances supervisées via AWS Privatelink.\n3. Mise en place des recommandations concernant les flux d'administration.", 6 | "actionPlanTitle": "Absence de cloisonnement entre les flux de supervision et d'administration.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-CI-TRAC_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-CI-TRAC | [TECH] - Traçabilité / imputabilité", 3 | "description": "Afin d’assurer une cohérence dans les échanges entre applications ainsi qu’une traçabilité pertinente des événements techniques et de sécurité, les centres d’exploitation emploient une référence de temps commune (service NTP, Network Time Protocol).", 4 | "testingInformation": "Un référentiel de temps communs est utilisé pour ancrer les différentes traces dans le temps.", 5 | "actionPlanInstructions": "1. Utilisation de la fonctionnalité Amazon Time Sync Service présente depuis Amazon VPC afin de qualibrer les horloges.\n2. Export des différentes traces vers Amazon Cloudwatch afin de bénéficier d'un ancrage dans le temps consistant et automatique.", 6 | "actionPlanTitle": "Absence d'utilisation d'un référentiel de temps communs dans l'ancrage des traces dans le temps.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-DECLAR-VOL_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-DECLAR-VOL | [GRC/TECH] - Déclarer les pertes et vols", 3 | "description": "Toute perte ou vol d’une ressource d’un système d’information doit être déclarée au RSSI.", 4 | "testingInformation": "Formalisation et application d'une procédure visant la sensibilisation des personnels et les actions à prendre en cas de vols des plateformes informatiques.", 5 | "actionPlanInstructions": "Formalisation et application de mesures visant la déclaration et la prise d'action en cas de vol.", 6 | "actionPlanTitle": "Absence de formalisation et d'application de mesures visant la déclaration, le recensement et la prises d'action consécutive à un vol.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-DEP-ADMIN_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-DEP-ADMIN | [GRC] - Gestion du départ d’un administrateur des SI", 3 | "description": "En cas de départ d’un administrateur disposant de privilèges sur des composants des SI, les comptes individuels dont il disposait doivent être immédiatement désactivés. Les éventuels mots de passe d’administration dont il avait connaissance doivent être changés (exemples : mots de passe des comptes fonctionnels, comptes génériques ou comptes de service utilisés dans le cadre des fonctions de l’administrateur).", 4 | "testingInformation": "Une procédure, est formalisée et appliquée, vise l'encadrement du départ d'un administrateur des composants des SI.", 5 | "actionPlanInstructions": "Formalisation, application et automatisation des mesures consécutive au départ d'un administrateur des SI.", 6 | "actionPlanTitle": "Absence de formalisation et d'application d'une procédure cadrant le départ d'un administrateur du SI.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-DOC-CONFIG_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-DOC-CONFIG | [TECH] - Documentation des configurations", 3 | "description": "La configuration standard des ressources informatiques doit être documentée et mise à jour à chaque changement notable.", 4 | "testingInformation": "Les configurations standards des ressources informatiques sont documentées et accessibles.", 5 | "actionPlanInstructions": "1. Rédaction de la documentation associée à la configuration standard des ressources informatiques.\n2. Partage des images sécurisées au sein de l'entité.\n3. Distribution des configurations sécurisées via AWS Service Catalogue.", 6 | "actionPlanTitle": "Absence de documentation des configurations standards des ressources informatiques.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-DOM-ADMINLOC_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-DOM-ADMINLOC | [TECH] - Améliorer la gestion des comptes d’administrateur locaux", 3 | "description": "Afin d’empêcher la ré-utilisation des empreintes d’un compte utilisateur local d’une machine à une autre, il faut soit utiliser des mots de passe différents pour les comptes locaux d’administration, soit interdire la connexion à distance via ces comptes.", 4 | "testingInformation": "Les comptes d'administrateur locaux disposent de configurations de sécurité uniques. Lorsque ce n'est pas le cas, les comptes ne permettent pas l'administration à distance.", 5 | "actionPlanInstructions": "Application de configurations de sécurité uniques pour les comptes d'administateurs de sécurité locaux.", 6 | "actionPlanTitle": "Absence de configuration de sécurité unique par compte d'utilisateur.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-DOM-LIMITSERV_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-DOM-LIMITSERV | [TECH] - Limiter les droits des comptes de service", 3 | "description": "Les comptes de service doivent faire l’objet d’une restriction des droits, en suivant le principe du moindre privilège.", 4 | "testingInformation": "Les comptes de service font l'objet d'une limitation des privilèges associés.", 5 | "actionPlanInstructions": "1. Application d'une stratégie de moindre privilège sur les compte de service\n2. Application d'une stratégie de moindre privilège avec les IAM Service Role.\n3. Utilisation périodique d'AWS Access Advisor afin de déterminer le périmètre des permissions minimales à octroyer à un IAM Service Role.", 6 | "actionPlanTitle": "Absence de l'application d'une politique de moindre privilège sur les comptes de service.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-DOM-NOMENCLAT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-DOM-NOMENCLAT | [GRC/TECH] - Définir et appliquer une nomenclature des comptes du domaine", 3 | "description": "La gestion des comptes doit s’appuyer sur une nomenclature adaptée, afin de pouvoir distinguer selon leur usage: comptes d’utilisateur standard, comptes d’administration (domaine, serveurs, postes de travail) et comptes de service.", 4 | "testingInformation": "Une nomenclature, ou un système de TAG est en place et permet d'identifier les comptes du domaines (IAM User, IAM Role, comptes AD) selon leurs utilisations.", 5 | "actionPlanInstructions": "1. Formalisation et application d'une nomemclature pour les comptes du domaines.\n2. Utilisation d'un système de TAG afin d'identifier les ressources d'identités.", 6 | "actionPlanTitle": "Absence de la mise en place d'une nomemclature associée aux comptes du domaine permettant une identification de l'utilisation finale.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-DOM-SERV_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-DOM-SERV | [TECH] - Maîtriser l’utilisation des comptes de service", 3 | "description": "Les comptes de service ont la particularité d’avoir généralement leurs mots de passe inscrits en dur dans des applications ou dans des systèmes. Afin de pouvoir être en mesure de changer ces mots de passe en urgence, il est nécessaire de maîtriser leur utilisation.", 4 | "testingInformation": "Lorsque des comptes de services AD sont utilisés leurs utilisations est controlées. Les interactions entre services AWS privilégient l'utilisation des fonctionalités d'authentification natives. (IAM Service Role)", 5 | "actionPlanInstructions": "1. Formalisation et application d'une procédure de revue et d'inventaire des comptes de service.\n2. Utilisation systématique de d'IAM Service Role.", 6 | "actionPlanTitle": "Absence d'un inventaire et d'un contrôle des comptes de service déployés. Absence d'utilisation de Service Role sur IAM.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-GEST-ADMIN_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-GEST-ADMIN | [TECH] - Gestion des actions d’administration", 3 | "description": "Les opérations d’administration doivent être tracées de manière à pouvoir gérer au niveau individuel l’imputabilité des actions d’administration.", 4 | "testingInformation": "Les opérations d'administration sont correctement tracées à l'aide de contrôles dédiés.", 5 | "actionPlanInstructions": "1. Création d'un trail depuis AWS Cloudtrail dédié à l'enregistrement des actions provenant des profils utilisateurs associés aux administrateurs.\n2. Enregistrement des sessions d'administration à l'aide d'AWS System Manager Session Manager.\n3. Déploiement et utilisation de système de type 'privileged access management'.", 6 | "actionPlanTitle": "Absence de contrôles visant l'enregistrement des traces consécutives aux actions des administrateurs.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-GEST-PASS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-GEST-PASS | [GRC] - Gestion des mots de passe", 3 | "description": "Les utilisateurs ne doivent pas stocker leurs mots de passe en clair (par exemple dans un fichier) sur leur poste de travail. Les mots de passe ne doivent pas transiter en clair sur les réseaux.", 4 | "testingInformation": "Des actions sont mis en place afin de sensibiliser les utilisateurs aux bonnes pratiques en matière de gestion des mots de passe.", 5 | "actionPlanInstructions": "1. Sensibilisation des utilisateurs à la bonne gestion des mots de passe.\n2. Utilisation d'outils et solutions visant l'absence de mot passe ou l'utilisation systématique de mots de passe aléatoires et inconnus de l'utilisateur.", 6 | "actionPlanTitle": "Absence de mesures de sensibilisation et de moyens affectés à la bonne gestion des mots de passe.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-HABILIT-ADMIN_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-HABILIT-ADMIN | [GRC] - Habilitation des administrateurs", 3 | "description": "L’habilitation des administrateurs s’effectue selon une procédure validée par l’autorité d’homologation. Le nombre de personnes habilitées pour des opérations d’administration doit être connu et validé par l’autorité d’homologation.", 4 | "testingInformation": "Les administrateurs font l'objet d'une procédure d'habilitation validée par l'autorité d'homologation, leurs nombres est connus de l'autorité d'homologation.", 5 | "actionPlanInstructions": "1. Formalisation et validation de la procédure d'habilitation des administrateurs de sécurité.", 6 | "actionPlanTitle": "Absence d'une procédure d'habilitation des administrateurs, absence d'un recensement précis des administrateurs.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-IMP-2_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-IMP-2 | [GRC/TECH] - Sécurité des imprimantes et copieurs multifonctions", 3 | "description": "Les imprimantes et copieurs multifonctions sont des ressources informatiques à part entière qui doivent être gérées en tant que telles. Elles ne doivent pas pouvoir communiquer avec l’extérieur.", 4 | "testingInformation": "Un guide définissant les configurations de sécurité à apposer aux imprimantes est établi et appliqué.", 5 | "actionPlanInstructions": "Formalisation et application des configurations de sécurité.", 6 | "actionPlanTitle": "Absence de formalisation et d'application des configurations de sécurité pour les imprimantes.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-IMP-SENS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-IMP-SENS | [GRC/TECH] - Impression des informations sensibles", 3 | "description": "Les impressions d’informations sensibles doivent être effectuées selon une procédure prédéfinie, garantissant le contrôle de l’utilisateur, du déclenchement de l’impression jusqu’à la récupération du support imprimé.", 4 | "testingInformation": "Une procédure et des contrôles de sécurité sont implémenté visant l'impression et la récupération par l'utilisateur des supports imprimés.", 5 | "actionPlanInstructions": "Formalisation et application d'une procédure visant le cadrage de l'impression et de la récupération des supports imprimés par les utilisateurs.", 6 | "actionPlanTitle": "Absence de formalisation ou de l'implémentation d'une procédure visant le cadrage de l'impression et de la récupération des supports par les utilisateurs.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-JOUR-SUR_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-JOUR-SUR | [TECH] - Journalisation des alertes", 3 | "description": "Chaque système doit disposer de dispositifs de journalisation permettant de conserver une trace des événements de sécurité. Ces traces doivent être conservées de manière sûre.", 4 | "testingInformation": "Les évènements de sécurité font l'objet d'une remontée et d'une journalisation depuis des environnements dédiés aux équipes de sécurité, une fois traités ces derniers font l'objet d'un archivage.", 5 | "actionPlanInstructions": "1. Formalisation et validation d'une procédure de gestion des évènements de sécurité.\n2. Déploiement d'une solution permettant l'inventaire et le traitement des évènements. Sur AWS, utilisation d'AWS Security Hub.", 6 | "actionPlanTitle": "Absence d'application de mesures de sécurité spécifiques pour les systèmes obsolètes maintenus en production.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-MAINT-EXT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-MAINT-EXT | [GRC] - Maintenance externe", 3 | "description": "Les données non chiffrées doivent être effacées avant l’envoi en maintenance externe de toute ressource informatique. Les opérations de chiffrement doivent faire appel à des produits qualifiés. L’effacement des données sensibles doit s’appuyer sur des produits qualifiés, ou respecter des procédures établies en concertation avec l’ANSSI.", 4 | "testingInformation": "1. Les données font l'objet d'un chiffrement systématique\n2. Les procédures de maintenace des matériels par AWS ont fait l'objet d'une validation.", 5 | "actionPlanInstructions": "1. Utilisation d'AWS KMS/CloudHSM ou d'une solution de chiffrement afin de chiffrer les données.