Référentiels d’exigences


Prestataires de services de certification électronique (PSCE) et les prestataires de services d’’horodatage électronique (PSHE)

La première version du Référentiel général de sécurité (RGS) fixe les règles permettant de qualifier deux catégories de PSCO : les prestataires de services de certification électronique (PSCE) et les prestataires de services d’horodatage électronique (PSHE). Ces règles figurent dans des référentiels techniques annexés au RGS, appelés « politiques de certification type » et « politique d’horodatage type ».

Il existe une politique de certification type pour chacun des usages des certificats électroniques autorisés, à savoir :

  • chiffrement (annexe A6) ;
  • authentification de personne (annexe A7) ;
  • signature électronique (annexe A8) ;
  • authentification de machine (annexe A9) ;
  • cachet (annexe A10) ;
  • authentification et signature électronique (annexe A11).

A la différence de la politique d’horodatage type (annexe A12), qui ne fixe qu’un unique niveau de sécurité, les politiques de certification type distinguent trois niveaux de sécurité, aux exigences croissantes : une étoile (*), deux étoiles (**) et trois étoiles (***).

Annexes A6 à A12 du RGS

RGS_A_6 – Politique de Certification Type « Confidentialité » – version 2.3

RGS_A_7 – Politique de Certification Type « Authentification » – version 2.3

RGS_A_8 – Politique de Certification Type « Signature électronique » – version 2.3

RGS_A_9 – Politique de Certification Type « Authentification serveur » – version 2.3

RGS_A_10 – Politique de Certification Type « Cachet » – version 2.3

RGS_A_11 – Politique de Certification Type « Authentification et Signature » – version 2.3

RGS_A_12 – Politique d’Horodatage Type – version 2.3

 

Prestataires d’audit de la SSI

Le référentiel d’exigences relatif aux prestataires d’audit de la sécurité des systèmes d’information est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire d’audit, à son personnel ainsi qu’au déroulement des audits.

La qualification peut être délivrée aux prestataires d’audit pour les activités suivantes : audit d’architecture, audit de configuration, audit de code source, tests d’intrusion, audit organisationnel et audit des systèmes industriels.

PASSI – référentiel d’exigences – v2.1

 

Prestataires de réponse aux incidents de sécurité

Le référentiel d’exigences relatif aux prestataires de réponse aux incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de réponse aux incidents, à son personnel ainsi qu’au déroulement des prestations de réponse aux incidents.

La qualification peut être délivrée aux prestataires de réponse aux incidents pour les activités suivantes : pilotage technique, analyse système, analyse réseau et analyse de codes malveillants.

PRIS – référentiel d’exigences – v1

PRIS – référentiel d’exigences – v.2

 

Prestataires de détection des incidents de sécurité

Le référentiel d’exigences relatif aux prestataires de détection des incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de détection des incidents, à son personnel ainsi qu’au déroulement des prestations de détection des incidents.

La qualification peut être délivrée aux prestataires de détection des incidents pour l’ensemble de l’activité de détection d’incidents de sécurité.

PDIS – Référentiel d’exigences – v1.0

PDIS – Requirements reference document – v.1

 

Prestataires de service d’informatique en nuage (SecNumCloud)

Le référentiel d’exigences relatif aux prestataires de service d’informatique en nuage est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de service d’informatique en nuage, à son personnel ainsi qu’au déroulement des prestations.

La qualification peut être délivrée aux prestataires de service d’informatique en nuage pour des services de type SaaS (Software as a service), PaaS (Platform as a service) et IaaS (Infrastructure as a service).

SecNumCloud – référentiel d’exigences – niveau Essentiel – v3.0

SecNumCloud – Requirements reference document – Essential level – v.3.0