POLITIQUE D'UTILISATION ACCEPTABLE

1. Objet

La politique d'utilisation acceptable a été formulée afin d'encourager l'utilisation responsable des informations, réseaux, systèmes, services, sites web et produits de Colt (collectivement « Systèmes d'information Colt ») par nos fournisseurs, prestataires et autres tiers (collectivement « Utilisateurs »), et de permettre à Colt de fournir des services sécurisés, fiables et productifs.

Cette politique d'utilisation acceptable énonce :

1. Les normes minimales de comportement exigées des utilisateurs lorsqu'ils utilisent les Systèmes d'information Colt.

2. Les actions interdites pour l'utilisateur.

3. Les mesures à prendre par Colt si l'utilisateur ne respecte pas ces normes minimales.

4. La protection à la fois de l'utilisateur et de Colt contre toute réclamation de tiers selon laquelle votre utilisation des services de Colt serait inappropriée ou préjudiciable à ces tiers.

Notez que les actions interdites et les normes minimales énoncées dans la politique ne constituent pas une liste exhaustive.

En utilisant les Services, vous acceptez d'être lié par notre politique.

2. Portée et éligibilité

La Politique d'utilisation acceptable – document externe fournit les directives pour les utilisateurs externes, y compris les fournisseurs, prestataires et autres tiers de Colt, sur les niveaux d'utilisation acceptables des systèmes d'information de Colt et sur la protection de ces actifs.

Les politiques de sécurité définies dans ce document ont été établies pour couvrir les informations, données, logiciels, matériels et réseaux utilisés par Colt sur tous ses sites et emplacements. Tout le personnel employé directement et ceux travaillant sous toutes formes de contrat pour Colt.

La déclaration de politique, détaillée ci-dessous, doit être incluse sur tous les sites web corporatifs externes de Colt. Elle doit également être référencée dans tous les nouveaux contrats clients ou contrats mis à jour.

Toute personne qui connaît ou soupçonne une violation de cette politique peut la signaler à son responsable, ou à l'équipe sécurité de Colt par courriel à [email protected].

3. Déclaration de politique

Les Systèmes d'information Colt doivent être utilisés d'une manière conforme à leurs usages prévus et ne peuvent être utilisés qu'à des fins licites. L'utilisateur ne doit pas utiliser les Systèmes d'information Colt pour transmettre, distribuer ou stocker du matériel :

1. En violation de toute loi ou réglementation applicable ;

2. D'une manière qui porterait atteinte aux droits d'auteur, marques, secrets commerciaux ou autres droits de propriété intellectuelle d'autrui ou aux droits à la vie privée, à la publicité ou autres droits personnels d'autrui ;

3. Qui soit frauduleux, obscène, diffamatoire, calomnieux, menaçant, abusif ou haineux ou contenant un virus, ver, cheval de Troie, rançongiciel ou autre composant nuisible ;

4. Contenant des offres frauduleuses de biens ou services ou tout matériel promotionnel contenant des déclarations, affirmations ou représentations fausses, trompeuses ou mensongères ; ou

5. D'une manière qui pourrait exposer Colt ou l'un de ses employés à une responsabilité pénale ou civile.

4. Utilisation acceptable

1. Utilisation légale des ressources

1. Colt exige que ses UTILISATEURS se conforment aux instructions de Colt et à toutes les exigences légales et réglementaires pertinentes à leur système, réseau et à tous services qu'ils peuvent fournir dans les pays où ils opèrent.

2. Lorsqu'un client ne respecte pas ces exigences légales et réglementaires, le client accepte d'indemniser Colt contre toutes pertes, dépenses, coûts (y compris les frais juridiques) ou dommages qui pourraient être subis ou encourus par Colt à cet égard.

3. Il est de la politique de Colt d'assister la police et les organismes chargés de l'application de la loi de toute manière praticable lorsque la loi applicable l'exige.

4. Colt se réserve le droit de divulguer des informations à ces organismes ou de signaler tout souci concernant des activités potentiellement illégales effectuées via les réseaux ou systèmes de Colt.

2. Utilisation de la messagerie électronique

1. Les utilisateurs doivent veiller à ce que leurs ressources ne soient pas utilisées pour transmettre des courriels massifs non sollicités de quelque nature que ce soit ou permettre l'utilisation de courriels massifs non sollicités pour faire la publicité d'un site situé sur le réseau Colt.

2. Tout serveur de messagerie connecté au réseau Colt doit être configuré pour se protéger contre le relais ouvert, qui pourrait être utilisé pour la transmission non autorisée de courriels massifs ; si cela se produisait, la transmission serait considérée comme ayant pour origine l'utilisateur.

