Votre panier est actuellement vide !
Modèle de Contrat d’Audit informatique
Le modèle de Contrat d’Audit informatique est disponible en téléchargement sur le Cloud Contrats :
Ce modèle de contrat d’audit informatique encadre la relation entre une entreprise et un prestataire spécialisé, chargé de réaliser un audit des systèmes d’information de l’entreprise. Ce contrat définit les modalités, objectifs et conditions de l’audit, ainsi que les obligations des parties.
Principales missions de l’Auditeur informatique :
- Analyse des systèmes d’information : Examiner l’infrastructure informatique, y compris les serveurs, les réseaux, les logiciels et les bases de données, pour évaluer leur conformité, leur sécurité et leur performance.
- Évaluation de la sécurité : Identifier les vulnérabilités potentielles dans les systèmes informatiques et les réseaux, et proposer des mesures correctives.
- Contrôle de la conformité : S’assurer que l’entreprise respecte les normes en vigueur (RGPD, ISO, etc.) en matière de gestion des données et de sécurité des systèmes.
- Revue des politiques IT : Analyser les procédures et politiques internes liées à l’informatique, y compris la gestion des accès, la sécurité des données et la gouvernance des systèmes.
- Proposition de recommandations : Formuler des recommandations pour améliorer la sécurité, la performance et la gestion des systèmes d’information.
- Rédaction d’un rapport d’audit : Fournir un rapport détaillé à l’entreprise avec un résumé des constatations, une analyse des risques et des suggestions d’améliorations.
- Suivi post-audit : Offrir un accompagnement pour la mise en place des actions correctives identifiées pendant l’audit.
CONTRAT D’AUDIT INFORMATIQUE
ENTRE LES SOUSSIGNES :
Dénomination Sociale : …………………………………………………………………………………………………..
Forme juridique [SARL, SA, SAS, Association..] : ………………………………………………
Numéro d’enregistrement [RCS / SIRET] : ………………………………………
Capital social [en euros] : …………………………………………
Siège social : Rue / voie / : ………………………………………………… CP : …………Ville : ……………… Pays : …………….
Représentant légal : ……………………………………………………………….. Fonction : ………………
Téléphone : ……………………………. Télécopie : ………………………………… E-mail :
Ci-après dénommée : « Le Prestataire»
D’une part,
ET :
Dénomination Sociale : …………………………………………………………………………………………………..
Forme juridique [SARL, SA, SAS, Association..] : ………………………………………………
Numéro d’enregistrement [RCS / SIRET] : ………………………………………
Capital social [en euros] : …………………………………………
Siège social : Rue / voie / : ………………………………………………… CP : …………Ville : ……………… Pays : …………….
Représentant légal : ……………………………………………………………….. Fonction : ………………
Téléphone : ……………………………. Télécopie : ………………………………… E-mail :
Ci-après dénommée : « Le Client »
D’autre part,
Ensemble dénommées « les Parties »
PREAMBULE
Le présent Contrat et ses annexes ont pour objet de définir les conditions dans lesquelles le Prestataire, à la demande du Client, prend en charge une prestation d’Audit informatique définie comme l’évaluation précise des risques informatiques auxquels est exposé le Client. Le Client a préalablement défini ses besoins par une analyse d’opportunités et a engagé les ressources financières et humaines nécessaires à la bonne exécution des présentes.
Présentation du Client
–Historique de la Société :
–Taille et chiffre d’affaires :
–Activités principales :
–Produits et services :
Présentation du Prestataire
–Historique de la Société :
–Taille et chiffre d’affaires :
–Activités principales :
–Produits et services :
Le présent Contrat a pour objectifs d’encadrer les obligations des Parties afin d’assurer le bon déroulement de la mission d’audit de sécurité informatique du parc logiciel et matériel du Client, à savoir i) l’évaluation des risques auxquels est exposé le Client, ii) la validation des moyens de protections proposés par le Prestataire, sur les plans organisationnels, procéduraux et techniques.
