| DGSSI

Dénomination du PSCo	Nom du service de confiance	Type du service de confiance	Niveau du service de confiance	Identifiant unique (OID) du service de confiance
DamaneSign	DamaneSign signature CA	Délivrance de certificats de signature électronique			1.3.6.1.4.1.58553.1.7.1.1
Création de signature électronique			1.3.6.1.4.1.58553.1.7.1.3
LLEIDANETWORKS SERVEIS TELEMATICS	Click & Sign	Création de signature électronique			1.3.6.1.4.1.52376.2.5.0.0
Création de cachet électronique			1.3.6.1.4.1.52376.2.5.1.0
Courrier électronique certifié Openum Openum eIDAS	Envoi recommandé électronique			1.3.6.1.4.1.52376.2.4.0
LRE TRUST	Signature électronique LRE	Création de signature électronique			1.2.250.1.86.2.3.3.22.1
Horodatage électronique LRE	Horodatage électronique			1.2.250.1.86.2.3.3.24.1
Envoi recommandé électronique LRE	Envoi recommandé électronique			1.3.6.1.4.1.50034.1.1.2
EURAFRIC INFORMATION	AfricSIGN	Délivrance de certificats de signature électronique			1.2.504.1.2.1.2.8.1
Création de signature électronique
Afric-eStamp	Délivrance de certificats de cachet électronique			1.2.504.1.2.1.2.9.2
Création de cachet électronique
AfricTimeStamp	Horodatage électronique			1.2.504.1.2.1.2.3.5 1.2.504.1.2.1.2.6.2
LEX PERSONA	Lex Enterprise - Service de délivrance de certificats ETSI LCP	Délivrance de certificats de signature électronique			1.3.6.1.4.1.22542.100.1.1.1.6
Création de signature électronique
Lex Enterprise - Service de délivrance de certificats OPEN REG	Délivrance de certificats de signature électronique			1.3.6.1.4.1.22542.100.1.1.1.3
Création de signature électronique
Lex Enterprise - Lex Persona eIDAS qualified timestamp	Horodatage électronique			1.3.6.1.4.1.22542.100.2.1 1.3.6.1.4.1.22542.100.1.1.2.2
Banque Centrale Populaire	Chaabi eSign - Certs	Délivrance de certificats de signature électronique			1.2.504.1.1.2.1.3.10.1
Chaabi eSign - Signature	Création de signature électronique			1.2.504.1.1.2.1.3.5.1 1.2.504.1.1.2.1.1.6.1
Chaabi eSign - Seals	Délivrance de certificats de cachet électronique			1.2.504.1.1.2.1.3.7.1
Création de cachet électronique

PRESTATAIRES D’AUDIT DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION QUALIFIÉS

Conformément aux dispositions du décret n° 2-21-406 pour l’application de la loi n°05-20 relative à la cybersécurité, les entités et infrastructures d’importance vitale disposant de systèmes d’information sensibles doivent mener des audits périodiques de leurs systèmes par des prestataires d’audit qualifiés par la DGSSI. Cette qualification, qui constitue un gage de qualité et de confiance s’appuie sur la vérification des critères attestant, notamment :

des références des prestataires dans le domaine
de la qualification de leurs ressources humaines
de l’efficacité et l’adéquation des méthodes et outils utilisés
de l’organisation du travail et le respect des règles déontologiques et de sécurité.

Liste des Prestataires d’Audit de la Sécurité des Systèmes d’Information qualifiés

Prestataire	Date de fin de qualification	Classe des SI
LMPS CONSULTING	02/02/2027	Classe B
Deloitte Morocco Cyber Center	03/11/2026	Classe B
SEKERA SERVICES	18/08/2026	Classe A et Classe B
NEAR SECURE	18/08/2026	Classe A et Classe B
Techso Group	18/08/2026	Classe B
DATAPROTECT	17/01/2026	Classe A et Classe B
PWC Advisory	12/01/2026	Classe B
Thales Holding Maroc	11/03/2025	Classe B
Entreprise Services CDG (DXC Technology)	10/03/2025	Classe B
Orange Business Maroc	10/03/2025	Classe B

