AVERTISSEMENT PREALABLE
CONDITIONS PARTICULIERES
DE SERVICES
Cloud – Sécurité
Sigma Informatique Société du Groupe Sigma xxx.xxxxx.xx | @GroupeSigma
ZI La Gesvrine – Xxx Xxxxxx 00000 Xx Xxxxxxxx-xxx-Xxxxx
SAS au capital de 1 729 600 EUR
872 803 390 R.C.S. NANTES
AVERTISSEMENT PREALABLE
Le présent document est protégé par les lois françaises et les traités internationaux sur le droit d’auteur. Il est la propriété de Sigma Informatique. Toutes les marques et tous les noms commerciaux cités dans le présent document sont la propriété de Sigma Informatique ou de tiers. Toute reproduction des marques et noms commerciaux cités dans le présent document par quelque procédé que ce soit sans l’autorisation préalable et écrite de Sigma Informatique ou de ses concédants constitue une contrefaçon sanctionnée pénalement.
Propriété Intellectuelle
SOMMAIRE
1.2 DATE D’ENTREE EN VIGUEUR 2
2. DISPOSITIONS PROPRES AUX SERVICES 4
3. DISPOSITIONS COMMUNES AUX SERVICES 11
3.1 PROTECTION DES DONNEES A CARACTERE PERSONNEL 11
3.3 LIMITES ET MISES EN GARDE GENERALES 12
4. NIVEAUX DE SERVICES ET PENALITES 12
4.1 INDICATEURS DE NIVEAUX DE SERVICES ET PENALITES 12
4.2 OPERATIONS DE MAINTENANCE PLANFIEE 13
4.3 INTERVENTIONS EXCEPTIONNELLES 13
4.4 AUTRES CAS DE NON-APPLICTAION DES INDICATEURS DE NIVEAUX DE SERVICES 14
5. EVOLUTION DES CONDITIONS PARTICULIERES 14
5.1 AJOUT, MODIFICATION, REMPLACEMENT ET RETRAIT DES SERVICES 14
5.2 ENTREE EN VIGUEUR DES EVOLUTIONS DES CONDITIONS PARTICULIERES 14
5.3 RESILIATION ANTICIPEE PAR LE CLIENT 15
1.1 OBJET
Les présentes Conditions Particulières de Services ont pour objet de définir les termes et conditions particulières selon lesquels Sigma Informatique fournit les services :
- Firewall virtuel,
- Bastion,
- Managed security.
1.2 DATE D’ENTREE EN VIGUEUR
Les présentes Conditions Particulières de Services entrent en vigueur à compter du 21/12/2021. Elles remplacent et annulent les conditions particulières de services antérieures ayant le même objet.
1.3 DEFINITIONS
Pour les besoins des présentes Conditions Particulières de Services, les termes commençant par une majuscule ont la signification qui leur est attribuée ci-après, qu’ils soient au singulier, au pluriel, sous forme de verbe, de nom ou autre, à l’exception des termes prenant toujours une majuscule.
TERME | DEFINITION |
Client | La personne identifiée comme telle dans le Formulaire de Commande. |
Le présent document. | |
Contrat | Ensemble les documents auxquels renvoi le Formulaire de Commande ou l’acte d’engagement ou le cahier des clauses administratives particulières et générales, le cas échéant. |
Demande de Service | Les demandes de prestations à l’acte complémentaires aux Services souscrits. |
Formulaire de Commande | Le document émis par Sigma Informatique permettant au Client de commander les Services, Logiciels ou Matériels et dans le cadre des marchés publics, l’acte d’engagement, les bons de commandes et ordres de services ou équivalents émis par l’acheteur public à moins qu’il ne s’agisse du document émis par Sigma Informatique. |
GTI ou Garantie de Temps d’Intervention | Le délai maximum acceptable, pendant la PSG, pour débuter les actions de rétablissement du Service à partir : - De la détection de l’Incident par Sigma Informatique, ou - De la déclaration de l’incident par le Client. |
GTR ou Garantie de Temps de Rétablissement / RTO ou Recovery Time Objectif | Le délai maximum acceptable, pendant la PSG, pour rétablir le Service à partir : - De la détection de l’Incident par Sigma Informatique, ou - De la déclaration de l’Incident par le Client. |
Infrastructure Informatique | L’ensemble des équipements informatiques permettant le bon fonctionnement du Système d’Information. |
Interventions Exceptionnelles | Les interventions résultant d’une faille de sécurité susceptible d’engendrer un risque sur la sécurité, la confidentialité et l’intégrité des Systèmes d’Information ou des Réseaux ou des Infrastructures Informatiques ou des Logiciels ou des données qu’ils contiennent. |
Logiciel | La séquence d’instructions sous forme électronique et/ou numérique d’un algorithme exprimé sous forme de code dans un langage de programmation qui spécifie étape par étape les opérations à effectuer pour obtenir le résultat attendu, notamment tout code source, objet, binaire, logiciels, Logiciels Open Source, fichiers, librairies, bases de données, progiciels et applicatifs fournis le cas échéant par Sigma Informatique au titre du Contrat ou contenus dans les Services ou les Matériels. |
Logiciel Open Source | Tout ou partie d’un Logiciel répondant aux critères de l’Open Source Initiative ainsi que tout ou partie d’un logiciel libre répondant aux critères de la Free Software Foundation. |
Matériel | Les équipements corporels fournis le cas échéant par Sigma Informatique au titre du Contrat ou contenus dans les Services le cas échéant. |
Opérations de Maintenance Planifiées | Les opérations visant à prévenir les incidents et les indisponibilités des Systèmes d’Information ou des Réseaux ou des Infrastructures Informatiques ou des Logiciels et les identifier en amont, le cas échéant. |
PDMA ou Perte de Données Maximale Admissible | L’intervalle de temps correspondant à la quantité maximale admissible de données perdue à la suite d’un Incident. |
Produit Tiers | Tout ou partie d’un service ou d’un Logiciel ou d’une œuvre ou d’un Matériel, n’étant pas conçu par Sigma Informatique et éventuellement fourni au Client par Sigma Informatique en sa qualité de distributeur. |
