Your SlideShare is downloading. ×
6
6
6
6
6
6
6
6
6
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

6

468

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
468
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Charte de bons usages et de droits afférents aux Accès octroyés aux Prestataires au Système d’Information du Groupement des Mousquetaires. -1- Document confidentiel Propriété de la STIME Ver. Juillet 2007
  • 2. SOMMAIRE CHAPITRE I : DISPOSITIONS GENERALES ................................................................................................. - 2 - Article 1-1 : Définitions.................................................................................................................. - 2 - Article 1-2 : Objet........................................................................................................................... - 2 - Article 1-3 : Contrôle du respect de cette Charte...................................................................... - 3 - CHAPITRE II : REGLES D’USAGE .............................................................................................................. - 4 - Article 2-1 : Accès aux ressources informatiques et réseaux .................................................. - 4 - Article 2-2 : Obligations................................................................................................................. - 4 - Article 2-3 : Adresse IP Source .................................................................................................... - 5 - Article 2-4 : Identifiants................................................................................................................. - 5 - Article 2-5 : Demandes de connexion ......................................................................................... - 5 - Article 2-5-1 : Connexions temporaires ...................................................................................... - 5 - Article 2-5-2 : Connexions permanentes .................................................................................... - 6 - Article 2-6 : Restrictions des connexions.................................................................................... - 6 - Article 2-7 : Sécurité chez le Prestataire..................................................................................... - 6 - Article 2-8 : Intervention sur le Système d’Information........................................................... - 6 - Article 2-9 : Sous traitants du Prestataire .................................................................................. - 7 - Article 2-10 : Signaler les failles de sécurité .............................................................................. - 7 - CHAPITRE III : DISPOSITIONS GENERALES ............................................................................................... - 7 - Article 3-1 : Intrusion et maintien non autorisé ........................................................................ - 7 - Article 3-2 Contrôles, Règles et Infractions................................................................................ - 7 - Article 3-3 Confidentialité .............................................................................................................. - 8 - Article 3-4 Contrefaçon.................................................................................................................. - 8 - Article 3-5 Survivance .................................................................................................................... - 8 - Version juillet 2007 -1- Document confidentiel Propriété de la STIME Ver. Juillet 2007
