Nouveau Référentiel Publié Par l'ANSSI
Nouveau Référentiel Publié Par l'ANSSI
Nouveau Référentiel Publié Par l'ANSSI
Référentiel d’exigences
13/12/2021 03.1 Prise en compte des remarques suite à l’appel à commentaires ANSSI
SGDSN/ANSSI
51 boulevard de La Tour-Maubourg
75700 Paris 07 SP
qualification@ssi.gouv.fr
I. Introduction .............................................................................................................................................. 7
II.2. Conseil en gestion des risques de sécurité des systèmes d’information ........................... 12
II.3. Conseil en sécurité des architectures des systèmes d’information .................................... 12
V.4. Engagements................................................................................................................................... 19
IV.2.2.2. Maîtrise des concepts système et des principaux systèmes d’exploitation .............. 44
IV.2.2.8. Connaissances spécifiques des systèmes d’information selon leur nature ............... 47
IV.2.2.9. Aptitudes interpersonnelles ................................................................................................ 48
I. Qualification ................................................................................................................................... 53
II. Avant la prestation ........................................................................................................................ 54
II. Prérequis à fournir pour les activités de conseil en gestion des risques de sécurité des
systèmes d’information ............................................................................................................................ 56
III. Prérequis à fournir pour les activités de conseil en sécurité des architectures des
systèmes d’information ............................................................................................................................ 57
VI. Prérequis à fournir pour les activités de conseil en préparation à la gestion de crises
d’origine cyber ............................................................................................................................................ 58
I.2.1. Contexte
Les systèmes d’information des entreprises et organisations se transforment en profondeur,
s’ouvrent vers l’extérieur et accueillent en continu des services innovants. Les entreprises et
organisations doivent intégrer des technologies de plus en plus nombreuses (« Big Data »,
« Internet des Objets », « Intelligence Artificielle », « Industrie 4.0 », etc..), interagir avec de plus
en plus d’acteurs (fournisseurs de produits et services, partenaires, sous-traitants, etc.) et faire
face à une internationalisation de leur activité. A cela s’ajoutent une extension des périmètres
applicables et un renforcement du niveau d’exigence des réglementations ([LOI_LPM], [NIS],
[RGS], [EIDAS], [PSSIE], etc.) qui obligent les entreprises et organisations à mieux maitriser le niveau
de sécurité de leurs systèmes d’information et à en élever le niveau.
Maintenir la confiance dans ces conditions représente un défi quotidien, notamment dans un
contexte de menaces toujours plus actives et plus variées. Les organisations doivent mettre en
place des dispositifs adaptés et proportionnés pour protéger leurs systèmes d’information et
répondre aux dispositions réglementaires. Tout d’abord, il s’agit d’identifier quelles mesures de
sécurité (organisationnelles, physiques et techniques) mettre en place en priorité et définir la
manière dont elles doivent être appliquées. Ceci passe par des démarches d’analyse de risques et
de définition de plans de traitement de ces risques. Enfin, les organisations doivent également se
préparer aux crises affectant ces systèmes d’information ou services numériques et aux impacts
sur les activités métiers qu’ils supportent, en adaptant leur dispositif de crise, de continuité
d’activité et de résilience à la composante cyber.
Face à cette évolution permanente des risques et des réglementations, les entreprises et
organisations doivent être soutenues dans leurs démarches de gestion des risques, de protection
de leurs systèmes d’information, et dans les démarches de gestion des crises associées. Elles
peuvent alors souhaiter être accompagnées par des prestataires afin de bénéficier de main
d’œuvre et d’expertise souvent difficiles à réunir au sein même de leur organisation.
Ces activités de sécurisation des systèmes d’information viennent compléter d’autres types
d’activités spécifiques de sécurité des systèmes d’information parmi lesquelles l’audit de sécurité
des systèmes information, la détection et la réponse aux incidents de sécurité des systèmes
d’information, respectivement objet des référentiels [PASSI], [PDIS] et [PRIS] également proposés
par l’ANSSI.
