Le protocole OSBL

Ce document est sous licence : Attribution – Pas d’Utilisation Commerciale 2.0 Générique (CC BY-NC 2.0)

Si vous êtes intéressé(e) par le présent protocole merci de prendre contact avec nous au courriel suivant : spoc[at]dge.asdgtc.org

ARTICLE 1 : Introduction

L’A-SDGT-C a cartographié une certaine population de bénéficiaires qui n’ont pas nécessairement les moyens financiers et humains dans le dessein de maîtriser correctement le numérique au quotidien. La cartographie des bénéficiaires de l’A-SDGT-C est la suivante :

• Citoyen français résident en France métropolitaine et ayant son adresse fiscale en France métropolitaine ;

• Organisation Sans But Lucratif (OSBL) ayant son siège social en France métropolitaine et adressant ses activités en France métropolitaine ;

• Organisation à But Lucratif (OBL) ayant moins de 250 collaborateurs et ayant son siège social en France métropolitaine et adressant au minimum plus de cinquante pourcents de ses services à destination de la France métropolitaine.

ARTICLE 2 :Cadre d’éligibilité du protocole

Le présent protocole ayant pour objet les Organisations Sans But Lucratif (OSBL), nous allons exposer le contexte d’éligibilité de ce type d’organisation :

OUI (à justifier) – NON

Est-ce que votre OSBL dispose de son siège social en France métropolitaine ?

OUI (à justifier) – NON

Est-ce que votre OSBL adresse ses activités/services à destination de la France métropolitaine ?

OUI – NON (à justifier)

Est-ce que vous avez pour but la recherche de bénéfices pécuniaires à partager entre vos membres ? (n’est pas pris en considération la rémunération à 3/4 SMIC MAX pour les dirigeants de droit)

OUI (à justifier) – NON

Est-ce que le pouvoir de décision le plus important revient à l’Assemblée Générale ?

Dès lors que les réponses sont toutes justifiées alors vous êtes éligible à notre PROTOCOLE OSBL. La justification doit être conservée par l’A-SDGT-C pendant un cycle politique complet (durée de rétention : de janvier à décembre de la même année civile)

ARTICLE 3 : Les services proposés par l’A-SDGT-C à destination de l’OSBL

Dans le cadre de ses activités Computer Security Incident Response Team/ Computer Emergency Response Team /Product Security Incident Response Team , l’A-SDGT-C propose les services suivant à l’OSBL qui doit faire le choix des services auxquelles elle veut accéder pendant la durée d’un mandat politique (une année civile de janvier à décembre).

Alertes et avertissements

Ce service consiste à diffuser des informations décrivant la tendance liée à la criminalité numérique en cours et future. Une communication est réalisée afin d’informer le bénéficiaire du service et de fournir des conseils pour protéger les systèmes numériques concernés ou encore récupérer les systèmes qui sont affectés.

Analyse des incidents

Ce service consiste à examiner toutes les informations disponibles et des preuves à l’appui ou des faits factuels liés à un incident ou à un événement. Le but de l’analyse est d’identifier la portée de l’incident, l’étendue des dommages causés par l’incident, la nature de l’incident et les tactiques de réponse ou solutions de contournements disponibles.

Support à la réponse à incident

Ce service consiste à aider et guider le bénéficiaire victime à se remettre d’une atteinte numérique (criminalité numérique) par téléphone, courrier électronique ou documentation. Cela peut impliquer une assistante technique dans l’interprétation des données collectées, la fourniture d’informations de contact ou la transmission de conseils sur les stratégies d’atténuation et de rétablissement. Fourniture de conseils à distance afin que le personnel et/ou les membres du bénéficiaire puissent effectuer lui-même la récupération.

Coordination de la réponse aux incidents

Ce service consiste à coordonner l’effort de réponse entre les parties impliquées dans l’incident et/ou l’atteinte numérique notamment ceux ayant besoin d’une assistance pour l’analyse de l’atteinte numérique. Il peut également inclure les parties qui fournissent un support informatique au bénéficiaire, tels que les fournisseurs de services Internet ou encore les autres CSIRT/CERT. Le travail de coordination peut impliquer la collecte d’informations de contact, la notification aux parties prenantes et leur implication potentielle (en tant que victime ou source d’une atteinte numérique), la collecte de statistiques sur le nombre de parties prenantes impliquées et la facilitation de l’échange et de l’analyse d’informations. Une partie du travail de coordination peut impliquer la notification et la collaboration avec le conseiller juridique d’une organisation, les ressources humaines ou les services de relations publiques. Cela comprend également la coordination avec le Ministère de l’Intérieur (Police Nationale et Gendarmerie Nationale)

Réponse aux vulnérabilités

Ce service consiste à déterminer la réponse appropriée pour atténuer ou résorber une vulnérabilité. Ce service peut inclure l’exécution de la réponse en participant à l’installation des correctifs ou des solutions de contournement.

