logo premier ministre

ANSSI

logo Agence nationale de la sécurité des systèmes d’information

Agence nationale
de la sécurité
des systèmes d’information


Vous êtes ici : Accueil > Certification / Qualification > Qualification d’un prestataire de service de confiance > Référentiels techniques de qualification des PSCO

Référentiels techniques de qualification des PSCO

16 décembre 2011
Imprimer Les fils d’actualité RSS de ssi.gouv.fr Envoyer cette page Réduire la taille du texte Agrandir la taille du texte

Prestataires de services de certification électronique (PSCE) et les prestataires de services d’horodatage électronique (PSHE)

La première version du Référentiel général de sécurité (RGS) fixe les règles permettant de qualifier deux catégories de PSCO : les prestataires de services de certification électronique (PSCE) et les prestataires de services d’horodatage électronique (PSHE). Ces règles figurent dans des référentiels techniques annexés au RGS, appelés "politiques de certification type" et "politique d’horodatage type".

Il existe une politique de certification type pour chacun des usages des certificats électroniques autorisés, à savoir :

  • chiffrement (annexe A6) ;
  • authentification de personne (annexe A7) ;
  • signature électronique (annexe A8) ;
  • authentification de machine (annexe A9) ;
  • cachet (annexe A10) ;
  • authentification et signature électronique (annexe A11).

A la différence de la politique d’horodatage type (annexe A12), qui ne fixe qu’un unique niveau de sécurité, les politiques de certification type distinguent trois niveaux de sécurité, aux exigences croissantes : une étoile (*), deux étoiles (**) et trois étoiles (***).

Annexes A6 à A12 du RGS

PDF - 934.5 ko
RGS_A_6
PDF - 934.5 ko
Politique de Certification Type "Confidentialité"
version 2.3
PDF - 920.3 ko
RGS_A_7
PDF - 920.3 ko
Politique de Certification Type "Authentification"
version 2.3
PDF - 912.8 ko
RGS_A_8
PDF - 912.8 ko
Politique de Certification Type "Signature électronique"
version 2.3
PDF - 1 Mo
RGS_A_9
PDF - 1 Mo
Politique de Certification Type "Authentification serveur"
version 2.3
PDF - 1 Mo
RGS_A_10
PDF - 1 Mo
Politique de Certification Type "Cachet"
version 2.3
PDF - 892 ko
RGS_A_11
PDF - 892 ko
Politique de Certification Type "Authentification et Signature"
version 2.3
PDF - 676.3 ko
RGS_A_12
PDF - 676.3 ko
Politique d’Horodatage Type
version 2.3

Prestataires d’audit de la SSI

Le référentiel d’exigences relatif aux prestataires d’audit de la sécurité des systèmes d’information est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire d’audit, à son personnel ainsi qu’au déroulement des audits.

La qualification peut être délivrée aux prestataires d’audit pour les activités suivantes : audit d’architecture, audit de configuration, audit de code source, tests d’intrusion, audit organisationnel.

Ce référentiel sera référencé dans la prochaine version du Référentiel général de sécurité (RGS), au même titre que les référentiels qui permettent aujourd’hui la qualification des prestataires de certification électronique et d’horodatage électronique.

Les autorités administratives peuvent utiliser ce référentiel, en totalité ou en partie, dans les cahiers des charges de leurs appels d’offres de prestations d’audit. Une fois le nombre de qualifications de prestataires d’audit suffisant, elles pourront également requérir que l’audit soit réalisé par un prestataire qualifié.

PDF - 213.6 ko
Prestataires d’audit de la sécurité des systèmes d’information - Référentiel d’exigences
PDF - 213.6 ko