En cours

Suspendue^(*)

Validée

(*) En application des dispositions de l'article 26 du décret n° 2-21-406 pris pour l'application de la loi 05-20 relative à la cybersécurité

Procédure de qualification
- Conditions d'éligibilité
- Être constitué sous forme de société de droit marocain
- Avoir une expertise dans l’audit de la sécurité des systèmes d’information
- Avoir une structure organisationnelle dédiée exclusivement à l’audit de la sécurité des systèmes d’information
- Remplir les conditions figurant dans le référentiel d’exigences relatif à la qualification des prestataires d’audit de la sécurité des systèmes d’information
- Être qualifié au minimum dans trois (03) domaines d’audit (audit organisationnel et physique, audit d’architecture, audit de configuration, tests d’intrusion, audit du code source, audit des systèmes industriels) et disposer d’un auditeur au minimum par domaine de qualification demandé.
En outre, le prestataire d’audit doit, afin de fournir des prestations d’audit de la sécurité des systèmes d’information ayant la classification « CLASSE A », remplir les conditions suivantes :
- Le capital de la société doit être détenu majoritairement par des marocains ;
- Les auditeurs proposés doivent être de nationalité marocaine.
- Constitution du dossier de la demande
- Formulaire de la demande de la qualification;
- Copie des statuts de la société
- Attestation d’inscription au registre de commerce
- Liste des noms des associés et leurs nationalités
- Copies des pièces d’identité des dirigeants de la société et ses organes d’administration ainsi que des auditeurs proposés
- Note indiquant les moyens humains et techniques de la société
- Copies des casiers judiciaires des auditeurs proposés
- Curriculums vitae des auditeurs proposés, selon le modèle suivant
- Copies des diplômes et certificats de formation des auditeurs proposés ;
- Copies des contrats de travail conclus avec les auditeurs proposés
- Copies des attestations délivrées par les maîtres d’ouvrages au profit desquels ont été exécutées des prestations d’audit de la sécurité des systèmes d’information, et devant préciser notamment la nature de la prestation fournie et la date de sa réalisation
- Document décrivant la méthodologie appliquée pour conduire la prestation d’audit, objet de la demande de qualification.
- Etapes de la qualification
La qualification se déroule en deux étapes avec l’obligation de valider une phase pour passer à la suivante, comme indiqué ci-après :
Etape 1 - Pré-qualification :
Cette étape consiste en l’analyse des éléments constituant le dossier de la demande de qualification. Après s’être assuré que le dossier de la demande comprend tous les documents et informations requis, l’autorité nationale soumet le prestataire d’audit de la sécurité des systèmes d’information, à ses frais, à une évaluation des prestations objet de la demande par l’un des organismes qu’elle désigne à cet effet. L'évaluation précitée s’effectue conformément au référentiel d’exigences relatif à la qualification des prestataires d’audit de la sécurité des systèmes d’information.
Etape 2 – Qualification :
Consiste en l’évaluation par l’organisme évaluateur désigné par la DGSSI :
- Des auditeurs et leur attribuer un niveau de qualification
- Des processus de l’entreprise (veille, formation et maintien des compétences, gestion des ressources, moyens de travail et outils etc.)
- De la sécurité des locaux et du système d’information du prestataire d’audit
- Des méthodologies de travail et des outils utilisés.
Ces évaluation sont effectuées sous la supervision de la DGSSI.