PSG ou Plage de Service Garantie | La période définie pendant laquelle Sigma Informatique garantit la disponibilité du service. |
PTDS ou Plage de Traitement des Demandes de Services | La période définie pendant laquelle Sigma Informatique réalise les Demandes de Services. |
Réseau | L’ensemble des moyens corporels et incorporels de communication permettant d’assurer l’échange de données. |
RPO ou Recovery Point Objectif | Le délai maximum acceptable entre un Incident, pendant la PSG, et le dernier point de sauvegarde des données qu’il sera possible de restaurer. |
Services | Les prestations fournies par Sigma Informatique au titre du Contrat. |
Sigma Informatique | Sigma Informatique, société par action simplifiée au capital de 1 729 600 Euros, immatriculée sous le numéro 872 803 390 R.C.S NANTES dont le siège social se situe à XX XXXXXXXX-XXX-XXXXX (00000), ZI La Gesvrine – France. |
Système d’Information | L’ensemble des ressources qui permet notamment de collecter, regrouper, traiter, stocker, conserver, classifier et diffuser des fichiers et des données sur un environnement donné. |
Taux de Disponibilité | Le rapport entre la période de disponibilité du Service et la PSG, calculé en minutes comme suit : Taux de disponibilité = (PSG – Temps d’indisponibilité) / PSG x 100 |
Taux de réussite | Le rapport entre le nombre d’opérations réalisées et le nombre d’opérations réalisées avec succès, calculé comme suit : Taux de réussite = (Nombre d’opération réalisées – Nombre d’opérations réalisées avec succès) / Nombre d’opération réalisées x 100 |
1.4 CADRE CONTRACTUEL
Les présentes Conditions Particulières de Services font parties du Contrat conclu avec le Client.
2. DISPOSITIONS PROPRES AUX SERVICES
2.1.1 Contenu du Service
Le Service a pour objet de restreindre les accès aux environnements serveurs du Client qu’ils soient connectés depuis Internet, un réseau MPLS ou le réseau d’administration de Sigma Informatique. Le Service firewall virtuel est basé sur une infrastructure virtuelle mutualisée de Sigma Informatique redondée, composée de deux (2) clusters de firewall physiques hébergés et connectés dans deux (2) Datacenters.
Le Service consiste pour Sigma Informatique à :
- Configurer le firewall virtuel avec les règles de filtrage et de routage (règles d’ouverture et de fermeture des flux
sortants et entrants) sur les environnements serveurs connectés du Client,
- Mettre en service le firewall virtuel sur les environnements serveurs connectés du Client,
- Filtrer et router les flux sortants et entrants conformément aux règles filtrage et de routage.
Le Service est décliné par firewall au choix du Client selon l’une ou l’autre des options ci-dessous :
CARACTERISTIQUES | FIREWALL VIRTUEL MUTUALISE | FIREWALL VIRTUEL DEDIE SMALL | FIREWALL VIRTUEL DEDIE LARGE |
Nombre de hosts | (≤10 hosts) | (≤20 hosts) | (>20 hosts) |
Nombre de vLan d’hébergement | Unique et mutualisé | Multiples et dédiés | |
Instance virtuelle (VDOM) | Instance de firewall partagée avec d’autres clients de Sigma Informatique | Instance de firewall dédiée au Client | |
Nombre de VPN SSL permis | Jusqu’à 20 | Jusqu’à 500 | |
Capacité du port | 1 Go | 10 Go | |
Connection à un accès réseau privé | Publication internet uniquement sans MPLS ou VPN IPSec | Type MPLS ou VPN IPSec | |
Installation de certificats de sécurité | Possible | ||
2.1.2 Limites du Service et mises en garde
Le Client est informé que toute modification de nom ou de la configuration des serveurs du Client peut entrainer une interruption temporaire du Service.
2.1.3 Prérequis de réalisation du Service
La réalisation du Service nécessite au préalable :
- La fourniture par le Client des informations sur ses environnements réseaux et nécessaires au paramétrage et à
l’activation du Service,
- La définition par le Client du périmètre réseaux précis et des règles de filtrage et de routage sur lesquels configurer le firewall virtuel.
2.1.4 Matrice de responsabilité
Sauf autre matrice de responsabilité (RACI détaillé) convenue entre le Client et Sigma Informatique, les missions de chacune des Parties sont définies ci-dessous :
REPARTITION DES MISSIONS | SIGMA | CLIENT | |
Mise en service | Fourniture des règles de filtrage et de routage (matrice des flux) | - | √ |
Définition du périmètre réseau | - | √ | |
Configuration du firewall virtuel | √ | - | |
Mise en service du firewall virtuel | √ | - | |
Service régulier | Filtrage et routage | √ | - |
2.1.5 Protection des Données à Caractère Personnel
Le Service comprend les Traitements de Données à Caractère Personnel ci-dessous, lesquels sont réalisés par Sigma Informatique pour le compte du Client :
NATURE | MOTIF |
Communication par transmission | Transit des données entrants et sortants sur les serveurs concerné |
Limitation de traitement | Filtrage des flux de données |
2.1.6 Service Level Agreement 2.1.6.1Fenêtre de maintenance
La fenêtre de maintenance du Service pour les Opérations de Maintenance Planifiées est : le jeudi entre 19h00 et 23h00. 2.1.6.2Indicateurs de niveaux de services
Le Service est soumis aux indicateurs de niveaux de services ci-dessous :
INDICATEURS DE NIVEAUX DE SERVICES | MESURES ACCEPTABLES |
PSG ou Page de Service Garanti | 7 Jours / 7 - 24 heures/24 |
Taux de Disponibilité mensuelle | 99,99% |
GTR ou Garantie de Temps de Rétablissement | 1 heure |
Plage de Traitement des Demandes de Services (PTDS) | Du lundi au vendredi, de 8h à 19h (*) |
(*) Hors jours fériés et assimilés comme tels.
