Prestataires d’Audit de la Sécurité des Systèmes d’Information qualifiés

Conformément aux dispositions du décret n° 2-21-406 pour l’application de la loi n°05-20 relative à la cybersécurité, les entités et infrastructures d’importance vitale disposant de systèmes d’information sensibles doivent mener des audits périodiques de leurs systèmes par des prestataires d’audit qualifiés par la DGSSI.
Cette qualification, qui constitue un gage de qualité et de confiance s’appuie sur la vérification des critères attestant, notamment :

  • des références des prestataires dans le domaine;
  • de la qualification de leurs ressources humaines;
  • de l’efficacité et l’adéquation des méthodes et outils utilisés;
  • de l’organisation du travail et le respect des règles déontologiques et de sécurité.
Prestataire Audit Organisationnel Audit des Architectures Audit des configurations Tests d’intrusion Audit du code source Audit des systèmes industriels Date de fin de qualification
AB CONSEILS INFORMATION TECHNOLOGY ok ok ok ok ok   25/12/2022
DATAPROTECT ok ok ok ok ok ok 01/12/2022
LMPS CONSULTING ok ok ok ok ok ok 01/07/2023
NEAR SECURE ok ok ok ok ok   01/07/2023
               
ok
En cours
ok
Validé

Conditions d’éligibilité

  • être constitué sous forme de société de droit marocain ;
  • avoir une expertise dans l’audit de la sécurité des systèmes d’information ;
  • avoir une structure organisationnelle dédiée exclusivement à l’audit de la sécurité des systèmes d’information ;
  • remplir les conditions figurant dans le référentiel d’exigences des prestataires d’audit de la sécurité des systèmes d’information ;
  • être qualifié au minimum dans trois (03) domaines d’audit (audit organisationnel et physique, audit d’architecture, audit de configuration, tests d’intrusions, audit du code source, audit des systèmes industriels) et disposer d’un auditeur au minimum par domaine de qualification demandé.

En outre, le prestataire d’audit doit, afin de fournir des prestations d’audit de la sécurité des systèmes d’informations ayant la classification « CLASSE A », remplir les conditions suivantes :

  • le capital de la société doit être détenu majoritairement par des marocains ;
  • les auditeurs proposés doivent être de nationalité marocaine.

Constitution du dossier de la demande

  • formulaire de la demande de la qualification;
  • copie des statuts de la société ;
  • attestation d’inscription au registre de commerce ;
  • liste des noms des associés et leurs nationalités ;
  • copies des pièces d’identité des dirigeants de la société et ses organes d’administration ainsi que des auditeurs proposés ;
  • note indiquant les moyens humains et techniques de la société ;
  • copies des casiers judiciaires des auditeurs proposés ;
  • curriculums vitae des auditeurs proposés et le cas échéant les copies de leurs diplômes et certificats de formation ;
  • copies des contrats de travail conclus avec les auditeurs proposés ;
  • copies des attestations délivrées par les maîtres d’ouvrages au profit desquels ont été exécutées des prestations d’audit de la sécurité des systèmes d’information, et devant préciser notamment la nature de la prestation fournie et la date de sa réalisation ;
  • document décrivant la méthodologie appliquée pour conduire la prestation d’audit, objet de la demande de qualification.

Etapes de la qualification

La qualification se déroule en trois étapes avec l’obligation de valider une phase pour passer à la suivante, comme indiqué ci-après :

Etape 1 - Pré-qualification :

Cette étape consiste en l’analyse des éléments constituant le dossier de la demande de qualification.
Après s’être assuré que le dossier de la demande comprend tous les documents et informations requis, l’autorité nationale soumet le prestataire d’audit de la sécurité des systèmes d’information, à ses frais, à une évaluation des prestations objet de la demande par l’un des organismes qu’elle désigne à cet effet.
L'évaluation précitée s’effectue conformément au référentiel d’exigences des prestataires d’audit de la sécurité des systèmes d’information.

Etape 2 – Qualification :

Consiste en l’évaluation par l’organisme évaluateur désigné par la DGSSI :

  • des auditeurs et leur attribuer un niveau de qualification ;
  • des processus de l’entreprise (veille, formation et maintien des compétences, gestion des ressources, moyens de travail et outils etc.) ;
  • de la sécurité des locaux et du système d’information du prestataire d’audit ;
  • des méthodologies de travail et des outils utilisés.

ces évaluation sont effectuées sous la supervision de la DGSSI.

Décision de qualification

Au vu des résultats des évaluations précitées la DGSSI délivre la décision de qualification en indiquant notamment :

  • la dénomination et l’adresse du siège social du prestataire d’audit ;
  • les domaines d’audit objet de la qualification, en indiquant que le prestataire peut auditer les systèmes d’information sensibles de CLASSE A ou de CLASSE B ;
  • la durée de sa validité qui ne dépasse pas trois (03) ans ;
  • la liste des auditeurs par domaines d’audit en indiquant leurs niveaux de qualification.