- Décision de qualification
Au vu des résultats des évaluations précitées la DGSSI délivre la décision de qualification en indiquant notamment :
- La dénomination et l’adresse du siège social du prestataire d’audit
- Les domaines d’audit objet de la qualification, en indiquant que le prestataire peut auditer les systèmes d’information sensibles de CLASSE A ou de CLASSE B
- La durée de sa validité qui ne dépasse pas trois (03) ans
- La liste des auditeurs par domaines d’audit en indiquant leurs niveaux de qualification.
Déclaration de modification
Conformément à l’article 25 du décret n° 2-21-406 pour l’application de la loi 05.20 relative à la cybersécurité, tout prestataire d’audit de la sécurité des systèmes d’information (PASSI) informe, sans délai, l’autorité nationale (DGSSI) de toute modification intervenue dans l’un des éléments sur la base desquels la qualification a été délivrée. A cet effet, le formulaire de déclaration de modification doit être déposé par le PASSI auprès de la DGSSI, accompagné d’un dossier comportant les documents suivants, selon les cas :
1. MODIFICATION DE LA RAISON SOCIALE
- Copie du nouveau statut
- Attestation d’inscription au registre du commerce.
2. MODIFICATION DE L’ADRESSE DU SIÈGE SOCIALE
- Copie du nouveau statut
- Attestation d’inscription au registre du commerce.
Il sied de préciser que, suite au changement d’adresse du siège sociale, l’évaluation de la sécurité physique des locaux de la société est requise afin de mettre à jour la décision de qualification. Cette évaluation se fera par un organisme évaluateur désigné par la DGSSI.
3. MODIFICATION DES ASSOCIÉS ET/OU DES PARTS DU CAPITAL SOCIAL
- Copie du nouveau statut
4. AJOUT D’UN NOUVEAU DOMAINE D’AUDIT
- Copies des attestations délivrées par les maîtres d’ouvrages au profit desquels ont été exécutées des prestations d’audit de la sécurité des systèmes d’information, et devant préciser notamment la nature de la prestation fournie et la date de sa réalisation
- Document décrivant la méthodologie appliquée pour conduire la prestation d’audit, objet de la demande de qualification.
Il sied de préciser que, suite à l’ajout d’un nouveau domaine d’audit, l’évaluation des processus et de la sécurité physique des locaux de la société est requise afin de mettre à jour la décision de qualification. Cette évaluation se fera par un organisme évaluateur désigné par ladite direction. Par ailleurs, l’octroi de la qualification dans le(s) domaine(s) sollicitée(s) reste tributaire de la réussite des auditeurs candidats dans les examens d’évaluation dans ce(s) domaine(s).
5. AJOUT D’UN AUDITEUR
- Copie de la pièce d'identité
- Copie du casier judiciaire
- Curriculums Vitae selon le modèle suivant
- Copie du contrat de travail
- Copies des diplômes et certificats de formation.

متعهدو افتحاص أمن نظم المعلومات المؤهلون

وفقا لأحكام المرسوم رقم 406-21-2 لتطبيق القانون رقم 20-05 المتعلق بالأمن السيبراني، يتعين على الهيئات والبنيات التحتية ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة أن تجري افتحاصات دورية لنظمها من طرف متعهدي افتحاص أمن نظم المعلومات المؤهلين من قبل المديرية العامة لأمن نظم المعلومات. ويستند هذا التأهيل، الذي يضمن الجودة والثقة، إلى التحقق من عدة معايير من بينها:

المراجع المتعلقة بمقدمي الخدمات في الميدان.
مؤهلات مواردها البشرية.
فعالية و ملائمة الطرق والمعدات المستخدمة.
تنظيم العمل والامتثال لأخلاقيات قواعد السلامة.

قائمة متعهدي افتحاص أمن نظم المعلومات المؤهلين

مقدمي الخدمة	تاريخ انتهاء التأهيل	فئة معلومات النظام
LMPS CONSULTING	02/02/2027	Classe B
Deloitte Morocco Cyber Center	03/11/2026	Classe B
SEKERA SERVICES	18/08/2026	Classe A et Classe B
NEAR SECURE	18/08/2026	Classe A et Classe B
Techso Group	18/08/2026	Classe B
DATAPROTECT	17/01/2026	Classe A et Classe B
PWC Advisory	12/01/2026	Classe B
Thales Holding Maroc	11/03/2025	Classe B
Entreprise Services CDG (DXC Technology)	10/03/2025	Classe B
Orange Business Maroc	10/03/2025	Classe B

قيد التنفيذ

موقوف ^(*)

مصادق عليه

(*) تطبيقا لمقتضيات المادة 26 من المرسوم رقم 406-21-2 المتخذ لتطبيق القانون 20-05 المتعلق بالأمن السيبراني