  • 3. CHAPITRE I : DISPOSITIONS GENERALES Article 1-1 : Définitions Adresse IP : Nombre binaire de 32 bits permettant d’identifier de manière unique à une ressource informatique connectée à un réseau IP. Client Final : désigne le Groupement des Mousquetaires et / ou une société exploitant une enseigne du Groupement des Mousquetaires. Enseignes du Groupement des Mousquetaires : chacune des enseignes du Groupement des Mousquetaires comprenant notamment Intermarché, Bricomarché, Netto, Roady, Véti, Ecomarché… Groupement de Mousquetaires : la STIME et l’ensemble des sociétés filiales directes et indirectes d’ITM Entreprises détenues à plus de 30% par cette dernière, ainsi que toute société exploitant à titre d’enseigne une marque propriété d’ITM Entreprises. ITM Entreprises est la société holding de STIME au sens des dispositions de l’article 145 du code général des impôts. Identifiants : Compte et mot de passe personnels accordés au Prestataire permettant de s’authentifier sur le Système d’Information. Internet : Réseaux de nombreux serveurs situés en divers lieux à travers le monde et reliés entre eux à l’aide de réseaux de communications. Prestataire : Société autorisée à accéder au Système d’Information afin d’effectuer des Prestations pour lesquelles le Prestataire a demandé un droit d’accès. Prestations : tous services à l’occasion desquels le Prestataire à besoin d’avoir accès au Système d’Information. Société exploitant une enseigne du Groupement des Mousquetaires ou Point de Vente : toute société exploitant à titre d’enseigne une marque propriété d’ITM Entreprises STIME : SAS - siège social 24 rue Auguste Chabrières - 75737 Paris Cedex 15, filiale informatique du Groupement des Mousquetaires. Système d’information : Le système d’information du Groupement des Mousquetaires tel qu’il est administré et géré directement ou indirectement par la Stime et qui représente l'ensemble des éléments participant à la gestion, au stockage, au traitement, au transport et à la diffusion de l'information. Article 1-2 : Objet L’objet de cette charte est de décrire les conditions d’usage et d’utilisation des accès à distance, par les Prestataires, dans le cadre des Prestations sur le Système d’Information. La charte s’adresse au Prestataire, à la maîtrise d’ouvrage du Groupement des Mousquetaires et aux administrateurs techniques de la STIME en charge de délivrer le service d’accès. Le service délivré par la STIME permet aux Prestataires de se connecter au Système d’Information dans le strict respect des règles de sécurité définies dans le cadre de cette charte. -2- Document confidentiel Propriété de la STIME Ver. Juillet 2007
  • 4. Toute personne pouvant s’authentifier sur le Système d’Information est subordonnée au respect de la présente charte. Le Prestataire accepte les présentes conditions générales d’utilisation. Le Prestataire doit s’assurer, avant connexion, de disposer de l’autorisation du Client Final. Il est rappelé que tous les éléments constituants le Système d’Information et /ou qui transitent via le Système d’Information sont des Informations confidentielles au sens de l’article 3-3 ci-après. Toute récupération et /ou utilisation de ces informations et / ou d’éléments physiques constituant le support des-dites informations est un acte de Contrefaçon et ou un acte de non respect de l’obligation de confidentialité. De plus le Prestataire s’engage à ne pas porter atteinte à un quelconque droit de propriété de la Stime ou d’un tiers. L’engagement du Prestataire à respecter chacune des dispositions du présent article constitue une condition essentielle et déterminante du consentement de la Stime à mettre à disposition l’accès au Système d’Information. En cas de non respect, le Prestataire s’engage a réparer le complet préjudice subit par la Stime et /ou toute autre entité du Groupement des Mousquetaires. Article 1-3 : Contrôle du respect de cette Charte La STIME, ou toute autre entité de la maîtrise d’ouvrage du Groupement des Mousquetaires, se réserve de droit de vérifier auprès du Prestataire la bonne application de cette Charte en commanditant un contrôle tel que défini à l’article 3-2. -3- Document confidentiel Propriété de la STIME Ver. Juillet 2007
  • 5. CHAPITRE II : REGLES D’USAGE Article 2-1 : Accès aux ressources informatiques et réseaux L’utilisation des ressources informatiques partagées et la connexion d’un équipement sur le réseau ne sont pas des droits, mais sont soumises à autorisation. Ces autorisations : sont strictement personnelles et uniques, elles ne peuvent en aucun cas être cédées, même temporairement à un tiers ; ne valent que pour des activités conformes à la législation en vigueur et dans le cadre exclusif de l’activité professionnelle de leurs bénéficiaires ; peuvent être retirées à tout moment, toute autorisation prend fin lors de la cessation, même provisoire, de l’activité professionnelle qui l’a justifiée. sont soumises à l’appréciation, au cas par cas, des responsables du bénéficiaire qui auront à répondre de la bonne utilisation de ces moyens. L’attribution d’un compte doit respecter la procédure suivante, mise en place lors de l’ouverture du service et à laquelle se conformeront les Prestataires, les maîtrises d’ouvrage du Groupement des Mousquetaires ainsi que les administrateurs techniques de la STIME : 1. La demande est formulée par une maîtrise d’ouvrage du Groupement des Mousquetaires aux équipes STIME ayant en charge l’administration technique. 