3. Les utilisateurs doivent utiliser le réseau ou les systèmes Colt pour transmettre des courriels dont les en-têtes ne sont pas modifiés, faux, inexacts ou délibérément erronés.

4. L'enregistrement des réunions ne sera autorisé que dans les circonstances suivantes lorsque le contenu de la réunion doit être consulté ultérieurement :

• S'il existe un besoin professionnel pour le faire

• Pour expliquer des procédures/processus.

• À des fins de formation/éducation.

Lors de l'enregistrement d'une session pour l'une des finalités ci‑dessus, s'assurer que les participants donnent leur consentement avant de démarrer la session.

3. Utilisation des matériaux

1. Les utilisateurs doivent accepter que Colt ne peut pas contrôler et n'est pas responsable du contenu sur Internet. Toute préoccupation concernant le contenu de systèmes ou réseaux non situés sur le réseau Colt doit être adressée aux propriétaires pertinents du système ou du réseau et non à Colt.

2. Les utilisateurs doivent se conformer aux protocoles et normes Internet.

3. Les utilisateurs ne doivent pas utiliser les réseaux ou systèmes Colt pour distribuer du matériel protégé par le droit d'auteur à moins d'être autorisés par le titulaire du droit d'auteur. Les utilisateurs doivent respecter le processus d'autorisation de Colt pour obtenir les droits d'accès et privilèges corrects aux informations et aux systèmes d'information de Colt.

4. L'utilisateur doit utiliser les réseaux ou systèmes Colt à des fins appropriées et licites ou pour recevoir ou envoyer des messages qui, de l'avis raisonnable, ne sont pas offensants, décents, non obscènes, non malveillants ou non diffamatoires, et qui ne portent pas atteinte à un droit de propriété intellectuelle (y compris, sans limitation, marques, droits d'auteur ou droits relatifs aux noms de domaine), ni permettre à d'autres de le faire.

5. Colt n'assumera aucune responsabilité pour tout matériel créé ou accessible sur ou via les Systèmes d'information Colt qui n'est pas publié par Colt ou à la demande de Colt. Colt ne surveillera ni n'exercera aucun contrôle éditorial sur ce matériel mais se réserve le droit de le faire dans la mesure permise par la loi applicable. Colt n'est pas responsable du contenu des sites web autres que les sites web de Colt, y compris du contenu des sites liés à ces sites de Colt. Les liens sont fournis uniquement comme outils de navigation Internet.

4. Sécurité du personnel

1. Les utilisateurs doivent effectuer des vérifications d'antécédents pour leur personnel à qui l'accès aux Systèmes d'information Colt est fourni. Le contenu de sensibilisation à la sécurité doit être revu et mis à jour au moins annuellement.

2. Le personnel ayant un accès physique et logique aux Systèmes d'information Colt doit signer un accord de non-divulgation.

3. Le personnel doit recevoir une formation de sensibilisation à la sécurité avant d'accéder aux Systèmes d'information Colt.

5. Sécurité des systèmes

1. Les utilisateurs ne doivent accéder qu'aux données qui leur sont destinées et ne doivent pas se connecter à un serveur ou à un compte auquel ils ne sont pas autorisés à accéder.

2. L'utilisateur ne doit pas tenter de sonder, scanner ou tester la vulnérabilité des systèmes Colt sans autorisation appropriée.

3. Les utilisateurs ne doivent pas tenter d'interférer, de perturber ou de désactiver des services pour tout utilisateur, hôte ou réseau, y compris, sans limitation, par des moyens de surcharge, « inondation », « mail bombing » ou « plantage ».

4. Les utilisateurs ne doivent pas falsifier un en‑tête de paquet TCP/IP ni aucune partie des informations d'en‑tête dans un courriel ou une publication sur un groupe de discussion.

5. Les utilisateurs ne doivent prendre aucune mesure afin d'obtenir des services auxquels cet utilisateur n'a pas droit.

6. Les violations de la sécurité des systèmes ou réseaux de Colt par l'utilisateur entraîneront une responsabilité civile ou pénale. Colt enquêtera sur les incidents pouvant impliquer de telles violations et pourra faire intervenir et coopérer avec les autorités chargées de l'application de la loi pour poursuivre les utilisateurs impliqués dans de telles violations.

7. Les utilisateurs doivent prendre toutes les mesures organisationnelles et techniques raisonnables pour prévenir la divulgation non autorisée de tout nom d'utilisateur, mot de passe ou certificat de sécurité.

