la version electronique fait foi

Transcription

I
T
I
A
FO
EXIGENCES SPECIFIQUES POUR LA
QUALIFICATION DES PRESTATAIRES DE
SERVICES DE CONFIANCE
E
U
CERT CEPE REF 21
F
Q
I
N
O
R
T
Révision 05
C
E
L
N
E
O
I
S
LA
R
E
V
Section « Certifications»
EXIGENCES SPECIFIQUES POUR LA QUALIFICATION DES PRESTATAIRES DE SERVICES DE CONFIANCE
SOMMAIRE
1.
OBJET DU DOCUMENT ........................................................................................ 3
2.
REFERENCES ET DEFINITIONS ........................................................................ 4
3.
DOMAINE D’APPLICATION .............................................................................. 11
4.
MODALITES D’APPLICATION ......................................................................... 11
5.
MODIFICATIONS ................................................................................................. 11
6.
EXIGENCES A SATISFAIRE PAR L’ORGANISME DE CERTIFICATION11
7.
PROCESSUS D’ACCREDITATION - MODALITES D’EVALUATION....... 17
8.
MODALITES FINANCIERES .............................................................................. 19
I
FO
ANNEXE A : PORTEE D’ACCREDITATION .................................................................. 20
T
I
A
E
U
F
Q
I
N
O
R
T
C
E
L
N
E
O
I
S
LA
R
E
V
CERT CEPE REF 21 – rév. 05
Page 2 sur 20
1. OBJET DU DOCUMENT
Le présent document a pour objet de définir les exigences et le processus d’accréditation
d’organismes tierce partie (dénommés ci après organismes de certification) qui, d’une
part, qualifient des prestataires de services de confiance délivrant des certificats
électroniques (cas des PSCE) ou des contremarques de temps (cas des PSHE),
conformément aux textes réglementaires en vigueur (évoqués aux paragraphes 1.1, 1.2 et
1.3), et, d’autre part, délivrent des attestations de conformité à ces mêmes prestataires ou
aux prestataires techniques, dans le contexte évoqué au 1.4.
1.1)
Le décret n° 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4
du code civil et relatif à la signature électronique fixe les conditions qu’un procédé
de signature électronique doit remplir afin d’être présumé fiable. L’une de ces
conditions porte sur l’usage de certificats de signature électronique qualifiés. Un
certificat de signature électronique est dit qualifié lorsqu’il est délivré par un
prestataire de services de certification électronique (PSCE) respectant les
exigences listées à l’article 6 dudit décret. Afin d’attester du respect de ces
exigences, un PSCE peut demander à être qualifié. L’arrêté du 26 juillet 2004, pris
par le Ministre chargé de l’Industrie, en application de l’article 7 du décret, relatif
à la reconnaissance de la qualification des PSCE et à l’accréditation des
organismes qui procèdent à leur évaluation en précise la procédure :
• la qualification d’un PSCE est délivrée par un organisme de certification
accrédité à cet effet,
• l’organisme de certification s’appuie sur le référentiel technique prévu en annexe
de l’arrêté précité.
L’activité accréditée est, dans ce cas, la qualification des prestataires de services
de certification électronique selon l'arrêté du 26 juillet 2004.
I
T
I
A
E
U
FO
F
Q
I
N
O
R
T
1.2)
C
E
L
E
L’article 9 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux
échanges électroniques entre les usagers et les autorités administratives et entre les
autorités administratives prévoit une procédure de qualification des prestataires de
services de confiance (PSCO). Les PSCO, au sens de cette ordonnance, couvrent
tous les types de prestataires dans le domaine de la sécurité des systèmes
d’information, ils incluent notamment les PSCE. Le décret n°2010-112 du 2
février 2010, pris notamment pour l’application de l’article 9 de ladite ordonnance
définit la procédure de qualification :
• la qualification d’un PSCO est délivrée par un organisme de certification habilité
par l’ANSSI par délégation du Premier ministre ;
• l’accréditation de l’organisme de certification est un pré-requis à cette
habilitation ;
L’organisme de certification s’appuie sur les référentiels techniques inclus dans le
référentiel général de sécurité (RGS). Ces référentiels techniques permettent
notamment de qualifier deux familles de PSCO : les PSCE1 (selon trois niveaux de
sécurité) et les prestataires de services d’horodatage électronique (PSHE) selon un
unique niveau de sécurité.
N
O
I
S
LA
R
E
V
1
Il est à noter que le référentiel technique du RGS utilisé pour qualifier des PSCE n’est pas le même que
celui prévu pour qualifier des PSCE selon l’arrêté du 26 juillet 2004.
Page 3 sur 20
L’activité accréditée est, dans ce cas, la qualification des PSCE et des PSHE selon le
RGS.
1.3)
Le décret n° 2011-434 du 20 avril 2011 relatif à l'horodatage des courriers
expédiés ou reçus par voie électronique pour la conclusion ou l'exécution d'un
contrat fixe les conditions qu’un procédé d’horodatage électronique doit remplir
afin d’être présumé fiable. L’une de ces conditions porte sur le prestataire de
services d’horodatage électronique (PSHE) qui doit respecter les exigences listées
à l’article 3 dudit décret. Afin d’attester du respect de ces exigences, un PSCE peut
demander à être qualifié, conformément à l’article 6. L’arrêté du 20 avril 2011,
pris par le Ministre chargé de l'industrie, de l'énergie et de l'économie numérique,
en application de l’article 6 du décret, relatif à la reconnaissance de la qualification
des PSHE et à l’accréditation des organismes qui procèdent à leur évaluation en
précise la procédure :
• la qualification d’un PSHE est délivrée par un organisme de certification
accrédité à cet effet,
• l’organisme de certification s’appuie sur le référentiel technique prévu en annexe
de l’arrêté précité.
L’activité accréditée est, dans ce cas, la qualification des prestataires de services
d’horodatage électronique selon l'arrêté du 20 avril 2011.
I
T
I
A
E
U
FO
F
Q
I
N
1.4)
Des prestataires de services de confiance et/ou des prestataires techniques peuvent
demander à être reconnus par un organisme tierce partie, selon tout ou partie des
normes européennes ETSI TS 101456 (sans les compléments définis en annexe à
l’arrêté du 26 juillet 2004), ETSI TS 102042 et ETSI TS 102023 ainsi que selon
tout ou partie des annexes du RGS.
