Banner - Prestationetproduit

Prestations et produits réglementés
 

PRESTATAIRES DE SERVICES DE CONFIANCE

 

PRESTATAIRES D’AUDIT DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION QUALIFIÉS

Conformément aux dispositions du décret n° 2-21-406 pour l’application de la loi n°05-20 relative à la cybersécurité, les entités et infrastructures d’importance vitale disposant de systèmes d’information sensibles doivent mener des audits périodiques de leurs systèmes par des prestataires d’audit qualifiés par la DGSSI. Cette qualification, qui constitue un gage de qualité et de confiance s’appuie sur la vérification des critères attestant, notamment :

  •  des références des prestataires dans le domaine
  •  de la qualification de leurs ressources humaines
  •  de l’efficacité et l’adéquation des méthodes et outils utilisés
  •  de l’organisation du travail et le respect des règles déontologiques et de sécurité.
  •  Liste des Prestataires d’Audit de la Sécurité des Systèmes d’Information qualifiés
    PrestataireAudit Organisationnel et PhysiqueAudit d'ArchitectureAudit de configurationTests d’intrusionAudit du code sourceAudit des systèmes industrielsDate de fin de qualificationClasse des SIDécision de qualification
    LMPS CONSULTINGokokokokokok02/02/2027Classe BIcône PDF
    Deloitte Morocco Cyber Centerokokokokokok03/11/2026Classe BIcône PDF
    NEAR SECUREokokokokokok18/08/2026Classe A et Classe BIcône PDF
    Techso Groupokokokokokok18/08/2026Classe BIcône PDF
    SEKERA SERVICESokokokokok 18/08/2026Classe A et Classe BIcône PDF
    DATAPROTECTokokokokokok17/01/2026Classe A et Classe BIcône PDF
    PWC Advisoryok okok  12/01/2026Classe BIcône PDF
    Thales Holding Marocokokokokok 11/03/2025Classe BIcône PDF
    Orange Business Marocokokokokokok10/03/2025Classe BIcône PDF
    Entreprise Services CDG (DXC Technology)okokokokok 10/03/2025Classe BIcône PDF
    ok
    En cours
    ok
    Suspendue(*)
    ok
    Validée

    (*) En application des dispositions de l'article 26 du décret n° 2-21-406 pris pour l'application de la loi 05-20 relative à la cybersécurité
  •  Procédure de qualification
    - Conditions d'éligibilité
    •  Être constitué sous forme de société de droit marocain
    •  Avoir une expertise dans l’audit de la sécurité des systèmes d’information
    •  Avoir une structure organisationnelle dédiée exclusivement à l’audit de la sécurité des systèmes d’information
    •  Remplir les conditions figurant dans le référentiel d’exigences relatif à la qualification des prestataires d’audit de la sécurité des systèmes d’information
    •  Être qualifié au minimum dans trois (03) domaines d’audit (audit organisationnel et physique, audit d’architecture, audit de configuration, tests d’intrusion, audit du code source, audit des systèmes industriels) et disposer d’un auditeur au minimum par domaine de qualification demandé.

    En outre, le prestataire d’audit doit, afin de fournir des prestations d’audit de la sécurité des systèmes d’information ayant la classification « CLASSE A », remplir les conditions suivantes :

    •  Le capital de la société doit être détenu majoritairement par des marocains ;
    •  Les auditeurs proposés doivent être de nationalité marocaine.
    - Constitution du dossier de la demande
    •  Formulaire de la demande de la qualification;
    •  Copie des statuts de la société
    •  Attestation d’inscription au registre de commerce
    •  Liste des noms des associés et leurs nationalités
    •  Copies des pièces d’identité des dirigeants de la société et ses organes d’administration ainsi que des auditeurs proposés
    •  Note indiquant les moyens humains et techniques de la société
    •  Copies des casiers judiciaires des auditeurs proposés
    •  Curriculums vitae des auditeurs proposés, selon le modèle suivant
    •  Copies des diplômes et certificats de formation des auditeurs proposés ;
    •  Copies des contrats de travail conclus avec les auditeurs proposés
    •  Copies des attestations délivrées par les maîtres d’ouvrages au profit desquels ont été exécutées des prestations d’audit de la sécurité des systèmes d’information, et devant préciser notamment la nature de la prestation fournie et la date de sa réalisation
    •  Document décrivant la méthodologie appliquée pour conduire la prestation d’audit, objet de la demande de qualification.
    - Etapes de la qualification