2. L’équipe réseau STIME s’assure de l’origine de la demande. 3. Le Prestataire communique, à la demande de la STIME, les informations requises pour l’ouverture du service (noms des collaborateurs, voir article 2-4 et adresse IP source, voir article 2-3). 4. Les administrateurs de la STIME vérifient l’ensemble des pré-requis du point 3 ci-dessus. Si ces derniers sont conformes, les droits d’accès sont activés. La STIME communique les Identifiants au Prestataire. Aucun accès ne sera activé sans avoir la validation formelle et préalable de la charte. Article 2-2 : Obligations Chaque Prestataire est responsable de l’emploi des ressources informatiques et des réseaux auxquels il se connecte. Il a pour devoir de contribuer, à son niveau, à la sécurité générale. Il doit : appliquer les recommandations de sécurité émises dans la présente charte, garder secret les mots de passe, et ne les communiquer en aucun cas à des tiers, signaler dans les plus brefs délais toute tentative de violation de son compte, et, de façon générale, toute anomalie qu’il peut constater ou supposer, s’engager à ne pas mettre à la disposition d’utilisateurs non autorisés un accès aux systèmes ou aux réseaux à travers des matériels dont il a l’usage. Il ne doit pas : utiliser d’autres moyens informatiques que ceux dûment dédiés, sans quoi, ils pourraient représenter un vecteur de failles, quitter son poste de travail sans se déconnecter en laissant des ressources ou services accessibles, accéder aux informations du Système d’Information (fichiers, bases de données...) sauf s’il en a la prérogative, utiliser ou essayer d’utiliser des comptes autres que le sien ou de masquer son identité, tenter de lire, modifier, copier ou détruire d’autres fichiers que ceux auxquels il est autorisé à accéder, désactiver ou chercher à contourner les dispositifs de sécurité mis en œuvre, tenter d’accéder sur des ressources informatiques autres que celles auxquelles il est strictement autorisé. -4- Document confidentiel Propriété de la STIME Ver. Juillet 2007
  • 6. En particulier, il est interdit de prendre connaissance d’informations détenues par d’autres utilisateurs quand bien même ceux-ci ne les auraient pas explicitement protégées. Article 2-3 : Adresse IP Source Pour chaque connexion sur le Système d’Information, la STIME contrôle l’Adresse IP source du Prestataire. Cette Adresse IP doit être impérativement fixe, les connexions à partir d’Adresses IP sources dynamiques ne sont pas autorisées. Le Prestataire devra informer la STIME avant tout changement de son Adresse IP source permettant de l’identifier sur le Système d’Information. La STIME dispose d’un délai de 5 jours ouvrés pour prendre en compte ce changement, délai pendant lequel elle ne pourra pas être imputée d’éventuels problèmes de connexion. Article 2-4 : Identifiants Le Prestataire doit communiquer à la STIME le nombre d’Identifiants, et noms des personnes, strictement autorisés à accéder au Système d’Information. Un Identifiant ne peut être octroyé qu’à une seule personne, afin de conserver unitairement les traces de connexion. Le Prestataire, sous sa responsabilité vis-à-vis de la STIME et de tiers, s’engage à communiquer, de manière confidentielle, les Identifiants personnels à ses utilisateurs désignés à se connecter sur le Système d’Information. Le Prestataire doit sensibiliser ces dits utilisateur sur leurs droits et obligations, dès lors qu’ils sont bénéficiaires d’un Identifiant valide, et notamment les informer de cette présente charte d’utilisation. La STIME communiquera au Prestataire, dans un délai d’une semaine, les Identifiants permettant d’accéder au Système d’Information. A tout