Référentiels d'exigences pour la qualification

Cette rubrique vous présente les référentiels d'exigences applicables aux services qualifiés

Publié le 18 Août 2022 Mis à jour le 22 Février 2024

PACS – référentiel d’exigences – v1.0

Le référentiel PACS a pour objectif d’assister les responsables de la sécurité des systèmes d’information et leurs équipes dans leurs missions de protection des systèmes d’information, et notamment d’homologation de sécurité, de gestion des risques, de conception d’architectures sécurisées, et de préparation à la gestion de crises d’origine cyber.

Le référentiel couvre activités:

  1. Conseil en homologation de sécurité des systèmes d’information ;

  2. Conseil en gestion des risques de sécurité des systèmes d’information ;

  3. Conseil en sécurité des architectures des systèmes d’information ;

  4. Conseil en préparation à la gestion de crise d’origine cyber.

PASSI – référentiel d’exigences – v2.0

Le référentiel d’exigences relatif aux prestataires d’audit de la sécurité des systèmes d’information est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire d’audit, à son personnel ainsi qu’au déroulement des audits.

La qualification peut être délivrée aux prestataires d’audit pour les activités suivantes : audit d’architecture, audit de configuration, audit de code source, tests d’intrusion, audit organisationnel et physique.

PRIS – référentiel d’exigences – v2.0

Le référentiel d’exigences relatif aux prestataires de réponse aux incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de réponse aux incidents, à son personnel ainsi qu’au déroulement des prestations de réponse aux incidents.

La qualification peut être délivrée aux prestataires de réponse aux incidents pour les activités suivantes : pilotage technique, analyse système, analyse réseau et analyse de codes malveillants.

PDIS – Référentiel d’exigences – v.2.0

PDIS – Requirements reference document – v.2.0

Le référentiel d’exigences relatif aux prestataires de détection des incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de détection des incidents, à son personnel ainsi qu’au déroulement des prestations de détection des incidents.

La qualification peut être délivrée aux prestataires de détection des incidents pour l’ensemble de l’activité de détection d’incidents de sécurité.

PVID – référentiel d’exigences – v1.1

Les exigences formulées par ce référentiel portent sur le prestataire et la sécurité du système d’information permettant de fournir le service de vérification d’identité à distance. Il vise à créer une offre de services de vérification d’identité à distance robuste et répondant au besoin de confiance des utilisateurs, des commanditaires de telles prestations et des régulateurs. Ce référentiel permet d’attester que la mise en œuvre des mesures de réduction de la fraude pertinente par les services certifiés selon deux niveaux de garantie : substantiel et élevé.

MIE – référentiel d’exigences – v1.2

Le référentiel d’exigences pour les moyens d’identification électronique précise au niveau national les spécifications techniques et les procédures minimales définies dans le règlement d’exécution 2015/1502 pour les niveaux de garantie :

  • Faible: l’objectif est de limiter le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : les moyens d’identification électronique reposant sur un identifiant / mot de passe ;
  • Substantiel: l’objectif est de limiter substantiellement le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : certains moyens d’identification électronique reposant sur deux facteurs d’authentification ;
  • Élevé: l’objectif est d’empêcher le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : certains moyens d’identification électronique reposant sur deux facteurs d’authentification dont l’un repose sur un composant cryptographique qualifié par l’ANSSI.

SecNumCloud – référentiel d’exigences – v3.2

 

Le référentiel d’exigences relatif aux prestataires de service d’informatique en nuage est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de service d’informatique en nuage, à son personnel ainsi qu’au déroulement des prestations.

La qualification peut être délivrée aux prestataires de service d’informatique en nuage pour des services de type SaaS (Software as a service), PaaS (Platform as a service) et IaaS (Infrastructure as a service.

PAMS – référentiel d’exigences – v1.1

Le référentiel d’exigences relatif aux prestataires d’administration et de maintenance sécurisées est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives aux prestataires d’administration et de maintenance sécurisées, à son personnel ainsi qu’au déroulement des prestations. La qualification peut être délivrée au prestataire de d’administration et de maintenance pour l’ensemble de l’activité d’administration et de maintenance sécurisée.

Les référentiels d’exigences relatifs aux prestataires de services de confiance formalisent les règles applicables aux organismes désirant obtenir une qualification dans les domaines suivants :

  • Délivrance de certificats électroniques
  • Horodatage électronique
  • Validation des signatures et cachets électroniques
  • Conservation des signatures et cachets électroniques
  • Envoi recommandé électronique

Les référentiels d’exigences pour la qualification des prestataires de services de confiance au titre du Référentiel Général de Sécurité sont disponibles ici.

Les référentiels d’exigences pour la qualification des prestataires de services de confiance au titre du règlement n°910/2014 « eIDAS » sont disponibles ici.