L’activité accréditée est, dans ce cas, l’attestation de conformité pour :
- des PSCE délivrant des certificats qualifiés selon la spécification ETSI TS 101
456 (équivalente à la spécification AFNOR AC Z74-400) ;
- des PSCE délivrant des certificats à des personnes physiques selon la
spécification ETSI TS 102 042 ;
- des prestataires techniques qui assurent une partie des fonctions techniques, pour
le compte des PSCE ou des PSHE, prévues dans les référentiels du RGS (annexes
A6 à A12 pour la version 1.0 du RGS et annexes A2, A3 et A5 pour la version 2.0
du RGS) et les normes ETSI TS 101 456, ETSI TS 102 042 et ETSI TS 102023.
O
R
T
C
E
L
N
E
O
I
S
R
E
V
LIlAappartient à tout organisme candidat ou accrédité de se tenir à jour des documents et
2. REFERENCES ET DEFINITIONS
versions de référence et de prendre en compte la réglementation applicable en vigueur.
2.1.
Documents de référence
2.1.1 Normes
•
NF EN ISO/CEI 17021 « Evaluation de conformité – Exigences pour les
organismes procédant à l’audit et à la certification de systèmes de management
», caduque au 15/06/2017
Page 4 sur 20
•
•
•
•
•
NF EN ISO/CEI 17021-1 « Évaluation de la conformité — Exigences pour les
organismes procédant à l’audit et à la certification des systèmes de management
— Partie 1: Exigences »
ETSI TS 101 456 : « Exigences concernant la politique mise en œuvre par les
autorités de certification délivrant des certificats qualifiés » (équivalente à
AFNOR AC Z74-400), version 1.4.3 de mai 2007 ;
ETSI TS 102 042 : « Policy Requirements for Certification Authorities issuing
public key certificates», version 2.1.2 d’avril 2010 ;
ETSI TS 102 023 :« Policy requirements for Time-Stamping Authority», version
1.2.2 d’octobre 2008 ;
Annexes du RGS version 1.0 disponibles sur www.ssi.gouv.fr/rgs :
• [RGS_A_6] Politique de Certification Type "Confidentialité", version
2.3 du 11 février 2010
• [RGS_A_7] : Politique de Certification Type "Authentification", version
2.3 du 11 février 2010
• [RGS_A_8] : Politique de Certification Type "Signature électronique",
version 2.3 du 11 février 2010
• [RGS_A_9] : Politique de Certification Type "Authentification serveur",
version 2.3 du 11 février 2010
• [RGS_A_10] : Politique de Certification Type "Cachet", version 2.3 du
11 février 2010
• [RGS_A_11] : Politique de Certification Type "Authentification et
signature", version 2.3 du 11 février 2010
• [RGS_A_12] : Politique d’Horodatage Type, version 2.3 du 11 février
2010
Annexes du RGS version 2.0 disponibles sur www.ssi.gouv.fr/rgs :
• [RGS_A_2] Politique de Certification Type "Certificats électroniques de
personne", version 3.0 du 27 février 2014
• [RGS_A_3] : Politique de Certification Type "Certificats électroniques
de services applicatifs", version 3.0 du 27 février 2014
• [RGS_A_5] : Politique d’Horodatage Type, version 3.0 du 27 février
2014
I
T
I
A
E
U
FO
F
Q
I
N
•
O
R
T
C
E
L
N
E
O
I
S
R
E
•V
IAF MD 2 : Document d’exigences IAF pour le transfert d’une certification
sous accréditation de systèmes de management;
A
L • IAF MD 4 : Document d’exigences IAF pour l’utilisation de techniques d’audit
2.1.2 Lignes directrices
•
assistées par ordinateur (« TAAO ») pour la certification sous accréditation de
systèmes de management;
Ces documents sont disponibles sur www.cofrac.fr.
Règles applicables en matière d’échantillonnage dans le cadre de la qualification
des PSCE et des PSHE.
La version en vigueur de ce document est disponible sur www.ssi.gouv.fr.
2.1.3 Textes réglementaires
•
Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux
technologies de l’information et relative à la signature électronique ;
Page 5 sur 20
•
•
•
•
•
•
•
•
•
Décret n° 2001-272 du 30 mars 2001, pris pour l'application de l'article 1316-4
du code civil et relatif à la signature électronique ;
Décret n° 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de
la sécurité offerte par les produits et les systèmes des technologies de
l’information ;
Arrêté du Ministre chargé de l’Industrie, du 26 juillet 2004 relatif à la
reconnaissance de la qualification des prestataires de services de certification
électronique et à l'accréditation des organismes qui procèdent à leur évaluation ;
Ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges
électroniques entre les usagers et les autorités administratives et entre les
autorités administratives ;
Décret n° 2010-112 du 2 février 2010, pris pour l’application des articles 9, 10 et
12 de l’ordonnance n° 2005-1516 relative aux échanges électroniques entre les
usagers et les autorités administratives et entre les autorités administratives ;
Arrêté du Premier Ministre, du 6 mai 2010 portant approbation du référentiel
général de sécurité et précisant les modalités de mise en œuvre de la procédure
de validation des certificats électroniques. La première version du RGS est
disponible sur www.ssi.gouv.fr/rgs .
Arrêté du Premier Ministre, du 13 juin 2014 portant approbation du référentiel
général de sécurité et précisant les modalités de mise en œuvre de la procédure
de validation des certificats électroniques. La seconde version du RGS est
disponible sur www.ssi.gouv.fr/rgs .
Décret n°2011-434 du 20 avril 2011 relatif à l’horodatage des courriers expédiés
ou reçus par voie électronique pour la conclusion ou l’exécution d’un contrat.
Arrêté du 20 avril 2011 relatif à la reconnaissance de la qualification des
prestataires de services d’horodatage électronique et à l’accréditation des
organismes qui procèdent à leur évaluation.
Ces textes réglementaires sont disponibles sur www.legifrance.fr.
I
T
I
A
E
U
FO
F
Q
I
N
O
R
T
C
E
L
N
E
2.1.4 Référentiels techniques
O
I
S
2.1.4.1 Pour les PSCE
Il existe cinq référentiels techniques :
1. l’annexe de l’arrêté du 26 juillet 2004 qui identifie la norme ETSI TS 101456
(ou la norme équivalente AFNOR AC Z74-400) complétée par trois exigences
supplémentaires pour la qualification des PSCE qui délivrent des certificats
électroniques pour un usage donné de signature électronique ;
2. la version 1.0 du 6 mai 2010 du RGS et en particulier les annexes A6 à A11. Ces
annexes sont appelées « Politique de Certification Type » et listent les règles de
sécurité que doivent respecter les PSCE souhaitant délivrer des certificats
électroniques pour différents usages2 et différents niveaux de sécurité3 ;
3. la version 2.0 du 13 juin 2014 du RGS et en particulier les annexes A2 et A3.
