Référentiel d’exigences relatif a l’homologation des prestataires d’audit de la sécurité des systèmes d’information sensibles des infrastructures d’importance vitale

Conformément aux dispositions du décret n° 2-15-712 du 12 Joumada II 1437 (22 mars 2016) fixant le dispositif de protection des systèmes d'information sensibles des infrastructures d'importance vitale (IIV), l’Autorité Gouvernementale chargée de l’Administration de la défense nationale (DGSSI) est responsable de la conduite d’audits périodiques des systèmes d’information en question soit par ces propres moyens ou par des prestataires d’audit homologués. Il stipule par ailleurs que les critères d’homologation des prestataires d’audit de la sécurité des systèmes d’information sensibles des infrastructures d’importance vitale ainsi que les modalités de déroulement de ces audits doivent être fixés par un arrêté du Chef du Gouvernement.

L’objectif de ce document est de regrouper les exigences à respecter par les prestataires d’audit en vue d’être homologués par l’Autorité Gouvernementale chargée de l’Administration de la défense nationale (DGSSI).

Ce système d’homologation constitue un gage de confiance pour confier des missions d’audit aux prestataires qualifiés. Il s’appuie sur la vérification d’un certain nombre de critères attestant, notamment :

  • des références des prestataires dans le domaine;
  • de la qualification de leurs ressources humaines;
  • de l’efficacité et l’adéquation des méthodes et outils utilisés;
  • de l’organisation du travail et le respect des règles déontologiques et de sécurité.