I.3.1. Acronymes
Les principaux acronymes utilisés dans le présent référentiel sont :
I.3.2. Définitions
Les définitions ci-dessous s’appuient sur les normes et références documentaires de l’Annexe 1
ainsi que sur la stratégie nationale pour la sécurité du numérique.
Gestion de crise - Processus de gestion qui identifie les impacts potentiels qui menacent une
organisation et fournit un cadre pour renforcer la résilience, avec la capacité d'une réponse
efficace qui préserve les intérêts des principales parties prenantes de l'organisation, sa réputation,
sa marque et ses activités créatrices de valeur, et qui rétablit efficacement les capacités
opérationnelles1.
1
Définition inspirée de la norme ISO 28002.
Sous-traitance - opération par laquelle le prestataire confie, sous sa responsabilité, à une entité
(le sous-traitant) tout ou partie de l’exécution de la convention de service. Le sous-traitant ainsi
identifié est donc par essence extérieur à l’organisation du prestataire.
Cet accompagnement peut intervenir dans le cadre de l’homologation initiale de sécurité d’un
système d’information, du suivi de cette homologation, ou de son renouvellement.
Les recommandations émises peuvent porter sur les architectures des systèmes d’information en
tant que telles, ainsi que sur les configurations des éléments composant l’architecture (systèmes,
réseaux, applicatifs, etc.).
Cet accompagnement peut intervenir dans le cadre de la conception d’un système d’information,
de l’évolution d’un système d’information existant, ou de la revue d’un système d’information
existant.
Le conseil en préparation à la gestion de crise d’origine cyber doit s’assurer que les dispositifs de
continuité d’activité adressent les risques d’origine cyber et s’adaptent aux spécificités de ce type
de crise. Il convient notamment d’intégrer le risque d’origine cyber dans les plans de continuité
d’activité (PCA), plans de reprise d’activité (PRA) et plans de continuité informatique (PCI).
L’activité doit être menée en s’assurant de répondre aux exigences de continuité d’activité du
commanditaire ainsi qu’à sa maturité.
Les travaux peuvent porter sur des aspects organisationnels tels que la structuration d’équipes et
de politiques, ou techniques tels que la définition de fiches réflexes, la mise en place d’outillage
de crise, ou de dispositifs opérationnels permettant de répondre aux enjeux de continuité. Ils
peuvent également porter sur l’entrainement et la formation des équipes mobilisées lors des
crises.
Cet accompagnement peut intervenir dans le cadre de la conception d’un dispositif de gestion
de crise, de l’évolution d’un dispositif de gestion de crise existant ou de la revue d’un dispositif de
gestion de crise existant.
Pour être qualifié, un prestataire doit répondre à toutes les exigences du présent référentiel sur la
portée choisie.
Est considérée comme une prestation qualifiée au sens du référentiel, une prestation respectant
le déroulement décrit au chapitre VI, dont les activités sont réalisées par un ou plusieurs
consultants évalués individuellement et reconnus compétents pour ces activités, conformément
au chapitre V et à l’Annexe 2 et travaillant pour un prestataire respectant les exigences du
chapitre IV.
III.3. Avertissement
Une prestation d'accompagnement et de conseil en sécurité des systèmes d’information non
qualifiée, c’est-à-dire ne respectant pas intégralement les exigences du présent référentiel sur la
portée cible, peut potentiellement exposer le commanditaire ou le bénéficiaire à certains risques
et notamment la fuite d’informations confidentielles, la compromission, la perte ou
l’indisponibilité de son système d’information.
