AVERTISSEMENT PREALABLE
CONDITIONS PARTICULIERES DE SERVICES
CYBERSECURITÉ | Mise à jour : 8/02/2024
Sigma Informatique
0 xxx Xxxxxx XX 00000
44 240 La Chapelle-sur-Erdre cedex
xxx.xxxxx.xx | @GroupeSigma
SAS au capital de 1 729 600€ - 872 803 390 RCS Nantes
AVERTISSEMENT PREALABLE
Le présent document est protégé par les lois françaises et les traités internationaux sur le droit d’auteur. Il est la propriété de Sigma Informatique. Toutes les marques et tous les noms commerciaux cités dans le présent document sont la propriété de Sigma Informatique ou de tiers. Toute reproduction des marques et noms commerciaux cités dans le présent document par quelque procédé que ce soit sans l’autorisation préalable et écrite de Sigma Informatique ou des tiers constitue une contrefaçon sanctionnée pénalement.
Propriété Intellectuelle
TABLE DES MATIERES
1
1
1
5
2. DISPOSITIONS PROPRES AUX SERVICES 5
2.1. SERVICE MANAGED SECURITY SIEM
5
8
16
2.4. LIMITES ET MISES EN GARDE GENERALES
16
Les présentes Conditions Particulières de Services ont pour objet de définir les termes et conditions particulières selon lesquels le Client confie à Sigma Informatique la fourniture des services suivants :
- Managed security,
- Service Managed XDR
Les présentes Conditions Particulières de Services entrent en vigueur à compter du 01/07/2023. Elles remplacent et annulent les conditions particulières de services antérieures ayant le même objet.
Pour les besoins des présentes Conditions Particulières de Services, les termes commençant par une majuscule ont la signification qui leur est attribuée ci-après, qu’ils soient au singulier, au pluriel, sous forme de verbe, de nom ou autre, à l’exception des termes prenant toujours une majuscule.
TERME | DEFINITION |
Actif | Elément du Système d'information du Client faisant l’objet des Services décrits dans ce document. |
Actif essentiel | Elément du Système d'information critique nécessaire au maintien de l’activité principale du client défini conjointement dans le cadre de l’étape de Design définie au Plan Management projet -Cybersécurité. |
Alerte de sécurité | Un ou plusieurs Evénements de Sécurité, lesquels peuvent être regroupés, suivant des règles issues des scénarios de surveillance retenus par le Client, conduisant à une notification d’un risque de sécurité. |
CASB | Un CASB ou Cloud Access Security Broker est un intermédiaire entre les utilisateurs et les plateformes de cloud computing qui protège les données dans le cloud tout en répondant aux problèmes d'autorisation et de visibilité des entreprises qui utilisent les services de cloud computing. |
CERT / CSIRT | Centres de réponse aux incidents cyber au profit des entités implantées sur le territoire régional. Ils traitent les demandes d’assistance des acteurs de taille intermédiaire (ex : PME, ETI, collectivités territoriales et associations) et les mettent en relation avec des partenaires de proximité : prestataires de réponse à incident et partenaires étatiques. (Computer Emergency Response Team - centre d'alerte et de réaction aux attaques informatiques OU Computer Security Incident Response Team, CSIRT est une appelation privilégiée à CERT en Europe car CERT est une marque déposée aux États-Unis) |
Client | La personne identifiée comme telle dans le Formulaire de Commande. |
Conditions Particulières de Services | Le présent document. |
Contrat | Ensemble les documents auxquels renvoi le Formulaire de Commande ou l’acte d’engagement ou le cahier des clauses administratives particulières et générales, le cas échéant. |
Corrélation d’incident | Action guidée par les Solutions Cybersécurité et menée par les experts permettant la mise en relation de plusieurs informations indépendantes créant par une requalification la suspicion d’un e menace potentielle. |
Demande de Service | Les demandes de prestations à l’acte complémentaires aux Services souscrits |
EDR | Endpoint Detect & Response. C’est une solution de sécurité des terminaux qui inclut la surveillance en temps réel et la collecte des données de sécurité des terminaux avec un mécanisme de réponse automatisée aux menaces. |
EndPoint | Les solutions EndPoint Protection englobent une variété de technologies de prévention, y compris l'anti-malware, le pare-feu personnel, l'évaluation des vulnérabilités, la liste blanche des applications et la gestion de la mobilité d'entreprise. Cependant, en tant que technologies basées sur les signatures et les politiques, elles peuvent identifier et bloquer de manière fiable uniquement les menaces connues. |
Événement de sécurité | Toute information issue des éléments surveillés du système d’information (log, flux réseau, changement, etc.) et utiles à la qualification d’une Alerte de Sécurité |
Faux positif | Élément qui a été détecté et identifié comme malveillant, même si l’élément n’est pas réellement une menace. Exemple : connexion depuis un VPN déclenchant un « impossible travel » |
Formulaire de Commande | Le document émis par Sigma Informatique permettant au Client de commander les Services, Logiciels ou Matériels et dans le cadre des marchés publics, l’acte d’engagement, les bons de commandes et ordres de services ou équivalents émis par l’acheteur public à moins qu’il ne s’agisse du document émis par Sigma Informatique. |
GTI ou Garantie de Temps d’Intervention | Le délai maximum acceptable, pendant la PSG, pour débuter les actions de rétablissement du Service à partir : - De la détection de l’Incident par Sigma Informatique, ou - De la déclaration de l’incident par le Client. |
GTR ou Garantie de Temps de Rétablissement / RTO ou Recovery Time Objectif | Le délai maximum acceptable, pendant la PSG, pour rétablir le Service à partir : - De la détection de l’Incident par Sigma Informatique, ou - De la déclaration de l’Incident par le Client. |
