Article 40 – Maintenance en condition de sécurité

40. 1. Traitement des obsolescences :

Le titulaire n’utilise que des composants logiciels que l’éditeur s’engage à maintenir pendant la durée du marché. Si la durée du marché dépasse la durée pendant laquelle un éditeur s’engage à maintenir un composant logiciel, le titulaire maintient, livre et respecte une feuille de route de migration vers des systèmes maintenus.
Le titulaire élabore, tient à jour et met en œuvre une procédure de maintien en condition de sécurité de toutes les ressources dont il a la charge. Cette procédure prévoit :

– les délais d’application des mises à jour de sécurité en fonction du niveau de risque associé ;
– une définition des cas d’urgence précisant explicitement les motifs de déclenchement et les exceptions au cas nominal qui sont induites ;
– la marche à suivre dans le cas où l’application d’une mise à jour de sécurité échoue.

Le titulaire tient à jour l’inventaire de l’ensemble des logiciels et micrologiciels mettant en œuvre le service. Cet inventaire doit identifier pour chaque logiciel, sa version et les équipements sur lesquels le logiciel est installé.
A cette fin, le titulaire élabore, tient à jour et met en œuvre une procédure de maintien en condition de sécurité de toutes les ressources dont il a la charge. Cette procédure prévoit :

– les délais d’application des mises à jour de sécurité en fonction du niveau de risque associé ;
– une définition des cas d’urgence précisant explicitement les motifs de déclenchement et les exceptions au cas nominal qui sont induites ;
– la marche à suivre dans le cas où l’application d’une mise à jour de sécurité échoue.

Le titulaire installe et maintient les dispositifs du service dans des versions stables et à jour de leurs correctifs de sécurité et conformément à la procédure de maintien en condition de sécurité. Les versions installées doivent être des versions supportées sauf si celles-ci empêchent la réalisation du service. Il vérifie l’impact de l’installation des mises à jour sur le système d’information du service. Dans le cas où l’impact de l’installation ne permet pas la réalisation du service, le titulaire en documente les raisons, et définit et met en œuvre des mesures de réduction des risques.
Le titulaire devra s’assurer de l’authenticité et de l’intégrité des mises à jour téléchargées auprès des sources de mise à jour de confiance.

40.2. Correctifs de sécurité :

Une vérification d’aptitude (VA) ou une vérification de service régulier (VSR) peut être refusée si des composants ne sont pas à jour des correctifs de failles de sécurité publiés par l’éditeur depuis un délai supérieur à trois mois. L’acheteur définit les fréquences des livraisons en coordination avec les équipes d’exploitation, en fonction des différentes criticités des vulnérabilités concernées.
Le titulaire s’assure que l’application des correctifs de sécurité ne modifie pas les performances du système, en modifiant si besoin et à ses frais le système pour maintenir le niveau de performance malgré l’application du correctif.