Ainsi, dans le cas d’une prestation non qualifiée, il est recommandé au commanditaire de
demander au prestataire un document listant l’ensemble des exigences de ce référentiel non
couvertes dans le cadre de la prestation, afin de connaître les risques auxquels il s’expose.
e) Le prestataire doit apporter une preuve suffisante que son organisation, ses moyens mis en
œuvre pour délivrer la prestation et les modalités de son fonctionnement, notamment
financières, ne sont pas susceptibles de compromettre son impartialité et la qualité de sa
prestation à l’égard du commanditaire ou de provoquer des conflits d’intérêts.
f) Le prestataire doit réaliser la prestation de manière impartiale, en toute bonne foi et dans le
respect du commanditaire, de son personnel et de son infrastructure.
g) Le prestataire doit prévoir l'enregistrement et le traitement des plaintes portant sur sa
prestation déposées par les commanditaires, les bénéficiaires et les tiers.
h) Des mesures de sécurité doivent être mises en place pour protéger les informations relatives
à la prestation à toutes les étapes. En particulier, le prestataire doit protéger en confidentialité
ces informations et notamment lors de la phase de qualification préalable d’aptitude à la
réalisation de la prestation (voir chapitre VI.1). Ces mesures doivent tenir compte du niveau
de sensibilité ou de classification de ces informations.
d) Il est recommandé que le prestataire mette en œuvre la méthode [EBIOS_RM] pour élaborer
l’analyse des risques relative à son système d’information.
h) Le prestataire doit, pour son système d’information homologué Diffusion Restreinte, mettre
en œuvre les règles du niveau renforcé du guide d’hygiène informatique [G_HYGIENE].
i) Il est recommandé que le prestataire, pour son système d’information homologué Diffusion
Restreinte, mette en œuvre les recommandations du guide [G_ARCHI_DR] pour la conception
de l'architecture de son système d'information homologué Diffusion Restreinte.
2
Le choix du marquage des informations et supports relatifs à la prestation ainsi que des moyens
de protection associés revient in fine au commanditaire et est consigné dans la note de cadrage
définie au chapitre VI.2.5.
b) Le responsable de prestation et le consultant doivent, selon leur profil, assurer les missions
décrites dans l’Annexe 2.
c) Le responsable de prestation et le consultant doivent, selon leur profil, disposer des
compétences décrites dans l’Annexe 2.
d) Le responsable de prestation et le consultant doivent, selon leur profil, disposer des
connaissances décrites dans l’Annexe 2.
V.3. Expérience
a) Il est recommandé que le responsable de prestation justifie d’au moins trois années
d’expérience dans le domaine de la sécurité des systèmes d’information.
b) Il est recommandé que le consultant en gestion des risques de sécurité des systèmes
d’information justifie d’au moins :
i. deux années d’expérience dans le domaine de la sécurité des systèmes d’information ;
ii. trois années d’expérience dans le domaine de la gestion du risque.
c) Il est recommandé que le consultant en sécurité des architectures des systèmes d’information
justifie d’au moins :
i. deux années d’expérience dans le domaine de la sécurité des systèmes d’information ;
V.4. Engagements
a) Le consultant doit avoir une relation contractuelle avec le prestataire.
b) Le responsable de prestation doit avoir une relation contractuelle avec le prestataire.
a) indiquer que la prestation réalisée est une prestation qualifiée et inclure l’attestation de
qualification du prestataire ;
d) indiquer que les consultants et les responsables de prestation disposent d’une attestation
individuelle de compétence pour les activités de la prestation et inclure ces attestations ;
VI.2.2. Responsabilités
La convention de service doit :
b) spécifier que le commanditaire dispose de l’ensemble des droits de propriété et d’accès sur
le périmètre de la prestation (systèmes d’information, supports matériels, etc.) ou, le cas
échéant, qu’il a recueilli l’accord des tiers dont les systèmes d’information entrent dans le
périmètre de la prestation.
VI.2.3. Confidentialité
La convention de service doit :
b) indiquer que le prestataire met en place une liste des informations transmises aux tiers
autorisés ; cette dernière précise pour chaque information le tiers auquel elle a été transmise.
Cette liste est maintenue à jour et mise à disposition du commanditaire lorsque ce dernier en
fait la demande ;
c) indiquer que le prestataire détruit l’ensemble des informations relatives à la prestation à
l’issue de la prestation ou à la date d’échéance de la durée de conservation, au premier terme
échu, à l’exception de celles pour lesquelles il a reçu une autorisation de conservation de la
part du commanditaire. Le cas échéant les modalités de conservation (par exemple
anonymisation, décontextualisation, durée) doivent être approuvées par le commanditaire.