إجراءات التأهيل
- شروط الأهلية
- التأسيس في شكل شركة خاضعة للقانون المغربي.
- التوفر على خبرة في ميدان افتحاص أمن نظم المعلومات.
- التوفر على بنية تنظيمية مخصصة حصريا لإفتحاص أمن نظم المعلومات.
- استيفاء الشروط المنصوص عليها في مرجع متطلبات متعهدي افتحاص أمن نظم المعلومات.
- التوفر على الأهلية على الأقل في مجالات الإفتحاص الثلاث (الإفتحاص التنظيمي والمادي، الإفتحاص الهندسي، إفتحاص الإعدادات، اختبارات الاختراق، افتحاص شفرة المصدر وافتحاص الأنظمة الصناعية) والتوفر على الأقل على مفتحص واحد في كل مجال من مجالات التأهيل المطلوبة.
بالإضافة إلى ذلك، يجب على متعهدي الإفتحاص الراغبين في تقديم خدمات إفتحاص أمن نظم المعلومات ذات التصنيف "فئة أ"، استيفاء الشروط التالية:
- يجب أن يكون أغلبية رأس مال الشركة مملوكًا من لدن مغاربة.
- يجب أن يكون كل المفتحصون المقترحون من جنسية مغربية.
- إعداد ملف الطلب
- استمارة طلب التأهيل.
- نسخة من النظام الأساسي للشركة.
- شهادة تقييد الشركة بالسجل التجاري.
- قائمة بأسماء الشركاء وجنسياتهم.
- نسخ من الوثائق المثبتة لهوية مسيري الشركة وأعضاء أجهزة إدارتها وكذا المفتحصين المقترحين.
- مذكرة توضح الموارد البشرية والتقنية للشركة.
- نسخة من السجل العدلي لكل فرد من المفتحصين المقترحين.
- السيرة الذاتية للمفتحصين المقترحين، وعند الاقتضاء نسخ من دبلوماتهم وشواهدهم.
- نسخ لعقود الشغل المبرمة مع المفتحصين المقترحين.
- نسخ من الشواهد المسلمة من أصحاب المشاريع الذين تم القيام لحسابهم بخدمات افتحاص أمن نظم المعلومات، والتي تشير على الخصوص إلى طبيعة الخدمة المقدمة وتاريخ إنجازها.
- وثيقة تبين المنهجية المتبعة للقيام بخدمات الإفتحاص موضوع طلب التأهيل.
- مراحل التأهيل
يتم التأهيل على مرحلتين مع الالتزام بإنهاء المرحلة الأولى بنجاح قبل الانتقال إلى المرحلة الموالية، كما هو موضح أدناه:
المرحلة 1 - التأهيل المسبق :
تتمثل هذه المرحلة في تحليل عناصر ملف طلب التأهيل. بعد التأكد من أن ملف الطلب يتضمن جميع المستندات والمعلومات المطلوبة، تقوم السلطة الوطنية للأمن السيبراني وعلى نفقتها الخاصة، بإخضاع متعهد افتحاص أمن نظم المعلومات صاحب الطلب لتقييم الخدمات المتعلقة بطلبه من طرف إحدى المؤسسات التي تحددها لهذا الغرض. يتم إجراء التقييم المذكور أعلاه وفقا لمعيار شروط أهلية مقدمي خدمات افتحاص أمن نظم المعلومات.
المرحلة 2 - التأهيل :
تتمثل هذه المرحلة في تقييم ما يلي وذلك من طرف هيئة تقييم معيَّنة من قبل المديرية العامة لأمن نظم المعلومات :
- المفتحصين مع تنقيطهم حسب مؤهلاتهم.