Ces annexes sont appelées « Politique de Certification Type » et listent les règles
LA
R
E
V
2
Confidentialité (annexe A6), authentification (annexe A7), signature électronique (annexe A8),
authentification serveur (annexe A9), cachet (annexe A10), authentification et signature électronique
(annexe A11).
3
Trois niveaux de sécurité aux exigences croissantes : une étoile (*), deux étoiles (**) et trois étoiles
(***), excepté pour l’annexe A10 qui ne compte que deux niveaux de sécurité (*) et (**).
Page 6 sur 20
de sécurité que doivent respecter les PSCE souhaitant délivrer des certificats
électroniques pour différents usages4 et différents niveaux de sécurité5 ;
4. la norme ETSI TS 101456 (ou la norme équivalente AFNOR AC Z74-400) ;
5. la norme ETSI TS 102042. Cette norme liste les règles de sécurité que doivent
respecter les PSCE qui délivrent des certificats électroniques.
Remarques :
• les exigences techniques définies en annexe de l’arrêté du 26 juillet 2004
constituent un sous-ensemble de celles contenues dans l’annexe A8 de la version
1.0 du RGS pour le niveau de sécurité (***), qui prévoit des exigences
supplémentaires concernant notamment les gabarits des certificats électroniques
ainsi que des variables de temps. De ce fait, une offre d’un PSCE qualifiée
conforme aux exigences de cette annexe A8 au niveau (***) par un organisme
de certification est considérée comme conforme aux exigences de l’arrêté du 26
juillet 2004. La réciproque n’est pas vraie ;
• les exigences techniques définies en annexe de l’arrêté du 26 juillet 2004
constituent un sous-ensemble de celles contenues dans l’annexe A2 de la version
2.0 du RGS pour l’usage « signature électronique » et pour le niveau de sécurité
(***), qui prévoit des exigences supplémentaires concernant notamment les
gabarits des certificats électroniques ainsi que des variables de temps. De ce fait,
une offre d’un PSCE qualifiée conforme aux exigences de cette annexe A8 au
niveau (***) par un organisme de certification est considérée comme conforme
aux exigences de l’arrêté du 26 juillet 2004. La réciproque n’est pas vraie ;
• lorsqu’ils utilisent les référentiels 1. ou 2. pour auditer les PSCE, les organismes
de certification délivrent des attestations de qualification. Sinon, ils délivrent des
attestations de conformité ;
• dans le cas d’un prestataire technique seules les exigences qui lui sont
applicables sont auditées. Il lui est délivré une attestation de conformité à l’issue
de l’audit par l’organisme de certification.
I
T
I
A
E
U
FO
F
Q
I
N
O
R
T
C
E
L
N
E
O
I
S
2.1.4.2 Pour les PSHE
Il existe trois référentiels techniques :
1. la version 1.0 du 6 mai 2010 du RGS et en particulier l’annexe A12. Cette
annexe est appelée « Politique d’Horodatage Type » et liste les règles de sécurité
que doivent respecter les PSHE souhaitant délivrer des contremarques de temps
pour un unique niveau de sécurité ;
2. la version 2.0 du 13 juin 2014 du RGS et en particulier l’annexe A5. Cette
annexe est appelée « Politique d’Horodatage Type » et liste les règles de sécurité
que doivent respecter les PSHE souhaitant délivrer des contremarques de temps
pour un unique niveau de sécurité ;
3. la norme ETSI TS 102023. Cette norme liste les règles de sécurité que doivent
respecter les PSHE qui délivrent des contremarques de temps.
LA
R
E
V
4
Certificats électroniques de personne : signature électronique, authentification, confidentialité,
authentification et signature électronique (annexe A2) ; services applicatifs : cachet, signature de codes et
authentification serveur (annexe A3).
5
Trois niveaux de sécurité aux exigences croissantes : une étoile (*), deux étoiles (**) et trois étoiles
(***), excepté pour le double usage « authentification et signature électronique » de l’annexe A2 qui ne
compte que deux niveaux de sécurité (*) et (**).
Page 7 sur 20
Remarque :
Dans le cas d’un prestataire technique, seules les exigences qui lui sont
applicables sont auditées. Il lui est délivré une attestation de conformité à l’issue
de l’audit par l’organisme de certification.
2.2.
Définitions et acronymes
2.2.1. Définitions
Pour les besoins du présent document, les définitions suivantes s’appliquent :
I
Attestation de conformité - Document par lequel un organisme de certification atteste
de la conformité des fonctions fournies par un prestataire technique aux exigences qui
lui sont applicables ou de la conformité d’un PSCO à des référentiels techniques
(normes ETSI TS 101456 et ETSI TS 102042) hors cadre réglementaire.
FO
T
I
Attestation de qualification - Document par lequel un organismeA
de certification
F électronique
atteste de la qualification d’un prestataire de services de certification
délivrant des certificats de signature électronique qualifiés, E
de la qualification d’un
prestataire de services d’horodatage électronique délivrant des
U contremarques de temps,
ou de la qualification d’un PSCO.
Q
I
Nune Autorité de Certification a en
Autorité de certification (AC) - Au sein d'un PSCE,
charge, au nom et sous la responsabilité de O
ce PSCE, l'application d'au moins une
R
politique de certification et est identifiée comme telle, en tant qu'émetteur (champ
"issuer" du certificat), dans les certificats T
émis au titre de cette politique de certification.
C
Esein d'un PSHE, une Autorité d'Horodatage a en
Autorité d'horodatage (AH) - Au
L
charge, au nom et sous la responsabilité de ce PSHE, l'application d'au moins une
E
politique d'horodatage en s'appuyant sur une ou plusieurs Unités d'Horodatage.
N
O
Certificat électronique
- Fichier électronique attestant qu’une bi-clé appartient à une
I
personne physique,
une
personne
morale, un élément matériel ou un logiciel identifié,
S
directement R
ou indirectement (pseudonyme). Il est délivré par un PSCE. En signant le
certificat,E
l’AC valide le lien entre l'identité de la personne ou de l’élément considéré
avec la
Vclé publique. Le certificat est valide pendant une durée limitée précisée dans
celui-ci.
A
LContremarque
de temps - Donnée signée qui lie une représentation d'une donnée à un
temps particulier, exprimé en heure UTC (temps universel coordonné), établissant ainsi
la preuve que la donnée existait à cet instant-là.
Déclaration des pratiques de certification (DPC) - Une DPC identifie les pratiques
(organisation, procédures opérationnelles, moyens techniques et humains) que l’AC
applique dans le cadre de la fourniture de ses services de certification électronique aux
usagers et en conformité avec la ou les PC qu'elle s'est engagée à respecter.