Incident de sécurité | Qualification d’une ou plusieurs alerte(s) de sécurité, caractérisée(s) comme pouvant menacer la sécurité de l’information. |
Incident de sécurité de sévérité faible | Incident de sécurité dont l’impact faible, n’appelant pas obligatoirement la mise en œuvre d’une action de remédiation. Exemple : virus détecté sans fuite de données, délai utilisateur pour changement mot de passe dépassé |
Incident de sécurité de sévérité haute | Incident impliquant la mise en œuvre d’une action immédiate et obligatoire pour atténuer l'activité malveillante actuelle. Exemple : Indisponibilité système / Fuite d’information |
Incident de sécurité de sévérité moyenne | Incident dont l’impact est jugé à Fort potentiel si aucune mesure préventive n’est prise. Exemple : Évolution significative des indicateurs dans le SIEM, volume du trafic indiquant une baisse des performances |
Infrastructure Informatique | L’ensemble des équipements informatiques permettant le bon fonctionnement du Système d’Information. |
Interventions Exceptionnelles | Les interventions résultant d’une faille de sécurité susceptible d’engendrer un risque sur la sécurité, la confidentialité et l’intégrité des Systèmes d’Information ou des Réseaux ou des Infrastructures Informatiques ou des Logiciels ou des données qu’ils contiennent. |
Investigation préliminaire automatique | Analyse automatisée permettant de corréler des alertes et des incidents, d'enrichir les données contenues, et d'éventuellement de requalifier la criticité de ces incidents. Cette analyse est réalisée exclusivement de façon automatisée avant toute intervention humaine. Cette analyse correspond au Temps de réaction |
Logiciel | La séquence d’instructions sous forme électronique et/ou numérique d’un algorithme exprimé sous forme de code dans un langage de programmation qui spécifie étape par étape les opérations à effectuer pour obtenir le résultat attendu, notamment tout code source, objet, binaire, logiciels, Logiciels Open Source, fichiers, librairies, bases de données, progiciels et applicatifs fournis le cas échéant par Sigma Informatique au titre du Contrat ou contenus dans les Services ou les Matériels. |
Logiciel Open Source | Tout ou partie d’un Logiciel répondant aux critères de l’Open Source Initiative ainsi que tout ou partie d’un logiciel libre répondant aux critères de la Free Software Foundation. |
Matériel | Les équipements corporels fournis le cas échéant par Sigma Informatique au titre du Contrat ou contenus dans les Services le cas échéant. |
MCS | Processus visant à assurer le niveau de sécurité d’un système ou d’un projet durant toutes les phases de son cycle de vie au travers d’une gestion maîtrisée et pérenne des risques liés aux vulnérabilités matérielles et logicielles. |
MFA | L’authentification multi-facteurs (Multi-factor authentication – MFA) est une méthode d'authentification forte par laquelle un utilisateur peut accéder à une ressource informatique après avoir présenté avec succès des éléments de preuve (ou facteurs) à un mécanisme d'authentification : - Connaissance (quelque chose que seul l'utilisateur connaît) - Possession (quelque chose que seul l'utilisateur possède) - Inhérence (quelque chose que seul l'utilisateur est) L’authentification multi-facteurs nécessite deux éléments de preuve ou plus. |
Opérations de Maintenance Planifiées | Les opérations visant à prévenir les incidents et les indisponibilités des Systèmes d’Information ou des Réseaux ou des Infrastructures Informatiques ou des Logiciels et les identifier en amont, le cas échéant. |
PDMA ou Perte de Données Maximale Admissible | L’intervalle de temps correspondant à la quantité maximale admissible de données perdue à la suite d’un Incident. |
Solution Cybersécurité | Services Applicatifs fourni par l’éditeur Microsoft permettant d’obtenir les services de détection EDR/XDR, de consolidation et qualification SIEM à souscrire par le Client. Les services EDR/XDR ou Agent, sont une suite d'outil technologiques permettant de collecter la télémétrie de sécurité à partir des points de terminaison, des charges de travail cloud, des e- mails, du réseau. |
PMP | Plan de management projet : document contractuel précisant les modalités de déploiement jusqu’à la mise en production des Services. |
Produit Tiers | Tout ou partie d’un service ou d’un Logiciel ou d’une œuvre ou d’un Matériel, n’étant pas conçu par Sigma Informatique et éventuellement fourni au Client par Sigma Informatique en sa qualité de distributeur. |
PSG ou Plage de Service Garantie | La période définie pendant laquelle Sigma Informatique garantit la disponibilité du service. |
PSG ou Plage de Service Garantie | La période définie pendant laquelle Sigma Informatique garantit la disponibilité du service. |
PTDS ou Plage de Traitement des Demandes de Services | La période définie pendant laquelle Sigma Informatique réalise les Demandes de Services. |
Réseau | L’ensemble des moyens corporels et incorporels de communication permettant d’assurer l’échange de données. |
RPO ou Recovery Point Objectif | Le délai maximum acceptable entre un Incident, pendant la PSG, et le dernier point de sauvegarde des données qu’il sera possible de restaurer. |
Scénario | Ensemble de règles permettant au moteur de corrélation de reconnaître une situation et d’en déduire les risques de sécurité associés. |
Services | Les prestations fournies par Sigma Informatique au titre du Contrat. |
SIEM | Un système de gestion des informations et des événements de sécurité (SIEM) est une solution de sécurité qui permet aux organisations de consolider les événements de sécurité pour en qualifier les menaces avant qu'elles ne perturbent leurs activités. |
Sigma Informatique | Sigma Informatique, société par action simplifiée au capital de 1 729 600 Euros, immatriculée sous le numéro 872 803 390 R.C.S NANTES dont le siège social se situe à LA CHAPELLE-SUR- ERDRE (44240), ZI La Gesvrine – France. |