    La qualification se déroule en deux étapes avec l’obligation de valider une phase pour passer à la suivante, comme indiqué ci-après :

    Etape 1 - Pré-qualification :

    Cette étape consiste en l’analyse des éléments constituant le dossier de la demande de qualification. Après s’être assuré que le dossier de la demande comprend tous les documents et informations requis, l’autorité nationale soumet le prestataire d’audit de la sécurité des systèmes d’information, à ses frais, à une évaluation des prestations objet de la demande par l’un des organismes qu’elle désigne à cet effet. L'évaluation précitée s’effectue conformément au référentiel d’exigences relatif à la qualification des prestataires d’audit de la sécurité des systèmes d’information.

    Etape 2 – Qualification :

    Consiste en l’évaluation par l’organisme évaluateur désigné par la DGSSI :

    •  Des auditeurs et leur attribuer un niveau de qualification
    •  Des processus de l’entreprise (veille, formation et maintien des compétences, gestion des ressources, moyens de travail et outils etc.)
    •  De la sécurité des locaux et du système d’information du prestataire d’audit
    •  Des méthodologies de travail et des outils utilisés.

    Ces évaluation sont effectuées sous la supervision de la DGSSI.

     
    - Décision de qualification

    Au vu des résultats des évaluations précitées la DGSSI délivre la décision de qualification en indiquant notamment :

    •  La dénomination et l’adresse du siège social du prestataire d’audit
    •  Les domaines d’audit objet de la qualification, en indiquant que le prestataire peut auditer les systèmes d’information sensibles de CLASSE A ou de CLASSE B
    •  La durée de sa validité qui ne dépasse pas trois (03) ans
    •  La liste des auditeurs par domaines d’audit en indiquant leurs niveaux de qualification.
  •  Déclaration de modification

    Conformément à l’article 25 du décret n° 2-21-406 pour l’application de la loi 05.20 relative à la cybersécurité, tout prestataire d’audit de la sécurité des systèmes d’information (PASSI) informe, sans délai, l’autorité nationale (DGSSI) de toute modification intervenue dans l’un des éléments sur la base desquels la qualification a été délivrée. A cet effet, le formulaire de déclaration de modification doit être déposé par le PASSI auprès de la DGSSI, accompagné d’un dossier comportant les documents suivants, selon les cas :

    1. MODIFICATION DE LA RAISON SOCIALE
    •  Copie du nouveau statut
    •  Attestation d’inscription au registre du commerce.
    2. MODIFICATION DE L’ADRESSE DU SIÈGE SOCIALE
    •  Copie du nouveau statut
    •  Attestation d’inscription au registre du commerce.

    Il sied de préciser que, suite au changement d’adresse du siège sociale, l’évaluation de la sécurité physique des locaux de la société est requise afin de mettre à jour la décision de qualification. Cette évaluation se fera par un organisme évaluateur désigné par la DGSSI.

    3. MODIFICATION DES ASSOCIÉS ET/OU DES PARTS DU CAPITAL SOCIAL
    •  Copie du nouveau statut
    4. AJOUT D’UN NOUVEAU DOMAINE D’AUDIT
    •  Copies des attestations délivrées par les maîtres d’ouvrages au profit desquels ont été exécutées des prestations d’audit de la sécurité des systèmes d’information, et devant préciser notamment la nature de la prestation fournie et la date de sa réalisation
    •  Document décrivant la méthodologie appliquée pour conduire la prestation d’audit, objet de la demande de qualification.

