5.4. Information sur les vulnérabilités et les incidents de sécurité détectés sur le système d’information du titulaire
Pour les prestations, produits et services fournis dans le cadre du marché, le titulaire met à disposition un dispositif d’information dédié à la sécurité informatique (notamment flux RSS/ATOM, liste de diffusion par courriel ou autre).
Ce dispositif vise à tenir l’acheteur informé des événements et changements impactant la sécurité, notamment liés à la connaissance d’une vulnérabilité impactant le système (annonce de correctif, attaque en cours, violation de données à caractère personnel si le traitement de données est sous-traité au titulaire), et des mesures correctives ou conservatoires à appliquer.
Cliquez pour afficher les commentaires sur le champ d'application A noter également la mise en place d’une pénalité spécifique pour violation des obligations de sécurité (article 14.3): cette pénalité est due en cas de violation des mesures de sécurité ou de l’obligation de confidentialité prévue à l’article 5.1Vulnérabilités et les incidents de sécurité détectés sur le système d’information du titulaire
Le nouveau CCAG TIC 2021 introduit une clause relative aux informations touchant à la vulnérabilité des systèmes d’information (article 5.4) : cette clause a pour objet de faire bénéficier l’acheteur d’un canal dédié à la sécurité informatique dans ses échanges avec le titulaire du marché.
Externalisez vos marchés publics !