3 Le responsable de prestation peut, s’il dispose des compétences suffisantes et que le périmètre de la prestation le permet, réaliser la
g) La prestation ne doit débuter qu’après une réunion formelle, la réunion d’ouverture, au cours
de laquelle les représentants habilités du prestataire et ceux du commanditaire confirment
leur accord sur l’ensemble des modalités de la prestation.
h) Il est recommandé que la réunion d’ouverture implique au minimum :
Prestataire :
- un responsable de prestation ;
- au moins un consultant pour chacune des activités d’accompagnement et de conseil en
sécurité des systèmes d’information réalisées ;
Commanditaire :
- un responsable projet de la prestation ;
- un propriétaire du système d’information objet de la prestation ;
- un responsable de la sécurité du système d’information objet de la prestation ;
- un représentant métier du système d’information objet de la prestation ;
- un représentant informatique du système d’information objet de la prestation ;
- un architecte fonctionnel ou technique ayant une compréhension du système
d’information objet de la prestation ;
- un acteur en charge du maintien en condition opérationnelle du système d’information
objet de la prestation ;
- un acteur en charge du maintien en condition de sécurité du système d’information objet
de la prestation ;
- le cas échéant, un représentant des équipes de communication ;
- le cas échéant, un représentant des équipes juridiques ;
- le cas échéant, un représentant des tiers (fournisseurs de produits et services, sous-
traitants, etc.) impliqués dans le système d’information objet de la prestation.
Un même interlocuteur peut cumuler plusieurs profils de la liste ci-dessus.
VI.4.2.2. Exécution des activités de conseil en gestion des risques de sécurité des
systèmes d’information
a) Le prestataire doit utiliser une méthode d’analyse de risques éprouvée, maintenue, pérenne
et respectant la norme [ISO27005].
b) Le prestataire doit préconiser auprès du commanditaire l’utilisation de la méthode
[EBIOS_RM] dans le cadre de l’accompagnement à l’analyse de risques d’un système
d’information.
c) Le prestataire et le commanditaire doivent s’accorder sur les échelles et métriques utilisées
dans le cadre de la prestation.
f) Le prestataire doit procéder à la revue des documents identifiés dans la note de cadrage.
g) Le prestataire doit procéder à la revue des documents et organiser la rencontre des
interlocuteurs identifiés dans la convention de service conformément aux informations
fournies par le commanditaire.
VI.4.2.3. Exécution des activités de conseil en sécurité des architectures des systèmes
d’information
h) Le prestataire doit identifier les interlocuteurs pertinents à rencontrer puis organiser et mener
les entretiens avec ces derniers. Les interlocuteurs pertinents sont notamment ceux impliqués
dans la définition, la mise en place, le maintien en condition opérationnelle (MCO) et de
sécurité (MCS) de toutes les briques du système d’information cible.
a) Le prestataire doit procéder à la revue des documents et organiser la rencontre des
interlocuteurs identifiés dans la convention de service.
b) Le prestataire doit baser ses recommandations sur des standards éprouvés, maintenus,
pérennes, respectant les principes des textes et guides de sécurisation techniques publiés par
l’ANSSI ou reconnus comme conformes aux normes existantes en matière d’architecture des
systèmes d’information sécurisés. Le prestataire doit justifier ses recommandations et mettre
en avant les écarts avec l’état de l’art pour toute recommandation alternative.
b) Le rapport de prestation doit mentionner explicitement s’il s’agit d’une prestation qualifiée et
préciser les activités d’accompagnement et de conseil en sécurité des systèmes d’information
réalisées.
c) Le rapport de prestation doit contenir en particulier une synthèse, compréhensible par des
non experts, qui précise :
- le contexte, dont une analyse de la menace globale,
- le périmètre et les objectifs de la prestation ;
- la cartographie du système d’information cible ;
- les différentes étapes de la prestation, les entretiens réalisés et les documents analysés
dans le cadre de la prestation ;
4 Le socle de sécurité sous-entend la liste des référentiels applicables, l’état d’application et l’identification et justification des écarts.