SOAR | Les outils SOAR (Security orchestration, automation and response) permettent à une organisation de définir des procédures d'analyse et de réponse aux incidents sous la forme de workflows. |
SOC | Security Operations Center. Le SOC Sigma est une équipe dédiée au traitement des tâches relatives à la sécurité opérationnelle. Ces missions concernent notamment l’analyse des incidents de sécurité, la gestion des accès à privilèges ainsi que la sensibilisation des collaborateurs internes et clients. |
Système d’Information | L’ensemble des ressources qui permet notamment de collecter, regrouper, traiter, stocker, conserver, classifier et diffuser des fichiers et des données sur un environnement donné. |
Taux de Disponibilité | Le rapport entre la période de disponibilité du Service et la PSG, calculé en minutes comme suit : Taux de disponibilité = (PSG – Temps d’indisponibilité) / PSG x 100 |
Taux de réussite | Le rapport entre le nombre d’opérations réalisées et le nombre d’opérations réalisées avec succès, calculé comme suit : Taux de réussite = (Nombre d’opération réalisées – Nombre d’opérations réalisées avec succès) / Nombre d’opération réalisées x 100 |
Temps d’analyse | Durée entre le moment où nos systèmes automatisés ou un analyste SOC prennent en compte l’incident et la fin de l’analyse qui se solde soit par : - La communication vers le client et le début de la réponse à incident ; - Une requalification en faux positif ; - Une requalification en vrai positif sans impact. |
Temps de réaction | Durée entre la découverte d’un incident et le moment où nos systèmes automatisés ou un analyste SOC prennent en compte l’incident et démarrent les analyses. |
Temps de résolution | Durée entre le moment où nos systèmes automatisés ou un analyste SOC prennent en compte l’incident et la résolution et clôture de l’incident (fin de rémediation) |
Vrai positif sans impact | Incident de sécurité qui n’a pas d’impact sur l’environnement de production du Client. xemple : tentative de brute-force sur un portail avec MFA activé |
Les présentes Conditions Particulières de Services font parties du Contrat conclu avec le Client.
2. DISPOSITIONS PROPRES AUX SERVICES
2.1. SERVICE MANAGED SECURITY SIEM
2.1.1. Contenu du Service
Le Service a pour objet de détecter, et le cas échéant, de suivre et d’établir des plans de remédiation à la suite des alertes de sécurité identifiées sur les éléments à surveiller et définis entre Sigma Informatique et le Client, concernant son Système d’Information, ses Logiciels, Réseaux et Infrastructures Informatiques.
Le Service est décliné au choix du Client selon l’une ou l’autre des options ci-dessous :
PRESTATIONS | SILVER | GOLD | PLATINIUM |
Supervision des Evènements de Sécurité bruts issus des sources sélectionnées par le Client et Sigma Informatique sur la base des scénarios de surveillance retenus | √ | √ | √ |
Sauvegarde et archivage des Évènements de Sécurité et de leurs journaux associés pendant une durée de 90 jours | √ | √ | √ |
Envoi d’un courrier électronique pour chaque Alerte de Sécurité brute aux interlocuteurs désignés par le Client | √ | √ | √ |
Tri, identification, et qualification des Alertes de Sécurité selon les règles de corrélation d’informations prédéfinies dans les scénarios de surveillance | - | √ | √ |
Analyse des causes des évènements survenus (comportements anormaux d’utilisateurs, de serveurs, d’applications ou du réseau) et identification des risques de sécurité associés | √ | √ | |
Déclaration d’Incidents de Sécurité auprès du Client | √ | √ | |
Préconisation pour limiter l’Incident de Sécurité | √ | √ | |
Établissement d’un plan d’actions de remédiation des Incidents de Sécurité permettant au Client de réaliser ou faire réaliser des actions de correction | √ | √ |
Fourniture d’un rapport mensuel sur l’état des Alertes et les Incidents de Sécurité par scénario | √ | √ | |
Pilotage, coordination et suivi des actions de correction décidées par le Client et mise en place par ce dernier ou ses fournisseurs, le cas échéant | - | √ | |
Fourniture d’un rapport mensuel sur le plan d’actions de remédiation et un statut d’avancement des actions | √ |
2.1.2. Limites du Service et mises en garde
Le Client est informé que le Service :
- Sert à détecter mais ne bloque pas et n’empêche pas les attaques et autres Evènements de Sécurité,
- Ne garantit pas l’absence de vulnérabilité et la prévention contre toute forme d’atteinte à la sécurité, la confidentialité
ou l’intégrité des Systèmes d’Informations, Logiciels, Réseaux et Infrastructures Informatiques du Client,
- Ne permet pas de détecter l’ensemble des Evènements de sécurité, notamment s’ils sont hors du périmètre des
scénarios de surveillance convenus.
La disponibilité du Service est conditionnée au bon fonctionnement du collecteur installé dans les Systèmes d’Information du
Client et sa connectivité Réseau qui restent sous sa responsabilité ou celle de son hébergeur ou infogéreur, le cas échéant.
Le Service n’inclut pas notamment le paramétrage et la configuration des Systèmes d’Informations, Logiciels, Réseaux et Infrastructures Informatiques du Client lui permettant de pallier les failles de sécurité, la réalisation des actions de correction et de remédiation des Incidents de Sécurité, la sauvegarde et la restauration ou la supervision et l’administration de bases de données, de serveurs, de Logiciels, de messageries et middlewares, le Client étant seul responsable de procéder lui-même ou de faire procéder à ces prestations de services. Ces prestations peuvent être réalisées par Sigma Informatique selon les termes et conditions prévues dans les différentes Conditions Particulières de Services Qomity Managed disponibles sur un support durable à l’adresse xxx.xxxxx.xx/xxxxxxxx-xxxxxxxxxx.