Le Client peut souscrire par firewall à l’une ou l’autre des extensions de PTDS suivante :
- Xx Xxxxx au Vendredi de 6h à 20h,
- Du Lundi au Vendredi de 00h à 24h,
- Xx Xxxxx au Samedi de 06h à 20h,
- Du Lundi au Samedi de 00h à 24h,
- Du Lundi au Dimanche de 06h00 à 20h,
- Xx Xxxxx au Dimanche de 00h à 24h.
2.1.6.3Pénalités
En cas de non-respect de non-respect de la PSG, le montant des pénalités pouvant être demandé par le client est calculé comme suit : P = M x H / 100,
où :
P = Pénalités,
M = Montant mensuel du Service,
H = Nombre d’heure(s) de dépassement de la GTR.
Le montant total cumulé des pénalités mensuelles est limité à 10% de la mensualité du Service.
2.1.7 Mise en service
Le Service est accessible dans le délai convenu d’un commun accord à partir de la date de réception par Sigma Informatique
du Formulaire de Commande signé par le Client et sous réserve que ce dernier respecte les prérequis de réalisation du Service.
2.1.8 Durée du Service
L’abonnement au Service entre en vigueur à compter de sa date de souscription pour une durée indéterminée, le Client ayant la possibilité de le résilier à tout moment par lettre recommandée avec avis de réception, sans pénalité, ni indemnité de part et d’autre, sous réserve d’un préavis d’un (1) mois minimum. Tout mois calendaire entamé est dû dans sa totalité.
2.1.9 Demandes de Services
Les Demandes de Services que peut réaliser le Client auprès de Sigma Informatique sont :
Demandes de Services standards (incluses dans le prix du Service) | Demandes de Services non standards (facturées en sus du prix du Service) |
Ajout ou suppression de flux ou de routage | Enregistrement de session |
Ajout ou suppression d’un utilisateur ou d’un groupe d’utilisateur | - |
Ajout ou suppression d’un compte cible |
2.2.1 Contenu du Service
Le Service a pour objet de restreindre et tracer les accès aux périmètres de serveurs cibles du Client. Il permet une authentification aux serveurs cibles avec des comptes à privilège sans avoir besoin de connaitre les informations d’authentification aux serveurs cibles.
Le Service consiste pour Sigma Informatique à :
- Configurer le bastion,
- Gérer les droits d’accès aux serveurs cibles,
- Tracer les accès entrants aux serveurs cibles,
- Conserver les journaux détaillés des connexions et des activités pendant 6 mois glissants,
- Gérer la configuration technique dans le bastion des serveurs cibles,
- Fournir au Client un portail web lui permettant d’accéder aux serveurs cibles,
- Fournir au Client un accès via SSH et/ou RDP aux serveurs cibles,
- Fournir mensuellement la liste des utilisateurs du bastion, un rapport des connexions et la liste des serveurs cibles,
- Fournir des journaux d’activités sur les serveurs cibles.
En option, le Client peut avoir accès à un portail web d’administration (MSP Control) lui permettant de gérer les droits d’accès de ses utilisateurs aux serveurs cibles (ajout, modification, suppression d’utilisateurs et affectation ou retrait des utilisateurs à des groupes d’utilisateurs).
2.2.2 Limites du Service et mises en garde Le Client est informé que :
- L’accès aux serveurs cibles via des protocoles autres que SSH ou RDP n’est pas possible,
- Tous les flux mis en œuvre par le Client lui-même ne pourront être couvert par le Service s’ils sont implémentés sans
passer par le bastion,
- Le changement de nom DNS d’un serveur peut entrainer une interruption temporaire de la connexion au serveur tant que le nouveau nom DNS du serveur n’est pas enregistré dans le bastion.
2.2.3 Prérequis de réalisation du Service
La réalisation du Service nécessite au préalable :
- La communication par le Client des informations permettant d’habiliter des personnes à accéder aux serveurs cibles
dont :
o La matrice d’habilitation du Client élaborée avec Sigma Informatique,
o Les informations relatives aux utilisateurs habilités,
o Les informations relatives aux serveurs cibles,
o Les informations techniques des comptes cibles de connexion associés et
o Les groupes de comptes cibles de connexion, et
o Toutes autres pièces justificatives demandées par Sigma Informatique et nécessaires à la mise en place des Services.
- Que le Client informe Sigma Informatique de chaque mise à jour de la matrice d’habilitation à paramétrer dans le bastion pour s’assurer que le Service soit fourni sur l’ensemble des systèmes cibles.
