Procédure d habilitation Version 1.1 Page 1/12
Historique des versions Date Version Évolutions du document 17/12/2010 1.0 Première version. 29/02/2012 1.1 Prise en compte de la date de la publication de l arrêté Commentaires Les commentaires sur le présent document sont à adresser à : Service Projets 64-70 allée de Bercy 75012 Paris rgs.dgme@finances.gouv.fr Page 2/12
Sommaire 1. INTRODUCTION... 4 1.1. OBJET DU DOCUMENT... 4 1.2. ACRONYMES... 4 1.3. REFERENCES DOCUMENTAIRES... 5 2. PROCEDURE D HABILITATION... 6 2.1. DEMANDE D HABILITATION... 6 2.2. EXAMEN DU DOSSIER DE DEMANDE D HABILITATION... 7 2.3. ÉVALUATION DE L ORGANISME CANDIDAT... 7 2.3.1. Analyse documentaire et audit... 7 2.3.2. Connexions avec des régions instables ou ennemies de l État... 8 2.3.3. Vérification des compétences techniques des évaluateurs... 8 2.4. DECISION D HABILITATION... 8 3. VIE DE L HABILITATION... 9 3.1. SUIVI DE L HABILITATION... 9 3.2. MODIFICATION DE LA PORTEE DE L HABILITATION... 9 3.3. ARRIVEES ET DEPARTS D EVALUATEURS... 9 3.4. RENOUVELLEMENT DE L HABILITATION... 10 3.5. SUSPENSION ET RETRAIT DE L HABILITATION... 10 4. ANNEXE : PORTEE DE L HABILITATION... 12 Page 3/12
1. Introduction 1.1. Objet du document Ce document présente la procédure d habilitation des organismes (ci-après nommés «organismes») qui procèdent à l évaluation des produits de sécurité et des prestataires de services de confiance (PSCO) en vue de leur référencement par l État, tel que défini : dans l article 12 de l ordonnance n 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ([Ordonnance]) ; dans le décret n 2010-112 du 8 décembre 2005 pris pour l application des articles 9, 10 et 12 de l [Ordonnance], notamment son article 24 ; dans l arrêté du 18 janvier 2012 relatif au référencement de produits de sécurité ou d offres de prestataires de services de confiance [Arrêté]. La procédure d habilitation permet de s assurer que l organisme : dispose de la capacité professionnelle pour mener à bien les opérations d évaluation par rapport aux règles définies dans le référentiel général de sécurité ([RGS]) et le cahier des charges de référencement RGS ([Cahier_Charges_Référencement_RGS]) ; réalise des prestations dans le respect des exigences fixées dans le document «Habilitation des organismes évaluateurs pour le Recueil d exigences» ([Exigences_Habilitation]). La première version applicable du document [Cahier_Charges_Référencement_RGS] précise le périmètre des produits de sécurité et des PSCO qui peuvent être référencés selon le RGS : PSCO : prestataires de services de certification électronique (PSCE) délivrant des certificats électroniques, destinés aux particuliers et aux agents de l administration, conformes aux exigences des niveaux ** et *** pour les fonctions de sécurité «Authentification» et «Signature» tels que définis dans le RGS ; produits de sécurité : dispositifs d authentification et de signature électronique pour ces mêmes niveaux et usages. L habilitation de nouvelles familles de PSCO ou de nouveaux produits de sécurité sera traitée dans une prochaine version du présent document. 1.2. Acronymes COFRAC : Comité français d accréditation DGME : PSCE : Prestataire de services de certification électronique PSCO : Prestataire de services de confiance RGS : Référentiel général de sécurité Page 4/12
1.3. Références documentaires Référence Document [Cahier_Charges_Référencement_RGS] Cahier des charges pour le référencement selon le RGS des produits de sécurité et des offres de prestataires de services de confiance ; version 1 du 14 février 2012. [CEPE-REF-21] Exigences spécifiques pour la qualification des prestataires de services de confiance. [Exigences_Habilitation] Recueil d exigences ; version 1.1 du 29 février 2012. [Ordonnance] [RGS] [Décret] [Arrêté] Ordonnance n 2005-1516 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Référentiel général de sécurité ; version 1.0 du 6 mai 2010. Décret n 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Arrêté du 18 janvier 2012 relatif au référencement de produits de sécurité ou d offres de prestataires de services de confiance. Page 5/12