Déclaration des pratiques d’horodatage (DPH) - Une DPH identifie les pratiques
(organisation, procédures opérationnelles, moyens techniques et humains) que l’AH
Page 8 sur 20
applique dans le cadre de la fourniture de ses services d'horodatage et en conformité
avec la ou les PH qu'elle s'est engagée à respecter.
Fonction (de sécurité) : activité régie par des règles destinées à garantir la sécurité
d’une prestation de certification ou d’horodatage électronique.
Mandataire de certification (MC) - Le mandataire de certification est désigné par et
placé sous la responsabilité de l'entité cliente. Il est en relation directe avec le prestataire
technique en charge de l’enregistrement des porteurs de certificats. Il assure pour lui un
certain nombre de vérifications concernant l'identité et éventuellement, les attributs des
porteurs de cette entité (il assure notamment le face-à-face pour l'identification des
porteurs lorsque celui-ci est requis).
I
FO
Politique de certification (PC) - Ensemble de règles, identifié par un nom (OID),
définissant les exigences auxquelles une AC se conforme dans la mise en place et la
fourniture de ses prestations et indiquant l'applicabilité d'un certificat à une communauté
particulière et/ou à une classe d'applications avec des exigences de sécurité communes.
Une PC peut également, si nécessaire, identifier les obligations et exigences portant sur
les autres intervenants, notamment les porteurs et les utilisateurs de certificats.
T
I
A
E
U
F
Politique d'horodatage (PH) - Ensemble de règles, identifié par un nom (OID),
définissant les exigences auxquelles une AH se conforme dans la mise en place et la
fourniture de ses prestations et indiquant l'applicabilité d'une contremarque de temps à
une communauté particulière et/ou une classe d'application avec des exigences de
sécurité communes. Une PH peut également, si nécessaire, identifier les obligations et
exigences portant sur les autres intervenants, notamment les abonnés et les utilisateurs
de contremarques de temps.
Q
I
N
O
R
T
C
E
Prestataire de services de certification électronique (PSCE) - Un PSCE est un type
L se définit comme toute personne ou entité qui est
de PSCO particulier. Un PSCE
E
responsable de la gestion de certificats électroniques tout au long de leur cycle de vie,
vis-à-vis des porteurs etN
utilisateurs de ces certificats. Un PSCE peut fournir différentes
O
familles de certificats
correspondant
à des finalités différentes et/ou des niveaux de
I
sécurité différents.
S Un PSCE comporte au moins une AC mais peut en comporter
plusieurs enR
fonction de son organisation. Les différentes AC d'un PSCE peuvent être
indépendantes
E les unes des autres et/ou liées par des liens hiérarchiques ou autres (AC
Racines
/ AC Filles). Un PSCE est identifié dans un certificat dont il a la responsabilité
V
au travers de son AC ayant émis ce certificat et qui est elle-même directement identifiée
A le champ "issuer" du certificat.
Ldans
Prestataire de services d'horodatage (PSHE) - Un PSHE est un type de PSCO
particulier. Un PSHE se définit comme toute personne ou entité qui est responsable de
la génération et de la gestion de contremarques de temps, vis-à-vis de ses abonnés et des
utilisateurs de ces contremarques de temps. Un PSHE peut fournir différentes familles
de contremarques de temps correspondant à des finalités différentes et/ou des niveaux
de sécurité différents. Un PSHE comporte au moins une AH mais peut en comporter
plusieurs en fonction de son organisation. Un PSHE est identifié dans les certificats de
clés publiques des UH dont il a la responsabilité au travers de ses AH.
Page 9 sur 20
Prestataire de services de confiance (PSCO) - Terme générique désignant l’ensemble
des familles de prestations de services qui permettent de sécuriser les échanges et
traitements électroniques d’informations Les PSCE et les PSHE sont deux familles de
PSCO.
Prestataire technique - Prestataire externe qui met en œuvre pour le compte d’un
prestataire de service de confiance une ou plusieurs fonctions techniques (exemples : la
fabrication technique des certificats électroniques, la remise des certificats aux porteurs,
la révocation et le renouvellement des certificats).
Profil : ensemble cohérent d’attributs permettant de caractériser plusieurs sites
similaires.
I
FO
Qualification des prestataires de services de certification électronique délivrant des
certificats de signature électronique qualifiés- Le processus par lequel un organisme
de certification s’assure et atteste, conformément à l'arrêté du 26 juillet 2004, qu'un
PSCE fournit des prestations conformes aux exigences de l’article 6 du décret n° 2001272 du 30 mars 2001.
T
I
A
E
U
F
Qualification des prestataires de services d’horodatage électronique - Le processus
par lequel un organisme de certification s’assure et atteste, conformément à l'arrêté du
20 avril 2011, qu'un PSHE fournit des prestations conformes aux exigences de l’article
6 du décret n° 2011-434 du 20 avril 2011.
Q
I
N
O
R
T
Qualification des prestataires de services de confiance - Le processus par lequel un
organisme de certification s’assure et atteste de la conformité d’un PSCO (PSCE ou
PSHE) aux exigences associées du RGS, le cas échéant pour un niveau de sécurité
donné.
C
E
L
E
Site : lieu physique au sein duquel est assuré tout ou partie d’une fonction de sécurité.
N
O
I
S
Système de management de services de confiance - Ensemble d'éléments corrélés ou
interactifs (organisation, politiques, pratiques et procédures, moyens humains et
techniques) mis en œuvre par un prestataire de services de confiance afin de fournir le
service considéré.
R
E
Typologie
V de profil : ensemble des profils pour un prestataire à auditer.
LA 2.2.2. Acronymes
ANSSI
DGME
DGCIS
OID
PC
PH
PSCE
PSHE
PSCO
RGS
Agence Nationale de la Sécurité des Systèmes d’Information
Direction Générale pour la Modernisation de l’Etat
Direction Générale de la Compétitivité, de l’Industrie et des Services
Object IDentifier
Politique de Certification
Politique d’Horodatage
Prestataire de Service de Certification Electronique
Prestataire de Service d’Horodatage Electronique
Prestataire de Services de Confiance (PSCE ou PSHE)
Référentiel Général de Sécurité
Page 10 sur 20
SSI
Sécurité des Systèmes d’Information
3. DOMAINE D’APPLICATION
Ce document s’applique à toutes les demandes d’accréditation d’organismes
d’évaluation de la conformité pour les activités citées en objet.
4. MODALITES D’APPLICATION
Ce document est applicable à compter du 01/01/2016.
I
O
F
Ce document porte l’indice 05. Les modifications sont indiquées par un T
trait vertical
I
dans la marge gauche. Les modifications portent sur l’ajout de la référence
à la norme
A
NF EN ISO/CEI 17021-1, et sur l’intégration des correspondances avec les chapitres de
F
la norme NF EN ISO/CEI 17021-1.