Article 1 – Pré-analyse des risques
Avant le début des opérations d’Audit, le Prestataire devra présenter au Client les questionnaires nécessaires afin d’évaluer, sous forme d’une notation graduée, les indicateurs de risques répartis en catégories. Il conviendra d’identifier les différents domaines d’activités du Client et les processus sensibles et l’impact en cas de dysfonctionnements de chaque processus identifié.
Le Prestataire devra définir les seuils de gravité pour chaque critère d’impact (seuil sans dommage significatif, seuil à dommage important, seuil de grave dommage, seuil de dommage extrêmement grave).
Le Prestataire devra également recenser et classifier les ressources du Client suivant trois critères: i) disponibilité, ii) intégrité, iii) confidentialité.
Le Client s’engage à fournir au Prestataire le recensement détaillé de l’ensemble des éléments qui constituent son système informatique. Le Prestataire pourra réaliser l’état des lieux et des objectifs de sécurité, à savoir:
– Réglementation interne, procédures, organigramme du personnel, charte d’utilisation des ressources.
– Sécurité physique : normes de sécurité, protection des accès (équipements, infrastructure câblée, etc.), redondance physique, plan de maintenance.
– Exploitation et administration : sauvegarde et archivage des données, continuité de service, journalisation.
– Réseaux et télécoms : architecture réseau (topologie, plan d’adressage), matériels (modems, routeurs, commutateurs, pare-feu), contrôle des accès logiques.
– Systèmes : poste de travail (gestion des droits), serveurs et les services qu’ils délivrent, applications, solutions antivirales.
Ayant connaissance des éléments composant le système d’information du Client, le Prestataire devra définir le périmètre de l’Audit et planifier ses interventions et ses entretiens avec les personnes à interviewer. L’équipe d’analyse sera responsable de l’organisation des réunions avec l’équipe auditée et devra, à l’issue de celles-ci, proposer des recommandations pour la mise en place de mesures organisationnelles et techniques.
Article 2 – Méthode d’Audit informatique
Le Prestataire s’engage, conformément aux règles de l’art, à mettre en œuvre l’une des méthodes d’Audit informatique suivantes :
|
Nom |
Signification |
Spécificités |
|
Cobit
|
Control objectives for information and technology
|
Méthode accessible à tous, dans un langage simple. Les outils fournis permettent la mesure des performances mais la méthode est aujourd’hui davantage assimilée à une méthode de gouvernance des SI.
|
|
Ebios
|
Expression des Besoins et Identification des Objectifs de Sécurité
|
Notamment déployée au sein de l’administration française, cette méthode comprend une base de connaissances et un recueil de bonnes pratiques. Elle est téléchargeable sur le site de la DCSSI et s’accompagne d’un logiciel.
|
|
Feros
|
Fiche d’Expression Rationnelle des Objectifs de Sécurité
|
Pas une méthode à proprement parler mais un document permettant à une autorité donnée (secteur secret défense notamment) de définir le niveau d’engagement de sa responsabilité dans l’application d’une politique de sécurité.
|
|
Marion
|
Méthodologie d’Analyse de Risques Informatiques Orientée par Niveaux
|
Fonctionne par questionnaires débouchant sur 27 indicateurs répartis en 6 catégories. 2 phases (audit des vulnérabilités et analyse des risques) permettent la définition et la mise en œuvre de plans d’actions personnalisés.
|
|
Mehari |
Méthode Harmonisée d’Analyse de Risques
|
Succède à la méthode Marion. S’articule autour de 3 plans. Permet désormais d’apprécier les risques au regard des objectifs “business” de l’entreprise.
|
Article 3 – Besoins du Client
Le Prestataire est informé des attentes et besoins du Client :
• Un haut niveau d’assistance et de collaboration ;
• Un périmètre de collaboration susceptible d’évolutions constantes ;
• Des conditions de réversibilité des solutions conseillées et adoptées ;
• La possibilité de faire exécuter par un tiers les solutions conseillées ;
• Une parfaite maîtrise du coût de l’Audit.
De façon générale, le Client souhaite disposer d’une prestation accompagnée d’une haute réactivité, professionnelle, d’un strict respect des délais et d’une prestation conforme à l’état de l’art en matière d’Audit informatique.
