Services qualifiés

Audit

La qualification PASSI a pour but d’accroître la qualité des audits de sécurité en imposant certains critères, qui sont garantis par la réalisation d’une prestation qualifiée conforme au référentiel PASSI, annexé à l’Arrêté Ministériel 2017-625 du 16 août 2017.

Pour le commanditaire de l’audit, il est donc préférable de demander une prestation qualifiée lors d’un recours à un PASSI.

La valeur ajoutée d’une prestation qualifiée d’audit :

Garantie de compétences des auditeurs en charge de l’audit
Garantie de déontologie, de protection et de confidentialité des données, rapports et documents échangés
Garantie d’une méthodologie appropriée aux audits de sécurité

Liste des prestataires qualifiés ou en cours de qualification et activités couvertes

Seules apparaissent les activités pour lesquelles les prestataires sont qualifiés.

PDF187,5 kB

Activités qualifiées et en cours de qualification

Liste des organismes de certification

Les centres d'évaluation agréés par l'AMSN pour l'évaluation de la conformité des prestataires d'audit de la sécurité des systèmes d'information, au titre de l'Arrêté Ministériel n° 2017-625 du 16 août 2017, sont listés ci-après.

LSTI, 10 avenue Anita Conti, 35400 Saint-Malo. Tél.: +33 (0)2 72 88 12 45.

Vers le site web

Certi-Trust, 27 place de la Madeleine, 75008 Paris. Tél.: +33 (0)7 61 56 58 37.

Vers le site web

Liste des textes règlementaires pour la préparation à l'examen d'évaluation des compétences

Conformément au référentiel d’exigences concernant la qualification des PASSI annexé à l’arrêté n°2017-625, chaque auditeur doit disposer de 2 attestations de compétence en cours de validité (chacune de trois ans) pour pouvoir participer à des audits qualifiés en Principauté.

La première est délivrée par un centre d'évaluation agréé (voir ci-dessus), et porte sur les aspects techniques.
La deuxième est délivrée par le directeur de l’AMSN et porte sur les aspects réglementaires monégasques.

Vous trouverez ci-dessous la liste des textes à travailler en vue de l’obtention de la deuxième attestation.

L’examen se présente sous la forme d’un questionnaire écrit de 20 questions valant chacune un maximum d’un (1) point, par tranche de 0,25 point. Il dure 2 heures maximum.

La moyenne (10/20) est exigée pour obtenir l’attestation.

PDF479,7 kB

Liste des textes

IaaS, PaaS, SaaS, Hébergement

Les Prestataires d’Informatique en Nuage et d’Hébergement (PINH) proposent des services de type IaaS, PaaS, SaaS, ainsi que des services d’hébergement selon le référentiel PINH (annexe à l'Arrêté Ministériel n° 2018-1108 du 26 novembre 2018). Les usagers peuvent ainsi fonder leur confiance envers leurs prestataires sur cette qualification.

Deux niveaux sont possibles selon le référentiel :

Le Niveau Essentiel permet le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client. Il assure notamment le respect des bonnes pratiques de sécurité relevant de l’hygiène informatique telles que décrites dans le guide d’hygiène informatique de l'ANSSI.

Le Niveau Avancé permet le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence importante pour le client, voire pourrait mettre en péril sa pérennité.

Les exigences pour le Niveau Avancé sont celles du Niveau Essentiel avec en plus l’obligation :

que le service soit effectué sur le territoire de la Principauté, avec garantie qu’aucune information d’administration et de supervision ne puisse sortir du territoire ;
que le stockage des données soit effectué sur le territoire de la Principauté, sans aucune possibilité de sortie ;
que certaines recommandations, précisées dans le référentiel, du Niveau Essentiel deviennent des obligations ;
que la prestation réalisée par le PINH soit conforme à la Politique de Sécurité des Systèmes d’Information de l’État.

Le Niveau Avancé est obligatoire pour les données sensibles de l’État et des établissements publics.