- تسلسل عمليات المقاولة (الرصد والتدريب والحفاظ على المهارات وإدارة الموارد وأساليب العمل والأدوات إلخ.)
- أمن أماكن عمل متعهد افتحاص أمن نظم المعلومات.
- منهجيات العمل والأدوات المستخدمة.
- قرار التأهيل
في ضوء نتائج التقييمات المذكورة أعلاه، تصدر المديرية العامة لأمن نظم المعلومات قرار التأهيل بالإشارة الى :
- اسم وعنوان المقر الرئيسي لمتعهد افتحاص أمن نظم المعلومات.
- مجالات الإفتحاص موضوع التأهيل ،مع الاشارةإلى أن المتعهد يمكنه افتحاص نظم المعلومات الحساسة من « الفئة أ » أو « الفئة ب ».
- مدة الصلاحية التي لا تتجاوز ثلاث سنوات.
- قائمة المفتحصين أمن نظم المعلومات حسب مجالات الإفتحاص مع الاشارة إلى مستويات تأهيلهم.
التصريح بالتعديل
وفقا لمقتضيات المادة 25 من المرسوم رقم 406-21-2 لتطبيق القانون 20-05 المتعلق بالأمن السيبراني، يقوم متعهد افتحاص أمن نظم المعلومات بإخبار السلطة الوطنية، فورا، بكل تغيير يطرأ على أحد العناصر التي تم على أساسها منح التأهيل. تحقيقا لهذه الغاية، يجب على متعهد الإفتحاص تقديم استمارة الإبلاغ عن التعديل لدى المديرية العامة لأمن نظم المعلومات، مصحوبة بملف يحتوي على المستندات التالية، حسب الحالة :
1. تعديل اسم الشركة
- نسخة من النظام الأساسي الجديد.
- شهادة تقييد الشركة في السجل التجاري.
2. تغيير عنوان المقر الرئيسي:
- نسخة من النظام الأساسي الجديد للشركة.
- شهادة تقييد الشركة في السجل التجاري.
توضيح: بعد تغيير عنوان المقر الرئيسي، يشترط تقييم الأمن المادي لمباني الشركة لتحديث قرار التأهيل. وذلك من طرف هيئة تقييم يتم تعيينها من قبل المديرية العامة لأمن نظم المعلومات .
3. تعديل الشركاء و/أو جزء من رأس المال :
- نسخة من النظام الأساسي الجديد.
4. إضافة مجال افتحاص جديد :
- نسخ من الشواهد المسلمة من أصحاب المشاريع الذين تم القيام لحسابهم بخدمات افتحاص أمن نظم المعلومات، والتي تشير على الخصوص إلى طبيعة الخدمة المقدمة وتاريخ إنجازها:
- وثيقة تبين المنهجية المتبعة للقيام بخدمات الإفتحاص موضوع طلب التأهيل.
- توضيح: بعد إضافة مجال افتحاص جديد، يجب تقييم طرق المعالجة والأمن المادي لمباني الشركة من أجل تحديث قرار التأهيل. ويتم تنفيذ هذا التقييم من قبل هيئة التقييم المعينة من قبل المديرية العامة لأمن نظم المعلومات. علاوة على ذلك.
يظل منح التأهيل في المجال (المجالات) المطلوب (ة) مرهون بنجاح المفتحصين المرشحين في امتحانات التقييم في هذا(ه) المجال (المجالات).
5. إضافة مفتحص جديد :
- نسخة من الوثيقة المثبتة للهوية
- نسخة من السجل العدلي.
- السيرة الذاتية وفقا للنموذج التالي
- نسخة من عقد العمل.
- نسخ من الدبلومات وشهادات التدريب.