8. Les utilisateurs doivent mettre en œuvre et maintenir des contrôles qui détectent, préviennent, suppriment et remédient à toute attaque de logiciels malveillants pouvant impacter les informations et actifs d'information de Colt.

6. Sécurité réseau

1. L'utilisateur ne doit pas utiliser les systèmes d'information de Colt pour obtenir ou tenter d'obtenir un accès non autorisé à tout système.

2. Les actions considérées comme inacceptables incluent, sans s'y limiter :

• sondage du réseau

• cartographie du réseau

3. L'analyse de vulnérabilités ou l'exploitation de vulnérabilités ou de mauvaises configurations dans des systèmes ou réseaux, sans autorisation préalable dans l'intention d'obtenir un accès non autorisé ou pour toute autre fin est interdite.

4. Tout paquet transmis sur ou à travers le réseau Colt par l'utilisateur doit contenir la bonne adresse source du système émetteur. Tout paquet pour lequel ce n'est pas le cas peut être empêché de traverser le réseau Colt sans préavis supplémentaire.

5. Les réseaux des utilisateurs doivent être configurés de manière à ne pas accepter le trafic de diffusion externe.

6. Les utilisateurs ne doivent utiliser aucun protocole ou service dans l'intention de perturber ou d'empêcher l'utilisation légitime d'un service par d'autres.

7. Les utilisateurs ne doivent pas utiliser les réseaux ou systèmes Colt pour transmettre des virus.

8. Les utilisateurs ne doivent pas utiliser les réseaux ou systèmes Colt pour installer directement ou indirectement tout logiciel non autorisé ou toute autre modification de système sur un système sans l'autorisation préalable du propriétaire du système.

9. Les utilisateurs ne doivent pas intercepter ni tenter d'intercepter ou de modifier tout trafic traversant le réseau Colt.

10. Les utilisateurs ne doivent pas collecter d'informations personnelles des utilisateurs de Colt sans nécessité professionnelle et le consentement de ces utilisateurs.

11. Colt ne garantit en aucun cas la sécurité des données transitant par ses réseaux. Bien que Colt prenne toutes les mesures pratiques pour protéger ces données, il reste de la responsabilité des parties communicantes d'assurer la sécurité et l'intégrité de leurs données.

12. Colt n'accepte aucune responsabilité pour la sécurité des systèmes utilisateur connectés au réseau Colt. Cette sécurité demeure de la responsabilité de l'utilisateur, sauf s'il existe un contrat prévoyant la fourniture de tels services.

7. Sécurité de l'information / des données

1. Les utilisateurs sont responsables de la protection des informations de Colt traitées par eux.

2. Les utilisateurs doivent veiller à ce que les données personnelles de Colt soient protégées contre tout accès illégal ou non autorisé, perte accidentelle ou destruction, dommage, utilisation ou divulgation illégale ou non autorisée.

3. Les utilisateurs doivent suivre toutes les exigences applicables en matière réglementaire et de conformité relatives à la protection des données personnelles de Colt.

4. Les utilisateurs doivent suivre une politique de conservation des données personnelles de Colt conforme aux exigences légales et réglementaires.

5. L'utilisateur doit convenir contractuellement de protéger l'information au même niveau que celui requis par Colt.

6. Les utilisateurs doivent se familiariser avec les classifications d'information suivantes de Colt

1. Très confidentiel : Informations destinées uniquement à des utilisateurs internes restreints de Colt dont l'accès, l'utilisation et la gestion doivent être fondés sur des exigences commerciales significatives et qui attireraient donc des mécanismes stricts de contrôle d'accès.

2. Confidentiel : Informations destinées à un large groupe d'utilisateurs internes restreints de Colt dont l'accès, l'utilisation et la gestion doivent être fondés sur des exigences commerciales significatives et qui attireraient donc des mécanismes stricts de contrôle d'accès.

3. Interne : Informations nécessitant une faible restriction d'accès et gérées par des utilisateurs internes et externes.

4. Public : Informations publiquement disponibles et ne nécessitant aucune restriction d'accès et de gestion.

7. Les informations classées Très confidentiel et Confidentiel ne doivent être partagées ou communiquées à l'utilisateur que s'il existe un besoin commercial clair et avec l'approbation nécessaire du propriétaire de l'information.

8. Les utilisateurs doivent signer un accord de confidentialité (NDA) avec Colt pour l'accès et la gestion des informations Très confidentielles et Confidentielles.

9. Les utilisateurs ayant accès aux informations Très confidentielles et Confidentielles doivent s'assurer que les informations sont chiffrées lors du stockage et pendant le transit.

