You are here

fr-fr-min-sec-cont-annex

Primary tabs

Annexe sur les Contrôles de Sécurité Minimaux

Les exigences minimales de sécurité décrites ci-après ont vocation à servir de lignes directrices s’agissant du niveau de protection attendu par Nike de tout système informatique du Contractant traitant des Données Nike. Ces exigences de sécurité sont basées sur les pratiques de sécurité de l’information et sur les pratiques de gouvernance en matière de protection de l’information.

Ces exigences de sécurité s’appliquent à (1) tous les réseaux et systèmes du Contractant intégrés aux systèmes ou aux réseaux Nike ou utilisés pour Traiter des Données Nike, en ce compris les réseaux et systèmes des Sous-Traitants ; et (2) les Données Nike quelle que soit leur forme. Le Contractant déclare et garantit qu’il a complété le processus d’évaluation des risques des fournisseurs de Nike et qu’il maintiendra toutes les garanties et tous les contrôles identifiés par le Contractant dans l’évaluation, et qu’il prendra toute autre mesure requise par la présente Annexe sur les Contrôles de Sécurité Minimaux.

1. Politique et Procédures

1.1.      Le Contractant maintiendra une procédure continue de création de procédures de maintenance, de révision, d’approbation et de communication aux parties concernées. Cela comprendra les standards de développement des infrastructures et applications, la politique de sécurité, le stockage des données, la gestion des incidents, et la gestion des opérations informatiques.

1.2.      Le Contractant mettra en œuvre et maintiendra des politiques et procédures pour la définition et la maintenance de la configuration de sécurité de base qui seront documentées, approuvées et révisées chaque année, puis communiquées au Personnel du Contractant concerné.

1.3.      Le Contractant mettra en œuvre et maintiendra un système de gestion de la sécurité de l’information de l’entreprise (“SGSI”) et une politique de sécurité qui définit : (a) les rôles et responsabilités en matière d’information de sécurité (“IS”) ségrégées ; (b) le rôle et importance de la sécurité de l’information ; (c) les objectifs de la politique ; (d) la responsabilité des employés et des tiers en matière de sécurité ; et (e) les exigences règlementaires concernant la vie privée et la sécurité des données. Le Contractant s’assurera que cette politique a été approuvée par le niveau hiérarchique compétent et a été communiquée au Personnel du Contractant concerné.

1.4.      Le Contractant mettra en place et maintiendra des procédures visant à la création, la distribution et le stockage de clés de cryptage, comprenant : la création de clés de cryptage solides, des méthodes sécurisées de distribution, un stockage sécurisé des clés, des clés rotatives périodiques (cryptopériodes), la gestion de la fin de vie, et la suppression ou le remplacement d’une clé suspectée d’être corrompue.

2. Gestion des Actifs Le Contractant établira et maintiendra des politiques et procédures en matière d’identification, de classification, et de gestion (de l’acquisition à la cession) des actifs qui sont documentées, mises en œuvre et communiquées au Personnel du Contractant.

3. Continuité de l’Activité et Reprise après un Sinistre

3.1.      Le Contractant mettra en œuvre et maintiendra des politiques et procédures visant à assurer la continuité de l’activité et la reprise de l’activité après un sinistre qui seront documentées, approuvées, révisées chaque année, et communiquées au Personnel du Contractant.

3.2.      Le Contractant s’assurera que les systèmes critiques sont identifiés et documentés, et que des procédures sont mises en place pour assurer le maintien des opérations en cas d’évènement indésirable.

3.3.      Le Contractant mettra en œuvre et maintiendra : (a) des sauvegardes automatiques et suivra un calendrier prédéterminé et approuvé ; (b) une procédure d’alerte générée en cas d’erreur de sauvegarde et qui sera disponible dans un délai convenable ; et (c) des procédures de sauvegarde testées régulièrement, afin de s’assurer de la capacité de reprise en cas de défaillance du système ou d’altération des données.