Coordination de la réponse aux vulnérabilités

Ce service consiste à informer le bénéficiaire s’il dispose d’une solution numérique déclarée auprès de l’A-SDGT-C comportant une vulnérabilité. Le service permet de partager des informations sur la façon de corriger ou d’atténuer la vulnérabilité. Il permet également de vérifier que la stratégie de réponse à la vulnérabilité a été mise en œuvre avec succès par le bénéficiaire.

Analyse des artefacts

Ce service consiste à effectuer un examen technique et une analyse de tout artefact suspicieux (malveillant) sur un système numérique.

Réponse aux artefacts

Ce service implique de déterminer les actions appropriées pour détecter et supprimer les artefacts d’un système, ainsi que les actions pour empêcher l’installation d’artefacts. Cela peut entraîner la création de signatures pouvant être ajoutées à un logiciel antivirus ou à un système de détection des intrusions numériques (IDS).

Coordination de la réponse aux artefacts

Ce service implique le partage et la synthèse des résultats d’analyse et des stratégies de réponse concernant un artefact avec d’autres chercheurs, CSIRT/CERT, fournisseurs et autres experts en sûreté numérique. Les activités comprennent la notification aux autres et la synthèse de l’analyse technique à partir de diverses sources. Les activités peuvent également inclure la maintenance d’une archive classifiée ou constitutive des artefacts connus et de leur impact et des stratégies de réponse correspondantes

Annonces

Les annonces incluent, sans s’y limiter, les alertes d’intrusion, les avertissements de vulnérabilité et les avis de sécurité. Ces annonces informent le bénéficiaire sur les nouveaux développements ayant un impact à moyen et long terme, tels que les vulnérabilités récemment découvertes ou les outils d’intrusion. Les annonces permettent au bénéficiaire de protéger son système et ses réseaux contre les éléments récemment découverts avant constater leur exploitation.

Audit et évaluation

Ce service consiste à auditer la partie technique et/ou organisationnelle de sécurité globale à majeure technologique du bénéficiaire. De plus, ce service inclut l’évaluation du contexte de sécurité de l’OSBL et l’application du bon niveau de sécurité en fonction du besoin.

Configuration et maintenance des outils, applications, infrastructures et services de sécurité

Ce service permet d’identifier ou de fournir des conseils appropriés sur la façon de configurer et de maintenir en toute sécurité les outils, les applications et l’infrastructure numérique générale utilisée par l’A-SDGT-C ainsi que les éléments déclarés à l’A-SDGT-C qui font l’objet d’un suivi.

Services de détection d’intrusions

Ce service permet au bénéficiaire de transférer les journaux IDS (détection d’intrusion) existants à des fins d’analysent et pour lancer une réponse à tout événement étant jugé par l’A-SDGT-C comme étant malveillant.

Diffusion d’informations liées à la sécurité*

Ce service donne accès au bénéficiaire à l’ensemble de la base de connaissance du centre de sécurité numérique de l’A-SDGT-C

Conseil en sécurité

Ce service permet de fournir des conseils et des orientations sur les meilleures pratiques de sécurité à mettre en œuvre.

renforcement de la sensibilisation*

Ce service permet au bénéficiaire de bénéficier de la sensibilisation A-SDGT-C

Education / Formation*

Ce service permet au bénéficiaire d’avoir accès au centre de formation, d’enseignement et d’entraînement de l’A-SDGT-C

Les services énumérés comportant * fait l’objet de la création d’une identité numérique au sein de l’A-SDGT-C soit 3€/mois/personne souhaitant accéder à ces éléments à la charge de l’OSBL.