10. Les utilisateurs sont responsables de prendre toutes les mesures nécessaires pour empêcher que des parties non autorisées accèdent aux informations personnelles et classifiées de Colt de quelque manière ou à toute fin non autorisée par Colt.

8. Contrôle d'accès

1. Les utilisateurs doivent s'assurer que les informations de Colt sont séparées soit en utilisant un serveur physique individuel soit alternativement en utilisant un contrôle d'accès logique des autres informations clients.

2. Les utilisateurs doivent s'assurer qu'un processus d'authentification sécurisé avec des identifiants uniques et une clé d'authentification secrète est suivi pour les utilisateurs nécessitant l'accès aux systèmes contenant les informations de Colt.

3. Les utilisateurs doivent s'assurer qu'il existe un nombre limité d'utilisateurs privilégiés ayant accès aux systèmes contenant les informations de Colt.

4. Les utilisateurs doivent identifier et exiger que les propriétaires appropriés examinent et approuvent l'accès aux systèmes utilisés pour accéder, traiter et gérer les informations de Colt au moins trimestriellement afin de supprimer les accès non autorisés.

5. Les utilisateurs doivent appliquer la règle du moindre privilège aux utilisateurs nécessitant l'accès aux systèmes gérant les informations de Colt.

6. Les utilisateurs doivent s'assurer que les mesures techniques et procédurales de sécurité requises sont en place pour empêcher que les informations personnelles de Colt soient copiées, déplacées ou stockées sur des disques durs locaux.

7. Les utilisateurs doivent se voir accorder l'accès aux Systèmes d'information Colt en fonction des besoins métiers.

8. Les utilisateurs doivent s'assurer que les exigences de contrôle d'accès de Colt sont respectées lors de l'accès aux Systèmes d'information Colt.

9. Les utilisateurs ayant accès aux Systèmes d'information Colt doivent s'assurer que les exigences relatives aux mots de passe définies par Colt sont respectées pour leurs comptes respectifs.

10. Les utilisateurs fournissant un logiciel en tant que service doivent s'assurer que le logiciel répond aux exigences de sécurité définies par Colt, y compris les exigences d'authentification.

9. Gestion des vulnérabilités et des correctifs

1. L'utilisateur doit disposer d'un processus bien défini de gestion des vulnérabilités et des correctifs.

2. L'utilisateur doit prendre les mesures appropriées (par ex. analyses) des systèmes gérant les informations de Colt pour identifier les vulnérabilités de sécurité potentielles.

3. L'utilisateur doit surveiller tous les fournisseurs applicables pour les publications de correctifs.

4. L'utilisateur doit s'assurer que tous les correctifs applicables sont déployés dans les délais standards spécifiques selon la classification de criticité de la vulnérabilité et la gravité métier Colt de l'application comme indiqué ci‑dessous :

• Correctifs critiques : note CVSS 9,0-10,0

• Correctifs importants : note CVSS 7,0-8,9

• Autres correctifs : note CVSS inférieure à 7,0

5. L'utilisateur doit tester les correctifs fournisseurs dans un environnement non production pour s'assurer qu'il n'y a pas d'effets indésirables.

10. Surveillance sécurisée

1. Les utilisateurs doivent veiller à ce que des journaux soient conservés pour l'accès et la gestion des informations de Colt.

2. Les utilisateurs doivent disposer d'un mécanisme pour surveiller les journaux afin de détecter tout événement malveillant impactant les Systèmes d'information Colt.

3. Les utilisateurs doivent s'assurer que tous les journaux sont sécurisés contre les accès non autorisés et conservés conformément aux exigences légales et réglementaires.

4. Les utilisateurs doivent disposer d'un processus défini de gestion des incidents de sécurité.

5. Les utilisateurs doivent informer immédiatement Colt s'ils prennent connaissance de :

• Toute violation de sécurité survenue en relation avec le service ;

• Toute fraude survenue en relation avec l'utilisateur, l'équipement Colt ou le service ; ou

• Tout mot de passe émis par Colt à l'utilisateur étant devenu connu de tout utilisateur non autorisé.

6. Les utilisateurs doivent veiller à ce que toute violation de la sécurité concernant des informations personnelles de Colt stockées et gérées chez eux soit déclarée à l'autorité compétente conformément aux exigences réglementaires.

11. Gestion des risques et continuité de service

1. L'utilisateur doit disposer d'un processus défini de gestion des risques pour évaluer et atténuer les risques liés aux services fournis à Colt.