2.2.4 Matrice de responsabilité
Sauf autre matrice de responsabilité (RACI détaillé) convenue entre le Client et Sigma Informatique, les missions de chacune des Parties sont définies ci-dessous :
REPARTITION DES MISSIONS | SIGMA | CLIENT | |
Mise en service | Fourniture des informations nécessaires pour la réalisation du Service (listes des demandeurs habilités, des serveurs cibles, des comptes techniques de connexion associés…) | - | √ |
Définition des habilitations du Client | - | √ | |
Configuration du bastion | √ | - | |
Mis en service du bastion | √ | - | |
Service régulier | Fourniture d’un portail web aux serveurs cibles | √ | - |
Fourniture d’un accès SSH ou RDP aux serveurs cibles | √ | - | |
Gestion des droits d’accès aux serveurs cibles | √ | - | |
Traçabilité des accès entrants | √ | - | |
Conservation des journaux détaillés des connexions et des activités | √ | - | |
Gestion des utilisateurs et groupes d’utilisateur sans option d’accès au portail de gestion | √ | - | |
Gestion des utilisateurs et groupes d’utilisateur avec option d’accès au portail de gestion | - | √ | |
Fourniture d’un portail web aux serveurs cibles | √ | - | |
2.2.5 Protection des Données à Caractère Personnel
Le Service comprend les Traitements de Données à Caractère Personnel ci-dessous, lesquels sont réalisés par Sigma Informatique pour le compte du Client :
NATURE | MOTIF |
Enregistrement | Enregistrement des comptes utilisateurs (noms, prénoms, identifiants, adresses mail) et des données de connexions (heure et jour de connexion et déconnexion) et des journaux d’activités (opérations sur les données) |
Modification | Modification des données des comptes utilisateurs |
Conservation | Conservation des données enregistrées |
Extraction | Fourniture des rapports mensuel |
Consultation | Visualisation des données enregistrées pour fournir les rapports |
Effacement | Suppression des données enregistrées |
2.2.6 Service Level Agreement 2.2.6.1Fenêtre de maintenance
La fenêtre de maintenance du Service pour les Opérations de Maintenance Planifiées est : le jeudi entre 19h00 et 23h00. 2.2.6.2Indicateurs de niveaux de services
Le Service est soumis aux indicateurs de niveaux de services ci-dessous :
INDICATEURS DE NIVEAUX DE SERVICES | MESURES ACCEPTABLES |
PSG ou Plage de Service Garanti | 7 jours / 7 - 24 heures/24 |
Taux de Disponibilité mensuelle | 99,99% |
GTR ou Garantie de Temps de Rétablissement | 2 heures |
Plage de Traitement des Demandes de Services (PTDS) | Du lundi au vendredi, de 8h à 19h (*) |
(*) Hors jours fériés et assimilés comme tels.
Le Client peut souscrire à l’une ou l’autre des extensions de PTDS suivante :
- Xx Xxxxx au Vendredi de 6h à 20h,
- Du Lundi au Vendredi de 00h à 24h,
- Xx Xxxxx au Samedi de 06h à 20h,
- Du Lundi au Samedi de 00h à 24h,
- Du Lundi au Dimanche de 06h00 à 20h,
- Xx Xxxxx au Dimanche de 00h à 24h.
2.2.6.3Pénalités
En cas de non-respect de non-respect de la PSG, le montant des pénalités pouvant être demandé par le client est calculé comme suit : P = M x H / 100,
où :
P = Pénalités,
M = Montant mensuel du Service,
H = Nombre d’heure(s) de dépassement de la GTR.
Le montant total cumulé des pénalités mensuelles est limité à 10% de la mensualité du Service.
2.2.7 Mise en service
Le Service est accessible dans le délai convenu d’un commun accord à partir de la date de réception par Sigma Informatique
du Formulaire de Commande signé par le Client et sous réserve que ce dernier respecte les prérequis de réalisation du Service.
2.2.8 Durée du Service
L’abonnement au Service entre en vigueur à compter de sa date de souscription pour une durée indéterminée, le Client ayant la possibilité de le résilier à tout moment par lettre recommandée avec avis de réception, sans pénalité, ni indemnité de part et d’autre, sous réserve d’un préavis d’un (1) mois minimum. Tout mois calendaire entamé est dû dans sa totalité.
2.2.9 Demandes de Services
Les Demandes de Services que peut réaliser le Client auprès de Sigma Informatique sont :
Demandes de Services standards (incluses dans le prix du Service) | Demandes de Services non standards (facturées en sus du prix du Service) |
Ajout, modification (nom serveur) ou suppression unitaire d’un système cible(**). | Enregistrement de session |
Ajout ou suppression unitaire d’un utilisateur(*)(**). | - |
Ajout ou suppression unitaire d’un compte technique de connexion(*)(**). | |
Modification unitaire d’une règle d’habilitation. |
(*) Entraine une réévaluation du prix de l’abonnement.
(**) Facturé lorsque le Client est titulaire de l’option MSP Control.
2.3.1 Contenu du Service
Le Service a pour objet de détecter, et le cas échéant, de suivre et d’établir des plans de remédiation à la suite des alertes de sécurité identifiées sur les éléments à surveiller et définis entre Sigma Informatique et le Client, concernant son Système d’Information, ses Logiciels, Réseaux et Infrastructures Informatiques.
Sont qualifiés :
- D’ « Evènement de Sécurité » : toute information issue des éléments surveillés et utiles à la qualification d’une Alerte de Sécurité,
- D’ « Alerte de Sécurité » : un ou plusieurs Evénements de Sécurité, lesquels peuvent être regroupés, suivant des règles issues des scénarios de surveillance retenus par le Client,
- D’ « Incident de Sécurité » : la qualification d’une ou plusieurs Alerte(s) de Sécurité, caractérisée(s) comme pouvant
menacer la sécurité de l’information.