4. Gestion des Modifications

4.1.      Le Contractant mettra en œuvre et maintiendra une politique globale de gestion des modifications qui sera documentée, approuvée, révisée chaque année, et communiquée au Personnel du Contractant. Pour chaque composante du système, (application, base de données, système d’exploitation, technologies de virtualisation, et micro-services), la politique définira les types de modifications, les autorisations nécessaires et les tests nécessaires.

4.2.      Les modifications du système mises en place par le Contractant devront respecter une procédure de contrôle préétablie impliquant un examen, une approbation, et des tests. Cette procédure devra être effectuée avant toute modification du système de production.

4.3.      Le Contractant effectuera les modifications d’urgence requises, qui seront approuvées puis mises en œuvre, et par lesquelles la documentation sera conservée, conformément à la politique de gestion des modifications.

5. Sécurité des Ressources Humaines

5.1.      Le Contractant devra procéder à la vérification appropriée des antécédents de l’ensemble des membres du Personnel du Contractant, incluant la vérification des antécédents criminels (dans la mesure de ce qui est autorisé par la loi applicable) avant de permettre à tout membre du Personnel du Contractant de Traiter des Données Nike ou d’accéder aux réseaux informatiques, aux systèmes d’information, aux bases de données et aux systèmes sécurisés de Nike, ou à des zones non ouvertes au public des locaux de Nike. Le Contractant devra s’assurer qu’aucun membre du Personnel du Contractant ayant été reconnu coupable d’un crime ou de certains délits répétés impliquant de la violence ou du harcèlement ne fournira de services dans des zones non ouvertes au public des locaux de Nike.

5.2.      Le Contractant s’assurera que tous les membres du Personnel du Contractant suivent avec succès les formations adéquates et appropriées en matière de protection de la vie privée et de sécurité de l’information avant de procéder au Traitement de Données Nike, et les Sous-Traitants sont tenus de fournir de façon régulière des formations adéquates et appropriées en matière de protection de la vie privée et de sécurité de l’information à leur personnel.

5.3.      Tous les membres du Personnel du Contractant devront être tenus de préserver la confidentialité des Données Nike et d’adhérer aux politiques et procédures de sécurité du Contractant. Le Contractant devra mettre en œuvre (a) un contrôle de gestion pour exiger l’adhésion aux politiques et procédures du Contractant en matière de sécurité de l’information, ainsi que (b) une procédure disciplinaire (pouvant aller jusqu’à un éventuel licenciement) en cas de violation de ses politiques et procédures de sécurité de l’information du Contractant.

6. Sécurité de l’Information

6.1.      Le Contractant assurera la sécurité des ses réseaux, applications (incluant les bases de données), infrastructures et plateformes.

6.2.      Le Contractant s’assurera qu’au niveau des applications, les activités incompatibles sont séparées et révisées de façon périodique, et notamment que :

6.2.1.   Le Contractant chargé d’une activité de développement exerce cette activité dans un environnement distinct de celui dédié à la production ;

6.2.2.   La gestion des applications est séparée de la gestion des droits d’accès,

6.2.3.   La gestion de la base de données (et toute autre forme de droit privilégié de mise à jour des données) est distincte de la gestion des applications, de la gestion de la sécurité, ainsi que du Personnel du Contractant qui fournit des prestations de développement, et 

6.2.4.   Le membre du Personnel du Contractant qui approuve les droits d’accès est distinct de la personne qui attribue les droits d’accès dans le système du Contractant.

6.3.      Le Contractant effectuera chaque année une évaluation globale des risques encourus par les systèmes et réseaux indispensables, comprenant notamment, les applications, les bases de données, les systèmes de gestion des bases de données, les systèmes d’exploitation, les systèmes de support, et les réseaux qui y sont liés. Le Contractant adaptera les procédures ou configurations en fonction des constats tirés de l’évaluation, et il réexaminera les constats périodiquement.

6.4.      Le Contractant mettra en œuvre et maintiendra des politiques et procédures visant à assurer que les données sont protégées en fonction de leur niveau de sensibilité. 

6.5.      Le Contractant devra stocker les fichiers du système et les codes sources dans un endroit sécurisé à accès restreint.

6.6.      Le Contractant s’assurera que les demandes d’accès aux informations portant sur la technologie dédiée aux applications, base de données et système d’information sont revues et approuvées par la direction compétente du Contractant.