    Il sied de préciser que, suite à l’ajout d’un nouveau domaine d’audit, l’évaluation des processus et de la sécurité physique des locaux de la société est requise afin de mettre à jour la décision de qualification. Cette évaluation se fera par un organisme évaluateur désigné par ladite direction. Par ailleurs, l’octroi de la qualification dans le(s) domaine(s) sollicitée(s) reste tributaire de la réussite des auditeurs candidats dans les examens d’évaluation dans ce(s) domaine(s).

    5. AJOUT D’UN AUDITEUR
    •  Copie de la pièce d'identité
    •  Copie du casier judiciaire
    •  Curriculums Vitae selon le modèle suivant
    •  Copie du contrat de travail
    •  Copies des diplômes et certificats de formation.

متعهدو افتحاص أمن نظم المعلومات المؤهلون

وفقا لأحكام المرسوم رقم 406-21-2 لتطبيق القانون رقم 20-05 المتعلق بالأمن السيبراني، يتعين على الهيئات والبنيات التحتية ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة أن تجري افتحاصات دورية لنظمها من طرف متعهدي افتحاص أمن نظم المعلومات المؤهلين من قبل المديرية العامة لأمن نظم المعلومات. ويستند هذا التأهيل، الذي يضمن الجودة والثقة، إلى التحقق من عدة معايير من بينها:

  •  المراجع المتعلقة بمقدمي الخدمات في الميدان.
  •  مؤهلات مواردها البشرية.
  •  فعالية و ملائمة الطرق والمعدات المستخدمة.
  •  تنظيم العمل والامتثال لأخلاقيات قواعد السلامة.
  •  قائمة متعهدي افتحاص أمن نظم المعلومات المؤهلين
    مقدمي الخدمةالمراجعة التنظيميةمراجعة البنىمراجعة التكويناتاختبارات الاختراقمراجعة الرموز المصدريةمراجعة النظم الصناعيةتاريخ انتهاء التأهيلفئة معلومات النظامقرار التأهيل
    LMPS CONSULTINGokokokokokok02/02/2027Classe BIcône PDF
    Deloitte Morocco Cyber Centerokokokokokok03/11/2026Classe BIcône PDF
    NEAR SECUREokokokokokok18/08/2026Classe A et Classe BIcône PDF
    Techso Groupokokokokokok18/08/2026Classe BIcône PDF
    SEKERA SERVICESokokokokok 18/08/2026Classe A et Classe BIcône PDF
    DATAPROTECTokokokokokok17/01/2026Classe A et Classe BIcône PDF
    PWC Advisoryok okok  12/01/2026Classe BIcône PDF
    Thales Holding Marocokokokokok 11/03/2025Classe BIcône PDF
    Orange Business Marocokokokokokok10/03/2025Classe BIcône PDF
    Entreprise Services CDG (DXC Technology)okokokokok 10/03/2025Classe BIcône PDF
    okقيد التنفيذ
    okموقوف (*)
    okمصادق عليه

    (*) تطبيقا لمقتضيات المادة 26 من المرسوم رقم 406-21-2 المتخذ لتطبيق القانون 20-05 المتعلق بالأمن السيبراني
  •   إجراءات التأهيل
    - شروط الأهلية
    •  التأسيس في شكل شركة خاضعة للقانون المغربي.
    •  التوفر على خبرة في ميدان افتحاص أمن نظم المعلومات.
    •  التوفر على بنية تنظيمية مخصصة حصريا لإفتحاص أمن نظم المعلومات.
    • استيفاء الشروط المنصوص عليها في   مرجع متطلبات متعهدي افتحاص أمن نظم المعلومات.
    •  التوفر على الأهلية على الأقل في مجالات الإفتحاص الثلاث (الإفتحاص التنظيمي والمادي، الإفتحاص الهندسي، إفتحاص الإعدادات، اختبارات الاختراق، افتحاص شفرة المصدر وافتحاص الأنظمة الصناعية) والتوفر على الأقل على مفتحص واحد في كل مجال من مجالات التأهيل المطلوبة.