Le Service est décliné au choix du Client selon l’une ou l’autre des options ci-dessous :
PRESTATIONS | SILVER | GOLD | PLATINIUM |
Supervision des Evènements de Sécurité bruts issus des sources sélectionnées par le Client et Sigma Informatique sur la base des scénarios de surveillance retenus | √ | √ | √ |
Sauvegarde et archivage des Évènements de Sécurité et de leurs journaux associés pendant une durée de 90 jours | √ | √ | √ |
Envoi d’un courrier électronique pour chaque Alerte de Sécurité brute aux interlocuteurs désignés par le Client | √ | √ | √ |
Tri, identification, et qualification des Alertes de Sécurité selon les règles de corrélation d’informations prédéfinies dans les scénarios de surveillance | - | √ | √ |
Analyse des causes des évènements survenus (comportements anormaux d’utilisateurs, de serveurs, d’applications ou du réseau) et identification des risques de sécurité associés | √ | √ | |
Déclaration d’Incidents de Sécurité auprès du Client | √ | √ | |
Préconisation pour limiter l’Incident de Sécurité | √ | √ | |
Établissement d’un plan d’actions de remédiation des Incidents de Sécurité permettant au Client de réaliser ou faire réaliser des actions de correction | √ | √ | |
Fourniture d’un rapport mensuel sur l’état des Alertes et les Incidents de Sécurité par scénario | √ | √ | |
Pilotage, coordination et suivi des actions de correction décidées par le Client et mises en place par ce dernier ou ses fournisseurs, le cas échéant | - | √ | |
Fourniture d’un rapport mensuel sur le plan d’actions de remédiation et un statut d’avancement des actions. | √ |
2.3.2 Limites du Service et mises en garde Le Client est informé que le Service :
- Sert à détecter mais ne bloque pas et n’empêche pas les attaques et autres Evènements de Sécurité,
- Ne garantit pas l’absence de vulnérabilité et la prévention contre toute forme d’atteinte à la sécurité, la confidentialité ou l’intégrité des Systèmes d’Informations, Logiciels, Réseaux et Infrastructures Informatiques du Client,
- Ne permet pas de détecter l’ensemble des Evènements de sécurité, notamment s’ils sont hors du périmètre des
scénarios de surveillance convenus.
La disponibilité du Service est conditionnée au bon fonctionnement du collecteur installé dans les Systèmes d’Information du
Client et sa connectivité Réseau qui restent sous sa responsabilité ou celle de son hébergeur ou infogéreur, le cas échéant.
2.3.3 Prérequis de réalisation du Service
La réalisation du Service nécessite au préalable :
- La fourniture par le Client des informations nécessaires à l’activation du Service, notamment l’expression de ses besoins et les risques contre lesquels il souhaite se protéger, avec ses priorités de sécurité (intrusion, vol, actions malveillantes, rançon, etc…),
- La définition par le Client du périmètre des éléments à surveiller et des scénarios de surveillance, les indicateurs pertinents et réalistes à suivre ainsi que les critères de qualification des Alertes de Sécurité pour élaborer les scénarios de sécurité,
- Une étude de faisabilité par Sigma Informatique et la réalisation d’un projet d’activation du Service,
- La désignation par le Client d’un ou plusieurs interlocuteurs techniques compétents habilités et disponibles pour répondre aux questions de Sigma Informatique afin de vérifier l’origine et les impacts de certaines alertes de sécurité pour le Service Gold ou Platinium.
2.3.4 Matrice de responsabilité
Sauf autre matrice de responsabilité (RACI détaillé) convenue entre le Client et Sigma Informatique, les missions de chacune des Parties sont définies ci-dessous :
REPARTITION DES MISSIONS | SILVER | GOLD | PLATINIUM | ||||
SIGMA | CLIENT | SIGMA | CLIENT | SIGMA | CLIENT | ||
Mise en service | Fourniture des informations techniques nécessaires au paramétrage et à la configuration du Service | - | √ | - | √ | - | √ |
Paramétrage et configuration du collecteur, des agents de supervision et mise en service du Service | √ | - | √ | - | √ | - | |
Service régulier | Supervision des Evènements de Sécurité bruts | √ | - | √ | - | √ | - |
Sauvegarde et archivage des Evènements de Sécurité | √ | - | √ | - | √ | - | |
Tri, identification, et qualification des Alertes de Sécurité | - | √ | √ | - | √ | - | |
Analyse des causes des évènements survenus et identification des risques de sécurité | - | √ | √ | - | √ | - | |
Préconisation pour limiter l’Incident de Sécurité | - | √ | √ | - | √ | - | |
Établissement d’un plan d’actions de remédiation des Incidents de Sécurité | - | √ | √ | - | √ | - | |
Réalisation des actions de corrections | - | √ | - | √ | - | √ | |
Pilotage, coordination et suivi des actions de correction | - | √ | - | √ | √ | - | |
2.3.5 Protection des Données à Caractère Personnel
Le Service comprend les Traitements de Données à Caractère Personnel ci-dessous, lesquels sont réalisés par Sigma Informatique pour le compte du Client :
NATURE | MOTIF |
Enregistrement | Enregistrement d’informations issues des systèmes surveillés contenant des données personnelles de connexion, d’identification et de vie professionnelle par exemple logs d’authentification, actions réalisées, informations consultées, identifiants d'appareils, les identifiants basés sur l'utilisation, l'adresse IP statique, etc.…) pour fournir le Service |
Conservation | Stockage et sauvegarde d’Evènements de Sécurité incluant les informations mentionnées |
Consultation | Consultation des informations mentionnées ci-dessus afin de fournir le Service |
2.3.6 Service Level Agreement 2.3.6.1Indicateurs de niveaux de services
INDICATEURS DE NIVEAUX DE SERVICES | MESURES ACCEPTABLES | |
SILVER | GOLD / PLATINUM | |
Plage de collecte des évènements de sécurité | 7 Jours / 7 - 24 heures/24 | |
Plage de surveillance(*) | Du lundi au vendredi : 8h00 à 19h00(***). | Du lundi au vendredi : 8h00 à 19h00(***). Option d’extension : 7 jours / 7 et 24 h/24(***). |
Plage d’expertise(**) | Du lundi au vendredi : 8h30 à 12h30 / 13h30 à 17h30. | |
Taux de Disponibilité mensuel de la plage collecte des évènements de sécurité | 99.9 % | |
RPO ou Recovery Point Objective | 24 heures | |
Plage de Traitement des Demandes de Services (PTDS) | Du lundi au vendredi, de 8h à 19h (***) | |
(*) Tranche horaire pendant laquelle Sigma Informatique réalise le tri, l’identification, la qualification des alertes et la déclaration des Incidents de Sécurité.
