From 4e9e13c83214941a97596d992b2781ebd9a4091f Mon Sep 17 00:00:00 2001 From: ImanABS Date: Sat, 18 Jan 2025 03:47:02 +0100 Subject: [PATCH] Add the french version of ccb-cff-2023-03-01 (update 2024) --- .../libraries/ccb-cff-2023-03-01-fr.yaml | 4560 +++++++++++++++++ tools/ccb/ccb-cff-2023-03-01-fr.xlsx | Bin 0 -> 68041 bytes 2 files changed, 4560 insertions(+) create mode 100644 backend/library/libraries/ccb-cff-2023-03-01-fr.yaml create mode 100644 tools/ccb/ccb-cff-2023-03-01-fr.xlsx diff --git a/backend/library/libraries/ccb-cff-2023-03-01-fr.yaml b/backend/library/libraries/ccb-cff-2023-03-01-fr.yaml new file mode 100644 index 000000000..29a55c303 --- /dev/null +++ b/backend/library/libraries/ccb-cff-2023-03-01-fr.yaml @@ -0,0 +1,4560 @@ +urn: urn:intuitem:risk:library:ccb-cff-2023-03-01-fr +locale: fr +ref_id: CCB-CFF-2023-03-01-fr +name: "CCB CyberFundamentals Framework version fran\xE7aise" +description: "Centre For Cybersecurity Belgium - CyberFundamentals Framework version\ + \ fran\xE7aise\nhttps://atwork.safeonweb.be/fr/tools-resources/cyberfundamentals-framework" +copyright: All texts, layouts, designs and other elements of any nature in this document + are subject to copyright law. +version: 1 +provider: CCB +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:ccb-cff-2023-03-01-fr + ref_id: CCB-CFF-2023-03-01-fr + name: "CCB CyberFundamentals Framework version fran\xE7aise" + description: "Centre For Cybersecurity Belgium - CyberFundamentals Framework version\ + \ fran\xE7aise" + min_score: 1 + max_score: 5 + scores_definition: + - score: 1 + name: Initial + description: "Pas de documentation sur le processus ou pas d\u2019approbation\ + \ formelle par la direction. \nIl n\u2019existe pas de processus standard." + - score: 2 + name: "R\xE9p\xE9table" + description: "Il existe une documentation de processus formellement approuv\xE9\ + e, mais elle n\u2019a pas fait l\u2019objet d\u2019un audit au cours des deux\ + \ derni\xE8res ann\xE9es.\nIl existe un processus ad hoc qui se d\xE9roule\ + \ de mani\xE8re informelle." + - score: 3 + name: "D\xE9fini" + description: "Il existe une documentation formellement approuv\xE9e sur les\ + \ processus et les exceptions sont document\xE9es et approuv\xE9es. Les exceptions\ + \ sont document\xE9es et approuv\xE9es dans moins de 5 % des cas.\nUn processus\ + \ formel existe et est mis en \u0153uvre. Des preuves sont disponibles pour\ + \ la plupart des activit\xE9s. Moins de 10 % d\u2019exceptions au processus." + - score: 4 + name: "G\xE9r\xE9" + description: "Il existe une documentation formellement approuv\xE9e sur les\ + \ processus et les exceptions sont document\xE9es et approuv\xE9es. Exceptions\ + \ document\xE9es et approuv\xE9es < 3 % du temps.\nUn processus formel existe\ + \ et est mis en \u0153uvre. Des preuves sont disponibles pour toutes les activit\xE9\ + s. Des mesures d\xE9taill\xE9es du processus sont saisies et communiqu\xE9\ + es. Un objectif minimum est fix\xE9 pour les indicateurs. Moins de 5 % des\ + \ exceptions au processus." + - score: 5 + name: "Optimis\xE9" + description: "Il existe une documentation formellement approuv\xE9e sur les\ + \ processus et les exceptions sont document\xE9es et approuv\xE9es. Exceptions\ + \ document\xE9es et approuv\xE9es < 0,5 % du temps.\nUn processus formel existe\ + \ et est mis en \u0153uvre. Des preuves sont disponibles pour toutes les activit\xE9\ + s. Des mesures d\xE9taill\xE9es du processus sont saisies et communiqu\xE9\ + es. Des objectifs minimaux sont fix\xE9s pour les indicateurs et sont am\xE9\ + lior\xE9s en permanence. Moins de 1 % des exceptions au processus." + implementation_groups_definition: + - ref_id: B + name: basique + description: null + - ref_id: I + name: important + description: null + - ref_id: E + name: essentiel + description: null + - ref_id: BK + name: "basique - mesure cl\xE9" + description: null + - ref_id: IK + name: "important - mesure cl\xE9" + description: null + - ref_id: EK + name: "essentiel - mesure cl\xE9" + description: null + requirement_nodes: + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id + assessable: false + depth: 1 + ref_id: ID + name: IDENTIFIER (ID) + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id + ref_id: ID.AM + name: "Gestion d'actifs\_" + description: "Les donn\xE9es, le personnel, les dispositifs, les syst\xE8mes\ + \ et les installations qui permettent \xE0 l'organisation d'atteindre ses\ + \ objectifs op\xE9rationnels sont identifi\xE9s et g\xE9r\xE9s en fonction\ + \ de leur importance relative par rapport aux objectifs de l'organisation\ + \ et \xE0 sa strat\xE9gie en mati\xE8re de risques." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am + ref_id: ID.AM-1 + description: "Les dispositifs et syst\xE8mes physiques utilis\xE9s dans l'organisation\ + \ sont inventori\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_id.am-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-1 + ref_id: BASIQUE_ID.AM-1.1 + description: "Un inventaire des actifs associ\xE9s aux informations et aux installations\ + \ de traitement de l'information au sein de l'organisation doit \xEAtre document\xE9\ + , examin\xE9 et mis \xE0 jour lorsque des changements surviennent." + annotation: "\u2022 Cet inventaire comprend des ordinateurs fixes et portables,\ + \ des tablettes, des t\xE9l\xE9phones mobiles, des contr\xF4leurs logiques\ + \ programmables (PLC), des capteurs, des actionneurs, des robots, des machines-\ + \ outils, des micrologiciels, des switchs, des routeurs, des alimentations\ + \ et d'autres composants ou dispositifs en r\xE9seau. \n\u2022 Cet inventaire\ + \ doit inclure tous les actifs, qu'ils soient ou non connect\xE9s au r\xE9\ + seau de l'organisation. \n\u2022 L'utilisation d'un outil de gestion des actifs\ + \ informatiques pourrait \xEAtre envisag\xE9e." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.am-1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-1 + ref_id: IMPORTANT_ID.AM-1.2 + description: "L'inventaire des actifs associ\xE9s aux informations et aux installations\ + \ de traitement de l'information doit refl\xE9ter les changements intervenus\ + \ dans le contexte de l'organisation et inclure toutes les informations n\xE9\ + cessaires \xE0 une responsabilisation efficace." + annotation: "\u2022 Les sp\xE9cifications de l'inventaire comprennent par exemple\ + \ le fabricant, le type de dispositif, le mod\xE8le, le num\xE9ro de s\xE9\ + rie, les noms de machine et les adresses de r\xE9seau, l'emplacement physique...\ + \ \n\u2022 La responsabilisation est l\u2019obligation de rendre compte ,\ + \ d'expliquer, de justifier et d'assumer la responsabilit\xE9 de ses actions,\ + \ elle implique la responsabilit\xE9 du r\xE9sultat de la t\xE2che ou du processus.\ + \ \n\u2022 Les changements incluent le d\xE9classement de mat\xE9riel." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.am-1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-1 + ref_id: IMPORTANT_ID.AM-1.3 + description: "Lorsque du mat\xE9riel non autoris\xE9 est d\xE9tect\xE9, il est\ + \ mis en quarantaine pour un \xE9ventuel traitement d'exception, retir\xE9\ + \ ou remplac\xE9, et l'inventaire est mis \xE0 jour en cons\xE9quence." + annotation: "\u2022 Tout mat\xE9riel non pris en charge, sans documentation\ + \ d'exception, est d\xE9sign\xE9 comme non autoris\xE9. \n\u2022 Le mat\xE9\ + riel non autoris\xE9 peut \xEAtre d\xE9tect\xE9 lors de l'inventaire, des\ + \ demandes d'assistance de l'utilisateur ou par d'autres moyens." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-1 + ref_id: ID.AM-1.4 + description: "Les m\xE9canismes permettant de d\xE9tecter la pr\xE9sence de\ + \ composants mat\xE9riels et micrologiciels non autoris\xE9s dans le r\xE9\ + seau de l'organisation doivent \xEAtre identifi\xE9s." + annotation: "\u2022 Lorsque cela est possible et s\xFBr, il convient d\u2019\ + automatiser ces m\xE9canismes. \n\u2022 Il convient d\u2019avoir un process\ + \ pour traiter les actifs non autoris\xE9s sur une base fr\xE9quente ; L'organisation\ + \ peut choisir de retirer l\u2019actif du r\xE9seau, de l'emp\xEAcher de se\ + \ connecter \xE0 distance au r\xE9seau ou de le mettre en quarantaine." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am + ref_id: ID.AM-2 + description: "Les plateformes et applications logicielles utilis\xE9es au sein\ + \ de l'organisation sont inventori\xE9es." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_id.am-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-2 + ref_id: BASIQUE_ID.AM-2.1 + description: "Un inventaire refl\xE9tant les plateformes et les applications\ + \ logicielles utilis\xE9es dans l'organisation doit \xEAtre document\xE9,\ + \ r\xE9vis\xE9 et mis \xE0 jour lorsque des changements surviennent." + annotation: "\u2022 Cet inventaire comprend les programmes logiciels, les plateformes\ + \ logicielles et les bases de donn\xE9es, m\xEAme s'ils sont externalis\xE9\ + s (SaaS). \n\u2022 Il convient que les accords d'externalisation fassent partie\ + \ des accords contractuels avec le fournisseur. \n\u2022 Il convient que les\ + \ informations de l'inventaire comprennent par exemple : le nom, la description,\ + \ la version, le nombre d'utilisateurs, les donn\xE9es trait\xE9es, etc. \n\ + \u2022 Il convient de faire la distinction entre les logiciels non pris en\ + \ charge et les logiciels non autoris\xE9s. \n\u2022 L'utilisation d'un outil\ + \ de gestion des actifs informatiques pourrait \xEAtre envisag\xE9e." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.am-2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-2 + ref_id: IMPORTANT_ID.AM-2.2 + description: "L'inventaire des plates-formes logicielles et des applications\ + \ associ\xE9es \xE0 l'information et au traitement de l'information doit refl\xE9\ + ter l'\xE9volution du contexte de l'organisation et inclure toutes les informations\ + \ n\xE9cessaires \xE0 une responsabilisation efficace." + annotation: "Il convient que l'inventaire des plateformes logicielles et des\ + \ applications comprenne le titre, l'\xE9diteur, la date d'installation/utilisation\ + \ initiale et l'objectif de l'organisation pour chaque entr\xE9e ; le cas\ + \ \xE9ch\xE9ant, il convient d\u2019inclure l\u2019adresse web (URL), le ou\ + \ les magasins d'applications, la ou les versions, le m\xE9canisme de d\xE9\ + ploiement et la date de mise hors service." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.am-2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-2 + ref_id: IMPORTANT_ID.AM-2.3 + description: "Les personnes qui sont responsables de l'administration des plates-formes\ + \ et des applications logicielles au sein de l'organisation et qui doivent\ + \ en rendre compte doivent \xEAtre identifi\xE9es." + annotation: No additional guidance on this topic. + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.am-2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-2 + ref_id: IMPORTANT_ID.AM-2.4 + description: "Lorsqu'un logiciel non autoris\xE9 est d\xE9tect\xE9, il est mis\ + \ en quarantaine en vue d'un \xE9ventuel traitement d'exception, supprim\xE9\ + \ ou remplac\xE9, et l'inventaire est mis \xE0 jour en cons\xE9quence." + annotation: "\u2022 Tout logiciel non pris en charge sans documentation d'exception,\ + \ est d\xE9sign\xE9 comme non autoris\xE9. \n\u2022 Les logiciels non autoris\xE9\ + s peuvent \xEAtre d\xE9tect\xE9s lors de l'inventaire, des demandes d'assistance\ + \ de l'utilisateur ou par d'autres moyens." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-2 + ref_id: ID.AM-2.5 + description: "Les m\xE9canismes permettant de d\xE9tecter la pr\xE9sence de\ + \ logiciels non autoris\xE9s dans l'environnement TIC/OT de l'organisation\ + \ doivent \xEAtre identifi\xE9s." + annotation: "\u2022 Lorsque cela est possible et s\xFBr, il convient d\u2019\ + automatiser ces m\xE9canismes. \n\u2022 Il convient d\u2019avoir un process\ + \ pour traiter les actifs non autoris\xE9s sur une base fr\xE9quente ; L'organisation\ + \ peut choisir de retirer l\u2019actif du r\xE9seau, de l'emp\xEAcher de se\ + \ connecter \xE0 distance au r\xE9seau ou de le mettre en quarantaine." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am + ref_id: ID.AM-3 + description: "La communication organisationnelle et les flux de donn\xE9es sont\ + \ sch\xE9matis\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_id.am-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-3 + ref_id: BASIQUE_ID.AM-3.1 + description: "Les informations que l'organisation stocke et utilise doivent\ + \ \xEAtre identifi\xE9es." + annotation: "\u2022 Commencez par \xE9num\xE9rer tous les types d'informations\ + \ que votre organisation stocke ou utilise. D\xE9finissez le \"type d'information\"\ + \ de toute mani\xE8re utile et logique pour votre organisation. Vous pouvez\ + \ demander \xE0 vos employ\xE9s de dresser une liste de toutes les informations\ + \ qu'ils utilisent dans le cadre de leurs activit\xE9s habituelles. Dressez\ + \ une liste de tout ce \xE0 quoi vous pouvez penser, mais il n'est pas n\xE9\ + cessaire d'\xEAtre trop pr\xE9cis. Par exemple, vous pouvez conserver les\ + \ noms et adresses \xE9lectroniques de vos clients, les re\xE7us de mati\xE8\ + res premi\xE8res, vos informations bancaires ou d'autres informations exclusives.\ + \ \n\u2022 Envisagez de mettre en correspondance ces informations avec les\ + \ actifs associ\xE9s identifi\xE9s dans les inventaires des dispositifs physiques,\ + \ des syst\xE8mes, des plateformes logicielles et des applications utilis\xE9\ + s au sein de l'organisation (voir ID.AM-1 & ID.AM-2)." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.am-3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-3 + ref_id: IMPORTANT_ID.AM-3.2 + description: "Toutes les connexions au sein de l'environnement TIC/OT de l'organisation,\ + \ ainsi qu'\xE0 d'autres plateformes internes \xE0 l'organisation, doivent\ + \ \xEAtre sch\xE9matis\xE9es, document\xE9es, approuv\xE9es et mises \xE0\ + \ jour le cas \xE9ch\xE9ant." + annotation: "\u2022 Les informations relatives \xE0 la connexion comprennent,\ + \ par exemple, les caract\xE9ristiques de l'interface, les caract\xE9ristiques\ + \ des donn\xE9es, les ports, les protocoles, les adresses, la description\ + \ des donn\xE9es, les exigences de s\xE9curit\xE9 et la nature de la connexion.\ + \ \n\u2022 La gestion de la configuration peut \xEAtre utilis\xE9e comme soutien.\ + \ \n\u2022 Il convient que cette documentation ne soit pas stock\xE9e uniquement\ + \ sur le r\xE9seau qu'elle repr\xE9sente. \n\u2022 Envisagez de conserver\ + \ une copie de cette documentation dans un environnement hors ligne s\xFB\ + r (par exemple, disque dur hors ligne, copie papier, ...)." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-3 + ref_id: ID.AM-3.3 + description: "Les flux d'informations/de donn\xE9es dans l'environnement TIC/OT\ + \ de l'organisation, ainsi que vers d'autres syst\xE8mes internes \xE0 l'organisation,\ + \ doivent \xEAtre sch\xE9matis\xE9s, document\xE9s, autoris\xE9s et mis \xE0\ + \ jour lorsque des changements surviennent." + annotation: "\u2022 En connaissant les flux d'informations et de donn\xE9es\ + \ au sein d'un syst\xE8me et entre les syst\xE8mes, il est possible de d\xE9\ + terminer o\xF9 les informations peuvent et ne peuvent pas aller. \n\u2022\ + \ Envisagez de : \no Appliquer des contr\xF4les restreignant les connexions\ + \ aux seules interfaces autoris\xE9es. \no Renforcer l'activit\xE9 de surveillance\ + \ du syst\xE8me chaque fois qu'il y a une indication d'un risque accru pour\ + \ les op\xE9rations et les actifs critiques de l'organisation. \no Prot\xE9\ + ger le syst\xE8me contre les fuites d'informations dues aux \xE9manations\ + \ de signaux \xE9lectromagn\xE9tiques." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am + ref_id: ID.AM-4 + description: " Les syst\xE8mes d'information externes sont catalogu\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.am-4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-4 + ref_id: IMPORTANT_ID.AM-4.1 + description: "L'organisation doit sch\xE9matiser, documenter, autoriser et,\ + \ lorsque des changements surviennent, mettre \xE0 jour, tous les services\ + \ externes et les connexions \xE9tablies avec eux." + annotation: "\u2022\tOutsourcing of systems, software platforms and applications\ + \ used within the organization is covered in ID.AM-1 & ID.AM-2 \n\u2022\t\ + External information systems are systems or components of systems for which\ + \ organizations typically have no direct supervision and authority over the\ + \ application of security requirements and controls, or the determination\ + \ of the effectiveness of implemented controls on those systems i.e., services\ + \ that are run in cloud, SaaS, hosting or other external environments, API\ + \ (Application Programming Interface)\u2026 \n\u2022\tMapping external services\ + \ and the connections made to them and authorizing them in advance avoids\ + \ wasting unnecessary resources investigating a supposedly non-authenticated\ + \ connection to external systems." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-4 + ref_id: ID.AM-4.2 + description: "Le flux d'informations vers/depuis les syst\xE8mes externes doit\ + \ \xEAtre sch\xE9matis\xE9, document\xE9, autoris\xE9 et mis \xE0 jour lorsque\ + \ des changements surviennent." + annotation: "Envisagez d'exiger des fournisseurs de services externes qu'ils\ + \ identifient et documentent les fonctions, ports, protocoles et services\ + \ n\xE9cessaires aux services de connexion." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am + ref_id: ID.AM-5 + description: "Les ressources sont organis\xE9es par ordre de priorit\xE9 en\ + \ fonction de leur classification, de leur criticit\xE9 et de leur valeur\ + \ op\xE9rationnelle." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_id.am-5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-5 + ref_id: BASIQUE_ID.AM-5.1 + description: "Les ressources de l'organisation (mat\xE9riel, dispositifs, donn\xE9\ + es, temps, personnel, informations et logiciels) doivent \xEAtre organis\xE9\ + es par ordre de priorit\xE9 en fonction de leur classification, de leur criticit\xE9\ + \ et de leur valeur op\xE9rationnelle." + annotation: "\u2022 D\xE9terminer les ressources de l'organisation (par exemple,\ + \ le mat\xE9riel, les dispositifs, les donn\xE9es, le temps, le personnel,\ + \ les informations et les logiciels) :\no Qu'arriverait-il \xE0 mon organisation\ + \ si ces ressources \xE9taient rendues publiques, endommag\xE9es, perdues...\ + \ ? \no Qu'arriverait-il \xE0 mon organisation lorsque l'int\xE9grit\xE9 des\ + \ ressources ne serait plus garantie ? \no Que se passerait-il pour mon organisation\ + \ si mes clients ou moi-m\xEAme ne pouvions pas acc\xE9der \xE0 ces ressources\ + \ ? Et organisez ces ressources en fonction de leur classification, de leur\ + \ criticit\xE9 et de leur valeur op\xE9rationnelle. \n\u2022 Il convient que\ + \ les ressources incluent les actifs de l\u2019organisation. \n\u2022 Cr\xE9\ + ez une classification pour les informations sensibles en d\xE9terminant d'abord\ + \ les cat\xE9gories, par ex. \no Public - librement accessible \xE0 tous,\ + \ m\xEAme \xE0 l'ext\xE9rieur. o Interne - accessible uniquement aux membres\ + \ de votre organisation \no Confidentiel - accessible uniquement aux personnes\ + \ dont les fonctions l'exigent. \n\u2022 Communiquer ces cat\xE9gories et\ + \ identifier les types de donn\xE9es qui en font partie (donn\xE9es RH, donn\xE9\ + es financi\xE8res, donn\xE9es juridiques, donn\xE9es personnelles, etc.) \n\ + \u2022 Envisager l'utilisation du protocole de feux de circulation (TLP).\ + \ \n\u2022 Il convient que la classification des donn\xE9es s'applique aux\ + \ trois aspects : C-I-A \n\u2022 Envisagez de mettre en place un outil automatis\xE9\ + , tel qu'un outil de pr\xE9vention des pertes de donn\xE9es (DLP) bas\xE9\ + \ sur l'h\xF4te, pour identifier toutes les donn\xE9es sensibles stock\xE9\ + es, trait\xE9es ou transmises par le biais des actifs de l\u2019organisation,\ + \ y compris ceux situ\xE9s sur place ou chez un fournisseur de services distant." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am + ref_id: ID.AM-6 + description: "Les r\xF4les, responsabilit\xE9s et pouvoirs en mati\xE8re de\ + \ cybers\xE9curit\xE9 pour l'ensemble du personnel et les parties prenantes\ + \ tierces (par exemple, les fournisseurs, les clients, les partenaires) sont\ + \ \xE9tablis." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.am-6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-6 + ref_id: IMPORTANT_ID.AM-6.1 + description: "Les r\xF4les, les responsabilit\xE9s et les pouvoirs en mati\xE8\ + re de s\xE9curit\xE9 de l'information et de cybers\xE9curit\xE9 au sein de\ + \ l'organisation sont document\xE9s, examin\xE9s, autoris\xE9s et mis \xE0\ + \ jour et align\xE9s sur les r\xF4les internes de l'organisation et les partenaires\ + \ externes. - mesure cl\xE9 -" + annotation: "Il convient d'envisager : \n\u2022 D\xE9crire les r\xF4les, les\ + \ responsabilit\xE9s et les autorit\xE9s en mati\xE8re de s\xE9curit\xE9 :\ + \ qui, dans votre organisation, il convient de consulter, informer et tenir\ + \ responsable de tout ou partie de vos actifs. \n\u2022 Fournir les r\xF4\ + les, les responsabilit\xE9s et l'autorit\xE9 en mati\xE8re de s\xE9curit\xE9\ + \ pour toutes les fonctions cl\xE9s de la s\xE9curit\xE9 de l'information/cyber\ + \ (juridique, activit\xE9s de d\xE9tection...). \n\u2022 Inclure les r\xF4\ + les et responsabilit\xE9s en mati\xE8re de s\xE9curit\xE9 de l'information/cybers\xE9\ + curit\xE9 pour les fournisseurs tiers ayant un acc\xE8s physique ou logique\ + \ \xE0 l'environnement TIC/OT de l'organisation." + implementation_groups: + - I + - E + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.am-6 + ref_id: ID.AM-6.2 + description: "L'organisation doit nommer un responsable de la s\xE9curit\xE9\ + \ des informations." + annotation: "Il convient que le responsable de la s\xE9curit\xE9 de l'information\ + \ soit charg\xE9 de surveiller la mise en \u0153uvre de la strat\xE9gie de\ + \ s\xE9curit\xE9 de l'information/cyber et des mesures de protection de l'organisation." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id + ref_id: ID.BE + name: "Environnement op\xE9rationnel" + description: "La mission, les objectifs, les parties prenantes et les activit\xE9\ + s de l'organisation sont compris et class\xE9s par ordre de priorit\xE9 ;\ + \ ces informations sont utilis\xE9es pour d\xE9finir les r\xF4les, les responsabilit\xE9\ + s et les d\xE9cisions en mati\xE8re de gestion des risques li\xE9s \xE0 la\ + \ cybers\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be + ref_id: ID.BE-1 + description: "Le r\xF4le de l'organisation dans la cha\xEEne d'approvisionnement\ + \ est identifi\xE9 et communiqu\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.be-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-1 + ref_id: IMPORTANT_ID.BE-1.1 + description: "Le r\xF4le de l'organisation dans la cha\xEEne d'approvisionnement\ + \ doit \xEAtre identifi\xE9, document\xE9 et communiqu\xE9." + annotation: "\u2022 Il convient que l'organisation soit en mesure d'identifier\ + \ clairement qui se trouve en amont et en aval de l'organisation et quels\ + \ fournisseurs lui apportent des services, des capacit\xE9s, des produits\ + \ et des articles. \u2022 Il convient que l'organisation communique sa position\ + \ \xE0 ses partenaires en amont et en aval afin de comprendre o\xF9 ils se\ + \ situent en termes d'importance critique pour les op\xE9rations de l'organisation." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-1 + ref_id: ID.BE-1.2 + description: "L'organisation doit prot\xE9ger son environnement TIC/OT des menaces\ + \ pesant sur la cha\xEEne d'approvisionnement en appliquant des mesures de\ + \ s\xE9curit\xE9 dans le cadre d'une strat\xE9gie de s\xE9curit\xE9 globale\ + \ document\xE9e." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be + ref_id: ID.BE-2 + description: "La place de l'organisation dans les infrastructures critiques\ + \ et son secteur d'activit\xE9 est identifi\xE9e et communiqu\xE9e." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.be-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-2 + ref_id: IMPORTANT_ID.BE-2.1 + description: "La place de l'organisation dans les infrastructures critiques\ + \ et dans son secteur d'activit\xE9 doit \xEAtre identifi\xE9e et communiqu\xE9\ + e." + annotation: "L'organisation couverte par la l\xE9gislation NIS a la responsabilit\xE9\ + \ de conna\xEEtre les autres organisations du m\xEAme secteur afin de travailler\ + \ avec elles pour atteindre les objectifs fix\xE9s par NIS pour ce secteur\ + \ particulier." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be + ref_id: ID.BE-3 + description: "Les priorit\xE9s de la mission, des objectifs et des activit\xE9\ + s de l'organisation sont \xE9tablies et communiqu\xE9es." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.be-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-3 + ref_id: IMPORTANT_ID.BE-3.1 + description: "Les priorit\xE9s pour les op\xE9rations, les objectifs et les\ + \ activit\xE9s de l'organisation doivent \xEAtre \xE9tablies et communiqu\xE9\ + es." + annotation: "\u2022 Il convient que la mission, les objectifs et les activit\xE9\ + s de l'organisation soient d\xE9termin\xE9s et class\xE9s par ordre de priorit\xE9\ + . \u2022 Il convient que les besoins en mati\xE8re de protection de l'information\ + \ soient d\xE9termin\xE9s, et les processus connexes r\xE9vis\xE9s si n\xE9\ + cessaire, jusqu'\xE0 l'obtention d'un ensemble r\xE9alisable." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be + ref_id: ID.BE-4 + description: "Les d\xE9pendances et les fonctions critiques pour la prestation\ + \ des services critiques sont \xE9tablies." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.be-4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-4 + ref_id: IMPORTANT_ID.BE-4.1 + description: "Les d\xE9pendances et les fonctions essentielles \xE0 la fourniture\ + \ de services critiques doivent \xEAtre identifi\xE9es, document\xE9es et\ + \ class\xE9es par ordre de priorit\xE9 en fonction de leur criticit\xE9 dans\ + \ le cadre du processus d'\xE9valuation des risques." + annotation: "Il convient que les d\xE9pendances et les fonctions essentielles\ + \ \xE0 l'organisation incluent les services de soutien." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be + ref_id: ID.BE-5 + description: "Les exigences en mati\xE8re de r\xE9silience pour soutenir la\ + \ prestation de services essentiels sont \xE9tablies pour tous les \xE9tats\ + \ de fonctionnement (par exemple, en cas de contrainte/attaque, pendant le\ + \ r\xE9tablissement, les op\xE9rations normales)." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.be-5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-5 + ref_id: IMPORTANT_ID.BE-5.1 + description: "Pour soutenir la cyber-r\xE9silience et s\xE9curiser la prestation\ + \ de services essentiels, les exigences n\xE9cessaires sont identifi\xE9es,\ + \ document\xE9es et leur mise en \u0153uvre test\xE9e et approuv\xE9e." + annotation: "\u2022 Envisagez de mettre en \u0153uvre des m\xE9canismes de r\xE9\ + silience pour prendre en charge les situations op\xE9rationnelles normales\ + \ et d\xE9favorables (par exemple, failsafe, \xE9quilibrage de charge, hot\ + \ swap). \u2022 Examiner les aspects de la gestion de la continuit\xE9 des\ + \ activit\xE9s, par exemple l'analyse de l'impact sur les activit\xE9s (BIA),\ + \ le plan de reprise d\u2019activit\xE9s (PRA) et le plan de continuit\xE9\ + \ des activit\xE9s (PCA)." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-5 + ref_id: ID.BE-5.2 + description: "Les installations de traitement de l'information et de soutien\ + \ doivent mettre en \u0153uvre la redondance pour r\xE9pondre aux exigences\ + \ de disponibilit\xE9, telles que d\xE9finies par l'organisation et/ou les\ + \ cadres r\xE9glementaires." + annotation: "\u2022 Envisagez de pr\xE9voir une redondance ad\xE9quate des donn\xE9\ + es et du r\xE9seau (par exemple, des dispositifs de r\xE9seau redondants,\ + \ des serveurs avec r\xE9partition de la charge, des matrices Raid, des services\ + \ de sauvegarde, deux centres de donn\xE9es distincts, des connexions r\xE9\ + seau \xE0 basculement, deux fournisseurs d'acc\xE8s Internet...). \n\u2022\ + \ Envisagez de prot\xE9ger les \xE9quipements/services critiques contre les\ + \ pannes de courant et autres d\xE9faillances dues aux interruptions de service\ + \ (par exemple, onduleurs et syst\xE8mes sans coupure, tests fr\xE9quents,\ + \ contrats de service incluant une maintenance r\xE9guli\xE8re, c\xE2blage\ + \ \xE9lectrique redondant, 2 fournisseurs de services d'alimentation diff\xE9\ + rents...)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.be-5 + ref_id: ID.BE-5.3 + description: "Des objectifs de temps et de points de r\xE9tablissement pour\ + \ le r\xE9tablissement des processus essentiels des syst\xE8mes TIC/OT sont\ + \ d\xE9finis." + annotation: "\u2022 Envisagez d'appliquer la r\xE8gle de sauvegarde 3-2-1 pour\ + \ am\xE9liorer le RPO et le RTO (conservez au moins 3 copies de vos donn\xE9\ + es, dont 2 \xE0 des endroits diff\xE9rents et il convient de stocker une copie\ + \ hors site). \n\u2022 Envisagez de mettre en \u0153uvre des m\xE9canismes\ + \ tels que le hot swap, l'\xE9quilibrage des charges et le failsafe pour accro\xEE\ + tre la r\xE9silience." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.gv + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id + ref_id: ID.GV + name: Gouvernance + description: "Les politiques, proc\xE9dures et processus de gestion et de suivi\ + \ des exigences r\xE9glementaires, juridiques, environnementales et op\xE9\ + rationnelles de l'organisation sont compris et contribuent \xE0 la gestion\ + \ du risque de cybers\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.gv-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.gv + ref_id: ID.GV-1 + description: "La politique de cybers\xE9curit\xE9 de l'organisation est \xE9\ + tablie et communiqu\xE9e ." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_id.gv-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.gv-1 + ref_id: BASIQUE_ID.GV-1.1 + description: "Les politiques et proc\xE9dures en mati\xE8re de s\xE9curit\xE9\ + \ de l'information et de cybers\xE9curit\xE9 doivent \xEAtre cr\xE9\xE9es,\ + \ document\xE9es, examin\xE9es, approuv\xE9es et mises \xE0 jour lorsque des\ + \ changements interviennent." + annotation: "\u2022 Les politiques et les proc\xE9dures qui servent \xE0 identifier\ + \ les pratiques et les attentes acceptables pour les op\xE9rations, peuvent\ + \ \xEAtre utilis\xE9es pour former les nouveaux employ\xE9s sur vos attentes\ + \ en mati\xE8re de s\xE9curit\xE9 de l'information et peuvent faciliter une\ + \ enqu\xEAte en cas d'incident. Il convient que ces politiques et proc\xE9\ + dures soient facilement accessibles aux employ\xE9s. \n\u2022 Il convient\ + \ que les politiques et proc\xE9dures en mati\xE8re de s\xE9curit\xE9 de l'information\ + \ et de cybers\xE9curit\xE9 d\xE9crivent clairement vos attentes en mati\xE8\ + re de protection des informations et des syst\xE8mes de l'organisation, ainsi\ + \ que la mani\xE8re dont la direction s'attend \xE0 ce que les ressources\ + \ de l'organisation soient utilis\xE9es et prot\xE9g\xE9es par tous les employ\xE9\ + s. \n\u2022 Il convient que les politiques et proc\xE9dures soient revues\ + \ et mises \xE0 jour au moins une fois par an et \xE0 chaque fois que des\ + \ changements interviennent dans l'organisation ou la technologie. Chaque\ + \ fois que les politiques sont modifi\xE9es, il convient d\u2019informer les\ + \ employ\xE9s des changements." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.gv-1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.gv-1 + ref_id: IMPORTANT_ID.GV-1.2 + description: "Une politique de s\xE9curit\xE9 des informations et de cybers\xE9\ + curit\xE9 \xE0 l'\xE9chelle de l'organisation doit \xEAtre \xE9tablie, document\xE9\ + e, mise \xE0 jour en cas de changement, diffus\xE9e et approuv\xE9e par la\ + \ direction g\xE9n\xE9rale." + annotation: "Il convient que la politique inclue, par exemple, les \xE9l\xE9\ + ments suivants : \n\u2022 L'identification et l'attribution des r\xF4les,\ + \ les responsabilit\xE9s, l'engagement de la direction, la coordination entre\ + \ les entit\xE9s organisationnelles et la conformit\xE9. Des conseils sur\ + \ les profils de r\xF4le ainsi que leurs titres, missions, t\xE2ches, aptitudes,\ + \ connaissances et comp\xE9tences sont disponibles dans le \"European Cybersecurity\ + \ Skills Framework Role Profiles\" de ENISA. (https://www.enisa.europa.eu/publications/european-cybersecurity-skills-framework-role-profiles)\ + \ \n\u2022 La coordination entre les entit\xE9s organisationnelles responsables\ + \ des diff\xE9rents aspects de la s\xE9curit\xE9 (c'est-\xE0-dire technique,\ + \ physique, personnel, cyber-physique, information, contr\xF4le d'acc\xE8\ + s, protection des m\xE9dias, gestion des vuln\xE9rabilit\xE9s, maintenance,\ + \ surveillance). \u2022 La couverture du cycle de vie complet des syst\xE8\ + mes TIC/OT." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.gv-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.gv + ref_id: ID.GV-3 + description: "Les exigences l\xE9gales et r\xE9glementaires concernant la cybers\xE9\ + curit\xE9, y compris les obligations en mati\xE8re de vie priv\xE9e et de\ + \ libert\xE9s civiles, sont comprises et g\xE9r\xE9es ." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_id.gv-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.gv-3 + ref_id: BASIQUE_ID.GV-3.1 + description: "Les exigences l\xE9gales et r\xE9glementaires en mati\xE8re de\ + \ s\xE9curit\xE9 de l'information/cybers\xE9curit\xE9, y compris les obligations\ + \ en mati\xE8re de respect de la vie priv\xE9e, doivent \xEAtre comprises\ + \ et appliqu\xE9es." + annotation: "Il n'y a pas de directives suppl\xE9mentaires." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.gv-3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.gv-3 + ref_id: IMPORTANT_ID.GV-3.2 + description: "Les exigences l\xE9gales et r\xE9glementaires en mati\xE8re de\ + \ s\xE9curit\xE9 de l'information/cybers\xE9curit\xE9, y compris les obligations\ + \ en mati\xE8re de respect de la vie priv\xE9e, doivent \xEAtre comprises,\ + \ mises en \u0153uvre et g\xE9r\xE9es." + annotation: "\u2022 Il convient de proc\xE9der \xE0 des examens r\xE9guliers\ + \ afin de garantir le respect permanent des exigences l\xE9gales et r\xE9\ + glementaires en mati\xE8re de s\xE9curit\xE9 de l'information/cybers\xE9curit\xE9\ + , y compris les obligations en mati\xE8re de protection de la vie priv\xE9\ + e. \n\u2022 Cette exigence s'applique \xE9galement aux entrepreneurs et aux\ + \ prestataires de services." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.gv-4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.gv + ref_id: ID.GV-4 + description: "Les processus de gouvernance et de gestion des risques traitent\ + \ les risques de cybers\xE9curit\xE9 ." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_id.gv-4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.gv-4 + ref_id: BASIQUE_ID.GV-4.1 + description: "Dans le cadre de la gestion globale des risques de l'organisation,\ + \ une strat\xE9gie compl\xE8te de gestion des risques li\xE9s \xE0 la s\xE9\ + curit\xE9 de l'information et \xE0 la cybers\xE9curit\xE9 doit \xEAtre \xE9\ + labor\xE9e et mise \xE0 jour lorsque des changements surviennent." + annotation: "Il convient d\u2019inclure dans cette strat\xE9gie la d\xE9termination\ + \ et l'affectation des ressources n\xE9cessaires \xE0 la protection des actifs\ + \ critiques de l'organisation." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.gv-4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.gv-4 + ref_id: IMPORTANT_ID.GV-4.2 + description: "Les risques li\xE9s \xE0 la s\xE9curit\xE9 de l'information et\ + \ \xE0 la cybers\xE9curit\xE9 doivent \xEAtre document\xE9s, approuv\xE9s\ + \ formellement et mis \xE0 jour lorsque des changements surviennent." + annotation: Envisagez d'utiliser des outils de gestion des risques. + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id + ref_id: ID.RA + name: "\xC9valuation des risques " + description: "L'organisation comprend le risque de cybers\xE9curit\xE9 pour\ + \ les op\xE9rations de l'organisation (y compris la mission, les fonctions,\ + \ l'image ou la r\xE9putation), ses actifs et les individus." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra + ref_id: ID.RA-1 + description: " Les vuln\xE9rabilit\xE9s des actifs sont identifi\xE9es et document\xE9\ + es." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_id.ra-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-1 + ref_id: BASIQUE_ID.RA-1.1 + description: "Les menaces et les vuln\xE9rabilit\xE9s doivent \xEAtre identifi\xE9\ + es." + annotation: "\u2022 Une vuln\xE9rabilit\xE9 fait r\xE9f\xE9rence \xE0 une faiblesse\ + \ dans le mat\xE9riel, les logiciels ou les proc\xE9dures de l'organisation.\ + \ Il s'agit d'une faille par laquelle un acteur malveillant peut acc\xE9der\ + \ aux actifs de l'organisation. Une vuln\xE9rabilit\xE9 expose une organisation\ + \ \xE0 des menaces. \u2022 Une menace est un \xE9v\xE9nement malveillant ou\ + \ n\xE9gatif qui tire parti d'une vuln\xE9rabilit\xE9. \n\u2022 Le risque\ + \ est la possibilit\xE9 de perte et de dommage lorsque la menace se concr\xE9\ + tise." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.ra-1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-1 + ref_id: IMPORTANT_ID.RA-1.2 + description: "Un processus doit \xEAtre \xE9tabli pour surveiller, identifier\ + \ et documenter en permanence les vuln\xE9rabilit\xE9s des syst\xE8mes critiques\ + \ de l'organisation." + annotation: "\u2022 Lorsque cela est s\xFBr et possible, il convient d\u2019\ + envisager l'utilisation d'une analyse de vuln\xE9rabilit\xE9. \n\u2022 Il\ + \ convient que l'organisation \xE9tablisse et maintienne un programme de tests\ + \ adapt\xE9 \xE0 sa taille, sa complexit\xE9 et sa maturit\xE9." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-1 + ref_id: ID.RA-1.3 + description: "Pour s'assurer que les op\xE9rations de l'organisation ne sont\ + \ pas affect\xE9es par le processus de test, les tests de performance/charge\ + \ et les tests de p\xE9n\xE9tration sur les syst\xE8mes de l'organisation\ + \ doivent \xEAtre men\xE9s avec soin." + annotation: "Envisager de valider les mesures de s\xE9curit\xE9 apr\xE8s chaque\ + \ test de p\xE9n\xE9tration" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra + ref_id: ID.RA-2 + description: "Les renseignements sur les cybermenaces sont re\xE7us de forums\ + \ de partage d'informations et de sources." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.ra-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-2 + ref_id: IMPORTANT_ID.RA-2.1 + description: "Un programme de sensibilisation aux menaces et aux vuln\xE9rabilit\xE9\ + s, comprenant une capacit\xE9 de partage d'informations entre les organisations,\ + \ doit \xEAtre mis en \u0153uvre." + annotation: "Il convient qu\u2019un programme de sensibilisation aux menaces\ + \ et aux vuln\xE9rabilit\xE9s inclue un contact permanent avec les groupes\ + \ et associations de s\xE9curit\xE9 afin de recevoir les alertes et les conseils\ + \ de s\xE9curit\xE9. (Les groupes et associations de s\xE9curit\xE9 comprennent,\ + \ par exemple, des groupes d'int\xE9r\xEAt sp\xE9ciaux, des forums, des associations\ + \ professionnelles, des groupes de presse et/ou des groupes de pairs compos\xE9\ + s de professionnels de la s\xE9curit\xE9 appartenant \xE0 des organisations\ + \ similaires). Il convient que cette capacit\xE9 de partage aie une capacit\xE9\ + \ de partage d'informations classifi\xE9es et non classifi\xE9es." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-2 + ref_id: ID.RA-2.2 + description: "Il se doit d'identifier les endroits o\xF9 des m\xE9canismes automatis\xE9\ + s peuvent \xEAtre mis en \u0153uvre pour mettre les informations relatives\ + \ aux alertes et aux avis de s\xE9curit\xE9 \xE0 la disposition des parties\ + \ prenantes pertinentes de l'organisation." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra + ref_id: ID.RA-5 + description: "Les menaces, les vuln\xE9rabilit\xE9s, les probabilit\xE9s et\ + \ les impacts sont utilis\xE9s pour d\xE9terminer les risques." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_id.ra-5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-5 + ref_id: BASIQUE_ID.RA-5.1 + description: "L'organisation doit effectuer des \xE9valuations des risques dans\ + \ lesquelles le risque est d\xE9termin\xE9 par les menaces, les vuln\xE9rabilit\xE9\ + s et l'impact sur les processus et les actifs de l'organisation." + annotation: "\u2022 N'oubliez pas que les menaces exploitent les vuln\xE9rabilit\xE9\ + s. \n\u2022 Identifier les cons\xE9quences que les pertes de confidentialit\xE9\ + , d'int\xE9grit\xE9 et de disponibilit\xE9 peuvent avoir sur les actifs et\ + \ les processus op\xE9rationnels connexes." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.ra-5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-5 + ref_id: IMPORTANT_ID.RA-5.2 + description: "L'organisation doit effectuer et documenter des \xE9valuations\ + \ des risques dans lesquelles le risque est d\xE9termin\xE9 par les menaces,\ + \ les vuln\xE9rabilit\xE9s, l'impact sur les processus et les actifs de l'organisation,\ + \ et la probabilit\xE9 qu'ils se produisent." + annotation: "\u2022 Il convient que l'\xE9valuation des risques inclue les menaces\ + \ provenant de personnes internes et externes. \n\u2022 Les m\xE9thodes d'analyse\ + \ de risque qualitatives et/ou quantitatives (MAPGOOD, ISO27005, CIS RAM,\ + \ ...) peuvent \xEAtre utilis\xE9es avec des outils logiciels." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-5 + ref_id: ID.RA-5.3 + description: "Les r\xE9sultats de l'\xE9valuation des risques sont diffus\xE9\ + s aux parties prenantes concern\xE9es." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra + ref_id: ID.RA-6 + description: "Les r\xE9ponses aux risques sont identifi\xE9es et class\xE9es\ + \ par ordre de priorit\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.ra-6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.ra-6 + ref_id: IMPORTANT_ID.RA-6.1 + description: "Une strat\xE9gie globale doit \xEAtre \xE9labor\xE9e et mise en\ + \ \u0153uvre pour g\xE9rer les risques auxquels sont expos\xE9s les syst\xE8\ + mes critiques de l'organisation, qui comprend l'identification et la hi\xE9\ + rarchisation des r\xE9ponses aux risques." + annotation: "\u2022 Il convient que la direction et les employ\xE9s soient impliqu\xE9\ + s dans la s\xE9curit\xE9 de l'information et la cybers\xE9curit\xE9. \n\u2022\ + \ Il convient de d\xE9terminer quels sont les actifs les plus importants et\ + \ comment ils sont prot\xE9g\xE9s. \n\u2022 Il convient que l'impact d'une\ + \ compromission de ces actifs soit clair. \n\u2022 Il convient d'\xE9tablir\ + \ comment la mise en \u0153uvre de mesures d'att\xE9nuation ad\xE9quates sera\ + \ organis\xE9e." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.rm + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id + ref_id: ID.RM + name: Gestion des risques + description: "Les priorit\xE9s, contraintes, tol\xE9rances au risque et hypoth\xE8\ + ses de l'organisation sont \xE9tablies et utilis\xE9es pour soutenir les d\xE9\ + cisions relatives au risque op\xE9rationnel." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.rm-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.rm + ref_id: ID.RM-1 + description: "Les processus de gestion des risques sont \xE9tablis, g\xE9r\xE9\ + s et accept\xE9s par les parties prenantes de l\u2019organisation." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.rm-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.rm-1 + ref_id: IMPORTANT_ID.RM-1.1 + description: "Un processus de gestion des cyber-risques qui identifie les principales\ + \ parties prenantes internes et externes et facilite le traitement des questions\ + \ et des informations li\xE9es aux risques doit \xEAtre cr\xE9\xE9, document\xE9\ + , examin\xE9, approuv\xE9 et mis \xE0 jour lorsque des changements surviennent." + annotation: "Les parties prenantes externes comprennent les clients, les investisseurs\ + \ et les actionnaires, les fournisseurs, les agences gouvernementales et la\ + \ communaut\xE9 au sens large." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.rm-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.rm + ref_id: ID.RM-2 + description: "La tol\xE9rance de l'organisation au risque est d\xE9termin\xE9\ + e et clairement exprim\xE9e." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.rm-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.rm-2 + ref_id: IMPORTANT_ID.RM-2.1 + description: "L'organisation doit d\xE9terminer clairement son app\xE9tit pour\ + \ le risque." + annotation: "Il convient que la d\xE9termination et l'expression de la tol\xE9\ + rance au risque (app\xE9tit pour le risque) soient conformes aux politiques\ + \ de s\xE9curit\xE9 de l'information et de cybers\xE9curit\xE9, afin de faciliter\ + \ la d\xE9monstration de la coh\xE9rence entre les politiques, la tol\xE9\ + rance au risque et les mesures." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.rm-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.rm + ref_id: ID.RM-3 + description: "La d\xE9termination de la tol\xE9rance au risque de l'organisation\ + \ est \xE9clair\xE9e par son r\xF4le dans l'infrastructure critique et l'analyse\ + \ des risques sp\xE9cifiques au secteur." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.rm-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.rm-3 + ref_id: IMPORTANT_ID.RM-3.1 + description: "Le r\xF4le de l'organisation dans les infrastructures critiques\ + \ et son secteur d\xE9terminent l'app\xE9tit de l'organisation pour le risque." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id + ref_id: ID.SC + name: "Gestion des risques li\xE9s \xE0 la cha\xEEne d'approvisionnement" + description: "Les priorit\xE9s, les contraintes, les tol\xE9rances au risque\ + \ et les hypoth\xE8ses de l'organisation sont \xE9tablies et utilis\xE9es\ + \ pour soutenir les d\xE9cisions li\xE9es \xE0 la gestion des risques de la\ + \ cha\xEEne d'approvisionnement. L'organisation a \xE9tabli et mis en \u0153\ + uvre les processus pour identifier, \xE9valuer et g\xE9rer les risques li\xE9\ + s \xE0 la cha\xEEne d'approvisionnement." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc + ref_id: ID.SC-1 + description: "Les processus de gestion des risques li\xE9s \xE0 la cha\xEEne\ + \ d'approvisionnement sont identifi\xE9s, \xE9tablis, \xE9valu\xE9s, g\xE9\ + r\xE9s et accept\xE9s par les parties prenantes de l'organisation." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-1 + ref_id: ID.SC-1.1 + description: "L'organisation doit documenter, examiner, approuver, mettre \xE0\ + \ jour lorsque des changements surviennent et mettre en \u0153uvre un processus\ + \ de gestion des risques li\xE9s \xE0 la cha\xEEne d'approvisionnement cybern\xE9\ + tique qui soutient l'identification, l'\xE9valuation et l'att\xE9nuation des\ + \ risques associ\xE9s \xE0 la nature distribu\xE9e et interconnect\xE9e des\ + \ cha\xEEnes d'approvisionnement en produits et services TIC/OT." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc + ref_id: ID.SC-2 + description: "Les fournisseurs et les partenaires tiers de syst\xE8mes d'information,\ + \ de composants et de services sont identifi\xE9s, class\xE9s par ordre de\ + \ priorit\xE9 et \xE9valu\xE9s \xE0 l'aide d'un processus d'\xE9valuation\ + \ des risques de la cybercha\xEEne d\u2019approvisionnement." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.sc-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-2 + ref_id: IMPORTANT_ID.SC-2.1 + description: "L'organisation doit effectuer des \xE9valuations des risques li\xE9\ + s \xE0 la cha\xEEne d'approvisionnement cybern\xE9tique au moins une fois\ + \ par an ou lorsqu'un changement intervient dans les syst\xE8mes critiques,\ + \ l'environnement op\xE9rationnel ou la cha\xEEne d'approvisionnement de l'organisation\ + \ ; ces \xE9valuations doivent \xEAtre document\xE9es et les r\xE9sultats\ + \ diffus\xE9s aux parties prenantes concern\xE9es, y compris les responsables\ + \ des syst\xE8mes TIC/OT." + annotation: "Il convient que cette \xE9valuation permette d'identifier et de\ + \ hi\xE9rarchiser les impacts n\xE9gatifs potentiels pour l'organisation des\ + \ risques associ\xE9s \xE0 la nature distribu\xE9e et interconnect\xE9e des\ + \ cha\xEEnes d'approvisionnement en produits et services TIC/OT." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-2 + ref_id: ID.SC-2.2 + description: "Une liste document\xE9e de tous les fournisseurs, vendeurs et\ + \ partenaires de l'organisation susceptibles d'\xEAtre impliqu\xE9s dans un\ + \ incident majeur doit \xEAtre \xE9tablie, tenue \xE0 jour et mise \xE0 disposition\ + \ en ligne et hors ligne." + annotation: "Il convient d\u2019inclure dans cette liste les coordonn\xE9es\ + \ des fournisseurs, des vendeurs et des partenaires, ainsi que les services\ + \ qu'ils fournissent, afin qu'ils puissent \xEAtre contact\xE9s pour une assistance\ + \ en cas de panne ou de d\xE9gradation du service." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc + ref_id: ID.SC-3 + description: "Les contrats avec les fournisseurs et les partenaires tiers sont\ + \ utilis\xE9s pour mettre en \u0153uvre des mesures appropri\xE9es con\xE7\ + ues pour atteindre les objectifs du programme de cybers\xE9curit\xE9 et du\ + \ plan de gestion des risques de la cha\xEEne d'approvisionnement de l'organisation." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.sc-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-3 + ref_id: IMPORTANT_ID.SC-3.1 + description: "Sur la base des r\xE9sultats de l'\xE9valuation des risques li\xE9\ + s \xE0 la cybercha\xEEne d'approvisionnement, un cadre contractuel est \xE9\ + tabli pour les fournisseurs et les partenaires externes afin de traiter le\ + \ partage d'informations sensibles et de produits et services TIC/OT distribu\xE9\ + s et interconnect\xE9s." + annotation: "\u2022 Il convient que les entit\xE9s qui ne sont pas soumises\ + \ \xE0 la l\xE9gislation NIS ne consid\xE8rent que les fournisseurs et les\ + \ partenaires tiers essentiels \xE0 leur activit\xE9. \n\u2022 N'oubliez pas\ + \ que les exigences du GDPR doivent \xEAtre respect\xE9es lorsque les informations\ + \ op\xE9rationnelles contiennent des donn\xE9es \xE0 caract\xE8re personnel\ + \ (applicable \xE0 tous les niveaux), c'est- \xE0-dire que les mesures de\ + \ s\xE9curit\xE9 doivent \xEAtre abord\xE9es dans le cadre contractuel." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-3 + ref_id: ID.SC-3.2 + description: "Des exigences contractuelles en mati\xE8re de \"s\xE9curit\xE9\ + \ de l'information et de cybers\xE9curit\xE9\" pour les fournisseurs et les\ + \ partenaires tiers sont mises en \u0153uvre pour garantir un processus v\xE9\ + rifiable de correction des failles et pour garantir la correction des failles\ + \ identifi\xE9es lors des tests et des \xE9valuations de \"s\xE9curit\xE9\ + \ de l'information et de cybers\xE9curit\xE9\". - mesure cl\xE9 -" + annotation: "\u2022 Il convient que les syst\xE8mes d'information contenant\ + \ des logiciels (ou micrologiciels) affect\xE9s par des failles logicielles\ + \ r\xE9cemment annonc\xE9es (et les vuln\xE9rabilit\xE9s potentielles r\xE9\ + sultant de ces failles) soient identifi\xE9s. \n\u2022 Les correctifs de s\xE9\ + curit\xE9 r\xE9cemment publi\xE9s, les Service Packs et hot fixes doivent\ + \ \xEAtre install\xE9s, et leur efficacit\xE9 ainsi que les effets secondaires\ + \ potentiels sur les syst\xE8mes d'information de l'organisation sont test\xE9\ + s avant leur installation. Les failles d\xE9couvertes lors des \xE9valuations\ + \ de s\xE9curit\xE9, de la surveillance continue, des activit\xE9s de r\xE9\ + ponse aux incidents ou du traitement des erreurs du syst\xE8me d'information\ + \ sont \xE9galement trait\xE9es rapidement. Il convient que la correction\ + \ des failles soit int\xE9gr\xE9e \xE0 la gestion de la configuration en tant\ + \ que changement d'urgence." + implementation_groups: + - E + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-3 + ref_id: ID.SC-3.3 + description: "L'organisation doit \xE9tablir des exigences contractuelles lui\ + \ permettant d'examiner les programmes de \"s\xE9curit\xE9 des informations\ + \ et de cybers\xE9curit\xE9\" mis en \u0153uvre par les fournisseurs et les\ + \ partenaires tiers. - mesure cl\xE9 -" + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc + ref_id: ID.SC-4 + description: "Les fournisseurs et les partenaires tiers sont r\xE9guli\xE8rement\ + \ \xE9valu\xE9s \xE0 l'aide d'audits, de r\xE9sultats de tests ou d'autres\ + \ formes d'\xE9valuation pour confirmer qu'ils respectent leurs obligations\ + \ contractuelles." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.sc-4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-4 + ref_id: IMPORTANT_ID.SC-4.1 + description: "L'organisation doit examiner les \xE9valuations de la conformit\xE9\ + \ des fournisseurs et des partenaires tiers aux obligations contractuelles\ + \ en examinant r\xE9guli\xE8rement les audits, les r\xE9sultats des tests\ + \ et autres \xE9valuations." + annotation: "Les entit\xE9s non soumises \xE0 la l\xE9gislation NIS pourraient\ + \ se limiter aux seuls fournisseurs et partenaires tiers critiques pour l\u2019\ + organisation." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-4 + ref_id: ID.SC-4.2 + description: "L'organisation doit examiner les \xE9valuations de la conformit\xE9\ + \ des fournisseurs et des partenaires tiers aux obligations contractuelles\ + \ en examinant r\xE9guli\xE8rement les audits ind\xE9pendants de tiers, les\ + \ r\xE9sultats des tests et autres \xE9valuations." + annotation: "Il convient que la profondeur de l'examen d\xE9pende de la criticit\xE9\ + \ des produits et services fournis." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc + ref_id: ID.SC-5 + description: "La planification et les tests de r\xE9ponse et de r\xE9tablissement\ + \ sont effectu\xE9s avec les fournisseurs et les prestataires tiers." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_id.sc-5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-5 + ref_id: IMPORTANT_ID.SC-5.1 + description: "L'organisation doit identifier et documenter le personnel cl\xE9\ + \ des fournisseurs et des partenaires tiers afin de les inclure en tant que\ + \ parties prenantes dans les activit\xE9s de planification de la r\xE9ponse\ + \ et du r\xE9tablissement." + annotation: "Les entit\xE9s non soumises \xE0 la l\xE9gislation NIS pourraient\ + \ se limiter aux seuls fournisseurs et partenaires tiers critiques pour l\u2019\ + organisation." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:id.sc-5 + ref_id: ID.SC-5.2 + description: "L'organisation doit identifier et documenter le personnel cl\xE9\ + \ des fournisseurs et des partenaires tiers afin de les inclure en tant que\ + \ parties prenantes dans les tests et l'ex\xE9cution des plans de r\xE9ponse\ + \ et de r\xE9tablissement." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr + assessable: false + depth: 1 + ref_id: PR + name: PROTEGER (PR) + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr + ref_id: PR.AC + name: "Gestion des identit\xE9s, authentification et contr\xF4le d'acc\xE8s " + description: "L'acc\xE8s aux actifs physiques et logiques et aux installations\ + \ associ\xE9es est limit\xE9 aux utilisateurs, processus et dispositifs autoris\xE9\ + s, et est g\xE9r\xE9 en fonction du risque \xE9valu\xE9 d'acc\xE8s non autoris\xE9\ + \ aux activit\xE9s et transactions autoris\xE9es." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac + ref_id: PR.AC-1 + description: "Les identit\xE9s et les identifiants sont \xE9mis, g\xE9r\xE9\ + s, v\xE9rifi\xE9s, r\xE9voqu\xE9s et audit\xE9s pour les dispositifs, utilisateurs\ + \ et processus autoris\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.ac-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-1 + ref_id: BASIQUE_PR.AC-1.1 + description: "Les identit\xE9s et les identifiants des dispositifs et des utilisateurs\ + \ autoris\xE9s doivent \xEAtre g\xE9r\xE9s. - mesure cl\xE9 -" + annotation: "Les identit\xE9s et les identifiants des dispositifs et des utilisateurs\ + \ autoris\xE9s peuvent \xEAtre g\xE9r\xE9es par une politique de mot de passe.\ + \ Une politique de mot de passe est un ensemble de r\xE8gles destin\xE9es\ + \ \xE0 renforcer la s\xE9curit\xE9 des TIC/OT en encourageant l'organisation\ + \ \xE0 (liste non limitative et mesures \xE0 envisager le cas \xE9ch\xE9ant)\ + \ : \n\u2022 Changez tous les mots de passe par d\xE9faut. \n\u2022 Veillez\ + \ \xE0 ce que personne ne travaille avec des privil\xE8ges d'administrateur\ + \ pour les t\xE2ches quotidiennes. \n\u2022 Conservez une liste limit\xE9\ + e et mise \xE0 jour des comptes d'administrateur syst\xE8me. \n\u2022 Appliquer\ + \ les r\xE8gles relatives aux mots de passe, par exemple, les mots de passe\ + \ doivent \xEAtre plus longs qu'un nombre de caract\xE8res ad\xE9quat avec\ + \ une combinaison de types de caract\xE8res et \xEAtre chang\xE9s p\xE9riodiquement\ + \ ou lorsqu'il y a un soup\xE7on de compromission. \n\u2022 N'utilisez que\ + \ des comptes individuels et ne partagez jamais vos mots de passe. \n\u2022\ + \ D\xE9sactiver imm\xE9diatement les comptes inutilis\xE9s. \n\u2022 Les droits\ + \ et les privil\xE8ges sont g\xE9r\xE9s par des groupes d'utilisateurs." + implementation_groups: + - B + - I + - E + - BK + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ac-1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-1 + ref_id: IMPORTANT_PR.AC-1.2 + description: "Les identit\xE9s et les identifiants des dispositifs et des utilisateurs\ + \ autoris\xE9s sont g\xE9r\xE9s, si possible par des m\xE9canismes automatis\xE9\ + s." + annotation: "\u2022 Des m\xE9canismes automatis\xE9s peuvent contribuer \xE0\ + \ la gestion et \xE0 l'audit des informations d'identification des syst\xE8\ + mes d'information. \n\u2022 Consid\xE9rons l'authentification forte des utilisateurs,\ + \ c'est-\xE0-dire une authentification bas\xE9e sur l'utilisation d'au moins\ + \ deux facteurs d'authentification appartenant \xE0 des cat\xE9gories diff\xE9\ + rentes de connaissance (quelque chose que seul l'utilisateur sait), de possession\ + \ (quelque chose que seul l'utilisateur poss\xE8de) ou d'inh\xE9rence (quelque\ + \ chose que l'utilisateur est) qui sont ind\xE9pendantes, en ce sens que la\ + \ violation de l'une d'entre elles ne compromet pas la fiabilit\xE9 des autres,\ + \ et qui sont con\xE7ues de mani\xE8re \xE0 prot\xE9ger la confidentialit\xE9\ + \ des donn\xE9es d'authentification." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-1 + ref_id: PR.AC-1.3 + description: "Les identifiants du syst\xE8me doivent \xEAtre d\xE9sactiv\xE9\ + s apr\xE8s une p\xE9riode d'inactivit\xE9 d\xE9termin\xE9e, \xE0 moins que\ + \ cela ne compromette le fonctionnement s\xFBr des processus (critiques)." + annotation: "\u2022 Pour garantir un fonctionnement s\xFBr, Il convient d\u2019\ + utiliser des comptes de service pour les processus et les services en cours\ + \ d'ex\xE9cution. \u2022 Envisagez l'utilisation d'une proc\xE9dure d'acc\xE8\ + s formelle pour les parties externes." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-1 + ref_id: PR.AC-1.4 + description: "Pour les transactions au sein des syst\xE8mes critiques de l'organisation,\ + \ l'organisation doit mettre en \u0153uvre : \n\u2022 l'authentification multifactorielle\ + \ de l'utilisateur final (MFA ou \"authentification forte\"). \n\u2022 authentification\ + \ bas\xE9e sur des certificats pour les communications syst\xE8me \xE0 syst\xE8\ + me" + annotation: "Envisagez l'utilisation du SSO (Single Sign On) en combinaison\ + \ avec le MFA pour les syst\xE8mes critiques internes et externes de l'organisation." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-1 + ref_id: PR.AC-1.5 + description: "Les syst\xE8mes critiques de l'organisation doivent \xEAtre surveill\xE9\ + s pour d\xE9tecter toute utilisation atypique des informations d'identification\ + \ du syst\xE8me. Les identifiants associ\xE9s \xE0 un risque important doivent\ + \ \xEAtre d\xE9sactiv\xE9s." + annotation: "\u2022 Envisagez de limiter le nombre de tentatives de connexion\ + \ infructueuses en mettant en place un verrouillage automatique. \n\u2022\ + \ Le compte verrouill\xE9 ne sera pas accessible tant qu'il n'aura pas \xE9\ + t\xE9 r\xE9initialis\xE9 ou que la dur\xE9e de verrouillage du compte ne sera\ + \ pas \xE9coul\xE9e." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac + ref_id: PR.AC-2 + description: "L'acc\xE8s physique aux actifs est g\xE9r\xE9 et prot\xE9g\xE9\ + ." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.ac-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-2 + ref_id: BASIQUE_PR.AC-2.1 + description: "L'acc\xE8s physique \xE0 l'installation, aux serveurs et aux composants\ + \ du r\xE9seau doit \xEAtre g\xE9r\xE9." + annotation: "\u2022 Envisagez de g\xE9rer strictement les cl\xE9s d'acc\xE8\ + s aux locaux et les codes d'alarme. Il convient de prendre en compte les r\xE8\ + gles suivantes: \no R\xE9cup\xE9rez toujours les cl\xE9s ou les badges d'un\ + \ employ\xE9 lorsqu'il quitte d\xE9finitivement l\u2019organisation. \no Changez\ + \ fr\xE9quemment les codes d'alarme de l\u2019organisation. \no Ne jamais\ + \ donner de cl\xE9s ou de codes d'alarme \xE0 des prestataires ext\xE9rieurs\ + \ (agents de nettoyage, etc.), sauf s'il est possible de tracer ces acc\xE8\ + s et de les limiter techniquement \xE0 des plages horaires donn\xE9es. \u2022\ + \ Envisagez de ne pas laisser les prises d'acc\xE8s au r\xE9seau interne accessibles\ + \ dans les lieux publics. Ces lieux publics peuvent \xEAtre des salles d'attente,\ + \ des couloirs..." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ac-2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-2 + ref_id: IMPORTANT_PR.AC-2.2 + description: "L'acc\xE8s physique doit \xEAtre g\xE9r\xE9, y compris les mesures\ + \ relatives \xE0 l'acc\xE8s dans les situations d'urgence." + annotation: "\u2022 Les contr\xF4les d'acc\xE8s physiques peuvent inclure, par\ + \ exemple, des listes de personnes autoris\xE9es, des pi\xE8ces d'identit\xE9\ + , des exigences d'escorte, des gardes, des cl\xF4tures, des tourniquets, des\ + \ serrures, la surveillance de l'acc\xE8s aux installations, la surveillance\ + \ par cam\xE9ra. \u2022 Il convient d\u2019envisager les mesures suivantes\ + \ : \no Mettez en place un syst\xE8me de badges et cr\xE9ez diff\xE9rentes\ + \ zones de s\xE9curit\xE9. \no Limitez l'acc\xE8s physique aux serveurs et\ + \ aux composants du r\xE9seau au personnel autoris\xE9. \no Consigner tous\ + \ les acc\xE8s aux serveurs et aux composants du r\xE9seau. \n\u2022 Il convient\ + \ que les enregistrements d'acc\xE8s des visiteurs soient conserv\xE9s, examin\xE9\ + s et trait\xE9s selon les besoins." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-2 + ref_id: PR.AC-2.3 + description: "L'acc\xE8s physique aux zones critiques doit \xEAtre contr\xF4\ + l\xE9 en plus de l'acc\xE8s physique \xE0 l'installation." + annotation: "Par exemple, la production, la R&D, les \xE9quipements des syst\xE8\ + mes critiques de l'organisation (salles de serveurs,etc.)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-2 + ref_id: PR.AC-2.4 + description: "Les actifs li\xE9s aux zones critiques doivent \xEAtre prot\xE9\ + g\xE9s physiquement." + annotation: "\u2022 Pensez \xE0 prot\xE9ger les \xE9quipements d'alimentation,\ + \ le c\xE2blage d'alimentation, le c\xE2blage r\xE9seau et les interfaces\ + \ d'acc\xE8s au r\xE9seau contre les dommages accidentels, les perturbations\ + \ et les manipulations physiques. \u2022 Envisagez de mettre en place des\ + \ syst\xE8mes d'alimentation redondants et physiquement s\xE9par\xE9s pour\ + \ les op\xE9rations critiques de l'organisation." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac + ref_id: PR.AC-3 + description: "L'acc\xE8s \xE0 distance est g\xE9r\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.ac-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-3 + ref_id: BASIQUE_PR.AC-3.1 + description: "Les points d'acc\xE8s sans fil de l'organisation doivent \xEA\ + tre s\xE9curis\xE9s." + annotation: "Tenez compte des \xE9l\xE9ments suivants lorsque vous utilisez\ + \ un r\xE9seau sans fil : \n\u2022 Changez le mot de passe administratif lors\ + \ de l'installation d'un point d'acc\xE8s sans fil. \n\u2022 Configurez le\ + \ point d'acc\xE8s sans fil de mani\xE8re \xE0 ce qu'il ne diffuse pas son\ + \ identifiant (SSID). \n\u2022 Configurez votre routeur pour qu'il utilise\ + \ au moins le WiFi Protected Access (WPA-2 ou WPA-3 si possible), avec la\ + \ norme de cryptage avanc\xE9e (AES) pour le cryptage. \n\u2022 Veillez \xE0\ + \ ce que l'acc\xE8s Internet sans fil des clients soit s\xE9par\xE9 du r\xE9\ + seau de votre organisation. \n\u2022 Il convient d\u2019\xE9viter de se connecter\ + \ \xE0 des points d'acc\xE8s sans fil inconnus ou non s\xE9curis\xE9s, et\ + \ si cela est in\xE9vitable, il faut le faire par le biais d'un r\xE9seau\ + \ priv\xE9 virtuel (VPN) crypt\xE9. \n\u2022 G\xE9rer tous les dispositifs\ + \ d'extr\xE9mit\xE9 (fixes et mobiles) conform\xE9ment aux politiques de s\xE9\ + curit\xE9 de l'organisation." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.ac-3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-3 + ref_id: BASIQUE_PR.AC-3.2 + description: "Les r\xE9seaux de l'organisation auxquels on acc\xE8de \xE0 distance\ + \ doivent \xEAtre s\xE9curis\xE9s, notamment par une authentification multifactorielle\ + \ (MFA). - mesure cl\xE9 -" + annotation: "Appliquer le MFA (par exemple 2FA) sur les syst\xE8mes en contact\ + \ avec l'Internet, tels que le courrier \xE9lectronique, le bureau \xE0 distance\ + \ et le r\xE9seau priv\xE9 virtuel (VPN)." + implementation_groups: + - B + - I + - E + - BK + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ac-3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-3 + ref_id: IMPORTANT_PR.AC-3.3 + description: "Les restrictions d'utilisation, les exigences de connexion, les\ + \ conseils de mise en \u0153uvre et les autorisations d'acc\xE8s \xE0 distance\ + \ \xE0 l'environnement des syst\xE8mes critiques de l'organisation doivent\ + \ \xEAtre identifi\xE9s, document\xE9s et mis en \u0153uvre. - mesure cl\xE9\ + \ -" + annotation: "Consid\xE9rez ce qui suit : \n\u2022 Les m\xE9thodes d'acc\xE8\ + s \xE0 distance comprennent, par exemple, des connexions sans fil, \xE0 large\ + \ bande, \xE0 un r\xE9seau priv\xE9 virtuel (VPN), des connexions de dispositifs\ + \ mobiles et des communications par des r\xE9seaux externes. \n\u2022 Il convient\ + \ que les identifiants de connexion soient conformes aux politiques d'authentification\ + \ des utilisateurs de l\u2019organisation. \n\u2022 Il convient que l'acc\xE8\ + s \xE0 distance pour les activit\xE9s de soutien ou la maintenance des actifs\ + \ de l'organisation soit approuv\xE9, enregistr\xE9 et effectu\xE9 de mani\xE8\ + re \xE0 emp\xEAcher tout acc\xE8s non autoris\xE9. \n\u2022 Il convient d\u2019\ + informer l'utilisateur de toute connexion \xE0 distance \xE0 son appareil\ + \ par une indication visuelle." + implementation_groups: + - I + - E + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:r.ac-3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-3 + ref_id: R.AC-3.4 + description: "L'acc\xE8s \xE0 distance aux syst\xE8mes critiques de l'organisation\ + \ doit \xEAtre surveill\xE9 et des m\xE9canismes cryptographiques doivent\ + \ \xEAtre mis en \u0153uvre lorsque cela est jug\xE9 n\xE9cessaire." + annotation: "Il convient d\u2019inclure que seule l'utilisation autoris\xE9\ + e des fonctions privil\xE9gi\xE9es \xE0 partir d'un acc\xE8s \xE0 distance\ + \ est permise." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:r.ac-3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-3 + ref_id: R.AC-3.5 + description: "La s\xE9curit\xE9 des connexions avec les syst\xE8mes externes\ + \ doit \xEAtre v\xE9rifi\xE9e et encadr\xE9e par des accords document\xE9\ + s." + annotation: "L'acc\xE8s \xE0 partir d'adresses IP pr\xE9d\xE9finies pourrait\ + \ \xEAtre envisag\xE9." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac + ref_id: PR.AC-4 + description: "Les permissions et autorisations d'acc\xE8s sont g\xE9r\xE9es\ + \ en int\xE9grant les principes du moindre privil\xE8ge et de la s\xE9paration\ + \ des t\xE2ches." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.ac-4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-4 + ref_id: BASIQUE_PR.AC-4.1 + description: "Les autorisations d'acc\xE8s des utilisateurs aux syst\xE8mes\ + \ de l'organisation doivent \xEAtre d\xE9finies et g\xE9r\xE9es. - mesure\ + \ cl\xE9 -" + annotation: "Il convient de consid\xE9rer les \xE9l\xE9ments suivants : \n\u2022\ + \ \xC9tablir et r\xE9viser r\xE9guli\xE8rement les listes d'acc\xE8s par syst\xE8\ + me (fichiers, serveurs, logiciels, bases de donn\xE9es, etc.), \xE9ventuellement\ + \ par l'analyse de l'Active Directory dans les syst\xE8mes bas\xE9s sur Windows,\ + \ dans le but de d\xE9terminer qui a besoin de quel type d'acc\xE8s (privil\xE9\ + gi\xE9 ou non), \xE0 quoi, pour exercer ses fonctions dans l'organisation.\ + \ \n\u2022 Cr\xE9ez un compte distinct pour chaque utilisateur (y compris\ + \ pour les sous-traitants ayant besoin d'un acc\xE8s) et exigez que des mots\ + \ de passe forts et uniques soient utilis\xE9s pour chaque compte. \n\u2022\ + \ Veillez \xE0 ce que tous les employ\xE9s utilisent des comptes informatiques\ + \ sans privil\xE8ges administratifs pour effectuer des fonctions de travail\ + \ typiques. Cela inclut la s\xE9paration des comptes personnels et des comptes\ + \ administratifs. \n\u2022 Pour les comptes d'invit\xE9s, envisagez d'utiliser\ + \ les privil\xE8ges minimaux (par exemple, l'acc\xE8s \xE0 l'Internet uniquement)\ + \ requis pour vos besoins op\xE9rationnels. \n\u2022 Il convient que la gestion\ + \ des autorisations soit document\xE9e dans une proc\xE9dure et mise \xE0\ + \ jour le cas \xE9ch\xE9ant. \n\u2022 Utilisez l'authentification unique (SSO)\ + \ si n\xE9cessaire." + implementation_groups: + - B + - I + - E + - BK + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.ac-4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-4 + ref_id: BASIQUE_PR.AC-4.2 + description: "L'organisation doit identifier qui devrait avoir acc\xE8s aux\ + \ informations et aux technologies critiques de l'organisation et les moyens\ + \ d'y acc\xE9der. - mesure cl\xE9 -" + annotation: "Les moyens d'acc\xE8s peuvent inclure : une cl\xE9, un mot de passe,\ + \ un code ou un privil\xE8ge administratif." + implementation_groups: + - B + - I + - E + - BK + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.ac-4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-4 + ref_id: BASIQUE_PR.AC-4.3 + description: "L'acc\xE8s des employ\xE9s aux donn\xE9es et aux informations\ + \ doit \xEAtre limit\xE9 aux syst\xE8mes et aux informations sp\xE9cifiques\ + \ dont ils ont besoin pour faire leur travail (principe du moindre privil\xE8\ + ge). - mesure cl\xE9 -" + annotation: "Il convient que le principe du moindre privil\xE8ge soit compris\ + \ comme le principe selon lequel une architecture de s\xE9curit\xE9 doit \xEA\ + tre con\xE7ue de mani\xE8re \xE0 ce que chaque employ\xE9 se voie accorder\ + \ les ressources syst\xE8me et les autorisations minimales dont il a besoin\ + \ pour exercer sa fonction. \n\u2022 \xC0 consid\xE9rer: \no Ne pas permettre\ + \ \xE0 un employ\xE9 d'avoir acc\xE8s \xE0 toutes les informations de l'organisation.\ + \ \no Limiter le nombre d'acc\xE8s Internet et d'interconnexions avec les\ + \ r\xE9seaux partenaires au strict n\xE9cessaire pour pouvoir centraliser\ + \ et homog\xE9n\xE9iser plus facilement le suivi des \xE9changes. \no Assurez-vous\ + \ que lorsqu'un employ\xE9 quitte l'organisation, tout acc\xE8s aux informations\ + \ ou aux syst\xE8mes de l'organisation est bloqu\xE9 instantan\xE9ment." + implementation_groups: + - B + - I + - E + - BK + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.ac-4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-4 + ref_id: BASIQUE_PR.AC-4.4 + description: "Personne ne doit avoir de privil\xE8ges d'administrateur pour\ + \ les t\xE2ches quotidiennes. - mesure cl\xE9 -" + annotation: "Consid\xE9rez ce qui suit : \u2022 S\xE9parez les comptes d'administrateur\ + \ des comptes d'utilisateur. \n\u2022 Ne pas privil\xE9gier les comptes d'utilisateurs\ + \ pour effectuer les t\xE2ches d'administration. \n\u2022 Cr\xE9ez des mots\ + \ de passe uniques pour les administrateurs locaux et d\xE9sactivez les comptes\ + \ inutilis\xE9s. \n\u2022 Envisagez d'interdire la navigation sur Internet\ + \ aux comptes administratifs." + implementation_groups: + - B + - I + - E + - BK + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ac-4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-4 + ref_id: IMPORTANT_PR.AC-4.5 + description: "Dans la mesure du possible, des m\xE9canismes automatis\xE9s doivent\ + \ \xEAtre mis en \u0153uvre pour prendre en charge la gestion des comptes\ + \ d'utilisateurs sur les syst\xE8mes critiques de l'organisation, y compris\ + \ la d\xE9sactivation, la surveillance, l'\xE9tablissement de rapports et\ + \ la suppression des comptes d'utilisateurs." + annotation: "Envisagez d'identifier s\xE9par\xE9ment chaque personne ayant acc\xE8\ + s aux syst\xE8mes critiques de l'organisation avec un nom d'utilisateur afin\ + \ de supprimer les comptes et les acc\xE8s g\xE9n\xE9riques et anonymes." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ac-4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-4 + ref_id: IMPORTANT_PR.AC-4.6 + description: "La s\xE9paration des t\xE2ches est assur\xE9e dans la gestion\ + \ des droits d'acc\xE8s." + annotation: "La s\xE9paration des t\xE2ches comprend, par exemple : \n\u2022\ + \ la r\xE9partition des fonctions op\xE9rationnelles et des fonctions de soutien\ + \ du syst\xE8me entre diff\xE9rents r\xF4les. \n\u2022 mener des fonctions\ + \ de soutien du syst\xE8me avec diff\xE9rentes personnes. \n\u2022 ne pas\ + \ permettre \xE0 une seule personne d'initier et d'approuver une transaction\ + \ (financi\xE8re ou autre). \n\u2022 s'assurer que le personnel de s\xE9curit\xE9\ + \ qui g\xE8re les fonctions de contr\xF4le d'acc\xE8s ne g\xE8re pas \xE9\ + galement les fonctions d'audit." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ac-4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-4 + ref_id: IMPORTANT_PR.AC-4.7 + description: "Les utilisateurs privil\xE9gi\xE9s doivent \xEAtre g\xE9r\xE9\ + s, surveill\xE9s et audit\xE9s." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-4 + ref_id: PR.AC-4.8 + description: "Les restrictions d'utilisation des comptes pour des p\xE9riodes\ + \ et des lieux sp\xE9cifiques doivent \xEAtre prises en compte dans la politique\ + \ d'acc\xE8s s\xE9curis\xE9 de l'organisation et appliqu\xE9es en cons\xE9\ + quence." + annotation: "Les restrictions sp\xE9cifiques peuvent inclure, par exemple, la\ + \ limitation de l'utilisation \xE0 certains jours de la semaine, \xE0 certaines\ + \ heures de la journ\xE9e ou \xE0 des dur\xE9es sp\xE9cifiques." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac + ref_id: PR.AC-5 + description: "L'int\xE9grit\xE9 du r\xE9seau (s\xE9paration du r\xE9seau, segmentation\ + \ du r\xE9seau...) est prot\xE9g\xE9e." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.ac-5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-5 + ref_id: BASIQUE_PR.AC-5.1 + description: "Des pare-feu doivent \xEAtre install\xE9s et activ\xE9s sur tous\ + \ les r\xE9seaux de l'organisation. - mesure cl\xE9 -" + annotation: "Consid\xE9rez ce qui suit : \n\u2022 Installez et faites fonctionner\ + \ un pare-feu entre votre r\xE9seau interne et l'Internet. Il peut s'agir\ + \ d'une fonction d'un point d'acc\xE8s/routeur (sans fil) ou d'un routeur\ + \ fourni par le fournisseur d'acc\xE8s Internet (FAI). \n\u2022 Assurez-vous\ + \ qu'un logiciel antivirus est install\xE9 sur les solutions de pare-feu achet\xE9\ + es et veillez \xE0 ce que le mot de passe de connexion et d'administration\ + \ de l'administrateur soit modifi\xE9 lors de l'installation et r\xE9guli\xE8\ + rement par la suite.\n\u2022 Installez, utilisez et mettez \xE0 jour un pare-feu\ + \ logiciel sur chaque syst\xE8me informatique (y compris les t\xE9l\xE9phones\ + \ intelligents et autres appareils en r\xE9seau). \n\u2022 Installez des pare-feu\ + \ sur chacun de vos ordinateurs et r\xE9seaux, m\xEAme si vous utilisez un\ + \ fournisseur de services en nuage ou un r\xE9seau priv\xE9 virtuel (VPN).\ + \ Assurez-vous que le r\xE9seau et les syst\xE8mes de votre domicile de t\xE9\ + l\xE9travail sont \xE9quip\xE9s de pare-feu mat\xE9riels et logiciels install\xE9\ + s, op\xE9rationnels et r\xE9guli\xE8rement mis \xE0 jour. \u2022 Envisagez\ + \ d'installer un syst\xE8me de d\xE9tection et de pr\xE9vention des intrusions\ + \ (IDPS). Ces dispositifs analysent le trafic r\xE9seau \xE0 un niveau plus\ + \ d\xE9taill\xE9 et peuvent fournir un plus grand niveau de protection." + implementation_groups: + - B + - I + - E + - BK + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.ac-5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-5 + ref_id: BASIQUE_PR.AC-5.2 + description: "Le cas \xE9ch\xE9ant, l'int\xE9grit\xE9 du r\xE9seau des syst\xE8\ + mes critiques de l'organisation doit \xEAtre prot\xE9g\xE9e par l'int\xE9\ + gration de la segmentation et de la s\xE9gr\xE9gation du r\xE9seau. - mesure\ + \ cl\xE9 -" + annotation: "\u2022 Envisagez de cr\xE9er diff\xE9rentes zones de s\xE9curit\xE9\ + \ dans le r\xE9seau (par exemple, segmentation de base du r\xE9seau par des\ + \ VLAN ou d'autres m\xE9canismes de contr\xF4le d'acc\xE8s au r\xE9seau) et\ + \ contr\xF4lez/surveillez le trafic entre ces zones. \n\u2022 Lorsque le r\xE9\ + seau est \"plat\", la compromission d'un composant vital du r\xE9seau peut\ + \ entra\xEEner la compromission de l'ensemble du r\xE9seau." + implementation_groups: + - B + - I + - E + - BK + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ac-5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-5 + ref_id: IMPORTANT_PR.AC-5.3 + description: "Le cas \xE9ch\xE9ant, l'int\xE9grit\xE9 du r\xE9seau des syst\xE8\ + mes critiques de l'organisation doit \xEAtre prot\xE9g\xE9e par : (1) Identifier,\ + \ documenter et contr\xF4ler les connexions entre les composants du syst\xE8\ + me. (2) Limiter les connexions externes aux syst\xE8mes critiques de l'organisation.\ + \ - mesure cl\xE9 -" + annotation: "Les m\xE9canismes de protection des limites comprennent, par exemple,\ + \ les routeurs, les gateways, les gateways unidirectionnelles, les data diodes\ + \ et les pare-feu qui s\xE9parent les composants du syst\xE8me en r\xE9seaux\ + \ ou sous-r\xE9seaux logiquement distincts." + implementation_groups: + - I + - E + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ac-5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-5 + ref_id: IMPORTANT_PR.AC-5.4 + description: "L'organisation doit surveiller et contr\xF4ler les connexions\ + \ et les communications \xE0 la fronti\xE8re externe et aux principales fronti\xE8\ + res internes des syst\xE8mes critiques de l'organisation en mettant en \u0153\ + uvre des dispositifs de protection des fronti\xE8res, le cas \xE9ch\xE9ant.\ + \ - mesure cl\xE9 -" + annotation: "Envisagez de mettre en \u0153uvre les recommandations suivantes\ + \ : \n\u2022 S\xE9parez votre r\xE9seau WIFI public de votre r\xE9seau professionnel.\ + \ \n\u2022 Prot\xE9gez votre WIFI professionnel gr\xE2ce \xE0 un cryptage\ + \ de pointe. \n\u2022 Mettre en \u0153uvre une solution de contr\xF4le d'acc\xE8\ + s au r\xE9seau (NAC). \n\u2022 Cryptez les connexions \xE0 votre r\xE9seau\ + \ d'organisation. \n\u2022 Divisez votre r\xE9seau en fonction des niveaux\ + \ de s\xE9curit\xE9 et appliquez des r\xE8gles de pare-feu. Isolez vos r\xE9\ + seaux pour l'administration des serveurs. \n\u2022 Forcer le VPN sur les r\xE9\ + seaux publics. \n\u2022 Mettez en \u0153uvre une politique de fermeture des\ + \ gateways de s\xE9curit\xE9 (politique de refus de tout : n'autorisez/ouvrez\ + \ que les connexions qui ont \xE9t\xE9 explicitement pr\xE9autoris\xE9es)." + implementation_groups: + - I + - E + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-5 + ref_id: PR.AC-5.5 + description: "L'organisation doit mettre en \u0153uvre, dans la mesure du possible,\ + \ des serveurs proxy authentifi\xE9s pour le trafic de communication d\xE9\ + fini entre les syst\xE8mes critiques de l'organisation et les r\xE9seaux externes." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-5 + ref_id: PR.AC-5.6 + description: "L'organisation doit s'assurer que les syst\xE8mes critiques de\ + \ l'organisation tombent en panne en toute s\xE9curit\xE9 lorsqu'un dispositif\ + \ de protection des fronti\xE8res tombe en panne op\xE9rationnelle." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac + ref_id: PR.AC-6 + description: "Les identit\xE9s sont prouv\xE9es et li\xE9es aux identifiants\ + \ et pr\xE9sent\xE9es dans les interactions." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ac-6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-6 + ref_id: IMPORTANT_PR.AC-6.1 + description: "L'organisation doit mettre en \u0153uvre des proc\xE9dures document\xE9\ + es pour v\xE9rifier l'identit\xE9 des personnes avant de d\xE9livrer des identifiants\ + \ donnant acc\xE8s aux syst\xE8mes de l'organisation." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-6 + ref_id: PR.AC-6.2 + description: "L'organisation doit garantir l'utilisation d'identifiants uniques\ + \ li\xE9s \xE0 chaque utilisateur, dispositif et processus v\xE9rifi\xE9 interagissant\ + \ avec les syst\xE8mes critiques de l'organisation ; s'assurer qu'ils sont\ + \ authentifi\xE9s et que les identifiants uniques sont captur\xE9s lors des\ + \ interactions avec le syst\xE8me." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac + ref_id: PR.AC-7 + description: "Les identit\xE9s sont prouv\xE9es et li\xE9es aux identifiants\ + \ et pr\xE9sent\xE9es dans les interactions." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ac-7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ac-7 + ref_id: IMPORTANT_PR.AC-7.1 + description: "L'organisation doit effectuer une \xE9valuation des risques document\xE9\ + e sur les transactions des syst\xE8mes critiques de l'organisation et authentifier\ + \ les utilisateurs, les dispositifs et les autres actifs (par exemple, \xE0\ + \ un ou plusieurs facteurs) en fonction du risque de la transaction (par exemple,\ + \ les risques pour la s\xE9curit\xE9 et la vie priv\xE9e des individus et\ + \ les autres risques pour l'organisation). - mesure cl\xE9 -" + annotation: "Envisagez une approche de s\xE9curit\xE9 par la conception pour\ + \ les nouveaux syst\xE8mes ; pour les syst\xE8mes existants, il convient d\u2019\ + utiliser une \xE9valuation des risques distincte." + implementation_groups: + - I + - E + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr + ref_id: PR.AT + name: 'Sensibilisation et formation ' + description: "Le personnel et les partenaires de l'organisation re\xE7oivent\ + \ une formation de sensibilisation \xE0 la cybers\xE9curit\xE9 et sont form\xE9\ + s \xE0 l'ex\xE9cution de leurs t\xE2ches et responsabilit\xE9s li\xE9es \xE0\ + \ la cybers\xE9curit\xE9, conform\xE9ment aux politiques, proc\xE9dures et\ + \ accords connexes." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at + ref_id: PR.AT-1 + description: "Tous les utilisateurs sont inform\xE9s et entrain\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.at-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-1 + ref_id: BASIQUE_PR.AT-1.1 + description: "Les employ\xE9s doivent \xEAtre form\xE9s de mani\xE8re appropri\xE9\ + e." + annotation: "\u2022 Les employ\xE9s comprennent tous les utilisateurs et les\ + \ gestionnaires des syst\xE8mes TIC/OT, et il convient qu\u2019ils soient\ + \ form\xE9s d\xE8s leur embauche, puis r\xE9guli\xE8rement, aux politiques\ + \ de s\xE9curit\xE9 de l'information de l'organisation et \xE0 ce qu'on attend\ + \ d'eux pour prot\xE9ger les informations et les technologies de l'organisation.\ + \ \n\u2022 Il convient que la formation soit continuellement mise \xE0 jour\ + \ et renforc\xE9e par des campagnes de sensibilisation." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.at-1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-1 + ref_id: IMPORTANT_PR.AT-1.2 + description: "L'organisation doit int\xE9grer la reconnaissance et le signalement\ + \ des menaces internes dans la formation \xE0 la s\xE9curit\xE9." + annotation: "\xC0 consid\xE9rer : \n\u2022 Communiquez et discutez r\xE9guli\xE8\ + rement afin de vous assurer que chacun est conscient de ses responsabilit\xE9\ + s. \n\u2022 D\xE9veloppez un programme de sensibilisation en rassemblant dans\ + \ un document les messages que vous souhaitez transmettre \xE0 votre personnel\ + \ (sujets, publics, objectifs, etc.) et votre rythme de communication sur\ + \ un calendrier (hebdomadaire, mensuel, ponctuel, etc.). Communiquez de mani\xE8\ + re continue et engageante, en impliquant la direction, les coll\xE8gues informaticiens,\ + \ le fournisseur de services TIC et les responsables des RH et de la communication.\ + \ \u2022 Les sujets abord\xE9s sont les suivants : reconnaissance des tentatives\ + \ de fraude, hame\xE7onnage, gestion des informations sensibles, incidents,\ + \ etc. L'objectif est que tous les employ\xE9s comprennent les moyens de prot\xE9\ + ger les informations de l'organisation. \n\u2022 Discutez avec votre direction,\ + \ vos coll\xE8gues des TIC ou votre fournisseur de services TIC de certains\ + \ sc\xE9narios pratiques (par exemple, que faire en cas d'alerte au virus,\ + \ de coupure de courant due \xE0 un orage, de blocage des donn\xE9es, de piratage\ + \ d'un compte, etc.), d\xE9terminez les comportements \xE0 adopter, documentez-les\ + \ et communiquez-les \xE0 l'ensemble de votre personnel. Il convient que le\ + \ point de contact central en cas d'incident soit connu de tous. \n\u2022\ + \ Organisez une simulation d'un sc\xE9nario pour tester vos connaissances.\ + \ Envisagez de r\xE9aliser cet exercice, par exemple, au moins une fois par\ + \ an." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-1 + ref_id: PR.AT-1.3 + description: "L'organisation doit mettre en \u0153uvre une m\xE9thode d'\xE9\ + valuation pour mesurer l'efficacit\xE9 des formations de sensibilisation." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at + ref_id: PR.AT-2 + description: " Les utilisateurs privil\xE9gi\xE9s comprennent leurs r\xF4les\ + \ et leurs responsabilit\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.at-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-2 + ref_id: IMPORTANT_PR.AT-2.1 + description: "Les utilisateurs privil\xE9gi\xE9s doivent \xEAtre qualifi\xE9\ + s avant que les privil\xE8ges ne leurs soient accord\xE9s, et ces utilisateurs\ + \ doivent pouvoir d\xE9montrer qu'ils comprennent leurs r\xF4les, leurs responsabilit\xE9\ + s et leurs pouvoirs." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at + ref_id: PR.AT-3 + description: "Les parties prenantes tierces (par exemple, les fournisseurs,\ + \ les clients, les partenaires) comprennent leurs r\xF4les et responsabilit\xE9\ + s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.at-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-3 + ref_id: IMPORTANT_PR.AT-3.1 + description: "L'organisation doit \xE9tablir et appliquer des exigences de s\xE9\ + curit\xE9 pour les fournisseurs et les utilisateurs tiers essentiels \xE0\ + \ l'organisation." + annotation: "Il convient que la mise en application inclue le fait que les utilisateurs\ + \ des \"parties prenantes tierces\" (par exemple, les fournisseurs, les clients,\ + \ les partenaires) puissent d\xE9montrer qu'ils comprennent leurs r\xF4les\ + \ et leurs responsabilit\xE9s." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.at-3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-3 + ref_id: IMPORTANT_PR.AT-3.2 + description: "Les fournisseurs tiers sont tenus de notifier tout transfert,\ + \ licenciement ou transition de personnel ayant un acc\xE8s physique ou logique\ + \ aux composants des syst\xE8mes critiques de l'organisation." + annotation: "Les fournisseurs tiers comprennent, par exemple, des prestataires\ + \ de services, des entrepreneurs et d'autres organisations fournissant le\ + \ d\xE9veloppement de syst\xE8mes, des services technologiques, des applications\ + \ externalis\xE9es ou la gestion du r\xE9seau et de la s\xE9curit\xE9." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.at-3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-3 + ref_id: IMPORTANT_PR.AT-3.3 + description: "L'organisation doit contr\xF4ler les fournisseurs de services\ + \ et les utilisateurs critiques pour l'organisation en mati\xE8re de conformit\xE9\ + \ \xE0 la s\xE9curit\xE9." + annotation: "Les r\xE9sultats d'audits r\xE9alis\xE9s par des tiers peuvent\ + \ \xEAtre utilis\xE9s comme preuves d'audit." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-3 + ref_id: PR.AT-3.4 + description: "L'organisation doit auditer les fournisseurs de services externes\ + \ critiques pour l'organisation afin de v\xE9rifier leur conformit\xE9 en\ + \ mati\xE8re de s\xE9curit\xE9." + annotation: "Les r\xE9sultats d'audits r\xE9alis\xE9s par des tiers peuvent\ + \ \xEAtre utilis\xE9s comme preuves d'audit." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at + ref_id: PR.AT-4 + description: "Les cadres sup\xE9rieurs comprennent leurs r\xF4les et responsabilit\xE9\ + s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.at-4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-4 + ref_id: IMPORTANT_PR.AT-4.1 + description: "Les cadres sup\xE9rieurs doivent d\xE9montrer qu'ils comprennent\ + \ leurs r\xF4les, leurs responsabilit\xE9s et leurs pouvoirs." + annotation: "Des conseils sur les profils de r\xF4le ainsi que leurs titres,\ + \ missions, t\xE2ches, aptitudes, connaissances et comp\xE9tences sont disponibles\ + \ dans le document \"European Cybersecurity Skills Framework Role Profiles\"\ + \ de ENISA. (https://www.enisa.europa.eu/publications/european-cybersecurity-skills-framework-role-profiles\ + \ )" + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at + ref_id: PR.AT-5 + description: "Le personnel de la s\xE9curit\xE9 physique et de la cybers\xE9\ + curit\xE9 comprend ses r\xF4les et responsabilit\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.at-5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.at-5 + ref_id: IMPORTANT_PR.AT-5.1 + description: "L'organisation doit s'assurer que le personnel responsable de\ + \ la protection physique et de la s\xE9curit\xE9 des syst\xE8mes et installations\ + \ critiques de l'organisation est qualifi\xE9 par une formation avant que\ + \ des privil\xE8ges ne soient accord\xE9s, et qu'il comprend ses responsabilit\xE9\ + s." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr + ref_id: PR.DS + name: "S\xE9curit\xE9 des donn\xE9es " + description: "Les informations et les enregistrements (donn\xE9es) sont g\xE9\ + r\xE9s conform\xE9ment \xE0 la strat\xE9gie de l'organisation en mati\xE8\ + re de risques afin de prot\xE9ger la confidentialit\xE9, l'int\xE9grit\xE9\ + \ et la disponibilit\xE9 des informations." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds + ref_id: PR.DS-1 + description: "Les donn\xE9es au repos sont prot\xE9g\xE9es." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-1 + ref_id: PR.DS-1.1 + description: "L'organisme doit prot\xE9ger ses informations critiques du syst\xE8\ + me d\xE9termin\xE9es comme \xE9tant critiques/sensibles lorsqu'elles sont\ + \ au repos." + annotation: "\u2022 Envisagez d'utiliser des techniques de cryptage pour le\ + \ stockage des donn\xE9es, la transmission des donn\xE9es ou le transport\ + \ des donn\xE9es (par exemple, ordinateur portable, USB). \u2022 Envisagez\ + \ de crypter les appareils des utilisateurs finaux et les supports amovibles\ + \ contenant des donn\xE9es sensibles (disques durs, ordinateurs portables,\ + \ appareils mobiles, p\xE9riph\xE9riques de stockage USB, etc.) Cela peut\ + \ \xEAtre fait par exemple avec Windows BitLocker\xAE, VeraCrypt, Apple FileVault\xAE\ + , Linux\xAE dm-crypt, ... \n\u2022 Envisagez de crypter les donn\xE9es sensibles\ + \ stock\xE9es dans le nuage. \n\u2022 Mettre en \u0153uvre des mesures de\ + \ protection sp\xE9cifiques pour emp\xEAcher l'acc\xE8s non autoris\xE9, la\ + \ d\xE9formation ou la modification des donn\xE9es du syst\xE8me et des enregistrements\ + \ d'audit (par exemple, droits d'acc\xE8s restreints, sauvegardes quotidiennes,\ + \ cryptage des donn\xE9es, installation de pare-feu). \n\u2022 Chiffrez les\ + \ disques durs, les supports externes, les fichiers stock\xE9s, les fichiers\ + \ de configuration et les donn\xE9es stock\xE9es dans le nuage." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds + ref_id: PR.DS-2 + description: "Les donn\xE9es en transit sont prot\xE9g\xE9es." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-2 + ref_id: PR.DS-2.1 + description: "L'organisation doit prot\xE9ger les informations de ses syst\xE8\ + mes jug\xE9es critiques lorsqu'elles sont en transit." + annotation: Si vous envoyez des documents ou des courriels sensibles, vous pouvez + envisager de les crypter. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds + ref_id: PR.DS-3 + description: "Les actifs sont g\xE9r\xE9s de mani\xE8re formelle tout au long\ + \ de leur retrait, de leur transfert et de leur mise \xE0 disposition." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.ds-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-3 + ref_id: BASIQUE_PR.DS-3.1 + description: "Les actifs et les supports doivent \xEAtre \xE9limin\xE9s de mani\xE8\ + re s\xFBre." + annotation: "\u2022 Lors de l'\xE9limination d'actifs tangibles tels que les\ + \ ordinateurs professionnels/portables, les serveurs, le(s) disque(s) dur(s)\ + \ et autres supports de stockage (cl\xE9s USB, papier...), assurez-vous que\ + \ toutes les donn\xE9es professionnelles ou personnelles sensibles sont supprim\xE9\ + es de mani\xE8re s\xE9curis\xE9e (c'est-\xE0-dire \"effac\xE9es\" \xE9lectroniquement)\ + \ avant d'\xEAtre retir\xE9es et ensuite physiquement d\xE9truites (ou remises\ + \ en service). Cette op\xE9ration est \xE9galement connue sous le nom de \"\ + assainissement\" et est donc li\xE9e \xE0 l'exigence et aux conseils de PR.IP-6.\ + \ \n\u2022 Envisager d'installer une application d'effacement \xE0 distance\ + \ sur les ordinateurs portables, les tablettes, les t\xE9l\xE9phones portables\ + \ et autres appareils mobiles de l'organisation." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ds-3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-3 + ref_id: IMPORTANT_PR.DS-3.2 + description: "L'organisation doit faire respecter l'obligation de rendre compte\ + \ de tous ses actifs essentiels \xE0 l'organisation tout au long du cycle\ + \ de vie du syst\xE8me, y compris lors du retrait, du transfert et de leur\ + \ mise \xE0 disposition." + annotation: "Il convient que la responsabilit\xE9 inclue : \n\u2022 L'autorisation\ + \ pour les actifs critiques d'entrer et de sortir de l'installation. \n\u2022\ + \ Le suivi et maintien de la documentation relative aux mouvements des actifs\ + \ critiques pour l\u2019organisation." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ds-3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-3 + ref_id: IMPORTANT_PR.DS-3.3 + description: "L'organisation doit veiller \xE0 ce que les mesures n\xE9cessaires\ + \ soient prises pour faire face \xE0 la perte, \xE0 l'utilisation abusive,\ + \ \xE0 la d\xE9t\xE9rioration ou au vol des actifs." + annotation: "Cela peut se faire par des politiques, des processus et des proc\xE9\ + dures (reporting), des moyens techniques et organisationnels (cryptage, contr\xF4\ + le d'acc\xE8s (AC), gestion des appareils mobiles (MDM), surveillance, effacement\ + \ s\xE9curis\xE9, sensibilisation, accord d'utilisation sign\xE9, directives\ + \ et manuels, sauvegardes, mise \xE0 jour de l'inventaire...)." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-3 + ref_id: PR.DS-3.4 + description: "L'organisation doit s'assurer que les actions d'\xE9limination\ + \ sont approuv\xE9es, suivies, document\xE9es et v\xE9rifi\xE9es." + annotation: "Les actions d'\xE9limination comprennent des actions de assainissement\ + \ des m\xE9dias (voir PR.IP-6)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds + ref_id: PR.DS-4 + description: "Une capacit\xE9 ad\xE9quate pour assurer la disponibilit\xE9 est\ + \ maintenue." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ds-4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-4 + ref_id: IMPORTANT_PR.DS-4.1 + description: "La planification des capacit\xE9s doit garantir des ressources\ + \ ad\xE9quates pour le traitement de l'information, la mise en r\xE9seau,\ + \ les t\xE9l\xE9communications et le stockage des donn\xE9es des syst\xE8\ + mes critiques de l'organisation." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ds-4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-4 + ref_id: IMPORTANT_PR.DS-4.2 + description: "Les donn\xE9es d'audit des syst\xE8mes critiques de l'organisation\ + \ doivent \xEAtre d\xE9plac\xE9es vers un syst\xE8me alternatif." + annotation: "Sachez que les services de log peuvent devenir un goulot d'\xE9\ + tranglement et entraver le bon fonctionnement des syst\xE8mes sources." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-4 + ref_id: PR.DS-4.3 + description: "Les syst\xE8mes critiques de l'organisation doivent \xEAtre prot\xE9\ + g\xE9s contre les attaques par d\xE9ni de service ou, du moins, l'effet de\ + \ ces attaques sera limit\xE9." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds + ref_id: PR.DS-5 + description: "Les protections contre les fuites de donn\xE9es sont mises en\ + \ \u0153uvre." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ds-5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-5 + ref_id: IMPORTANT_PR.DS-5.1 + description: "L'organisation doit prendre des mesures appropri\xE9es qui se\ + \ traduisent par la surveillance de ses syst\xE8mes critiques aux fronti\xE8\ + res ext\xE9rieures et aux points internes critiques lorsqu'un acc\xE8s et\ + \ des activit\xE9s non autoris\xE9s, y compris une fuite de donn\xE9es, sont\ + \ d\xE9tect\xE9s. - mesure cl\xE9 -" + annotation: "\u2022 Pensez \xE0 mettre en place des mesures de protection d\xE9\ + di\xE9es (droits d'acc\xE8s restreints, sauvegardes quotidiennes, cryptage\ + \ des donn\xE9es, installation de pare-feu, etc.) pour les donn\xE9es les\ + \ plus sensibles. \n\u2022 Envisager un audit fr\xE9quent de la configuration\ + \ de l'annuaire central (Active Directory dans l'environnement Windows), en\ + \ se concentrant sp\xE9cifiquement sur l'acc\xE8s aux donn\xE9es des personnes\ + \ cl\xE9s de l'organisation." + implementation_groups: + - I + - E + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds + ref_id: PR.DS-6 + description: "Des m\xE9canismes de v\xE9rification de l'int\xE9grit\xE9 sont\ + \ utilis\xE9s pour v\xE9rifier l'int\xE9grit\xE9 des logiciels, des microprogrammes\ + \ et des informations." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ds-6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-6 + ref_id: IMPORTANT_PR.DS-6.1 + description: "L'organisation doit mettre en \u0153uvre des contr\xF4les d'int\xE9\ + grit\xE9 des logiciels, des microprogrammes et des informations pour d\xE9\ + tecter les modifications non autoris\xE9es apport\xE9es aux composants de\ + \ ses syst\xE8mes critiques pendant le stockage, le transport, le d\xE9marrage\ + \ et lorsque cela est jug\xE9 n\xE9cessaire." + annotation: "Les m\xE9canismes de v\xE9rification de l'int\xE9grit\xE9 conformes\ + \ \xE0 l'\xE9tat de l'art (par exemple, les contr\xF4les de parit\xE9, les\ + \ contr\xF4les de redondance cyclique, les hachages cryptographiques) et les\ + \ outils associ\xE9s peuvent surveiller automatiquement l'int\xE9grit\xE9\ + \ des syst\xE8mes d'information et des applications h\xE9berg\xE9es." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-6 + ref_id: PR.DS-6.2 + description: "L'organisation doit mettre en \u0153uvre des outils automatis\xE9\ + s, dans la mesure du possible, afin de fournir une notification lors de la\ + \ d\xE9couverte de divergences pendant la v\xE9rification de l'int\xE9grit\xE9\ + ." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-6 + ref_id: PR.DS-6.3 + description: "L'organisation doit mettre en \u0153uvre une capacit\xE9 de r\xE9\ + ponse automatique avec des garanties de s\xE9curit\xE9 pr\xE9d\xE9finies lorsque\ + \ des violations de l'int\xE9grit\xE9 sont d\xE9couvertes." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds + ref_id: PR.DS-7 + description: "L'environnement ou les environnements de d\xE9veloppement et de\ + \ test sont s\xE9par\xE9s de l'environnement de production." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-7 + ref_id: PR.DS-7.1 + description: "Le ou les environnements de d\xE9veloppement et de test doivent\ + \ \xEAtre isol\xE9s de l'environnement de production." + annotation: "\u2022 Il convient que tout changement que l'on souhaite apporter\ + \ \xE0 l'environnement ICT/OT soit d'abord test\xE9 dans un environnement\ + \ diff\xE9rent et distinct de l'environnement de production (environnement\ + \ op\xE9rationnel) avant que ce changement ne soit effectivement mis en \u0153\ + uvre. De cette fa\xE7on, l'effet de ces changements peut \xEAtre analys\xE9\ + \ et des ajustements peuvent \xEAtre effectu\xE9s sans perturber les activit\xE9\ + s op\xE9rationnelles. \n\u2022 Envisagez d'ajouter et de tester des fonctions\ + \ de cybers\xE9curit\xE9 d\xE8s le d\xE9but du d\xE9veloppement (principes\ + \ du cycle de d\xE9veloppement s\xE9curis\xE9)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds + ref_id: PR.DS-8 + description: "Les m\xE9canismes de contr\xF4le d'int\xE9grit\xE9 sont utilis\xE9\ + s pour v\xE9rifier l'int\xE9grit\xE9 du mat\xE9riel." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-8 + ref_id: PR.DS-8.1 + description: "L'organisation doit mettre en \u0153uvre des contr\xF4les d'int\xE9\ + grit\xE9 du mat\xE9riel pour d\xE9tecter les alt\xE9rations non autoris\xE9\ + es du mat\xE9riel de ses syst\xE8mes critiques." + annotation: "Les m\xE9canismes de v\xE9rification de l'int\xE9grit\xE9 conformes\ + \ \xE0 l'\xE9tat de l'art (par exemple, les contr\xF4les de parit\xE9, les\ + \ contr\xF4les de redondance cyclique, les hachages cryptographiques) et les\ + \ outils associ\xE9s peuvent surveiller automatiquement l'int\xE9grit\xE9\ + \ des syst\xE8mes d'information et des applications h\xE9berg\xE9es." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ds-8 + ref_id: PR.DS-8.2 + description: "L'organisation doit int\xE9grer la d\xE9tection de l'alt\xE9ration\ + \ non autoris\xE9e du mat\xE9riel de ses syst\xE8mes critiques dans sa capacit\xE9\ + \ de r\xE9ponse aux incidents." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr + ref_id: PR.IP + name: "Processus et proc\xE9dures de protection de l'information" + description: "Les politiques de s\xE9curit\xE9 (qui traitent de l'objectif,\ + \ de la port\xE9e, des r\xF4les, des responsabilit\xE9s, de l'engagement de\ + \ la direction et de la coordination entre les entit\xE9s organisationnelles),\ + \ les processus et les proc\xE9dures sont maintenus et utilis\xE9s pour g\xE9\ + rer la protection des syst\xE8mes d'information et des actifs." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip + ref_id: PR.IP-1 + description: "Une configuration de base des syst\xE8mes de contr\xF4le des technologies\ + \ de l'information/de l'industrie est cr\xE9\xE9e et maintenue en int\xE9\ + grant les principes de s\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ip-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-1 + ref_id: IMPORTANT_PR.IP-1.1 + description: "L'organisation doit d\xE9velopper, documenter et maintenir une\ + \ configuration de base pour ses syst\xE8mes critiques. - mesure cl\xE9 -" + annotation: "\u2022 Ce contr\xF4le inclut le concept de la moindre fonctionnalit\xE9\ + . \n\u2022 Les configurations de base comprennent, par exemple, des informations\ + \ sur les syst\xE8mes critiques de l'organisation, les num\xE9ros de version\ + \ actuels et les informations sur les correctifs des syst\xE8mes d'exploitation\ + \ et des applications, les param\xE8tres de configuration, la topologie du\ + \ r\xE9seau et l'emplacement logique de ces composants dans l'architecture\ + \ du syst\xE8me. \n\u2022 Il convient que la topologie du r\xE9seau inclue\ + \ les points n\xE9vralgiques de l'environnement IT/OT (connexions externes,\ + \ serveurs h\xE9bergeant des donn\xE9es et/ou des fonctions sensibles, s\xE9\ + curit\xE9 des services DNS, etc.)" + implementation_groups: + - I + - E + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-1 + ref_id: PR.IP-1.2 + description: "L'organisation doit configurer ses syst\xE8mes critiques pour\ + \ fournir uniquement les capacit\xE9s essentielles. Par cons\xE9quent, la\ + \ configuration de base doit \xEAtre revue et les capacit\xE9s inutiles doivent\ + \ \xEAtre d\xE9sactiv\xE9es." + annotation: "\u2022 La configuration d'un syst\xE8me pour fournir uniquement\ + \ les capacit\xE9s essentielles \xE0 la mission d\xE9finies par l'organisation\ + \ est connue sous le nom de \"concept de moindre fonctionnalit\xE9\". \n\u2022\ + \ Les capacit\xE9s comprennent les fonctions, les ports, les protocoles, les\ + \ logiciels et/ou les services." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip + ref_id: PR.IP-2 + description: "Un cycle de vie du d\xE9veloppement des syst\xE8mes pour g\xE9\ + rer les syst\xE8mes est mis en \u0153uvre ." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ip-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-2 + ref_id: IMPORTANT_PR.IP-2.1 + description: "Le cycle de vie du d\xE9veloppement des syst\xE8mes et des applications\ + \ doit inclure des consid\xE9rations de s\xE9curit\xE9." + annotation: "\u2022 Il convient que le cycle de vie du d\xE9veloppement des\ + \ syst\xE8mes et des applications inclue le processus d'acquisition des syst\xE8\ + mes critiques de l'organisation et de ses composants. \u2022 Il convient d'envisager\ + \ une formation \xE0 la sensibilisation aux vuln\xE9rabilit\xE9s et \xE0 la\ + \ pr\xE9vention pour les d\xE9veloppeurs (d'applications web), ainsi qu'une\ + \ formation avanc\xE9e \xE0 la sensibilisation \xE0 l'ing\xE9nierie sociale\ + \ pour les r\xF4les importants. \u2022 Lorsque l'on h\xE9berge des applications\ + \ tourn\xE9es vers l'internet, il convient d'envisager la mise en place d'un\ + \ pare-feu pour applications web (WAF)." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-2 + ref_id: PR.IP-2.2 + description: "Le processus de d\xE9veloppement des syst\xE8mes critiques et\ + \ de leurs composants doit couvrir l'ensemble du cycle de conception et fournir\ + \ une description des propri\xE9t\xE9s fonctionnelles des contr\xF4les de\ + \ s\xE9curit\xE9, ainsi que des informations sur la conception et la mise\ + \ en \u0153uvre des interfaces du syst\xE8me relatives \xE0 la s\xE9curit\xE9\ + ." + annotation: "Le cycle de d\xE9veloppement comprend : \n\u2022 Toutes les phases\ + \ de d\xE9veloppement : sp\xE9cification, conception, d\xE9veloppement, mise\ + \ en \u0153uvre. \n\u2022 Gestion de la configuration pour les changements\ + \ planifi\xE9s et non planifi\xE9s et contr\xF4le des changements pendant\ + \ le d\xE9veloppement. \n\u2022 Suivi et r\xE9solution des failles. \n\u2022\ + \ Test de s\xE9curit\xE9." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip + ref_id: PR.IP-3 + description: "Des processus de contr\xF4le des changements de configuration\ + \ sont en place." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ip-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-3 + ref_id: IMPORTANT_PR.IP-3.1 + description: "Les modifications doivent \xEAtre test\xE9es et valid\xE9es avant\ + \ d'\xEAtre mises en \u0153uvre dans les syst\xE8mes op\xE9rationnels." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-3 + ref_id: PR.IP-3.2 + description: "Pour les modifications pr\xE9vues des syst\xE8mes critiques de\ + \ l'organisation, une analyse d'impact sur la s\xE9curit\xE9 doit \xEAtre\ + \ effectu\xE9e dans un environnement de test distinct avant la mise en \u0153\ + uvre dans un environnement op\xE9rationnel." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip + ref_id: PR.IP-4 + description: "Des sauvegardes des informations sont effectu\xE9es, maintenues\ + \ et test\xE9es ." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.ip-4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-4 + ref_id: BASIQUE_PR.IP-4.1 + description: "Les sauvegardes des donn\xE9es critiques de l'organisation doivent\ + \ \xEAtre effectu\xE9es et stock\xE9es sur un syst\xE8me diff\xE9rent du dispositif\ + \ sur lequel se trouvent les donn\xE9es originales. - mesure cl\xE9 -" + annotation: "\u2022 Les donn\xE9es des syst\xE8mes critiques de l'organisation\ + \ comprennent par exemple les logiciels, les configurations et les param\xE8\ + tres, la documentation, les donn\xE9es de configuration du syst\xE8me, y compris\ + \ les sauvegardes de la configuration de l'ordinateur, les sauvegardes de\ + \ la configuration des applications, etc. \n\u2022 Envisagez une sauvegarde\ + \ r\xE9guli\xE8re et mettez-la hors ligne p\xE9riodiquement. \n\u2022 Il convient\ + \ que les objectifs de temps et de point de r\xE9tablissement doivent \xEA\ + tre pris en compte. \n\u2022 Envisagez de ne pas stocker la sauvegarde des\ + \ donn\xE9es de l'organisation sur le m\xEAme r\xE9seau que le syst\xE8me\ + \ sur lequel r\xE9sident les donn\xE9es originales et fournissez une copie\ + \ hors ligne. Cela permet notamment d'\xE9viter le cryptage des fichiers par\ + \ les pirates (risque de ransomware)." + implementation_groups: + - B + - I + - E + - BK + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ip-4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-4 + ref_id: IMPORTANT_PR.IP-4.2 + description: "La fiabilit\xE9 et l'int\xE9grit\xE9 des sauvegardes doivent \xEA\ + tre v\xE9rifi\xE9es et test\xE9es r\xE9guli\xE8rement." + annotation: "Il convient d\u2019inclure des tests r\xE9guliers des proc\xE9\ + dures de restauration des sauvegardes." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ip-4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-4 + ref_id: IMPORTANT_PR.IP-4.3 + description: "Un site de stockage alternatif distinct pour les sauvegardes du\ + \ syst\xE8me doit \xEAtre exploit\xE9 et les m\xEAmes mesures de s\xE9curit\xE9\ + \ que le site de stockage principal doivent \xEAtre utilis\xE9es." + annotation: "Une sauvegarde hors ligne de vos donn\xE9es est id\xE9alement stock\xE9\ + e dans un endroit physique distinct de la source de donn\xE9es originale et,\ + \ si possible, hors site pour une protection et une s\xE9curit\xE9 suppl\xE9\ + mentaires." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-4 + ref_id: PR.IP-4.4 + description: "La v\xE9rification des sauvegardes doit \xEAtre coordonn\xE9e\ + \ avec les fonctions de l'organisation qui sont responsables des plans connexes." + annotation: "\u2022 Les plans connexes comprennent, par exemple, les plans de\ + \ continuit\xE9 des activit\xE9s, les plans de reprise apr\xE8s sinistre,\ + \ les plans de continuit\xE9 des op\xE9rations, les plans de communication\ + \ de crise, les plans d'infrastructure critique et les plans de r\xE9ponse\ + \ aux cyberincidents. \n\u2022 Il convient que la restauration des donn\xE9\ + es de sauvegarde pendant les tests du plan d'urgence soit pr\xE9vue." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-4 + ref_id: PR.IP-4.5 + description: "La sauvegarde des syst\xE8mes critiques doit \xEAtre s\xE9par\xE9\ + e de la sauvegarde des informations critiques." + annotation: "Il convient que la s\xE9paration de la sauvegarde des syst\xE8\ + mes critiques et de la sauvegarde des informations critiques devrait permette\ + \ de r\xE9duire le temps de r\xE9tablissement." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip + ref_id: PR.IP-5 + description: "La politique et les r\xE8glements concernant l'environnement physique\ + \ d'exploitation des actifs de l'organisation sont respect\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ip-5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-5 + ref_id: IMPORTANT_PR.IP-5.1 + description: "L'organisation doit d\xE9finir, mettre en \u0153uvre et appliquer\ + \ une politique et des proc\xE9dures concernant les syst\xE8mes d'urgence\ + \ et de s\xE9curit\xE9, les syst\xE8mes de protection contre l'incendie et\ + \ les contr\xF4les de l'environnement pour ses syst\xE8mes critiques." + annotation: "Les mesures ci-dessous doivent \xEAtre envisag\xE9es : \n\u2022\ + \ Prot\xE9gez les \xE9quipements informatiques non surveill\xE9s avec des\ + \ cadenas ou un syst\xE8me de casiers et de cl\xE9s. \n\u2022 Il convient\ + \ que les m\xE9canismes d'extinction des incendies tiennent compte de l'environnement\ + \ des syst\xE8mes critiques de l'organisation (par exemple, les syst\xE8mes\ + \ d'extincteurs automatiques \xE0 eau peuvent \xEAtre dangereux dans certains\ + \ environnements)." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-5 + ref_id: PR.IP-5.2 + description: "L'organisation doit mettre en place des dispositifs de d\xE9tection\ + \ d'incendie qui se d\xE9clenchent et avertissent automatiquement le personnel\ + \ cl\xE9 en cas d'incendie." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip + ref_id: PR.IP-6 + description: "Les donn\xE9es sont d\xE9truites conform\xE9ment \xE0 la politique." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ip-6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-6 + ref_id: IMPORTANT_PR.IP-6.1 + description: "L'organisation doit s'assurer que les donn\xE9es de son syst\xE8\ + me critique sont d\xE9truites conform\xE9ment \xE0 la politique." + annotation: "\u2022 Les actions d'\xE9limination comprennent des actions d\u2019\ + assainissement des m\xE9dias (voir PR.DS-3). \n\u2022 Il existe deux principaux\ + \ types de supports utilis\xE9s couramment : \no Supports papier (repr\xE9\ + sentations physiques de l'information) \no Les supports \xE9lectroniques ou\ + \ informatiques (les bits et les octets contenus dans les disques durs, les\ + \ m\xE9moires vives (RAM), les m\xE9moires mortes (ROM), les disques, les\ + \ dispositifs de m\xE9moire, les t\xE9l\xE9phones, les dispositifs informatiques\ + \ mobiles, les \xE9quipements de r\xE9seau...)." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-6 + ref_id: PR.IP-6.2 + description: "Les processus d'assainissement doivent \xEAtre document\xE9s et\ + \ test\xE9s." + annotation: "\u2022 Les processus d'assainissement comprennent les proc\xE9\ + dures et les \xE9quipements. \n\u2022 Envisagez d'appliquer des techniques\ + \ d\u2019assainissement non destructives aux dispositifs de stockage portables.\ + \ \n\u2022 Consid\xE9rez les proc\xE9dures d'assainissement en fonction des\ + \ exigences de confidentialit\xE9." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip + ref_id: PR.IP-7 + description: "Les processus de protection sont am\xE9lior\xE9s" + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ip-7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-7 + ref_id: IMPORTANT_PR.IP-7.1 + description: "L'organisation doit int\xE9grer les am\xE9liorations d\xE9coulant\ + \ de la surveillance, des mesures, des \xE9valuations et des enseignements\ + \ tir\xE9s dans les mises \xE0 jour du processus de protection (am\xE9lioration\ + \ continue)." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-7 + ref_id: PR.IP-7.2 + description: "L'organisation doit mettre en place des \xE9quipes ind\xE9pendantes\ + \ pour \xE9valuer le(s) processus de protection." + annotation: "\u2022 Les \xE9quipes ind\xE9pendantes peuvent comprendre du personnel\ + \ impartial interne ou externe. \n\u2022 L'impartialit\xE9 implique que les\ + \ \xE9valuateurs soient libres de tout conflit d'int\xE9r\xEAt per\xE7u ou\ + \ r\xE9el concernant le d\xE9veloppement, l'exploitation ou la gestion du\ + \ syst\xE8me critique de l'organisation soumis \xE0 l'\xE9valuation ou la\ + \ d\xE9termination de l'efficacit\xE9 du contr\xF4le de s\xE9curit\xE9." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-7 + ref_id: PR.IP-7.3 + description: "L'organisation doit s'assurer que le plan de s\xE9curit\xE9 de\ + \ ses syst\xE8mes critiques facilite l'examen, le test et l'am\xE9lioration\ + \ continue des processus de protection de la s\xE9curit\xE9." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip + ref_id: PR.IP-8 + description: "L'efficacit\xE9 des technologies de protection est partag\xE9\ + e." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ip-8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-8 + ref_id: IMPORTANT_PR.IP-8.1 + description: "L'organisation doit collaborer et partager avec les partenaires\ + \ d\xE9sign\xE9s les informations relatives aux incidents de s\xE9curit\xE9\ + \ li\xE9s \xE0 son syst\xE8me critique et aux mesures d'att\xE9nuation." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ip-8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-8 + ref_id: IMPORTANT_PR.IP-8.2 + description: "La communication de l'efficacit\xE9 des technologies de protection\ + \ est partag\xE9e avec les parties appropri\xE9es." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ip-8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-8 + ref_id: IMPORTANT_PR.IP-8.3 + description: "L'organisation doit mettre en \u0153uvre, dans la mesure du possible,\ + \ des m\xE9canismes automatis\xE9s pour faciliter la collaboration en mati\xE8\ + re d'information." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip + ref_id: PR.IP-9 + description: "Des plans de r\xE9ponse (r\xE9ponse aux incidents et continuit\xE9\ + \ des activit\xE9s) et des plans de r\xE9tablissement (reprise apr\xE8s incident\ + \ et reprise apr\xE8s sinistre) sont en place et g\xE9r\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ip-9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-9 + ref_id: IMPORTANT_PR.IP-9.1 + description: "Des plans de r\xE9ponse en cas d'incident (r\xE9ponse aux incidents\ + \ et continuit\xE9 des activit\xE9s) et des plans de r\xE9tablissement (r\xE9\ + tablissement en cas d'incident et reprise apr\xE8s sinistre) doivent \xEA\ + tre \xE9tablis, maintenus, approuv\xE9s et test\xE9s afin de d\xE9terminer\ + \ l'efficacit\xE9 des plans et l'\xE9tat de pr\xE9paration \xE0 l'ex\xE9cution\ + \ des plans." + annotation: "\u2022 Le plan de r\xE9ponse aux incidents est la documentation\ + \ d'un ensemble pr\xE9d\xE9termin\xE9 d'instructions ou de proc\xE9dures pour\ + \ d\xE9tecter, r\xE9pondre et limiter les cons\xE9quences d'une cyber-attaque\ + \ malveillante. \u2022 Il convient d\u2019int\xE9grer dans les plans les objectifs\ + \ de r\xE9tablissement, les priorit\xE9s de r\xE9tablissement, les mesures,\ + \ les r\xF4les d'urgence, les affectations du personnel et les informations\ + \ de contact. \u2022 Il convient que le maintien des fonctions essentielles\ + \ malgr\xE9 la perturbation du syst\xE8me et la restauration \xE9ventuelle\ + \ des syst\xE8mes de l'organisation soient abord\xE9s. \u2022 Envisagez de\ + \ d\xE9finir les types d'incidents, les ressources et le soutien de gestion\ + \ n\xE9cessaires pour maintenir et d\xE9velopper efficacement les capacit\xE9\ + s de r\xE9ponse aux incidents et de contingence." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-9 + ref_id: PR.IP-9.2 + description: "L'organisation doit coordonner l'\xE9laboration et le test des\ + \ plans de r\xE9ponse aux incidents et des plans de r\xE9tablissement avec\ + \ les parties prenantes responsables des plans connexes." + annotation: "Les plans connexes comprennent, par exemple, les plans de continuit\xE9\ + \ des activit\xE9s, les plans de reprise apr\xE8s sinistre, les plans de continuit\xE9\ + \ des op\xE9rations, les plans de communication de crise, les plans d'infrastructure\ + \ critique, les plans de r\xE9ponse aux cyberincidents et les plans d'urgence\ + \ pour les occupants." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip + ref_id: PR.IP-11 + description: "La cybers\xE9curit\xE9 est incluse dans les pratiques de ressources\ + \ humaines (d\xE9provisionnement, s\xE9lection du personnel...)." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.ip-11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-11 + ref_id: BASIQUE_PR.IP-11.1 + description: "Le personnel ayant acc\xE8s aux informations ou aux technologies\ + \ les plus critiques de l'organisation doit \xEAtre v\xE9rifi\xE9." + annotation: "\u2022 Il convient que l'acc\xE8s aux informations ou aux technologies\ + \ critiques soit pris en compte lors du recrutement, pendant l'emploi et lors\ + \ de la cessation d'activit\xE9. \n\u2022 Il convient que les v\xE9rifications\ + \ des ant\xE9c\xE9dents tiennent compte des lois, des r\xE8glements et de\ + \ l'\xE9thique applicables, proportionnellement aux besoins de l'organisation,\ + \ \xE0 la classification des informations auxquelles il faut acc\xE9der et\ + \ aux risques per\xE7us." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ip-11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-11 + ref_id: IMPORTANT_PR.IP-11.2 + description: "\xC9laborer et maintenir un processus de s\xE9curit\xE9 de l'information/cyber\ + \ des ressources humaines applicable lors du recrutement, pendant l'emploi\ + \ et \xE0 la fin de l'emploi." + annotation: "Il convient que le processus de s\xE9curit\xE9 des ressources humaines\ + \ en mati\xE8re d'information et de cybercriminalit\xE9 comprenne l'acc\xE8\ + s aux informations ou aux technologies essentielles, la v\xE9rification des\ + \ ant\xE9c\xE9dents, le code de conduite, les r\xF4les, les pouvoirs et les\ + \ responsabilit\xE9s..." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip + ref_id: PR.IP-12 + description: "Un plan de gestion des vuln\xE9rabilit\xE9s est \xE9labor\xE9\ + \ et mis en \u0153uvre." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ip-12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ip-12 + ref_id: IMPORTANT_PR.IP-12.1 + description: "L'organisation doit \xE9tablir et maintenir un processus document\xE9\ + \ qui permet un examen continu des vuln\xE9rabilit\xE9s et des strat\xE9gies\ + \ pour les att\xE9nuer." + annotation: "\u2022 Envisager de recenser les sources susceptibles de signaler\ + \ les vuln\xE9rabilit\xE9s des composants identifi\xE9s et de diffuser les\ + \ mises \xE0 jour (sites web des \xE9diteurs de logiciels, site web du CERT,\ + \ site web de ENISA). \n\u2022 Il convient que l'organisation identifie o\xF9\ + \ les vuln\xE9rabilit\xE9s de son syst\xE8me critique peuvent \xEAtre expos\xE9\ + es \xE0 des adversaires." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr + ref_id: PR.MA + name: 'Maintenance ' + description: "La maintenance et la r\xE9paration des composants des syst\xE8\ + mes de contr\xF4le et d'information industriels sont effectu\xE9es conform\xE9\ + ment aux politiques et proc\xE9dures." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma + ref_id: PR.MA-1 + description: "L'entretien et la r\xE9paration des actifs de l'organisation sont\ + \ effectu\xE9s et consign\xE9s, avec des outils approuv\xE9s et contr\xF4\ + l\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.ma-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-1 + ref_id: BASIQUE_PR.MA-1.1 + description: "Les correctifs et les mises \xE0 jour de s\xE9curit\xE9 pour les\ + \ syst\xE8mes d'exploitation et les composants critiques du syst\xE8me doivent\ + \ \xEAtre install\xE9s. - mesure cl\xE9 -" + annotation: "Il convient de consid\xE9rer les \xE9l\xE9ments suivants: \u2022\ + \ Limitez-vous \xE0 l'installation des applications (syst\xE8mes d'exploitation,\ + \ microprogrammes ou plugins) dont vous avez besoin pour g\xE9rer votre organisation\ + \ et mettez-les \xE0 jour r\xE9guli\xE8rement. \n\u2022 Il convient de n\u2019\ + installer que la version actuelle et prise en charge par le fournisseur du\ + \ logiciel que vous choisissez d'utiliser. Il peut \xEAtre utile d'attribuer\ + \ un jour par mois \xE0 la v\xE9rification des correctifs. \n\u2022 Il existe\ + \ des produits qui peuvent analyser votre syst\xE8me et vous avertir lorsqu'il\ + \ existe une mise \xE0 jour pour une application que vous avez install\xE9\ + e. Si vous utilisez l'un de ces produits, assurez-vous qu'il v\xE9rifie les\ + \ mises \xE0 jour pour chaque application que vous utilisez. \u2022 Installer\ + \ les correctifs et les mises \xE0 jour de s\xE9curit\xE9 en temps voulu." + implementation_groups: + - B + - I + - E + - BK + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ma-1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-1 + ref_id: IMPORTANT_PR.MA-1.2 + description: "L'organisation doit planifier, r\xE9aliser et documenter la maintenance\ + \ pr\xE9ventive et les r\xE9parations des composants critiques de son syst\xE8\ + me selon des processus et des outils approuv\xE9s." + annotation: "Il convient de consid\xE9rer les \xE9l\xE9ments suivants: \u2022\ + \ Effectuer les mises \xE0 jour de s\xE9curit\xE9 sur tous les logiciels en\ + \ temps voulu. \n\u2022 Automatisez le processus de mise \xE0 jour et contr\xF4\ + lez son efficacit\xE9. \u2022 Introduire une culture interne de l'application\ + \ de correctifs sur les ordinateurs de bureau, les appareils mobiles, les\ + \ serveurs, les composants de r\xE9seau, etc. pour assurer le suivi des mises\ + \ \xE0 jour." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ma-1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-1 + ref_id: IMPORTANT_PR.MA-1.3 + description: "L'organisation doit appliquer les exigences d'approbation, de\ + \ contr\xF4le et de surveillance des outils de maintenance destin\xE9s \xE0\ + \ \xEAtre utilis\xE9s sur ses syst\xE8mes critiques." + annotation: "Les outils de maintenance peuvent inclure des \xE9quipements de\ + \ test de diagnostic mat\xE9riel/logiciel, des renifleurs de paquets mat\xE9\ + riel/logiciel et des ordinateurs portables." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ma-1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-1 + ref_id: IMPORTANT_PR.MA-1.4 + description: "L'organisation doit v\xE9rifier les contr\xF4les de s\xE9curit\xE9\ + \ apr\xE8s la maintenance ou la r\xE9paration du mat\xE9riel et prendre les\ + \ mesures qui s'imposent." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-1 + ref_id: PR.MA-1.5 + description: "L'organisation doit emp\xEAcher le retrait non autoris\xE9 des\ + \ \xE9quipements de maintenance contenant des informations critiques sur les\ + \ syst\xE8mes de l'organisation. - mesure cl\xE9 -" + annotation: Cette exigence concerne principalement les environnements OT/ICS. + implementation_groups: + - E + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-1 + ref_id: PR.MA-1.6 + description: "Les outils de maintenance et les dispositifs de stockage portables\ + \ doivent \xEAtre inspect\xE9s lorsqu'ils sont introduits dans l'\xE9tablissement\ + \ et doivent \xEAtre prot\xE9g\xE9s par des solutions anti-malware afin qu'ils\ + \ soient analys\xE9s pour d\xE9tecter les codes malveillants avant d'\xEA\ + tre utilis\xE9s sur les syst\xE8mes de l'organisation. - mesure cl\xE9 -" + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-1 + ref_id: PR.MA-1.7 + description: "L'organisation doit v\xE9rifier les contr\xF4les de s\xE9curit\xE9\ + \ \xE0 la suite de la maintenance ou de la r\xE9paration/du correctif du mat\xE9\ + riel et des logiciels et prendre les mesures qui s'imposent. - mesure cl\xE9\ + \ -" + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma + ref_id: PR.MA-2 + description: "La maintenance \xE0 distance des actifs de l'organisation est\ + \ approuv\xE9e, consign\xE9e et effectu\xE9e de mani\xE8re \xE0 emp\xEAcher\ + \ tout acc\xE8s non autoris\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ma-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-2 + ref_id: IMPORTANT_PR.MA-2.1 + description: "La t\xE9l\xE9maintenance ne doit avoir lieu qu'apr\xE8s approbation\ + \ pr\xE9alable, surveillance pour \xE9viter tout acc\xE8s non autoris\xE9\ + , et approbation du r\xE9sultat des activit\xE9s de maintenance telles que\ + \ d\xE9crites dans les processus ou proc\xE9dures approuv\xE9s." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.ma-2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-2 + ref_id: IMPORTANT_PR.MA-2.2 + description: "L'organisation doit s'assurer de la mise en \u0153uvre d'authentificateurs\ + \ forts, de la prise d'enregistrements et de la fermeture de session pour\ + \ la maintenance \xE0 distance." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.ma-2 + ref_id: PR.MA-2.3 + description: "L'organisation doit exiger que les services de diagnostic relatifs\ + \ \xE0 la t\xE9l\xE9maintenance soient effectu\xE9s \xE0 partir d'un syst\xE8\ + me qui met en \u0153uvre une capacit\xE9 de s\xE9curit\xE9 comparable \xE0\ + \ celle mise en \u0153uvre sur le syst\xE8me critique de l'organisation \xE9\ + quivalent." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr + ref_id: PR.PT + name: Technologie de protection + description: "Les solutions de s\xE9curit\xE9 technique sont g\xE9r\xE9es de\ + \ mani\xE8re \xE0 garantir la s\xE9curit\xE9 et la r\xE9silience des syst\xE8\ + mes et des actifs, conform\xE9ment aux politiques, proc\xE9dures et accords\ + \ connexes." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt + ref_id: PR.PT-1 + description: "Les enregistrements d'audit/logs sont d\xE9termin\xE9s, document\xE9\ + s, mis en \u0153uvre et r\xE9vis\xE9s conform\xE9ment \xE0 la politique." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.pt-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-1 + ref_id: BASIQUE_PR.PT-1.1 + description: "Les logs doivent \xEAtre maintenus, document\xE9s et examin\xE9\ + s. - mesure cl\xE9 -" + annotation: "\u2022 Assurez-vous que la fonctionnalit\xE9 d'enregistrement des\ + \ activit\xE9s du mat\xE9riel ou du logiciel de protection/d\xE9tection (par\ + \ exemple, les pare-feu, les antivirus) est activ\xE9e. \n\u2022 Il convient\ + \ que les logs soient sauvegard\xE9s et conserv\xE9s pendant une p\xE9riode\ + \ pr\xE9d\xE9finie. \n\u2022 Il convient que les logs soient examin\xE9s pour\ + \ d\xE9celer toute tendance inhabituelle ou ind\xE9sirable, telle qu'une utilisation\ + \ importante des sites Web de m\xE9dias sociaux ou un nombre inhabituel de\ + \ virus trouv\xE9s r\xE9guli\xE8rement sur un ordinateur particulier. Ces\ + \ tendances peuvent indiquer un probl\xE8me plus grave ou signaler la n\xE9\ + cessit\xE9 de renforcer les protections dans un domaine particulier." + implementation_groups: + - B + - I + - E + - BK + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.pt-1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-1 + ref_id: IMPORTANT_PR.PT-1.2 + description: "L'organisation doit s'assurer que les enregistrements de log comprennent\ + \ une source de temps faisant autorit\xE9 ou un horodateur d'horloge interne\ + \ qui sont compar\xE9s et synchronis\xE9s avec une source de temps faisant\ + \ autorit\xE9." + annotation: "Les sources de temps faisant autorit\xE9 comprennent, par exemple,\ + \ un serveur interne NTP (Network Time Protocol), une horloge radio, une horloge\ + \ atomique, une source de temps GPS." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-1 + ref_id: PR.PT-1.3 + description: "L'organisation doit s'assurer que les \xE9checs de traitement\ + \ des audits sur les syst\xE8mes de l'organisation g\xE9n\xE8rent des alertes\ + \ et d\xE9clenchent des r\xE9ponses d\xE9finies." + annotation: "L'utilisation de serveurs System Logging Protocol (Syslog) peut\ + \ \xEAtre envisag\xE9e." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-1 + ref_id: PR.PT-1.4 + description: "L'organisation doit permettre aux personnes autoris\xE9es d'\xE9\ + tendre les capacit\xE9s d'audit lorsque les \xE9v\xE9nements l'exigent." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt + ref_id: PR.PT-2 + description: "Les supports amovibles sont prot\xE9g\xE9s et leur utilisation\ + \ est limit\xE9e conform\xE9ment \xE0 la politique." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.pt-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-2 + ref_id: IMPORTANT_PR.PT-2.1 + description: "La restriction de l'utilisation des dispositifs de stockage portables\ + \ doit \xEAtre assur\xE9e par une politique document\xE9e appropri\xE9e et\ + \ des mesures de protection compl\xE9mentaires." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.pt-2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-2 + ref_id: IMPORTANT_PR.PT-2.2 + description: "Il convient que l'organisation interdisse techniquement la connexion\ + \ de supports amovibles, sauf si cela est strictement n\xE9cessaire ; dans\ + \ les autres cas, il convient de d\xE9sactiver l'ex\xE9cution de programmes\ + \ automatiques \xE0 partir de ces support." + annotation: "Aucune orientation sp\xE9cifique sur ce sujet" + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-2 + ref_id: PR.PT-2.3 + description: "Les dispositifs de stockage portables contenant des donn\xE9es\ + \ syst\xE8me doivent \xEAtre contr\xF4l\xE9s et prot\xE9g\xE9s pendant leur\ + \ transport et leur stockage. - mesure cl\xE9 -" + annotation: "Il convient que la protection et le contr\xF4le incluent le scannage\ + \ de tous les dispositifs de stockage portables pour d\xE9tecter les codes\ + \ malveillants avant qu'ils ne soient utilis\xE9s sur les syst\xE8mes de l'organisation." + implementation_groups: + - E + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt + ref_id: PR.PT-3 + description: "Le principe de la moindre fonctionnalit\xE9 est incorpor\xE9 en\ + \ configurant les syst\xE8mes de mani\xE8re \xE0 ne fournir que les capacit\xE9\ + s essentielles." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_pr.pt-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-3 + ref_id: IMPORTANT_PR.PT-3.1 + description: "L'organisation doit configurer les syst\xE8mes critiques pour\ + \ l'organisation afin de ne fournir que les capacit\xE9s essentielles." + annotation: "Envisagez d'appliquer le principe de la moindre fonctionnalit\xE9\ + \ aux syst\xE8mes d'acc\xE8s et aux actifs (voir \xE9galement PR.AC-4)." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-3 + ref_id: PR.PT-3.2 + description: "L'organisation doit d\xE9sactiver les fonctions, ports, protocoles\ + \ et services d\xE9finis au sein de ses syst\xE8mes critiques qu'il juge inutiles." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-3 + ref_id: PR.PT-3.3 + description: "L'organisation doit mettre en \u0153uvre des mesures de protection\ + \ techniques pour appliquer une politique de refus de tout, d'autorisation\ + \ par exception, afin de n'autoriser que l'ex\xE9cution des programmes logiciels\ + \ autoris\xE9s." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt + ref_id: PR.PT-4 + description: "Les r\xE9seaux de communication et de contr\xF4le sont prot\xE9\ + g\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_pr.pt-4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-4 + ref_id: BASIQUE_PR.PT-4.1 + description: "Des filtres web et e-mail doivent \xEAtre install\xE9s et utilis\xE9\ + s." + annotation: "\u2022 Il convient que les filtres de messagerie d\xE9tectent les\ + \ courriers \xE9lectroniques malveillants et que le filtrage soit configur\xE9\ + \ en fonction du type de pi\xE8ces jointes des messages afin que les fichiers\ + \ des types sp\xE9cifi\xE9s soient automatiquement trait\xE9s (par exemple,\ + \ supprim\xE9s). \n\u2022 Il convient que les filtres Web avertissent l'utilisateur\ + \ si un site Web est susceptible de contenir des logiciels malveillants et\ + \ emp\xEAcher potentiellement les utilisateurs d'acc\xE9der \xE0 ce site." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-4 + ref_id: PR.PT-4.2 + description: "L'organisation doit ma\xEEtriser les flux d'informations/de donn\xE9\ + es au sein de ses syst\xE8mes critiques et entre les syst\xE8mes interconnect\xE9\ + s." + annotation: "Consid\xE9rez ce qui suit : \n\u2022 Le flux d'informations peut\ + \ \xEAtre facilit\xE9, par exemple, par l'\xE9tiquetage ou la coloration des\ + \ connecteurs physiques pour faciliter le branchement manuel. \n\u2022 L'inspection\ + \ du contenu des messages peut permettre d'appliquer la politique de circulation\ + \ des informations. Par exemple, un message contenant une commande \xE0 un\ + \ actionneur peut ne pas \xEAtre autoris\xE9 \xE0 circuler entre le r\xE9\ + seau de contr\xF4le et tout autre r\xE9seau. \n\u2022 Les adresses physiques\ + \ (par exemple, un port s\xE9rie) peuvent \xEAtre implicitement ou explicitement\ + \ associ\xE9es \xE0 des \xE9tiquettes ou \xE0 des attributs (par exemple,\ + \ une adresse d'I/O hardware). Les m\xE9thodes manuelles sont g\xE9n\xE9ralement\ + \ statiques. Les m\xE9canismes de politique d'\xE9tiquettes ou d'attributs\ + \ peuvent \xEAtre mis en \u0153uvre dans le mat\xE9riel, les microprogrammes\ + \ et les logiciels qui contr\xF4lent ou ont acc\xE8s aux dispositifs, tels\ + \ que les drivers et les contr\xF4leurs de communications." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:pr.pt-4 + ref_id: PR.PT-4.3 + description: "L'organisation doit g\xE9rer l'interface pour les services de\ + \ communication externe en \xE9tablissant une politique de flux de trafic,\ + \ prot\xE9geant la confidentialit\xE9 et l'int\xE9grit\xE9 des informations\ + \ transmises ; cela inclut l'examen et la documentation de chaque exception\ + \ \xE0 la politique de flux de trafic." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de + assessable: false + depth: 1 + ref_id: DE + name: DETECTER (DE) + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de + ref_id: DE.AE + name: "Anomalies et \xE9v\xE9nements" + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae + ref_id: DE.AE-1 + description: "Une base de r\xE9f\xE9rence des op\xE9rations du r\xE9seau et\ + \ des flux de donn\xE9es attendus pour les utilisateurs et les syst\xE8mes\ + \ est \xE9tablie et g\xE9r\xE9e." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-1 + ref_id: DE.AE-1.1 + description: "L'organisation doit s'assurer qu'une base de r\xE9f\xE9rence des\ + \ op\xE9rations du r\xE9seau et des flux de donn\xE9es attendus pour ses syst\xE8\ + mes critiques est d\xE9velopp\xE9e, document\xE9e et maintenue pour suivre\ + \ les \xE9v\xE9nements. - mesure cl\xE9 -" + annotation: "\u2022 Envisagez d'activer l'enregistrement local sur tous vos\ + \ syst\xE8mes et p\xE9riph\xE9riques r\xE9seau et conservez-les pendant une\ + \ certaine p\xE9riode, par exemple jusqu'\xE0 6 mois. \n\u2022 Assurez-vous\ + \ que vos logs contiennent suffisamment d'informations (source, date, utilisateur,\ + \ horodatage, etc.) et que vous disposez d'un espace de stockage suffisant\ + \ pour leur g\xE9n\xE9ration. \n\u2022 Envisagez de centraliser vos logs.\ + \ \n\u2022 Envisagez le d\xE9ploiement d'un outil de gestion des informations\ + \ et des \xE9v\xE9nements de s\xE9curit\xE9 (SIEM) qui facilitera la corr\xE9\ + lation et l'analyse de vos donn\xE9es." + implementation_groups: + - E + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae + ref_id: DE.AE-2 + description: "Les \xE9v\xE9nements d\xE9tect\xE9s sont analys\xE9s pour comprendre\ + \ les cibles et les m\xE9thodes d\u2019attaque." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.ae-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-2 + ref_id: IMPORTANT_DE.AE-2.1 + description: "L'organisation doit examiner et analyser les \xE9v\xE9nements\ + \ d\xE9tect\xE9s pour comprendre les cibles et les m\xE9thodes d'attaque." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-2 + ref_id: DE.AE-2.2 + description: "L'organisation doit mettre en \u0153uvre des m\xE9canismes automatis\xE9\ + s, lorsque cela est possible, pour examiner et analyser les \xE9v\xE9nements\ + \ d\xE9tect\xE9s." + annotation: "Pensez \xE0 examiner r\xE9guli\xE8rement vos logs pour identifier\ + \ les anomalies ou les \xE9v\xE9nements anormaux." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae + ref_id: DE.AE-3 + description: "Les donn\xE9es d'\xE9v\xE9nements sont collect\xE9es et corr\xE9\ + l\xE9es \xE0 partir de sources et de capteurs multiples." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_de.ae-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-3 + ref_id: BASIQUE_DE.AE-3.1 + description: "La fonctionnalit\xE9 d'enregistrement de l'activit\xE9 du mat\xE9\ + riel ou du logiciel de protection/d\xE9tection (par exemple, les pare-feu,\ + \ les anti-virus) doit \xEAtre activ\xE9e, sauvegard\xE9e et examin\xE9e.\ + \ - mesure cl\xE9 -" + annotation: "\u2022 Il convient que les logs soient sauvegard\xE9s et conserv\xE9\ + s pendant une p\xE9riode pr\xE9d\xE9finie. \n\u2022 Il convient que les logs\ + \ soient examin\xE9s pour d\xE9celer toute tendance inhabituelle ou ind\xE9\ + sirable, telle qu'une utilisation importante des sites Web de m\xE9dias sociaux\ + \ ou un nombre inhabituel de virus trouv\xE9s r\xE9guli\xE8rement sur un ordinateur\ + \ particulier. Ces tendances peuvent indiquer un probl\xE8me plus grave ou\ + \ signaler la n\xE9cessit\xE9 de renforcer les protections dans un domaine\ + \ particulier." + implementation_groups: + - B + - I + - E + - BK + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.ae-3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-3 + ref_id: IMPORTANT_DE.AE-3.2 + description: "L'organisation doit s'assurer que les donn\xE9es relatives aux\ + \ \xE9v\xE9nements sont compil\xE9es et corr\xE9l\xE9es dans l'ensemble de\ + \ ses syst\xE8mes critiques en utilisant diverses sources telles que les rapports\ + \ d'\xE9v\xE9nements, la surveillance des audits, la surveillance du r\xE9\ + seau, la surveillance de l'acc\xE8s physique et les rapports des utilisateurs/administrateurs." + annotation: "Aucune orientation sp\xE9cifique sur ce sujet" + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-3 + ref_id: DE.AE-3.3 + description: "L'organisation doit int\xE9grer l'analyse des \xE9v\xE9nements,\ + \ lorsque cela est possible, \xE0 l'analyse des informations du scannage de\ + \ vuln\xE9rabilit\xE9, aux donn\xE9es sur les performances, \xE0 la surveillance\ + \ de ses syst\xE8mes critiques et \xE0 la surveillance des installations,\ + \ afin d'am\xE9liorer encore la capacit\xE9 \xE0 identifier les activit\xE9\ + s inappropri\xE9es ou inhabituelles." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae + ref_id: DE.AE-4 + description: "L'impact des \xE9v\xE9nements est d\xE9termin\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-4 + ref_id: DE.AE-4.1 + description: "Les impacts n\xE9gatifs sur les op\xE9rations, les actifs et les\ + \ individus de l'organisation r\xE9sultant des \xE9v\xE9nements d\xE9tect\xE9\ + s doivent \xEAtre d\xE9termin\xE9s et mis en corr\xE9lation avec les r\xE9\ + sultats de l'\xE9valuation des risques." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae + ref_id: DE.AE-5 + description: "Les seuils d'alerte des incidents sont \xE9tablis." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.ae-5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-5 + ref_id: IMPORTANT_DE.AE-5.1 + description: "L'organisation doit mettre en \u0153uvre des m\xE9canismes automatis\xE9\ + s et des alertes g\xE9n\xE9r\xE9es par le syst\xE8me pour faciliter la d\xE9\ + tection des \xE9v\xE9nements et l'identification des seuils d'alerte de s\xE9\ + curit\xE9." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.ae-5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.ae-5 + ref_id: IMPORTANT_DE.AE-5.2 + description: "L'organisation doit d\xE9finir des seuils d'alerte d'incidents." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de + ref_id: DE.CM + name: "Surveillance continue de la s\xE9curit\xE9 " + description: "Le syst\xE8me d'information et les actifs sont surveill\xE9s pour\ + \ identifier les \xE9v\xE9nements de cybers\xE9curit\xE9 et v\xE9rifier l'efficacit\xE9\ + \ des mesures de protection." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm + ref_id: DE.CM-1 + description: "Le r\xE9seau est surveill\xE9 pour d\xE9tecter les \xE9v\xE9nements\ + \ potentiels de cybers\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_de.cm-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-1 + ref_id: BASIQUE_DE.CM-1.1 + description: "Des pare-feu doivent \xEAtre install\xE9s et exploit\xE9s aux\ + \ limites du r\xE9seau et compl\xE9t\xE9s par une protection pare-feu sur\ + \ les terminaux." + annotation: "\u2022 Les terminaux comprennent les ordinateurs de bureau, les\ + \ ordinateurs portables, les serveurs... \n\u2022 Envisagez, dans la mesure\ + \ du possible, d'inclure les t\xE9l\xE9phones intelligents et autres appareils\ + \ en r\xE9seau dans l'installation et l'exploitation des pare-feu. \u2022\ + \ Envisagez de limiter le nombre de gateways vers internet." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.cm-1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-1 + ref_id: IMPORTANT_DE.CM-1.2 + description: "L'organisation doit surveiller et identifier l'utilisation non\ + \ autoris\xE9e de ses syst\xE8mes critiques pour l'organisation en d\xE9tectant\ + \ les connexions locales, les connexions r\xE9seau et les connexions \xE0\ + \ distance non autoris\xE9es. - mesure cl\xE9 -" + annotation: "\u2022 Il convient que la surveillance des communications r\xE9\ + seau se fasse \xE0 la fronti\xE8re externe des syst\xE8mes critiques de l'organisation\ + \ et aux fronti\xE8res internes cl\xE9s des syst\xE8mes. \n\u2022 Lors de\ + \ l'h\xE9bergement d'applications tourn\xE9es vers l'internet, il convient\ + \ d'envisager la mise en place d'un pare-feu pour applications web (WAF)." + implementation_groups: + - I + - E + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-1 + ref_id: DE.CM-1.3 + description: "L'organisation doit effectuer une surveillance permanente de l'\xE9\ + tat de s\xE9curit\xE9 de son r\xE9seau afin de d\xE9tecter les \xE9v\xE9nements\ + \ d\xE9finis en mati\xE8re d'information/cybers\xE9curit\xE9 et les indicateurs\ + \ d'\xE9v\xE9nements potentiels en mati\xE8re d'information/cybers\xE9curit\xE9\ + ." + annotation: "Il convient que la surveillance de l'\xE9tat de la s\xE9curit\xE9\ + \ inclue : \n\u2022 La g\xE9n\xE9ration d'alertes syst\xE8me en cas d'indications\ + \ de compromission ou de compromission potentielle. \n\u2022 D\xE9tection\ + \ et signalement de l'utilisation atypique des syst\xE8mes critiques de l'organisation.\ + \ \n\u2022 L'\xE9tablissement d'enregistrements d'audit pour des \xE9v\xE9\ + nements d\xE9finis en mati\xE8re d'information/cybers\xE9curit\xE9. \n\u2022\ + \ Renforcer l'activit\xE9 de surveillance du syst\xE8me d\xE8s qu'il y a une\ + \ indication d'un risque accru. \u2022 Environnement physique, personnel et\ + \ fournisseur de services." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm + ref_id: DE.CM-2 + description: "L'environnement physique est surveill\xE9 pour d\xE9tecter les\ + \ \xE9v\xE9nements potentiels de cybers\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.cm-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-2 + ref_id: IMPORTANT_DE.CM-2.1 + description: "L'environnement physique de l'installation doit \xEAtre surveill\xE9\ + \ pour d\xE9tecter les \xE9v\xE9nements potentiels li\xE9s \xE0 l'information\ + \ et \xE0 la cybers\xE9curit\xE9." + annotation: "Aucune orientation sp\xE9cifique sur ce sujet" + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-2 + ref_id: DE.CM-2.2 + description: "En plus de la surveillance de l'acc\xE8s physique \xE0 l'installation,\ + \ l'acc\xE8s physique aux syst\xE8mes et dispositifs critiques de l'organisation\ + \ doit \xEAtre renforc\xE9 par des alarmes d'intrusion physique, des \xE9\ + quipements de surveillance et des \xE9quipes de surveillance ind\xE9pendantes." + annotation: "Il est recommand\xE9 d'enregistrer tous les visiteurs." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm + ref_id: DE.CM-3 + description: "L'activit\xE9 du personnel est surveill\xE9e pour d\xE9tecter\ + \ les \xE9v\xE9nements potentiels de cybers\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_de.cm-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-3 + ref_id: BASIQUE_DE.CM-3.1 + description: "Des outils de protection des terminaux et des r\xE9seaux permettant\ + \ de surveiller le comportement de l'utilisateur final pour d\xE9tecter toute\ + \ activit\xE9 dangereuse doivent \xEAtre mis en \u0153uvre." + annotation: "Envisagez le d\xE9ploiement d'un syst\xE8me de d\xE9tection/pr\xE9\ + vention des intrusions (IDS/IPS)." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.cm-3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-3 + ref_id: IMPORTANT_DE.CM-3.2 + description: "Les outils de protection des terminaux et des r\xE9seaux qui surveillent\ + \ le comportement de l'utilisateur final pour d\xE9tecter toute activit\xE9\ + \ dangereuse doivent \xEAtre g\xE9r\xE9s." + annotation: "\u2022 Envisagez l'utilisation d'une plateforme centralis\xE9e\ + \ pour la consolidation et l'exploitation des fichiers de logs. \n\u2022 Envisagez\ + \ d'examiner activement les alertes g\xE9n\xE9r\xE9es par des activit\xE9\ + s suspectes et prenez les mesures appropri\xE9es pour rem\xE9dier \xE0 la\ + \ menace, par exemple en d\xE9ployant un centre op\xE9rationnel de s\xE9curit\xE9\ + \ (SOC)." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.cm-3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-3 + ref_id: IMPORTANT_DE.CM-3.3 + description: "Les restrictions d'utilisation et d'installation des logiciels\ + \ sont appliqu\xE9es." + annotation: "Il convient que seuls les logiciels autoris\xE9s soient utilis\xE9\ + s, et que les droits d'acc\xE8s des utilisateurs soient limit\xE9s aux donn\xE9\ + es, ressources et applications sp\xE9cifiques n\xE9cessaires pour accomplir\ + \ une t\xE2che requise (principe du moindre privil\xE8ge)." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm + ref_id: DE.CM-4 + description: "Le code malveillant est d\xE9tect\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_de.cm-4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-4 + ref_id: BASIQUE_DE.CM-4.1 + description: "Les programmes anti-virus, anti-spyware et autres programmes malveillants\ + \ doivent \xEAtre install\xE9s et mis \xE0 jour. - mesure cl\xE9 -" + annotation: "\u2022 Les logiciels malveillants comprennent les virus, les logiciels\ + \ espions et les ransomwares et il convient qu\u2019ils soients combattus\ + \ par l'installation, l'utilisation et la mise \xE0 jour r\xE9guli\xE8re de\ + \ logiciels antivirus et anti logiciels espions sur chaque appareil utilis\xE9\ + \ dans le cadre des activit\xE9s de l'organisation (y compris les ordinateurs,\ + \ les smartphones, les tablettes et les serveurs). \n\u2022 Il convient que\ + \ les logiciels antivirus et anti logiciels espions recherchent automatiquement\ + \ les mises \xE0 jour en \"temps r\xE9el\" ou au moins quotidiennement, puis\ + \ proc\xE9dent \xE0 une analyse du syst\xE8me, le cas \xE9ch\xE9ant. \n\u2022\ + \ Il convient de fournir les m\xEAmes m\xE9canismes de protection contre les\ + \ codes malveillants pour les ordinateurs \xE0 domicile (t\xE9l\xE9travail,\ + \ par exemple) ou les appareils personnels utilis\xE9s pour le travail professionnel\ + \ (BYOD)." + implementation_groups: + - B + - I + - E + - BK + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-4 + ref_id: DE.CM-4.2 + description: "L'organisation doit mettre en place un syst\xE8me de d\xE9tection\ + \ des faux positifs lors de la d\xE9tection et de l'\xE9radication des codes\ + \ malveillants." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm + ref_id: DE.CM-5 + description: "Un code mobile non autoris\xE9 est d\xE9tect\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.cm-5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-5 + ref_id: IMPORTANT_DE.CM-5.1 + description: "L'organisation doit d\xE9finir le code mobile et les technologies\ + \ de code mobile acceptables et inacceptables ; et autoriser, surveiller et\ + \ contr\xF4ler l'utilisation du code mobile au sein du syst\xE8me." + annotation: "\u2022 Le code mobile comprend tout programme, application ou contenu\ + \ qui peut \xEAtre transmis sur un r\xE9seau (par exemple, int\xE9gr\xE9 dans\ + \ un courrier \xE9lectronique, un document ou un site web) et ex\xE9cut\xE9\ + \ sur un syst\xE8me distant. Les technologies de code mobile comprennent par\ + \ exemple les applets Java, JavaScript, HTML5, WebGL et VBScript. \n\u2022\ + \ Il convient que les d\xE9cisions concernant l'utilisation du code mobile\ + \ dans les syst\xE8mes organisationnels soient fond\xE9es sur le potentiel\ + \ du code \xE0 causer des dommages aux syst\xE8mes en cas d'utilisation malveillante.\ + \ Il convient que des restrictions d'utilisation et des conseils de mise en\ + \ \u0153uvre s'appliquent \xE0 la s\xE9lection et \xE0 l'utilisation du code\ + \ mobile install\xE9." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm + ref_id: DE.CM-6 + description: "L'activit\xE9 des prestataires de services externes est surveill\xE9\ + e pour d\xE9tecter les \xE9v\xE9nements potentiels de cybers\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.cm-6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-6 + ref_id: IMPORTANT_DE.CM-6.1 + description: "Toutes les connexions externes des fournisseurs qui prennent en\ + \ charge des applications ou des infrastructures IT/OT doivent \xEAtre s\xE9\ + curis\xE9es et surveill\xE9es activement afin de garantir que seules des actions\ + \ autoris\xE9es se produisent pendant la connexion." + annotation: "Cette surveillance comprend l'acc\xE8s du personnel non autoris\xE9\ + , les connexions, les dispositifs et les logiciels." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.cm-6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-6 + ref_id: IMPORTANT_DE.CM-6.2 + description: "La conformit\xE9 des prestataires de services externes aux politiques\ + \ et proc\xE9dures de s\xE9curit\xE9 du personnel et aux exigences de s\xE9\ + curit\xE9 contractuelles est contr\xF4l\xE9e par rapport aux risques de cybers\xE9\ + curit\xE9 qu'ils pr\xE9sentent." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm + ref_id: DE.CM-7 + description: "La surveillance du personnel, des connexions, des dispositifs\ + \ et des logiciels non autoris\xE9s est effectu\xE9e." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.cm-7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-7 + ref_id: IMPORTANT_DE.CM-7.1 + description: "Les syst\xE8mes essentiels aux op\xE9rations de l'organisation\ + \ doivent \xEAtre surveill\xE9s pour d\xE9tecter les acc\xE8s, les connexions,\ + \ les dispositifs, les points d'acc\xE8s et les logiciels non autoris\xE9\ + s par le personnel." + annotation: "\u2022 L'acc\xE8s par du personnel non autoris\xE9 comprend l'acc\xE8\ + s par des prestataires de services externes. \n\u2022 Il convient que les\ + \ \xE9carts d'inventaire du syst\xE8me soient inclus dans le suivi. \n\u2022\ + \ Il convient que les changements de configuration non autoris\xE9s des syst\xE8\ + mes critiques de l'organisation soient inclus dans la surveillance." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-7 + ref_id: DE.CM-7.2 + description: "Les modifications non autoris\xE9es de la configuration des syst\xE8\ + mes de l'organisation doivent \xEAtre surveill\xE9es et trait\xE9es par des\ + \ mesures d'att\xE9nuation appropri\xE9es." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm + ref_id: DE.CM-8 + description: "Les analyses de vuln\xE9rabilit\xE9 sont effectu\xE9es." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.cm-8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-8 + ref_id: IMPORTANT_DE.CM-8.1 + description: "L'organisation doit surveiller et analyser les vuln\xE9rabilit\xE9\ + s de ses syst\xE8mes critiques et de ses applications h\xE9berg\xE9es en veillant\ + \ \xE0 ce que les fonctions du syst\xE8me ne soient pas affect\xE9es par le\ + \ processus d'analyse." + annotation: "Envisagez la mise en \u0153uvre d'un programme de balayage continu\ + \ des vuln\xE9rabilit\xE9s ; y compris les rapports et les plans d'att\xE9\ + nuation." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.cm-8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.cm-8 + ref_id: IMPORTANT_DE.CM-8.2 + description: "Le processus d'analyse de la vuln\xE9rabilit\xE9 comprend l'analyse,\ + \ la correction et le partage des informations." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de + ref_id: DE.DP + name: "Processus de d\xE9tection" + description: "Les processus et proc\xE9dures de d\xE9tection sont maintenus\ + \ et test\xE9s pour garantir la prise de conscience des \xE9v\xE9nements anormaux." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp + ref_id: DE.DP-2 + description: "Les activit\xE9s de d\xE9tection sont conformes \xE0 toutes les\ + \ exigences applicables." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.dp-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp-2 + ref_id: IMPORTANT_DE.DP-2.1 + description: "L'organisation doit mener des activit\xE9s de d\xE9tection conform\xE9\ + ment aux lois f\xE9d\xE9rales et r\xE9gionales, aux r\xE9glementations et\ + \ normes industrielles, aux politiques et aux autres exigences applicables." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp + ref_id: DE.DP-3 + description: "Les processus de d\xE9tection sont test\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.dp-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp-3 + ref_id: IMPORTANT_DE.DP-3.1 + description: "L'organisation doit valider que les processus de d\xE9tection\ + \ des \xE9v\xE9nements fonctionnent comme pr\xE9vu." + annotation: "\u2022 La validation comprend des tests. \n\u2022 Il convient de\ + \ pouvoir d\xE9montrer la validation." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp-4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp + ref_id: DE.DP-4 + description: "Les informations relatives \xE0 la d\xE9tection des \xE9v\xE9\ + nements sont communiqu\xE9es." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.dp-4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp-4 + ref_id: IMPORTANT_DE.DP-4.1 + description: "L'organisation doit communiquer les informations relatives \xE0\ + \ la d\xE9tection des \xE9v\xE9nements aux parties pr\xE9d\xE9finies." + annotation: "Les informations de d\xE9tection d'\xE9v\xE9nements comprennent,\ + \ par exemple, des alertes sur l'utilisation atypique d'un compte, l'acc\xE8\ + s \xE0 distance non autoris\xE9, la connectivit\xE9 sans fil, la connexion\ + \ d'un dispositif mobile, la modification des param\xE8tres de configuration,\ + \ l'inventaire contrast\xE9 des composants du syst\xE8me, l'utilisation d'outils\ + \ de maintenance et la maintenance non locale, l'acc\xE8s physique, la temp\xE9\ + rature et l'humidit\xE9, la livraison et le retrait d'\xE9quipements, les\ + \ communications aux fronti\xE8res du syst\xE8me d'information, l'utilisation\ + \ d'un code mobile, l'utilisation de la voix sur IP (VoIP) et la divulgation\ + \ de logiciels malveillants." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp-5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp + ref_id: DE.DP-5 + description: "Les processus de d\xE9tection sont am\xE9lior\xE9s en permanence." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_de.dp-5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp-5 + ref_id: IMPORTANT_DE.DP-5.1 + description: "Les am\xE9liorations d\xE9coulant de la surveillance, de la mesure,\ + \ de l'\xE9valuation, des tests, de l'examen et des enseignements tir\xE9\ + s seront incorpor\xE9es dans les r\xE9visions du processus de d\xE9tection." + annotation: "\u2022 Il en r\xE9sulte une am\xE9lioration continue des processus\ + \ de d\xE9tection. \n\u2022 Le recours \xE0 des \xE9quipes ind\xE9pendantes\ + \ pour \xE9valuer le processus de d\xE9tection pourrait \xEAtre envisag\xE9\ + ." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp-5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:de.dp-5 + ref_id: DE.DP-5.2 + description: "L'organisation doit effectuer des \xE9valuations sp\xE9cialis\xE9\ + es, notamment une surveillance approfondie, un scannage de vuln\xE9rabilit\xE9\ + , des tests d'utilisateurs malveillants, une \xE9valuation de la menace interne,\ + \ des tests de performance/charge, ainsi que des tests de v\xE9rification\ + \ et de validation sur les syst\xE8mes critiques de l'organisation." + annotation: "Ces activit\xE9s peuvent \xEAtre externalis\xE9es, de pr\xE9f\xE9\ + rence aupr\xE8s d'organisations accr\xE9dit\xE9s." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs + assessable: false + depth: 1 + ref_id: RS + name: REPONDRE (RS) + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.rp + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs + ref_id: RS.RP + name: "Planification de la r\xE9ponse" + description: "Les processus et proc\xE9dures de r\xE9ponse sont ex\xE9cut\xE9\ + s et maintenus, afin de garantir une r\xE9ponse aux incidents de cybers\xE9\ + curit\xE9 d\xE9tect\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.rp-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.rp + ref_id: RS.RP-1 + description: " Le plan de r\xE9ponse est ex\xE9cut\xE9 pendant ou apr\xE8s un\ + \ incident." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_rs.rp-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.rp-1 + ref_id: BASIQUE_RS.RP-1.1 + description: "Un processus de r\xE9ponse aux incidents, comprenant les r\xF4\ + les, les responsabilit\xE9s et les pouvoirs, doit \xEAtre ex\xE9cut\xE9 pendant\ + \ ou apr\xE8s un \xE9v\xE9nement li\xE9 \xE0 l'information ou \xE0 la cybers\xE9\ + curit\xE9 sur les syst\xE8mes critiques de l'organisation." + annotation: "\u2022 Il convient que le processus de r\xE9ponse aux incidents\ + \ inclue un ensemble pr\xE9d\xE9termin\xE9 d'instructions ou de proc\xE9dures\ + \ pour d\xE9tecter, r\xE9pondre et limiter les cons\xE9quences d'une cyber-attaque\ + \ malveillante. \n\u2022 Il convient que les r\xF4les, les responsabilit\xE9\ + s et les pouvoirs pr\xE9vus dans le plan de r\xE9ponse aux incidents soient\ + \ pr\xE9cis quant aux personnes impliqu\xE9es, leurs coordonn\xE9es, leurs\ + \ diff\xE9rents r\xF4les et responsabilit\xE9s, \xE0 la personne qui prend\ + \ la d\xE9cision de lancer les proc\xE9dures de r\xE9tablissement et \xE0\ + \ celle qui sera le contact avec les parties prenantes externes appropri\xE9\ + es. \n\u2022 Il convient d\u2019envisager de d\xE9terminer les causes d'un\ + \ \xE9v\xE9nement de s\xE9curit\xE9 de l'information/cybers\xE9curit\xE9 et\ + \ de mettre en \u0153uvre une action corrective afin que l'\xE9v\xE9nement\ + \ ne se reproduise plus ou ne se produise pas ailleurs (une infection par\ + \ un code malveillant sur une machine ne s'est pas propag\xE9e ailleurs dans\ + \ le r\xE9seau). Il convient que l'efficacit\xE9 de toute mesure corrective\ + \ prise soit examin\xE9e. Il convient que les actions correctives soient adapt\xE9\ + es aux effets de l'\xE9v\xE9nement de s\xE9curit\xE9 de l'information/cybers\xE9\ + curit\xE9 rencontr\xE9." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs + ref_id: RS.CO + name: Communications + description: "Les activit\xE9s de r\xE9ponse sont coordonn\xE9es avec les parties\ + \ prenantes internes et externes (par exemple, le soutien externe des forces\ + \ de l'ordre)." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co + ref_id: RS.CO-1 + description: "Le personnel conna\xEEt ses r\xF4les et l'ordre des op\xE9rations\ + \ lorsqu'une r\xE9ponse est n\xE9cessaire." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rs.co-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co-1 + ref_id: IMPORTANT_RS.CO-1.1 + description: "L'organisation doit s'assurer que le personnel comprend ses r\xF4\ + les, ses objectifs, les priorit\xE9s de restauration, les s\xE9quences de\ + \ t\xE2ches (ordre des op\xE9rations) et les responsabilit\xE9s d'affectation\ + \ pour la r\xE9ponse aux \xE9v\xE9nements." + annotation: "Envisagez d'utiliser le Guide de gestion des incidents du CCB pour\ + \ vous guider dans cet exercice et envisagez de faire appel \xE0 des experts\ + \ ext\xE9rieurs si n\xE9cessaire. Testez votre plan r\xE9guli\xE8rement et\ + \ ajustez- le apr\xE8s chaque incident." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co + ref_id: RS.CO-2 + description: "Les incidents sont signal\xE9s conform\xE9ment aux crit\xE8res\ + \ \xE9tablis." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rs.co-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co-2 + ref_id: IMPORTANT_RS.CO-2.1 + description: "L'organisation doit mettre en place un syst\xE8me de notification\ + \ des incidents li\xE9s \xE0 la s\xE9curit\xE9 de l'information/cybers\xE9\ + curit\xE9 sur ses syst\xE8mes critiques, dans un d\xE9lai d\xE9fini par l'organisation,\ + \ \xE0 l'intention du personnel ou des r\xF4les d\xE9finis par l'organisation." + annotation: "Il convient que tous les utilisateurs aient un point de contact\ + \ unique pour signaler tout incident et soient encourag\xE9s \xE0 le faire." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co-2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co-2 + ref_id: RS.CO-2.2 + description: "Les \xE9v\xE9nements doivent \xEAtre signal\xE9s conform\xE9ment\ + \ aux crit\xE8res \xE9tablis." + annotation: "Il convient que les crit\xE8res de signalement soient inclus dans\ + \ le plan de r\xE9ponse aux incidents." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co + ref_id: RS.CO-3 + description: "Les informations sont partag\xE9es conform\xE9ment aux plans de\ + \ r\xE9ponse." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_rs.co-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co-3 + ref_id: BASIQUE_RS.CO-3.1 + description: "Les informations relatives aux incidents de cybers\xE9curit\xE9\ + \ doivent \xEAtre communiqu\xE9es et partag\xE9es avec les employ\xE9s de\ + \ l'organisation dans un format qu'ils peuvent comprendre." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rs.co-3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co-3 + ref_id: IMPORTANT_RS.CO-3.2 + description: "L'organisation doit partager les informations relatives aux incidents\ + \ de cybers\xE9curit\xE9 avec les parties prenantes concern\xE9es, comme pr\xE9\ + vu dans le plan de r\xE9ponse aux incidents." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co-4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co + ref_id: RS.CO-4 + description: "La coordination avec les parties prenantes se fait conform\xE9\ + ment aux plans de r\xE9ponse." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rs.co-4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co-4 + ref_id: IMPORTANT_RS.CO-4.1 + description: "L'organisation doit coordonner les actions de r\xE9ponse aux incidents\ + \ de s\xE9curit\xE9 de l'information/cybers\xE9curit\xE9 avec toutes les parties\ + \ prenantes pr\xE9d\xE9finies." + annotation: "\u2022 Les parties prenantes de la r\xE9ponse aux incidents comprennent\ + \ par exemple les gestionnaires de la mission/de l'activit\xE9, les gestionnaires\ + \ des syst\xE8mes critiques de l'organisation, les int\xE9grateurs, les fournisseurs,\ + \ les bureaux des ressources humaines, les bureaux de la s\xE9curit\xE9 physique\ + \ et du personnel, les services juridiques, le personnel des op\xE9rations\ + \ et les bureaux des achats. \n\u2022 La coordination avec les parties prenantes\ + \ se fait conform\xE9ment aux plans de r\xE9ponse aux incidents." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co-5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co + ref_id: RS.CO-5 + description: "Le partage volontaire d'informations se fait avec des parties\ + \ prenantes externes afin d'obtenir une meilleure connaissance de la situation\ + \ en mati\xE8re de cybers\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rs.co-5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.co-5 + ref_id: IMPORTANT_RS.CO-5.1 + description: "L'organisation doit partager volontairement les informations sur\ + \ les \xE9v\xE9nements de cybers\xE9curit\xE9, le cas \xE9ch\xE9ant, avec\ + \ les parties prenantes externes, les groupes de s\xE9curit\xE9 de l'industrie...\ + \ afin de parvenir \xE0 une connaissance plus large de la situation en mati\xE8\ + re d'information et de cybers\xE9curit\xE9." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs + ref_id: RS.AN + name: Analyse + description: "Une analyse est effectu\xE9e pour garantir une r\xE9ponse efficace\ + \ et soutenir les activit\xE9s de r\xE9tablissement." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an + ref_id: RS.AN-1 + description: "Les notifications des syst\xE8mes de d\xE9tection sont examin\xE9\ + es." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rs.an-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-1 + ref_id: IMPORTANT_RS.AN-1.1 + description: "L'organisation doit enqu\xEAter sur les notifications relatives\ + \ \xE0 l'information/la cybers\xE9curit\xE9 g\xE9n\xE9r\xE9es par les syst\xE8\ + mes de d\xE9tection." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-1 + ref_id: RS.AN-1.2 + description: "L'organisation doit mettre en \u0153uvre des m\xE9canismes automatis\xE9\ + s pour faciliter l'enqu\xEAte et l'analyse des notifications li\xE9es \xE0\ + \ l'information/la cybers\xE9curit\xE9." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an + ref_id: RS.AN-2 + description: L'impact de l'incident est compris. + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rs.an-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-2 + ref_id: IMPORTANT_RS.AN-2.1 + description: "Une enqu\xEAte approfondie et l'analyse des r\xE9sultats doivent\ + \ permettre de comprendre toutes les implications de l'incident de s\xE9curit\xE9\ + \ de l'information/cybers\xE9curit\xE9." + annotation: "\u2022 L'analyse des r\xE9sultats peut consister \xE0 d\xE9terminer\ + \ la corr\xE9lation entre les informations de l'\xE9v\xE9nement d\xE9tect\xE9\ + \ et les r\xE9sultats des \xE9valuations des risques. De cette fa\xE7on, on\ + \ obtient un aper\xE7u de l'impact de l'\xE9v\xE9nement sur l'ensemble de\ + \ l'organisation. \n\u2022 Envisager d'inclure la d\xE9tection des modifications\ + \ non autoris\xE9es de ses syst\xE8mes critiques dans ses capacit\xE9s de\ + \ r\xE9ponse aux incidents." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-2 + ref_id: RS.AN-2.2 + description: "L'organisation doit mettre en \u0153uvre des m\xE9canismes automatis\xE9\ + s pour soutenir l'analyse de l'impact des incidents." + annotation: "La mise en \u0153uvre peut aller d'un syst\xE8me de billetterie\ + \ \xE0 un syst\xE8me de gestion des informations et des \xE9v\xE9nements de\ + \ s\xE9curit\xE9 (SIEM)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an + ref_id: RS.AN-3 + description: "L'analyse forensique est r\xE9alis\xE9e." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-3 + ref_id: RS.AN-3.1 + description: "L'organisation doit fournir un examen, une analyse et un rapport\ + \ d'audit \xE0 la demande pour les enqu\xEAtes apr\xE8s coup sur les incidents\ + \ li\xE9s \xE0 l'information et \xE0 la cybers\xE9curit\xE9." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-3 + ref_id: RS.AN-3.2 + description: "L'organisation doit effectuer une analyse forensique des informations\ + \ collect\xE9es/des informations sur les \xE9v\xE9nements de cybers\xE9curit\xE9\ + \ afin de d\xE9terminer la cause d'origine." + annotation: "Envisagez de d\xE9terminer la cause d\u2019origine d'un incident.\ + \ Si n\xE9cessaire, utilisez l'analyse forensique des informations recueillies/des\ + \ informations sur les \xE9v\xE9nements de cybers\xE9curit\xE9 pour y parvenir." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an + ref_id: RS.AN-4 + description: "Les incidents sont class\xE9s par cat\xE9gories conform\xE9ment\ + \ aux plans de r\xE9ponse." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rs.an-4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-4 + ref_id: IMPORTANT_RS.AN-4.1 + description: "Les incidents li\xE9s \xE0 l'information et \xE0 la cybers\xE9\ + curit\xE9 sont class\xE9s en fonction de leur niveau de gravit\xE9 et de leur\ + \ impact, conform\xE9ment aux crit\xE8res d'\xE9valuation inclus dans le plan\ + \ de r\xE9ponse aux incidents." + annotation: "\u2022 Il convient d\u2019envisag\xE9e de d\xE9terminer les causes\ + \ d'un incident de s\xE9curit\xE9 de l'information/cybers\xE9curit\xE9 et\ + \ de mettre en \u0153uvre une action corrective afin que l'incident ne se\ + \ reproduise plus ou ne se reproduise pas ailleurs. \u2022 Il convient que\ + \ l'efficacit\xE9 de toute mesure corrective prise soit examin\xE9e. \n\u2022\ + \ Il convient que les actions correctives soient adapt\xE9es aux effets de\ + \ l'incident de s\xE9curit\xE9 de l'information/cybers\xE9curit\xE9 rencontr\xE9\ + ." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an + ref_id: RS.AN-5 + description: "Des processus sont \xE9tablis pour recevoir, analyser et r\xE9\ + pondre aux vuln\xE9rabilit\xE9s divulgu\xE9es \xE0 l'organisation par des\ + \ sources internes et externes (par exemple, tests internes, bulletins de\ + \ s\xE9curit\xE9 ou chercheurs en s\xE9curit\xE9)." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rs.an-5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-5 + ref_id: IMPORTANT_RS.AN-5.1 + description: "L'organisation doit mettre en \u0153uvre des processus et des\ + \ proc\xE9dures de gestion des vuln\xE9rabilit\xE9s qui comprennent le traitement,\ + \ l'analyse et la correction des vuln\xE9rabilit\xE9s provenant de sources\ + \ internes et externes. - mesure cl\xE9 -" + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - IK + - EK + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.an-5 + ref_id: RS.AN-5.2 + description: "L'organisation doit mettre en place des m\xE9canismes automatis\xE9\ + s pour diffuser et suivre les efforts de rem\xE9diation pour les informations\ + \ de vuln\xE9rabilit\xE9s, captur\xE9es \xE0 partir de sources internes et\ + \ externes, aupr\xE8s des principales parties prenantes." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.mi + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs + ref_id: RS.MI + name: "Att\xE9nuation" + description: "Les activit\xE9s de r\xE9ponse de l'organisation sont am\xE9lior\xE9\ + es par l'int\xE9gration des enseignements tir\xE9s des activit\xE9s de d\xE9\ + tection/r\xE9ponse actuelles et pr\xE9c\xE9dentes." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.mi-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.mi + ref_id: RS.MI-1 + description: Les incidents sont contenus. + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.mi-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.mi + ref_id: RS.MI-2 + description: "Les incidents sont att\xE9nu\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.mi-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.mi + ref_id: RS.MI-3 + description: "Les vuln\xE9rabilit\xE9s nouvellement identifi\xE9es sont att\xE9\ + nu\xE9es ou document\xE9es comme des risques accept\xE9s." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rs.mi-3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.mi-3 + ref_id: IMPORTANT_RS.MI-3 + description: "L'organisation doit mettre en \u0153uvre une capacit\xE9 de traitement\ + \ des incidents de s\xE9curit\xE9 de l'information/cybers\xE9curit\xE9 sur\ + \ ses syst\xE8mes essentiels \xE0 l'activit\xE9, qui comprend la pr\xE9paration,\ + \ la d\xE9tection et l'analyse, le confinement, l'\xE9radication, le r\xE9\ + tablissement et l'acceptation document\xE9e des risques." + annotation: "Une acceptation des risques document\xE9e concerne les risques\ + \ que l'organisation \xE9value comme non dangereux pour les syst\xE8mes critiques\ + \ de l'organisation et pour lesquels le propri\xE9taire du risque accepte\ + \ formellement le risque (en relation avec l'app\xE9tit de l'organisation\ + \ pour le risque)." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.im + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs + ref_id: RS.IM + name: "Am\xE9liorations " + description: "Les activit\xE9s de r\xE9ponse de l'organisation sont am\xE9lior\xE9\ + es par l'int\xE9gration des enseignements tir\xE9s des activit\xE9s de d\xE9\ + tection/r\xE9ponse actuelles et pr\xE9c\xE9dentes." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.im-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.im + ref_id: RS.IM-1 + description: "Les plans de r\xE9ponse int\xE8grent les le\xE7ons apprises." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_rs.im-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.im-1 + ref_id: BASIQUE_RS.IM-1.1 + description: "L'organisation doit effectuer des \xE9valuations post-incident\ + \ afin d'analyser les enseignements tir\xE9s de la r\xE9ponse \xE0 l'incident\ + \ et du r\xE9tablissement, et par cons\xE9quent am\xE9liorer les processus\ + \ / proc\xE9dures / technologies pour renforcer sa cyber-r\xE9silience." + annotation: "Envisagez de r\xE9unir les personnes concern\xE9es apr\xE8s chaque\ + \ incident et r\xE9fl\xE9chissez ensemble aux moyens d'am\xE9liorer ce qui\ + \ s'est pass\xE9, comment cela s'est pass\xE9, comment nous avons r\xE9agi,\ + \ comment cela aurait pu mieux se passer, ce qui devrait \xEAtre fait pour\ + \ \xE9viter que cela ne se reproduise, etc." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rs.im-1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.im-1 + ref_id: IMPORTANT_RS.IM-1.2 + description: "Les enseignements tir\xE9s du traitement des incidents sont traduits\ + \ en proc\xE9dures de traitement des incidents actualis\xE9es ou nouvelles\ + \ qui sont test\xE9es, approuv\xE9es et enseign\xE9es." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.im-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.im + ref_id: RS.IM-2 + description: "Les plans de r\xE9ponse int\xE8grent les le\xE7ons apprises." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rs.im-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rs.im-2 + ref_id: IMPORTANT_RS.IM-2.1 + description: "L'organisation doit mettre \xE0 jour les plans de r\xE9ponse et\ + \ de r\xE9tablissement pour tenir compte des changements survenus dans son\ + \ contexte." + annotation: "Le contexte de l'organisation concerne la structure organisationnelle,\ + \ ses syst\xE8mes critiques, les vecteurs d'attaque, les nouvelles menaces,\ + \ les am\xE9liorations technologiques, l'environnement d'exploitation, les\ + \ probl\xE8mes rencontr\xE9s lors de la mise en \u0153uvre/ex\xE9cution/test\ + \ du plan et les enseignements tir\xE9s." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc + assessable: false + depth: 1 + ref_id: RC + name: RETABLIR (RC) + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.rp + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc + ref_id: RC.RP + name: "Planification du r\xE9tablissement " + description: "Des processus et des proc\xE9dures de r\xE9tablissement sont ex\xE9\ + cut\xE9s et maintenus pour assurer la restauration des syst\xE8mes ou des\ + \ actifs touch\xE9s par des incidents de cybers\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.rp-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.rp + ref_id: RC.RP-1 + description: " Le plan de reprise est ex\xE9cut\xE9 pendant ou apr\xE8s un incident\ + \ de cybers\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:basique_rc.rp-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.rp-1 + ref_id: BASIQUE_RC.RP-1.1 + description: "Un processus de r\xE9tablissement en cas de catastrophes et d'incidents\ + \ li\xE9s \xE0 l'information et \xE0 la cybers\xE9curit\xE9 est \xE9labor\xE9\ + \ et ex\xE9cut\xE9 selon les besoins." + annotation: "Il convient qu\u2019un processus soit \xE9labor\xE9 pour d\xE9\ + terminer les mesures imm\xE9diates \xE0 prendre en cas d'incendie, d'urgence\ + \ m\xE9dicale, de cambriolage, de catastrophe naturelle ou d'incident de s\xE9\ + curit\xE9 informatique. Il convient que ce processus prenne en compte : \n\ + \u2022 R\xF4les et responsabilit\xE9s, y compris qui prend la d\xE9cision\ + \ de lancer les proc\xE9dures de r\xE9tablissement et qui sera le contact\ + \ avec les parties prenantes externes appropri\xE9es. \n\u2022 Ce qu'il faut\ + \ faire avec les informations et les syst\xE8mes d'information de l'organisation\ + \ en cas d'incident. Cela comprend l'arr\xEAt ou le verrouillage des ordinateurs,\ + \ le d\xE9placement vers un site de secours, le retrait physique des documents\ + \ importants, etc. \n\u2022 Qui appeler en cas d'incident." + implementation_groups: + - B + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.rp-1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.rp-1 + ref_id: RC.RP-1.2 + description: "Les fonctions et services de l'organisation essentielle doivent\ + \ \xEAtre poursuivis avec peu ou pas de perte de continuit\xE9 op\xE9rationnelle\ + \ et la continuit\xE9 doit \xEAtre maintenue jusqu'\xE0 la restauration compl\xE8\ + te du syst\xE8me." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.im + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc + ref_id: RC.IM + name: "Am\xE9liorations " + description: "Des processus et des proc\xE9dures de r\xE9tablissement sont ex\xE9\ + cut\xE9s et maintenus pour assurer la restauration des syst\xE8mes ou des\ + \ actifs touch\xE9s par des incidents de cybers\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.im-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.im + ref_id: RC.IM-1 + description: "Les plans de r\xE9tablissement int\xE8grent les le\xE7ons apprises." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rc.im-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.im-1 + ref_id: IMPORTANT_RC.IM-1.1 + description: "L'organisation doit int\xE9grer les enseignements tir\xE9s des\ + \ activit\xE9s de r\xE9tablissement des incidents dans les proc\xE9dures de\ + \ r\xE9tablissement du syst\xE8me, nouvelles ou mises \xE0 jour, et, apr\xE8\ + s les avoir test\xE9es, les encadrer par une formation appropri\xE9e." + annotation: "Aucune orientation suppl\xE9mentaire sur ce sujet." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.co + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc + ref_id: RC.CO + name: 'Communications ' + description: "Des processus et des proc\xE9dures de r\xE9tablissement sont ex\xE9\ + cut\xE9s et maintenus pour assurer la restauration des syst\xE8mes ou des\ + \ actifs touch\xE9s par des incidents de cybers\xE9curit\xE9." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.co-1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.co + ref_id: RC.CO-1 + description: "Les relations publiques sont g\xE9r\xE9es." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rc.co-1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.co-1 + ref_id: IMPORTANT_RC.CO-1.1 + description: "L'organisation doit centraliser et coordonner la mani\xE8re dont\ + \ les informations sont diffus\xE9es et g\xE9rer la mani\xE8re dont l'organisation\ + \ est pr\xE9sent\xE9e au public." + annotation: "La gestion des relations publiques peut comprendre, par exemple,\ + \ la gestion des interactions avec les m\xE9dias, la coordination et l'enregistrement\ + \ de toutes les demandes d'interviews, le traitement et le triage des appels\ + \ t\xE9l\xE9phoniques et des demandes par e-mail, la mise en relation des\ + \ demandes des m\xE9dias avec les experts internes appropri\xE9s et disponibles\ + \ qui sont pr\xEAts \xE0 \xEAtre interview\xE9s, le filtrage de toutes les\ + \ informations fournies aux m\xE9dias, l'assurance que le personnel conna\xEE\ + t bien les politiques en mati\xE8re de relations publiques et de confidentialit\xE9\ + ." + implementation_groups: + - I + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.co-1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.co-1 + ref_id: RC.CO-1.2 + description: "Un responsable des relations publiques est d\xE9sign\xE9." + annotation: "Il convient que le responsable des relations publiques envisage\ + \ l'utilisation de contacts externes pr\xE9d\xE9finis (par exemple, la presse,\ + \ les r\xE9gulateurs, les groupes d'int\xE9r\xEAt)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.co-2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.co + ref_id: RC.CO-2 + description: "La r\xE9putation est r\xE9par\xE9e apr\xE8s un incident." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.co-2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.co-2 + ref_id: RC.CO-2.1 + description: "L'organisation doit mettre en \u0153uvre une strat\xE9gie de r\xE9\ + ponse aux crises afin de prot\xE9ger l'organisation des cons\xE9quences n\xE9\ + gatives d'une crise et de contribuer \xE0 restaurer sa r\xE9putation." + annotation: "Les strat\xE9gies de r\xE9ponse aux crises comprennent, par exemple,\ + \ des actions visant \xE0 d\xE9terminer les attributions de la crise, \xE0\ + \ modifier les perceptions de l'organisation en crise et \xE0 r\xE9duire l'effet\ + \ n\xE9gatif g\xE9n\xE9r\xE9 par la crise." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.co-3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.co + ref_id: RC.CO-3 + description: "Les activit\xE9s de r\xE9tablissement sont communiqu\xE9es aux\ + \ parties prenantes internes et externes, ainsi qu'aux \xE9quipes de direction\ + \ et de gestion." + - urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:important_rc.co-3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:ccb-cff-2023-03-01-fr:rc.co-3 + ref_id: IMPORTANT_RC.CO-3.1 + description: "L'organisation doit communiquer les activit\xE9s de r\xE9tablissement\ + \ aux parties prenantes pr\xE9d\xE9finies, aux \xE9quipes de direction et\ + \ de gestion." + annotation: "La communication des activit\xE9s de r\xE9tablissement \xE0 toutes\ + \ les parties prenantes concern\xE9es ne s'applique qu'aux entit\xE9s soumises\ + \ \xE0 la l\xE9gislation NIS." + implementation_groups: + - I + - E diff --git a/tools/ccb/ccb-cff-2023-03-01-fr.xlsx b/tools/ccb/ccb-cff-2023-03-01-fr.xlsx new file mode 100644 index 0000000000000000000000000000000000000000..bc64fd47c419707a5e886e4d4fe5f22dc26edcb1 GIT binary patch literal 68041 zcmeFYWmgTm(|OL!TJx@T-d}L0 zKUDXJ-BrEsec8UNOGy?I3KI+l3=Rwoj1=sF*RS6l91N@o1`O;A7#xI-sDu4aGy9(g zsveGJE_#gacD5w>P!Ke^U=X13|L^rbxB?SNdN%#cn4y=juc(wQ0}|^vCYoJK!~0Yd z@BR$jO+(&sU$Q=4vm^*jen!$vWQ1~ZU%uYOcH%}QOIRSnY4YmS>Tj6gY96cFl|Xyt z@VQ-RhW^l`Y-~`f#UjB+W@3U#NP?XxT`}$}$9d;Jq@ibqa5?Ool{*eZkJBGW^dhw| zM(Er;-*7&*g~I2p`)fGRN1kY0ZSv4qIBgRThNtyVtH0!qCFfpaLrWHS6Qb6m%Yz@5 zNjHaAX&s{x+~-~)%68k*SA3DA{lyx3Su^;F49V!K=pcu2LLf6^ze8M`Mo$Zfk(l5j zN;vWt77c;k-|}bnpSAE6`!=_ylA)2g8D18tTR-V1q3Dk^N8KFw;YmR!F`lsAx!b3z zIMWAPs3>}5_mkaNu}5wVGJnrs0T`!yV1i9cGp22S1!3*;6B116|3la>`rT#_Ai{2f z_=pH1tbwzctqT+5zvKTS>i=MN{$EqCjF*>%WI+qP4E!XW=;B?aBb&8l5oeXL@rEbzb zVdy5F(j@!PloTAV3uL~)Q|EIh=Xd!Ut8q_<(IRsC*kZA%SgohnWs#Fxj(qjJB8t9R z-?8KHu~#w^NFr+O_nf0ko4?A+5|kn7kXZ-MXI#*YorU5qU;Nh6B)kuqJ6TanH0_y2 z^B-C2_)VrXroUrMZPdT~x0Jb1{dg~e1OwxS2LnR|jc~VRa&vIDF?MjU`R8wi>Us_Z zJZL@!#~-lRRgH@CT;S=sR2ANNRr8hQoU0qJnB0beYQ2?qc;yQpkA$L9(k_6c)!!IF z=i5&c6KSLx2IUMK*=4a&hvZ)jmWqXMV6|TC5U{!HrMC z^nE=vyy7w^&AP3fu&l;I6IRLh@0Qaf)oEnlgJmS&DPyRNwSX3~)f}6bMYhJ%Ix=u@ zVH}}?ZlOQJOY*OQ6|^0gu~7`HN+@8(Mqu=)WCX+GC{%nK=Ino>fm*Oani6%6&7GDz zyy}&4zck$^tnJibw*6$mgRxrBz9x0Q6mvmc^E`N>GpF^jEVPNuf0AI$Dw}6lCR-pg zj+7w3#VGccjKLPul9NsDXKZGrevIfeg1VP>hYpRfZRSih!h!fjMa zF790Z`bjE*aiU3b)w8{{*7F-$3CowhRfiI(wI_R1Xy$U1tq=@@@SOfmd$_e{N_2bo zUeW8sXjRYfbavp24G#bth&ElE9JZc&sbF{ZkY%tHb@djTpiKFCW_=WQEJUZ+oLp$_ zR(qbp;8}D%x8cX&dSvo>0Rxqf+2$>M`inB*}E%WfSDr;kg?pPKTS; z)wcyWr#D-LS~8x#2q1;W@+zjU55SV|DdCQuAh*8_)d3@xMU`Ar3e#QZ4KVfLxY53( zU4k2Hzdla!uIo4ePud{;mJ4vX z{K32kLI!}&hA&mEYe2l72qTR2)2ATC^6I+VYPjN^DsKfzgfW_>i^hDj@|Bafk2{QT zrClDr#Sh^asE)G_``6Il2aXYP>v3>&$(T3?7veHw$j#|wi+RXNv(M@-a6Xj0SvfyL zSby*SzVqWC!MBPO&FdwO#0odrgg*Ri0>v)w3q4=^zcLVdoMpl^>UHW7H68&;}$XomgjaO7+I2*#7pwLHwI6$GooS`*5=<_A{qn??4P~{=U zWyQr^#vMQ`!kwA$O_PZ)=H5Yc@5p4t_rHY_U7MpW3kXKT$Y5YNpb`Ju99%5T%znBs z{pXG4pG#yWtVXYrfJ~MCo)GPk6NcK}cu31G{&%~ZTFfHUE)H}Q;@*7u&-kuMc0Y{6dzo*G*fLp*AnQHdpGj#G%wr|u{Toaf$*c$?J`2;!n))VUa9 zDz8({?qpUH687$10Gypd_}3=(wc+L@Su;0RSFiGno|iJw6QFvm(_Er@N+uGx;F(h9szSv$l8b!a5~&0}42SOf1w zUc6PdywS5`_!Z#a{ZzE+$Hz z&e|oc|*~hSN714e03jgjpCW{x8P!dilbK=$R3-V

;9Rl6DjA@5TZx6>-N zLp#Coa;Ip2b?1cn^?4y~2nVs3f92_|uJaK6u`?6t#oh9fLMMtW39Fz$OW(b)U9s+$ zY^?{IN+`0Q1-Q9sjn((JAWcdIu=ZOU_J6@$$l|Xh5WI8p6RD?AP)ROK1UIAf(JV)a zh+BFwoYZ;>0ptsDYz!^0StLV{z(O+tXDjr9Ye8^4BgJbfEN?!S`XI)j(ecvbskVJ2v~Qt z4J~G5%GvxSyWjimrRHF5w?fbH7x74j>*KZ8*-JAoYLZU3hepab>CGR%a_*i!v|&fa z&$LstUO#^-DkR;?skpmavhMNc(s<&IAwyy!$S6P+ky9FKE{rqJ*CS{kNGR0zD~bIs zW&SSoV?5Uenv!~5U2qfF4<`OC$R0B>lbwA+R0G3PWYNFn=4b2`FH*OfqjM#}BBlUJ zhUM*w5{otYJQG%8=GC4^0#4~~@JMZ#-;bP(^Vym6LeF9uEig3JxT=@5+*X#l^ndj= z@k%MoHM{r>G2|%B?@zGsy7bpbYfUjDa5WsJkBZvL zUYiCn!!yUIeY#;65@=v#MdG-CX^Jmi(=H?4%Q>66p(h7`l@{k~r>E|7bud9wtF#qYtK1#Z0k6tFp9= zM92OzC?ePuZ^K02Fr9i7OfkJh_nJx@>0tVAWhS%Ay9SjH42-}J{Qpm8SpQ3A>>O5@ z(S|n_SKMmfx}^z7WvjGi(h~5EA{zC2a>p^34HfYir|vq}5-rR{I<xXW zRavt|F6&(KRhof2oPP-$TUBfdS_d>5r0gvGHTtAEtg_9-%Uf-aqnSBVn1AZYf}?6z zVm8{tvdlP!y__q%HkZ&k!7Di3cAiuRs}qtP)W_N5=O)sy`06&UTzLd}I4s2?*0VhA zJrUm-^}k3{P=@?fUt|<^ZlCi`|B&}gaIT}yI`BgeMOJ}in*Dm^KekB~@%y3j4Gg~% zUH#1HqjkcavVzuUa_17^+pVZ8&P!L%ovX5RW$kn%PHD*2ix(tNvTh>RNPE9^w^jCDbvlNeb!S>7~(PGkmMRf_!R7>}a z8_1L{wf0o};TU!G3KjaY6ldObuz^e~N4z}o08%I$ViHSoifN2_KdKAn_FVo}f~kS_ zsv1&WCL+<`R!gtzf?%wH$}0;zTyCO2xTNByxxb@M`~Je;i7+>@#h$_m#)ykpuy(@ z)93A{&*%AL&-(-M!_~RpgdphKo60#og$ivI{GaRDABWQpg73$Iejmq*e)Jfd`Gdh2 zpLmqXNfOW9qq=@?MxR+`+K!nqTvJgPIT?c;#Ae)i6Y?XugG?ENtnW|MuL>#~)qQE~ zmg#AW#C}h!pYQK6es8abf*;S9Jyb~>CCd(0wQGX3NvaQB>@Q4O()i+gJAx1IA_%l1 z4;mZyF9JEzk{+>N zyu7`pT}1`%YS3tbZtQ87GcUfBL7tn)pKM)K+}-aXS&@XY@E45xQz$ne#51^=0EXAb1kZj1kDC~Cu>vFpATg}ais zRsw?@eNJ!wp@R&x_SRlR1BctsaR@`a3M{Y|PB{NB?+XIIkS3rJtxk%A-F@GS;M(9? z`JK?O@QSDIocl1UMOzO{crpT!(`sQ>Axe$lf1qV378ax0REKY|^|&y@y>w;7w{z`5 zV6)K9^ZX2-w?Q2eMov%wus<3V*M z5EYTovYs0fd>z8_Bp`y=%?)uE1;)nnCMQS~Bnq}GVr@NvXyxnUZS1ebO=I*|=E{#J z4{DR|FY&{G@ZR*>SRW~lAAQ-c0enjYB#Z>wD8hcvCPL!{?JJ*TW@))@k9@(iuqGmu zI#Hpp80^pmD?ZND12GmBp*IB8si3Cf$k}ig=o zUvrI#F{iJ4q3_VXsGKXQtWqS7rfZoSdzyc8+_$YK!>r&8TQl90Cvzn1e{vJ{LJ^8> z4{xu41EWdhETQ0i#8R(toQ4>7rDB#Jim^>av zJ3-7)m{^^9mkMu7PhqalPK$F8bcb5IQ|4!S#@4foWTwLN`l*vfeF4W?3!yvJ6i|TD zwGttXxW}x`^y;0(Q%m(1_$!#}VXkXc)nP<2>QAYzZ%$kG>lbC}m`ba2cLgV1!wUpbK+ zGpOFGO9CZ(WjcoT@iX{ciimTTkai`54_!9b=x=Yyur{QXv*B?G8}AJWea@MS<=<(s+ z^T6#)ps9G@61)xcO}vfW`N&FH(3job3o+pE;F`ON94-lRT9$nOKASBbc|@d8FYkv* zy0*!6%~OODqL29yG=>_edY4ZaO~fm*N`5JhyPv;)$enGt}mswQ0ATz;+wb9@ay*4Ubz<>2D=4 z6b*KV9f#|r6yrfn2kW!p&w5jV8l;XfZlN2>bghy}HyQc(+V>s#POJPr2fGnH^A&bD zJg@LRJCV>CUtvyx-kPCOw%xaUzT*aeZZB5z^ujR^$>(bP@A)+6SP?Sss)r0-wIq6D zpQg(2X|cYE+NKP@-?SQamzo}-MHcGYjn9lK9g#CYIu~`y-x+nGjw>xIwR}yVJN&Q8 zYenw|*dB42+lK#8EPGBlYwBfn$JGd7Hg`-Gl@T9bx;_;sN{$vVAGAHn7dmlgJq}RC zS5}~U*SotTlVtt5ZCc7foSfG@yDs5Whm^)@mpi|oM8km!jKYOR2{gN+tBw+43A!#x zj7&zqwm3feM!qvGZYD9D{8u(=C3cpTnPu!A>sTCRd`mpDi6}G=qd@l*Fiwmu@@G4f zD~)D^dre>8Gj!OvB})R-y>{ z=nE+|XM(7==4o}v+ZYn}y8Z|@MdJL>H`qRGAS}tDBW(t(&BAe##2VLjRvcNd>@r)) z?5Ps-s3V|XUM56IxybvsHdry$VAg@tj(bVo9U-#f3<*yO#gU zv$gWrV?xg(VHJFpQ0%pmLo2GT(Q54t`PW(?c_WP}9;eA|N{Frzq+ex?Sg}WKaTsRq zkqMgvx=%7Xn%@=7y}Zm&E_$5R@ew}-+1x#?X*x&~#mH5T$O#5f+pg)hv2;9SNc3FqDqeIWCi(-Ro;acX zMJ%m!x-Y=eYj;07X;6iOf)(OLa#C@E%s1TLYC)H!lg1M*inYEN>Sn`ykN2`Ys@W!j z#`Apo(-D&M3}EQZ^SX*dpv77@8O{&$BJh9Mv_+G^EGcm=D$|&wsQdx0eDtM6(NdpD zm&HVbMcH199v9s0#~*q;16>ZvzQ zs8~v;t-RpZhorST2$G$j0@p*k9)b_IZdEKYlxvEOGz%heW~lLC z*l#6v!kR8Z;|$UQUP5kzWXjvzWhGrN_-vOt_U{*ga*Cq@jihFtDcjV@)natdHtaGQPbv5pPe7 zQIS#sqzBmSbRnRS%1q%i7X}b$%*80tkSKZ{xX2P^Ld~5uiX91R>Q%EEBGp-X9Y`A4hF52A#?1$j9U8OAr*wDD*QBL~tGlKQp;>!Kk3% z4n@>;QQ?U?Y)`b?e9~h6hu3JnFcFtlK(97Pfx?fgnO8Xr=iH4%SN3O=5NqTz^*zxV z*z>)Z2P;L6h>%!{RDZ_6vB*kZ5}_OGXP1AK2Ng7rlnO*5a8c)?z<&S~mUD~k#tDsW zXJ6l?4fi+}ma|E8u_QL$iA7?mx}OR3Po;KyYO@rU;?OYs3eJ+#6TlM#>F%+{Ky5?WD)e9&Nn?5R@Z!$i>m z=}(esV-elHsxlFG($beuYK;(`l171xY)k3&bnqoSwW9z5#LHv9u!E$ed!tFOvr#7b znccfTPkPdNx<+7flNu7$$MKOyHV#{Uxe)H#v-w$Vi zy~KMy5Tas0KE(#LQoDd1W|P_+!boZ=@!zHe8eCnm`pV`Py;Wyz&pD&G#5caCali8b zHJe23qaZb$_}e|=e_{H3GYk=T*8K@W_86)83&sgSoI91e=1iGW=v_ z4xdRE1ido}^7AAN+?tL?uYurpDaKEXqAsq2cdZcbHLd=QhIkAWiM4tr!uLepaN2?I z2JXkkCPXM?C!&fDop$m1EWr`L^oN&u0iTnFW|%A}kgLf(k#g^T{*&==ilgJ-i(MdN z8*Q||^z|zD{VB7a?kQC@Mo^p5+JPsr-`KNmg_^Qb0V!*w$oXlS$%Cg>IJXK3n-N+R zv}*aSP)`Tk`c}e!ecd2F3x{hUZMaV^FIQsRgR*5g6 ztks$uY8U1!IKv9WjEqA^$K=CFA32w&RNb$P0+L7t2SwqjwW@;XKa-Eg!w>pS@PP%@ z;7&!ZB`6Vm9u-cny|L7Gf6zntFI$&is=@@QZ59Hct}I%^+3tDohE~O}r3fG<>j_8| zCTfiDa1esp(^4x%17=t_26a$F6oBPT+g@e0C#xPEBaPd!mM@B_qKXs!#w%#XUnSdx zR+L6(c^m(ZCo4Go*10z#eMzrzd!{VF?`%wk{yKBsvgK;aF?qH;S3cGQtY)4Zw8<_0 z9-*MZYREi!w`GN==A|GU<*yvZT@+^8S!Vpua9A!Fh|R zowecV$kAk7g_+4c8%gZFPnk1>1*> z`I-Jc1Y_MdkZ7cpp#Q?0%u}4RsVKK^M`CXEwt%)&Of_sXj&EQM2cRZ zzS1Zy!FSC{{Ol^H7;FhsYi`Jc+DaUJiMMffs7C#>)DHT}lS@23;4je+_g^dS6@1=m znex=;j4b%*Rtvw_C}%?hYfJ=^1soEZtnCbE6E8*54OKVFIqlr<$}Q89mB^CAqT2i= znqCsMqKPcFq3bETAE}Vbn*v7XN|C{80`g$EGBNq*FvdokFFRUr%n{fX9^a-ogx1W?YUlvPstZHo+LOZC8Gf|?OmSPAQ zZDq$mhN-!-nYcFOt(^Pw-qMadoNT=`@x=YB{mCtlRs|)lmlX?aifHly=R9~4@hEcSD;_8^Um1OFn$%PG`SPa>1vzh%lUQ0Hm4Hg= zJqqCGkBVjd}~RIpL5d=B_^XkDG6rC!|2AAX+9@)xOF5zWX_ zNawD{8we8;<FBm=DG|8L|}Z;iVu1^9*Ix1 z@ZDI)DH?H6Z3bj2$%?=65||F3>bDk>lCaw>6bJezmF+dBJm1FXk71bg8S+tE?MFg< zYCQ$365?V5zqVlHJN8R2DwGmpn;)De-hxR}qq|~4!4nf6ot=`nmyloX;bZ}Dk?OjVx ze>U(#t`D9pNGnVI9&kw!r9-CkiPkI(oECn?dxYVSn}0Y+{H_JrR)X2l3jNhnXDeRj zILWGWDDI`n!ogR#p4tl zS{3TUV2}N!$>K;SSFIZ8;#sNYBlFj27e2vC)=^#^QOYX&0sT__!+%{_q9}~+-H0pZ z1=6R#Cshl?FBK>Slcg2?fe&G9`d58b7!Pfn1&p{pRlWl18jmcY?14ATv;@~upLMH zSO^#C%cYH>=x3GLPWP(rAVVaWX5me9>jBHyOF5H-e}hL^KMxtwb&m+e$z<)cD@HW^ z)h5Y#QBE#G6R`V1X{tp>h$+_?5HFD8u&Se!OzGdwgQty|qf=RceAMd367xCEm+ix2Kj8MKhPYJ1|WS)_h$ zA4I2vvoIUix6ZethN(tP)l?T=gjOSK8CMm~sspKAKjzvQt>CTdrObAgoTOg4x}}Gl zF^HHbt^>a$A5k{KP;M)$QH%A%EQ2 z7V_A%$Wj%}Eb+K9=C}71iVgV zBwLPKUa{V2WKjj4piwgr`8hLg-Q@ z0e7UI-|n-a><%RK=(Zi5C!K4m+D(iwr^~d(g=9A@K`=u={! zrF?KdHR0o;+!j?@q7T_4ZSzuS>O)**yPjr@^@Y0}^egDJ zmFz-P0+VS_wnY*r_1!&Q+hSnqQkN6u2#wjXeu)P*{|wP&z-VMDT1ju$)oH?d*?AFfFOLkYx?Ah3bf-mc)NxHmo@R5{?}O+! z!7k3g?9jyzW>z8DY-jSwYHtdPX_5(s?Gn2Rc%Y4yDoNoFRNMy!7Ll=iOXGps>S`6; z<+2kLDdX56J#)5}Pl87*KJTUM`jvMGMd3wU0~Ek>pK^UoiJ{}vz9Rti+jgp+#oNdO z%jM0KtPl&dQFz>=YZ}$|w5SjCSyg^KdbF|qGNq%_;T7OaTq@_uo&)Qgk@bisUSM4T zWtS`U;%|4EVD3pv3q=i5giO$#Aq(YooaLDsN8I37>MWPsHmxQ6oAR+cCnR-#Xm*4) z1vf~1l3@DM9US@+ZXPXEHVfHorHvs!zQGd84MFM;RRDOx8q8!We_ug-0<&BczFw{5 zY7=&++z^0uW|BUo+UkBkr0MlSu^30euJ(#&2=F?UO*<2DU$`LvD4g+UPF7ZGfl^7< zXW<}JJU>@!=HZ}=F@D=ui6l8)tP4r0>Xn|?s_{_{4ym?T7u3c6YS_k_38wqF7vko8 zt`>y}N~iIj(b9{PK+I#&A{$AeJtmcuO!_97MPbis%|euO6_Rv?T^>L<-`UuytV$TB zP2Qr=EWp5*6<{;n2P|I*I9{nWK`78Z$%Z`rQ>u2801KNU%ab)A5eCBSEO$MMnhmo; z?kC=mIn6ZKVDbXTGFiUxxZ2_|&I4ihZ|=xcxY#@Q>I z-&~J(wTtN;Pr=#IL0*AYXNNB}Qn8DUton-z%Erw**5lWoX8IM>^M9*2ER|g4g~p2b zU=hqbLOwybki{Pw0T|m0s|+Wb4`tY`uWOnTP6sS90v6}DE@Y-VRG2~8hF>!bwk9(D z6f->Q#zDZ4kct05&AmZ8K#cHqr)l|6b+m;!HkjiVhDv~G&2K;e1<~yaSO17A*S+T^ z9haRa;2;ymJw)FaA=Fj2?4Qsz)q4q3@i=P9gO~t{a*JH6D`xlUm1@Ha!p&F`S?=%_ z0fRvr;wu1SDttr=)PO~~fO~gbK+2kpb*)#?p+IbK5ptu>0qAE(5;Tyupv_9lWYwpVmw&%)Yxy4ygCO^nCpDUW`Uzl~S&_ zAvnW=gm2ct%a)^Tx>UJ(IOs$$|A+voQtNI=VRQ*&LDrW7bxA^=<;X5FvOd@GPFO&z zsSP$th2cRKGoW-u)9osDzR&%h-fZ553e|=sZ$Z71&M5e~?U(RJcpAkSuPm~VUzo#J zm*;|)38Uw`aE-o(!VkQI80VJgvZD$5he$cgrEb=SX-R9hY;vVz+E{8^Vks0?!1uKH zGCpYiL&jST>xF8X^R67e)PLz73j8>{W>H-YwPw1uDK^-a_pg3TT>;k4_6wsz+T?Gei>+zD3v-8tE> z04lny>LLBO0*uwgUXR3;b+M+!f%c!@6zz*eNkKEFDd>=HuXVaRt`C_+ZmzxSY~kv6 zUFF|7+O_JhcZ?G7#t+8qXzxgpCPcVKNttpiDVvSBCTug-(=kS9s_D(le#vzZrtq&g0!-Hv|P}MY1De(1s;Oj5nSvy3O=xCYqwy zvp-+@O9D5bkEp@!JN!UfJ6!ZY?n)C{`-M$14FJc`*GX}vH7L84JQ z(4rV{MDzP}o)kfEdOO$Icdmo2@zw>?s7+^>=O;hIgEA2Oz7{m(-t7c!5hGJH>*yii zk+pa-jqy~?0=ngIdd2?O2{f<4w)qT7Xnse2_KZj;-<8%+;?^ zK0OyDC2xHrQ+H=#LZ~=e62*TqP52c4^hgb}P`HW5n<>s!G_p2T_8QY@H3JslxSWh> zGu<9Qb|yQX#;1MCx2CJ@B#z_cfnI<`x*1j%1LGL}HTpX(l{)|Zx_2k-^jo>bF3mt1 zkBdte1NPVA8i|jh8-F8)=yuvNjd|ppleAOIpox89f#$GwiTPB{Z7_9&Qzez!}owVo^07YSFIs)kmnp}kQVxe#oO^Rln$8aihp%A zS0+UifIz6Z*dr|y&3eY0p4U^aYwM#+&VGz!tzBqcqxRFtf(nim07tWymQKWV z%b}nSI^TiJ)&6d|o#D2m--R)nMq2-$?puK$fb-@6EV&^Q-63jM^A&uRZBd->4bJ>1C(11fx^{-TN0h9xGxj<@v#PK#t@zAEU5b9Y{XKW#VoUvF5JtE97}7t zFtXDf(o&W!Ro^(V6p@o*5yOMi?Cq6p0o3i%gwy+`2@Xw=5lu4F0s6)OxbtQ~toiM0 zYmDd*jJ8q5VA2>? z#e>&AqO?}c_4zG}ZzHJgnS?iyF@|R^n+eKYMuN&=bbL4o?_wW66C=*$muLCBN2k9`zoGO*Y{tDTg_<=yl|xplV`G zFQz@m%Mqf211FNjxeFRKy`ve78TWL|j%7D*eH5i!TcZIZX@< z+C6zygv95u6RXh-#O#Er<~^}C&vlR5@QUb@IuR!+z@Et@B4oNRazE5RVbD~z^`Kij za16VY{4)mo|BR3`nCwCWQp{}C8BCh@hq*NWhGnIxpEk#ErglS(Yo4D>%GO3r#+ywn zS;1-u@A;lTR|vC(b`8Ri&qOT)NxaHSa98!S9-#?Lgho~A((5W-e;Ia8nd&jQv@lLC zRa*YBwP0G35pMNwO4As(6%UV4QXT3fPO>nh&nM8BjryIksFz;XCd`(c?Y1Zf0$vcP z-9o4SW@KT0%!(B$6T(S{!fxV5h?f4JomhSAjI7-GzhT0J0>5;u{ust>RqvH&lQ*=6 zsl*@hDMfopCax%_?=Yeo_G4-nDW0*|%M?hAZ1bLMa&@}YY{eP00^x|vV zgfT!RNl5_BHP@C7^lS?%_RY_ULO_D?IW1Rgun#SZ8crKtvGQ}f;gk{11GffC3=r5V zT0S_K=@J`E7*TdJG0lzti8D2vrgVDUmB(nZWLw2rj)XIyEZBmJ@$^IGmF19zu9mGK zDy=Mh!eLld6~6x}x}|L#Ct16R2WAV@dF-0r;wI{(`%}x|sI>RJtEc)7{ZB26Hsl}X zgOMzHkFSMT5Gqz!1C0>WWfOg3GLI95Hs*wnX1>sMn&${8RIEK|Zl`9qsz%q=&^dwp zEKk9SvPBRBTVGHVX<4wmp|-y134e#Ul1Z-PJt*7Qhi^bG??Rr=VM#MPaf8Zv)SNXs zXMBRA@G|%0Wn+SO$A9x~FvaZOV8=S5 zOpcrpfZdq$D1e|(3WD`X_4-0(-BBc9^x58}I?<^U6V%RFx3orr4HC8|;uX8wj2}_d z*yBOsZ^Y_Tk(#!EN6CUi(~YVW`M!{$e<6Aov3RT3i${ZH1ju@v{=R%U4kQ{hhW%ig z?mV>3G%L(Fw6^bHFmVYoW8i-*#wa$l^gDzYh?)O{tB({o>%8&Vdj7tgukLorSth!$ z7G1KH7VJ6Eu#NuO(K>!;l;;y9gTCWpdGQ-ZmpD;f5`0j;#epz<}Wc#(>*Izi$B9&1^b9chp zXG)LI72VR;K4IL@WW9)+tAVpHh8}ndy01YqFg3AjapF#+m$BTS{~gwCt|@5`@o-Ct zpt!XcsHy8sY__Be+Nv410|x_7p~h;1^@kC&=BxOR|7%gG2rXM)z&MkBFIMC(%HW13 zD9}i$gI3wfKl_Vje|O`|XaNUeyevI71zY%2W(7`vlTvKu;GjrJq=yRaG@tG&+z6;o z1K}2>*q&(Q62!{De`#MW+M$LGrE-0&Jp}EFLV)@F9a7iD8wJ#*nX%b9J#kkc*F)?| zJQRXvoF*o|{d20uFNuksnf88_{1OZ>;PuLqZq#=L)+;%4VDlu^A_g){V;pePq2k*& zCmWBsxZZg({2XKQKMd!yHJ|tNmR~DE%BWIz zC_SRfdkF^;#M=LLOHQynBkD0NTj&BnlH)?Po9Odq4>Z9TtdKDz>VBK1 z<-*{nCV3q@h1Plz`sAQz+2`hU2V{fV^3&*Up8S%yoF(?4I};>YM@4~^#0xSofo1L# z6|KEfnJ1ho=u!_mz?41i%&;z|#nkXto)b#~;vjt)LPzhY-SSE9kEf+R=mY*RhfPHv zqEr_M*`<^jZPE*CRU!>-rX@0@i7FTLf^YqfW0lb`xs2JiO2++tC}VX4ePe8whWPTh z+NuZZp35txweB3CUdmJ8*1+FemullyaU8H343+lf%XUEfa(00IAQpVQnJtq0|6#!; zguZ3V7zBzywi!qt>k%%E>z8uhEGn(hR1$6#Gk0_4kbXpfE!qJN;S= zF+2@HYkP7jCyqtL>~iw$lL|KH*Emr^StsT@HeRi|>W`xo!Ctwd@NFnelrxals6oAa z(<3d1yTgAPzTn-tADUaxjGWFVX1{|(P59OV!jY+ zkh;+h|4WuvN9vXMMyeGOaG;MGP7ztV(Xkjhgh5p0;^t zSyO5g8Czqv%sCyJkE%Q80(A!EsU0u3HTP+5b-y2?5}&|+EVquKg^!6O8SNtlQHqgB zW&OfoByBy}R4ui~*cA*fQwooup?sRK)=oaqY z+S*V<8xF!qhU>$kRsvyRqlZd)mn!jhq4i@ZOZ52ZNN%LfQIU64#2m&J~5OmnS zREV30RPAOV%g9Y?L+GSb8`44O$a*$9IhV-BaDG4fJ9~S zr(o|cZ`3aB%EU`DAQ(ABsAvM0@# z%RzgIO9h=@ZliR}cf&59Pd*F4piF$HJ($b)z<;k%o9N~%mr9aZ%OeB(YI(njy-Pet zcVZE(BKRE@T48nmLRFQ7g<*|5DkCyjlg*_QD!H-7Lxstu^BtSzR?`f&uT2kWo8ZvB zF!iQ5mAhK6FT?o2U3$%8yKt1bEUp94DXsBtT$8%n=SmNj*PF4DRTl2N;nKQg`zmA} z>jH~Fd)0jt9aU&k|g^@7c(!3hf9kOr4!X348>& z{_6uQrhkiPJ&)$@3=5yjU0Fp#zkLpRW1U)c4~SjSGsISUoakHYJde}d*QE{ zoNSN`0L=t1CwziwcfJoXc;2^^yvGAhz&q|1w2Pj7V@Pv5Q`1VdYb-ugjb^*b6pGY= zC7s@u_oJoaJ0wx(EUZxzj1K3zB{Q#6q33n@L7p(Z$j4(53C_?OBWx2hrVn z;sdhm|3%w72I&?wah~nlwr$(IZQHhO+qP}n#%1Xc6LARhdOZ-@x*gZ zWo2bn{(pyJ_bw|@ZRy^Ea3~&~3{psV2I9dUBZxbcDh8FLgqsW%a^-iqn4z^(jJBC8 zplT=SU@L&R47Ndy96R}srnf&HYxD)Ts1iV~y9=8lg29!u;jThw<)*#(*8fUG!xlNF zUpx_gRVap1ChO69Duzm&bP(Yma@0zl&<0mZl{#8d)kLRdJUXHc6d~vKr~Z08kOZ1q zh#aE0szZfN!|AhR32GSH=Etto=^+;?G6??VV#h{1=mxJ#tqAQc7FQ$6tm!KwEfJ0P z79*1uR_LJW*6w9y;{=`=@&aahd{aJ?p$xP5$sm)Jd z_x+tsFL@>!#l1A8-DE0aaK1$8yQbTFR-1KX>|C8_fc*VuH*$2zW6&;Tz~<&Cg;fG} zb)1++C}|Vhi}Li>eg9xnn*XPJW5Oz@-}{$Z9gR4ofwh;cl2r->daf{JmjlVK5+1($ zn;||HcL(c0INP4&8qOp$Ow&9a$4qo4VS1=Hfq4O;AwA9#HL_i?3)VhIf;DoBp4HVc zvPH5;Nj-s^C{G!eXfbXC=Bu81U6X=oi3KW)+pBsL_Al8=Xwr3Ic-^qo-m|5mTAX%+%8N^K#=uAw6dO5!@gw9l+(oD?B!27>JxQ)zc-!=aR;h_fl3q9x?OqLz zz0D|bwYwyoeTHVnp$k$2g4j?Uk7}9ADBl|o4dLgu%Klwb-QRP_dDjd|c+E;eR`izu zIKL;%696m&w%d^3xet`YcmPN0k~X4O!6BPxpZU1^!KA)R5vkgBN{z zLHsDNFJO{Jepq38bD zvD^T?K|n?)ygZJif>uIxHk$7$U7Dt9HRMxJGL??D`TPuKg7!5-0Q-pt-oE77uqD;Y zK1+!K4MqL5veP-$0M#`AW&#cHK@)%%rl-xg4^8xHZ+ZAPI;thTpncSf~4`0Mrf&ekd@V z=g_YI2*DK)ac>Qyda%56jx@S2K@*W&sz2}o$Iwkw9(m8Ui zIyn0E3fWg2!)nJ%Lb`dg8^@JEa+JdYkcT83@ocWyy`m=ff0u&9+PH~pM~wSA0aFusw;QzuhuA3G+4IIb;7C?2l8S*&M7 zDXZ;R?*wtAPzn3jZAuvYNQ@m#t#qMH28VJB2X^X^4aOC%&5OMJz~A7=KBhOWi$$-I zFsTvoZ;hp@l)YtJ`ue=shJ{OAQJH~Hv2Kq43HT~C#L+O;y|w_yLwHCzzC}z4(3QV2 zNA!i1@RE%k>-}#q5Y#uMO(|Y-&v!NKW>{3$+AJlEJ=ECHt4Fy{zMYO_@|-Oo1*#rz zL96{wNvMJ&v6jat58Q3HKcZj5SqWp&rmsxp49&z`DV0xuaOxXa<)pyf`()a!A z=2vSt@}m3m`gHR1zm>v5F%z%>ze-_W&(xc12>Bih%X{+cHdEuV z3DzJ*IR{($z*3esD2J2L*s5|n(>8}5MHr1acv&<@xyy=o(;y8Ph%(^tS$AwpW|Dip zKdXqry*s3vu{DFGH6lr$p#N{|CjnYy6{TM>I@d3|?f-*S!1TXZ1)22!gH;fB6V5?Q z%}-ECqrTW(UV&SS!vsRbTGHZZvE+KgCqpG%QIHIPHQ@C#`TBBcUt81)Y8Y(eh!_L3 z&p+WzvaT%C<4g6GTyxM@?jpE|nF&Pn|SP?!&pRyoX-oaEELpjDpCX0R#SmuWPJ5 z-nOk?Qk{P9&WIU%dQ!CIbJx1$>0I>K`qQgN3plP8*XQ}-1|3R+jDL5t4`}^k2|r8` zF&}w;@x~G8VE1NvK$9LUFp*o}0E0`$Ese5hMYM(1{Q+*U#IBXC$L7Ihyrd79QW(pS zEWbEmM-v||D+|FLyUI57JkZ8PkZ6ZYdVn7u*Uz?W?u^Pcghx~lDo7ktI?Dd4i;t7^ z^UE~(pPKiqM0wbNU${rDfD6FMYKYh{;=f3E;ys9HqO#UjtPtyDv&ZPUnxEF*YDVvs z=n)gErj8ujv1Z~Z;^TQ}upUU61TG|L%`DuJ>836E6r)b@aFuFl9zNPn2D=>Q6E0!0 zYO{|B6@BJtLuW50%>ra{)Fft+Gycd(Ix$q6dFXt;VgP1QdX+yCwt>WBhnz@ii0cPw zyWgUjZH5A0a#MY-{Vn@mQE)S>U{nmAE|EAfY138TGj z#5f7Qg%9}w68^w#jw*kM+;a={$G`c;u@iEGFd!&F#XOm%eow#IN5!FImdFY!bsA}= z^~bc+Bib=>Is@LnrTr<%Ibf}G5;rpZHWqp3F6lh zZU6j#S|aoR(-Nt7kYG6gA=QgH$~;w{+^*6H)an_UrD3a|x41~9U5Yn_r~q-TUcWJB zZq^pW#T@{C4G|I(j!+_RuLF6iCXctrHXsS{LQRpe9EqOq05k4VhS zir?~Nog12_mY;!ZmWH`a!Mrf-SIG}$ZRwZ%B`Xmkjw~%OBqT@|w8`B+t4zXP#e9Rz zd=12apFZ$uO{3viOz{ma!_auM?q~Unb)qV=JHeF*-+z0knG3NdS@w<)jY>@XNA=Is zE&1%^CMjuGL{qyRFkwJ)`sK(}AC=LEXlvyMo)kA247Q)`7A3ihuGr1XkfgS5k4rxh zYtlA#j7uK%@rD_Twt*Q3G}5UNyugSVcHTS-tdd&2b|q5033G_f=`R(i%c`m{v=XTH z;G2WQz+2VJj4Yt&2PvsS`8ml1Vkgje!*;N>z#1m4AJ}>ML=kW9pr5vb(rz z`y7~QNSVaCpjQynUx_7l_XcoOFBfA+enze0U=z*I$;8$IoU!)elWwOut84nb$9XRC z{&!bPO1yy$z(*d^9l8Sm1k!+AW7G|b*UYU7ZuI!D@g+qw(ex6WncLxTMZ1z6pnq~{ z5Ye4!-CswPf%L5}3{@l&vp<>dIDS3-a}#230kM%ZX!g=@{SV5Pn|nsYF8|Dm*;%)F zzyiZE^i)!whB6pgGKrB0(oGO~ERj53quv?2>8q2&4T08tWvD`HWDFYncOQpY1*LMu zo)Y+vPS6I)z+lBbZ-~0_ZXcE%<>zg;5snJVMonualijXxo0D=~h1%)&niMAOB+~yq zoc#Z9K4&E)Z6?3OQAMo(P)Gj@-ElHAwl=2w@AkjEolEs88!R^X9<);~cu!gCwFCo< zcwotteO7yeRf!1fa&3!L1lM+a3a$>6v3frL0`oaZ|7{QQbuckMo%vGx%mQiuE`iWP z2@MS;D>ATmG#o3MmxIq4yO0i#EB^6W0)&M7DikF;RUn~;I8o+E&41ZGH}f8TMg8hQ z7&Bs2Y48|Y8(u%%m2QG0#3bO)rVhZZ0Yc?ohQ`7nbx}vgIf>BQFzsUX0ip=CLO^(c zTS?VbDwNU5$P3hb7&88sS9@_GAWtk~dX5rZ6T1wG3UonI*k<#CYx;F_Wfcexgj`a2 zf|DA6x8bkyx!iJq25OXUbC8tBNL5xk+W)YINJ~;KX|68PW$SBK;iFYxWD(#@q$;~L z9>$-edI0I0!!BGpvu&J3W&rHa14>j<7^gIByVrB(sr@fkgx9krx)mJnNZu`>7}++i zT)Ndq4Z<I@*J99mU~iu!0CNlRF-_)*)uG)>Qie1lZXD-;{lFNj%t984$po*ed7>_{vw4)5pO zyaVg?E;X&K*V~n;ug@35`@tC-9iH#r$OPl}3f|whqm!90zR|pPA-W!~`;A62x}NvP zmm6HqT}>dk@!P-B;XUR>`GCDX830M>A4H4@mn)et6swKCg= zJE`*AUj0@^UU1am5E)b!2i`;yIQz7x)ia@L0d355NT6Ou)PEz|VdKre!=Zn-ak4mS zu3{X^G8Xcjtail1h>mdw()$_4!UW!N@DTRru5pWFv|Y`~+YSYTujLnq7cCS1;;{QO z?=%T2-cAgbGPSMOPhD#-9#57&v2r-Y$HAw$2i+hYr`>VlQf0l1J=>3ugY||h?<3vo z5%x3IP@%YSl13HU2o*hEwbStJBrMqKm8t5q-ZY4x69yL$;Z0?xJuo_C#&SZ)IMz-w zOOCI?9fAuW7xL72-D+Q(g!zE+?pl?1-YD$1eLM=-g$~DvJpjzv4i}WI%X~?jKX({R zk}Dm!4!L=7TK}6nlnl>CB5}jG)>U(By<^`Xg1?CTGt=4eQF9IU^VZQxojRjoeFBP_ zap+j4~HrZY+KT{Hk(9t+f059ON+XC$sbS|TP6Yf zTPP8$%|fJ04K-gc#F0wBk#5Z7m4MVV#V(#d#hR$EJpD^}&=Zj`z*-nbVPm5yx4 zo}k0+USI&=^w$7w?SY1{p88jfG|HS095)mb|u< zQkUs*W8KA!V{@W2@9s&6qpl(&lagPkGFw%<42-xCgCZO!%Vm`DfkIpAA@ur4gA15Sg);DZ`7x>{^7VsA#*^Wz}GQh{L zlG)n&VVq`Kcs`k~4tl!AFomp*yp>b9G~H^CG}e?cjf|=q0nX`R+$M>umy+~|PVASs z`7@(5cLJe>RwcX+Ot5(f8RgW|0z|9SpAUHi0pkfo+b(tGXXbyQ<_5zL`Z9Lhiy!*l zJH;V6P{bnTZIL@HCdVGDLk-X)cNSlhqSmmff5m?MA7Ufo*6_$4{nt-ENoxDY9tF6{M zw=X=UVJ18qMVvpIagL&or0F(~^K#$)^R|0r)w+vKPk6TY0o1ztm!$7Y?048Y&7#Tn z^GnbDKWBBLv>ku@e_3!$zi#Ol2lpQqoTHPwm9gW0rgD?&*0zQ0@ZUc3Uw;N)l2Z8~ z!}=n4S+6;}xtU z-DT8JPnV<1E!iX0q#BI#ejbovxwR)i#|?zkLx8nt^|^(CGQ7+WEo0=fCSnyVR!cY-6@(bOljvm%X$2Gpd##rP z!-_45M+4*tT_jR!isxP*7!9#$$oXif{|Ia7N4Hg@bma&=eKX5S5KcR!gki;5))5mR zd}GwuzJf(yisQd=i>FwoJ?C75@+u}6+I5j6{PpG(S0iOs@1Idxr>#IEj?t{*81@j7oAa=Qo$7QgSn|ay-1cdE ziIP!Pszwb1g&H;#gE)^K3^7)7ktRbX1M*5pJd*f^YDvKz5Aw5iY)|Ffvu z)ElG()DXglMz#8MA^pc1r1BYCFru~y52uoz99%RMXcF^iuD+Nt)VVwf2uV0?UbK92 zr6@cjPa)oHjTA=l4ucSpSkZy33XcF;Iks4OJfulkQ-h+D#D$$(vPOk?2B|A#9Lz6N zPCbrON!QY>yM!y9M=WN1S?W!6p{LL&y|@jVF`KVLjt*}mg$3DQfd z|9oWJAeXR$?^L{?)JD*PA@_BA2)7k7oR&idht^V3&f2?`ozL!{U|EzTE zwe9){YLD{qTXGy^_0xdYCRO+GvU>Y(TO{2oTf@|Cta^JIZMUazfQOc_*oll{xfSMf zfoo6X#AdApVs+45UZ=m{m*}e>MMr?##DI!3kf={7Psw$ni3J>ENuaYJi8yYseEr5N z|L0(rjqnF8G#daQgA@n=`F{>}X8I1sMv6`j<~FAP9rG5wC1bT#;*Yoeeg;7O%@qLD zi(9SLO#&+lq5_1&1?Rh264YBO6sE_ij|!!pD_XmAmM){V)gB8}8!;wrARk1JQzu`9 z2i-@y)0Go=Q1wQux@sT7kjVBU>Gr+8XKZOtww!x4W>O+|Ha~WEzdW^j(`aQ)BOiVb zzbfhQzV3Bex1~@^6W<)>evY>{e7tXR@qRu{b8A;JVP|NUd)r;>*R;G{+}d(<9#a#a z{@qvT?vAfHICHG+&Mdv{y<05F%B-My_qJ!@`MiFAUuwZcaP-On#S_(aOYI5e0lJ=^W5F4s5l0G2i~` zBEF!wbl>)_Ykk~iy`Cb@_2&7;X?^S|$# zQ@NA5$GQc6;Iz+1Oxyv|LVsRD5M4hDA@H^iC^TOr=DT<^&i;tzwl%(Q_}YUVxBfI3 z>iy?_E%a2bZTiQIuU2*IhMGH5Yy zuMd5aF3i}n?+?^yUGBrdcgFv)LNE_%(cJry6t&QG#k%xQHNPPTkPZySu|jmtMsFU_ zo|t)j?Qe_Hx!&xhJ}*OD{DYvTUVj^SFqAa!Q~zlHZ-xtV4;^GL++QS0EaLCk3VcUwxtV$K;&rO3Y_*F3i0(|Gn44 zyt9bE^^Ku10?lNhg9RAzMsBBxy=E&&bY1sgmrFIm0a%|Qw*j4EI?-o*=3%A4PyMif zK1UTD2G4F2F(f0JU>es|z}Bmc4M$_X!(qc!kgw-J|$`QPAaXur2I9 zBwv-Yp|Tb`mA7lY(Z->hsMSq@4vo7!6>8fh0P3J&0xQJhG(!rz$v*%1_ZOWu4RD(7 zqQPq)i`8hM#U|)Bodd`)+v!+&ws+Cvmq0iy^Svkfu)i%<6X*WDF3sM4S?GcOeb*c0 zns@ctwe3E=`oopF^yj<7W7)0ib+J)CcEx5j|M?Aer}e0x&vDq9 zA?MM#UJLy-#Ww5reaCQBU=U7xXu5OT^mQGS{*nE}+t`x3etPEXre_3p5#$2i6L_f7 zLC4VP%ty(y%Xe3yV=gq~g=@ApqMIki{ILH$&mG6npTaG zg|W5kq(l2GiB%_9AD0*8*xZ*!>^YZ4^u;}YeI?!#H%(}QAae2FqAy|XrvWx(HXt}n zj0uLPh3;|~gr6l7h4HtGe7QduCLi7!DMYQ>+8u|@!Pf2m?cZYvo=UxEuYw->T8OvO zx`>AYOq6t(WRF7=foN0gW3km8gEOK#i!KXu_xFhQL*+r=%TLPgMw2l0SnKu+P(&A- zHt1dr+8XbJqr~elg0eAE1%J<^3UtuZg*yLT4JX!S-+A3X#oYbJ5+5#+m;q#?;F$m0 zEtb!yGW}a}Lv;>MRlN-4D%D&_3;zmY=|C7w(HT zthySMBku`aA72X?q6uUWKSE3L~I-ICN#mXe5ca zxxbZTTM%-%uT~b8F2@gSgEUJfDqAbp-iAtSHWJ^uHXdzRFG9Dx?p@lCcyD{w-VC<< zSLbQi(7q}zPQHwLSF1XYFnqi>Xh<`!DsD`Mz1g*8TD!KTZx1{^-Zy+Y011FVP(LWQ zze+=}5Y}CqHFRcVK9n1|aJ(6q6I2t=@W@WCh#H4XxHcYBpBzo8>U6%Fw7%vtyPf88 z1Dv)pgPfdyiCBp%&WS2tt{ZC-q0ZM)8)$i>QpZm-4z`8{leD!;4TC^$18)}X-4-?$MS1dv(KBH$w5s?fEc@R>1Bszi zThp@UDs-liylpsBHtAh=wr~5cQ>VDkpkFS(f^c)VZlOJk{Ivbs)iGBG=qbiQ|oM`ONUUkhRv7Q0O= zi7aoH2QwTF-%B7G#ElAE^v9%;YZ@RXb2BI2E4Cf(z1P#n8*FmgTW1dSZSJ9X%aUfq zx7Rk?{uXSSJ6)P=l&4giteWH)a9_HvW(I7%xxT<4y+@C+_sLf#thv>1!D}qdTT{Ah zN&%(6OG;M5wyb#MBgNW9Mi4$NA)LUT@XUSAy&cy#JlCr=Pa99i#~+fP7mq&6!?5EW zx-q{#0sb9&Qor`69uFC&IW zTWdxI-CSO8>;C+Bi&9FwamcE412oK`5(7-arXSbdnPsHw_76G#XZLwuv8HYB6&p>c z4J<<63Hu=fwWQj? zm-?SQCTS?2&P@YL-MAZ7SJ->^<}AUZdSkbt$1BTQ;RpY!-k9R$t*(I>`rL4(bT{8n zic2ontd-UCZxjW+`__ateZ`ac^M^XOx$q^c=n!Uy)5x`{UR~K^&1?jjHl9soZ|wNF ziz{qPYZmwDV8D8PM?Kas$ho6bI@oE&I^@kEf$~r>J%&LJYu>t_^};ZRQ+6F34+$*6 z5^PJz<;ZEbjPkLi^WzU^w(c}LO13Og?mz!T;MgcPrw$!wXRofX9cXSccY57V;3~`t z7uMF+QZmXi`P8+gRp48lLxbVg`q3y(6v5YbPj?Nq8nKPI@s1^Rv|}HgU=8X{`Mtm* zZ;&UVzSO7c;2Bh_X|wu_1`4zws*^GEmGBa)z2PUI1OxfcR9CSnn$y(0rmHZ>$-NE{ zds}nukQKZTNXa}Q-WR27=-;u(t1C$!fftip+*$+rGJY#CQz92|XT)XS+2{f4d&}3s zA>mXWOjx5K;o!3Sy^!}JE%u;yhJ6kmjTy5Q^lE6g$CpVJ4H{+;I7j3J5)G_wb)eb5 zw+~1Ps!gEk#!np8)8US~8yKuq=b2@Al7^QYVDkMJ^>y&&d5%SyyRIePpN<1(2%x?) zb4<`+d|0oXs5BJ6z3yZaCn|OE4tA8XZuIhX()VV9vt5WW*eNk_whVf`>O>Z-o$a{< zEAgH)&;EH{Ut0pRjy#tOeAVjB8xq)=JOU2|#0sVlXJ?My_8D-?n*KuPJ;fXMS&u9r zUi>?