Article 4 – Obligation de collaboration renforcée
Il est convenu que les Parties sont soumises à une obligation de collaboration renforcée en termes d’échange d’information. Le présent Contrat nécessite une forte collaboration, tant dans sa préparation et sa mise en place qu’au quotidien entre le Prestataire et le Client. Dans le cadre de leur obligation de collaboration et d’échange d’informations, les Parties acceptent de mettre en place un Comité de suivi constitué de :
|
Chez le Client
|
Chez le Prestataire
|
|
M. Mme : Fonction : Téléphone : Email :
|
M. Mme : Fonction : Téléphone : Email :
|
|
M. Mme : Fonction : Téléphone : Email :
|
M. Mme : Fonction : Téléphone : Email :
|
Le Comité de suivi a pour mission de gérer la mise en place et l’évolution de la prestation d’Audit informatique, notamment sur le volet du respect du calendrier, de la conformité des prestations, du respect de l’obligation de collaboration des Parties. Il est entendu que chaque personne du Comité de suivi a un pouvoir de validation.
La Cellule doit se réunir régulièrement même en l’absence de difficulté particulière et au moins ……………… fois par trimestre.
Les demandes d’information doivent impérativement être transmises par courrier électronique, ce mode de preuve étant parfaitement opposable entre les parties en cas de litige.
Distribution des tâches :
Le Manager de l’Audit est …………………, ses missions sont les suivantes :
– Définir les objectifs de chacun, essayer d’établir la charge de travail nécessaire à chaque tâche (Diagramme de Gantt) et d’organiser et mettre en relation tous les acteurs de l’Audit ;
– Cerner tous les éléments (commercial, juridique et technique) de l’Audit afin que, même en l’absence des différents experts, il y ait une redondance des informations et la possibilité d’avoir au moins un interlocuteur compétent face aux demandes des intervenants ;
– Se pencher sur les différentes méthodes d’Audit
Le Coordinateur désigné est ……………….ses missions sont les suivantes :
– Tenir informer l’équipe des dates de réunions, des sujets, des participants, des objectifs et faire transiter les informations.
– Participer à l’épluchage des logs après les confrontations ;
– Définir un mini-cahier des charges ;
– Rôle de « volant » susceptible d’être appelé pour différentes tâches d’où une compréhension globale de tous les aspects du projet.
– Gère le rédactionnel de l’équipe pour décharger les pôles et leurs permettre de ne pas perdre de temps sur la mise en forme de leurs travaux.
– Participer à l’épluchage des logs après les confrontations.
Le Responsable commercial et juridique désigné est ………………. ses missions sont les suivantes :
– Etablir un cadre juridique et commercial entre les Parties ;
– Vérifier l’application de la politique de sécurité au jour le jour et rapporter à l’ensemble de l’équipe, les vices de procédures ;
– Rédiger des avenants signés par les deux parties pour régulariser la situation en cas de besoin ;
– Participer à l’épluchage des logs après les confrontations.
Le Responsable technique désigné est ………………… ses missions sont les suivantes :
– Installer la sonde et les outils adéquats ;
– Identifier les différentes failles et les attaques réalisés pour les notifier (Date, Type d’attaque, Heure..) à l’ensemble de l’équipe ;
– Etablir les procédures nécessaires à l’obstruction des failles et des procédures de reprise sur incidents au cas où le système défendu venait à être touché.
Article 5 – Périmètre de l’Audit
Pour l‘exécution de sa mission, le Prestataire disposera d’un droit accès physique au système du Client pour la mise en place d’outils d’analyse et de détection (analyse des logs, scans, sondes). Sur autorisation explicite, le Prestataire pourra effectuer des tests d’intrusions selon des scénarios potentiels d’attaque, afin de déterminer les vulnérabilités et les failles de sécurité.
Chaque phase d’analyse et d’évaluation réalisée par les soins de l’équipe d’analyse devra faire l’œuvre d’un rapport complet présentant de manière explicite les vulnérabilités détectées sur le système audité, et proposant des améliorations techniques et organisationnelles pouvant entraîner une revue de la politique de sécurité. A son tour la défense devra informer l’auditeur de toute modification ou évolution de son système de sécurité.