5
Ces thématiques sont à adapter en fonction du périmètre et des objectifs de la prestation.
h) La prestation est considérée comme terminée lorsque toutes les activités prévues ont été
réalisées et que le commanditaire a reçu et attesté, formellement et par écrit, que le rapport
de prestation est conforme aux objectifs visés dans la convention.
Renvoi Document
Décret n° 2015-350 du 27 mars 2015 relatif à la qualification des
produits de sécurité et des prestataires de service de confiance pour
[D_2015_350]
les besoins de la sécurité des systèmes d’information.
Disponible sur https://www.legifrance.gouv.fr
Règlement (UE) no 910/2014 du parlement européen et du conseil du
23 juillet 2014 sur l'identification électronique et les services de
[EIDAS] confiance pour les transactions électroniques au sein du marché
intérieur et abrogeant la directive 1999/93/CE.
Disponible sur https://eur-lex.europa.eu
Instruction générale interministérielle n° 1300/SGDSN/PSE/PSD du 9
[IGI_1300] août 2021 sur la protection du secret de la défense nationale.
Disponible sur https://www.legifrance.gouv.fr/
Instruction interministérielle relative à la protection des systèmes
[II_901] d’information sensibles, n°901/SGDSN/ANSSI, 28 janvier 2015.
Disponible sur https://circulaires.legifrance.gouv.fr
Instruction interministérielle relative aux articles contrôlés de la sécurité
des systèmes d’information (ACSSI), n°910/SGDSN/ANSSI, 22 octobre
[II_910]
2013.
Disponible sur https://circulaires.legifrance.gouv.fr
Articles L. 1332-6-1 à L. 1332-6-6 du code de la défense, créés par la loi
n° 2013-1168 du 18 décembre 2013 relative à la programmation
[LOI_LPM] militaire pour les années 2014 à 2019 et portant diverses dispositions
concernant la défense et la sécurité nationale (LPM 2014-19)
Disponible sur https://www.legifrance.gouv.fr
Directive (UE) n° 2016/1148 du parlement européen et du conseil du 6
juillet 2016 concernant les mesures destinées à assurer un niveau élevé
commun de sécurité des réseaux et des systèmes d’information dans
l’Union
[NIS] Disponible sur https://eur-lex.europa.eu
Loi n° 2018-133 du 26 février 2018 portant diverses dispositions
d'adaptation au droit de l'Union européenne dans le domaine de la
sécurité
Disponible sur https://www.legifrance.gouv.fr
Instruction interministérielle n° 2100/SGDSN/SSD du 1er décembre
1975 pour l'application en France du système de sécurité de
[R_OTAN]
l'Organisation du Traité de l'Atlantique nord
Disponible sur https://circulaires.legifrance.gouv.fr
Renvoi Document
Méthode de gestion de risques EBIOS Risk Manager.
[EBIOS_RM]
Disponible sur https://www.ssi.gouv.fr
Recommandations de déploiement du protocole 802.1x pour le
[G_802.1] contrôle d’accès à des réseaux locaux, ANSSI, version en vigueur.
Disponible sur https://www.ssi.gouv.fr
Recommandations relatives à l’administration sécurisée des
[G_ADMIN] systèmes d’information, ANSSI, version en vigueur.
Disponible sur https://www.ssi.gouv.fr
Recommandations pour la sécurisation des sites web, ANSSI,
[G_APPLI_WEB] version en vigueur.
Disponible sur https://www.ssi.gouv.fr
Recommandations pour les architectures des systèmes
d’information sensibles ou diffusion restreinte, ANSSI, version en
[G_ARCHI_DR]
vigueur.