    بالإضافة إلى ذلك، يجب على متعهدي الإفتحاص الراغبين في تقديم خدمات إفتحاص أمن نظم المعلومات ذات التصنيف "فئة أ"، استيفاء الشروط التالية:

    •   يجب أن يكون أغلبية رأس مال الشركة مملوكًا من لدن مغاربة.
    •  يجب أن يكون كل المفتحصون المقترحون من جنسية مغربية.
    - إعداد ملف الطلب
    •  استمارة طلب التأهيل.
    •  نسخة من النظام الأساسي للشركة.
    •  شهادة تقييد الشركة بالسجل التجاري.
    •  قائمة بأسماء الشركاء وجنسياتهم.
    •  نسخ من الوثائق المثبتة لهوية مسيري الشركة وأعضاء أجهزة إدارتها وكذا المفتحصين المقترحين.
    •  مذكرة توضح الموارد البشرية والتقنية للشركة.
    •  نسخة من السجل العدلي لكل فرد من المفتحصين المقترحين.
    •  السيرة الذاتية للمفتحصين المقترحين، وعند الاقتضاء نسخ من دبلوماتهم وشواهدهم.
    •  نسخ لعقود الشغل المبرمة مع المفتحصين المقترحين.
    •  نسخ من الشواهد المسلمة من أصحاب المشاريع الذين تم القيام لحسابهم بخدمات افتحاص أمن نظم المعلومات، والتي تشير على الخصوص إلى طبيعة الخدمة المقدمة وتاريخ إنجازها.
    •  وثيقة تبين المنهجية المتبعة للقيام بخدمات الإفتحاص موضوع طلب التأهيل.
    - مراحل التأهيل

    يتم التأهيل على مرحلتين مع الالتزام بإنهاء المرحلة الأولى بنجاح قبل الانتقال إلى المرحلة الموالية، كما هو موضح أدناه:

    المرحلة 1 - التأهيل المسبق :

    تتمثل هذه المرحلة في تحليل عناصر ملف طلب التأهيل. بعد التأكد من أن ملف الطلب يتضمن جميع المستندات والمعلومات المطلوبة، تقوم السلطة الوطنية للأمن السيبراني وعلى نفقتها الخاصة، بإخضاع متعهد افتحاص أمن نظم المعلومات صاحب الطلب لتقييم الخدمات المتعلقة بطلبه من طرف إحدى المؤسسات التي تحددها لهذا الغرض. يتم إجراء التقييم المذكور أعلاه وفقا لمعيار شروط أهلية مقدمي خدمات افتحاص أمن نظم المعلومات.

    المرحلة 2 - التأهيل :

    تتمثل هذه المرحلة في تقييم ما يلي وذلك من طرف هيئة تقييم معيَّنة من قبل المديرية العامة لأمن نظم المعلومات :

    •  المفتحصين مع تنقيطهم حسب مؤهلاتهم.
    •  تسلسل عمليات المقاولة (الرصد والتدريب والحفاظ على المهارات وإدارة الموارد وأساليب العمل والأدوات إلخ.)
    •  أمن أماكن عمل متعهد افتحاص أمن نظم المعلومات.
    •  منهجيات العمل والأدوات المستخدمة.
    - قرار التأهيل

    في ضوء نتائج التقييمات المذكورة أعلاه، تصدر المديرية العامة لأمن نظم المعلومات قرار التأهيل بالإشارة الى :