(**) Tranche horaire pendant laquelle Sigma Informatique réalise l’analyse des causes des évènements survenus.
(***) Hors jours fériés et assimilés comme tels.
Le Client peut souscrire à l’une ou l’autre des extensions de PTDS suivante :
- Xx Xxxxx au Vendredi de 6h à 20h,
- Du Lundi au Vendredi de 00h à 24h,
- Xx Xxxxx au Samedi de 06h à 20h,
- Du Lundi au Samedi de 00h à 24h,
- Du Lundi au Dimanche de 06h00 à 20h,
- Xx Xxxxx au Dimanche de 00h à 24h.
2.3.6.2Pénalités
En cas de non-respect du Taux de Disponibilité, le montant des pénalités pouvant être demandé par le client est calculé comme suit :
- Taux de disponibilité compris entre 99,99 % et 99,00 % : pénalité de 2% de la mensualité du Service,
- Taux de disponibilité compris entre 98,99 % et 95,00 % : pénalité de 5 % de la mensualité du Service.
- Taux de disponibilité inférieur à 95 % : pénalité de 10 % de la mensualité du Service.
2.3.7 Mise en service
Le Service est accessible dans le délai convenu d’un commun accord à partir de la date de réception par Sigma Informatique
du Formulaire de Commande signé par le Client et sous réserve que ce dernier respecte les prérequis de réalisation du Service.
2.3.8 Durée du Service
L’abonnement au Service entre en vigueur à compter de sa date de souscription pour une durée d’une (1) année. L’abonnement se renouvelle automatiquement par tacite reconduction par périodes successives d’une (1) année, le Client ou Sigma Informatique ayant la possibilité de le résilier à l’expiration de la durée initiale ou de chaque période de reconduction, sans pénalité, ni indemnité de part et d’autre, sous réserve d’un préavis de trois (3) mois notifié par lettre recommandée avec avis de réception avant la date de renouvellement de l’abonnement.
2.3.9 Demandes de Services
Les Demandes de Services que peut réaliser le Client auprès de Sigma Informatique sont :
Demandes de Services standards (incluses dans le prix du Service) | Demandes de Services non standards (facturées en sus du prix du Service) |
Modification du nombre d’Evènement par seconde(*). | Déploiement et configuration d’agents de supervision sur un nouvel équipement du périmètre supervisé(*) |
Modification de la plage de service(*) | Refonte d’un scénario de sécurité(*) |
Modification des niveaux de services (Silver/Gold/Platinium)(*) | Ajout ou suppression d’un scénario de sécurité(*) |
- | Ajout ou suppression d’un périmètre à superviser(*) |
Analyse de corrélation d’un Incident de Sécurité détecté par le client mais non implémenté dans un scenario choisi |
(*) Entraine une réévaluation du prix de l’abonnement.
3. DISPOSITIONS COMMUNES AUX SERVICES
3.1 PROTECTION DES DONNEES A CARACTERE PERSONNEL
Les Traitements de Données à Caractère Personnel sont réalisés conformément à la Convention de Traitement de Données à Caractère Personnel disponible à l’adresse xxx.xxxxx.xx/xxxx-xxxxxxxxxx-xxxxxxxxxx, à moins que des dispositions particulières soient convenues entre le Client et Sigma Informatique dans un autre document, auquel cas cet autre document prime sur la Convention de Traitement de Données à Caractère Personnel.
3.2 ASSURANCE QUALITE
Les Services objet des présentes Conditions Particulières de Services sont fournis dans le respect des modalités d’assurance qualité prévues dans le Plan d’Assurance Qualité applicable entre Sigma Informatique et le Client.
3.3 LIMITES ET MISES EN GARDE GENERALES
Les Services des présentes Conditions Particulières de Services n’ont pas pour objet d’évaluer les risques de sécurité du Client ou d’étudier les mesures de sécurité techniques ou organisationnelles pouvant être mises en œuvre par le Client. Il appartient au Client de définir ses propres politiques de sécurité concernant ses Systèmes d’Information, Réseaux, Infrastructures Informatiques, Logiciels et les données qu’ils contiennent ainsi que ses procédures concernant la réaction aux failles et aux Incidents de Sécurité.
Les Services des présentes Conditions Particulières de Services constituent des éléments de nature à limiter les risques de sécurité et de vulnérabilité mais ne sont pas une garantie contre tout Incident de Sécurité, tels que :
- L’intrusion de Logiciels malveillant (virus, cheval de troie, ransomware, trojan notamment) notamment si les menaces
ne sont pas connues des Logiciels utilisés par Sigma informatique,
- La prise de contrôle à distance, l’usurpation d’identité, l’attaque de déni de services ou le port scanning.
La responsabilité de Sigma Informatique ne peut être engagée en cas de non-respect par le Client des mises en garde et limites
diverses ou d’agissements du Client au-delà des performances applicables aux Services ou des évènements qui en découlent.