Le Prestataire devra intégrer dans sa prestation d’Audit informatique, une approche de sécurité multi-niveaux, physique, matérielle et logicielle. La politique de sécurité proposée à l’issue de l’Audit devra notamment inclure :
La Sécurité comportementale et la sécurité des informations :
–Parlées
–Stockées
–Archivées
–Écrites (papier, électroniques)
–Traitées (sens IGI 900)
–Couplées
–Rayonnées
–Transmises
–Emises
La Sécurité physique :
–Protection périmétrique
–Protection volumétrique
–Contrôle d’accès
–Surveillance
–Intervention
–Anti mutualisation
La Sécurité dans le déploiement des moyens :
–Sécurisation des systèmes d’exploitation
–Sécurisations des environnements
–Sécurisation des bases de données
–Sécurisation des données
–Sécurisation des flux
–Sécurisation du trafic
–Sécurisation des communications
–Sécurisation des échanges
–Protection du SI contre les TIE et les TII
La Sécurité physique :
–Protection périmétrique
–Détection
–Alerte
–Alarme
–Protection volumétrique
–Surveillance externe (abords, approches, issues, …)
–Surveillance interne (E/S, de salle, d’allée, spécifique, …)
–Surveillance opérationnelle (rondes, tenue des registres, traitement des incidents, …)
–Contrôle d’accès
–Intervention (technique, sûreté, sécurité)
Le Prestataire devra également proposer au Client une procédure de sauvegarde des données informatiques, ladite sauvegarde ne devant consommer de façon excessive les ressources de la bande passante du réseau. Le Client fera son affaire personnelle des licences de logiciels et d’exploitation du matériel nécessaires au déploiement des solutions proposées à l’issue de l’Audit.
Article 6 – Actualisation des risques opérationnels
Dans le cadre de l’Audit informatique, le Prestataire a l’obligation de mener une analyse préalable des risques du Client pour évaluer la nature et la gravité des impacts consécutifs à une divulgation d’informations sensibles du Client et de prendre toute décision opportune.
Cet Audit devra notamment porter sur l’analyse des liaisons établies de façon permanente avec l’extérieur, des mots de passe, des éventuelles failles dans les interfaces d’accès, des mises à jour des systèmes d’exploitation, de la traçabilité des actions du personnel du Client. L’Audit sera suivi de la prise de toutes les mesures opportunes, tant techniques qu’organisationnelles.
Le Prestataire devra désigner un interlocuteur responsable de la sécurité, pilotant l’ensemble des questions de sécurité inhérentes à la prestation. Cet interlocuteur sera en charge de la rédaction d’un Plan d’Assurance Sécurité pour répondre aux exigences de sécurité du Client pendant toute la durée du contrat.
Article 7 – Sous-traitance, Offshoring
Dans le cadre de ses missions, le Prestataire est autorisé à recourir à des sous-traitants offshore à condition toutefois d’avoir obtenu du Client l’acceptation de chaque sous-traitant et l’agrément de ses conditions de paiement. En fonction de la nature des prestations et des contraintes de sécurité du Client, ce dernier se réserve le droit de récuser tout sous-traitant ne présentant pas les garanties suffisantes pour exécuter les prestations conformément aux exigences de sécurité et de l’état de l’art en matière informatique.
Le Prestataire reste personnellement responsable de toutes les obligations résultant des présentes.
Le Prestataire déclare respecter parfaitement ses obligations et que les contraintes liées à la distance, à la différence de culture, au fuseau horaire, aux problématiques de la langue, ne constitueront pas une cause de mauvaise exécution de la prestation d’Audit informatique.
Le Prestataire s’assure que le ou les sous-traitants disposent des capacités techniques et financières nécessaires à la bonne exécution des prestations.
Article 8 – Help Desk
Le Prestataire met à la disposition du Client un Help desk qui remplit les critères qualitatifs attendus de la prestation et qui devra permettra de répondre aux questions du Client sur le déroulement de la prestation d’Audit :
Taux et temps de réponse aux questions : …………………………..
