Prestataires d’Audit de la Sécurité des Systèmes d’Information qualifiés

Conformément aux dispositions du décret n° 2-21-406 pour l’application de la loi n°05-20 relative à la cybersécurité, les entités et infrastructures d’importance vitale disposant de systèmes d’information sensibles doivent mener des audits périodiques de leurs systèmes par des prestataires d’audit qualifiés par la DGSSI. Cette qualification, qui constitue un gage de qualité et de confiance s’appuie sur la vérification des critères attestant, notamment :

  • des références des prestataires dans le domaine;
  • de la qualification de leurs ressources humaines;
  • de l’efficacité et l’adéquation des méthodes et outils utilisés;
  • de l’organisation du travail et le respect des règles déontologiques et de sécurité.
Prestataire Audit Organisationnel Audit des Architectures Audit des configurations Tests d’intrusion Audit du code source Audit des systèmes industriels Date de fin de qualification Classe des SI
DATAPROTECT ok ok ok ok ok ok 17/01/2026 Classe A et Classe B
PWC Advisory ok ok ok ok     12/01/2026 Classe B
Thales Holding Maroc ok ok ok ok ok   11/03/2025 Classe B
Entreprise Services CDG (DXC Technology) ok ok ok ok ok   10/03/2025 Classe B
Orange Business Maroc ok ok ok ok ok ok 10/03/2025 Classe B
LMPS CONSULTING ok ok ok ok ok ok 01/07/2023 Classe A et Classe B
NEAR SECURE ok ok ok ok ok ok 01/07/2023 Classe A et Classe B
SEKERA 
SERVICES
ok ok ok ok ok      
ok

En cours

ok

Validé

Conditions d’éligibilité

  • être constitué sous forme de société de droit marocain ;
  • avoir une expertise dans l’audit de la sécurité des systèmes d’information ;
  • avoir une structure organisationnelle dédiée exclusivement à l’audit de la sécurité des systèmes d’information ;
  • remplir les conditions figurant dans le référentiel d’exigences des prestataires d’audit de la sécurité des systèmes d’information ;
  • être qualifié au minimum dans trois (03) domaines d’audit (audit organisationnel et physique, audit d’architecture, audit de configuration, tests d’intrusions, audit du code source, audit des systèmes industriels) et disposer d’un auditeur au minimum par domaine de qualification demandé.

En outre, le prestataire d’audit doit, afin de fournir des prestations d’audit de la sécurité des systèmes d’informations ayant la classification « CLASSE A », remplir les conditions suivantes :

  • le capital de la société doit être détenu majoritairement par des marocains ;
  • les auditeurs proposés doivent être de nationalité marocaine.

Constitution du dossier de la demande

  • formulaire de la demande de la qualification;
  • copie des statuts de la société ;
  • attestation d’inscription au registre de commerce ;
  • liste des noms des associés et leurs nationalités ;
  • copies des pièces d’identité des dirigeants de la société et ses organes d’administration ainsi que des auditeurs proposés ;
  • note indiquant les moyens humains et techniques de la société ;
  • copies des casiers judiciaires des auditeurs proposés ;
  • Curriculums vitae des auditeurs proposés, selon le modèle suivant ;
  • Copies des diplômes et certificats de formation des auditeurs proposés ;
  • copies des contrats de travail conclus avec les auditeurs proposés ;
  • copies des attestations délivrées par les maîtres d’ouvrages au profit desquels ont été exécutées des prestations d’audit de la sécurité des systèmes d’information, et devant préciser notamment la nature de la prestation fournie et la date de sa réalisation ;
  • document décrivant la méthodologie appliquée pour conduire la prestation d’audit, objet de la demande de qualification.

Etapes de la qualification

La qualification se déroule en deux étapes avec l’obligation de valider une phase pour passer à la suivante, comme indiqué ci-après :

Etape 1 - Pré-qualification :

Cette étape consiste en l’analyse des éléments constituant le dossier de la demande de qualification. Après s’être assuré que le dossier de la demande comprend tous les documents et informations requis, l’autorité nationale soumet le prestataire d’audit de la sécurité des systèmes d’information, à ses frais, à une évaluation des prestations objet de la demande par l’un des organismes qu’elle désigne à cet effet. L'évaluation précitée s’effectue conformément au référentiel d’exigences des prestataires d’audit de la sécurité des systèmes d’information.

Etape 2 – Qualification :

Consiste en l’évaluation par l’organisme évaluateur désigné par la DGSSI :

  • des auditeurs et leur attribuer un niveau de qualification ;
  • des processus de l’entreprise (veille, formation et maintien des compétences, gestion des ressources, moyens de travail et outils etc.) ;
  • de la sécurité des locaux et du système d’information du prestataire d’audit ;
  • des méthodologies de travail et des outils utilisés.

ces évaluation sont effectuées sous la supervision de la DGSSI.

Décision de qualification

Au vu des résultats des évaluations précitées la DGSSI délivre la décision de qualification en indiquant notamment :

  • la dénomination et l’adresse du siège social du prestataire d’audit ;
  • les domaines d’audit objet de la qualification, en indiquant que le prestataire peut auditer les systèmes d’information sensibles de CLASSE A ou de CLASSE B ;
  • la durée de sa validité qui ne dépasse pas trois (03) ans ;
  • la liste des auditeurs par domaines d’audit en indiquant leurs niveaux de qualification.

Conformément à l’article 25 du décret n° 2-21-406 pour l’application de la loi 05.20 relative à la cybersécurité, tout prestataire d’audit de la sécurité des systèmes d’information (PASSI) informe, sans délai, l’autorité nationale (DGSSI) de toute modification intervenue dans l’un des éléments sur la base desquels la qualification a été délivrée. A cet effet, le formulaire de déclaration de modification doit être déposé par le PASSI auprès de la DGSSI, accompagnée d’un dossier comportant les documents suivants, selon les cas :

1. Modification de la raison sociale

  • Copie du nouveau statut ;
  • Attestation d’inscription au registre du commerce.

2. Modification de l’adresse du siège sociale

  • Copie du nouveau statut ;
  • Attestation d’inscription au registre du commerce.

Il sied de préciser que, suite au changement d’adresse du siège sociale, l’évaluation de la sécurité physique des locaux de la société est requise afin de mettre à jour la décision de qualification. Cette évaluation se fera par un organisme évaluateur désigné par la DGSSI.

3. Modification des associés et/ou des parts du capital social

  • Copie du nouveau statut.

4. Ajout d’un nouveau domaine d’audit

  • Copies des attestations délivrées par les maîtres d’ouvrages au profit desquels ont été exécutées des prestations d’audit de la sécurité des systèmes d’information, et devant préciser notamment la nature de la prestation fournie et la date de sa réalisation ;
  • Document décrivant la méthodologie appliquée pour conduire la prestation d’audit, objet de la demande de qualification.

Il sied de préciser que, suite à l’ajout d’un nouveau domaine d’audit, l’évaluation des processus et de la sécurité physique des locaux de la société est requise afin de mettre à jour la décision de qualification. Cette évaluation se fera par un organisme évaluateur désigné par ladite direction. Par ailleurs, l’octroi de la qualification dans le(s) domaine(s) sollicitée(s) reste tributaire de la réussite des auditeurs candidats dans les examens d’évaluation dans ce(s) domaine(s).

5. Ajout d’un auditeur

  • Copie de la pièce d’identité valide ;
  • Copie du casier judiciaire ;
  • Curriculums Vitae selon le modèle suivant
  • Copie du contrat de travail ;
  • Copies des diplômes et certificats de formation.