L’Anssi (Agence Nationale de la Sécurité des Systèmes d’Information) a publié, le 11 mai 2011, un projet de Référentiel Général de Sécurité. Cette publication vise à recueillir les commentaires des prestataires qui réalisent des audits techniques de la sécurité des systèmes d’information afin d’être qualifiés au sens du RGS (Référentiel Général de Sécurité). Les activités d’audit de code source, de configuration, d’architecture et organisationnel, ainsi que les tests d’intrusion, sont concernés par ce projet de référentiel.
Il s’adresse essentiellement aux prestataires réalisant des audits de la sécurité des systèmes d’information des autorités administratives. Cependant, les commanditaires d’audit du secteur privé peuvent s’en inspirer afin d’exprimer leurs besoins. Ce document vise, en effet, à établir une relation de confiance entre le commanditaire et le prestataire d’audit, en exigeant de ce dernier un niveau de compétence spécifique.
Rappelons que l’Ordonnance n° 2005-1516 du 8 décembre 2005, relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, introduit la notion de prestataires de services de confiance (PSCO), publics ou privés, et prévoit qu’ils peuvent obtenir une qualification attestant de leur conformité au référentiel général de sécurité (RGS). La version en vigueur du RGS ne permet la qualification que de deux types de PSCO : les prestataires de services de certification électronique et les prestataires de services d’horodatage électronique.
Afin d’enrichir les prestations de services contribuant à la sécurisation des systèmes 10 d’information et susceptibles d’être qualifiées selon le schéma décrit au chapitre IV du décret n° 2010-112, dit décret « RGS », du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance précitée, l’ANSSI élabore un référentiel d’exigences à l’intention des prestataires de services qui réalisent des audits techniques de la sécurité des systèmes d’information des autorités administratives.