6.7.      Le Contractant s’assurera que lorsque le statut d’un membre spécifique du Personnel du Contractant ou un Sous-Traitant a été modifié (licencié ou transféré), le système alertera la direction du Contractant afin qu’elle mette en œuvre les mesures appropriées.

6.8.      Le Contractant s’assurera que lorsque les missions de tout membre du Personnel du Contractant ou Sous-Traitant ne requièrent plus qu’il bénéficie d’un accès au système (application, base de données, systèmes d’exploitation), son accès soit rapidement supprimé.

6.9.      Le Contractant effectuera régulièrement des évaluations des conditions d’accès au système, en utilisant un groupe complet et précis de comptes, à la fois pour les comptes utilisateurs et les comptes du système.

6.10.  Le Contractant mettra en œuvre et maintiendra des contrôles de sécurité du périmètre et, lorsqu’applicables, des contrôles de sécurité fédérés qui correspondent aux standards de l’industrie pour des configurations sécurisées, cohérentes avec l’architecture du système fourni et / ou utilisé (en ce compris le stockage via cloud ou infrastructure) par le Contractant.

6.11.  Le Contractant mettra en œuvre et maintiendra les meilleures pratiques du secteur pour la sécurité des ressources en cloud, via des logiciels SaaS et des applications web. Ces mesures devront être conformes aux normes du secteur et aux recommandations des fournisseurs de services en cloud. Sans préjudice de la portée générale des obligations du Contractant en matière de sécurité, le Contractant devra se conformer, le cas échéant, aux exigences minimales en matière de gestion de la configuration fournies par Nike s’agissant de la gestion de telles ressources.

6.12.  Le Contractant accomplit lui-même ou sous-traite des évaluations périodiques des contrôles du périmètre (par exemple ingénierie sociale, piratage contrôlé), conformes à l’architecture du système fournie et/ou utilisée par le Contractant, ce qui inclut des tests annuels de pénétration et des scans trimestriels de vulnérabilité.

6.13.  Le Contractant effectue régulièrement des évaluations et des surveillances des configurations du système, y compris des systèmes d’exploitation, des bases de données, des dispositifs réseau et des systèmes de contrôle du périmètre (par exemple les pares-feux).

6.14.  Le Contractant s’équipera d’un anti-virus et/ou d’un logiciel anti-programmes malveillants installé et à jour.

6.15.  Le gestionnaire de la sécurité des technologies de l’information du Contractant surveille et enregistre l’activité de sécurité aux niveaux des systèmes d’exploitation, applications et bases de données. Les violations de sécurité identifiées sont signalées à la plus haute autorité hiérarchique du Contractant.

6.16.  Le Contractant (ou son(ses) Sous-Traitant(s)) mettra en œuvre et maintiendra des contrôles de sécurité physiques et environnementaux dans les bâtiments et les centres de données qui Traitent des Données Nike, incluant des systèmes électroniques adaptés au contrôle de l’accessibilité, les contrôles de sécurité et la détection de la chaleur/de la fumée.

6.17.  Le Contractant s’assurera de la sécurité physique de ses locaux où des fichiers papier, des serveurs, du matériel informatique et des systèmes de sauvegarde sont maintenus.

6.18.  Le Contractant protègera les ordinateurs personnels, ordinateurs portables, ordinateurs de bureau, ou tout autre appareil de stockage, incluant les appareils mobiles, contre la perte et le vol.

6.19.  Le Contractant sauvegardera et Traitera les Données Nike conformément aux Règles Applicables. 

6.20.  Le Contractant, lorsque cela sera faisable et au regard des besoins de l’entreprise, mettra en œuvre et maintiendra un contrôle d’accès personnalisé en fonction des utilisateurs, qui attribuera des avantages aux membres du Personnel du Contractant sur la base de leur qualification professionnelle et de leurs fonctions, et restreindra l’accès aux seules informations dont cette personne a besoin.