Disponible sur https://www.ssi.gouv.fr
Recommandations relatives à l’authentification multifacteurs et aux
[G_AUTH_MULTI_MDP] mot de passe, ANSSI, version en vigueur.
Disponible sur https://www.ssi.gouv.fr
Cartographie du système d’information, Guide d’élaboration en 5
[G_CARTOGRAPHIE] étapes, ANSSI, version en vigueur.
Disponible sur https://www.ssi.gouv.fr
Recommandations pour la mise en place de cloisonnement
[G_CLOISONNEMENT] système, ANSSI, version en vigueur.
Disponible sur https://www.ssi.gouv.fr
Anticiper et gérer sa communication de crise cyber, ANSSI, version
[G_COM_CRISE] en vigueur.
Disponible sur https://www.ssi.gouv.fr
Renvoi Document
Guide d’achat de produits de sécurité et de services de confiance
[G_ACHAT] qualifiés, ANSSI, version en vigueur.
Disponible sur https://www.ssi.gouv.fr
Processus de qualification d’un service, ANSSI, version en vigueur.
[P_QUALIF_SERVICE]
Disponible sur https://www.ssi.gouv.fr
Stratégie nationale pour la sécurité du numérique, octobre 2015.
[STRAT_NUM]
Disponible sur https://www.ssi.gouv.fr
II.1. Missions
Le responsable de prestation doit assurer les missions suivantes :
- mettre en œuvre une organisation adaptée aux objectifs de la prestation ;
- structurer l’équipe de consultants (compétences, connaissances, expérience, etc.) ;
- déterminer et contrôler le niveau d’habilitation requis ;
- assurer la définition, le pilotage et le contrôle des activités des consultants ;
- mettre en œuvre les moyens adaptés aux objectifs de la prestation ;
- définir et gérer les priorités ;
- maintenir à jour un état de la progression de la prestation et présenter l’information utile
au commanditaire ;
- contrôler la qualité des productions ;
II.2. Compétences
III.1. Missions
Les missions du consultant en gestion des risques de sécurité des systèmes d’information
consistent à prendre en charge les activités telles qu’identifiées aux chapitres II.1 et II.2 du
référentiel.
III.2. Compétences
III.2.3. Pratique d’une méthode de gestion des risques de sécurité des systèmes
d’information
Le consultant en gestion des risques de sécurité des systèmes d’information doit :
- savoir choisir le niveau de détail d'une étude ;
- avoir suivi le déroulement d'études dans leur intégralité, par exemple en tant que maîtrise
d'ouvrage ou assistance à maîtrise d'ouvrage ;
- avoir réalisé des études dans leur intégralité ;
- savoir identifier les informations nécessaires pour mener une étude ;
- connaître les types de fonctions à impliquer selon les activités de la méthode ;
- savoir analyser et utiliser les informations obtenues ;
- utiliser et ajuster les bases de connaissances opérationnelles ;
- savoir proposer des mesures de sécurité raisonnables selon la réalité de l'organisme (selon
sa maturité) ;
- savoir expliquer les différents types de livrables principalement produits et leurs finalités.
IV.1. Missions
Les missions du consultant en sécurité des architectures des systèmes d’information consistent à
prendre en charge les activités telles qu’identifiées au chapitre II.3 du référentiel.
Il lui est recommandé de connaître les guides de recommandations liés à ces différents éléments,
parmi lesquels de façon non exhaustive : [G_ADMIN].
Il est recommandé que le consultant ait une bonne connaissance de la doctrine de l’ANSSI à
travers les guides de sécurisation système, parmi lesquels de façon non
exhaustive : [G_APPLI_WEB].
IV.2.2.5. Maîtrise des concepts de gestion des accès et de la protection des données
Le consultant doit maîtriser les principaux concepts et principes techniques liés à :
- la gestion des identités et des accès ;
- l'authentification multi-facteurs ;
- l’annuaire centralisé ;
- la cryptographie ;
- l’infrastructure de gestion de clés (IGC).