Temps moyen de décrochage du support téléphonique : …………………………..
Taux d’abandon des appels : …………………………..
Qualité de l’accueil : …………………………..
Les tâches externalisées sont réalisées i) dans les locaux du Prestataire, lorsque le système du Client y est hébergé, ou ii) au moyen d’une liaison permettant d’intervenir à distance sur le système du Client, ou iii) dans les locaux du Client par les équipes du Prestataire en charge des interventions techniques.
Lorsque le télédiagnostic, la télémaintenance ou la télédistribution n’est pas opportune, le Prestataire intervient dans les locaux du Client pour assurer ses prestations d’Audit.
Il est convenu que le Prestataire peut, lorsque cela se révèle nécessaire, mettre en place une liaison informatique permettant d’intervenir directement à distance chez le Client.
Le Prestataire missionne en cas de besoin, un ou plusieurs salariés par Contrat de placement de main d’œuvre.
Concernant l’assistance technique et les prestations d’Audit, le Prestataire intervient selon les modalités suivantes :
Le délai d’intervention est d’un jour ouvré suivant la demande d’intervention, compte tenu des heures de bureau du Client :
Matinée : de …….. heures à……….. heures
Après midi : de ………….. heures à …………. heures
Dans ce cadre, le Prestataire met à la disposition du Client :
– une assistance téléphonique joignable :
– aux heures d’ouvertures du lundi au vendredi de 10h à 19h au numéro suivant : ……………………..
– 24h/24 et 7 jours sur 7 en dehors des heures visées ci-dessus au numéro suivant : ………………………
– une assistance par email joignable 24 heures sur 24 et 7 jours sur 7 à l’adresse : ………………….
Article 9 – Obligations des Parties
Obligations du Prestataire
En tant que professionnel de l’informatique, le Prestataire est tenu à une obligation de conseil, de mise en garde et de recommandations à l’égard du Client.
Le Prestataire prend en charge chaque mission et intervention avec ses préposés, le matériel et les logiciels nécessaires.
Le Prestataire procède aux interventions sur appel téléphonique ou demande par email. Cette assistance à distance par téléphone ou email comprend :
· les réponses aux questions du Client (procédures, mise en route et conditions requises) ;
· l’installation et la configuration d’applicatifs lors de la première installation (procédures, mise en route);
· l’utilisation d’outils de gestion de système et de logiciels de diagnostics ;
· l’interprétation des messages système ;
· la séparation des problèmes système des problèmes d’utilisation d’applicatifs ;
· l’obtention d’informations sur la sécurité informatique ;
Le Prestataire devra mettre en oeuvre les techniques le plus adaptées aux besoins exprimés par le Client et fournir une prestation d’Audit d’une qualité répondant aux normes de qualité et aux usages dans le domaine informatique.
Il est entendu que l’obligation de moyen du Prestataire est conditionnée au respect par le Client de l’ensemble de ses obligations et notamment de la communication de toutes les données nécessaires (fichiers, textes … ) dans les délais convenus.
Le Prestataire s’assure de respecter et faire respecter par ses préposés, la protection des droits de propriété intellectuelle du Client et de conserver la plus stricte confidentialité sur les informations dont il pourrait avoir à connaître dans le cadre de la prestation d’Audit. En tant que professionnel, le Prestataire déclare également avoir une parfaite connaissance de la loi informatique et libertés n° 78-17 du 6 janvier 1978.
Obligations du Client
Le Client devra communiquer au Prestataire toutes les informations nécessaires à la bonne exécution de la prestation d’Audit et aux interventions du Prestataire : historique, installations, formalisation des besoins et autres, le tout dans un délai raisonnable. Tout retard dans la communication de ces informations entraînera un retard dans l’exécution de la prestation.
Le Client devra permettre un accès à ses locaux et équipements facile et raisonnable dans la durée afin de permettre au Prestataire d’exécuter au mieux ses missions.
Le Client devra assister le Prestataire er valider chaque choix technique et stratégique par une procédure contradictoire adéquate.