2.1.3. Prérequis de réalisation du Service
La réalisation du Service nécessite au préalable :
- La fourniture par le Client des informations nécessaires à l’activation du Service, notamment l’expression de ses besoins et les risques contre lesquels il souhaite se protéger, avec ses priorités de sécurité (intrusion, vol, actions malveillantes, rançon, etc…),
- La définition par le Client du périmètre des éléments à surveiller et des scénarios de surveillance, les indicateurs pertinents et réalistes à suivre ainsi que les critères de qualification des Alertes de Sécurité pour élaborer les scénarios de sécurité,
- Une étude de faisabilité par Sigma Informatique et la réalisation d’un projet d’activation du Service,
- La désignation par le Client d’un ou plusieurs interlocuteurs techniques compétents habilités et disponibles pour répondre aux questions de Sigma Informatique afin de vérifier l’origine et les impacts de certaines alertes de sécurité pour le Service Gold ou Platinium.
2.1.4. Résumé des responsabilités entre le Client et Sigma Informatique
REPARTITION DES MISSIONS | SILVER | GOLD | PLATINIUM | |||
SIGMA | CLIENT | SIGMA | CLIENT | SIGMA | CLIENT | |
Fourniture des informations techniques nécessaires au paramétrage et à la configuration du Service | - | √ | - | √ | - | √ |
Paramétrage et configuration du collecteur, des agents de supervision et mise en service du Service | √ | - | √ | - | √ | - |
Supervision des Evènements de Sécurité bruts | √ | - | √ | - | √ | - |
Sauvegarde et archivage des Evènements de Sécurité | √ | - | √ | - | √ | - |
Tri, identification, et qualification des Alertes de Sécurité | - | √ | √ | - | √ | - |
Analyse des causes des évènements survenus et identification des risques de sécurité | - | √ | √ | - | √ | - |
Préconisation pour limiter l’Incident de Sécurité | - | √ | √ | - | √ | - |
Établissement d’un plan d’actions de remédiation des Incidents de Sécurité | - | √ | √ | - | √ | - |
Réalisation des actions de corrections | - | √ | - | √ | - | √ |
Pilotage, coordination et suivi des actions de correction | - | √ | - | √ | √ | - |
2.1.5. Protection des Données à Caractère Personnel
Le Service comprend les traitements de Données à Caractère Personnel ci-dessous :
NATURE | MOTIF |
Enregistrement | Enregistrement d’informations issues des systèmes surveillés contenant des données personnelles de connexion, d’identification et de vie professionnelle par exemple logs d’authentification, actions réalisées, informations consultées, identifiants d'appareils, les identifiants basés sur l'utilisation, l'adresse IP statique, etc.…) pour fournir le Service |
Conservation | Stockage et sauvegarde d’Evènements de Sécurité incluant les informations mentionnées |
Consultation | Consultation des informations mentionnées ci-dessus afin de fournir le Service |
Utilisation | Utilisation des informations mentionnées ci-dessus uniquement afin de fournir le Service |
Rapprochement ou interconnexion | Rapprochement et corrélation des informations (données de connexion, d’identification et de vie professionnelle) issues du système surveillé afin de fournir le Service |
2.1.6. Service Level Agreement
2.1.6.1. Indicateurs de niveaux de services
Le Service est soumis aux indicateurs de niveaux de services ci-dessous :
INDICATEURS DE NIVEAUX DE SERVICES | MESURES ACCEPTABLES | |
SILVER | GOLD / PLATINUM | |
Plage de collecte des évènements de sécurité | 7 Jours / 7 - 24 heures/24 | 7 Jours / 7 - 24 heures/24 |
Plage de surveillance(*) | - | Du lundi au vendredi : 8h00 à 19h00(***). Option d’extension : 7 jours / 7 et 24 h/24(***). |
Plage d’expertise(**) | - | Du lundi au vendredi : 8h30 à 12h30 / 13h30 à 17h30. |
Taux de disponibilité mensuel de la plage collecte des évènements de sécurité | 99.9 % | 99,99% |
RPO ou Recovery Point Objective ou Perte de données maximale admissible | 24h | 24h |
* Tranche horaire pendant laquelle Sigma Informatique réalise le tri, l’identification, la qualification des alertes et la déclaration des Incidents de Sécurité.
** Tranche horaire pendant laquelle Sigma Informatique réalise l’analyse des causes des évènements survenus.
*** Hors jours fériés et assimilés comme tels en France métropolitaine.
1.1.1.1 Pénalités
En cas de non-respect du taux de disponibilité, le montant des pénalités pouvant être demandé par le client est calculé comme suit :
- Taux de disponibilité compris entre 99,99 % et 99,00 % : pénalité de 2% de la mensualité du Service,
- Taux de disponibilité compris entre 98,99 % et 95,00 % : pénalité de 5 % de la mensualité du Service.
- Taux de disponibilité inférieur à 95 % : pénalité de 10 % de la mensualité du Service.
2.1.7. Mise en service
Le Service est accessible dans le délai convenu d’un commun accord à partir de la date d’acceptation du Formulaire de Commande par le Client et sous réserve que ce dernier respecte les prérequis de réalisation du Service.
2.1.8. Durée du Service
L’abonnement au Service entre en vigueur à compter de sa date de souscription pour une durée d’une (1) année. L’abonnement se renouvelle automatiquement par tacite reconduction par périodes successives d’une (1) année, le Client ou Sigma Informatique ayant la possibilité de le résilier à l’expiration de chaque période de reconduction, sans pénalité, ni indemnité de part et d’autre, sous réserve d’un préavis de trois (3) mois notifié par lettre recommandée avec avis de réception avant la date de renouvellement de l’abonnement.
2.1.9. Demandes de Services
Les Demandes de Services que peut réaliser le Client auprès de Sigma Informatique sont :
Demandes de Services standards (incluses dans le prix du Service) | Demandes de Services non standards (facturées en sus du prix du Service) |
Modification du nombre d’Evènement par seconde(*). | Déploiement et configuration d’agents de supervision sur un nouvel équipement du périmètre supervisé(*) |
Modification de la plage de service(*) | Refonte d’un scénario de sécurité(*) |
Modification des niveaux de services (Silver/Gold/Platinium)(*) | Ajout ou suppression d’un scénario de sécurité(*) |
Ajout ou suppression d’un périmètre à superviser(*) | |
Analyse de corrélation d’un Incident de Sécurité détecté par le client mais non implémenté dans un scenario choisi |
* Entraine une réévaluation du prix de l’abonnement.