3.4 PRIX ET FACTURATION
Les Services et Demandes de Services sont facturés aux prix et selon les modalités disponibles sur demande auprès de Sigma Informatique, à moins que des prix et modalités de facturation spécifiques soient convenus entre le Client et Sigma Informatique dans un bordereau des prix unitaires ou une décomposition des prix globale et forfaitaire.
3.5 FRAIS COMPLEMENTAIRES
Tous les frais complémentaires créés à la charge de Sigma Informatique sont refacturés au Client au tarif journalier en vigueur disponible auprès de Sigma Informatique à défaut de tout autre tarif journalier convenu, dès lors que ces frais ne sont pas imputables à une inexécution de Sigma Informatique. Les frais complémentaires incluent également les frais et les majorations de toutes sortes appliqués à Sigma Informatique par un tiers du fait du Client ou pour le compte du Client.
4. NIVEAUX DE SERVICES ET PENALITES
4.1 INDICATEURS DE NIVEAUX DE SERVICES ET PENALITES
4.1.1 Indicateurs de niveaux de services
Les indicateurs de niveaux de services acceptables pour la fourniture des Services sont ceux précisés dans les dispositions propres aux services à moins que des indicateurs de niveaux de services spécifiques soient convenus entre le Client et Sigma Informatique dans une convention de niveaux de services ou tout autre document. Ces derniers priment sur les présentes Conditions Particulières de Service.
4.1.2 Pénalités en cas de non-respect des indicateurs de niveaux de services
Le montant des pénalités en cas de non-respect des indicateurs de niveaux de services est précisé dans les dispositions propres aux services à moins que des pénalités spécifiques soient convenues entre le Client et Sigma Informatique dans une convention de niveaux de services ou tout autre document. Ces dernières priment sur les présentes Conditions Particulières de Service. Lorsque le non-respect d’un indicateur de niveau de service entraine le non-respect d’un autre indicateur de niveau de service prévu au Contrat, seul le montant de la pénalité la plus forte est applicable.
4.1.3 Modalités d’applications des pénalités
Les pénalités sont applicables à compter de la recette des Services et lorsque Sigma Informatique n’a pas respecté les
indicateurs de niveaux de services acceptables pour les Services concernés.
Les indicateurs de services sont applicables de manière indépendante les uns des autres. Néanmoins, lorsqu’un évènement est à l’origine du non-respect de plusieurs indicateurs de niveaux de services, seul le montant de la pénalité la plus forte est applicable.
Le Client dispose d’un délai de deux (2) mois suivant la fin du non-respect des indicateurs de niveaux de services pour demander l’application des pénalités. Les demandes de pénalités sont adressées par le Client à Sigma Informatique par lettre recommandée avec avis de réception. Passé ce délai, le Client est forclos.
Aucune pénalité, ni indemnité n’est versée lorsqu’il existe un cas de non-application des indicateurs de niveaux de services (opération de maintenance planifiée, intervention exceptionnelle, autres cas prévus ci-après).
4.2 OPERATIONS DE MAINTENANCE PLANFIEE
4.2.1 Opérations de Maintenance Planifiée réalisées par Sigma Informatique
Les indicateurs de niveaux de services ne sont pas applicables lorsque Sigma Informatique effectue une Opération de Maintenance Planifiée.
Les Opérations de Maintenance Planifiée sont réalisées par Sigma Informatique pendant les fenêtres de maintenance précisées dans les Conditions Particulières de Services. Sigma Informatique peut également prévoir des Opérations de Maintenance Planifiée en dehors de ces fenêtres de maintenance. Dans ce cas, Xxxxx Informatique s’engage à en avertir le Client par email avec un préavis de quinze (15) jours lorsque cette Opération de Maintenance Planifiée a pour effet de rendre indisponible les Services ou avec un préavis de cinq (5) jours lorsque celle-ci n’a pas pour effet de rendre indisponible les Services.
L’information alors communiquée par Sigma Informatique au Client comprend les dates et durées de l’Opération de Maintenance Planifiée ainsi que son objet. Sigma Informatique fera ses meilleurs efforts pour effectuer ou faire effectuer les tâches requises en minimisant dans la mesure du possible les effets sur les Systèmes d’Information, Infrastructures Informatiques, Réseaux et Logiciels du Client.
4.2.2 Opérations de Maintenance Planifiée réalisées par le Client
Les indicateurs de niveaux de services ne sont pas applicables lorsque le Client ou un de ses fournisseurs ou partenaire effectue une Opération de Maintenance Planifiée.
Lorsque le Client lui-même ou un de ses fournisseurs ou partenaire réalise une Opération de Maintenance Planifiée, le Client s’engage à en avertir Sigma Informatique par email avec un préavis de quinze (15) jours afin que Sigma Informatique. Le Client ou un de ses fournisseurs ou partenaire peut également prévoir des Opérations de Maintenance Planifiée en dehors de ces fenêtres de maintenance. Dans ce cas, le Client s’engage à en avertir Sigma Informatique par email avec un préavis de quinze
(15) jours lorsque cette Opération de Maintenance Planifiée a un impact sur la fourniture de Services par Sigma Informatique ou avec un préavis de cinq (5) jours lorsque celle-ci n’a pas d’impact sur la fourniture des Services par Sigma Informatique.
L’information communiquée par le Client à Sigma Informatique doit alors comprendre les dates et durées de l’Opération de Maintenance Planifiée. Le Client fera ses meilleurs efforts pour effectuer ou faire effectuer les tâches requises en minimisant dans la mesure du possible les effets sur la fourniture des Services par Sigma Informatique.
