Référentiels d'exigences pour la qualification
Cette rubrique vous présente les référentiels d'exigences applicables aux services qualifiés
Prestataire d'accompagnement et de conseil en sécurité des systèmes d'information (PACS)
Référentiel: PACS – référentiel d’exigences – v1.1
Trame d'évaluation : PACS – trame d'évaluation – v2.0
Le référentiel PACS a pour objectif d’assister les responsables de la sécurité des systèmes d’information et leurs équipes dans leurs missions de protection des systèmes d’information, et notamment d’homologation de sécurité, de gestion des risques, de conception d’architectures sécurisées, et de préparation à la gestion de crises d’origine cyber.
Le référentiel couvre activités:
Conseil en homologation de sécurité des systèmes d’information ;
Conseil en gestion des risques de sécurité des systèmes d’information ;
Conseil en sécurité des architectures des systèmes d’information ;
Conseil en préparation à la gestion de crise d’origine cyber.
Autres ressources:
Ancienne version du référentiel: PACS – référentiel d’exigences – v1.0
Prestataire d'audit de sécurité des systèmes d'information (PASSI)
Référentiel: PASSI – référentiel d’exigences – v2.2
Trame d'évaluation : PASSI – trame d'évaluation – v1.2
Le référentiel d’exigences relatif aux prestataires d’audit de la sécurité des systèmes d’information est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire d’audit, à son personnel ainsi qu’au déroulement des audits.
La qualification peut être délivrée aux prestataires d’audit pour les activités suivantes : audit d’architecture, audit de configuration, audit de code source, tests d’intrusion, audit organisationnel et physique.
Autres ressources:
Référentiel (anglais): Cyber security audit service providers – Requirements Baseline – v2.2
Ancienne version du référentiel (obsolète): PASSI – référentiel d’exigences – v2.0
Prestataire de réponse aux incidents de sécurité (PRIS)
Référentiel: PRIS – référentiel d’exigences – v3.0 [Nouveau]
Trame d'évaluation : PRIS – trame d'évaluation – v1.2 [Nouveau]
Le référentiel d’exigences relatif aux prestataires de réponse aux incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de réponse aux incidents, à son personnel ainsi qu’au déroulement des prestations de réponse aux incidents.
La qualification peut être délivrée aux prestataires de réponse aux incidents pour les activités suivantes : recherche d’indicateurs de compromission, investigation numérique, analyse de codes malveillants, pilotage et coordination des investigations.
Autres ressources:
Référentiel (anglais): Cyber security incident response service providers – Requirements Baseline – v3.0
Ancienne version du référentiel (obsolète): PRIS – référentiel d’exigences – v3.0
Prestataire de détection des incidents de sécurité (PDIS)
Référentiel: PDIS – Référentiel d’exigences – v.2.0
Référentiel (anglais) PDIS – Requirements reference document – v.2.0
Addendum: Addendum au référentiel PDIS v2.0 [Nouveau]
Trame d'évaluation : PDIS – trame d'évaluation – v1.1 [Nouveau]
Le référentiel d’exigences relatif aux prestataires de détection des incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de détection des incidents, à son personnel ainsi qu’au déroulement des prestations de détection des incidents.
La qualification peut être délivrée aux prestataires de détection des incidents pour l’ensemble de l’activité de détection d’incidents de sécurité.
Prestataire de vérification d'identité à distance (PVID)
PVID – référentiel d’exigences – v1.1
Les exigences formulées par ce référentiel portent sur le prestataire et la sécurité du système d’information permettant de fournir le service de vérification d’identité à distance. Il vise à créer une offre de services de vérification d’identité à distance robuste et répondant au besoin de confiance des utilisateurs, des commanditaires de telles prestations et des régulateurs. Ce référentiel permet d’attester que la mise en œuvre des mesures de réduction de la fraude pertinente par les services certifiés selon deux niveaux de garantie : substantiel et élevé.
Moyens d'identification électronique (MIE)
MIE – référentiel d’exigences – v1.2
Le référentiel d’exigences pour les moyens d’identification électronique précise au niveau national les spécifications techniques et les procédures minimales définies dans le règlement d’exécution 2015/1502 pour les niveaux de garantie :
Faible: l’objectif est de limiter le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : les moyens d’identification électronique reposant sur un identifiant / mot de passe ;
Substantiel: l’objectif est de limiter substantiellement le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : certains moyens d’identification électronique reposant sur deux facteurs d’authentification ;
Élevé: l’objectif est d’empêcher le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : certains moyens d’identification électronique reposant sur deux facteurs d’authentification dont l’un repose sur un composant cryptographique qualifié par l’ANSSI.
Prestataire de services sécurisés d'information en nuage (SecNumCloud)
SecNumCloud – référentiel d’exigences – v3.2
Le référentiel d’exigences relatif aux prestataires de service d’informatique en nuage est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de service d’informatique en nuage, à son personnel ainsi qu’au déroulement des prestations.
La qualification peut être délivrée aux prestataires de service d’informatique en nuage pour des services de type SaaS (Software as a service), PaaS (Platform as a service) et IaaS (Infrastructure as a service.
Prestataire d'administration et de maintenance sécurisées (PAMS)
PAMS – référentiel d’exigences – v1.1
Le référentiel d’exigences relatif aux prestataires d’administration et de maintenance sécurisées est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives aux prestataires d’administration et de maintenance sécurisées, à son personnel ainsi qu’au déroulement des prestations. La qualification peut être délivrée au prestataire de d’administration et de maintenance pour l’ensemble de l’activité d’administration et de maintenance sécurisée.
Prestataire de services relatifs à la confiance numérique
Les référentiels d’exigences relatifs aux prestataires de services de confiance formalisent les règles applicables aux organismes désirant obtenir une qualification dans les domaines suivants :
Délivrance de certificats électroniques
Horodatage électronique
Validation des signatures et cachets électroniques
Conservation des signatures et cachets électroniques
Envoi recommandé électronique
Les référentiels d’exigences pour la qualification des prestataires de services de confiance au titre du Référentiel Général de Sécurité sont disponibles ici.
Les référentiels d’exigences pour la qualification des prestataires de services de confiance au titre du règlement n°910/2014 « eIDAS » sont disponibles ici.