E
U
6. EXIGENCES A SATISFAIRE PARIQL’ORGANISME DE
CERTIFICATION
N
O
Dans la suite du document, seules les exigences spécifiques à la qualification des PSCO
R
ont été précisées, étant entendu queTles exigences générales des référentiels
d’accréditation et procédures en vigueur
s’appliquent.
C
Ces exigences spécifiques sont rapportées
sous le chapitre de la norme NF EN ISO/CEI
E
17021 et NF EN ISO/CEI 17021-1
qu’elles
spécifient et dont l’intitulé est alors repris,
L
ainsi que la référence au paragraphe
E de la norme, entre parenthèses. De ce fait, quand il
n’y a pas d’exigence supplémentaire, le chapitre de la norme n’est pas repris.
N
O
I
6.1.
Exigences
S relatives aux organismes de certification (NF EN ISO/CEI
17021R
et NF EN ISO/CEI 17021-1 - § 5, 6, 7, 8 et 10)
V6.1.1EOrganisme de certification
Organisation (NF EN ISO/CEI 17021 - § 6.2 et NF EN
LA 6.1.1.1.ISO/CEI
17021-1- § 5.2.3)
5. MODIFICATIONS
La structure prévue au §.6.2.1 de la norme NF EN ISO/CEI 17021 doit comprendre
notamment un représentant de l’ANSSI, un représentant de la DGME et un représentant
de la DGCIS. Ces représentants doivent être considérés comme des parties intéressées
appropriées au sens du § 5.2.3 de la norme NF EN ISO/CEI 17021-1.
6.1.1.2.
Sous-traitance (NF EN ISO/CEI 17021 et NF EN ISO/CEI
17021-1 - § 7.5)
En cas de sous-traitance, l’organisme de certification doit s’assurer que le sous-traitant
satisfait aux exigences applicables du présent document et être en mesure à tout moment
de produire les justifications correspondantes à cette assurance.
Page 11 sur 20
6.1.1.3.
Conditions pour l’octroi, le renouvellement, l’extension, la
suspension et le retrait de la qualification (NF EN ISO/CEI 17021 et NF EN
ISO/CEI 17021-1 - § 8.1.1)
Les dispositions établies doivent clairement distinguer les activités de qualification et de
celles d’attestation de conformité.
Octroi, renouvellement, extension, suspension et retrait de la qualification dans le cas
des PSCO recourant à des prestataires techniques :
L’organisme de certification doit prendre en compte les attestations de conformité
valides, présentées par le PSCO candidat à la qualification, et attestant de la conformité
de certaines fonctions de l’offre du PSCO aux exigences correspondantes du référentiel
technique utilisé pour sa qualification (autrement dit, une qualification pour un usage et
un niveau de sécurité donné ne peut être octroyée à un PSCO que dans le cas où tous ses
prestataires techniques disposent d’une attestation de conformité valide pour cet usage
et ce niveau de sécurité). L’organisme de certification peut demander au PSCO,
communication des rapports d’audit correspondants aux attestations de conformité.
Dans ce cas, l’organisme de certification ne doit pas procéder à une nouvelle évaluation
des prestataires techniques titulaires d’une attestation de conformité. Il doit s’assurer en
revanche, lors de l’évaluation, de la cohérence des systèmes de management du service
de confiance mis en place par le PSCO et par ses prestataires techniques.
La qualification ainsi délivrée reste valide tant que les attestations de conformité sur
lesquelles elle repose sont valides. L’organisme de certification doit exiger du PSCO
qualifié qu’il lui transmette avant leurs échéances les nouvelles attestations de
conformité valides sur lesquelles repose sa qualification. A défaut, l’organisme de
certification doit suspendre la qualification du PSCO et retirer cette qualification après
un délai maximal de 3 mois après la suspension.
I
T
I
A
E
U
FO
F
Q
I
N
O
R
T
C
E
L
Extension de qualification :
Un PSCO, ayant déjà obtenu une attestation de qualification pour une offre et un niveau
de sécurité donnés, peut demander à l’organisme de certification une extension de
qualification pour une autre offre ou un autre niveau de sécurité. L’octroi de cette
extension, sous la forme d’une nouvelle attestation de qualification, sera obtenu à l’issue
d’une évaluation complémentaire de conformité aux exigences n’ayant pas déjà fait
l’objet d’une évaluation et s’assurant de la bonne intégration des nouvelles
fonctionnalités objet de l’extension dans le système de management du service de
confiance mis en place par le PSCO.
N
E
O
I
S
LA
R
E
V
Suspension et retrait de la qualification dans le cas particulier des PSCE qualifiés selon
l’arrêté du 26 juillet 2004 :
Pour les PSCE qualifiés conformément à l’arrêté du 26 juillet 2004, les modalités de
suspension ou de retrait doivent prévoir de prendre en compte les informations
transmises par l’ANSSI tel que prévu à l’article 9 du décret n° 2001-272.
Si, au cours d’un contrôle mené par l’ANSSI il s’avère que le PSCE ne satisfait pas aux
exigences pour lesquelles il a été qualifié, l’organisme de certification qui lui a délivré
l’attestation de qualification est informé par l’ANSSI. Il est alors tenu d’appliquer
immédiatement sa procédure de suspension pour cette attestation et de mener une
réévaluation, sous 15 jours ouvrés, du PSCE pouvant conduire à un retrait de cette
qualification. Le périmètre de cette réévaluation doit couvrir les points contrôlés
négativement et signalés par l’ANSSI. Le résultat de cette réévaluation est communiqué
Page 12 sur 20
sans délai à l’ANSSI. Pendant la durée de la suspension, le PSCE n’est pas autorisé à
délivrer des certificats qualifiés.
Procédure d’échantillonnage :
Dans le cas de PSCO ou de prestataires techniques répartis sur de multiples sites
géographiques, la procédure d’échantillonnage prévue au chapitre 6.2.3 peut être mise
en œuvre.
6.1.1.4.
Documents de certification (NF EN ISO/CEI 17021 et NF EN
ISO/CEI 17021-1 - § 8.2)
L’attestation émise par l’organisme de certification doit :
• distinguer le type de reconnaissance octroyée : attestation de qualification ou
attestation de conformité,
• afficher le cadre réglementaire sur la base duquel est délivrée l’attestation de
qualification :
o soit selon la version 1.0 du RGS : il doit être fait référence à
l’ordonnance n° 2005-1516 ainsi qu’au décret n° 2010-112 et à l’arrêté
du Premier Ministre du 6 mai 2010, portant approbation de la version 1.0
du RGS ;
o soit selon la version 2.0 du RGS : il doit être fait référence à
l’ordonnance n° 2005-1516 ainsi qu’au décret n° 2010-112 et à l’arrêté
du Premier Ministre du 13 juin 2014, portant approbation de la version
2.0 du RGS ;
o soit selon la signature électronique : il doit être fait référence au décret
n° 2001-272 ainsi qu’à l’arrêté du 26 juillet 2004 ;
o soit selon l’horodatage électronique : il doit être fait référence au décret
n° 2011-434 ainsi qu’à l’arrêté du 20 avril 2011.