\n2. Récupération et validation des procédures de maintenace matériels depuis AWS Artifact.", 6 | "actionPlanTitle": "1. Absence de chiffrement systématique des données.\n2. Absence de validation des procédures employées par AWS.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-MAIT-MAT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-MAIT-MAT | [GRC/TECH] - Maîtrise des matériels", 3 | "description": "Les postes de travail - y compris dans le cas d’une location - sont fournis à l’utilisateur par l’entité, gérés et configurés sous la responsabilité de l’entité. La connexion d’équipements non maîtrisés, non administrés ou non mis à jour par l’entité (qu’il s’agisse d’ordiphones, d’équipements informatiques nomades et fixes ou de supports de stockage amovibles) sur des équipements et des réseaux professionnels est interdite.", 4 | "testingInformation": "Les postes de travail et plateformes informatiques sont sont fournis, gérés et configurés sous la responsabilité de l'entité.", 5 | "actionPlanInstructions": "Encadrement des processus de délivrance et de gestion des plateformes informatiques.", 6 | "actionPlanTitle": "Absence de supervisation de l'entité dans la délivrance, la gestion et la configuration des postes de travail et plateformes informatiques.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-MAJ-ANTIVIR_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-GES-ANTIVIR | [TECH] - Mise à jour de la base de signatures", 3 | "description": "Les mises à jour des bases antivirales et des moteurs d’antivirus doivent être déployées automatiquement sur les serveurs et les postes de travail par un dispositif prescrit par les services centraux.", 4 | "testingInformation": "Les solutions de lutte contre les logiciels malveillants disposent de mécanismes et d'automatismes de mise à jour.", 5 | "actionPlanInstructions": "Vérification des mécanismes de mise à jour des solutions de lutte contre les codes malveillants.", 6 | "actionPlanTitle": "Absence de solution de mise à jour des solutions de lutte contre les logiciels malveillants.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-MIS-REB_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-MIS-REB | [GRC] - Mise au rebut", 3 | "description": "Lorsqu’une ressource informatique est amenée à quitter définitivement l’entité, les données présentes sur les disques durs ou la mémoire intégrée doivent être effacées de manière sécurisée. L’effacement des données sensibles doit s’appuyer sur des produits qualifiés, ou respecter des procédures établies en concertation avec l’ANSSI.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-NAVIG_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-NAVIG | [TECH] - Configuration du navigateur Internet", 3 | "description": "Le navigateur déployé par l’équipe locale chargée des SI sur l’ensemble des serveurs et des postes de travail nécessitant un accès Internet ou Intranet doit être configuré de manière sécurisée (désactivation des services inutiles, nettoyage du magasin de certificats, etc.).", 4 | "testingInformation": "Les navigateurs déployés font l'objet d'une configuration standard de sécurité.", 5 | "actionPlanInstructions": "Formalisation et application d'une procédure visant la configuration de sécurité des navigateurs.", 6 | "actionPlanTitle": "Absence d'une configuration standard de sécurité pour les navigateurs.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-NOMAD-SENS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-NOMAD-SENS | [GRC] - Déclaration des équipements nomades aptes à traiter des informations sensibles", 3 | "description": "L’autorité d’homologation du SI valide les usages possibles des équipements nomades vis-à-vis du traitement des informations sensibles ; les usages non explicitement autorisés sont interdits.", 4 | "testingInformation": "L'autorité d'homologation à validé les traitements d'informations sensibles dans le cadre du nomadisme.", 5 | "actionPlanInstructions": "Formalisation par l'autorité d'homolgation des traitements d'information sensibles possibles et interdits dans le cadre du nomadisme.", 6 | "actionPlanTitle": "Absence de formalisation des traitements d'informations sensibles dans le cadre du nomadisme.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-OBSOLET_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-OBSOLET | [GRC] - Assurer la migration des systèmes obsolètes", 3 | "description": "L’ensemble des logiciels utilisés sur le système d’information doit être dans une version pour laquelle l’éditeur assure le support, et tenu à jour. En cas de défaillance du support, il convient d’en étudier l’impact et de prendre les mesures adaptées.", 4 | "testingInformation": "Les systèmes obsolètes sont identifiés, font l'objet de mesures de contingentement et dispose d'un plan visant l'acceptation des risques, la modernisation ou leurs retrait du service.", 5 | "actionPlanInstructions": "1. Réalisation d'un inventaire des systèmes obsolètes.\n2. Formalisation et validation des mesures palatiatives selon la logique des '6R' : Rehosting, Replatforming, Repurchasing, Refactoring, Retire, Retain.", 6 | "actionPlanTitle": "Absence d'identification des systèmes obsolètes et de mesures paliatives définies.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-POL-ADMIN _sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-POL-ADMIN | [TECH] - Politique de mots de passe « administrateurs »", 3 | "description": "Chaque administrateur doit disposer d’un mot de passe propre et destiné à l’administration.", 4 | "testingInformation": "Chaque administrateur dispose d'un mot de passe et d'un profil (IAM User) propre et dédié à l'administration.", 5 | "actionPlanInstructions": "Création depuis AWS IAM de profils utilisateurs (IAM User) pour chaque administrateur.", 6 | "actionPlanTitle": "Absence de profils dédié aux administrateurs.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-POL-COR_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-POL-COR | [GRC/TECH] - Définir et mettre en œuvre une politique de suivi et d’application des correctifs de sécurité", 3 | "description": "Le maintien dans le temps du niveau de sécurité d’un système d’information impose une gestion organisée et adaptée des mises à jour de sécurité. Un processus de gestion des correctifs propre à chaque système ou applicatif doit être défini, et adapté suivant les contraintes et le niveau d’exposition du système.", 4 | "testingInformation": "Formalisation et application d'une politique réflétant une stratégie visant le maintien en condition de sécurité des systèmes.", 5 | "actionPlanInstructions": "Formalisation et application d'une politique reflétant une stratégie visant le maintien en condition de sécurité des systèmes.", 6 | "actionPlanTitle": "Absence d'une politique visant le maintien en condition de sécurité des systèmes d'information.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-PROC-AUTH_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-PROC-AUTH | [GRC] - Autorisations d’accès des utilisateurs", 3 | "description": "Toute action d’autorisation d’accès d’un utilisateur à une ressource des SI, qu’elle soit locale ou nationale, doit s’inscrire dans le cadre d’un processus d’autorisation formalisé, qui s’appuie sur le processus d’arrivée et de départ du personnel.", 4 | "testingInformation": "Procédures d'autorisation des utilisateurs formalisé et appliquée.", 5 | "actionPlanInstructions": "Formalisation et application d'un procédé de gestion des droits et des accès.", 6 | "actionPlanTitle": "Absence d'une procédure de gestion des autorisations pour les utilsateurs.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-PROFILS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-PROFILS | [TECH] - Gestion des profils d’accès aux applications", 3 | "description": "Les applications manipulant des données sensibles doivent permettre une gestion fine par profils d’accès. Les principes du besoin d’en connaître et du moindre privilège s’appliquent.", 4 | "testingInformation": "Les permissions et droits accordés aux applications et comptes de service sont associés à des profils d'identité (IAM Role) uniques et font l'objet de l'application d'une politique des moindres privilèges.", 5 | "actionPlanInstructions": "1. Création de profils d'identité IAM Role unique pour chaque application et ressources.\n2. Application d'une politique des moindres privilèges (IAM Policy) aux différents profils d'identité.\n3. Création de secrets dédiés par application et ressources.", 6 | "actionPlanTitle": "Absence d'utilisation de profils d'identité uniques associé à des permissions reflétant l'application d'une politique des moindres privilèges.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-PROT-ADMIN_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-PROT-ADMIN | [GRC/TECH] - Protection des accès aux outils d’administration", 3 | "description": "L’accès aux outils et interfaces d’administration doit être strictement limité aux personnes habilitées, selon une procédure formelle d’autorisation d’accès.", 4 | "testingInformation": "L'accès aux outils et interfaces d'administration fait l'objet de contrôles de sécurité particuliers.", 5 | "actionPlanInstructions": "Mise en place de contrôles de sécurité spécifique pour les interfaces et accès administrateur.", 6 | "actionPlanTitle": "Absence de contrôles de sécurité particuliers limitant l'accès aux outils et interface d'administration.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-PROT-VOL_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-PROT-VOL | [TECH] - Rappel des mesures de protection contre le vol", 3 | "description": "Les postes fixes bénéficient des mesures de protection physique offertes au titre de la directive de sécurité physique de la présente PSSIE. Chaque utilisateur doit veiller à la sécurité des supports amovibles (clés USB et disques amovibles), notamment en les conservant dans un endroit sûr. Il est recommandé de chiffrer les données contenues sur ces supports. Les supports contenant des données sensibles doivent être stockés dans des meubles fermant à clef.", 4 | "testingInformation": "Application des mesures de protection contre le vol.", 5 | "actionPlanInstructions": "1. Audit des mesures en place de protection control le vol.\n2. Application des mesures de protection contre le vol.", 6 | "actionPlanTitle": "Absence d'application des mesures de protcetion contre le vol.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-QUAL-PASS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-QUAL-PASS | [TECH] - Contrôle systématique de la qualité des mots de passe", 3 | "description": "Des moyens techniques permettant d’imposer la politique de mots de passe (par exemple pour s’assurer du respect de l’éventuelle obligation relative à l’usage de caractères spéciaux) doivent être mis en place. A défaut, un contrôle périodique des paramètres techniques relatifs aux mots de passe doit être réalisé.", 4 | "testingInformation": "Contrôles périodiques visant la qualité des mots de passe et des secrets implémentés.", 5 | "actionPlanInstructions": "1. Utilisation de l'AWS CLI/SDK afin de vérifier la bonne configuration des ressources et des mots de passes.\n2. Implémentation de tests directement dans les templates d'infrastructure-as-code.", 6 | "actionPlanTitle": "Absence de contrôles techniques périodiques visant la qualité des mots de passe et secrets.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-REAFFECT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-REAFFECT | [GRC/TECH] - Réaffectation de matériels informatiques", 3 | "description": "Une procédure de gestion des postes et supports dans le cadre de départs de personnel ou de réaffectations à de nouveaux utilisateurs doit être mise en place et validée par le RSSI. Elle doit définir les conditions de recours à un effacement des données.", 4 | "testingInformation": "Formalisation et application d'une procédure visant le blanchissement et la ré-utilisation des plateformes informatiques.", 5 | "actionPlanInstructions": "Formalisation et application d'une procédure visant le blanchissement et la ré-utilisation des plateformes informatiques.", 6 | "actionPlanTitle": "Absence de formalisation et d'application d'une procédure visant le blanchissement et la ré-utilisation des plateformes informatiques.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-RESTR-DROITS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-RESTR-DROITS | [TECH] - Restriction des droits", 3 | "description": "Sauf exception dûment motivée et validée par le RSSI, les utilisateurs n’ont pas de droits d’administration.", 4 | "testingInformation": "Les utilisateurs font l'objet de l'application d'une politique des moindres privilèges correspondant à leurs profils et besoin d'en utiliser. Particulièrement les IAM Policy destinées aux adminstrateurs ne sont pas associées à des profils utilisateurs classiques.", 5 | "actionPlanInstructions": "1. Effectuer une revue de privilège depuis AWS IAM\n2. Restiction des IAM Policy associées aux utilisateurs au strict minimum après évaluation.