6.21.  Les comptes utilisateurs, privilégiés et de service, gérés par le Contractant devront assurer que seul le Personnel du Contractant a accès aux Données Nike et aux composantes du système du Contractant Traitant des Données Nike, et qu’ils sont protégés par les meilleures pratiques en matière de protection par mot de passe, incluant : (i) des longueurs de mot de passe minimales ; (ii) une déconnexion après une tentative infructueuse de connexion ou une session inactive ; (iii) des durées de déconnexion minimales ; (iv) des mesures entourant la réutilisation d’un mot de passe ; (v) des mesures garantissant la complexité du mot de passe.

6.22.  Le Contractant n’utilisera pas d’identifiants partagés, génériques ou générés par un système pour fournir un accès privilégié ou administrer toute composante du système.

6.23.  Le Contractant ne partagera pas les mots de passe avec toute personne autre que le titulaire désigné de l’identifiant système ou du compte.

6.24.  Le Contractant requerra de ses services de support informatique qu’ils mettent en œuvre les mesures appropriées de protection contre l’ingénierie sociale, visant à accéder frauduleusement au compte de tout membre du Personnel du Contractant, notamment en utilisant la vérification d’identité lors des réinitialisations de mot de passe ou pour avoir accès au dépannage.

6.25.  Le Contractant protègera les connexions à distance en documentant les méthodes autorisées d’accès à distance aux Données Nike, établissant des restrictions d’usages, la surveillance des accès à distance non autorisés, l’utilisation de la cryptographie pour protéger la confidentialité et l’intégrité des sessions d’accès à distance, et la déconnexion automatique des sessions d’accès à distance après une période d’inactivité.

6.26.  Lorsque le Contractant recourra au cryptage, il devra utiliser un protocole fiable et sécurisé de cryptographie, basé sur les normes de cryptage prévues par l’Institut National des Normes et de la Technologie (‘’INNT’’). L’accès aux clés de cryptage doit être restreint au minimum de dépositaires nécessaire, et stocké de façon sécurisée dans un nombre de lieux restreint. Les clés de cryptage seront cryptées en utilisant une clé de cryptage, qui doit être stockée séparément de la clé de cryptage des données. Les clés seront utilisées de façon alternative, conformément aux recommandations de l’INNT pour la cryptopériode.

6.27.  Le Contractant devra s’assurer que toutes les Données Nike sont protégées par un cryptage conforme aux normes de l’industrie ou plus élevé lorsqu’elles sont inactives ou en transit. Sauf si cela est requis pour fournir les Services, le Contractant ne déverrouillera pas, n’effectuera pas d’ingénierie inverse ou autrement n’exposera pas les Données Nike hachées, cryptées ou anonymisées.

6.28.  Le Contractant mettra en œuvre et maintiendra les meilleures pratiques de sécurité, basées sur des systèmes, dispositifs et processus appropriés, comprenant une surveillance des activités suspectes et non autorisées, une séparation et protection des registres, et une corrélation basée sur le temps. Le Contractant mettra en œuvre et maintiendra un processus pour l’examen ponctuel et l’installation de correctifs aux logiciels de sécurité et de mise à jour des systèmes, appareils et applications.

6.29.  Le Contractant mettra en œuvre et maintiendra un processus pour remédier utilement aux failles identifiées dans l’exercice des activités de gestion.

6.30.  Le Contractant protègera les Données Nike pendant leur transmission à travers des réseaux ouverts, notamment en faisant usage de protocoles fiables et sécurisés de cryptographie pour protéger les Données Nike pendant leur transmission à travers des réseaux ouverts et publics, et des meilleures pratiques de l’industrie pour mettre en œuvre un cryptage puissant pour l’authentification et la transmission à travers des réseaux sans fils de données Nike, ou connecté à des réseaux sensibles.

6.31.  Le Contractant devra mettre en œuvre et maintenir des politiques et garanties en matière de sécurité des appareils sur lesquels des Données Nike sont stockées ou Traitées, notamment les ordinateurs portables, les téléphones mobiles ou les supports électroniques de stockage. Le Contractant ne devra pas stocker les Données Nike sur un ordinateur portable, une tablette, une clé USB, un téléphone mobile ou tout autre appareil mobile de ce type sauf si le Contractant a obtenu le consentement écrit de Nike, et que l’appareil est protégé par cryptage conforme aux normes de l’industrie.