moment, la STIME pourra révoquer ou changer ces Identifiants et notamment en cas de suspicion d’intrusion ou d’intrusion avérée. Le Prestataire doit demander immédiatement à la STIME un changement d’Identifiants dès lors qu’il a connaissance qu’au moins un identifiant ait été divulgué à d’autre(s) personne(s) que le bénéficiaire. Le Prestataire s’engage à demander à la STIME un changement ou une révocation d’Identifiants, lorsque que le ou les collaborateurs habilités pour se connecter changent de fonction ou quittent l’entreprise. Le Prestataire veillera à mettre en œuvre, dans sa société, une procédure permettant à la STIME d’être informée de ces changements. A tout moment, la STIME se réserve le droit de désactiver ou de supprimer des Identifiants. En cas de non respect de cet article, dont les clauses sont essentielles, la STIME sera en droit de réclamer à la partie défaillante l’entier préjudice. Article 2-5 : Demandes de connexion Chaque connexion sur le Système d’Information doit faire l’objet d’une demande du Prestataire ou de la STIME. Article 2-5-1 : Connexions temporaires Pour des connexions sur le réseau Aval, c'est-à-dire sur un Point de Vente, elles doivent être approuvées et acquittées par le Point de Vente. Pour les connexions sur le réseau Amont, c'est-à-dire autre que sur un Point de Vente, le Prestataire doit en faire la demande à la STIME. La STIME autorisera temporairement et pour une durée qu’elle estimera nécessaire, l’accès au Système d’Information. En aucun cas l’autorisation de connexion ne sera supérieure à 24 heures. -5- Document confidentiel Propriété de la STIME Ver. Juillet 2007
  • 7. Article 2-5-2 : Connexions permanentes Pour des connexions sur le réseau Aval, c'est-à-dire sur un Point de Vente, elles doivent être approuvées par le Point de Vente. Pour les connexions sur le réseau Amont, c'est-à-dire autre que sur un Point de Vente, le Prestataire doit en faire la demande à la STIME et / ou avoir l’autorisation de la filiale concernée. Article 2-6 : Restrictions des connexions Sauf stipulation contractuelle, ou en cas d’un besoin de maintenance justifié, les connexions ne sont autorisées que pendant les heures ouvrées : Pour une application Amont : du lundi au vendredi de 09h à 18h. Pour une application Aval (connexion sur un Point de vente) : du lundi au samedi de 07h à 21h et le dimanche de 07h à 13h. Par Identifiant, une seule connexion simultanée est autorisée. De même, la STIME met fin automatiquement à toute connexion après 15 minutes d’inactivité. Article 2-7 : Sécurité chez le Prestataire Les équipements du Prestataire doivent : être exempts de virus, être équipés d’un anti-virus dont les signatures anti-virales sont à jour et mises en oeuvre appliquer et en vérifier l’application, dès leur publication, les correctifs de sécurité relatifs aux applications et systèmes d’exploitation installés, être protégés par un système de pare-feu correctement configuré, avec une politique du tout interdit sauf les flux strictement nécessaires au service. Le Prestataire doit prendre des mesures de protections physiques et logiques afin d’autoriser l’accès auxdits équipements. Article 2-8 : Intervention sur le Système d’Information Sous réserve d’une autorisation préalable et écrite de la STIME, le Prestataire s’interdit de : Modifier ou installer ou des programmes ou fichiers. Réaliser des mises en production. Intervenir sur le Système d’Information. Accéder aux données, programmes et fichiers du Système d’Information. Collecter des données, programmes et fichiers du Système d’Information. Stocker des données, programmes et fichiers du Système d’Information. Traiter des données du Système d’Information. Diffuser des programmes ou fichiers sur et du Système d’Information. Effectuer toute action non expressément et préalablement autorisée par la STIME. -6- Document confidentiel Propriété de la STIME Ver. Juillet 2007