\n3. Restriction des 'trust relationship' des IAM Role administrateur aux seuls profils (IAM User) administrateurs.", 6 | "actionPlanTitle": "Absence de restriction des droits administrateur à l'usage exclusif des personnels identifés comme administrateur.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-SECX-DIST_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-SECX-DIST | [GRC/TECH] - Sécurisation des outils de prise de main à distance", 3 | "description": "La prise de main à distance d’une ressource informatique locale ne doit être réalisable que par les agents autorisés par l’équipe locale chargée des SI, sur les ressources informatiques de leur périmètre. Des mesures de sécurité spécifiques doivent être définies et respectées.", 4 | "testingInformation": "Les outils de prise en main à distance sont à l'usage restreint des personnels identifiés et font l'objet de mesures de sécurité spécifique.", 5 | "actionPlanInstructions": "Formalisation et application des mesures de sécurité appliqués aux modes d'accès à distance.", 6 | "actionPlanTitle": "Absence de mesures de sécurité appliquées aux outils de prises en main à distance.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Exploitation-des-SI_control_set/EXP-TRAC_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "EXP-TRAC | [TECH] - Traçabilité des interventions sur le système", 3 | "description": "Les interventions de maintenance sur les ressources informatiques de l’entité doivent être tracées par le service informatique, et ces traces doivent être accessibles au correspondant SSI local durant au moins un an.", 4 | "testingInformation": "Les opérations de maintenance sont correctement tracées et archivées.", 5 | "actionPlanInstructions": "1. Création d'un trail depuis AWS Cloudtrail visant l'ensemble des régions et environnements AWS.\n2. Enregistrement du trail depuis un espace S3 créé dans un compte dédié.\n3. Mise en place de protection contre la suppression des traces pendant une période d'un an.", 6 | "actionPlanTitle": "Absence de traces et de méthodes d'archivage des opérations de maintenance.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Gestion-des-biens_control_set/GDB-CARTO_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "GDB-CARTO | [GRC/TECH] - Cartographie", 3 | "description": "La cartographie précise les centres informatiques, les architectures des réseaux (sur lesquelles sont identifiés les points névralgiques et la sensibilité des informations manipulées) et qualifie le niveau de sécurité attendu. Cette cartographie est maintenue à jour et tenue à disposition du RSSI, ainsi que du FSSI et de l’ANSSI en cas de besoin de coordination opérationnelle.", 4 | "testingInformation": "Une cartographie des réseaux et des systèmes d'information ainsi que de leur niveaux de sensibilité est disponible.", 5 | "actionPlanInstructions": "1. L'utilisation d'AWS Network Manager ou d'AWS Cloud WAN permet de disposer d'une cartographie intégré des réseaux.\n2. Déploiement d'une solution tierce permettant la création de la cartographie réseaux.", 6 | "actionPlanTitle": "Absence d'une cartographie réseaux précise faisant apparaître les niveaux de sensibilité et de sécurité attendu.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Governance Risk Compliance | Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Gestion-des-biens_control_set/GDB-PROT-IS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "GDB-PROT-IS | [GRC/TECH] - Protection des informations", 3 | "description": "L’utilisateur doit protéger les informations qu’il est amené à manipuler dans le cadre de ses fonctions, selon leur sensibilité et tout au long de leur cycle de vie, depuis la création du brouillon jusqu’à son éventuelle destruction.", 4 | "testingInformation": "1. Politique de protection de la donnée formalisée et validée.\n2. Contrôle de sécurité permettant d'attester du respect des exigences fixées en place (AWS Config).", 5 | "actionPlanInstructions": "1. Définition et formalisation d'une politique de protection de la donnée sur AWS.\n2. Déploiement des contrôles et services de sécurité nécessaires aux respects des exigences fixées par la politique de protection de l'information.", 6 | "actionPlanTitle": "Absence de formalisation d'une politique de protection de l'information sur AWS.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Governance Risk Compliance | Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Gestion-des-biens_control_set/GDB-QUALIF-SENSI_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "GDB-QUALIF-SENSI | [GRC/TECH] - Qualification des informations", 3 | "description": "La sensibilité de toute information doit être évaluée. Le marquage systématique des documents, en fonction du niveau de sensibilité, est fortement recommandé.", 4 | "testingInformation": "1. L'ensemble des composants du système est associé à un tag permettant de définir sa sensibilité.\n2. Une détection automatique de l'absence de marquage est mise en place (AWS Config).", 5 | "actionPlanInstructions": "1. L'utilisation d'une politique de TAG appropriée sur les objets, systèmes de fichiers et base de données permet d'en identifier la sensibilité.\n2. Mise en place d'automatismes de contrôle afin de garantir la bonne identification du niveau de sensibilité des resources.", 6 | "actionPlanTitle": "Absence d'une procédure systémique de qualification et de marquage de l'information.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Governance Risk Compliance | Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Intégration-SSI-SI_control_set/INT-AQ-PSL_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "INT-AQ-PSL | [TECH] - Acquisition de produits et services de confiance", 3 | "description": "Lorsqu’ils sont disponibles, des produits ou des services de sécurité labellisés (certifiés, qualifiés) par l’ANSSI doivent être utilisés.", 4 | "testingInformation": "Lorsque que ces derniers sont disponibles, des produits de sécurité labellisés par l'ANSSI sont utilisés.", 5 | "actionPlanInstructions": "1. Utilisation de produits porteurs de certifications, qualifications ou visa de sécurité.\n2. Utilisation de la Marketplace et du réseaux de partenaire AWS.", 6 | "actionPlanTitle": "Absence d'utilisation de produits disponibles porteurs de certifications, qualifications ou visa de sécurité.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Intégration-SSI-SI_control_set/INT-PRES-CS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "INT-PRES-CS | [GRC] - Clauses de sécurité", 3 | "description": "Toute prestation dans le domaine des SI est encadrée par des clauses de sécurité. Ces clauses spécifient les mesures SSI que le prestataire doit respecter dans le cadre de ses activités.", 4 | "testingInformation": "Clauses de sécurité applicable à l'engagement de prestataire formalisées et appliquées.", 5 | "actionPlanInstructions": "Formalisation et application des clauses et procédures de sécurité applicable à l'engagement de prestataires.", 6 | "actionPlanTitle": "Absence de formalisation des clauses de sécurité associées à l'engagement de prestataires.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Intégration-SSI-SI_control_set/INT-REX-AR_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "INT-REX-AR| [GRC] - Analyse de risques", 3 | "description": "Toute opération d’externalisation s’appuie sur une analyse de risques préalable, de façon à formaliser des objectifs de sécurité et définir des mesures adaptées. L’ensemble des objectifs de sécurité ainsi formalisés permet de définir une cible de sécurité servant de cadre au contrat établi avec le prestataire.", 4 | "testingInformation": "1. L'utilisation d'AWS a fait l'objet d'une décision documentée et formalisée.\n2. Les objectifs de sécurité sont précisés.", 5 | "actionPlanInstructions": "Formalisation de la décision d'externalisation ainsi que des objectifs de sécurité.", 6 | "actionPlanTitle": "Absence d'un document formalisant la décision d'externalisation et les objectifs de sécurité au regard des risques et de la sensibilité associés au projet.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Intégration-SSI-SI_control_set/INT-REX-HB_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "INT-REX-HB| [TECH] - Hébergement", 3 | "description": "L’hébergement des données sensibles de l’administration sur le territoire national est obligatoire, sauf accord du HFDS, et dérogation dûment motivée et précisée dans la décision d’homologation.", 4 | "testingInformation": "Lorsque des données sensibles sont traitées sur AWS, les traitement s'effectue au sein de la région Française (eu-west-3).", 5 | "actionPlanInstructions": "Utilisation et migration des systèmes d'information identifiés comme sensible dans la région Française (eu-west-3).", 6 | "actionPlanTitle": "Absence d'utilisation de la région Française (eu-west-3) pour l'hébergement de systèmes d'information identifiés comme sensible.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Intégration-SSI-SI_control_set/INT-REX-HS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "INT-REX-HS| [GRC/LEGAL] - Hébergement et clauses de sécurité", 3 | "description": "Tout contrat d’hébergement détaille les dispositions mises en œuvre pour prendre en compte la SSI. Ce sont notamment les mesures prises pour assurer le maintien en condition de sécurité des systèmes et permettre une gestion de crise efficace (conditions d’accès aux journaux, mise en place d’astreintes, etc.).", 4 | "testingInformation": "Formalisation de l'acceptation des clauses et conditions associées à l'utilisation d'AWS.", 5 | "actionPlanInstructions": "L'ensemble des clients d'AWS bénéficient des mêmes mesures de protection, validées par des audits et évaluations externes. Ces mesures sont détaillées dans les différents rapports de sécurité directement disponible depuis AWS Artifact.", 6 | "actionPlanTitle": "Absence de dispositions de sécurité dans les contrats d'hébergement.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Legal", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Intégration-SSI-SI_control_set/INT-SSI_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "INT-SSI | [GRC] - Intégration de la sécurité dans les projets", 3 | "description": "La sécurité des systèmes d’information doit être prise en compte dans toutes les phases des projets informatiques, sous le contrôle de l’autorité d’homologation, de la conception et de la spécification du système jusqu’à son retrait du service.", 4 | "testingInformation": "La démarche d'intégration de la sécurité dans les projets cloud est formalisée et appliquée.", 5 | "actionPlanInstructions": "Formalisation et application d'une procédure projet et de gouvernance d'intégration de la sécurité informatique dans les projets utilisant AWS.", 6 | "actionPlanTitle": "Absence d'une démarche d'intégration de la sécurité des systèmes d'information dans les projets informatiques.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Politique-Organisation-Gouvernance_control_set/ORG-APP-DOCS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ORG-APP-DOCS | [GRC] - Formalisation de documents d’application", 3 | "description": "Le RSSI formalise et tient à jour les documents d’application, approuvés par l’autorité qualifiée, permettant la mise en œuvre des mesures de la PSSIE sur son périmètre.", 4 | "testingInformation": "Documentations, audits et automatisations des contrôles attestant du respect de la PSSIE disponibles.", 5 | "actionPlanInstructions": "Réalisation de la documentations, des audits et automatisations des contrôles attestant du respect de la PSSIE.", 6 | "actionPlanTitle": "Absence de documentations, d'audits ou d'automatismes attestant de la mise en application des recommandations de la PSSIE.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | 12 | "controlMappingSources": [{ 13 | "sourceName": "Governance risk and compliance", 14 | "sourceType": "MANUAL", 15 | "sourceSetUpOption": "Procedural_Controls_Mapping" 16 | }] 17 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Politique-Organisation-Gouvernance_control_set/ORG-APP-INSTR_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ORG-APP-INSTR | [GRC] - Application de l’instruction dans l’entité", 3 | "description": "Le RSSI planifie les actions de mise en application de la PSSIE. Il rend compte régulièrement de la mise en application des mesures de sécurité auprès de son autorité qualifiée et du FSSI.", 4 | "testingInformation": "Stratégie d'application de la PSSIE disponible.", 5 | "actionPlanInstructions": "Formalisation, validation et implémentationd d'une stratégie d'application de la PSSIE.", 6 | "actionPlanTitle": "Absence d'une stratégie d'application de la PSSIE.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | 12 | "controlMappingSources": [{ 13 | "sourceName": "Governance risk and compliance | Legal", 14 | "sourceType": "MANUAL", 15 | "sourceSetUpOption": "Procedural_Controls_Mapping" 16 | }] 17 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Politique-Organisation-Gouvernance_control_set/ORG-PIL-PSSIM_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ORG-PIL-PSSIM | [GRC] - Définition et pilotage de la PSSI ministérielle", 3 | "description": "Chaque ministère établit une politique SSI ministérielle, sous la responsabilité du HFDS. Cette politique reprend le socle commun établi par la présente PSSIE. Une structure de pilotage de la PSSI ministérielle est définie. Cette structure est chargée de sa mise en place, de son évolution, de son suivi et de son contrôle.