2. Procédure d habilitation 2.1. Demande d habilitation La demande d habilitation, constituée d une lettre de demande et d un dossier de demande rédigés en français, doit être adressée par courrier postal à la (DGME) à l adresse suivante : Ministère du Budget, des Comptes Publics et de la Réforme de l'état Direction Générale de la Modernisation de l'état Service Projets Correspondant RGS 64 à 70 Allée de Bercy Bâtiment Sully 75572 Paris Cedex 12 La lettre de demande est signée par le responsable de l organisme candidat à l habilitation. Par son acte de candidature, le représentant légal ou la personne mandatée par le représentant légal de l organisme s engage automatiquement à : certifier que les informations contenues dans le dossier de demande d habilitation sont exactes ; rendre compte à la DGME, dans les plus brefs délais, et ce même après la délivrance de l habilitation, de toute évolution du contenu du dossier de demande d habilitation, en particulier de tout changement de la structure de l organisme, de son organisation ou de son personnel ; assurer à la DGME l accès à ses locaux et à l ensemble des documents utilisés dans le cadre du référencement de produits de sécurité ou de prestataires de services de confiance (PSCO) ; autoriser la DGME à contrôler à tout moment le déroulement d une évaluation d un produit de sécurité ou d un PSCO, dans les locaux de l organisme ou directement chez son client. Le dossier de demande d habilitation doit comporter : un extrait K-BIS de la société dont dépend l organisme candidat datant de moins de trois mois (ou équivalent pour un organisme candidat non français) ; une déclaration que l organisme ou son l entité à laquelle il appartient n est pas en redressement judiciaire ; un dossier permettant d apprécier la santé financière et les capacités professionnelles de l organisme candidat, comprenant : - une présentation générale de l organisme précisant notamment ses moyens, ses ressources, son expérience, ses certifications et habilitations ainsi qu un ou plusieurs organigrammes présentant ses effectifs et les responsabilités de ses collaborateurs ; - les expériences et références de prestations similaires, avec le montant des opérations, les noms et coordonnées des contacts chez les clients et les périodes de réalisation des prestations ; - le chiffre d affaires pour les 3 dernières années ; la portée détaillée de l habilitation demandée, telle que précisée en annexe ; Page 6/12
pour une demande d habilitation dont la portée couvre l évaluation de prestataires de services de certification électronique, une photocopie de l attestation d accréditation et de son annexe précisant la portée de l accréditation délivrée par le COFRAC, sur la base de la norme [ISO- 17021] complétée des exigences spécifiques liées à la qualification des PSCO décrites dans le document [CEPE-REF-21] ; les dossiers permettant d apprécier les compétences techniques du personnel réalisant les opérations d évaluation des produits de sécurité et/ou des PSCO pour le compte de l organisme candidat (ci-après nommés «évaluateurs»). Chaque dossier est propre à une personne et comprend les documents suivants : - une photocopie d une pièce d identité valide ; - le curriculum vitae de l évaluateur précisant notamment ses diplômes, les formations à la sécurité des systèmes d information et à l audit qu il a suivies, les certifications reçues, ainsi que l expérience acquise ; - un document détaillant l expertise et l expérience de l évaluateur, pour le domaine technique concerné qui peut être tout ou partie de la portée de l habilitation demandée, en matière de a) système d information, b) sécurité des systèmes d information, c) évaluation de PSCO ou de produits de sécurité ; - le type de contrat avec l organisme candidat. l engagement signé par le responsable de l organisme candidat à respecter l intégralité des exigences définies dans le document [Exigences_Habilitation] ; le cas échéant, l attestation d habilitation de l organisme pour la qualification au sens du RGS de produits de sécurité et/ou PSCO ; tout autre élément pouvant apporter des informations utiles sur l organisme candidat et son aptitude à mener les opérations d évaluation dans le cadre du référencement selon l [Ordonnance] de produits de sécurité et de PSCO. 2.2. Examen du dossier de demande d habilitation La DGME accuse réception de la demande d habilitation, désigne une personne qui coordonne le traitement de la demande, et en informe l organisme candidat. La DGME vérifie la complétude du dossier de demande d habilitation et demande, le cas échéant, la fourniture de pièces complémentaires. 2.3. Évaluation de l organisme candidat 2.3.1. Analyse documentaire et audit La DGME évalue l aptitude de l organisme à mener les opérations d évaluation pour le référencement des produits de sécurité et des PSCO sur la base du dossier de demande d habilitation décrit précédemment. Pour compléter cette analyse, un audit complémentaire dans les locaux de l organisme candidat peut être demandé et effectué par la DGME ou toute autorité administrative mandatée par elle. L objectif de cet audit complémentaire est de vérifier que : les éléments fournis dans le dossier de demande sont conformes à ce qui est observé sur site lors de l audit ; Page 7/12