• indiquer le cas échéant le ou les usages (annexe du RGS) ainsi que le ou les
niveaux de sécurité visés par cette attestation,
• mentionner également la ou les références (noms et OID) des PC ou des PH du
PSCO concernée(s) par la qualification,
• mentionner nominativement toutes les combinaisons opérationnelles des
prestataires techniques utilisées pour fournir le service au niveau donné pour
lequel la qualification est délivrée.
I
T
I
A
E
U
FO
F
Q
I
N
O
R
T
C
E
L
N
E
O
I
S
R
E
La durée pendant laquelle les attestations de qualification ou les attestations de
V sont valables ne peut excéder trois ans conformément à l’article 10 du décret
conformité
A et à l’article 9 de l’arrêté du 26 juillet 2004.
Ln°2010-112
Une attestation de conformité doit de plus préciser explicitement les exigences qui ont
fait l’objet d’une évaluation de la part de l’organisme de certification.
6.1.1.5.
Utilisation d’attestation et logos (NF EN ISO/CEI 17021 - §
8.4 et NF EN ISO/CEI 17021-1 - § 8.3)
L’organisme de certification doit exiger, dans le cas d’une attestation de conformité, que
le PSCO indique, dans toute communication et publicité, clairement qu’il n’a fait l’objet
que d’une évaluation de conformité à certaines exigences et non d’une qualification
selon le RGS ou selon l’annexe de l’arrêté du 26 juillet 2004.
Page 13 sur 20
6.1.1.6.
Confidentialité (NF EN ISO/CEI 17021 - § 8.5 et NF EN
ISO/CEI 17021-1 - § 8.4)
Toute décision d’octroi, d’extension, de refus (s’il est motivé par des non-conformités
au référentiel technique), de suspension ou de retrait de qualification doit être notifiée
immédiatement à l’ANSSI.
Les rapports d’audit sont adressés à l’ANSSI.
L’organisme de certification est tenu d’informer l’ANSSI dès qu’il est amené à conduire
une réévaluation du PSCO tel que cela est prévu dans le § 9.5.2 de la NF EN ISO/CEI
17021 et le § 9.6.4.2 de l’ ISO/CEI 17021-1. Il doit leur en fournir les raisons.
6.1.2 Personnel de l’organisme de certification (NF EN ISO/CEI 17021 et NF
EN ISO/CEI 17021-1 - § 7)
I
FO
6.1.2.1 Considérations générales (§ 7.1.1)
Le personnel de l’organisme de certification doit disposer de compétences dans les
différents domaines techniques correspondant aux différents référentiels techniques
listés au chapitre 6 du présent document.
T
I
A
E
U
F
6.1.2.2 Critères de compétences des auditeurs (§7.2)
• Les fonctions d’auditeur et de responsable d’audit peuvent être assurées par une
même personne ;
• Il convient que tous les auditeurs de PSCO possèdent des connaissances et des
aptitudes dans les domaines suivants :
a) les technologies et les systèmes d'information,
b) la sécurité de l'information de manière générale, notamment en matière de :
* sécurité des systèmes d'information,
* sécurité physique,
* management de la sécurité de l'information,
* analyse et gestion des risques.
c) pour chaque famille de PSCO (PSCE ou PSHE), et le cas échéant pour chaque
offre et chaque niveau de sécurité, sur lequel l'auditeur peut être amené à
intervenir, les méthodes et les techniques associées afin de permettre à
l'auditeur d'examiner les systèmes de management des services de confiance
des PSCO et d'en tirer des résultats et des conclusions d'audit appropriés. Les
connaissances et compétences pour ce domaine devraient inclure :
* la terminologie du service de confiance du prestataire ;
* les principes de management du système d’information du service de
confiance du PSCO et leurs applications ;
* les outils et les processus opérationnels de management du PSCO et
leurs applications.
d) l’offre de service elle-même et ses applications, notamment dans le cadre des
télé services, afin de permettre à l'auditeur de comprendre le contexte
technologique dans lequel l'audit est mené. Les connaissances et compétences
pour ce domaine devraient inclure :
* les caractéristiques techniques de l’offre de service,
* les caractéristiques de mise en œuvre du service au sein des
applications.
Q
I
N
O
R
T
C
E
L
N
E
O
I
S
LA
R
E
V
Page 14 sur 20
Formation initiale
Total expérience
professionnelle
Expérience professionnelle
en sécurité
Formation d'audit
Expérience d'audit (voir
note 3)
Auditeur d'un service de confiance
Responsable d'équipe d'audit
Second cycle dans le domaine des
Pas d'exigence supplémentaire
systèmes d'information (informatique,
réseaux, télécommunications,...) (voir note
1)
4 ans (voir note 2)
2 ans (voir note 3)
Au moins 40h de formation d'audit
Au moins 4 audits complets et au moins
20 jours d'expérience d'audit en tant
qu'auditeur en formation sous la direction
et avec les conseils d'un auditeur ayant la
compétence de responsable d'équipe
d'audit. Il est recommandé que ces audits
soient réalisés dans les 3 dernières années.
(voir note 4)
Au moins 3 audits complets et au moins
15 jours d'expérience d'audit en tant que
responsable d'équipes d'audit sous la
direction et avec les conseils d'un
auditeur ayant la compétence de
responsable d'équipe d'audit. Il est
recommandé que ces audits soient
réalisés dans les 2 dernières années. (voir
note 4)
NOTE 1 – ou, dans le cas d’un diplôme non français, tout diplôme reconnu équivalent à un diplôme de second
cycle français, par le centre national considéré d’information sur la reconnaissance des diplômes dans les États
membres de l’Union européenne, les pays de l’Espace économique européen et les pays associés d’Europe
centrale et orientale.
I
T
I
A
E
U
FO
F
NOTE 2 - L'expérience professionnelle doit comporter au moins 4 ans dans le domaine des systèmes
d'information dont 2 ans dans le domaine de la sécurité de l'information et du service de confiance considéré.
Les quatre années doivent être incluses dans les huit dernières années.