\nUne politique de sécurité portant sur les usages et configurations des services AWS est établie.", 4 | "testingInformation": "1. Les exigences de la PSSI-Ministèriel sont appliquées.\n2. Une PSSI cloud est définie et appliquée.", 5 | "actionPlanInstructions": "1. Suivit des exigences de la PSSI-M.\n2. Formalisation et implémentation d'un PSSI-Cloud.", 6 | "actionPlanTitle": "Politique de sécurité ministèriel non appliquée.\nAbsence d'une politique de sécurité lié à l'utilisation d'AWS pour le projet.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | 12 | "controlMappingSources": [{ 13 | "sourceName": "Governance risk and compliance", 14 | "sourceType": "MANUAL", 15 | "sourceSetUpOption": "Procedural_Controls_Mapping" 16 | }] 17 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Politique-Organisation-Gouvernance_control_set/ORG-RESP_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ORG-RESP | [GRC] - Formalisation des responsabilités", 3 | "description": "Une note d’organisation fixe la répartition au sein de chaque entité et au niveau local des responsabilités et rôles en matière de SSI. Cette note sera, le plus souvent, proposée par le RSSI et validée par l’autorité qualifiée.", 4 | "testingInformation": "Note d'organisation des rôles et responsabilités en matière de SSI rédigée et validée.", 5 | "actionPlanInstructions": "1. Rédaction d'une note de cadrage pour la sécurité informatique du système d'information considéré.\n2. Validation de la note de cadrage par l'autorité qualifiée (AQ).", 6 | "actionPlanTitle": "Asbence d'une note de cadrage définissant les rôles et responsabilité en matière de sécurité informatique.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | 12 | "controlMappingSources": [{ 13 | "sourceName": "Governance risk and compliance", 14 | "sourceType": "MANUAL", 15 | "sourceSetUpOption": "Procedural_Controls_Mapping" 16 | }] 17 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Politique-Organisation-Gouvernance_control_set/ORG-TIER_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "ORG-TIERS | [GRC/LEGAL] - Gestion contractuelle des tiers", 3 | "description": "Le RSSI coordonne les actions permettant l’intégration des clauses liées à la SSI dans tout contrat ou convention impliquant un accès par des tiers à des informations ou à des ressources informatiques.", 4 | "testingInformation": "Exigences et clauses de sécurité identifiées, définies et apliquées lors de la contractualisation avec des acteurs tiers.", 5 | "actionPlanInstructions": "Définition et application d'exigences et clauses de sécurité applicable lors de la contractualisation avec des acteurs tiers.", 6 | "actionPlanTitle": "Absence de formalisation de clauses de sécurité pour la gestion des acteurs externes au service.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | 12 | "controlMappingSources": [{ 13 | "sourceName": "Governance risk and compliance | Legal", 14 | "sourceType": "MANUAL", 15 | "sourceSetUpOption": "Procedural_Controls_Mapping" 16 | }] 17 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Ressources-Humaines_control_set/RH-CONF_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RH-CONF | [GRC] - Personnels de confiance", 3 | "description": "Toutes les personnes manipulant des informations sensibles doivent le faire avec une attention et une probité particulière, dans le respect des textes en vigueur. Les sanctions éventuelles s’appliquant aux cas de négligence ou de malveillance leur sont rappelées.", 4 | "testingInformation": "Les personnels manipulant des informations sensibles font l'objet de procédures de validation et de sensibilisation dédiées.", 5 | "actionPlanInstructions": "Formalisation et application d'une procédure de validation et de sensibilisation des personnels manipulant des informations sensibles.", 6 | "actionPlanTitle": "Absence d'une procédure de validation et de sensibilisation aux obligations légales des personnels manipulant des informations sensibles.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Governance risk and compliance", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Ressources-Humaines_control_set/RH-MOTIV_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RH-MOTIV | [GRC] - Choix et sensibilisation des personnes tenant les postes clés de la SSI", 3 | "description": "Une attention particulière doit être portée au recrutement des personnes-clés de la SSI : RSSI, correspondants SSI locaux et administrateurs de sécurité. Les RSSI et leurs correspondants SSI locaux doivent être spécifiquement formés à la SSI. Les administrateurs des SI doivent être régulièrement sensibilisés aux devoirs liés à leur fonction, et doivent veiller à respecter ces exigences dans le cadre de leurs activités quotidiennes.", 4 | "testingInformation": "Critères de recrutement et de sélection des acteurs de la SSI disponibles.", 5 | "actionPlanInstructions": "Formalisation des critères de recrutement et de sélection des acteurs de la SSI établie.", 6 | "actionPlanTitle": "Absence de formalisation du processus de séléction particulier des acteurs de la SSI.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Governance risk and compliance", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Ressources-Humaines_control_set/RH-MOUV_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RH-MOUV | [GRC] - Gestion des arrivées, des mutations et des départs", 3 | "description": "Une procédure permettant de gérer les arrivées, les mutations et les départs des collaborateurs dans les SI doit être formalisée, et appliquée strictement. Cette procédure doit couvrir au minimum :\n- la gestion/révocation des comptes et des droits d’accès aux SI, y compris pour les partenaires et les prestataires externes.\n- la gestion du contrôle d’accès aux locaux\n- la gestion des équipements mobiles\n- la gestion du contrôle des habilitations.", 4 | "testingInformation": "Procédure de gestion des personnels disponible.", 5 | "actionPlanInstructions": "Formalisation et application d'un procédure de gestion des mouvements de personnel.", 6 | "actionPlanTitle": "Absence d'une procédure de gestion des mouvements de personnel.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Governance risk and compliance", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Ressources-Humaines_control_set/RH-NPERM_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RH-NPERM | [GRC] - Gestion du personnel non permanent (stagiaires, intérimaires, prestataires...)", 3 | "description": "Les règles de la PSSIE s’appliquent à tout personnel non permanent utilisateur d’un SI d’une administration de l’État. Les dispositions contractuelles préexistantes régissant l’emploi de ce personnel sont amendées si nécessaire. Pour tout personnel non permanent, un tutorat par un agent permanent est mis en place, afin de l’informer de ces règles et d’en contrôler l’application.", 4 | "testingInformation": "Les personnels non permanent font l'objet d'une procédure de tutorat.", 5 | "actionPlanInstructions": "Formalisation et application d'une procédure de tutorat pour les personnels non permanent.", 6 | "actionPlanTitle": "Absence d'une procédure de tutorat ou de rattachement à un membre permanent de l'organisation.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Governance risk and compliance", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Ressources-Humaines_control_set/RH-SSI_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RH-SSI | [GRC] - Charte d’application SSI", 3 | "description": "Une charte d’application de la politique SSI, récapitulant les mesures pratiques d’utilisation sécurisée des ressources informatiques et élaborée sous le pilotage de la chaîne fonctionnelle SSI, est communiquée à l’ensemble des agents de chaque entité. Cette charte doit être opposable juridiquement et, si possible, intégrée au règlement intérieur de l’entité. Le personnel non permanent (stagiaires, intérimaires, prestataires...) est informé de ses devoirs dans le cadre de son usage des SI de l’État.", 4 | "testingInformation": "Charte d'application de la politique SSI disponible.", 5 | "actionPlanInstructions": "Rédaction et communication de la charte d'application de la politique SSI.", 6 | "actionPlanTitle": "Charte d'application de la politique SSI non rédigée et non communiquée.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Governance risk and compliance", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Ressources-Humaines_control_set/RH-UTIL_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RH-UTIL | [GRC] - Sensibilisation des utilisateurs des systèmes d’information", 3 | "description": "Chaque utilisateur doit être régulièrement informé des exigences de sécurité le concernant, et motivé à leur respect. Il doit être formé à l’utilisation des outils de travail conformément aux règles SSI.", 4 | "testingInformation": "Règles et procédures de sécurité des systèmes d'information rappelées régulièrement aux personnels de l'entité.", 5 | "actionPlanInstructions": "Mise en place d'une notification et d'un rappel récurrent des règles en matière de sécurité des systèmes d'information pour les personnels de l'organisation.", 6 | "actionPlanTitle": "Absence d'une procédure récurrente de notification des règles et obligations en matière de sécurité des systèmes d'information.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Governance risk and compliance", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-CARTO_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-CARTO | [GRC/TECH] - Elaborer les documents d’architecture technique et fonctionnelle", 3 | "description": "L’architecture réseau du système d’information doit être décrite et formalisée à travers des schémas d’architecture, et des configurations, maintenus au fil des évolutions apportées au SI. Les documents d’architecture sont sensibles et font l’objet d’une protection adaptée. La cartographie réseau s’insère dans la cartographie globale des SI.", 4 | "testingInformation": "Des cartographies de l'architectures réseaux sont disponibles.", 5 | "actionPlanInstructions": "1. L'utilisation d'AWS Network Manager ou d'AWS Cloud WAN permet de disposer d'une cartographie intégré des réseaux.\n2. Déploiement d'une solution tierce permettant la création de la cartographie réseaux.", 6 | "actionPlanTitle": "Absence d'une cartographie réseaux précise.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Governance Risk Compliance | Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-CLOIS _sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-CLOIS | [TECH] - Cloisonner le SI en sous-réseaux de niveaux de sécurité homogènes", 3 | "description": "Par analogie avec le cloisonnement physique d’un bâtiment, le système d’information doit être segmenté selon des zones présentant chacune un niveau de sécurité homogène.", 4 | "testingInformation": "Les différents domaines des systèmes d'information font l'objet d'un cloisonnement réseaux.", 5 | "actionPlanInstructions": "1. Création d'autant de VPC que de domaines.\n2. Partition des domaines avec des subnets\n3. Utilisation de mécanismes de routage différents entre composants réseaux présentant des sensibilités différentes.", 6 | "actionPlanTitle": "Absence de cloisonnement réseaux entre les différents domaines des systèmes d'information.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-COUCHBAS-SPECIFIQUE_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-COUCHBAS | [TECH] - Implanter des mécanismes de protection contre les attaques sur les couches basses", 3 | "description": "Une attention particulière doit être apportée à l’implantation des protocoles de couches basses, de façon à se prémunir des attaques usuelles par saturation ou empoisonnement de cache. Cela concerne, par exemple, le protocole ARP.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-DURCI _sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-DURCI | [TECH] - Durcir les configurations des équipements de réseaux", 3 | "description": "Les équipements de réseaux (comme les routeurs) doivent faire l’objet d’un durcissement spécifique comprenant notamment, outre le changement des mots de passe et certificats, la désactivation des interfaces et services inutiles, ainsi que la mise en place de mécanismes de protection du plan de contrôle.", 4 | "testingInformation": "Les équipements réseaux font l'objet d'un durcissement de leurs configurations.", 5 | "actionPlanInstructions": "1. Durcissement des configurations réseaux déployées selon un guide définit\n2. Utilisation des composants réseaux natif à AWS.", 6 | "actionPlanTitle": "Absence de durcissement des équipements réseaux.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-ENTSOR_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-ENTSOR | [TECH] - Mettre en place un filtrage réseau pour les flux sortants et entrants", 3 | "description": "Dans l’optique de réduire les possibilités offertes à un attaquant, les connexions des machines du réseau interne vers l’extérieur doivent être filtrées.", 4 | "testingInformation": "Une solution de filtrage est déployée afin de filtrer les connexions des machines du réseau interne vers l'extérieur.", 5 | "actionPlanInstructions": "1. Utilisation d'AWS Network Firewall afin de filtrer le traffic sortant.\n2. Utilisation d'AWS Gateway Load Balancer et d'une solution de filtrage.", 6 | "actionPlanTitle": "Les connexions sortantes ne sont pas filtrées.