2.2.1. Contenu du Service
Le Service a pour objet de détecter, et le cas échéant, de répondre aux menaces sur le Système d’Information du Client. La détection et réponse étendues (XDR) se compose de services de gestion de plateformes EDR, XDR, SIEM ainsi que des services managés, décrits ci-après, permettant de :
- détecter et d’identifier des Alertes de sécurité sur les éléments à surveiller constitués notamment des Endpoint terminaux utilisateurs et serveurs, des identités, des données, des applications, des composants réseaux.
- établir, mettre en œuvre et suivre les plans de remédiation, dans la limite du RACI convenu entre Sigma Informatique et le Client, concernant son Système d’Information, ses Logiciels, Réseaux et Infrastructures Informatiques.
Le Service consiste pour Sigma Informatique à fournir au Client les prestations suivantes :
- La gestion des Solutions Cybersécurité, 24h/24 – 7j/7 :
o Configuration des plateformes XDR et/ou SIEM, y compris le réglage fin des règles, la création de cas d'utilisation personnalisés, de tableaux de bord, de rapports et d'analyseurs de journaux.
o Maintien en condition opérationnelle : surveillance de son état de fonctionnement et de sa disponibilité, application de patchs correctifs logiciels, maintenance des composants de sécurité à jour et de leur paramétrage, sauvegarde
- Le monitoring automatique des Incidents de Sécurité en 24/7 au travers des plateformes XDR et/ou SIEM.
- Le traitement des Incidents de Sécurité de sévérité haute en 24/7. Tous les autres niveaux d’alerte sont traités en
heures ouvrables.
- La surveillance de la conformité, rapports et notification en fonction des exigences du Client au travers des COSEC.
- Le rapport détaillé de l’état de la couverture sécurité du Client, des incidents et du suivi des éventuelles remédiations.
- L’assistance à la gestion des vulnérabilités (identification, évaluation, correction et suivi) sur les Actifs et couverts par
un agent EDR :
o Vulnérabilités des systèmes d'exploitation (postes de travail, téléphones mobiles et serveurs)
o Vulnérabilités des logiciels (postes de travail, téléphones mobiles et serveurs)
o Évaluation de la configuration des systèmes d'exploitation (postes de travail et serveurs)
o Évaluation de la configuration des contrôles de sécurité (postes de travail et serveurs)
o Évaluation de la configuration des Logiciels (postes de travail et serveurs)
2.2.2. Prérequis de réalisation du Service
La réalisation du Service nécessite le respect par le Client des prérequis décrits ci-dessous.
2.2.2.1. Licences et souscriptions des Solutions Cybersécurité
Les licences et souscriptions des Solutions Cybersécurité sur lesquelles se basent le Service doivent être souscrites par le Client directement auprès de ses fournisseurs et fournies par le Client pour toute la durée du Contrat, et ce dès le démarrage de la phase de construction définie dans le PMP.
2.2.2.2. Faisabilité technique
La réalisation du Service et du périmètre établi avec le Client est soumise à une étude de faisabilité réalisée par Sigma
Informatique lors de l’étape 2 Design définie au PMP.
2.2.2.3. Fourniture des Actifs et des Actifs Essentiels à surveiller
Le Client fournit à Sigma Informatique le périmètre des Actifs et des Actifs Essentiels à surveiller et des Scénarios de surveillance, les indicateurs pertinents et réalistes à suivre ainsi que les critères de qualification des Alertes de Sécurité pour élaborer les Scénarios de sécurité.
2.2.2.4. Permissions et droits d’accès
Pour permettre à Sigma Informatique d’activer les Services de supervision et accéder aux Solutions Cybersécurité, le Client doit ouvrir des droits d’accès à Sigma Informatique, à minima de « contributeur » et de « lecteur » aux e ressources et espaces de travail des actifs Microsoft.
Le Client devra donner à Sigma Informatique des droits d’accès supplémentaires pour l’ajout de source de données aux
composants SIEM de Microsoft.
Le Client devra donner à Sigma Informatique des droits d’accès supplémentaires, de manière ponctuelle, afin de permettre à Sigma Informatique de fournir au Client les Services souscrits, à l’occasion de l’étape 2 Design du projet et de la phase de services réguliers.
2.2.2.5. Interlocuteur unique
Le Client désigne un interlocuteur unique qui sera l’interlocuteur privilégié de Sigma Informatique. Le Client doit s’assurer de
tenir à jour les coordonnées de l’interlocuteur privilégié en informant Sigma Informatique de tout changement.
2.2.2.6. Connectivité des sources de télémétrie
Le Client doit s’assurer que toutes les sources de télémétrie des Actifs (dont les agents et producteurs d’événements) disposent de la connectivité requise pour interagir avec la plateforme de sécurité gérée par Sigma Informatique.
2.2.2.7. Accès aux portails web
L’accès aux portails Microsoft 365 Defender et Microsoft Azure nécessite un navigateur Internet compatible HTML5 tels que Microsoft Edge, Google Chrome, Apple Safari ou Mozilla Firefox. Les fonctionnalités JavaScript doivent être activées par le Client dans le navigateur et il est recommandé au Client de mettre en liste blanche les deux portails dans les bloqueurs de publicité.
2.2.2.8. Périphériques pris en charge
Les agents EDR peuvent être installés sur des systèmes pris en charge :
- Les systèmes d’exploitation Windows qui n’ont pas atteint leur date de fin de support ou leur date de fin d’Extended
Security Updates (ESU) ;
- Les trois dernières versions majeures de macOS ;
- Les trois dernières versions majeures d’iOS (iPhone et iPad) ;
- Les trois dernières versions majeures des distributions de serveur Linux supportées par la solution ;
- Les téléphones mobiles et tablettes fonctionnant sous Android 8.0 et supérieur.