Article 10 – Rapport d’Audit
Le Prestataire devra remettre et présenter, dans le respect des délais convenus, son rapport d’Audit. Celui-ci devra impérativement et a minima : i) Synthétiser le contenu des logs et l’exploitation faite par les différents membres du groupe d’Audit ; ii) Proposer des solutions pour éviter de rencontrer de nouveaux les mêmes problèmes de sécurité y compris l’implémentation de nouveaux outils (monitoring réseau, bouclier de serveur, scans réseau, adoption d’outils de défense offensive …).
Le Rapport d’Audit devra formuler des recommandations (grille d’analyse) sur les sept catégories suivantes:
Efficacité : concerne toute information significative et pertinente pour le processus de gestion, distribuée de manière ponctuelle, correcte, cohérente et utilisable.
Efficience : concerne la mise à disposition de l’information grâce à l’utilisation optimale (la plus productive et la plus économique) des ressources.
Confidentialité : concerne la protection de l’information sensible contre toute divulgation non autorisée.
Intégrité : touche à l’exactitude et à l’intégralité de l’information ainsi qu’à sa validité au regard des valeurs de l’entreprise et de ses perspectives.
Disponibilité : propriété de l’information qui est d’être disponible et de le rester lorsqu’un processus de gestion en a besoin. Concerne aussi la sauvegarde des ressources nécessaires et des moyens associés.
Conformité : consiste à se conformer aux lois, aux réglementations et aux clauses contractuelles auxquelles le processus de gestion est soumis, c’est-à-dire aux critères de gestion imposés par l’environnement extérieur.
Fiabilité de l’information : s’adresse au management et concerne la fourniture d’informations pertinentes pour le fonctionnement de l’entité et l’exercice des responsabilités sur le plan des finances et des rapports de conformité.
Le Rapport d’Audit devra inclure une proposition de politique de gestion de patchs ou de correctifs de sécurité sur trois volets : i) l’identification des failles et l’évaluation de leur impact, ii) la récupération et l’installation des patchs correctifs, iii) le suivi et le contrôle de l’état du parc informatique du Client par rapport aux patchs de sécurité.
Le Rapport d’Audit devra lister l’ensemble des actions nécessaires au bon déploiement des patchs correctifs (rédaction d’une politique de patch management associée à une organisation et des procédures de mise en œuvre des modifications et des contrôles et vérifications).
Le Rapport d’Audit devra parfaitement identifier les failles constatées, en évaluer les impacts mais aussi proposer une politique de suivi et de contrôle de l’état du parc du Client. Au même titre que les autres mesures de sécurité doivent être vérifiées, la mise en place des patchs correctifs doit être contrôlée (planification et complétude). La vérification préconisée devra être la plus large et automatisée possible.
Le Rapport d’Audit devra proposer un plan de secours et de reprise d’activité du Client.
Le Rapport d’Audit devra prévoir une solution d’identity Management : la gestion centralisée des droits de tous les équipements et couches reconnus (systèmes d’exploitations, bases de données, serveurs Web, messagerie, etc.) à travers une interface standard avec automatisation d’actes d’administration, tel que la création des comptes bureautique des nouveaux salariés de l’entreprise ou le verrouillage des comptes des salariés quittant l’entreprise ; gestion simplifiée des mots de passe, visant à synchroniser les mots de passe des comptes d’une même personne ou à déléguer la capacité de déverrouillage d’un compte à l’utilisateur qui en est propriétaire (self-service) ; gestion des demandes d’habilitations, à travers la mise en place d’un Workflow pilotant le processus organisationnel d’attribution d’un droit d’accès.
Article 11 – Garantie d’éviction
Les logiciels et applicatifs installés et utilisés par le Prestataire dans le cadre de la prestation d’Audit, sont sous sa seule et unique responsabilité en termes de validité des licences de propriété intellectuelle. Le Prestataire garantit le Client contre tout recours, réclamation, revendication, action ou condamnation qui serait prononcée à son encontre.
