CCAG TIC 2021 – Article 40

Code : Commande Publique

Article 40 – Maintenance en condition de sécurité

 

40. 1. Traitement des obsolescences :

Le titulaire n’utilise que des composants logiciels que l’éditeur s’engage à maintenir pendant la durée du marché. Si la durée du marché dépasse la durée pendant laquelle un éditeur s’engage à maintenir un composant logiciel, le titulaire maintient, livre et respecte une feuille de route de migration vers des systèmes maintenus.
Le titulaire élabore, tient à jour et met en œuvre une procédure de maintien en condition de sécurité de toutes les ressources dont il a la charge. Cette procédure prévoit :

– les délais d’application des mises à jour de sécurité en fonction du niveau de risque associé ;
– une définition des cas d’urgence précisant explicitement les motifs de déclenchement et les exceptions au cas nominal qui sont induites ;
– la marche à suivre dans le cas où l’application d’une mise à jour de sécurité échoue.

Le titulaire tient à jour l’inventaire de l’ensemble des logiciels et micrologiciels mettant en œuvre le service. Cet inventaire doit identifier pour chaque logiciel, sa version et les équipements sur lesquels le logiciel est installé.
A cette fin, le titulaire élabore, tient à jour et met en œuvre une procédure de maintien en condition de sécurité de toutes les ressources dont il a la charge. Cette procédure prévoit :

– les délais d’application des mises à jour de sécurité en fonction du niveau de risque associé ;
– une définition des cas d’urgence précisant explicitement les motifs de déclenchement et les exceptions au cas nominal qui sont induites ;
– la marche à suivre dans le cas où l’application d’une mise à jour de sécurité échoue.

Le titulaire installe et maintient les dispositifs du service dans des versions stables et à jour de leurs correctifs de sécurité et conformément à la procédure de maintien en condition de sécurité. Les versions installées doivent être des versions supportées sauf si celles-ci empêchent la réalisation du service. Il vérifie l’impact de l’installation des mises à jour sur le système d’information du service. Dans le cas où l’impact de l’installation ne permet pas la réalisation du service, le titulaire en documente les raisons, et définit et met en œuvre des mesures de réduction des risques.
Le titulaire devra s’assurer de l’authenticité et de l’intégrité des mises à jour téléchargées auprès des sources de mise à jour de confiance.

40.2. Correctifs de sécurité :

Une vérification d’aptitude (VA) ou une vérification de service régulier (VSR) peut être refusée si des composants ne sont pas à jour des correctifs de failles de sécurité publiés par l’éditeur depuis un délai supérieur à trois mois. L’acheteur définit les fréquences des livraisons en coordination avec les équipes d’exploitation, en fonction des différentes criticités des vulnérabilités concernées.
Le titulaire s’assure que l’application des correctifs de sécurité ne modifie pas les performances du système, en modifiant si besoin et à ses frais le système pour maintenir le niveau de performance malgré l’application du correctif.

Sommaire du CCAG TIC 2021 commenté

Arrêté du 30 mars 2021 portant approbation du cahier des clauses administratives générales des marchés publics de techniques de l’information et de la communication

NOR : ECOM2106875A

Cliquez pour afficher le sommaire du nouveau CCAG TIC commenté

Chapitre 1er : GÉNÉRALITÉS (Articles 1 à 9)

Chapitre 2 : PRIX ET RÈGLEMENT (Articles 10 à 12)

Chapitre 3 : DÉLAIS (Articles 13 à 15)

Chapitre 4 : EXÉCUTION (Articles 16 à 28)

Chapitre 5 : CONSTATATION DE L’EXÉCUTION DES PRESTATIONS – GARANTIE (Articles 29 à 37)

Chapitre 6 : MAINTENANCE, TIERCE MAINTENANCE APPLICATIVE ET INFOGÉRANCE (Articles 38 à 42)

Chapitre 7 : UTILISATION DES RÉSULTATS (Articles 43 à 46)

Chapitre 8 : RÉSILIATION (Articles 47 à 54)