Cette liste de compatibilités est susceptible d’évoluer à tout moment, une communication spécifique est adressée par Sigma
Informatique aux Clients concernés par des évolutions de compatibilités.
2.2.3. Limites du Service et mises en garde
Le Client est informé que le Service :
- Ne garantit pas l’absence de vulnérabilité, la prévention contre toutes les formes d’atteinte à la sécurité, la confidentialité ou l’intégrité des Systèmes d’Informations, Logiciels, Réseaux et Infrastructures Informatiques du Client,
- Ne permet pas de détecter les Évènements de sécurité portant sur des actifs qui ne sont pas dans le périmètre des éléments à surveiller par Sigma Informatique.
- Ne comprend pas de prestation de déclaration et de réponse à Incident de sécurité auprès des organismes de type CSIRT/CERT.
La disponibilité du Service est conditionnée au bon fonctionnement du collecteur installé dans les Systèmes d’Information du
Client et sa connectivité Réseau qui restent sous sa responsabilité ou celle de son hébergeur ou infogéreur, le cas échéant.
2.2.3.1. Co-gestion
Sigma Informatique permet au client de co-gérer l’administration de la plateforme et les actions à mettre en œuvre. Cette co- gestion se réalise dans un cadre défini conjointement dans l’étape 2 Design du projet décrit dans le Plan Management projet
– Cybersécurité et qui régit :
- Les conditions de co-administration et la répartition des responsabilités (RACI) entre les parties, et
- Les limites applicables au Client dans la mise en œuvre d’actions d’administration de la plateforme concernée et ce, afin de permettre à Sigma Informatique d’assurer la bonne exécution du Service dans le respect des niveaux de service applicables.
Le Client est informé que :
- Toute mise en œuvre d’une action d’administration par le Client et notamment celle impactant les autorisations d’actions que le Client a donné à Sigma Informatique doit être coordonnée et convenue à l’avance avec Sigma Informatique par l’intermédiaire d’une Demande de Service.
- Toute dégradation ou interruption de Service engendrée par une intervention du Client exclut l’application des
niveaux de services contractuellement définis.
2.2.3.2. Facturation du Service
La facturation du Service sur les Actifs suivants se base sur une volumétrie maximale d’alertes mensuelles par type d’Actif :
Actif | Métrique par actif | Volumétrie d’alerte maximale mensuelle |
EDR sur postes informatiques | à l'utilisateur | 0,1 |
EDR sur serveurs | à l'équipement | 0,5 |
Windows - Servers - Domain Server | à l'équipement | 2,4 |
Network IPS/IDS | à l'équipement | 3,6 |
DNS Servers | à l'équipement | 0,3 |
DHCP Servers | à l'équipement | 0,3 |
Network VPN / SSL VPN | à l'équipement | 4,8 |
Network Web Proxy | à l'équipement | 3,6 |
Microsoft Defender for Office 365 Plan 2 | à l'utilisateur | 0,1 |
Microsoft Defender for Identity | à l'utilisateur | 0,1 |
Other Network Devices (WAF) | à l'équipement | 4,8 |
Other Security Devices MFA | à l'équipement | 0,3 |
Other Security Devices (Physical access) | à l'équipement | 0,1 |
Web Servers - External non-eCommerce | à l'équipement | 1,2 |
Web Servers - Internal / Workgroup | à l'équipement | 0,9 |
Web Servers - External eCommerce / Retail | à l'équipement | 1,8 |
Network Firewalls (DMZ) | à l'équipement | 4,8 |
Network Firewalls (Internal) | à l'équipement | 2,4 |
HyperVisor (ESXi, Hyper-V etc) | à l'équipement | 0,6 |
Windows - Servers - Medium Activity | à l'équipement | 0,6 |
Unix/Linux - Servers | à l'équipement | 0,4 |
Windows Desktops (Laptops, Tablets, PO | à l'équipement | 1 |
Azure Active Directory Premium P1 | à l'utilisateur | 0,1 |
Azure Active Directory Premium P2(Azure AD Identity Protection) | à l'utilisateur | 0,1 |
Microsoft Defender for Office 365 Plan 1 | à l'utilisateur | 0,1 |
Windows - Servers - High Activity | à l'équipement | 0,9 |
Windows - Servers - Low Activity | à l'équipement | 0,3 |
Unix/Linux - Desktops | à l'équipement | 0,2 |
Network Load-Balancers | à l'équipement | 0,1 |
Network Gateway/Routers | à l'équipement | 0,1 |
Network Switches | à l'équipement | 0,1 |
Network Wireless LAN | à l'équipement | 0,1 |
Other Network Devices | à l'équipement | 0,1 |
Other Security Devices | à l'équipement | 0,6 |
Email servers | à l'équipement | 3,6 |
Antivirus (Number of endpoint coverred) | à l'équipement | 1 |
Data Loss Protection (DLP) | à l'équipement | 0,1 |
Database | à l'équipement | 0,2 |
Citrix ADC (former NetScaler) | à l'équipement | 2,4 |
zOS RACF | à l'équipement | 0,1 |
zOS CICS | à l'équipement | 0,1 |
zOS DB2 | à l'équipement | 0,2 |
AS400 | à l'équipement | 0,1 |
Cato Network (Number of sockets) | au forfait | 1 Hypothèse affinée selon les volumétries constatées lors de l’Early Life |
SaaS solutions | au forfait | 1 Hypothèse affinée selon les volumétries constatées lors de l’Early Life |
Other EDR product than MDE (per endpoint) | à l'équipement | 0,1 |
A la fin de la phase d’Early Life définie dans le PMP, une réévaluation de ces métriques pourra être convenue en fonction des
configurations constatées des différents Actifs et de la constatation de la volumétrie des alertes.