2. L'utilisateur doit garantir la résilience, y compris les mesures de sauvegarde et de récupération, les plans de continuité et de reprise après sinistre, afin de fournir des services à un niveau conforme au SLA convenu selon l'accord contractuel.

3. L'utilisateur doit partager le rapport SLA et les informations à Colt sur une base mensuelle.

4. L'utilisateur doit s'assurer que les meilleures pratiques de sécurité sont suivies pour tous les projets et activités menés dans le cadre du contrat avec Colt.

5. L'utilisateur doit s'assurer qu'il dispose d'un mécanisme approprié pour surveiller tout incident de sécurité affectant les Systèmes d'information Colt.

6. L'utilisateur a le devoir d'informer Colt immédiatement de tout incident de sécurité dont il prend connaissance et pouvant impacter les Systèmes d'information Colt.

7. L'utilisateur doit veiller à ce que toute violation de la sécurité concernant des informations personnelles de Colt stockées et gérées chez eux soit déclarée à l'autorité compétente conformément aux exigences réglementaires.

12. Suppression, destruction et conservation des informations

1. À la résiliation du contrat, l'utilisateur doit détruire physiquement ou supprimer de manière sécurisée toutes les informations de Colt au point qu'elles ne puissent être lues, déchiffrées ou reconstruites, sauf autorisation spécifique prévue par l'accord contractuel.

2. Toutes les informations de Colt sur les systèmes de l'utilisateur, supports de stockage et documents papier, y compris les copies enregistrées électroniquement sur photocopieurs, imprimantes et autres équipements techniques doivent être détruites.

3. L'utilisateur doit certifier par écrit à Colt que toutes les informations ont été détruites et supprimées de manière sécurisée.

13. Suppression, destruction et conservation des informations

1. L'utilisateur peut avoir accès, via les Systèmes d'information Colt, à des moteurs de recherche, services web par abonnement, espaces de discussion, tableaux d'affichage, pages web, Usenet ou d'autres services qui édictent des règles, directives ou accords régissant leur utilisation.

2. L'utilisateur doit respecter ces règles, directives et accords.

3. L'utilisateur qui publie des messages sur les groupes de discussion Usenet est responsable de se familiariser avec toute charte écrite ou FAQ régissant l'utilisation de ces groupes et d'y conformer son comportement.

4. Indépendamment de ces politiques,

• Les installations Usenet ne doivent être utilisées qu'en conformité avec les règles pertinentes du groupe Usenet.

• Les binaires ne doivent être postés que dans les groupes Usenet binaires.

• Les messages commerciaux ou publicitaires ne doivent pas être postés dans plusieurs groupes de news.

14. Utilisation des services Usenet News

1. L'utilisateur peut avoir accès, via les Systèmes d'information Colt, à des moteurs de recherche, services web par abonnement, espaces de discussion, tableaux d'affichage, pages web, Usenet ou d'autres services qui édictent des règles, directives ou accords régissant leur utilisation.

2. L'utilisateur doit respecter ces règles, directives et accords.

3. L'utilisateur qui publie des messages sur les groupes de discussion Usenet est responsable de se familiariser avec toute charte écrite ou FAQ régissant l'utilisation de ces groupes et d'y conformer son comportement.

4. Indépendamment de ces politiques,

1. Les installations Usenet ne doivent être utilisées qu'en conformité avec les règles pertinentes du groupe Usenet.

2. Les binaires ne doivent être postés que dans les groupes Usenet binaires.

3. Les messages commerciaux ou publicitaires ne doivent pas être postés dans plusieurs groupes de news

15. Droit d'audit

1. Colt se réserve le droit d'« auditer » l'utilisateur et leurs sous‑traitants en cas de manquement à fournir des garanties sur les pratiques de sécurité suivies.

2. Colt fournira un avis écrit à l'utilisateur avant de procéder à l'audit.

3. L'audit peut inclure la révision des politiques, processus, procédures de l'utilisateur, une évaluation sur site des contrôles de sécurité physiques, du réseau, des systèmes, de la confidentialité des données et une évaluation des vulnérabilités (dans le cas d'un logiciel en tant que service).

5. Exigence de conformité à la politique

Cette norme entrera en vigueur à sa publication. Elle sera révisée au moins tous les deux ans pour en assurer la pertinence. La conformité sera évaluée périodiquement et des demandes d'informations pourront être adressées aux équipes opérationnelles concernées. Si la conformité n'est pas faisable, une exception doit être demandée via le processus d'exception de la politique de sécurité.

6. Historique des versions et contrôle