  • 8. Article 2-9 : Sous traitants du Prestataire Au cas où le Prestataire fait appel à des sous-traitants, le Prestataire doit en informer au préalable et par écrit la STIME. Chaque sous-traitant, sous la responsabilité du Prestataire, est soumis au respect de cette même charte et devra la signer avant même d’accéder au service. Même en cas de sous-traitance dûment connue par la STIME, le Prestataire demeure entièrement responsable des Prestations qui lui incombent. Article 2-10 : Signaler les failles de sécurité Si le Prestataire observe ou soupçonne une faille de sécurité, il se doit de la signaler à la STIME dans les plus brefs délais, sans tenter de la démontrer. CHAPITRE III : DISPOSITIONS GENERALES Article 3-1 : Intrusion et maintien non autorisé Il est rappelé que l’intrusion ou le maintien non autorisé dans tout système informatique et notamment dans celui du Groupement des Mousquetaires est pénalement sanctionné par les dispositions de l’article 323-1 du Code pénal aux termes duquel : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende ». Article 3-2 Contrôles, Règles et Infractions Le Prestataire est informé et accepte expressément que la STIME procède à des contrôles sur la bonne utilisation du service. En cas de manquement du Prestataire aux obligations telles qu’énoncées précédemment, la STIME peut être amenée à suspendre ou interdire l’accès au Système d’Information... Le Prestataire accepte que la STIME prenne des mesures d’urgence, incluant la décision de limiter ou d’interrompre temporairement ou définitivement l’accès des utilisateurs pour préserver la sécurité, et notamment en cas d’incident, dont la STIME aurait eu connaissance. Les applications logicielles et les matériels utilisés pour délivrer l’accès au Système d’Information du Groupement des Mousquetaires génèrent naturellement des fichiers de journalisation. Les événements ainsi recueillis pourront servir à établir de façon manifeste les cas de dysfonctionnements constatés du service (détection de pannes, engorgement de trafic, utilisation mal intentionnée...). Toute infraction aux dispositions du code pénal pourra donner lieu à des poursuites civiles et ou pénales et notamment à la mise en mouvement de l’action publique à l’initiative du Procureur de la République, de la STIME, d’ITM Entreprises ou de tout tiers victime intéressé, avec constitution de partie civile le cas échéant et sans préjudice de l’engagement éventuel d’actions en réparation devant les juridictions civile ou administrative. Les obligations définies par la présente Charte correspondent aux obligations essentielles que le Prestataire s’engage à respecter. -7- Document confidentiel Propriété de la STIME Ver. Juillet 2007
  • 9. L’attention du Prestataire est toutefois appelée sur le caractère non limitatif des obligations définies dans la présente charte, qui s’appliquent sans préjudice du respect des lois, textes ou usages en vigueur. Le Prestataire est informé et accepte expressément que la STIME modifie à tout moment la présente Charte, notamment pour tenir compte des évolutions législatives ; ces modifications lui seront notifiées. Article 3-3 Confidentialité Toute information recueillie ou issue du Système d’Information présente un caractère confidentiel, et ce quelque soit la nature et le support de l’information. Le Prestataire conservera les informations secrètes et confidentielles et s'abstiendra de les divulguer sauf à des employés ou à des préposés responsables qui, astreints au secret professionnel, en auront besoin pour l’accomplissement des Prestations et ce, dans la limite des besoins desdites Prestations. Article 3-4 Contrefaçon Le Prestataire garantira LA STIME et les autres entités du Groupement des Mousquetaires, contre les conséquences financières de toute réclamation formulée par tout Client et ou tiers en relation une violation par le Prestataire de ses engagements au titre de la présente Charte. La responsabilité du Prestataire est cependant expressément exclue si la réclamation résulte d’actes de la STIME ou l’une des entités du Groupement des Mousquetaires. Article 3-5 Survivance Les obligations du Prestataires en matière de Confidentialité et de Propriété intellectuelle continueront de s’appliquer 5 ans après la dernière Prestation. Le Prestataire STIME SAS Nom : Nom : Prénom : Prénom : Fonction : Fonction : Société : reconnaissent avoir pris connaissance de la présente charte et s’engagent à en respecter tous les termes dans le cadre de l’accès au Système d’Information. Date : Date : Signature : Signature : -8- Document confidentiel Propriété de la STIME Ver. Juillet 2007

×