Au cours du Service Régulier, si un dépassement de la volumétrie d’alerte maximale pour un ou plusieurs Actifs concernés est constaté par le Client ou Sigma Informatique, une phase d’observation et maintien de la facturation débute pour une période d’un mois à compter de la date de constatation du dépassement. À l’issue de cette période, si le dépassement de volumétrie est toujours constaté, la facturation du Service sera réalisée sur la base de la nouvelle volumétrie constatée.
2.2.3.3. Requalification des Actifs Essentiels
Sigma Informatique permet au Client de fournir une liste d’Actifs Essentiels dans le périmètre des actifs couverts par le Service. Les Actifs Essentiels disposent de particularités de traitement spécifiées dans le RACI d’intervention définis au 2.2.4 Résumé des responsabilités entre le Client et Sigma Informatique ci-après.
La qualification des Actifs Essentiels dont la liste est fournie par le Client sont qualifiés initialement d’un commun accord entre les Parties lors de l’étape 2 Design définie au PMP. Sigma Informatique se réserve le droit de redéfinir certains Actifs comme non essentiels conformément aux définitions convenues, en le notifiant à son Client.
2.2.4. Résumé des responsabilités entre le Client et Sigma Informatique
Sauf autre matrice de responsabilité (RACI détaillé) convenue entre le Client et Sigma Informatique, les missions de chacune des Parties sont définies ci-dessous :
REPARTITION DES MISSIONS | RACI | ||||
SIGMA | CLIENT | ||||
Phase de | Fourniture des informations techniques | nécessaires | au | CI | RA |
Construction | paramétrage et à la configuration du Service | ||||
Paramétrage, configuration et maintien en conditions | RA | CI | |||
opérationnelles des solutions Cybersécurité et du collecteur, des | |||||
agents de supervision et mise en service du Service | |||||
Définition du RACI et du plans de remédiation en réponse à | R | A | |||
Incidents de Sécurité | |||||
Service régulier | Supervision des Evènements de Sécurité | RA | CI | ||
Sauvegarde et archivage des Evènements de Sécurité | A | R | |
Tri, identification, et qualification des Alertes de Sécurité | RA | I | |
Analyse des causes des évènements survenus et identification des risques de sécurité | RA | I | |
Préconisation pour limiter l’Incident de Sécurité | RA | CI | |
Établissement d’un plan d’actions de remédiation des Incidents de Sécurité | RA | CI | |
Réalisation des actions de corrections selon le RACI défini | RA | AR | |
Pilotage, coordination et suivi des actions de correction | RA | CI |
2.2.5. Protection des Données à Caractère Personnel
Le Service comprend les traitements de Données à Caractère Personnel ci-dessous :
NATURE | MOTIF | |||||||
Collecte | Obtenir des données auprès des personnes concernées pour vérification d’identité et validation de l’intégrité des données | |||||||
Consultation | Visualiser des données dans les consoles d’administration | |||||||
Utilisation | Manipuler et analyse des données dans le cadre de la délivrance du Service (recherche de menaces, gestion des incidents de sécurité, etc.) | |||||||
Communication transmission | par | Transfert des Évènements de Sécurité et plan de remédiation associé issus des sources de logs des Composants du Système d’Information surveillé en temps réel sous la forme de communication par email ou par api vers un ITSM Ajouter définition) ou un tiers référencé par le Client Final. | ||||||
Diffusion ou toute autre forme de mise à disposition | Fournir des données sous forme de rapports et tableaux de bord de suivi des Services Managés | |||||||
Conservation | Stockage et sauvegarde des Évènements de Sécurité pour fournir la traçabilité des actions et niveaux de Services associés. | |||||||
Rapprochement interconnexion | ou | Rapprochement et corrélation des informations (données de connexion, d’identification et de vie professionnelle) issues des systèmes surveillés afin de fournir le Service | ||||||
Modification | Modification des données pour définir la criticité, les caractéristiques et engager les actions de remédiation associées. | |||||||
Extraction | Extraction à des fins d’analyse et de reporting uniquement à la demande du Client dans le cadre de recherche de menaces. | |||||||
Destruction | Destruction des données extraites à des fins d’analyse et de reporting et en cas de réversibilité des Services Applicatifs | |||||||
Enregistrement | Enregistrement d’informations issues des systèmes surveillés contenant des données personnelles de connexion, d’identification et de vie professionnelle par exemple logs d’authentification, actions réalisées, informations consultées, identifiants d'appareils, les identifiants basés sur l'utilisation, l'adresse IP statique, etc.…) pour fournir le Service | |||||||
Conservation | Stockage et mentionnées | sauvegarde | d’Evènements | de | Sécurité | incluant | les | informations |
Consultation | Consultation des informations mentionnées ci-dessus afin de fournir le Service | |||||||
Utilisation | Utilisation des informations mentionnées ci-dessus uniquement afin de fournir le Service | |||||||
2.2.6. Service Level Agreement
2.2.6.1. Plage de service garantie
Plage de service garantie des plateformes XDR et/ou SIEM : 24/7/365
Plage de service garantie de la détection et Investigation Préliminaire Automatique des incidents de sécurité : 24/7/365
Plage de service garantie d’analyse et résolution des incidents de sécurité :
- Incident de sécurité de sévérité haute : 24/7/365 (astreinte)
- Incident de sécurité de sévérité moyenne ou faible : de 8h à 19h du lundi au vendredi ouvrés
2.2.6.2. Indicateurs de niveaux de services
Le Service est soumis aux indicateurs de niveaux de services ci-dessous :
INDICATEURS DE NIVEAUX DE SERVICES | MESURES ACCEPTABLES | ||
Incident de sécurité de sévérité haute | Incident de sécurité de sévérité moyenne | Incident de sécurité de sévérité faible | |
Temps de réaction | 20 minutes | 45 minutes | 120 minutes |
Temps d’analyse | 30 minutes | 45 minutes | 60 minutes |
Temps de résolution | 24 heures* | 48 heures* | 48 heures* |
Taux de disponibilité mensuels des plateformes XDR et SIEM de collecte des évènements de sécurité** | 99,9% | 99,9% | 99,9% |
RPO ou Recovery Point Objective ou Perte de données maximale admissible | 24h | 24h | 24h |
* le temps de résolution n’inclut pas le temps nécessaire à la collaboration du Client ou du tiers infogérant pour effectuer des actions
** Lorsque la plateforme est indisponible, les éléments sont stockés en cache et retransmis au retour de la disponibilité de la plateforme de collecte.