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-INTERCOGEO_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-INTERCOGEO | [TECH] - Interconnexion des sites géographiques locaux d’une entité", 3 | "description": "L’interconnexion au niveau local de réseaux locaux d’une entité n’est possible que si la proximité géographique le justifie et sous réserve de la mise en place de connexions dédiées à cet effet, et de passerelles sécurisées et validées par le HFDS.", 4 | "testingInformation": "Les réseaux locaux ne sont interconnectés que si la proximité géographique le justifie et via une passerelle dédiée et validée.", 5 | "actionPlanInstructions": "Refonte de la topologie et des interconnexions des réseaux locaux.", 6 | "actionPlanTitle": "Réseaux locaux interconnectés sans justifications et via des passerelles non validées.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-INTERCO_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-INTERCO | [TECH] - Interconnexion avec des réseaux externes", 3 | "description": "Toute interconnexion entre les réseaux locaux d’une entité et un réseau externe (réseau d’un tiers, Internet, etc.) doit être réalisée via les infrastructures nationales.", 4 | "testingInformation": "Lorsque des interconnexions et hybridations sont faîtes, ces dernières sont effectuées via les infrastructures nationales.", 5 | "actionPlanInstructions": "1. Mise en place d'un routage et des interconnexion utilisant les infrastructures nationales.\n2. Mise en place de liens directs avec AWS Direct Connect.\n3. Utilistion d'AWS Gateway Load Balancer\n4. Déploiement d'une architecture de type VPN CloudHub", 6 | "actionPlanTitle": "Les interconnexions ne sont pas faîtes via les infrastructures nationales.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-INTERNET-SPECIFIQUE_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-INTERNET-SPECIFIQUE | [TECH] - Cas particulier des accès spécifiques dans une entité", 3 | "description": "Les accès spécifiques à Internet nécessitant des droits particuliers pour un usage métier ne peuvent être mis en place que sur dérogation dûment justifiée, et sur des machines isolées physiquement et séparées du réseau de l’entité, après validation préalable de l’autorité d’homologation.", 4 | "testingInformation": "Les machines nécessitant un accès spécifiques à internet sont identifiées, et déployées dans des enclaves réseaux dédiées et isolées.", 5 | "actionPlanInstructions": "Utilisation d'Amazon VPC et création d'enclaves réseaux dédiées et isolées aux machines nécessitant un accès internet.", 6 | "actionPlanTitle": "Absence d'enclave dédié aux machines nécessitant un accès internet spécifique.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-MAITRISE_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-MAITRISE | [TECH] - Systèmes autorisés sur le réseau", 3 | "description": "Seuls les équipements gérés et configurés par les équipes informatiques habilitées peuvent être connectés au réseau local d’une entité.", 4 | "testingInformation": "Des mécanismes d'authentification sont utilisés afin d'identifier les équipements raccordés aux environnements.", 5 | "actionPlanInstructions": "1. Implémentation d'un ou plusieurs mécanismes d'authentification pour les équipements raccordés aux environnements.\n2. L'utilisation d'AWS IoT core, AWS IoT device management, d'IAM role Anywhere permet de faciliter l'atteinte de l'objectif\n3. Utilisation de protocoles et méthodes de communication 'authentifié' (mtls, vpn, signature. . .)", 6 | "actionPlanTitle": "Absence d'un mécanisme d'authentification des équipements vis-à-vis du réseaux interne.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-PROT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-PROT | [TECH] - Protection des informations", 3 | "description": "Les accès à Internet passent obligatoirement à travers les passerelles nationales. Dès lors que des informations sensibles doivent transiter sur des réseaux non maîtrisés, il convient de les protéger spécifiquement par chiffrement adapté.", 4 | "testingInformation": "Les accès internet sont dirigés vers les passerelles nationales et utilisation d'une méthode de chiffrement de bout en bout.", 5 | "actionPlanInstructions": "1. Les flux sortant sur internet sont routés vers les passerelles nationales.\n2. Utilisation d'AWS KMS et d'AWS encryption SDK afin de sur-chiffrer les informations en transit lorsque nécessaire.", 6 | "actionPlanTitle": "Les connexions internet ne sont pas dirigées ver les passerelles nationales. Les informations sensibles ne font pas l'objet de mesures de protection particukières lorsque transitant sur des réseaux non maîtrisés.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-RESS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-RESS | [TECH] - Cloisonnement des ressources en cas de partage de locaux", 3 | "description": "Dans le cas où une entité partage des locaux (bureaux ou locaux techniques) avec des entités externes, des mesures de cloisonnement des ressources informatiques doivent être mises en place. Si le cloisonnement n’est pas physique, les mesures prises doivent être validées par le ou les HFDS concernés.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-ROUTDYN _sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-ROUTDYN | [TECH] - Surveiller les annonces de routage", 3 | "description": "Lorsque l’utilisation de protocoles de routage dynamiques est nécessaire, celle-ci doit s’accompagner de la mise en place d’une surveillance des annonces de routage, et de procédures permettant de réagir rapidement en cas d’incidents.", 4 | "testingInformation": "Annonces de routage monitorées.", 5 | "actionPlanInstructions": "1. Utilisation d'Amazon Cloudwatch afin de monitorer les annonces de routage.", 6 | "actionPlanTitle": "Absence de monitoring des annonces de routage.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-ROUTDYN-EGP_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-ROUTDYN-EGP | [TECH] - Sécuriser les sessions EGP", 3 | "description": "Lors de la mise en place d’une session EGP avec un pair extérieur sur un média partagé, cette session doit s’accompagner d’un mot de passe de type message-digest-key.", 4 | "testingInformation": "Utilisation de configurations sécurisées lors du déploiement du protocole EGP.", 5 | "actionPlanInstructions": "Déploiement du protocole EGP selon une configuration conforme.", 6 | "actionPlanTitle": "Configuration du protocole EGP non-conforme.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-ROUTDYN-IGP_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-ROUTDYN-IGP | [TECH] - Configurer le protocole IGP de manière sécurisée", 3 | "description": "Le protocole de routage dynamique de type IGP doit être activé exclusivement sur les interfaces nécessaires à la construction de la topologie du réseau et désactivé sur le reste des interfaces. La configuration du protocole de routage dynamique doit systématiquement s’accompagner d’un mot de passe de type MESSAGE-DIGEST-KEY.", 4 | "testingInformation": "Utilisation de configurations sécurisées lors du déploiement du protocole IGP.", 5 | "actionPlanInstructions": "1. Utilisation des mécanismes de routage natifs à Amazon VPC\n2. Déploiement du protocole IGP selon une configuration conforme.", 6 | "actionPlanTitle": "Configuration du protocole IGP non-conforme.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Securité-des-réseaux_control_set/RES-SECRET_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "RES-SECRET | [TECH] - Modifier systématiquement les éléments d’authentification par défaut des équipements et services", 3 | "description": "Les mots de passe par défaut doivent être impérativement modifiés, de même en ce qui concerne les certificats. Les dispositions nécessaires doivent être prises auprès des fournisseurs de façon à pouvoir modifier les certificats installés par défaut.", 4 | "testingInformation": "Les secrets et certificats utilisés ont fait l'objet d'une personnalisation adéquat.", 5 | "actionPlanInstructions": "1. Utilisation des services managés de gestion des secrets. (AWS Certificate Manager, AWS Secret Manager)\n2. Utilisation des pratiques DevOps afin d'automatiser l'initalisation des biens dans des configurations maîtrisées.", 6 | "actionPlanTitle": "Configuration du protocole IGP non-conforme.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/ PHY-SI-SUR_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-SI-SUR | [GRC] - Sécurisation du SI de sûreté", 3 | "description": "Pour les sites physiques considérés comme importants, des mesures de protection doivent être définies et appliquées en se basant sur les conclusions d’une analyse de risques. L’analyse de risques conduit à la désignation des briques essentielles dont il faut assurer la protection contre des actes malveillants. Un système de gestion de la sécurité du SI de sûreté (s’inspirant de la norme ISO 27001) assure le maintien en condition de sécurité. L’emploi de produits labellisés, quand ils existent, est fortement recommandé.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/PHY-CI-CLIM_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-CI-CLIM | [GRC] - Climatisation", 3 | "description": "Un dispositif de climatisation dimensionné en fonction des besoins énergétiques du système informatique doit être installé. Des procédures de réaction en cas de panne, connues du personnel, doivent être élaborées et vérifiées annuellement. Ces dispositions visent à prévenir toute surchauffe des équipements, pouvant engendrer une perte du service voire une détérioration du matériel.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/PHY-CI-CTRLACC_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-CI-CTRLACC | [GRC] - Contrôle d’accès physique", 3 | "description": "L’accès aux zones internes (autorisées uniquement au personnel du centre informatique ou aux visiteurs accompagnés) et restreintes (autorisées aux seules personnes habilitées ou aux visiteurs accompagnés) doit reposer sur un dispositif de contrôle d’accès physique. Ce dispositif doit s’appuyer sur des produits qualifiés, lorsqu’ils sont disponibles, et bénéficier d’un maintien en condition de sécurité rigoureux.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/PHY-CI-ENERGIE_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-CI-ENERGIE | [GRC] - Local énergie", 3 | "description": "L’alimentation secteur des équipements devra être conforme aux règles de l’art, de façon à se prémunir des atteintes à la sécurité des personnes et équipements liées à un défaut électrique.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/PHY-CI-HEBERG_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-CI-HEBERG | [GRC] - Convention de service en cas d’hébergement tiers", 3 | "description": "Dans le cas où un tiers gère tout ou partie des locaux du centre informatique, une convention de service, définissant les responsabilités mutuelles en matière de sécurité, doit être établie entre ce tiers et l’entité ou le ministère.", 4 | "testingInformation": "1. Mesures déployées par AWS récupérées et validées.\n2. Modèle de responsabilité partagé intégré et validé.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/PHY-CI-INC_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-CI-INC | [GRC] - Lutte contre l’incendie", 3 | "description": "L’installation de matériel de protection contre le feu est obligatoire. Des procédures de réaction à un incendie sont définies et régulièrement testées. Les salles techniques doivent être propres. Aucun carton, papier, ou autre source potentielle de départ de feu ne doit être entreposé dans ces locaux.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/PHY-CI-LOC_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-ZONES | [GRC] - Découpage des locaux en zones de sécurité", 3 | "description": "Un découpage du centre informatique en zones physiques de sécurité doit être effectué, en liaison avec le RSSI et les services en charge de l’immobilier, de la sécurité et des moyens généraux. Des règles doivent fixer les conditions d’accès à ces différentes zones.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/PHY-CI-MOYENS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-CI-CTRLACC | [GRC] - Délivrance des moyens d’accès physique", 3 | "description": "La délivrance des moyens d’accès physique doit respecter un processus formel permettant de s’assurer de l’identité de la personne, s’appuyant sur le processus d’arrivée et de départ du personnel. Le personnel autre que celui explicitement autorisé et habilité, mais néanmoins appelé à intervenir dans les zones sensibles (entretien ou réparation des bâtiments, des équipements non informatiques, nettoyage, visiteurs, ...), intervient systématiquement et impérativement sous surveillance permanente.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/PHY-CI-TRACE_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-CI-TRACE | [GRC] - Traçabilité des accès", 3 | "description": "Une traçabilité des accès, par les visiteurs externes, aux zones restreintes doit être mise en place. Ces traces sont alors conservées un an, dans le respect des textes protégeant les données personnelles.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/PHY-CTRL_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-CTRL | [GRC] - Contrôles anti-piégeages", 3 | "description": "Sur les SI particulièrement sensibles, il convient de mener des contrôles anti-piégeages réguliers, effectués par du personnel formé. Il peut être fait appel à des services spécialisés (opérations dites de « dépoussiérage »).", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/PHY-PUBL_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-PUBL | [TECH/GRC] - Protection des informations sensibles au sein des zones d’accueil", 3 | "description": "Le traitement d’informations sensibles au sein des zones d’accueil est à éviter. Si un tel traitement est strictement nécessaire, il doit rester ponctuel et exceptionnel. Des mesures particulières sont alors adoptées, notamment en matière de protection audiovisuelle, ainsi qu’en matière de protection des informations stockées sur les supports.