Ce site est une archive officieuse de l'ancien site de l'ANSSI, remplacé fin novembre 2023.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.

Référentiels d’exigences

Prestataires de services de certification électronique (PSCE) et les prestataires de services d’horodatage électronique (PSHE)

La première version du Référentiel général de sécurité (RGS) fixe les règles permettant de qualifier deux catégories de PSCO : les prestataires de services de certification électronique (PSCE) et les prestataires de services d’horodatage électronique (PSHE). Ces règles figurent dans des référentiels techniques annexés au RGS, appelés « politiques de certification type » et « politique d’horodatage type ». Il existe une politique de certification type pour chacun des usages des certificats électroniques autorisés, à savoir :
  • chiffrement (annexe A6) ;
  • authentification de personne (annexe A7) ;
  • signature électronique (annexe A8) ;
  • authentification de machine (annexe A9) ;
  • cachet (annexe A10) ;
  • authentification et signature électronique (annexe A11).
A la différence de la politique d’horodatage type (annexe A12), qui ne fixe qu’un unique niveau de sécurité, les politiques de certification type distinguent trois niveaux de sécurité, aux exigences croissantes : une étoile (*), deux étoiles (**) et trois étoiles (***). Annexes A6 à A12 du RGS RGS_A_6 – Politique de Certification Type « Confidentialité » – version 2.3 RGS_A_7 – Politique de Certification Type « Authentification » – version 2.3 RGS_A_8 – Politique de Certification Type « Signature électronique » – version 2.3 RGS_A_9 – Politique de Certification Type « Authentification serveur » – version 2.3 RGS_A_10 – Politique de Certification Type « Cachet » – version 2.3 RGS_A_11 – Politique de Certification Type « Authentification et Signature » – version 2.3 RGS_A_12 – Politique d’Horodatage Type – version 2.3  

Prestataires d’audit de la SSI

Le référentiel d’exigences relatif aux prestataires d’audit de la sécurité des systèmes d’information est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire d’audit, à son personnel ainsi qu’au déroulement des audits. La qualification peut être délivrée aux prestataires d’audit pour les activités suivantes : audit d’architecture, audit de configuration, audit de code source, tests d’intrusion, audit organisationnel et audit des systèmes industriels. PASSI – référentiel d’exigences – v2.1 PASSI requierements rules set v2.1    

Prestataires de réponse aux incidents de sécurité

Le référentiel d’exigences relatif aux prestataires de réponse aux incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de réponse aux incidents, à son personnel ainsi qu’au déroulement des prestations de réponse aux incidents.

La qualification peut être délivrée aux prestataires de réponse aux incidents pour les activités suivantes : pilotage technique, analyse système, analyse réseau et analyse de codes malveillants.

PRIS – référentiel d’exigences

 

Prestataires de détection des incidents de sécurité

Le référentiel d’exigences relatif aux prestataires de détection des incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de détection des incidents, à son personnel ainsi qu’au déroulement des prestations de détection des incidents.

La qualification peut être délivrée aux prestataires de détection des incidents pour l’ensemble de l’activité de détection d’incidents de sécurité.

PDIS – Référentiel d’exigences – v.2

PDIS – Requirements reference document – v.2

 

Prestataires de service d’informatique en nuage (SecNumCloud)

Le référentiel d’exigences relatif aux prestataires de service d’informatique en nuage est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de service d’informatique en nuage, à son personnel ainsi qu’au déroulement des prestations. La qualification peut être délivrée aux prestataires de service d’informatique en nuage pour des services de type SaaS (Software as a service), PaaS (Platform as a service) et IaaS (Infrastructure as a service). Pour plus de détails, retrouvez la FAQ SecNumCloud SecNumCloud – référentiel d’exigences – v3.2  

Prestataires d’administration et de maintenance sécurisées (PAMS)

Le référentiel d’exigences relatif aux prestataires d’administration et de maintenance sécurisées est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives aux prestataires d’administration et de maintenance sécurisées, à son personnel ainsi qu’au déroulement des prestations. La qualification peut être délivrée au prestataire de d’administration et de maintenance pour l’ensemble de l’activité d’administration et de maintenance sécurisée. PAMS – Référentiel d’exigences – v1.1

À voir aussi