la compétence technique de l organisme candidat à conduire l évaluation des offres de produits de sécurité et des PSCO est réelle et adaptée. 2.3.2. Connexions avec des régions instables ou ennemies de l État La DGME se réserve le droit de refuser d habiliter l organisme candidat si celui-ci : Possède son siège social dans une région géographique politiquement instable ou considérée comme ennemie des intérêts français ; est rattaché juridiquement ou financièrement à une entité dont le siège est situé dans une région géographique politiquement instable ou considérée comme ennemie des intérêts français. 2.3.3. Vérification des compétences techniques des évaluateurs Dans le dossier de demande d habilitation, l organisme candidat fournit à la DGME la liste des évaluateurs qui réalisent, pour son compte, les évaluations au regard des règles définies dans les documents [RGS] et [Cahier_Charges_Référencement_RGS]. Les évaluateurs doivent être compétents en technologie de l information, ainsi qu expérimentés pour évaluer la sécurité des systèmes d information et notamment les produits de sécurité et les PSCO. La maîtrise des outils techniques (ex : applications informatiques, bancs de test technique, etc.) nécessaires à l évaluation doit également être démontrée. La vérification de cette compétence technique et son estimation est du ressort de la DGME qui peut pour cela procéder notamment à des entretiens avec les évaluateurs, voire même les accompagner lors d une évaluation réelle chez l un des clients de l organisme, après en avoir convenu avec l organisme. Les compétences des évaluateurs doivent être en adéquation avec la portée de l habilitation demandée (connaissances techniques et expérience nécessaire pour exercer les activités correspondantes). 2.4. Décision d habilitation La décision d habilitation est prononcée par le ministre chargé de la réforme de l État. Le cas échéant, l habilitation peut être délivrée avec des restrictions portant sur : les familles de PSCO (et éventuellement les usages et niveaux de sécurité des fonctions de sécurité mises en œuvre par le PSCO tels que définis dans le RGS) que l organisme peut évaluer. Les précisions sont indiquées dans la portée de l habilitation ; les évaluateurs de l organisme : la DGME se réserve le droit de refuser que certains évaluateurs de l organisme habilité participent aux évaluations de produits de sécurité ou PSCO en vue de leur référencement selon l [Ordonnance], le [Décret] et l [Arrêté] par la DGME. La décision d habilitation est valable pour une durée maximale de trois ans. La DGME met en ligne sur son site Internet la liste des organismes habilités. Page 8/12
3. Vie de l habilitation Conformément à la section 2.1, l organisme doit transmettre à la DGME, dans les plus brefs délais, et ce même après la délivrance de l habilitation, les versions mises à jour des éléments du dossier de demande d habilitation pour refléter toute évolution de l organisme pouvant avoir une incidence sur son habilitation (ex : changement de la structure de l organisme, de son organisation ou de son personnel). 3.1. Suivi de l habilitation La DGME peut s assurer à tout moment que l organisme continue de satisfaire aux critères d habilitation. Il s agit ici de vérifier que : les capacités professionnelles de l organisme sont toujours adaptées à la bonne réalisation des évaluations des produits de sécurité et des PSCO pour lesquels il est habilité ; les exigences définies dans le document [Exigences_Habilitation] sont bien respectées. Pour cela, la DGME peut : procéder à un nouvel audit de l organisme (sur son site et/ou lors d une évaluation chez l un de ses clients) ; effectuer une nouvelle vérification des compétences des évaluateurs ; revoir les documents rédigés dans le cadre d évaluations récentes ; s entretenir avec les clients de l organisme qui ont fait l objet d une évaluation récente. 3.2. Modification de la portée de l habilitation L organisme habilité peut demander à la DGME une extension de la portée de son habilitation. Cela peut intervenir dans les cas suivants : L organisme s est attaché les services d évaluateur(s) dans un nouveau domaine ; Le périmètre du document [Cahier_Charges_Référencement_RGS] a été étendu pour couvrir de nouveaux domaines (ex : nouvelles fonctions de sécurité ou nouveaux niveaux de sécurité définis dans le RGS) et l organisme dispose des compétences professionnelles nécessaires pour mener les opérations d évaluation sur le nouveau périmètre. Dans ces deux cas, il transmet à la DGME sa demande et l ensemble des éléments qui la justifient, en français, par courrier postal à l adresse indiquée dans la section 2.1. La DGME instruit la demande et décide de l extension de la portée d habilitation. Lorsque la DGME considère que la portée de l habilitation d un organisme doit être restreinte, par exemple dans le cas où l organisme a perdu les services d experts dans des domaines précis, elle instruit en relation avec l organisme la réduction de la portée de son habilitation. 3.3. Arrivées et départs d évaluateurs L organisme habilité informe la DGME de toute arrivée ou départ d évaluateur(s). Dans le cas d une arrivée, l organisme habilité transmet à la DGME les pièces suivantes rédigées en français : le dossier permettant d apprécier des compétences techniques des nouveaux évaluateurs (voir section 2.1) ; Page 9/12