&rKv;EREDgsAM2X{q_#d#MclA32`_Mf+uk6_-r)~BNPVYt$!k_e7e>a5t&Y{u=64Y$^0-?I*Qv16K*WMhqIM1FYr>+-@5}$`7m2Sc~U7~B1 z{UybEa|C7=x|+S(bA}McCV(xlXm}Q@)$iXoNYnB2u+y?q`J6oRE|JD(362FL(UZ79 z(}Gf!IOMK0*5$^^wX<%J#NSt0drY5?iLjfwf@Bupfw=-TCSc^n@)93Iys$;3imhF&o8{DHkX!=TeZp4t8}Hs92~>s?eDshxc&5AH1HGv8i8r z(y;mYT2CCdw?TM!UT7lpfn%qCepI*3Na2iQdn+w_xRa7rlXFdAZV_q|IjlC3*2E~} zpf^1VtKH2lo&3G6$;l|^;e%a9y~1wYjlWTq$9n9_J0~S8=H)xbv@d~B0lNe5qA#zC zv&R0~$Kjn-xFe1BKaMoL5et;LJTCEWl1Mf;4#xX0tZVYcq4Qf?v--4JumRAPm{EJn zvwdSeW9Am~1`M4`Ymq%+KsF$tzX+NA$HH@v48!JG+g`G84rXiIHhv^qc>(8$vayZX z-O1f(cd*q~9giS19-TG>;LJw##3080TI#zPUO~m_q`GVnZG!t9?mp5=EVlpyWur=A z&AXif>x}C%%w?y1j=_awa<-2G+TBVp?e10dAG<|)RCeiM7+dyLtZqK}yTiB((j*}? zJvgus*qriY!$=#u2{NAf>SXKiaJiB}qF)j?mG`RSNE?zYW;^KRRsuv4YNTx=B`oU`iLL4d22)X$HoYS=6UEfuHM^#EM#Ptg(sqBrhNgJO z<&q{LToIK39g}KX`rZfAlZQ%kB1;Fzv=~%1fyJ#s^;u@~*9DL4&(GHBb|8^e*{3V4 zgnIetX3Bbuo>S9?^PkcMHDAayUzLGe&k~l6$E!g;7`<5>|1Q}p+lEZ-wg{|-rw+Xw zcw#!=IxK51bOsDSm7?mA-87dG7R30m3c>Yppb`Px(r&U|2EsitsNJo&jc*zYf3~^G zsM^-*$wd*sq4MApM#mxaW(0mPYYHo-5ViKa>Bd~)KD$l7QTXw>D}5bq&OxG=Z-%Jz z-T%e0Ni^0Og5=GXUfv44II>!z_<2?Q!(eUCrV@o~JgH#R5v#}cxq zGiVlGgnqTsGaO#Vcg?$*n^$x!47P;OKzzde1psY#r)xxbfsf}(=WP%ouP-#$;Jt0( z_+O$15*T#W9xwymogZJh+ViD#-8!AWHv$2e86_*>v!ip8Kg+Q{dEhWUy$}IRmm)*( zW>CFh14@IUW_U3iq!5hEeaDC5Pe#BBZ$K(URQ2E!3IGc?31#B)XdrH1N9aE(Ki3w% z9m=<0A3uz4?ojOc1vv6{4vfT8KmH-RVW>uQRsBJm9d;%i{2ZW8%#hN5>B9#RAxc!S zYH|fArJjqlXo#Fe}mH&fvIk&z#^TtR4c;qu4um<2bI z*194-n(`r3IwB?Y`C(L=8Vaa^1`B^??<}ShQK0}c{SG4PiE*ldetzrW1E@fJ!c6-_ z*FiW<{$5b0|(YAZSB}K*I*Pr zjV_TCT#atQwn}h%>|cYnck3L+u|z!bZS7Y79bt)dn70T`{HflVrRTZ8!lZO?9~iZ= zz{1wB{{|zCi-u_~(u&=}7cb+o;X~bD#Yu=@a|twRylT@oVvJk9JuFY9Kma2=1cC7( zJY2tQ(=USQlMr*o#SM*vpnnbLTf*)6SGF((6R)OpktxQ0iR<4l;1NEkeX+6saL|gO zZu3dH9&M{f_>6c2Gaaj;4@67^SzDy#$9)?MK{%_Nm!27?<>>ptridJgv>?ky@z71O zEojNxW9U80Bh7Z=g{z^m=Do!`#nyYh?fWYJqB|<@N95G}_w{WCy(pZ$p@r!&a2w#j zT9~<{a0Y%C*g7-#w1|lLoT-j`&HB&1UeP;zc``nOKd4%4J;c3)+pZLQhW4wfi zdxvqK3W`{F%lxTJmLC}L$&eZkhD|fck}pz13%fFT^8mD`(qd4#;UCf+$ho5o*9WlZ-g6Q)h_Xv|`K`wFO+JFP}$r;Qj{F|$(-NA(@q4HC& zr7T!%5|k+z_q7!aDA*5o7w&Fp6{q5T<>)UV0fxS47*VShw$r?p%Z^ffyGOb~a(`Ln zLWwZlu8_rU6@)Pk6+*=}t1p#O$NP$HoxXl;o4cwmfc{Nm9K=1wX9KSfYWsVxbZIS~ z^vpD__v?2k9*+m!&&RI3WT>sKUOVLnkB`&iP+=imFZK_Z&3Ozu%$oxgZX1;gahOSBzG7+q>Eax9Lq`7TgY6LHOgMQ28NiN1B*H4W>=V2F!P^&n+XxH zA^0lYLLs+<0EwRrtRh1~L2Y;j7A!|F!L=vrDaxIO$C*p~vZIZX_*j(*cx zhNq7LP^}he6zREeFn}^axK6j4doXmWhl7?N6os+~1|ZAAD%rrd-`elweGCcHeN5m@ zsadlkg(;F6;FGW&~S0QMoEf!GEN>HJ!gz^s@y)>$0->2bIj3!gv`3J~ftvwxwF zQVIyE`yqX3#u(wa@ITVU;l^>AFre+dRCnDj;~@EM{SS`k?RagD;pY0MqJ(HJ<-^3| zH$?=fREhme3LFW;_n7q838vAhFJaR>LxTy^sP?TCNs;261p6UT8QTRQNK|F;?Hz=$ z>sLYaBPTD|!5VbvOc#>tmXS|s*@eu3VEP`0)~6^jclZ6a7O-^1zGxK!7XzVYS-lhB zxqb<=Z3TmhV{tNMtlG4miR!Q^Zu-WCuZi}_B3MPI4T(szv^FA?Nm0e$d$ApD1PXnW zcxz_Ig=BdaOX+zhP7v~7NQP?2TV)!RsoW33DUOqfjW=eb22(#jnmZk^#5DyQnPMU# zBav&d^isnJrUP$U3}M@SN5EXvk!}ee7GZvR7({jbv&4d@N?spi0Ny0$5rB2KXACAg zX$=BYHSNK-+MOtKbu6<9wQ~m=T>3i7Y6IBk@ShZGMm)28r5EIV;H6 zK@==gCbGs1Oo$nfMGf3?=%$3g--`0ijc4q3OMznWY*~@Btqz?>Eh1_Or)F&_k^4Vt zGS$^7U_H9U`X{~7Mv>MnJAH@S*5&_RhDl+p^|1N|ka1!$G#U7pqn@Qe1h+|)-ko`` zcEh=t%+m*lgvPP;SZiAV$l802YxqY;rW$G; z?!$gPd7JW(X9OKprGF zU-hpmeskhVwl~U9-*`6U#Fn98)y6uZRq9dH7*_b6; z;0Rq34ux-RnO5BOA^W3zSYz{e8fZ=wcD(6FenRnNiU%nfc}#BYduJz zD&-0bhF53BwprfB&mkXhbUM89z{FMZ)rP_8NSPrfh&5+V9P!5os}$Ahaf}VV#Izo$ zWs3>IqiRTBAr(@BWi#f3>S@{G`}iXq<1-*ctREn|PI|(s{-j4o#;4jM4o~t)~mu`+0d9U z2qWp}P}f4v-yD?- z@zfc~f0Sobmhs)FKHuGNQBMaZdR(iR0^T#K>MW+()Cd1O8`dM}1ML*qWyEkpRX#)8 zt(R=~w*s4288%7T>9SS@&aZ0@bO+*H*DA zONM0_PuI_CPzSE>B{pqS^q_Ln$p)lKL%OnYoTdlN*q+p>^+12{P|2AjRn)o#evpL+ zm(DJ()FRehcuti-4A?G3gn<8)NPo%{Jh0V_;S%3fQHv_ET+nuqhpKR76Qf(1+xhQlDZz6U!JbwRMa@=qG?$tc2`TN zAjogFgDBk}!KFb!5kMe6Wb}Zzgxb(9YPt=T5^;byT5teZFBz*GfMxfKOk5}`@{NGd zFj*-C8+&fNPDYaLM*oGClgY~`+^EAb(n*Oya_|A4i7CGWLxVvuC|hdZW*mqt=*#FW z-L+^60>a(;iKciY=<}kUR*41!K{h(06w79gw_}mIdQ3dmN!`}6tnqYPtz}5ICy;VV z{SE9qdhhr9UC6;;(#cy=AD%hoBBV5{C>1swenOoyNyjNtny-A1;ipoTYc0!9`q?@C zwfmC=GH}2I#>tVl5u1_Q`NZ0)Ty%uN$Race1QvO6Se|;#H32^ind!ljP*r5-RQ;M^ z=U{}?#DSahc&J>|E&`GlLM96MQet6k{pH-IV|NaCMjkZ*!2#`(cu>WBa*HwfB$%oc zy01KCtYHded?oSf3JUUCE8OjYHl<7nT8s+t;8+_%kn2M1Syj1Ofb`MU;LcJDkSu$l{&>8wn9SRsBBg~BD>)O`B;Sq2JE-rXLJi#af-FwE!VKt&B6 z3T|;-azXUfe5(VdAh?>GHZSp9jRIYA)^b$x9PF#I`oJcWdA<3-@^Kz8mnOqv)=y6t zMOR=7Xy*$V%0LN9J`r=htnB21x}-c}d8kBVCmb4iHDZX3spq(18?iXQFl3r0g^VyT zyJu+-c_AkXhDgR$P6fC7{9BRv7%yHcH41xptYc902=W8oZg7+zA;|8A3NCy#$_@Zp ze#PSXa)G9K5&?!Tx5#~EG;-u~nmxjzl4&s47$|xCoig=*hrBmEhBL#x;E)=kWbQURGxh76(Tk#6iFuXMp z4#Ozeft*BuX*n&}qhGl-ZM(X{jV5JoWJ3u#vPE_avvft(vdytJRghfB3$Rz*op_Y= z{lKJ5<<3w*CtzR6TPn(>^pU%!m>(x{!T@6TBoL9)Eev2A`EjJFMYL4n(9n)m>6yep@Vo1*!o3{d;$d# zKgh;x%mI(dpvdxwTcEl1{y78l;n4-tOI$46R5zTi)SlMl4ip_%V;a+T5L4R17BvVe z5AN@LsQ%CbbA6Up7(2N7E=p!#XNAQEM{+bb{}`edMSdr;I6aay6C^I=1SSwU6I!qb z!E2Rir&UR_m!`QJQrXp1X5BcxXG+2mlAX-BeTn%5b&KX>k? z5P*md^&(M@hSS)=jQ{VUCJnbH{0M@#T#!u(3%p%3U2*2~*eL43(Z#c}Y#+f+Dc+Lp}YhDR@l+V!E{WA<_j5Q1`4BEs+llk~eDQ zw)|5unp7M(+wwnI6PfGFDM2LVht}U?FKNxv zKpQfJ#05D~XW8m}t+?O>nkLB|7jlvF!D8l!biD;u%Esd^>Yx$;i=V1zeL6@?=x^hS zqs7~?lH2wIm4%0~l19ifL)KTXX`4RL!gSWbLOM-EL3kIoUyA+6C5eGJA zF@t$l+-~~2ae;R#3RkMhcyGU~;KyJ}{Zaga?v^8^B6B+Q zS2>1qz@XihloOx9fOdjFAP5%^av+`$nl>04>!4dT`<84+Mos+aFz?Vy))JO`_?+tC z$_t`=?I7kbkEu1^V_vVD2#Vmu*Gl z$I{kwlDq6oLXm1W%B#t6Io@xF-QA0TG*G?74$|i$k)T&b?gkTW2k|j3X{JNltio29 z6Kb({eXU(5j7=o?BF*-xPl|eH%F0g_?7H$-v*NZBGQE+G#7_@|)0{3zdO7k~D^B#~ z4yd7vZ@T^QogKF_Fx2VT{vD*8k(t-6n$+dAL>sLNYuGVZrSwc3BaQ)z|Gb|8E?`f^ z!-nlk@TUPH>g@N67<&7hGuO3P5Atpw#a`(?nwNVuxLJN;Dh-#uL*^E5W( z&i&ZybTSscH-owGOQylJl#*=^0!U6V%YV$2id?QItDFD=C*x8vk-nOL3qaVrrTC_8(p=wiDU zHh@}gvM{lYV4-G*vT2;IIQ9mkYt_L-ZO8)%t-&z~ev}qishjEV(1W|3jAeL}8earr z%%F@k3nYlKifT?FD90I+Um9OltQb}Q=&T3mHgW<+G}0+EF}^cw zC+%Uflm$(MNtT}-lN~C28!I9hgsIbth=x(k$t%Uc<@?P!kvF?Dw&NeIOP_TQK6tM? ziB!|Pun9N#U=kZ+BC{8?Y$I`>ETUZa77sprultI4g7a{wHnO)Bbth;&5x;lzMQP@i zs~ZZCX}JFk8R=F}&_XY~zv-&^Jwk+HIEi5*cp-?FpBLqvHs z`zmels=CizY>PUU2zl7CT#y6m6k zH&7KAAVHW>!W(8s(FI9$3+FSOE37a}2?N1`E2INUDO zCyV?MSV_c;GE6S7{zD~^@S*56DKBJ#Ly@GCMU4LMCxO52a@kdqvz$a!EINES9FS8C zUFd;G3{H_oGC$X7jD|`~Il`>0ECrPkp`xbd%P5#=}%Z=p9OPGv`{ z*fvwb)JzXU%hVb_ z7Z0BinG2^kD#(+EKcpTPf{!=LA+T?DK$8s5Rro5j?M3 z?Mez6s{!y?l(WVvMy(ea$Kn7g@x_onq$P=9Vzsx^LxX*1$QXk~JDUPvv?Bnak43-Y_&Z57%hcH9EiD4*>>8*Sa;8K-#bD1J zm3>X~y+*zAl8PRqgQ=#Y`WeNj)&+h_)l*TmOwCD%_D;G(m>;%L4mUG+XX9-PM7PYe zlUj=zrKM{An4+U2NhY2gt|vvg<){hMDSxMxo(Yw1>G?vrcxz{ZhtdT#F*0Ut5%aN% zdv{&PwUd&yEF;+pQY6`L!MTXBt{jSx6BW$dF5uLX3owcYBf=0>dW=1#olI@_P@%rk z@ve3k##P9(J(aBQ-6{_Q+Z4{E!4MA`C5VLzk)iUYm3s_X6Q!A8E2t>Of}brG0o<-!Pe(2zmM@#jF^OYy$IWdB`>rua6Em zZF8aM#0L%&7u7si&0rO~jY(NOaOS;qVKyXn^F$Tq!8{3BapAMHmvB_tkCROViYOw! zey~P4%UPgEg0}HYnNT`GHy89|zQh^ET-?-ED9X>+Nh%a8pW^OgM6FbdN~4ro+Z89r z?Bfn;)FDs`rQTDl`obnuCBcpJo|iwsaoPZ%m`>X4wN-~ubp7pA&(mQ=l?;e0Fn3|T zaymo5ZCCxVx_pfYF!ILPT-e3IjH(gf){LPNnHu1-SNb)gAST4rg@x>a>SZc0&hM7bA{ zt%+~k29XObN9^i?kN5KNsw(Tfn3Z_XLB7pd?-@#l>L(MvBm6PNxfw z>Y1xH?m{St(Ev%L2!N$kfN47 zR)clwW@=&6BGbc;*}^Kf{P$4vDvz&eLw$Ay0qz{61j1@Y8Mj*lz!6`?W*ZZh8#SIx za_O|eCN>GL^Go3Mzsf4yHISeo@9e9YlL#1eF&aS}AY$;kQJvV_OP9|Td zl4}awG7l}`?XhIH#a?-I3WOvu@vYDK4t;lYHM$s#Y#Iw9vc_-U5Y-qqn&uB&E>SNn z9=}q|4~6xLXEMc1^1_!AjcWDT+;y= zygL9CcMY*D(h28U7=}BsfX&nxwxLiL7qJVT5M&V#v%u@1B`h zr8vS0qZY{vH%eRZmg|1Lyt>kQsH!QkzZrh0v1@^vxO8ipm{$7`ny{nu3FzMTt5q<2 zy~I9goWR?CywOB)IajOsRw^hvzv^$HSn}hsDgvq`k<7Uxm{io-f_q*(TdT4A<3_Pp zvrXHnlVvK)Fd(FDr&g55;)o5rPa8B2hEwE*RuCCSQ*rEe)j6%!(*y3pvFe^IoKUV+ zJq{SSs#A3X2~efkd8jYDjunpd0m%G0)MPws4oU~aCK37IurLJ<47^ZbBSlu}NpR!r za>Q;SZXSxRSr(ZUG!g4hiwr^~NRe`p%uA_4%%j|JN3~OiVmJjHQHFAgGG2iJIbfbM zF<3n6^KInqrEJh5=9eudsFi}^X4)$H*F4IGn?7pEf#{0;2D-(HsIonwe-hgr<{IW& zb1xB2imf<0Ci|phKo0d-Rv-OBXOF!TF(M2s*3`gjjW;JrK-~7|o{QKC<0E+}d8zP& z?m0Ngc()OgxVuvv0gJSgn8<#so~Kfo$YsvYY(WVVk3qvvcA#3K`}-%n)sAqrtCS)s zLz~rc%HXm35O1%rYU6c}ek@qQWO4;ZOE8^q=Wu0@D8%FpTG`k$Yu91D3!w3zD)=5belDlg? z-55+-bTXZnrH*Gw_ylaDQkAs=KU9=+zF!;@q6tC|j;>*uTaX80U01O*i%XM$wuzX; z^z(uGVf1M#E04iS4%BJSPC1D39Mz^3&y__3Bcia-X|7@A+=6GMby#B=B-G$cRo6;x zcv_uSRzqr|#xh3dia{t-p#obG#pdRiH$9Y#dh_z;uRIgfKlwzl zxwaLN)m9B**zLV=dF$0+tIB6BiIW&73MA#VFCaI`yC{m&Y9${gG6zP0YzgR>W=ujI zEpQf;W12ytV;hD+rqs0HUI^|$W^wtnkF>jxUZ5U?O>K4ay%q8o^*$vsC6&L*m6Xz? zkQ^#=nGzO;syr&Q!Z2pSBKrW-=H#V9PKk6#Xh(_0uni=OF7FJNV9xWBy}&wCm?tqS z%goXgM^jU?u-`InoS1TIq9OJRR(!Mz80VLh#{|5uoWD^6X`c~EXaONb!#gwD5RoW_ zp2YKj1!>Jo=h*{&Ux2+rf*^GuYn}>xAJK+nL1n?bsb!nVQ6KTOcLb{wv?`^86B-&E zE|nJcWJQ2Yq%q^oXh1A-({JmYaq9!(Hplro0W1(m1ewhtWLnbuGx$*9UiN z?T7$t55O8LOtjRfJ56(}yi=BK8M5P3*+?lF(o43UlzEV)b>APBV86LT$=!C`Y;uNh zx|~ZnRg4KH)=DU&gqHFQ%i01E(6t?4r-cPFo>Ez)IC|!l>m6B|a9f>az!fT0pcOio z6YgX6H&3Nkv}J*x^nCFM!q$FgCVTWUwZ}B0iY~MAXpY?93CP*a(jG1rO=%4>VwSZ| zli%Y(3#A`%Jf<GQPO{?4qbm~gD_eS} z*=l>qb}$g-+jew=iK3i#rM`wMYmJ17xsuh@C`71PhRlG&PK8(B!PIPur15OV1q!0D zd|4pcUvXa)o&%RiisW8wIXC$50}MU%Mqc|6saY6>kU9WTveD(|OwDrPfN(>nyttu^ zPzjR1Dd93f0h#x{XFhX`Z8r_M`S(oQo8;A1zRKuB1J%ip%0}c3l~}1$sSu_y7_u6s zE2Lv^$z%tl-Io+p?M^suX3n2G2>ZEcw?SmREoQd8c@_7s_vvi z&CwF3@6yqeF{UqJV(v}Iy!FmqRYW$@ko7Q)Jk@!S^@ssa$SE6;t9M#8ijl@z=5hoD z>z&qSqa;HO9eL#puVB)kwE#&F;(M+@@oaazLtI?L=3qqJL@H4`l z;z77hlJrT7%%K7zn}uI0+p>(61xzOMWJ<5iUXl&}06l9UWAaYGuCYm2qZgwJM2d&@ zacv4l>LI35LEe1qwdRr^Dsj6v;Q%YE zru*8Gh8r2!^NdWtm2a$y&sBmnA z6cGU0z@sBrB~B~L*CrX)RQ|Gz9TbWkAzlo5lA={uUypDG=bt7#Fp?Wk{Fsp76q1b@ zlLj>yFJp?d4k)9^T*!5jj8-DdrO>jUV<~ZWNekUmn2k^yxI3*-tLK>MmqU2$p=9To zFr{MD*tW#TZ4tL|x76=*R(YoWl-3C{tbsm*dk=lMbcCRso1s3csLdQDr;=IBZobD< z7h*D<+2EGpDo3`C^F;X$m`*WENH|s+*DdYLg)SgAwL$Wbt8UL7xgZNY}RV+gbn(HAHnVkw0{cEvWi$nj) z8c+1{fh5k*y<0=IXo-BWD*O@%9I4O)-%SaTO11kCD?K}+&8csO0ZVUr9`ZdTK~D~a z6f!gCRu3-*XI?X-rOYFPS$kw;QN2Nj zPn?6jzIZ28mi41yM@@wurko#R>5y)S`Db1et*p__Sr4Mc&LMy~o=j)3L1X?$gEPh+czE6cUSuP(uTd4I14FT*i}S>+JN zQ1YydkmZ@}8K@i3%q$RFguHkb>N}~v;~w*kQvqRP>sb;KwJp(gVL6}&3`_UZi;Srw z+#3W(jV!lr#vb;;WP8R!osn#-Bc-romaftLI&I^Yh7Lp$$7yD5<0clkIf@(>Dc%_~ zI`D4=3d^=GR^XKUKU(bWp0RtTN_Qki#3K8n)Q158F_n=U@qx0-JfX-}R%n2(p*a`( z6!b}z#>D&xb?PD`M$^Sa$N?EHSLnT#phWAGI%S9U7G{0E7s{a|+tmUHTgbV|h*Skf zYaib=eAgThm)R}&M=6N`KmL(hQwSC0BRfWxa-yfpV>*@s6M!om4zw}7NCk`^HDhlm zOs3h0NJ!(ZqP(*^g<`}&_7{3wo#FhAfjB$X(W*b&>P`ZO7h5$gTChvj3WU?Y?B5vu z39y#|nu~B3rcL!kU1B=rCM2(FtWdER37y>hCzz9jl{nmIa~3!)PG=>>GA_G4MqaGb zw*1eo6D~X}B=Go{Ac5m=8OTornkW@@5u#YuX%Uay5)-7-?Kt;GIvc7PNl9!NDCd1R z@x99b)c9(ht5E(VjB^KVW;xkbS%vH$B%GJ$nq?rU; zJ6(mggwmeO3oZ^OPDRwrB@g3}W*LQ&2^Xi)E>heLo++u7hNp=4Y~?U-ZFs@e`5X0N zNKMcXfm+cl1sDOj87*B&3}WS^zyp%Xlcklk7uHpnRR#%hpAv(qLX1M{xqWM@rd7bP zG1jaN0*%7cwKf|TF51&ywL?bmCZi4Nx*uwrbb8;$@XWQno8q5xG*C_)B%?ZuDAmc7 zHpb&q_UxH&jl_&d9!HdHVDm-bKFeWn7JgV^mBG-X!JNExg6P{7%^pP`SeHo<3#sCK zMJ}Ne^{GvV8p}{KH>-J`qsKfNg?Z5DGt|~#ifmS#?9k+lCSzF@NkW5wFInYLIb1xq z=h5|SwFSW?tKDi<9tl1L0v)a8%*E{QR?M#{+ZOdt$qDhM;__;yLyu+RLTdl~Y@k%~o1<JH{k>1PZnDsGu2VDcA;6u z^-1ioZfIbHbrxLc>~MRSe*tzbhi6cQhd6K(B`T_61iLB{q!>t}buKo1LeTK>tRORo zKZ8fX24)OWSn#-ll{Z^lAg71NjJZo2H-$6I;eD}uC}6uguH6{y7zOwFfyVJ#LH z09?ZrhSYbHU>y!D7xiS|l&v4NMIwtLLd2FJmr?md$ZvDp`mJ<*@U8<^0%HP0hvr}` zX(?w#>_RbUJxE#DPMN;r23ZUY$F(^`Z989nbugo)+>v~_VW72Fe$2xMm3;IUJIbEzbn!!#hqp%oh z4M6vzbvhqnR;Oy1m?Hg9ka86{yl+2q&_cZ$=FUf}DCSt^CyuFkbr_l|O#hF$uj#Gp z%B~!zf&LE<9<*t|l+rFV8n6d}BH4}rf2bvwYy3!&5*><~OTo&A^yW z9_H>>l_9Qfr3Om;`YU*DuRtlTmIxgT^tYkoT^SKpBf^;4#WL zGm-H#!=G(0(fD?jL&1sZo|>GO4O-5r+FQs??9EH zwGB7ZNNf}6(fWM413h7=EWrBW#mUu)*o*`1VVtBgOI3c|!-&X|hF#dF>P7(j{vyw? ziw67+{b0w;dcK3$kh#zG(0s0!_Ao}ckzaj8TGT!n~Iu=N1U!{nl;zPD3yQpe;rQb6Y?D;r{nOO!!U_K;VD)*g)NzbH%^4T0W~8PPB48p=m_Wy!R}` zPv-iu!xHDNDHnC|l=iSopa`oLs0+4!0zB|7FKI7vRY78ptl3)BnAO^MKjUpTPU1ig z)z-rrILouhK=iL=;V=LK#my<`JdZSzCPtDbIem*|)u|URH)=20w}}6}Fj=tI14dmY z-FqiDEuvr**KK-rT-pIeX3Nab*g4w7S>iJ~R0kZ>7~B6ICNc`9vMyB{Fcx{%&S#7) zu`}zJ+}M6~BnEnOse}Es{#^^;^CS*IOJc1#M_3s*I4+)t-t31zt~56m z#(EQ}^8GH8a8a z{RW{5>O^>mD@{GY^T9B^KwRz&n1`M}IG5><9#DLUcP6)zEd|P#=hl}$iAbuO*52rG zH@s3h3|RtoOxC*?_rX0~p#t00GO3nWxKof59fI&~u8<5M=TvfH-)(4Fn%;O(-XYasW7*xqpgydFP?8HSS*o5gMF3_(hArwrr`@d* zN$^y$&=wpHfdeMr6+55TUVn&uA>C7RG+$*$EdGgPh7b@~npTmed%* zPOmY=|C6CsR#x>E6sLJuagOgh6q`z(=q2!@qgo^1PrtyNOYVm`U) zJVBMI-Go6vXdxcgz5VUjmA4S%^wQ?+27il$zuWv>UrH7y2KKrMK?M+XS~xmbR{U3~ znll8r(~Hxy#?3_q$0qPE`yDaFTyYjIo|YR)~g-PX-tj$0pfD%f{Sc0&8eOWD%86RQYy!o;24 za}!T6qJB4Vgz2l>V`j7V*~l*^=S7ro&$Y4lK>?RIz?7F?8o4Qr zcsB-1Z6^<4f@lLzcGpNP3XjvQ-&!=gPkl%(hN_z5i1lc5jva{u~| z5Gr&mac6xKG=2Hu%+9Q|l<^_Uys=xJa3N}?erQ~#q#W~0R?d_s5mT`- zV2Bj`$WY6&BFW-j-)X)6QtRFK-02>=%B1>~C}PAD+D?sh77|j;78M8L z&rgtNVObgxINuC$D{03-@A9(k^e!m$?=7@0wp+I>w%$J84=1k?7!UNl0ZiBdjYSAz z^`yT#kLPWykVRn^3LdMThaif&g-cLc7uJDy(~!4W#)F`KN5(@~;P@QvGRhe1+(c|y zRvs^4Lr{Ie%YkIRFsL9w>bK@WEp_NIbE21GVqP#h9SAm!136$zcoo^Nj+$cvmX zWn}eF*rSvc97gbjGNzmZsAu@m3#(>m?S`dWZbX$UuJZ)78-y8w4^2Q$L5W znSK5EKhDvDZ|^?vLp9HeogJ`E?#BtfSqH|?)`C^2uxK%$uM8{^t-$LlJ4rOXp|HHt z?CU6$lfnayMZ2_uf0nYU5cnN*yMohTf{P7D%`O#%oG0*8X!KQ*(+tu` zheRB>Jtu*!NPp+BR(srR^zGE)rH3YS()P`-iH7Y`sO>CxTm}}A5_ep<1UZYT-7$J`yVBZusP}tvmrm?D(!hYRg~X%Dof(zQS^OA3_f8 zY&X7?0SN}j|K_ks!9^xC6u6efBvrg?n=M>i7nC!fu|APB5@@`UP{FPe4+0Y*v@fFo z&`st2!AjmACAVY-g8RgXI|ArKhK6TQc|a<@cs`e(MB}`my3l%$`)<-X^*|t4BRGVK z>E5{wS;$UwofPIgOxL~dnoh}ZL6^vISGmPI`MVD}Ey0KJRDx;VA3?%&lW8HH261EG zIG6&w4(5^xVk&%cc!BB@SP#Cw8zzmjdmDoR!R|9(H@yKZaJ1Y_L2`QtwGMN8xF>nt zCmYn1C;+dZ1tac1Mora#*NEEPDYu*f=;O%@O+#kcH>7-QE@J>QA&5CVcqh)GNCP3= zXHIfk6+jtOiDI65bb?y%#j*kKXW9!B!#{)!FBiRC=yM$Z{RYy=) zW-^exZEk?npd6IQgPx?CepjjNm4e>q_0#qm&7+QiD_X2j=luOI+=zRrMN?J;X-+sz zFF4ki3$?>$4UGo#Og~bIe1(GuOV0FI`m27ctfbj(s&ipbL!$wtjHD7Mp$;0z-0gsG zToYZdmd1tlwun2~1*k2`lys46Orz345 zr?}fb@f5>Wg`XA8MhQ?{`4+&|4M@M{_U5t;XBV6qV1SpY6Hv4hVl(*fM7zQ?5-niK;dKu_jtDmOsS3EMufqcQW%E6k`NTcVc4Q0LgsAGd2ZTxSLC>HiUOeSZ1Om@UMfD7zY z^3S7zE@P4)Shjgc{V-^6!doUK{4o}yKL`(*9;4p1By#vh^>?(y~79T00 zzJeTY-v1xywD3%D+J{mVEC5>x>}h##=qwqlI7z~+x1fwyRQJ&{+MwcMduc6L9y5{@FzD^3aKV)Hd?VH&VG|AmD+jl ze2!N4tV9%#!xLXI363n?u3uxKg~X~xt_+H@=hy2~&Y`B(-TB#(hL~~(i(vmLWXq7h zyjfp<;`j5VMAjm%UrT*d`3R0dM^1xDyh9rwvLljzA=`kiyH~LI63aj*JY(5s2Y>tc zft@fVf(=Fnt(5M%gM9~2o<0cLN-Oi%ENKGR9XxsXV2&qO15V9}3=Ncp9OETYofTjc z4T8Xzw$%(58ZasZ8R2hTFnw^JPQ50bQjtA>2+3;nI=E|W)7Ji@Dl)4y=v+x19{O!~ z8Vwl39WUbldh!!;4Y`Q8D|KqAC9@N?vQo`2!FcauBg9igKMh>gA!NjgLL7HB@hDXL zCx3cxb?^;-dAG|Hgnrm-c5SVwZhZF&b>bvoZh!Vi5D;u%i9w1TSRV(Ad1^6DpR>s~ zlDMs)@#N-yU?8Q0e+i!_G!`C_CXrcu{k}X$B|w48wzo9>oO@{WA=hWG&J-_P<9tqo z4sX*zDl?fHYi!yXjGMola5rSP5t}4)i2W7yXN!r~9)8DIK*5R-BP3zhWFX{#nmeST zkCR~@1yLEWy8c)Vcl{HD#A39)&;VmYyJ-Q{*zoGr_5ywwQKR~$5WI^FaeIWSxyaGC zDD$tgjm~kt>rke{6>d0N_exO+E?_)(b$~YrC>bGZ1SIhbj`EOhGPZjpP!lpacE_Gb zH4wxJQ=uzq4f9Z7nh-b2T=m;M-T;#WYKx$WDUt(+*RM)*@%{ z1C;9Zu-B>nOYE|%HEMoMpKC5AQ97HKTHS|2hYl|fn@#M+n(bg3PIm=BAyi#Pp{|Cy zzW)~vvO%5^ov!#%f3x0@zRYi;vp9xA z^zg12<`Mi=hELv?;4NidJ(fHl)FBL-^?C@mt)+EjT_}UxGNLri$u-*pF-$J9T|ImD z{p#S^*##P8R?jftYW4jELM`6!t0T0wp0Okm^tRQvUp?p-T~c6N$g{yH&;?^6zSsZa+_o6Qx_m|>>XJHV&71>t7ALra{?fR{Xm@R z>^;9Wwk%7e?Nlp=gn!CmcOMdKK4{vH*b02rHL+NI_7y_#d25Guii1e+l8+x#=kS71 zJoKknkK;;e`(wB@r_fP>j1tKBji9t67;vmU>^aA^wy7~~#_v-54 z$0y(2J-lzNy+}nW^w=~e?Hzh`hgYL8*9(V7xGf#8P%)1)INU4|c_0^XaC@=6f(RiF z&|A|h4Bf6ug!zqScyo$p>_>@ro##jRgqCBwLF^cuw!U; zM&WF;y;j{GM+|C65ZJ?ka3wxwBhO!LH&hA|SQZ0iOW9`UEC+rDTbVPjn>$j8PQLst zO7OoB()(h`ZvgD(d1s<9#qFEVYY@v@uMJg zY81m8(QEb5ms>C&AmqDxDE9iv z@fIQP+tstb2atTd`sxZ=yl*yFf4_PPk?GYF-845OOxKq{j2{4Cd3keldHwnQ`)}U7 zxd$%(_4*#(+UAn~bKgZ{_e0;;k8!C(r=M}D!)smY5W*Y2)ZrB_b?EiMGkh}Tnmwdi zFjx%=>T#ryn9)q|2-Q4P|89_N)FUeMhm$mc|05^`JjhSK+Pp=0*tO&paMcY5Gm1%t z$5(G5%<=*rLLnSG{Ce1Y@Zcf7t&%~7#R!?Q_zS+_+ehExLsgOqAoD3zn={(tTY&p! zo8ExD;oTpD9s0cZUM5YR$AhQ9Vi3^8!{C8Y;b%ps$dSf=(vTC64JMG5i6&;?|~j0z|&LSun2c#Tso}t1HspcKlVw%q$_jg#nIe6Y&BT zO(DH@%Le)FCQ5E;lX|Jqd@Xmze%~cfakt{5A4)zM zLl{WrfdjDubm!U42h3DE8YnRH$SPrRj7Wn@Offg_Zn3AK9@YYB>{un9s^TPIsDfu~PayaDEvmygGrbSWkfU zU|=#nhU>?g3lpzdc(~`RUEW06_f4oiqojtBF;*gR&M|BOaO&LN2ze6RI?sOQQA2Q4 z*05B^BZ*`ctA&g%FVQp0LgH$ zR8_DUq^HosQsy`xHn~LI#aOhSjNm7!673hYbO^lVxlzW??ie-*8w|Y5iK1#vSXad9 zKpX|s#-t(taBp)Qi@V=o5wc>o+%c-*G)N|b(;Uw>6gi^@G}Uy2rbB%#X=4}wtX^6B zNkuU#aB7$*isYHgR#xRE=u3iTRLU?;xuQsAe42a=yX9O&#o63q%?s=dMy?fO8bpb>;1j;CjiJ=N^zD1bEoP-+eS~<0Jp&UU(!eh$f9N~q zQ{KE)%W5az#+voor&5xp(SX0tFl#7^Y6JC2#XLdHX`w^Kv+HeDw2c~rMWx{#8(oS| zE(Yt(E!VEJb?_;Z19q1ad0ieYMHl{7OpX*Usg|x|lQkCjIQTuMyH7qf{koZScDXQ1 zTV3VQ+{xkVNO~@McnuDp-dSBW1^1mnoe+bcB6ogI)Hlb+TNDG}$EI=q0_Cg35R)>O zMwjP6fi_hfXP`HB?`lv6dI_>gj3O#@!$iWZm{5)&l~Dk54C;;baH$41jY#ogNu`bU z9nbWOeY}$&C`(AAn6Vk=5KJ1Zs5cIaZIVpPTVV>zmChhxLj9CPVwae)8-t zh2Sxm5Kv8eDKke0$d-Do;{Xt;Sy$oq!C#}x4A@Qy?R;`>z&>4X&M*|A{WX1j*r*8VHsCwmcnl9 zP|mvezF56AQU@72I*&GFV`5zq`LLaDH?Mu#aT$S@^00A|%YHIUl5ezU#)=30xEs3p ztcL$#%hH(ElExsoDWfUhnT#yNyzr0!$@;H6(2rl-Peo|z>O)nk(tr>m?pNqU3GALY zz}br~YE+;PgE?pf3OC$S%o-E%Nd`sTk9W`I9tY;~VJ(ATz`88hK#(a4k=x6hCW2f@K`u9+#e>N2VL zwc~iwTHsut0`DQcjP#L4;T8|pRRe&4y$c#PMy1q`8BL?}Qcyl^GRvx(c6hz`E7UaE zwMm^Wvcq4TN#L>n75ioh?_j9e*$JW_%7x?GiIc=769F$b$vd<8%0KTt zm_ar6k0-jX(@GxZM*{wZuQQcXTqt%;nFbJ9)z#(*{i!S&lgTK7a+tp|6JYEIy5Gl% z-gkn8c1S{F5q>T8sV*7N>bG*60|{Vbr4F(zY6MBZFv8d2b{qD{VvD}`PVBXA{7fc)P$Pc04d4m~gj)l~*RV5P2?7K53XA9Cydfw{a1KE>G2dr45v%nWV_S7} z{bR~=NViqP>pak&)7Vs<&dV*Cg&|niOWWVPi_7lST@14`O~HAG3%KNQeZy_|fbesHAlA5t=o8joI%p&zR*g=Hoo|B(95D4MI8F3H9wq!kn}8$4 zmucv8e*J~+8@vdlhJ5?@dk8Y9g#w{Oq-~ADvpQf1tsw2?2JspHir3_R!Hs;GbheA z(ekQOO#GC^dG#@J2q>ps$gFR0mLyPueRF!2@?W-uqJ0HUcxFNq?A!Z)QsM(xA{8*m zpzW0Im`I{FkwEqpVf3-Z(_OR3h+xM-f`>lJ;S!3VL1oYt_o(1veRPF0NCF(rJPTZW z-yOQrkKudX|8j1U^2HVh?P|kM;W%TrWF-7b*L?+239{M@J40$9T_#z~G*$G@NhL~v ziE6L59N&z6$JY@ZB2S@u0pjAbj@KYKX5rN!-U_Hclmmd1;`Jioz&#S$aPv9i6~#m1 z{VujPOX0(A8n2T^P->pBS0;sxoTRxuN8B!J34BcSH*H&l-|0TubJ6M*$)k#^!&a#A ztVO-8NU`|VAL41|FBqIFT%r~+&^(QwDE$SGm|e0ijOf1se&jz}XiP(@0bubPXC9~m z5M2t^ti+Z;7eYsX`);3nLq?g5dQ8anzoNO#JYYq7o1=~AR}f#*PPsnBa$$f&T<_J{ zF}QUJ!UZMr&DqWI%lJSi7V`^hcYs6eWMLL?lvbpSJnY2aX06B7)XahGifzc2n^q~# zCRS=-Q}1+h`!>d4_OvM^3@qG6bjfC-++mCWLEU z+$o$!)+=6uQP^56TNr)N0nq8d#ee&at*P95Py@AG7m7lR@?A2@d;e2B>Lra2e(i`7J_*7^5K z4Ew=#upU6z5h>uSqfz{{4EU7+l(BvPC(4b=W?R64c!ng0TBk|bwr0G*`t|tn_ghpc zD37zCM9TndmpxKi*{3v?gB=8eT_QXDH5WtsqgT*ERU%Fx1w%9j!z5@Vf6vzIXDtGq zSLfBf1p7z;q5q}*%PCPR=HnXgW6v%ks}MN6LdjgVY`@CVEbRv8+Y?RT$zC6*?bR`V zPG^k%6(z8+bBO%Grw;MQkl&GK#%GS$^*PMIu}5x1wKlBG_*s~sVdrLj0l`g@)R+_W z?%8oX+h{=2*Y6tP)~v(-XQP+*vtaXFxBK&$ysi)Bj?ZTE;3gyUnAp7n`0sUL)$v28zc5Lruh z;^KR1Z3~9^=MEFyijze#y0oExb@d|=XCTC{DGX)&O{R-%%wepDWvy&T-F1xfwhJ)} zHy%&H>XheVq5GEsB~Pkio`Q3{MA#o=Bk|OdLwF~vJzR__1|t36Z#QRHz<%qOgkTYr z0$_wyIA2{Pyk09iB&5r$Q|wW|*6|r=X-~SU$fv`XB0Lk5#J&aAKtWK8x`!S^nNlv= z(1mk#fB<}aQJNBuyZ(uJD+|EYZkd@lpv^#-Kr7dBBe$}Zm_9;lGhx+W!D&1qV(%ksumdR z6fKc@hdmLTDerW0M2#u)on*Bzrey7M%vNp~?Z5d(PV!~t2v)gHZGJaGG?oFQHyZXs z86wM5{1KwH#m(MNs6k7ycUfKTvTfV8ZM)01ZChQo?W$MzzBk@I=X}5a;Cqo{>>Qb6&l!dlJGsJljHS!DgCsekkQR9-k<2wim~(^0NmmxHs5uMNmaSQ7_j?fkh8y4 zuH){hYcAuGM%)D}o>lJd68BYXprW=In!!ipN@Wl}7K$Gp_OTziVA1C;{^?!w9+|w@kcUx>NUxsM-%aT`P z1l6lp1UbCFl()59J)^x6T6=zEZc1)5_5u-4dVn>q`Mb?=&WBnP^tVr*KD(Rv7AFhU3q3HeoD^O?-dR18)NQN~R> zL0U*%M{W=yJGZtx7(Xi*=o;f}F*V96=ggaaA}nlF5p$A~VbF?reC~Ub~WL2wO@SLKP(n?ZMp(jPNbMlaPZJp+>gIp);u^bgOx} zC7cC&8r^E}$E?bvV~Nh=+@&!Z_x}zq^BO*FwJp^OaLJ7v(~;Sqc>+Q-s)XK_A_+8L zb;3~?&4uj#@teL6OC~)3JERiceBoBPgdmGEyPk35*aoPhesHMcO55buBczQ_y*tsv zC7NkytT_w33|%tLcIt1WaFNgZPubjnQeB94q={jV@+ewZ?L|VI*t_Xp022}ZUD7xx zX$9#`Fe(=TQ^36amWq?VvI5)H8YTax_fH|5DQSAh@QbmwKsJ%eCM2&*bG@S3P@vr) zQQorRgUxxwvVh0&5}y#OgdE{^WE$OKn~Pz-Jgv7@WdGY$V`@cAg7(t{*Qc}^#wDzk zfiepYtnI&?Mn!Qq=c{PKsuy_(-p_}l)`;*<^ix^(C+yS@7i=&n{BShKxdX~@j8oGp z2nhK2KT|h|&VZy4Y$x(D!?+@~+qf+N#^GUP^=2Z*`; z$dB`_m?ZOg`Shtr6CKX&X!B>ihcFKzN`OA!0Uw>6+Q!FNMu#F648Ywxj>Pmk#o%YSJ>|7mRE8QHEAn-K_@Pan$T!Uk|_%sXR z?+C`+;NC$;J3K$yI9$n|2sm7s7seIo?PV>qnXt7C!A#%qEtG*j5NBd)UO50Z^|6J6 zv|Ir{#QF%&8W!m8ct}&Vzebr|TU^aN@M{nlt2zeX#nhC>+2V$M(86n&mvjo^dZP@d zluEzaJPWx5225N#3nOJsasKt%^TT4{v1Ob7Mhu5`>{FT!A!1fLIrw2+>_2%MupbtlHMI4u_y({UFN(6 zHTg70)5d|8xKGB$%BM)1!#tUlGUpg@5KhFy4dQ<>c{{T_5eE+z-z584HV2uO$vFbEO-aRti@ zYzfWsJiS^+n?kG|qeBd8)LS-Ep#U?!&Emh#k7C>O3JUbTimbE^Ue_n5^_%@rh_|Rg zU44J_P&*=lmR=ynkkM#sx?eu%6-oCmo_@S-;d+Cc${*QcS~t4C?t5r#F3#fxZh{n!`G8^8z}h}S^oWkDd4Hxxs20->T$NpcGO6EIEn+a^hVUN zM6T2N%`V_-0n7?`<^YwQrC4wkPEr+gMihf}$`3XIrgt{((CUPfsYY}C1}84b%Ka=~CqX>LQc@4|KAH)jO4ppZ@6&jUt4M7pSUkMN50TAO zEY29)J;K!G1~?03RU+@!`6 zXwq)%tNyN8o*rsA# zt{Q7f3En@3rh?E8mAjqha{0@cbCQAkD&?S-(CrHr;79Sv%xRtM>dj;G_X z6V+KS|AZ_#B%#uAX9$sBW$&cFp(|ACShegDF{%nS5^-Wh!CFYQGe;c*L9RtkVi_=M z6T*0&z{I~*Iu#=c&)y5Nar;{om8UC#ZssjpCL1|#gYO1x!KBlrj0jd$lbfV=4W^sURm;8Ojau?eJK7Zqb*fr5lkdKV|nV@~9du9ud zxBsMsz;D;SqNT(uf^NW2+p!8IFgynV`MhsMG;9PA{L{?>S5vHOV91GOdzC5^9Jjs1 zm1f2*02H)(-HLAIkm z#k&kHC4t|(G9t<&{7Yssxq>L0`1lFW-AF8x2@iyE-a{R5c1<9*e!AX1JZC!=9U2=S1Y@VNqYu(NqUYtkWmiH^4gYe zp$>?uq2l87OiVUgMwErQPf-ZOAPx0$zy|@WTLNuP_$0XoX0y^^L=r%kaY$AEbHSHTQVKg*)LnSc|CX zoi1ul33Lr40R%lZL_1j)Q7l_DCNv%Wy0TBOu}_(HZ`EHTXrxZ48fFHOVi4NcRp z@;43^s?T_M=&!0`g(0*xx#GTzio@T+6Ur7;)asX_iyx-Hy0v*D^5|ukhJC6xayYWq zqlTJ&y@jVb7V%FBYb1nrR?6GXTGpW?vk$&ajDuIOYIm3 z(W^1uT4Z-SA@F8D=|UmQX3%TfkL3tIqsH2m$|Jwalq;#6OZ)(0!JKI#Fo~ptz?GI| zNVW`Kx~YN_W~&VMgM=W`8@AWfY7Ihx>y^$jb~Pl#Ce^$u5}~l&vAQci%*FHQWPi54 zQ*(`JMKdxJN^Oe(Tovd6`^`u1&7MEQ5z9-4PQ8tqiJ{IOR}M@~Wl^FEN4Gy(a`xja z1}XaXYiA)}aPoKPX(5kU$-%OXP>*?sP>k||UEr0by>sndlNINiBi6baZR*0EFrC+4 zE%b!ZcWH}g!Hf$NB0ysa=w|Cqu@G}G#Aq^UGNJ|6+X1PXC0AK`hQ-&eA?D=n!#Jwa z%{-;gATcl;?{}Or;Qvs|P-ek&k*bBSw>l5RZ?)rfr0^YzY&f1+n^B(T+igENwSV4? zS)R@_6rO~qq;`DOmjWTc_ypevA##gCg3k_0Jxdb6uXFP@rdroC5(4?_zs3_^KYq|F z?y*Ff%NFLXlO<~ zDDitmV%C}Q6YZ~aB;}su!e6pMBjVHG3IFgvD!L!}P*lf-kxX=3UkQo`8w!bfiU`2z z`iaMVEqu)ra|J@c7qCSf1MV$ctump^EWvLjjp=BiK?pGMThQpfBrxJuJRU|`DGb`0 zuiinTY1Kc;%_V6YXBr5P(L_g16e26p15jRV$IZde@t)-@PyHtjL>TwN<#I^m;)$QDIYC&Tn=oHi4L+ePoLC4kS&X2{cbA-vTgjreRF#La~%5+V@ z*g{tUaL*K(Ujor0danzs87^XkHwrul^#42w+QJI3Fl4zizA!&;aYtSsr0;3%lH}wG z%=oeB6plhGStWD%C7z5R@x+PTPDp<)gW|yaDYz?_ z!LIqcUB)#fToNJX6g)UwqL#K9d87JKr6B9IJU>`V>t`Q@sOh#@sWQiQMyA&q(A#Xk zs_K)`c=x&-Ge61e^+bT}XOFcneqwi#_uxa%v%FU*tRkM-ZI@i2425i3QgogC<&EA~ zwGqHRWR_8Tu#|^&RzsxEJi3#(MP!*!8INP{i;8qZOf9gaq0fH=rt zmdh~S!i!>z+imh{Zbag>L!YzlZ9KaMFG(3GFYM;{pxLR?OF>#_5WhNiJl?wUm=fhA;d3xJM6-Xm zCR!Lh$ezW+FUG4pr3{xopafFXVkLW2T?kmBUQi-w$TQNSDrx@|wPeP#1_G~lnl^6Q{t z9vQ87R09qRKkV;hTTRYGN$S*}4XpjO_XfgptUeRz{)Ix(Lc^&LNNK#;3sm173R*K++T z9x`0yR40L8QFLC|VTW~rJsMf(&)zG${Syfim27>wy{9)g-!VV|uGp|#YV1)CXkCIm(ad^Yhk zRgyRQSQ|gk=C2cTxF>++hxQAcYS%6Up4o>r@d4dKi`jZye#%;wv!pS|2+>E1EMe4+ zQa`ks@=Oh=l5hkH*%(*xz`0+Y-8J$`7F6z#i2-ShOgOntMJDVeI--Gsm8;^-W{7)) z+&kW?7pkJB3`W+R9LK*jv|(@M={@pIyazgvSwr;SThQeIRJ83@4j=lom3MQCzl1l7J$_vyI>ILqYm`Ww^`T5Ou=;! zU67KYf-?=XEDMT=F~r;iRDZ-gcs6hb#U51L6JSxidhkhMt6$?r6U zM61XMPl5~DMW@roq#vPgl8%0xQsywRId&UdIJD*kp&G}x2l^VcoYO_sOaaBaB2iBX zTj(7715K)-O?NPk_p@;a3T0S-Mn2RkbAgn%NCP|rJ0S@)mT3ZL8>v}Af%XOP6sE~? zl@L&`Go4!tgA9E-bXUqYIV#iw2)Kd6Jg!5co)hTT2%c`6Z4GBgKes{eYNGphrKPAtYy}KLR!2nWW*g zbjXTV#4SzO*9QZoym8(bfEf1J;i{}m_P5I+V%9U#Qf1R8$=*bNVhqs$5*bbrSpt6w zTRKErN%ASokO8XAb0;xTn69L@hZGqCE)@(q7hDO-=On~7 zexTqa%#28Jqvue1NoGW*6T*Kd<*mBXc$j~!T7R9n6*k=5^)F*l7xKYb_7Rm1xI;k| zED(bc?4VNI_MhEKIVmtV+0l|zDbw~d+)!M;JB)ba7?Rd!RkN&sZqf#ahWN_t{DRyx z7C)>4H&La8#Q`Dk7xIEZwzpw*8R~pvCMxdDd+qV1h=>cgobI3M#TMz^_&sx(Nm8fL ztY*N{?ouh8Rc4vii+<)XKY)qa92xqZ#YdP|+Zyj7d@^Fsq@Dci=b7K|>~QVuEQjm+ zF%%lBT6SrT+_jxZNgk;P@ZTB3VYg!2JT7055$bqBiy7jyVsDcs;kirx@7h^P?|2yH z4=5Yj2TDmmhr7vCLXu-BFF#Q7&Jr*hdeX|&q8oKfp z2aLPhy2|Eu58?lAPU}bKU8_oNfEiWRo|YvQZdoulj1LK8J|PVz{tQpf_7h1%xnv2) zC54o$rQ)Dbn6faV@Hdf{HcQ1-aqzkgNA2uFt!J<6?p2V2wQVE7f>Teayi}FP-W{1m z`MA7Mi7AjXh3PFC#R!$QH+OP_y){d-57jx?XZ8{L*oQ6%`Z6sNO$`#>aS{%*YgYd` zuGxY;G1C3H_sIGg5!dhJ3J>&7$+)DY6gS8FeA(Nt9ZIlN-OQ8Q%t5zz_fsd(`bTe? zyuQObjdcaZ7{A}bz^H_#Ac%B6DKc!CQLJGqP4VH&_S%hRo3D5%Q>%Q*A9xy4?(ZKD zEIyUQ3$iM_J#V!f>UjI(+awFV?r-(fmiW|!s|lr-Fv3|;kM10tPs02PVgeP@fGJe#hBmpSIIj?^{Tw+8=*xw-WL zb;NBygEZ!~fhUgtz6AqynW&p}tG95qa5~IfaN1XfsIwtmNETnmi`i9wLvn-QN;a zp#(O4c{XQdN#e817Q~cbz}GoY5349lR{49T5%MW;`WH(?X26J+%eBjY+HhiAS32qY5 zyc~exq^=tuP}ioeRn;ILF}KRrYfqH;VBjedttJzez|W3|-5^)lUv_|qq!-PB!`jo4 zI}#$q(}7*|kEr*r+|gQi($Ch2-);q&3huo(`a`;9Y!fMt-$YKj>Mf+ksQl3y<*oHC zQt2P^Xk6*iG@eb@{LO>^keSuOGv-iW$wzcz>D7FGZRf-4>0ZUDPv_&f6`=u3x(hp000&p6yHp{h6Rs#xv!Dn2 zk8n0(y?oL0SpxMwe5RSblV^VpF!R1pPx(;A*fsSVl1C4z5e&|iX8^gSZRRFN-Xh`m zzn^A!M|&&a9Sb(EG^|8RkJi~!o%%^c)aJmMi+GZf6)bt6C8>PHY{C6tOUDI=Q=Cdk z*mXhF&pbE$>N2Lt0_JN(YZs&gT>1Yk{(bZAZg5c zPrKcI(7ze2glli$<1E?xJWThC(FI&uhfhs1PAl8ftM7m|VoNAoCZ9J~(pPnDjYJ0u z)R(G|Wg9^p(nq=gH&9^5W!tJ2kU-hRKihE!W#S0|A05&{uphuBNyA>@(~X@(E>S8V z{VwrCU-&)St5H@imfV)g=t~If;FX@%f1L=#TIH zVdP|g!_O{R)|qCf*_revwO(hBnu#cJmCu9NaGuy&6*x&KeaeaLoW=XO|4effMaXZd>NJ4zp>8}#dCZxX#3C*dA+n?*oHnoJ^S79bLI4M7va*)*`w^9 z61f4R(#<1TVaYVQ7$_g)cYX|o5hwk+RKu^oE8L15;qLooy zX=3_D$KBRV?yCO8x5Lb@dU2cewm&o1)}x(RR`V45c55Z_N3so5}_!TUH z9gR*ygdNd9wNQkRl=fl-VunWT`TdyhH)ka=(Kxr@SQVHQ3gz?vlzQ~)hnWMaraW2< z#L+_8@5G-H`R#X+m}C)sgg_30v;TPB>x#pJQT3_AZr$u2kjv`uJhS8rGEW;`)#lk^ zZ_Bh6qz%~Nnn($hD`v{IUW7LF>5pdDzi7djvSFyJ2}VG6(p+5bnlYn_H;v;cK(vLWZm!6RZumtY#a$^48z zX=VBzAL6LkV8H1ieLqGNtEGjRSVt~xV_LlW1_K_j$;^FBZKLp5xl^$oTlfR}jKOL& zODKjcUyWW5Up`35?eD-(tY5MHaf50khQq{>5S$qbgBh2*B8Wu^r=1a?1Y%$rMlhml zOWizeGZqCWt;s?=(n)sMaVFPkiNzjsUXMg-C=z#wU#;CJCpv;9T0FCd^EPGiyWOAP zlL(RYY$g(u6}wJwL%^lWd0_u00b;#(0}kNGX9!DKSHJ2kpoMV{N{N}0B9MMTp-Zgw zQ-{~-#LAIHWq865p0UD+V~Lsx)=*Kjp81vPR?A7u!M?H6=-8l#&@{!Q31m+e*I)8v z;1AWsM@-8bR!xpNT5`uwCsq`*s;hZoF4bS(`VC*bRls<#3m8}mgocLXlh&ecq99)g z&+5gmPXq@?Vw;LLrt_O|%_oL30BJJE+tA%xm*mPVK@9rB3c`JSmwZDe7QRvJD9zr3no z@8dDLKLQmMhA;i2+OV#w0LuBC${Gm3+HFYrdQ>>$O(TLN?;-782kNY}4?nur?nef5 z21>8@>ui>fY{vd%eR_G7F$iExF<4lsS)EGDk?#~SXxUB{*_GatonW{D*>j0<9S~Wc zy$>#jbm2=mXyEg%_qnr=e1Bs;n>3O-Wa7~7)*4U9mUe>goUJf*$cfzxPU<0RHz+L5 zdtk`gu$2{b+K*e3f@P=tn~YaI)@d2|K+deMfQ9Utb@9V!fd=PXTg+Of{%@GQmx(Xr zoHUsbZbw+c!lg%Y0_@w$-6}(yN|!mOOFe=BK!h@kZfBhoVa2fmG4aT@S;vG)&I>KB zRa3v*sS=5L>XSUEv@b&we5nge-2xt32r;U}o+3S?`CKD`W)p1Jp&HVg`9@M?Q07Ft z`KB3sG&|LpM5;Ne0+!-uxE`<(hFt}kO*va%e7;t$*2S7R>7 z%@6fi}a3QyMz35>kC0%@-73qmsMXxj!9ZFY)xP0i{Z;!Fg0b;6^RfV|b{kz3}r zplPzw-e8v598mT^#m1RN9a7krThx1B_u6xJS4GxgcTL}%{Rxj_xjAb`n7skzr6mA} zrbIXMxih#a@^Cy(Lv9ubnoy;7M)P`f2Ch^NnW-l0D{2_ge%4|LW!M=;@;Ebd*ZTWf z8MyAsWXTH3d33n>DwWgLJf+xvRGJUh+`GmFg41=G5B+6g28w_^5}?ovlx1g%Yy_R7 zE`%7=E&|Cr5IBkKt||NT*m-IM%|wSY3VT^&!!Ly*kJ@(v@q-*t>$x_*vC_cAlu}Dz z0Q)X9RZkRa4j|kWho^RgmqF>JHch6<0dG`c5*;Ikn-`8tRc<4w3bH^U{_TL@>FUnGu~Hr$6V$z@_b(&tN;)7VL_RK5bzKnBI9b%)Vb=>(tlDtFt7iM#1fv zxtD*TO?kX=$kkVt(*AVF9?7X}#h;Sg9#hOq)AVa^l&;FMkjN>4FUfTDJLmmhEoC_G zo7*A*hUUnG=7p$J;%PSeZBfbGBmz0%nRWk`$cK|6Wpp_FgOY|xPDcJ$ZrVoMm){h2 zwCTn2tjb9Apnv0vsq$tQrkQ|-5Vib|RdMBROQTm`3r7i+&_{kp7@VCLu6G&5umMG? zjgjQVRpv^|Q!W|ufc?f5G*^{tH*Y1&!HoSp4z&wm@hq`)PB|?!cy4H^8nVkd;e1K+ z{Rysv9Xj9!scrISY#7(53v)JBU{2~bT<934y+3Umb8OwpdE%L(mR_5PAeXn7lykj8 zmC|w}qJP95JOJx?Kms*YX4GUJ7WT%hw zoxTA@@d?fqXm&EFB}A?(G1X`a+eDPCr>3q0xd4r-xP@T!7jfYMn#CM*gnGff0mT}^ z`@EnRf-4do@mk5Zyb0%mjiTPqjvRPfes)+XQy$(q5JFAsD5JlH+d@Lq{TA{y=U@_69*D0C^47X_%>xDH(qly0-h7Mz@fKk)FBAJ z0dLL(-jx_RA+}j;mD@8}C(g4WX^&Y?T}%agx!>X?%n0i&tlEcEF+o5n7LZtci8LX1>(NPv;HHKEsk;X>&JSYr?G9XUVdkWJk?yIhKJ@ebD#-z1xV!7ch zCpTKZ*)!oS8RbyIl`yY`igE9-9LiXm_SU5iHa5sZ%xa+^&c9)&^kO&e`U~?i`TkuU zFWMYx#X{0dz@Bp{P{wJN{SfLoDI>Mi$IS_z?gwR!HFp$ZLCc`rPiw!>OCG3x&}r9K z`YT^TVC@wQ0L3<2)|O{Y^O*!W?uHBS09ZV{%68vp2d?c4&k!7TMmLFnzrsKg`OIU1 zzszdhUR9n+^zdGVL*zreGRG~B71_gKc__Pr?8cfJ238ISaDls*0oHY3Gs<;|2F3kN zr%`t>okj?IOJ&wXV|(6wrzvHVS)IO3WKGvOZj$909msX=z#)gcocMInFvSjld>xbo zA>z6(JiXs!uV_?VPNUV z_ob_?{YQWhm1)7Azvnw=S z6i}z3ZI(x4dvV{8xBKR`619>nOUQmLJe$!Wvrh!n=yMpSEvh2tMZu78KjGw#BIX(2sE;#U?wkJI=4T(m0(3hz;a+d0}&o3Rw z^wL-uy#jw*AdEA|D-_d;(yG~yW=HM4S(l1P_b38Mll0ph1LVgCG=lBhBD3T)9bJFx z{OXgPp`y5R?BYUZ2F_R1c4bkCm60#cCdN$k>AK0Wn}O)=zcWM>Uk4g(4%xVjzUKB3r@+R!U!ut^&@0 z^Jq~nid|zfsWs(r9HNLphy?WYj#4Siorpdw9h-)OWUe|rQs$hqP62I9QYd-SQ-jVH zhZB8oXJz& zn0f~;=eU23R{8N7eC(L%NEWA3ns5c)4e{=rr~u1>JaO!ybhL*WAja0XhiWo)2a86l zgNgXpcGIAb3tP*ct0R;`xP2V0H73HwH~)pEQ>F&l<6M(UK2BS1qH_jr6!W z;lEl1=)=83)pGq*5<#xMCUV*xrQq8hgt+$hx_f19ke+oqy$%Gq$7>o^q{;0?owGw~ z&m(UYT%s%$v>mgBQq#n8HZ4LEk=h2q3`QML86ks>cJt z73~OlDu1{@OGakJ=4urV$=+R16fpb}U2)b>0d3_V8?k1tPsZzHESp!Y-?rQ)`ILZ% zJll)uwxfb2fQ7faydVxOAhro*{mM-;rRbh<*h7`mE_dvY@V6^~6Y&R!QE{&<9o`eKuJwF=lj7?4f3BrU^6*N1)D{41^8eLsECa9x@x-C(}3MJwYa??4p*j>%YB}lY~MI8^b?dM#wq2{VCq&@U*>{pu7 zRv9%|4g=tE+*@Fj`hO^v$q03bc(LQ$iQz{mz;(box8g4GCL!uTlY!yX$F3mRl@Wxt zUsME{1E5dA^SCFSM+0+eaB7Om5_t#q1`*H~DM}1>%%F>d8XFW8bP#t6B#y3E}>K|!WzAEVPyZ@RrO0Pkhdlhra*f|PX`G#&{ zi@3E7E>d(_1`sh$0KudOtC^n4dG-Hs&AI)X__0#zhQVJ!Rm5Mslz1S_i2Qc1Emz1} z)UHXe=4?{3&5R<4-HSC#N)q`CKX81JH(+`(y=!=kYOzjaa(Lu88)=}TlF@wE_@2XW zxNF#0Z9k|3$N^%i&4eHiil~;6(|ZV~j)HrAMR(D9$%bR;ddPa!op-kUT$L*XXx{ID z*}8k7Q}Y&gkCSDheWe=SyS}BN#`ZMP{yT2>%N^d}<>f4x7i!sJBQDo16Z0~*lHJTm z0Vvo6={TY}9GDbZ#4fimuKB(NU=K91e%+p!3EH+25Fw~N_ti_Veq7!rK_AxgT*slk z7cv@&8<0;EF)4A@#Yj)5TE8YXM_Uhv?Dq-3xaIY6hZvB5Na!cGa3XDhIPuc82xw1HPrlok?5cEW*QMsscnuk@0o-ZsLG3L=d!@u{ zOnLq%jM8l@80G#)n9*aeWUa>b3oGXuGD+Lkxq3()PVSZ<^H)OxIayLUJkwWFqn<3vffb6X_=VTi!0beiX=QXwPA%@ zkTxlhe4-gCV0}h}{(M-Crfen-4>C+{S_H)U zf0~?K%NrvG6;B4BIOGHZM^EZS4yZ5Xa+LU851U??FLCCa03n%Yrr8ig?zSM0+bmfjc3>Vw zSU6?cFhGt|KKIkdYaRb6`l{e>8qOTeAo$E_={p7j-1sOq(p~8_5mf!=CN1v|$BUbO zR#;la#e6HN8c}La`qESq-i0K?3v)(;oQI7{bNOkmN${brY5*V{GS@G{*k6=_t_E`^ zXY)^I*E6DQi>}yg(EJ*GT5yUMp~L&7aYSu?;cGc=Y1M@4hGi+o_lI9`|E*ea)|B&; zxMBMt%hWV|k0lDhAKvJpI~6?tjRSp~4xP9bha>^uPedFO^l4d#>_gfpUc69)q&i~*f8P_zzcw3)% zgzhh4(LxrhQZ*c29QGO?x#mT~VKFNsh*1KZK)=+jF3xBP!8naK_zn|*kqLvf{DLq6 zb!W+Puh0qv)}i?vuLn^^4Bx8wix8fn5^jvc#XA zGO}LOHa153bq?iwQI@S%R&3)8>Z#-VFCQ_|jm33l%SH<(;H=FemqEpdkKMA}0mWFSFJ_Hv9H696jQ2b>tegNHwOk-pkNk~7ycX(`i~S9~ou z;Kw^s7SGD)L8G~IOPg$zP<_14G1761VF`T_ySNrHf)0>A-~->(S) zAfstwN$fd@LrdnO@f~W4y!m=1yDGvVRvqRX|@O zqwF3$LLq=;str}z%zWRWJ*0rjIo+UZRHPSdZfmNoslC4;r>*ANkOXu_+CmZAP_QvE zGvy(~=rwd9U<8AR zD+C4I;F1~%`FZ1BGxotbLj_V2-^G?U&v+S2>q`E38IaIv*S!_H(- zExCCf4nk$$OWEAxX%tc1U5a274G}X5EP41&b?#0qu(2@Msn4a}(Vo>Xo1e(}X$7^? zBr*(+6r|Z;VfR~msM+O=lxmJ7Ye0fyHC=PwQLui$Qo@#PYybSm0^{)40F8{eRPh-} z5sDx)6G1jWB;)Pf2KAq{xV=^ z^17%+9i0foM$qV^3w63ZWKboJbgpZT&Xr;iD!xT2hi?=v7*ZVl_YkQkm531PvRk$k zNTrNqGB34Lk1`6qT~0__6ZmBSXTvsSH(huJZZv3@zd6!0*r2N2=Ij@GrT@vx-1sFb zmg=YtBbNos4dr42E9UP%lpb?K?$D*9UHEVuX|h)FoXxuMrYD8aX|gHy77YR1)_LX^ z$RqE>g!lqa%gwXs3GsN9+zhA;l8@{<+l?cC9sPe)pk|4d^D^q%;9v-y>k}y=*w#$l zz^TOA2|4HrvqkSB$~;LKwEr&e?djcE!NBxWO)a>jv8&H{5GB?k(D_aY931B{VD|{e znyoE;%_EoYpB*QyMQ`3gL5hMnCoeA9W!h`T$%$vvkN@~rn!eUIz1qm9ym zV3D1;E=sJ(vvtQX4fQhOAh?XtYSFMI^lY+-q#Ot-f!SuYmyoDF3Q*11ASZ8>{~(^#2ihL!xBF`uCjs6!ZyE&^c5`GoD<_ zEcF8fB#SAwA;Q{UI~&t-RQ1=I-0N2PJ=*W%p~2kAgYbeY%_#H2nKK?BOm;$Jm*TAWsp^Hf1TZ@b34O&hoJgRp1a;AxzO(JjdDX z?K9sK=SuC-&%`|o%Z%bAcdLWi<)L9rLhSK^yQYwSe9miyYMz(U_^~mVthW|!1Rxjr z4`elcV7v{Ft`zYA3WW z<2TtcN2&wmH`b@uU}Rz`0%-De(ux5$iQ^KrKckALCKm{g&JFAM8eC;+{Pm@|SN*3O z6V6G(4C>zoX>gdGovep{8O)f8ZDzR-@WRA0sz?m25y4>Z}9)__+KghaS&9kwwjFJ9K&z`0Or5( z0DZsne+J=TYGmZ-K>y!QjQ=#6%u3H{1RekY*9Yi7SWJ=rk%j4>SOn=%l@-4Y!u{wI`JY%8sqvVhzFBM_{*#4W{vTOb{)y$Jn6$H z`QK1eJ$oZV1xI@`Ym