4.3 INTERVENTIONS EXCEPTIONNELLES
4.3.1 Interventions exceptionnelles réalisées par Sigma Informatique
Les indicateurs de niveaux de services ne sont pas applicables lorsque Sigma Informatique effectue une Intervention Exceptionnelle.
Lorsque Sigma Informatique déclenche une Intervention Exceptionnelle, Sigma Informatique s’engage dès que possible à en
avertir le Client par email.
L’information alors communiquée par Sigma Informatique au Client comprend les dates et durées de l’intervention exceptionnelle ainsi que son objet. Sigma Informatique fera ses meilleurs efforts pour effectuer ou faire effectuer les tâches requises en minimisant dans la mesure du possible les effets sur les Systèmes d’Information, Infrastructures Informatiques, Réseaux et Logiciels du Client.
4.3.2 Interventions exceptionnelles réalisées par le Client
Les indicateurs de niveaux de services ne sont pas applicables lorsque le Client ou un de ses fournisseurs ou partenaire effectue une Intervention Exceptionnelle.
Lorsque le Client déclenche une Intervention Exceptionnelle, le Client s’engage dès que possible à en avertir Sigma
Informatique par email.
4.4 AUTRES CAS DE NON-APPLICTAION DES INDICATEURS DE NIVEAUX DE SERVICES
4.4.1 Causes étrangères
Les indicateurs niveaux de services ne sont pas applicables en cas d’évènement de force majeure et d’une manière générale de tout évènement en dehors du contrôle de Sigma Informatique, le fait d’un tiers dont les fournisseurs et partenaires du Client, la défaillance des fournisseurs d’énergie, de fluides et de réseaux de quelque nature que ce soit, notamment l’Internet et l’empêchant de fournir les Services conformément aux indicateurs de niveaux de services applicables.
4.4.2 Fait du Client
Les indicateurs de niveaux de services ne sont pas applicables en raison de tout manquement du Client dans l’exécution du Contrat ou fait du Client à l’origine de l’événement ayant entrainé le non-respect des indicateurs niveaux de services par Sigma informatique.
4.4.3 Services, Logiciels et Matériels non maintenus
Les indicateurs de niveaux de services ne sont pas applicables lorsque les Services portent sur des services fournis par des tiers, Logiciels et Matériels ne faisant plus l’objet de mise à jour ou de support ou de maintenance par leurs constructeurs, fournisseurs et éditeurs. Le Client est informé que leur non-mise à jour peut entrainer des interruptions ou des perturbations ou des performances inférieures, des failles de sécurités ou des dégradations de ces derniers ou des Infrastructures Informatiques, Systèmes d’Information, Logiciels ou Réseaux du Client.
4.4.4 Produits Tiers
Les indicateurs de niveaux de services ne sont pas applicables sur les Produits Tiers achetés par le Client auprès de Sigma Informatique en sa qualité de distributeur et soumis à leurs propres termes contractuels, y compris leurs contrats de licence utilisateur final, lesquels sont directement opposables entre le Client et les fabricants des Produits Tiers ou leurs distributeurs le cas échéant. Dans ce cas, seuls sont applicables les indicateurs de niveaux de services et pénalités convenus entre le Client et les fabricants des Produits Tiers ou leurs distributeurs le cas échéant.
5. EVOLUTION DES CONDITIONS PARTICULIERES
5.1 AJOUT, MODIFICATION, REMPLACEMENT ET RETRAIT DES SERVICES
Sigma Informatique peut ajouter, modifier, remplacer et retirer les Services objets des présentes Conditions Particulières de Services en raison de :
- L’ajout de nouveaux Services,
- L’indisponibilité permanente ou le retrait du marché des Composants Tiers requis par Sigma Informatique pour la fourniture des Services,
- La modification du contenu ou des conditions de réalisation des Services,
- L’évolution des technologies, rendant obsolètes celles utilisées par Sigma Informatique pour la fourniture des
Services, notamment en termes de sécurité,
- L’instruction donnée par une autorité compétente et dont les décisions sont opposables à Sigma Informatique.
5.2 ENTREE EN VIGUEUR DES EVOLUTIONS DES CONDITIONS PARTICULIERES
Sigma Informatique s’engage à informer le Client de l’évolution des Services au moins trois (3) mois avant la date d’entrée en vigueur de ladite évolution, sous réserve de tout délai plus court imposé par une autorité compétente dont les décisions sont opposables à Sigma Informatique. Les nouvelles Conditions Particulières des Services seront alors disponibles à l’adresse xxx.xxxxx.xx/xxxxxxxx-xxxxxxxxxx et applicables au Client à leur date d’entrée en vigueur.
Si l’évolution implique des travaux ou des investissements pour le Client, le délai d’entrée en vigueur de l’évolution pourra être d’un commun accord prolongé pour une durée totale de six (6) mois (sauf délai plus court imposé par une autorité compétente) et ce, afin de permettre au Client de réaliser les travaux et investissements nécessaires.
5.3 RESILIATION ANTICIPEE PAR LE CLIENT
Si l’évolution du Service engendre une dégradation du Service en termes de sécurité, le Client peut résilier le Service sans pénalité, ni indemnité dans un délai de trois (3) mois après l’information donnée par le Sigma Informatique au Client (sauf délai plus court proposé par Sigma Informatique et résultant d’une décision d’une autorité compétente). A défaut, l’évolution des Conditions Particulières de Service est réputée comme acceptée par le Client.
La résiliation des Services est effective au plus tard :
- A la date d’entrée en vigueur des nouvelles Conditions Particulières de Services, ou
- A la date prévue dans les Conditions Particulières de Service initiales si ces dernières prévoient un délai de préavis de résiliation plus court.
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ FIN DU DOCUMENT