Q
I
N
O
R
T
NOTE 3 - Initialement, les organismes de certification pourraient ne pas pouvoir trouver suffisamment de
personnel disposant de l'expérience d'audit requise. Ils peuvent prendre en compte d'autres expériences pertinentes
en le justifiant et en gardant la trace.
C
E
L
NOTE 4 - Un audit complet est un audit qui couvre toutes les étapes de la préparation de l’audit à l’émission du
rapport Il convient que l'expérience d'audit couvre la totalité des référentiels techniques listés au chapitre 6.
N
E
Parmi les experts techniques sur lesquels l'organisme de certification peut s'appuyer, les
experts en sécurité des systèmes d'information doivent justifier, au minimum, d'une
formation de second cycle en matière de SSI et/ou justifier d'une expérience
professionnelle d'au moins 4 ans dans le domaine.
O
I
S
R
E
V
6.2.
Exigences relatives au processus de qualification (NF EN ISO/CEI 17021 A
et NF EN ISO/CEI 17021-1 § 9)
L
6.2.1. La demande (NF EN ISO/CEI 17021 - § 9.2.1 et NF EN ISO/CEI 170211 - § 9.1.1)
Lorsque le demandeur est un PSCE, il doit fournir à l’organisme de certification un
exemplaire de sa PC et de la DPC correspondante et, s’il y a lieu, la documentation
associée. Lorsque le demandeur est un PSHE, il doit fournir à l’organisme de
certification un exemplaire de sa PH et de la DPH correspondante et, s’il y a lieu, la
documentation associée.
Le PSCO ou le prestataire technique doit préciser dans sa demande s’il souhaite une
attestation de qualification ou une attestation de conformité, ainsi que toutes les
Page 15 sur 20
combinaisons opérationnelles des prestataires techniques qu’il utilise pour fournir le
service au niveau de sécurité donné pour lequel la qualification est demandée.
6.2.2. Préparation pour l’audit (NF EN ISO/CEI 17021 - § 9.2.2 et NF EN
ISO/CEI 17021-1 § 9.2.1)
Cette étape doit permettre à l’organisme de certification de s’assurer précisément du
périmètre d’évaluation souhaité par le demandeur.
La préparation doit être conduite en fonction de ce périmètre.
6.2.3. Audit (NF EN ISO/CEI 17021 - § 9.2.3 et NF EN ISO/CEI 17021-1 - §
9.4)
I
FO
L’audit doit être strictement limité au périmètre demandé et accepté par l’organisme de
certification.
T
I
A
La durée de l’audit dépend de l’organisation du PSCO ou du prestataire technique (les
facteurs qui peuvent influencer la durée d’audit sont mentionnés dans l’ISO/CEI 27006).
E
U
F
La répartition des jours d’audit est faite par l’organisme de certification en fonction de la
répartition des activités entre les différents prestataires techniques et des exigences qui
lui en sont en conséquence applicables.
Q
I
N
O
R
T
Dans tous les cas, la durée d’audit doit être adaptée au périmètre d’audit, justifiée et
documentée par l’organisme.
A titre indicatif, l’audit complet d’un PSCE assurant lui-même l’ensemble des fonctions
pour délivrer le service pour un niveau donné devrait être de l’ordre de 12 jours.
C
E
Dans le cas de PSCO ou de L
prestataires techniques répartis sur de multiples sites
géographiques, l’organisme E
de certification peut effectuer un échantillonnage selon les
conditions définies dans
Nl’ISO/CEI 27006 et au document « Règles applicables en
matière d’échantillonnage dans le cadre de la qualification des PSCE et des PSHE ».
O
Le nombre de sitesIdu PSCO ou d’un prestataire technique pour une fonction donnée à
S
auditer ainsi calculé
est le même pour les audits initiaux, les audits de surveillance et de
R
renouvellement.
E
V
Cas particuliers du face à face pour l’enregistrement des porteurs de certificats
:
A
Lélectroniques
a) Lorsque la vérification de l’identité est réalisée en face à face, par un MC, par
-
du personnel du PSCE ou d’un prestataire technique, les modalités suivantes
peuvent être appliquées en remplacement de l’échantillonnage ci-dessus
mentionné :
l’organisme de certification demande au PSCE ou au prestataire technique :
* la liste nominative des personnes habilitées à effectuer
l’enregistrement,
* la preuve de leur compétence à vérifier une pièce d’identité,
* la preuve de leur formation à cette activité d’enregistrement,
* la preuve qu’ils détiennent l’ensemble des procédures du PSCE ou du
prestataire technique et les formulaires d’enregistrement à jour,
Page 16 sur 20
-
* un engagement de chacune de ces personnes à respecter les règles
édictées par le PSCE ou le prestataire technique et en particulier à
effectuer un réel face-à-face,
* assurer l’archivage de ces données conformément aux exigences des
référentiels techniques mentionnés au chapitre 6 et à la législation en
vigueur,
l’organisme de certification doit toutefois régulièrement réaliser un audit
inopiné de ces opérations de face à face. Un dysfonctionnement constaté doit
être traité comme une non conformité du PSCE ou du prestataire technique.
b) Certains officiers publics tels que les notaires, les officiers d’état-civil et dans
certains cas les commissaires aux comptes et les huissiers ont un statut
professionnel qui leur permet d’effectuer l’acte d’enregistrement et de remise
de certificats et garantit juridiquement la valeur du face à face. Dans ce cas,
l’organisme de certification peut ne pas auditer les exigences relatives à
l’enregistrement (face à face et vérification de l’identité).
L’organisme de certification doit toutefois se réserver le droit d’auditer ces
exigences sous forme d’audit inopiné, en cas de doute.
I
T
I
A
E
U
FO
F
6.2.4 Appels, plaintes et contestations (NF EN ISO/CEI 17021 et NF EN
ISO/CEI 17021-1 - § 9.8)
Q
I
N
L’ANSSI peut être amenée à formuler une plainte suite à un contrôle auprès d’un PSCE
qualifié conformément à l’arrêté du 26 juillet 2004 et délivrant des certificats qualifiés
de signature, suivant les dispositions prévues par l’article 9 du décret n°2001-272 du 30
mars 2001.
O
R
T
C
E
L
E
7. PROCESSUS D’ACCREDITATION - MODALITES
D’EVALUATION
N
O
I
7.1.
PortéeS
d’accréditation
R
La portéeE
de demande d’accréditation identifie les référentiels techniques exploités par
les organismes
V de certification qui procèdent à l’évaluation de conformité des PSCO. La
liste exhaustive de ces référentiels se trouve en annexe A du présent document.
A demande pour intégrer un nouveau référentiel de certification à la portée
LToute
d’accréditation est traitée comme une extension mineure telle que décrite dans le
règlement d’accréditation CERT REF 05.