éventuellement, une demande d extension de la portée d habilitation dans le cas où les nouveaux évaluateurs disposent de compétences nouvelles permettant d évaluer des produits ou PSCO pour lesquels l organisme n est pas habilité. La DGME instruit la demande et informe l organisme de l acceptation ou du refus que les nouveaux évaluateurs participent à des opérations d évaluation dans le but d attribuer un référencement selon l [Ordonnance]. La DGME modifie, le cas échéant, la portée de l habilitation et en informe l organisme (voir section 3.2). Dans le cas d un départ, la DGME peut demander à réviser la portée de l habilitation (voir section 3.2). 3.4. Renouvellement de l habilitation Au plus tard deux mois ouvrés avant l échéance de la validité de l habilitation, l organisme doit, s il le souhaite, demander à la DGME par courrier postal le renouvellement de son habilitation. L adresse à utiliser pour cette demande est donnée dans la section 2.1 du présent document. La demande doit être rédigée en français. En l absence de demande de renouvellement d habilitation dans les délais, une lettre de notification lui sera envoyée par la DGME à la date de fin de validité de l habilitation et l organisme sera retiré de la liste des organismes habilités pour le référencement selon le RGS. À la réception de la demande de renouvellement, la DGME peut, si elle le juge nécessaire : procéder à un nouvel audit de l organisme (sur son site et/ou lors d une évaluation chez l un de ses clients) ; effectuer une nouvelle vérification des compétences des évaluateurs ; revoir les documents rédigés dans le cadre d évaluations récentes ; s entretenir avec les clients de l organisme qui ont fait l objet d une évaluation récente. Si les critères d habilitation sont toujours respectés, une nouvelle décision d habilitation est prononcée par le ministre chargé de la réforme de l État. 3.5. Suspension et retrait de l habilitation La DGME peut être amenée à suspendre ou retirer l habilitation d un organisme habilité, notamment dans les situations suivantes : un changement majeur dans l organisation de l organisme ou dans l entité dont il dépend (statuts, actionnariat, dirigeants, etc.) remettant en cause les critères sur lesquels l organisme a été habilité ; l organisme ne répond pas aux obligations fixées par la décision d habilitation ; l organisme ne répond plus aux engagements pris lors du dépôt de sa demande d habilitation, notamment ceux définis dans le document [Exigences_Habilitation] ; l organisme demande à ne plus être habilité ou a cessé son activité. Lorsque la DGME décide de suspendre une habilitation, elle en informe l organisme, lui fournit la ou les justifications ayant motivé cette décision et lui laisse un délai pour apporter une réponse et mettre en place les mesures correctives. Si à l issue de ce délai, il n a pas été apporté de réponse satisfaisante à la DGME, l habilitation de l organisme est retirée. Dans le cas contraire, l organisme est averti qu il est de nouveau habilité. L habilitation de l organisme peut être également retirée par la DGME directement, sans période de suspension. Page 10/12
Dans tous les cas, l habilitation de l organisme ne pourra être suspendue ou retirée qu après qu un représentant de l organisme habilité a pu faire valoir ses observations. Les évaluations réalisées par un organisme dont l habilitation n était plus valide au moment de l évaluation ne peuvent en aucun cas donner lieu au référencement du PSCO ou du produit de sécurité. Page 11/12
4. Annexe : portée de l habilitation En cohérence avec le document [Cahier_Charges_Référencement_RGS], la portée de l habilitation est définie comme suit : PSCO : prestataires de services de certification électronique (PSCE) délivrant des certificats électroniques, destinés aux particuliers et aux agents de l administration, conformes aux exigences des niveaux ** et *** pour les fonctions de sécurité «Authentification» et «Signature» tels que définis dans le RGS ; produits de sécurité : dispositifs d authentification et de signature électroniques pour ces mêmes niveaux et usages. Le site Internet de la DGME donne la liste des organismes habilités ainsi que la portée de leur habilitation. Page 12/12