N° de Certificat	Date de Délivrance	Produits	Développeurs
CC-1/2019	09.09.2019	SafeSign IC PKI applet on JCOP 3 P60 eIDAS QSCD	A.E.T. Europe B.V NXP Semiconductors GmbH
CC-1/2021	12.10.2021	IAS classic v4.4.2 avec serveur MOC v1.1 sur plateforme MultiApp v4.0.1 masquée sur le composant M7892 G12	Gemalto & Infineon Technologies AG
CC-4/2022	17.11.2022	nShield Solo XC embarquée dans l’Appliance nShield Connect XC (Hardware Security Module) v12.60.15	ENTRUST

N° de Certificat	Date de Délivrance	Produits	Développeurs	Statuts
CC-1/2010	17.08.2010	GEMALTO CLASSIC TPC IM CC(MULtiApp ID Citizen 72K)	Gemalto & Samsung Electronics	Expiré à compter du 23/12/2022
CC-1/2015	23.07.2015	Applet ID One Classic v1.01.1 en configuration CNS, Classic ou CIE chargée sur Cosmo v7.0-n Large, Standard et Basic (modes dual et contact) sur composants NXP	Oberthur Technologies & NXP Semiconductors GmbH	Expiré à compter du 23/12/2022
CC-2/2015	23.07.2015	Touch&Sign2048 Version 1.00	ST Incard Srl & ST Microelectronics	Expiré à compter du 23/12/2022
CC-1/2016	18.04.2016	Carte CC IDeal Citiz (sur composants SB23YR80B et SB23YR48B) ,version 1.6.0Application IAS ECC	MORPHO & ST Microelectronics	Expiré à compter du 23/12/2022
CC-1/2018	17.01.2018	IAS V4 sur la plateforme JavaCard ouverte MultiApp V3 masquée sur le composant M7820 A11	Gemalto & Infineon Technologies AG	Expiré à compter du 23/12/2022
CC-2/2022	09.03.2022	nShield Connect 500+ (Hardware Security Module) avec la version de firmware nCore 2.55.4	nCipher e-Security Ltd.	Expiré à compter du 10/03/2024
CC-1/2022	09.03.2022	nShield Connect 500+ (Hardware Security Module) avec la version de firmware nCore 2.55.1	Thales e-Security Ltd.	Expiré à compter du 10/03/2024
CC-3/2022	12.07.2022	IAS classic v4.4.2 avec serveur MOC v1.1 sur plateforme MultiApp v4.1 embarqués sur le composant S3FT9MH	Gemalto SA & Samsung Electronics Co. Ltd.	Dans l'attente du rapport de maintenance
CC-1/2023	16.02.2023	Carte PCIe CryptoServer Se-Series Gen2 CP5 (Hardware Security Module) versions : Se12 5.1.0.0, Se52 5.1.0.0, Se500 5.1.0.0, Se1500 5.1.0.0	Utimaco IS GmbH	Expiré à compter du 20/12/2023

Banner - Prestationetproduit

PRESTATAIRES DE SERVICES DE CONFIANCE

- Liste des PSCo agréés

- Référentiels d’exigences applicables aux services de confiance qualifiés et aux PSCo qui les fournissent :

- Liste des PSCo ayant effectué la déclaration préalable de fourniture de service de confiance

- Référentiels d’exigences applicables aux services de confiance non qualifiés et aux PSCo qui les fournissent :

- Prestataires de Service de Certification Electronique (PSCE) agréés

PRESTATAIRES D’AUDIT DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION QUALIFIÉS

- Conditions d'éligibilité

- Constitution du dossier de la demande

- Etapes de la qualification

Etape 1 - Pré-qualification :

Etape 2 – Qualification :

- Décision de qualification

1. MODIFICATION DE LA RAISON SOCIALE

2. MODIFICATION DE L’ADRESSE DU SIÈGE SOCIALE

3. MODIFICATION DES ASSOCIÉS ET/OU DES PARTS DU CAPITAL SOCIAL

4. AJOUT D’UN NOUVEAU DOMAINE D’AUDIT

5. AJOUT D’UN AUDITEUR

متعهدو افتحاص أمن نظم المعلومات المؤهلون

- شروط الأهلية

- إعداد ملف الطلب

- مراحل التأهيل

المرحلة 1 - التأهيل المسبق :

المرحلة 2 - التأهيل :

- قرار التأهيل

1. تعديل اسم الشركة

2. تغيير عنوان المقر الرئيسي:

3. تعديل الشركاء و/أو جزء من رأس المال :

4. إضافة مجال افتحاص جديد :

5. إضافة مفتحص جديد :

DISPOSITIFS QUALIFIÉS DE CRÉATION DE SIGNATURE ET/OU CACHET ÉLECTRONIQUE

- Liste des dispositifs qualifiés de création de signature ou cachet électronique (QSCD)

- Référentiels d’exigences applicables aux dispositifs qualifiés de création de signature ou cachet électronique :

CONTRÔLE DES MOYENS ET PRESTATIONS DE CRYPTOLOGIE