Le consultant doit maîtriser les principales technologies de stockage, les besoins et les principes
de sécurité associés, notamment en étant en mesure :
- de proposer des mesures de cloisonnement en fonction des technologies de stockage
utilisées ;
- de proposer des mesures d'effacement sécurisé ;
- d'aider à la mise en place d'une politique de sauvegarde sécurisée.
Il lui est recommandé de connaître les guides de recommandations liés à ces différents éléments,
parmi lesquels de façon non exhaustive :
- [G_SEC_AD] ;
Le consultant doit maîtriser les principaux équipements et produits de sécurité, parmi lesquels de
façon non exhaustive : pare-feu, sonde de détection d'intrusion, TAP (Traffic Access Point), sonde
de prévention d'intrusion, diode, serveur mandataire, SIEM (Security Information and Event
Management), WAF (Web Application Firewall), concentrateur VPN (Virtual Private Network).
Il lui est recommandé de connaître les guides de recommandations liés à ces différents éléments,
parmi lesquels de façon non exhaustive : [G_DEF_PROF].
Le consultant en sécurité des architectures des systèmes d’information doit également être
capable de comprendre, d’étudier et d'analyser un dossier d'architecture complexe, en prenant
en compte toutes les composantes pertinentes pour la sécurité, qui détaille de façon claire :
- les services d'infrastructure les plus pertinents dans le contexte de la prestation ;
- les différentes zones de sensibilité s’il y en a (« non protégé », « diffusion restreinte », etc.) ;
- les flux réseau les plus pertinents dans le contexte de la prestation ;
- les interconnexions avec d'autres systèmes d’information (maîtrisés par l’entité ou non) ;
- les équipements de sécurité les plus pertinents dans le contexte de la prestation ;
- les zones d'administration et les zones de supervision du(des) système(s) d’information
concerné(s).
Il doit ainsi être capable de réaliser un dossier de sécurité associé, de porter un regard critique sur
un système ou sur un composant d’un système et de remettre en cause les choix d’architectures
discutables ou peu pertinents et être en mesure de justifier et positionner les principaux
équipements de sécurité dans une recommandation d’architecture.
Il doit connaître les guides de recommandations liés à ces différents éléments, parmi lesquels de
façon non exhaustive : [G_CARTOGRAPHIE].
Il est recommandé qu’il ait également une connaissance macroscopique des spécificités des
systèmes d'information suivants :
- les systèmes de contrôle d’accès physique et vidéo surveillance ;
- les systèmes de téléphonie sur IP (ToIP) et plus généralement les systèmes temps réel ;
- les systèmes virtualisés dans les environnements cloud.
Il est également recommandé de connaître les guides de recommandations et les référentiels liés
à ces différents éléments, parmi lesquels de façon non exhaustive :
- [G_SEC_VIRTUAL] ;
- [G_TOIP] ;
- [G_CONTROLE_ACCES] ;
- [SECNUMCLOUD].
Ces connaissances macroscopiques doivent lui permettre d’identifier et justifier le recours
nécessaire à des experts dans ces domaines. Les connaissances dans ces systèmes d'information
spécifiques doivent permettre au consultant de pouvoir échanger techniquement avec les
experts, d'être capable de monter en compétence sur ces systèmes, et d'être en mesure de définir
avec pertinence les mesures de sécurisation de l'architecture en adéquation avec les spécificités
de ces systèmes.
V.1. Missions
Les missions du consultant en préparation à la gestion de crise d’origine cyber consistent à
prendre en charge les activités telles qu’identifiées au chapitre II.4 du référentiel.
V.2. Compétences
Il doit également connaître la documentation pertinente présente sur le site Web de l’ANSSI
(www.ssi.gouv.fr) vis-à-vis des missions décrites dans les parties suivantes.
Il doit connaître les guides de recommandations liés à ces différents éléments, parmi lesquels de
façon non exhaustive :
- [G_EXERCICE_CRISE] ;
- [ISO22398].