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | "tags": { 8 | "TagKey": "aws-pssie" 9 | }, 10 | "controlMappingSources": [{ 11 | "sourceName": "Cloud engineer | Governance risk and compliance", 12 | "sourceType": "MANUAL", 13 | "sourceSetUpOption": "Procedural_Controls_Mapping" 14 | }] 15 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/PHY-TECH_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-TECH | [GRC] - Sécurité physique des locaux techniques", 3 | "description": "L’accès aux locaux techniques abritant des équipements d’alimentation et de distribution d’énergie, ou des équipements de réseau et de téléphonie, doit être physiquement protégé.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/PHY-TELECOM_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-TELECOM | [GRC] - Sécurité physique des locaux techniques", 3 | "description": "L’accès aux locaux techniques abritant des équipements d’alimentation et de distribution d’énergie, ou des équipements de réseau et de téléphonie, doit être physiquement protégé.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/PHY-ZONES_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-ZONES | [GRC] - Découpage des sites en zones de sécurité", 3 | "description": "Un découpage des sites en zones physiques de sécurité doit être effectué, en liaison avec le RSSI, les correspondants locaux SSI et les services en charge : de l’immobilier, de la sécurité et des moyens généraux. Pour chaque zone de sécurité, des critères précis d’autorisation d’accès sont établis.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-Physique_control_set/PHY_CI-EAU_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PHY-CI-CLIM | [GRC] - Lutte contre les voies d’eau", 3 | "description": "Une étude sur les risques dus aux voies d’eau doit être réalisée. Cette étude doit notamment prendre en compte le risque de fuite sur un collecteur d’eau douce.", 4 | "testingInformation": "Mesures déployées par AWS récupérées et validées.", 5 | "actionPlanInstructions": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 6 | "actionPlanTitle": "Récupération et évaluation des mesures déployées par AWS depuis les rapports d'audit disponibles depuis AWS Artifact.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-développement-des-systèmes_control_set/DEV-FILT-APPL_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "DEV-FILT-APPL | [TECH] - Mettre en œuvre des fonctionnalités de filtrage applicatif pour les applications à risque", 3 | "description": "Devant les applications à risques, il est recommandé de faire usage d’une solution tierce de filtrage applicatif.", 4 | "testingInformation": "Les applications sont protégées par une solution de filtrage applicatif.", 5 | "actionPlanInstructions": "Utilisation d'AWS WAF comme solution de filtrage applicatif.", 6 | "actionPlanTitle": "Absence de solution de filtrage applicatif protégeant les applications.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-développement-des-systèmes_control_set/DEV-FUITES_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "DEV-FUITES | [TECH] - Limiter les fuites d’information", 3 | "description": "Les fuites d’informations techniques sur les logiciels utilisés permettent aux attaquants de déceler plus facilement d’éventuelles vulnérabilités. Il est impératif de limiter fortement la diffusion d’informations au sujet des produits utilisés, même si cette précaution ne constitue pas une protection en tant que telle.", 4 | "testingInformation": "Les configurations des ressources en production limites les informations données dans leurs réponses et possibles messages d'erreur.", 5 | "actionPlanInstructions": "Formalisation et application des clauses standards devant être appliquées aux contrat de sous-traitance des développements informatiques.", 6 | "actionPlanTitle": "Absence de déploiement de configurations minimisant les informations retournés par les ressources en production.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-développement-des-systèmes_control_set/DEV-LOG-CRIT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "DEV-LOG-CRIT | [GRC] - Instaurer des critères de développement sécurisé", 3 | "description": "Une fois passées les phases de définition des besoins et de conception de l’architecture applicative, le niveau de sécurité d’une application dépend fortement des modalités pratiques suivies lors de sa phase de développement.", 4 | "testingInformation": "Formalisation et application des principes et pratiques de sécurité appliqués aux développements.", 5 | "actionPlanInstructions": "Formalisation et application des principes et pratiques de sécurité appliqués aux développements.", 6 | "actionPlanTitle": "Absence de formalisation et d'application des principes et pratiques de sécurité applicables aux développements.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-développement-des-systèmes_control_set/DEV-LOG-CYCLE_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "DEV-LOG-CYCLE | [GRC] - Intégrer la sécurité dans le cycle de vie logiciel", 3 | "description": "La sécurité doit être intégrée à toutes les étapes du cycle de vie du projet, depuis l’expression des besoins jusqu’à la maintenance applicative, en passant par la rédaction du cahier des charges et les phases de recette.", 4 | "testingInformation": "Formalisation et application d'une démarche de sécurité couvrant le cycle de vie des applications et services.", 5 | "actionPlanInstructions": "Formalisation et application d'une démarche couvrant le cycle de vie des applications et services.", 6 | "actionPlanTitle": "Absence de formalisation et d'application d'une démarche couvrant le cycle de vie des applications et services.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-développement-des-systèmes_control_set/DEV-LOG-PASS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "DEV-LOG-PASS | [TECH] - Calculer les empreintes de mots de passe de manière sécurisée", 3 | "description": "Lorsqu’une application doit stocker les mots de passe de ses utilisateurs, il est important de mettre en œuvre des mesures permettant de se prémunir contre les attaques documentées : attaques par dictionnaire, attaques par tables arc-en-ciel, attaques par force brute, etc.", 4 | "testingInformation": "Les mots de passe des utilisateurs d'application sont stokés et gérés dans des configurations sécurisées.", 5 | "actionPlanInstructions": "Utilisation d'Amazon Cognito comme mécanisme d'authentification.", 6 | "actionPlanTitle": "Absence d'utilisation de configurations sécurisées lors de l'enregistrement et de la gestion des mots de passe utilisateur.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-développement-des-systèmes_control_set/DEV-LOG-WEB_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "DEV-LOG-WEB | [TECH] - Améliorer la prise en compte de la sécurité dans les développements Web", 3 | "description": "Les développements Web (et les développements en PHP en particulier) font l’objet de problèmes de sécurité récurrents qui ont conduit à la constitution de référentiels de sécurité. Ces référentiels ont pour objectif de fixer des REGLES DE BONNES PRATIQUES à l’usage des développeurs. Ce sont des règles d’ordre générique ou pouvant être spécifiques à un langage (PHP, ASP, NET, etc.).", 4 | "testingInformation": "Les développements Web font l'objet de l'application d'automatismes et de guides de sécurité.", 5 | "actionPlanInstructions": "Application d'automatismes et de guides de sécurité pour les développements Web.", 6 | "actionPlanTitle": "Absence d'automatismes et d'application de guides de sécurité pour les développements Web.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-développement-des-systèmes_control_set/DEV-SOUS-TRAIT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "DEV-SOUS-TRAIT | [LEGAL] - Intégrer des clauses SSI dans les contrats de sous-traitance de développement informatique", 3 | "description": "Lors de l’écriture d’un contrat de sous-traitance de développement, plusieurs clauses relatives à la SSI doivent être intégrées [...] visant la formation des équipes, l'utilisation d'outils et de mécanismes pour minimiser les erreurs, la production de documentation technique, le respeects des normes et des meilleures pratiques, l'obligation de correction.", 4 | "testingInformation": "Les contrats de sous-traitance de développement prennent en compte la dimenssion SSI dans sa globalité.", 5 | "actionPlanInstructions": "Formalisation et application des clauses standards devant être appliquées aux contrat de sous-traitance des développements informatiques.", 6 | "actionPlanTitle": "Absence de clauses contractuelles précisant les dispositions SSI applicables aux développements informatiques.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Legal", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-ADM-LOCAL_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-ADM-LOCAL | [TECH] - Gestion du compte « administrateur local »", 3 | "description": "L’accès au compte « administrateur local » sur les postes de travail doit être strictement limité aux équipes en charge de l’exploitation et du support sur ces postes de travail.", 4 | "testingInformation": "Les accès au compte 'administrateur local' sont à l'usage exclusif des équipes en charge de l'exploitation.", 5 | "actionPlanInstructions": "Réservation des accès au compte 'administrateur local' à l'équipe en charge de l'exploitation.", 6 | "actionPlanTitle": "Absence de restriction dans l'utilisation du compte 'administrateur local'.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-AMOV_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-AMOV | [TECH] - Fourniture de supports de stockage amovibles", 3 | "description": "Les supports de stockage amovibles (clés USB et disque durs externes, notamment) doivent être fournis aux utilisateurs par l’équipe locale chargée des SI.", 4 | "testingInformation": "Les supports de stockage amovibles sont fournis par l'équipe locale de l'entité.", 5 | "actionPlanInstructions": "Achat, distribution et contrôle de l'utilisation des supports de stockage amovibles.", 6 | "actionPlanTitle": "Absence de supports de stockage amovibles fournis par l'entité.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-CHIFF-SENS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-CHIFF-SENS | [TECH] - Chiffrement des données sensibles", 3 | "description": "Une solution de chiffrement labellisée doit être mise à disposition des utilisateurs et des administrateurs afin de chiffrer les données sensibles stockées sur les postes de travail, les serveurs, les espaces de travail, ou les supports amovibles.", 4 | "testingInformation": "Les données identifiées comme sensibles font l'objet d'un chiffrement sur les postes de travail et espaces partagés.", 5 | "actionPlanInstructions": "Chiffrement des volumes et espaces avec AWS KMS ou AWS CloudHSM", 6 | "actionPlanTitle": "Absence de chiffrement des données sensibles.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-CONF-VERIF_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-CONF-VERIF | [TECH] - Utiliser des outils de vérification automatique de la conformité", 3 | "description": "Un outil de vérification régulière de la conformité des éléments de configuration des postes de travail doit être mis en place, afin d’éviter une dérive dans le temps de ces éléments de configuration.", 4 | "testingInformation": "Un outil de vérification de la conformité des configurations déployées sur les postes de travail est actif.", 5 | "actionPlanInstructions": "Déploiement d'un outil permettant la vérification des configurations déployées sur les postes de travail.", 6 | "actionPlanTitle": "Absence d'un outil permettant la vérification automatique et régulière des configurations déployées sur les postes de travail.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-CONFIG_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-CONFIG | [GRC] - Formalisation de la configuration des postes des travail", 3 | "description": "Une procédure formalisée de configuration des postes de travail est établie par chaque entité, conformément aux directives nationales existantes.", 4 | "testingInformation": "Une procédure visant la configuration des postes de travail de l'entité est formalisée et appliquée.", 5 | "actionPlanInstructions": "Formalisation et application d'une procédure de configuration des postes de travail de l'entité.", 6 | "actionPlanTitle": "Absence de formalisation et d'application d'une procédure visant la configuration des postes de travail.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-GEST_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-GEST | [TECH] - Fourniture et gestion des postes des travail", 3 | "description": "Les postes de travail utilisés dans le cadre professionnel sont fournis et gérés par l’équipe locale chargée des SI.", 4 | "testingInformation": "Les postes de travail professionnels sont fournis et gérés par l'entité.", 5 | "actionPlanInstructions": "Gestion des postes de travail par l'entité.", 6 | "actionPlanTitle": "Les postes de travails professionnels ne sont pas fournis ni gérés par l'entité.