Article 12 – Conditions financières
Dans le cadre des présentes, les Parties ont négocié les conditions financières suivantes :
Option 1
Forfait global et intégral non révisable de …………………. Euros HT (chiffres et lettres). Le paiement du forfait convenu entre les Parties est exigible en appels de fonds de montant égal dont le versement intervient selon les modalités suivantes :
• 1ère échéance à la signature des présentes ;
• Echéances ultérieures : ……………….
Option 2
• Facturation en Jour /homme : …………………. euros HT (chiffres et lettres)
Article 13 – Clause de Réversibilité
Il est entendu que le Prestataire permet et facilite, en cas de litige, la reprise en main des opérations d’Audit en propre ou par un tiers librement désigné par le Client.
Les données et applications développées exclusivement pour la prestation d’Audit, deviennent la propriété du Client et lui sont restituées en cas de mise en œuvre de la clause de réversibilité. Les données et applications sont restituées dans un format standard selon les spécificités suivantes :
Format des données (format ouvert et documenté) :
Base de données :
Système d’exploitation :
Support de transmission :
Livrets de formation et documentation technique :
Délais de livraison maxima :
Il est entendu que la réversibilité est une condition essentielle et déterminante du consentement du Client.
La présente clause de réversibilité est mise en œuvre par lettre recommandée assortie d’un avis de réception.
Il est entendu que la clause de réversibilité ne donne droit à aucune indemnité au profit du Prestataire, les paiements en cours lui restant toutefois dus. Le Prestataire dispose d’un délai de ………………… mois pour assurer la livraison des supports.
En cas de désignation d’un nouveau prestataire d’Audit, le Prestataire s’engage à lui apporter l’assistance nécessaire (formation comprise) pour faciliter la continuité des opérations d’Audit.
Article 14 – Référence commerciale
Le Client autorise le Prestataire à faire mention du présent contrat d’Audit à titre de référence commerciale sur sa documentation promotionnelle.
Article 15 – Confidentialité
Le Prestataire et ses préposés s’engagent à considérer comme confidentielles et entrant dans le champ d’application du secret professionnel auquel ils seront tenus, les informations de toute nature, écrites ou orales, relatives à l’exécution des présentes.
Le Prestataire et ses préposés s’engagent à ne pas divulguer lesdites informations confidentielles à quiconque, et en tout état de cause à respecter la présente clause de confidentialité, aussi longtemps que lesdites informations n’auront pas été portées à la connaissance de tiers par le Client.
Le Prestataire s’engage en particulier à respecter les obligations suivantes et à les faire respecter par son personnel :
–ne prendre aucune copie des documents et supports d’informations qui lui sont confiés, à l’exception de celles nécessaires à l’exécution de la présente prestation prévue au contrat, l’accord préalable du Client étant nécessaire ;
–ne pas utiliser les documents et informations traités à des fins autres que celles spécifiées au présent contrat ;
–ne pas divulguer ces documents ou informations à d’autres personnes, qu’il s’agisse de personnes privées ou publiques, physiques ou morales ;
–prendre toutes mesures permettant d’éviter toute utilisation détournée ou frauduleuse des fichiers informatiques en cours d’exécution du contrat ;
–prendre toutes mesures de sécurité, notamment matérielles, pour assurer la conservation et l’intégrité des documents et informations traités pendant la durée du présent contrat ;
–en fin de contrat, à procéder à la destruction de tous fichiers manuels ou informatisés stockant les informations saisies.
Article 16 – Non sollicitation de personnel
Les Parties s’interdisent expressément de solliciter en vue d’une embauche, ou d’embaucher directement ou indirectement, toute personne, salariée ou non, intervenant pour le compte ou sous l’autorité de l’autre partie, sauf accord exprès et préalable de cette autre partie.
La présente clause de non sollicitation de personnel s’applique même lorsque le salarié concerné est à l’initiative de la sollicitation. La présente clause s’applique pendant toute la durée des présentes et pendant l’année qui suit le terme des présentes.
Article 17 – Assurances
Le Prestataire et le Client déclarent bénéficier tous deux, de contrats d’assurance de type responsabilité civile. En cas de demande, les copies de ces contrats, accompagnés des montants garanties devront être communiquées à la signature des présentes.