7 L’exercice basé sur la discussion consiste en la conduite d’une discussion sur la base d’un scénario déroulé pendant une réunion ou un
atelier. La simulation consiste en une stimulation fortement contextualisée (généralement à travers des outils de simulation
d’environnement) afin de tester des capacités ou des procédures contre un scénario établi. L’exercice majeur est un exercice nécessitant
une coopération forte entre de multiples niveaux (parmi les niveaux stratégique, opérationnel et tactique) et/ou avec un large périmètre
Il doit connaître les guides de recommandations liés à ces différents éléments, notamment
[G_GESTION_CRISE].
Il doit connaître les guides de recommandations liés à ces différents éléments, parmi lesquels de
façon non exhaustive :
- [G_HYGIENE] ;
- [G_RANCONGICIEL].
I. Qualification
a) Le commanditaire peut, lorsqu’il est une autorité administrative ou un opérateur d’importance
vitale, demander à l’ANSSI de participer à la définition du cahier des charges faisant l’objet d’un
appel d’offres ou d’un contrat.
b) Il est recommandé que le commanditaire choisisse son prestataire dans le catalogue des
prestataires qualifiés publié sur le site de l’ANSSI, la qualification d’un prestataire
d’accompagnement et de conseil en sécurité des systèmes d’information attestant de sa
conformité à l’ensemble des exigences du présent référentiel.
c) Pour bénéficier d’une prestation qualifiée, c’est-à-dire conforme à l’ensemble des exigences du
présent référentiel, le commanditaire doit :
- choisir le prestataire dans le catalogue des prestataires qualifiés publié sur le site de l’ANSSI ;
- exiger du prestataire de spécifier dans la convention de service que la prestation réalisée
est une prestation qualifiée.
En effet, un prestataire qualifié garde la faculté de réaliser des prestations non qualifiées. Le
recours à un prestataire issu du catalogue des prestataires qualifiés est donc une condition
nécessaire mais pas suffisante pour bénéficier d’une prestation qualifiée. Il est également
nécessaire d’exiger une prestation qualifiée.
d) Il est recommandé que le commanditaire utilise le guide d’achat des produits de sécurité et des
services de confiance [G_ACHAT] qui a vocation à accompagner la fonction achat des
commanditaires lors des appels d’offres.
e) Il est recommandé que le commanditaire demande au prestataire de lui transmettre son
attestation de qualification. Cette attestation identifie notamment les activités pour lesquelles
le prestataire est qualifié ainsi que la date de validité de la qualification.
d) La durée et les charges de la prestation demandée par le commanditaire devront être adaptées
en fonction :
- du périmètre de la prestation et de sa complexité ;
- des exigences de sécurité attendues du système d’information cible.
Certains documents attendus pourront ne pas encore être disponibles dans le cas d’une
prestation menée en phase de conception du système d’information cible.
b) Au lancement de la prestation, le commanditaire doit être capable de fournir les noms des
interlocuteurs pour chaque profil ci-dessous et de les mettre en contact avec le prestataire en
cas de besoin dans le cadre de la prestation :
- un responsable projet de la prestation ;
- un propriétaire du système d’information objet de la prestation ;
- un responsable de la sécurité du système d’information objet de la prestation ;
- un représentant métier du système d’information objet de la prestation ;
- un représentant informatique du système d’information objet de la prestation ;
b) Au lancement de la prestation, le commanditaire doit être capable de fournir les noms des
interlocuteurs correspondant à chaque profil ci-dessous et de les mettre en contact avec le
prestataire en cas de besoin pendant la prestation :
- un responsable projet de la prestation ;
- un responsable du dispositif de gestion de crise et/ou de la continuité d’activité ;
- un propriétaire du système d’information objet de la prestation ;
- un responsable de la sécurité du système d’information objet de la prestation ;
- un représentant métier du système d’information objet de la prestation ;
- un représentant informatique du système d’information objet de la prestation ;
- un architecte fonctionnel ou technique ayant une compréhension du système
d’information objet de la prestation ;
- un acteur en charge du maintien en condition opérationnelle du système d’information
objet de la prestation ;