7.2.
Modalités d’évaluation
Toute demande d’accréditation, en vue de qualifier ou d’attester de la conformité
d’offres de PSCO ou de prestataires techniques, sera traitée comme une demande
d’accréditation initiale ou d’extension de la portée d’accréditation à un nouveau
domaine (objet du présent document), selon la procédure prévue dans le document
CERT REF 05.
Page 17 sur 20
L’équipe d’évaluation chargée des opérations d’évaluation pour le présent document
comprend un évaluateur qualiticien et un ou plusieurs évaluateur(s) technique(s)
compétent(s)6 dans le domaine de l’évaluation en sécurité des technologies de
l’information, conformément aux procédures du Cofrac.
Un rapport rédigé par l’évaluateur technique, différent du rapport d’évaluation destiné
au COFRAC, pourra être transmis et utilisé par l’ANSSI au titre de l’habilitation des
PSCO, selon la procédure prévue à l’article 10 du décret n° 2010-112.
7.1.
Observations d’activité
I
Il doit être effectué au moins 1 observation d’activité de qualification ou d’attestation de
conformité à chaque évaluation.
Par activité de qualification ou attestation de conformité, on entend notamment un audit
ou une réunion d’un comité. Les observations d’activité sont choisies en privilégiant le
référentiel technique RGS.
Compte-tenu des durées standards des audits initiaux et de renouvellement de
qualification, il est admis que les observations ne portent pas sur la totalité de l’audit.
T
I
A
E
U
FO
F
Q
I
L’attestation d’accréditation délivrée mentionne la liste des référentiels techniques
N
permettant l’évaluation de conformité des PSCO et pour la(les)quelle(s) il a obtenu
O
l’accréditation.
R
T
7.3.
Echange d’informations C
E
L
Le Cofrac informe, dans les meilleurs délais, l’ANSSI de toute décision d’octroi, de
E
restriction et de refus d’accréditation.
N
O
7.4. DispositionsIà prendre en cas de suspension, de retrait d’accréditation ou de
cessationS
d’activité de l’organisme certificateur
R
Einforme sans délai l’ANSSI de toute mesure de suspension ou de retrait
Le Cofrac
V
d’accréditation d’un organisme certificateur.
LA 7.4.1. Dispositions à prendre en cas de suspension d’accréditation
7.2.
Attestation d’accréditation
Les actions à mettre en œuvre par l’organisme concernant les certificats en vigueur émis
sous accréditation sont établies au cas par cas en fonction de la raison de la suspension
et sont indiquées dans le courrier de notification de suspension.
6
Ces derniers sont sélectionnés par le COFRAC parmi les candidats proposés par l’ANSSI.
Page 18 sur 20
7.4.2. Dispositions à prendre en cas de retrait de l’accréditation ou de
cessation d’activité d’un organisme certificateur.
7.4.2.1.
Retrait d’accréditation d’un organisme certificateur
L’organisme n’est plus autorisé à délivrer de certificats ni à maintenir les certificats
existants. Il doit informer les prestataires concernés dans les meilleurs délais pour
qu’ils puissent s’adresser à un autre organisme de certification accrédité à cet effet,
afin de transférer le cas échéant la certification détenue, conformément aux
dispositions de l’IAF MD2.
7.4.2.2.
Cessation d’activité d’un organisme certificateur
L’organisme certificateur doit informer les prestataires concernés dans les meilleurs
délais pour qu’ils puissent s’adresser à un autre organisme de certification accrédité à
cet effet, afin de transférer le cas échéant la certification détenue, dans les conditions
énoncées au § 7.4.2.1.
I
T
I
A
8. MODALITES FINANCIERES
E
U
FO
F
L’accréditation au titre du présent document constitue un domaine tel qu’indiqué dans
les documents CERT REF 06 et CERT REF 07.
Q
I
N
O
R
T
C
E
L
N
E
O
I
S
LA
R
E
V
Page 19 sur 20
ANNEXE A : PORTEE D’ACCREDITATION
Les activités suivantes relèvent du présent document
•
•
Certification pour la qualification des PSCE et des PSHE selon la version 1.0 du
RGS (décret n° 2010-112 et arrêté du 6 mai 2010 portant approbation de la version
1.0 du RGS) :
Confidentialité
A6
*, **, ***
Authentification
A7
*, **, ***
Signature électronique
A8
*, **, ***
Authentification serveur
A9
*, **, ***
Cachet
Authentification et signature électronique
A10
A11
Horodatage
A12
E
U
FA
IT
I
FO
*, **, ***
*, **
un seul niveau
Certification pour la qualification des PSCE et des PSHE selon la version 2.0 du
RGS (décret n° 2010-112 et arrêté du 13 juin 2014 portant approbation de la
version 2.0 du RGS) :
Q
I
N
O
R
T
Confidentialité
Certificats
électroniques
de personne
Services
applicatifs
Authentification
A2
*, **, ***
A2
*, **, ***
A2
*, **, ***
Authentification et signature électronique
A2
*, **
Cachet
Signature de codes
A3
A3
*, **, ***
*, **, ***
E
A3
*, **, ***
A5
un seul niveau
Signature électronique
C
E
L
Authentification serveur
N
Horodatage
O
I
S
•
Certification pour la qualification des PSCE selon l'arrêté du 26 juillet 2004 ;
•
R
E
Certification
des PSCE délivrant des certificats à clefs publiques selon la
V
•
Certification des PSCE délivrant des certificats qualifiés selon la spécification
ETSI TS 101 456 (équivalente à la spécification AFNOR AC Z74-400) ;
spécification ETSI TS 102 042 ;
A
L • Certification des PSHE délivrant des contremarques de temps selon
•
l'arrêté du 20 avril 2011
la spécification ETSI TS 102023 ;
Certification des prestataires techniques qui assurent une partie des fonctions
techniques, pour le compte des PSCE ou des PSHE, prévues dans les référentiels
du RGS (annexes A6 à A12 dans la version 1.0 du RGS, annexes A2, A3 et A5
dans la version 2.0 du RGS) et les normes ETSI TS 101 456, ETSI TS 102 042 et
ETSI TS 102023 et l’arrêté du 26 juillet 2004.
Page 20 sur 20

la version electronique fait foi

Transcription

Documents pareils

PSE1 : Premiers Secours en Equipe de niveau 1

Programme de formation Intitulé : Piloter efficacement

Technicien Support – Niveau 2

Technicien Support

here - Feral-Schuhl/Sainte

SOUS-PULL SANS MANCHE Fils Adriafil MATÉRIEL NÉCESSAIRE

pour inscrption

Pour en savoir un peu plus

rapport (corrigé)