Pour faciliter la partie économique, l’A-SDGT-C propose via ce protocole la facilitation financière suivante :

• Tout membre d’une OSBL contractant un PROTOCOLE OSBL avec l’A-SDGT-C et souhaitant intégrer l’A-SDGT-C en tant que membre impliqué (cotisation complémentaire) pourra demander à obtenir la facilité financière de prendre en charge uniquement la cotisation politique de base (14€/mois) pour accéder aux mêmes ressources numériques que les profils gradés de l’A-SDGT-C ainsi que des profils avec cotisation complémentaire. C’est-à-dire avec la possibilité d’intégrer une capacité opérationnelle et de pouvoir suivre les différentes formations, enseignements et entraînements proposés par l’A-SDGT-C à ses membres.

Contexte d’éligibilité de cette facilitation financière :

• La personne doit justifier son adhésion à une OSBL ayant contractée le PROTOCOLE OSBL avec l’A-SDGT-C ;

• La personne doit démontrer un vif intérêt pour l’A-SDGT-C en complément de son implication dans l’OSBL partenaire.

ARTICLE 4 : La contrepartie de l’OSBL à destination de l’A-SDGT-C

En raison de la non-lucrativité de l’organisation bénéficiaire et en raison de la non-lucrativité de l’A-SDGT-C, nous faisons le choix de ne pas demander de contrepartie financière à l’égard des OSBL. Toutefois, nous demandons à l’OSBL partenaire de bien vouloir répondre favorablement à un ou plusieurs des éléments suivants.

A NOTER : avant signature officielle du PROTOCOLE OSBL par l’A-SDGT-C, le protocole est examiné par le Conseil d’Administration (CA) de l’A-SDGT-C et détermine si oui ou non les services offerts à l’OSBL en rapport à la contrepartie sont bien proportionnés et si c’est cohérent. Le Conseil d’Administration de l’A-SDGT-C a la possibilité d’émettre une critique du PROTOCOLE OSBL pendant sa négociation et avant sa signature. Le choix final revient au Conseil d’Administration (CA) de l’A-SDGT-C sauf si l’Assemblée Générale (AG) souhaite venir contredire le choix du Conseil d’Administration (CA) alors ce sera le choix de l’Assemblée Générale (AG) qui fera foi.

Choix de l’OSBL

OUI/NON

Communiquer publiquement sur le PROTOCOLE OSBL contracté

Choix de l’OSBL

OUI/NON

Concevoir un ou plusieurs groupes conjoints (A-SDGT-C + OSBL) ayant pour objet de travailler sur un ou plusieurs sujets dont l’A-SDGT-C traite en finalité professionnelle ou recherche

Choix de l’OSBL

OUI/NON

Corédiger des articles professionnels et/ou des articles scientifiques avec l’estampillassions de l’A-SDGT-C et de l’OSBL

Choix de l’OSBL

OUI/NON

L’OSBL doit communiquer à ses membres la facilitation financière à intégrer l’A-SDGT-C

Choix de l’OSBL

OUI/NON

Dès lors que l’OSBL est sur une ou plusieurs spécialités précises, elle peut venir renforcer les travaux et la gestion opérationnelle de l’A-SDGT-C à destination de l’A-SDGT-C et de ses bénéficiaires

ARTICLE 5 : La révision trimestrielle de la bonne exécution du protocole 

Chaque trimestre, un binôme du Conseil d’Administration (CA) va agir en tant qu’inspecteur du protocole afin de définir avec l’OSBL partenaire si le protocole est bien mené. Chaque trimestre aura donc lieu un entretien composé de la manière suivante :

• Analyse du protocole OSBL signé en cours + Analyse des écarts constatés concernant protocole OSBL (que ce soit du côté A-SDGT-C ou du côté de l’OSBL) ;

• Echanges sur l’amélioration des services fourni par les parties prenantes (cela donne lieu à une annexe au protocole OSBL) ;

• Modification du protocole OSBL si besoin par les parties prenantes (avec communication auprès de tous les intéressés).

A NOTER : si le binôme du Conseil d’Administration (CA) relève que l’OSBL partenaire ne mène pas à bien la contrepartie, alors le binôme du Conseil d’Administration peut mettre en demeure (limiter les services proposés au strict minimum et ne requérant pas d’intervention) pendant un trimestre l’OSBL afin de respecter le protocole OSBL. Si lors de la prochaine révision trimestrielle avec un nouveau binôme du Conseil d’Administration (CA) la situation est toujours la même alors le Conseil d’Administration sera convoqué afin de voter la cessation du PROTOCOLE OSBL et de tous les avantages liés. L’OSBL en question fera l’objet d’un référencement sur liste noir au niveau des partenaires.