6.32.  Le Contractant mettra en œuvre et maintiendra des mécanismes d’authentification et de contrôle d’accès au sein des médias, applications, systèmes d’exploitation et équipements, incluant l’enregistrement de tous les accès et exfiltrations, et la conservation de ces registres de contrôle d’accès pour une période d’au moins douze (12) mois.

6.33.  Le Contractant mettra en œuvre et maintiendra des systèmes de prévention et de détection des intrusions utilisant des mécanismes de prévention et de détection des intrusions en réseau.

6.34.  Le Contractant assurera une séparation physique et logique stricte des Données Nike des données qui ne sont pas des Données Nike, de sorte que les deux types d’informations ne soient pas mélangées sur un même système.

7. Gestion de Projet

7.1.      Le Contractant mettra en œuvre et maintiendra un cycle de développement des systèmes, incluant le développement de logiciels sécurisés, qui a été approuvé par la direction, et communiqué au Personnel du Contractant.

7.2.      Le Contractant devra utiliser des pratiques de développement sécurisées pour la conception, le développement, la maintenance, l’amélioration et le déclassement de (a) ses propres produits et services, (b) de tous services et livrables pour Nike. Ces pratiques de développement sécurisées seront conformes aux normes de l’industrie, telles que l’OWASP Top Ten et la norme ISO 27002, et des directives sécurisées de code fournies par des organisations telle que la Division CERT de l’Institut du Génie Logiciel (Software Engineering Institute). Sans limiter la portée générale de ce qui précède, ces pratiques de développement sécurisées incluent : (1) la séparation des rôles et des responsabilités en matière de sécurité ; (2) la séparation des environnements de développement, de test et de production ; (3) des tests sécurisés en environnements de test avant le déploiement dans les environnements de production ; (4) des interdictions d’utilisation de données sensibles et de Données Nike en environnements de test ; (5) l’élaboration d’une politique de développement sûre ; (6) l’élaboration d’une méthodologie de développement sécurisé et de lignes directrices de codage sécurisé propre à chaque langage ; (7) la mise en œuvre de processus de contrôles formels des changements incluant des tests et vérifications de sécurité ; (8) des formations au développement sécurisé pour les développeurs ; et (9) la prise en compte de la sensibilité des données ou systèmes.

7.3.      Le Contractant mettra en œuvre et maintiendra un contrôle de qualité adapté, des tests du consentement des utilisateurs, et des revues sécurisées des codes applications.

8. Réactions aux incidents

8.1.      Le Contractant mettra en œuvre et maintiendra des politiques et procédures à activer en cas d’incident, qui couvriront des procédés de détection, de confinement, de rétablissement, d’intensification, et de notification.

8.2.      Le Contractant vérifiera périodiquement les mécanismes de réaction aux failles du système, notamment avec les Sous-Traitants pertinents (per exemple les fournisseurs de services en cloud).

9. Contractor Management

9.1.      Le Contractant devra faire preuve d’une diligence raisonnable à l’égard des pratiques de sécurité de ses Sous-Traitants avant leur embauche, et veillera à ce que les contrats avec ses Sous-Traitants incluent des dispositions relatives à la responsabilité du sous-traitant de protéger et sécuriser les Données Nike, en conformité avec le présent Contrat et les Règles Applicables.

9.2.      Dans l’hypothèse où le Contractant utilise un fournisseur de services en cloud tiers pour fournir les Services, ce fournisseur de services en cloud tiers sera considéré comme un Sous-Traitant. Le Contractant reconnaît et accepte que l’utilisation de fournisseurs de services en cloud tiers implique une responsabilité partagée en matière de sécurité entre le Contractant et le fournisseur de services en cloud tiers. Le Contractant devra respecter ou excéder toutes les meilleures pratiques en matière de sécurité recommandées par le fournisseur de services en cloud, et appliquer les exigences minimales ci-avant aux Données Nike stockées dans cet environnement cloud. 

Agreement Type: 
Locales: 
UxIDs: 

User login