2.2.6.3. Pénalités
Le Client est informé que le Service fournit par Sigma Informatique repose sur la disponibilité des Solutions Cybersécurité souscrites directement par le Client auprès de Microsoft dont les engagements de services sont disponibles sur le lien suivant et sur demande auprès de Sigma Informatique, le cas échéant.
L’application des pénalités par le Client à SIGMA Informatique est exclue en cas d’indisponibilité :
- des Solutions Cybersécurité souscrites par le Client,
- des agents déployés sur les Actifs du Client,
- des collecteurs d’Incidents connectés aux Logiciels et aux Actifs du Client.
, En cas de non-respect du taux de disponibilité, le montant des pénalités pouvant être demandé par le client est calculé comme suit :
- Taux de disponibilité compris entre 99,9 % et 99,00 % : pénalité de 2% de la mensualité du Service,
- Taux de disponibilité compris entre 98,99 % et 95,00 % : pénalité de 5 % de la mensualité du Service.
- Taux de disponibilité inférieur à 95 % : pénalité de 10 % de la mensualité du Service.
2.2.7. Mise en service
Le Service est accessible dans le délai convenu d’un commun accord à partir de la date d’acceptation du Formulaire de
Commande par le Client et sous réserve que ce dernier respecte les prérequis de réalisation du Service.
2.2.8. Durée du Service
L’abonnement au Service entre en vigueur à compter de sa date de souscription pour une durée d’une (1) année. L’abonnement se renouvelle automatiquement par tacite reconduction par périodes successives d’une (1) année, le Client ou Sigma Informatique ayant la possibilité de le résilier à l’expiration de chaque période de reconduction, sans pénalité, ni indemnité de part et d’autre, sous réserve d’un préavis de trois (3) mois notifié par lettre recommandée avec avis de réception avant la date de renouvellement de l’abonnement.
2.2.9. Demandes de Services
Les Demandes de Services que peut réaliser le Client auprès de Sigma Informatique sont :
Demandes de Services standards (incluses dans le prix du Service) | Demandes de Services non standards (facturées en sus du prix du Service) | ||||
Recherche de menace (Threat Haunting) dans la limite d’une demande par mois calendaire | Recherche de menace (Threat Haunting) dépassant la limite d’une demande par mois calendaire | ||||
Modification du RACI d’intervention | Modification d’un connecteur personnalisé non développé pendant le projet d’activation du service | ||||
Modification de la configuration d’un connecteur SIEM standard déjà mis en œuvre | Création d’un playbook spécifique pour la réponse à incident | ||||
Modification d’un connecteur personnalisé développé pendant le projet d’activation du service, dans la limite d’un jour/homme passé. Le temps supplémentaire sera facturé au temps passé. | Création de règles de détection SIEM personnalisées | ||||
Requalification des Actifs Essentiels | Déploiement et configuration d’agents de supervision sur un nouvel équipement du périmètre supervisé (*) | ||||
Réversibilité du Service limité à la déconnexion du tenant du Client du tenant SIGMA Informatique. | Création de rapports personnalisés sur la détection et la réponse à incident | ||||
Demande de mise en œuvre d’action d’administration en co-gestion des Solutions Cybersécurité par le Client | Prestation de Conseil liée à la stratégie de Cybersécurité | ||||
Ajout ou suppression d’un nouveau périmètre (ie. nouvelle source) à superviser(*) | |||||
Analyse complémentaire Rapport d’un standard | d’un | Incident | disposant | d’un | |
Désinstallation des agents et décommissionnement des services Applicatifs de supervision. | |||||
Autre prestation de réversibilité du service à la demande | |||||
* Entraine une réévaluation du prix de l’abonnement.
Les Services et Demandes de Services sont facturés aux prix et selon les modalités disponibles sur demande auprès de Sigma Informatique, à moins que des prix et modalités de facturation spécifiques soient convenus entre le Client et Sigma Informatique dans un bordereau des prix unitaires ou une décomposition des prix globale et forfaitaire.
2.4. LIMITES ET MISES EN GARDE GENERALES
Les Services des présentes Conditions Particulières de Services n’ont pas pour objet d’évaluer les risques de sécurité du Client ou d’étudier les mesures de sécurité techniques ou organisationnelles pouvant être mises en œuvre par le Client. Il appartient au Client de définir ses propres politiques de sécurité concernant ses Systèmes d’Information, Réseaux, Infrastructures Informatiques, Logiciels et les données qu’ils contiennent ainsi que ses procédures concernant la réaction aux failles et aux Incidents de Sécurité.
Les Services des présentes Conditions Particulières de Services constituent des éléments de nature à limiter les risques de sécurité et de vulnérabilité mais ne sont pas une garantie contre tout Incident de Sécurité, tels que :
- L’intrusion de Logiciels malveillant (virus, cheval de Troie, ransomware, trojan notamment) notamment si les menaces ne sont pas connues des Logiciels utilisés par Sigma informatique,
- La prise de contrôle à distance, l’usurpation d’identité, l’attaque de déni de services ou le port scanning.
La responsabilité de Sigma Informatique ne peut être engagée en cas de non-respect par le Client des mises en garde et limites
diverses ou d’agissements du Client au-delà des performances applicables aux Services ou des évènements qui en découle