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-MUL-SECNUM_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-MUL-SECNUM | [GRC/TECH] - Sécurisation de la fonction de numérisation", 3 | "description": "Lorsqu’elle est activée, la fonction de numérisation sur les copieurs multifonctions hébergés dans une entité doit être sécurisée. Les mesures de sécurité suivantes doivent notamment être appliquées : envoi de documents uniquement à destination d’une adresse de messagerie interne à l’entité, envoi uniquement à une seule adresse de messagerie.", 4 | "testingInformation": "La fonction de numérisation des copieurs multifonctions fait l'objet d'un durcissement selon une procédure formalisée.", 5 | "actionPlanInstructions": "Formalisation et application des configurations de sécurité à appliquer à la fonction de numérisation des copieurs multifonctions.", 6 | "actionPlanTitle": "Absence de formalisation et d'application du durcissement de la fonction de numérisation des copieurs multifonctions.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-NOMAD-ACCESS_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-NOMAD-ACCESS | [TECH] - Accès à distance aux Systèmes d’Information de l’entité", 3 | "description": "Les accès à distance aux SI de l’entité (accès dits « nomades ») doivent être réalisés via les infrastructures nationales. Lorsque l’accès à distance utilise d’autres infrastructures, l’usage de réseaux privés virtuels (VPN) de confiance est nécessaire.", 4 | "testingInformation": "Les accès à distance aux SI de l'entité se font via des canaux sécurisés.", 5 | "actionPlanInstructions": "Utilisation d'AWS Client VPN.", 6 | "actionPlanTitle": "Absence de canaux sécurisés permettant l'accès à distance aux SI de l'entité.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-NOMAD-CONNEX_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-NOMAD-CONNEX | [TECH] - Configuration des interfaces de connexion sans fil", 3 | "description": "La configuration des interfaces de connexion sans fil doit interdire les usages dangereux de ces interfaces.", 4 | "testingInformation": "La configuration des interfaces de connexion sans fil interdit les usages dangereux de ces interfaces.", 5 | "actionPlanInstructions": "Durcissement des interfaces de connexion sans fil des postes nomades.", 6 | "actionPlanTitle": "Absence de durcissement des configurations des interfaces de connexion sans fil.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-NOMAD-DESACTIV_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-NOMAD-DESACTIV | [GRC/TECH] - Désactivation des interfaces de connexion sans fil", 3 | "description": "Des règles de configuration des interfaces de connexion sans fil (Wifi, Bluetooth, 3G...), permettant d’interdire les usages non maîtrisés et d’éviter les intrusions via ces interfaces, doivent être définies et appliquées. Les interfaces sans fil ne doivent être activées qu’en cas de besoin.", 4 | "testingInformation": "Les règles de configuration des interfaces de connexions sans fil sont formalisées et appliquées.", 5 | "actionPlanInstructions": "Formalisation et application des règles de configuration des interfaces de connexion sans fil des postes nomades.", 6 | "actionPlanTitle": "Absence de formalisation et d'application des règles de configuration des interfaces de connexion sans fil des postes nomades.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-NOMAD-FILT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-NOMAD-FILT | [TECH] - Filtre de confidentialité", 3 | "description": "Pour les postes de travail nomades manipulant des données sensibles, un filtre de confidentialité doit être fourni et être positionné sur l’écran dès lors que le poste est utilisé en dehors de l’entité.", 4 | "testingInformation": "La délivrance d'un poste de travail nomade est accompagné d'un filtre de confidentialité.", 5 | "actionPlanInstructions": "Délivrance d'un filtre de confidentialité avec un poste de travail nomade.", 6 | "actionPlanTitle": "Absence de délivrance d'un filtre de confidentialité avec un poste de travail nomade.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-NOMAD-PAREFEU_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-NOMAD-PAREFEU | [TECH] - Pare-feu local", 3 | "description": "Un pare-feu local conforme aux directives nationales doit être installé sur les postes nomades.", 4 | "testingInformation": "Une pare-feu local, conforme aux directives nationales est installé sur les postes nomades.", 5 | "actionPlanInstructions": "Installation d'un pare-feu local, conforme aux directives nationales sur les postes nomades.", 6 | "actionPlanTitle": "Absence pare-feu local, conforme aux directives nationales sur les postes nomades.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-NOMAD-STOCK _sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-NOMAD-PAREFEU | [GRC/TECH] - Stockage local d’information sur les postes nomades", 3 | "description": "Le stockage local d’information sur les postes de travail nomades doit être limité au strict nécessaire. Les informations sensibles doivent être obligatoirement chiffrées par un moyen de chiffrement labellisé.", 4 | "testingInformation": "Le stockage d'information sur les postes de travail nomades est limité et des solutions de chiffrements sont disponibles afin de chiffrer les informations sensibles.", 5 | "actionPlanInstructions": "1. Contrôle et sensibilisation du stockage de données sensible sur un poste portables.\n2. Proposition de solution de chiffrement pour les données sensibles.", 6 | "actionPlanTitle": "Absence de contrôle et de sensibilisation au stockage des données sur les postes portables. Absence de solution de chiffrement disponible pour les données sensibles.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-PART-FIC_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-PART-FIC | [TECH] - Partage de fichiers", 3 | "description": "Le partage de répertoires ou de données hébergées localement sur les postes de travail n’est pas autorisé.", 4 | "testingInformation": "Blocage de la fonctionnalité de partage de fichier sur les postes utilisateurs.", 5 | "actionPlanInstructions": "Configuration des postes utilisateurs afin de bloquer la fonctionnalité de partage de fichier.", 6 | "actionPlanTitle": "Absence de blocage de la fonctionalité de partage de fichier sur les postes utilisateurs.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-PRIVIL_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-PRIVIL | [TECH] - Privilèges des utilisateurs sur les postes de travail", 3 | "description": "La gestion des privilèges des utilisateurs sur leurs postes de travail doit suivre le principe du « moindre privilège » : chaque utilisateur ne doit disposer que des privilèges nécessaires à la conduite des actions relevant de sa mission.", 4 | "testingInformation": "Les profils utilisateurs des postes de travail font l'objet de permissions suivant le principe du 'moindre privilège'.", 5 | "actionPlanInstructions": "Application du principe du 'moindre privilège' aux postes de travail.", 6 | "actionPlanTitle": "Absence d'application du principe du 'moindre privilège' aux profils utilisateurs des postes de travail.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-PRIV_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-PRIV | [GRC] - Utilisation des privilèges d’accès « administrateur »", 3 | "description": "Les privilèges d’accès «administrateur» doivent être utilisés uniquement pour les actions d’administration le nécessitant.", 4 | "testingInformation": "Les privilèges 'administrateur' ne sont utilisées dans des cadres précis.", 5 | "actionPlanInstructions": "Formalisation et application de l'utilisation des privilèges 'administrateur'.", 6 | "actionPlanTitle": "Absence d'encadrement de l'utilisation des privilèges et sessions 'administrateur'.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-REAFFECT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-REAFFECT | [GRC] - Réaffectation du poste de travail", 3 | "description": "Une procédure SSI définit les règles concernant le traitement à appliquer aux informations ayant été stockées ou manipulées sur les postes réaffectés.", 4 | "testingInformation": "Une procédure précisant les aspects de sécurité concernant le reconditionnement des postes est formalisée et appliquée.", 5 | "actionPlanInstructions": "Formalisation et application d'une procédure pour la réaffectation des postes.", 6 | "actionPlanTitle": "Absence de procédure précisant les disposisions de sécurité pour la réaffectation des postes.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-SAUV-LOC_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-SAUV-LOC | [TECH] - Sauvegarde / synchronisation des données locales", 3 | "description": "Dans le cas où des données doivent être stockées en local sur le poste de travail, des moyens de synchronisation ou de sauvegarde doivent être fournis aux utilisateurs.", 4 | "testingInformation": "Outils de sauvegarde et de synchronisation en place.", 5 | "actionPlanInstructions": "1. Utilisation d'Amazon Workdocs sur les postes utilisateur.\n2. Utilisation de volumes et espaces via Amazon S3 et Amazon EFS.\n3. Utilisation d'AWS Backup et des mécanismes de récplication afin de créer les sauvegardes.", 6 | "actionPlanTitle": "Absence de déploiement d'une solution de stockage cloud.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-STOCK _sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-STOCK | [TECH] - Stockage des informations", 3 | "description": "Dans la mesure du possible, les données traitées par les utilisateurs doivent être stockées sur des espaces réseau, eux-mêmes sauvegardés selon les exigences des entités et en accord avec les règles de sécurité en vigueur.", 4 | "testingInformation": "Les données traitées par les utilisateurs sont stockées sur des espaces réseaux faisant l'objet de mesures de sécurité adapté.", 5 | "actionPlanInstructions": "1. Utilisation d'Amazon Workdocs sur les postes utilisateur.\n2. Utilisation de volumes et espaces via Amazon S3 et Amazon EFS.\n3. Utilisation d'AWS Backup et des mécanismes de récplication afin de créer les sauvegardes.", 6 | "actionPlanTitle": "Absence de stockage des données traitées sur des espaces réseau adaptés.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-SUPPR-PART_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-PART-FIC | [GRC/TECH] - Suppression des données sur les postes partagés", 3 | "description": "Les données présentes sur les postes partagés (portable de prêt, par exemple) doivent être supprimées entre deux utilisations, dès lors que les utilisateurs ne disposent pas du même besoin d’en connaître.", 4 | "testingInformation": "Une procédure précisant les actions de reconditionnement des postes partagés est formalisée et appliquée.", 5 | "actionPlanInstructions": "Formalisation et application d'une procédure de reconditionnement des postes partagés entre deux utilisations.", 6 | "actionPlanTitle": "Absence de procédure précisant les actions de reconditionnement des postes partagés entre deux utilisations.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-TEL-CODES_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-TEL-CODES | [GRC] - Codes d’accès téléphoniques", 3 | "description": "Il est nécessaire de sensibiliser les utilisateurs au besoin de modifier le code d’accès de leur téléphone et de leur messagerie vocale.", 4 | "testingInformation": "Les utilisateurs sont sensibilisés à la configuration de leurs comptes et appareils.", 5 | "actionPlanInstructions": "Sensibilisation des utilisateurs à la bonne configuration de leurs comptes et appareils.", 6 | "actionPlanTitle": "Absence de sensibilisation des utilisateurs à la configuration de leurs comptes et appareils.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-TEL-DECT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-TEL-DECT | [GRC] - Limiter l’utilisation du DECT", 3 | "description": "Les communications réalisées au travers du protocole DECT sont susceptibles d’être interceptées, même si les mécanismes d’authentification et de chiffrement que propose ce protocole sont activés. Il est recommandé d’attribuer des postes téléphoniques filaires aux utilisateurs dont les échanges sont les plus sensibles.", 4 | "testingInformation": "Les communications téléphoniques (y compris VOIP) utilisent des protocoles sécurisés.", 5 | "actionPlanInstructions": "Utilisation des protocoles sécurisés pour les communications téléphoniques.", 6 | "actionPlanTitle": "Absence d'utilisation des protocoles sécurisés pour les communications téléphoniques.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-VEROUIL-FIXE_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-VEROUIL-FIXE | [TECH] - Verrouillage de l’unité centrale des postes fixes", 3 | "description": "Lorsque l’unité centrale d’un poste fixe est peu volumineuse, donc susceptible d’être facilement emportée, elle doit être protégée contre le vol par un système d’attache (par exemple un câble antivol).", 4 | "testingInformation": "Lorque les unités centrales sont peu volumineuses, elles font l'objet de mesures de protection contre le vol.", 5 | "actionPlanInstructions": "Application de mesures anti-vol sur les unités centrales peu volumineuses.", 6 | "actionPlanTitle": "Absence de mesures de protection contre le vol sur les unités centrales peu volumineuses.