Article 18 – Responsabilité
La responsabilité du Prestataire ne pourra être engagée que pour des faits établis qui lui seraient directement imputables, pour faute lourde (perte des données du Client) ou manquement grave à ses obligations de conseil ou d’assistance.
La responsabilité du Prestataire ne pourra être engagée en cas de force majeure. Sont notamment considérés par les parties, aux termes des présentes, comme des cas de force majeure, les défaillances du réseau de fourniture d’électricité ou de télécommunication, grèves, tempêtes, guerres, tremblements de terre, pertes de connectivité Internet dues aux opérateurs des réseaux Internet, attaques de pirates informatiques, incendies, inondations et dégâts des eaux, virus informatique, arrêts ou incidents de machines, explosions et plus généralement tout événement ou circonstance hors de contrôle raisonnable de la partie concernée ou non occasionné par une faute ou une négligence de cette partie, ayant pour effet d’empêcher ou de retarder l’exécution par cette partie des obligations stipulées au présent contrat.
Sauf faute lourde, la responsabilité du Prestataire ne pourra pas être engagée du fait :
– de la contamination par virus des données et/ou logiciels du Client dont la protection incombe à ce dernier ;
– de la mauvaise programmation ou du mauvais paramétrage des applicatifs du Client hors du champ de la prestation de mise en place de l’Audit ;
– des intrusions malveillantes de tiers sur les systèmes informatiques du Client et/ou dans les messageries électroniques du Client malgré les mesures techniques raisonnables mises en place par le Prestataire ;
– des conséquences du détournement éventuel des mots de passe, codes confidentiels, et plus généralement de toute information à caractère sensible pour le Client ;
– des préjudices immatériels directs et/ou indirects, consécutifs ou non à un dommage matériel et/ou corporel, tels que préjudice commercial, perte de commandes, manque à gagner, atteinte à l’image de marque, trouble commercial quelconque, perte de bénéfices ou de clients.
Il est entendu que la responsabilité du Prestataire ne peut être écartée en cas de manquement à ses obligations essentielles telles que la mise en place des logiciels nécessaires à la prestation d’Audit, la préservation de la sécurité et de l’intégrité des données du Client avant toute intervention d‘Audit.
Article 19 – Sauvegarde de données
Il est convenu entre les Parties que la présente clause est essentielle et déterminante au consentement du Client. Avant le début des opérations d’Audit informatique, le Prestataire s’engage à effectuer lui-même pour le compte du Client ou à permettre au Client d’effectuer des sauvegardes régulières de ses données et de lui assurer une récupération rapide desdites données et applications stratégiques en cas de défaillance.
Article 20 – Durée
Le présent contrat est conclu entre les parties pour la durée d’exécution de l’Audit informatique telle que fixée au diagramme annexé aux présentes.
Article 21 – Résiliation
En cas de manquement par l’une des Parties aux présentes, auquel il n’aurait pas été remédié dans un délai de quinze jours à compter de la réception d’une lettre recommandée assortie d’un avis de réception notifiant le manquement et adressée par l’autre partie, cette dernière pourra résilier la prestation.
Article 22 – Litiges
En cas de difficultés ou de différend entre les parties à l’occasion de l’interprétation, de l’exécution ou de la résiliation des présentes, les parties conviennent de rechercher une solution amiable notamment par le recours à une médiation.
En cas de désaccord persistant, tout litige ou différend qui pourrait naître entre les parties à l’occasion de son interprétation ou de son exécution, relèvera de la compétence exclusive du tribunal de commerce de ………………… qui fera application de la loi française
Fait en deux exemplaires originaux
A ………….
Le …………
Pour le Client
Signature :
Pour le Prestataire
Signature :
|
Opérations d’Audit informatique en jour / homme |
|
• Evaluation …………….…………………………… euros HT (chiffres et lettres)
• Contrôle : ……………………………………. euros HT (chiffres et lettres)
• Interventions techniques : …………………. euros HT (chiffres et lettres)
• Rédaction du rapport d’Audit : …………………. euros HT (chiffres et lettres)
|