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Sécurité-du-poste-de-travail_control_set/PDT-VEROUIL-PORT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "PDT-VEROUIL-PORT | [TECH] - Verrouillage des postes portables", 3 | "description": "Un câble physique de sécurité doit être fourni avec chaque poste portable. Les utilisateurs doivent être sensibilisés à son utilisation.", 4 | "testingInformation": "Un câble physique de sécurité est fourni avec chaque poste portable et les utilisateurs font l'objet d'une sensibilisation à son utilisation.", 5 | "actionPlanInstructions": "1. Délivrance d'un câble de sécurité avec un poste portable.\n2. Sensibilisation des utilisateurs.", 6 | "actionPlanTitle": "Absence de délivrance d'un câble physique associée à un poste portable et absence de sensibilisation des utilisateurs.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Traitement-des-incidents_control_set/TI-INC-REM_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "TI-INC-REM | [GRC] - Remontée des incidents", 3 | "description": "Tout incident de sécurité, même apparemment mineur, dont l’impact dépasse ou est susceptible de dépasser le SI d’une entité ou d’un ministère, fait l’objet d’un compte-rendu, via la chaîne SSI, au Centre opérationnel de la sécurité des systèmes d’information (COSSI) de l’ANSSI. [...]", 4 | "testingInformation": "Les incidents de sécurité présentant un impact dépassant le SI d'une entité font l'objet d'un rapport et d'une escalade vers la chaîne SSI puis vers le COSSI de l'ANSSI.", 5 | "actionPlanInstructions": "Formalisation et application de la remontée des incidents de sécurité vers la chaîne SSI puis vers le COSSI.", 6 | "actionPlanTitle": "Absence de remonté des incidents de sécurité à l'impact dépassant le SI de l'entité vers la chaîne SSI puis vers le COSSI.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Traitement-des-incidents_control_set/TI-MOB_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "TI-MOB | [GRC] - Mobilisation en cas d’alerte", 3 | "description": "En cas d’alerte de sécurité identifiée au niveau national, les RSSI de chaque entité s’assurent de la bonne application des exigences formulées par les instances nationales, dans les meilleurs délais.", 4 | "testingInformation": "Le RSSI est identifié comme le pilote de la réponse aux alertes de sécurité de niveau national.", 5 | "actionPlanInstructions": "Identification du RSSI comme le pilote des actions de réponse à incident lors d'évènements de sécurité de niveau national.", 6 | "actionPlanTitle": "Absence d'identification du RSSI comme le pilote des actions de réponse à incident lors d'évènements de sécurité de niveau national.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/Traitement-des-incidents_control_set/TI-QUAL-TRAIT_sec_control.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "TI-QUAL-TRAIT | [GRC/TECH] - Qualification et traitement des incidents", 3 | "description": "La chaîne fonctionnelle SSI est informée par la chaîne opérationnelle de tout incident de sécurité, et contribue si nécessaire à la qualification de l’incident et au pilotage de son traitement.", 4 | "testingInformation": "Des automatismes sont en place afin de notifier la chaîne de sécurité en cas d'incident de sécurité.", 5 | "actionPlanInstructions": "1. Automatisation de la notification de la chaîne fonctionelle SSI en cas d'évènement de sécurité.\n2. Mise en place d'un système de notification avec AWS SNS depuis les entrées provenant d'AWS Security Hub, Amazon GuardDuty, Amazon Macie et AWS Config.", 6 | "actionPlanTitle": "Absence d'automatismes visant la notification de la chaîne fonctionelle SSI en cas d'évènement de sécurité.", 7 | 8 | "tags": { 9 | "TagKey": "aws-pssie" 10 | }, 11 | "controlMappingSources": [{ 12 | "sourceName": "Governance risk and compliance | Cloud engineer", 13 | "sourceType": "MANUAL", 14 | "sourceSetUpOption": "Procedural_Controls_Mapping" 15 | }] 16 | } -------------------------------------------------------------------------------- /data/France/PSSIE/custom_framework.json: -------------------------------------------------------------------------------- 1 | { 2 | "name": "AWS PSSI-E", 3 | "complianceType": "Politique de Sécurité des Systèmes d'information de l'Etat", 4 | "description": "Essentiels à l’action publique, les systèmes d’information sont porteurs d’efficacité, mais aussi de risques : menaces d’exfiltration de données confidentielles, d’atteinte à la vie privée des usagers, voire de sabotage des systèmes d’information. Afin de prendre en compte ces risques, le Premier ministre a défini une politique volontariste, mais également pragmatique par laquelle l’État affiche sa volonté de se montrer exemplaire en matière de cybersécurité.La PSSIE s’inscrit dans le cadre des mesures annoncées en Conseil des ministres le 25 mai 2011 pour faire face à la montée des cyber-attaques. La première version a été publiée par circulaire le 17 juillet 2014.\nSource : https://www.ssi.gouv.fr/entreprise/reglementation/protection-des-systemes-dinformations/la-politique-de-securite-des-systemes-dinformation-de-letat-pssie/" 5 | } -------------------------------------------------------------------------------- /img/aws-shared-responsibility.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/aws-samples/audit-manager-custom-security-frameworks/f5b1cfc7f7036fc4ce98af96f1a2750a25a04116/img/aws-shared-responsibility.png -------------------------------------------------------------------------------- /img/hds/hds-cli-deployment.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/aws-samples/audit-manager-custom-security-frameworks/f5b1cfc7f7036fc4ce98af96f1a2750a25a04116/img/hds/hds-cli-deployment.png -------------------------------------------------------------------------------- /img/hds/hds-cli-supression.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/aws-samples/audit-manager-custom-security-frameworks/f5b1cfc7f7036fc4ce98af96f1a2750a25a04116/img/hds/hds-cli-supression.png -------------------------------------------------------------------------------- /img/hds/hds-console-view-1.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/aws-samples/audit-manager-custom-security-frameworks/f5b1cfc7f7036fc4ce98af96f1a2750a25a04116/img/hds/hds-console-view-1.png -------------------------------------------------------------------------------- /img/hds/hds-console-view-2.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/aws-samples/audit-manager-custom-security-frameworks/f5b1cfc7f7036fc4ce98af96f1a2750a25a04116/img/hds/hds-console-view-2.png -------------------------------------------------------------------------------- /img/pssie/pssie-cli-deployment.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/aws-samples/audit-manager-custom-security-frameworks/f5b1cfc7f7036fc4ce98af96f1a2750a25a04116/img/pssie/pssie-cli-deployment.png -------------------------------------------------------------------------------- /img/pssie/pssie-cli-supression.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/aws-samples/audit-manager-custom-security-frameworks/f5b1cfc7f7036fc4ce98af96f1a2750a25a04116/img/pssie/pssie-cli-supression.png -------------------------------------------------------------------------------- /img/pssie/pssie-console-view-1.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/aws-samples/audit-manager-custom-security-frameworks/f5b1cfc7f7036fc4ce98af96f1a2750a25a04116/img/pssie/pssie-console-view-1.png -------------------------------------------------------------------------------- /img/pssie/pssie-console-view-2.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/aws-samples/audit-manager-custom-security-frameworks/f5b1cfc7f7036fc4ce98af96f1a2750a25a04116/img/pssie/pssie-console-view-2.png -------------------------------------------------------------------------------- /img/readme/readme-en.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/aws-samples/audit-manager-custom-security-frameworks/f5b1cfc7f7036fc4ce98af96f1a2750a25a04116/img/readme/readme-en.png -------------------------------------------------------------------------------- /img/readme/readme-fr.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/aws-samples/audit-manager-custom-security-frameworks/f5b1cfc7f7036fc4ce98af96f1a2750a25a04116/img/readme/readme-fr.png -------------------------------------------------------------------------------- /model/framework_output-model.json: -------------------------------------------------------------------------------- 1 | { 2 | "security_framework_control_set": [{ 3 | "name": "string | control-set-name", 4 | "controls": [{ 5 | "id": "string | control-id", 6 | "name": "string | control-name | optional" 7 | }] 8 | }], 9 | "framework_id": "string | framework-id", 10 | "framework_name": "string | framework-name | optional" 11 | } -------------------------------------------------------------------------------- /model/sec_assesment_framework-model.json: -------------------------------------------------------------------------------- 1 | { 2 | "controlSets": [ 3 | { 4 | "name": "STRING_VALUE", 5 | "controls": [ 6 | { 7 | "id": "STRING_VALUE" 8 | } 9 | ] 10 | } 11 | ], 12 | "name": "STRING_VALUE", 13 | "complianceType": "STRING_VALUE", 14 | "description": "STRING_VALUE", 15 | "tags": { 16 | "": "STRING_VALUE" 17 | } 18 | } -------------------------------------------------------------------------------- /model/sec_control-model.json: -------------------------------------------------------------------------------- 1 | { 2 | "controlMappingSources": [{ 3 | "sourceDescription": "STRING_VALUE", 4 | "sourceFrequency": "DAILY | WEEKLY | MONTHLY", 5 | "sourceKeyword": { 6 | "keywordInputType": "SELECT_FROM_LIST", 7 | "keywordValue": "STRING_VALUE" 8 | }, 9 | "sourceName": "STRING_VALUE", 10 | "sourceSetUpOption": "System_Controls_Mapping | Procedural_Controls_Mapping", 11 | "sourceType": "AWS_Cloudtrail | AWS_Config | AWS_Security_Hub | AWS_API_Call | MANUAL", 12 | "troubleshootingText": "STRING_VALUE" 13 | }], 14 | "name": "STRING_VALUE", 15 | "actionPlanInstructions": "STRING_VALUE", 16 | "actionPlanTitle": "STRING_VALUE", 17 | "description": "STRING_VALUE", 18 | "tags": { 19 | "": "STRING_VALUE" 20 | }, 21 | "testingInformation": "STRING_VALUE" 22 | } -------------------------------------------------------------------------------- /package.json: -------------------------------------------------------------------------------- 1 | { 2 | "dependencies": { 3 | "aws-sdk": "^2.1354.0", 4 | "chalk": "^4.1.0", 5 | "minimist": "^1.2.6" 6 | } 7 | } 8 | -------------------------------------------------------------------------------- /src/create/create_security_framework.js: -------------------------------------------------------------------------------- 1 | // Dependencies 2 | const logger = require('../logger') 3 | 4 | async function createSecurityFramework(audit_manager, custom_framework, control_set_list, tag){ 5 | let params = { 6 | "name": custom_framework.name, 7 | "complianceType": custom_framework.complianceType, 8 | "description": custom_framework.description, 9 | "controlSets": control_set_list.map((control_set) => {return {"name":control_set.name, "controls":control_set.controls.map((controls) => {return {"id":controls.id}} )}}), 10 | "tags":{"Project_Tags":tag} 11 | } 12 | 13 | let result = await audit_manager.createAssessmentFramework(params).promise() 14 | .then((result) => {logger.log("Created security framework "+result.framework.name+ " of id n* "+result.framework.id); return result}) 15 | .catch((error) => {logger.log(`${custom_framework.name} | ${error}`, 1); return error}) 16 | 17 | return result 18 | } 19 | 20 | module.exports = createSecurityFramework -------------------------------------------------------------------------------- /src/delete/delete_security_control.js: -------------------------------------------------------------------------------- 1 | // Dependencies 2 | const logger = require('../logger') 3 | 4 | async function deleteSecurityControls(audit_manager, control_set){ 5 | let promise_list = [] 6 | control_set.forEach( (control) =>{ 7 | promise_list.push(audit_manager.deleteControl({"controlId":control.id}).promise() 8 | .then((result) => { 9 | logger.log(`Deleting control id n* ${control.id}`) 10 | logger.deleted_security_controls += 1 11 | }) 12 | .catch((error) => { 13 | logger.log(`${control.name} | ${error}`, 1) 14 | })) 15 | }) 16 | 17 | return Promise.all(promise_list) 18 | } 19 | 20 | async function deleteSecurityControlSet(audit_manager, control_set_list){ 21 | promise_list = [] 22 | control_set_list.forEach( (control_set) => { 23 | promise_list.push(deleteSecurityControls(audit_manager, control_set.controls)) 24 | }) 25 | await Promise.all(promise_list) 26 | } 27 | 28 | module.exports.deleteSecurityControlSet = deleteSecurityControlSet 29 | module.exports.deleteSecurityControls = deleteSecurityControls -------------------------------------------------------------------------------- /src/delete/delete_security_framework.js: -------------------------------------------------------------------------------- 1 | // Dependencies 2 | const logger = require('../logger') 3 | 4 | async function deleteSecurityFramework(audit_manager, assessment_framework_id){ 5 | let result = await audit_manager.deleteAssessmentFramework({"frameworkId":assessment_framework_id}).promise().then(logger.log("Deleted framework id n* "+assessment_framework_id)) 6 | } 7 | 8 | module.exports = deleteSecurityFramework --------------------------------------------------------------------------------