    •  اسم وعنوان المقر الرئيسي لمتعهد افتحاص أمن نظم المعلومات.
    •  مجالات الإفتحاص موضوع التأهيل ،مع الاشارةإلى أن المتعهد يمكنه افتحاص نظم المعلومات الحساسة من « الفئة أ » أو « الفئة ب ».
    •  مدة الصلاحية التي لا تتجاوز ثلاث سنوات.
    •  قائمة المفتحصين أمن نظم المعلومات حسب مجالات الإفتحاص مع الاشارة إلى مستويات تأهيلهم.
  •  التصريح بالتعديل

    وفقا لمقتضيات المادة 25 من المرسوم رقم 406-21-2 لتطبيق القانون 20-05 المتعلق بالأمن السيبراني، يقوم متعهد افتحاص أمن نظم المعلومات بإخبار السلطة الوطنية، فورا، بكل تغيير يطرأ على أحد العناصر التي تم على أساسها منح التأهيل. تحقيقا لهذه الغاية، يجب على متعهد الإفتحاص تقديم استمارة الإبلاغ عن التعديل لدى المديرية العامة لأمن نظم المعلومات، مصحوبة بملف يحتوي على المستندات التالية، حسب الحالة :

    1. تعديل اسم الشركة
    •  نسخة من النظام الأساسي الجديد.
    •  شهادة تقييد الشركة في السجل التجاري.
    2. تغيير عنوان المقر الرئيسي:
    •  نسخة من النظام الأساسي الجديد للشركة.
    •  شهادة تقييد الشركة في السجل التجاري.

    توضيح: بعد تغيير عنوان المقر الرئيسي، يشترط تقييم الأمن المادي لمباني الشركة لتحديث قرار التأهيل. وذلك من طرف هيئة تقييم يتم تعيينها من قبل المديرية العامة لأمن نظم المعلومات .

    3. تعديل الشركاء و/أو جزء من رأس المال :
    •  نسخة من النظام الأساسي الجديد.
    4. إضافة مجال افتحاص جديد :
    •  نسخ من الشواهد المسلمة من أصحاب المشاريع الذين تم القيام لحسابهم بخدمات افتحاص أمن نظم المعلومات، والتي تشير على الخصوص إلى طبيعة الخدمة المقدمة وتاريخ إنجازها:
    •  وثيقة تبين المنهجية المتبعة للقيام بخدمات الإفتحاص موضوع طلب التأهيل.
    • توضيح: بعد إضافة مجال افتحاص جديد، يجب تقييم طرق المعالجة والأمن المادي لمباني الشركة من أجل تحديث قرار التأهيل. ويتم تنفيذ هذا التقييم من قبل هيئة التقييم المعينة من قبل المديرية العامة لأمن نظم المعلومات. علاوة على ذلك.

    يظل منح التأهيل في المجال (المجالات) المطلوب (ة) مرهون بنجاح المفتحصين المرشحين في امتحانات التقييم في هذا(ه) المجال (المجالات).

    5. إضافة مفتحص جديد :

DISPOSITIFS QUALIFIÉS DE CRÉATION DE SIGNATURE ET/OU CACHET ÉLECTRONIQUE

Conformément aux articles 8 et 17 de la Loi 43-20, la DGSSI est chargée de délivrer les certificats de conformité des dispositifs qualifiés destinés à la création de signature électronique ou cachet électronique. Ces certificats attestent de la conformité desdits dispositifs aux exigences énumérées aux articles précitée de la loi 43-20.

  •  Dispositifs qualifiés de création de signature ou cachet électronique
  •  Dispositifs de création de signature électronique attestés par un certificat de conformité au titre de la loi 53-05

CONTRÔLE DES MOYENS ET PRESTATIONS DE CRYPTOLOGIE

Conformément à l’article 46 de la loi 43-20 relative aux services de confiance pour les transactions électroniques , l’importation, l’exportation et la fourniture de moyens de cryptologie, ainsi que la fourniture de prestations de cryptologie sont soumises, selon le cas, à déclaration préalable ou à autorisation auprès de l’autorité nationale.

Certains moyens et prestations de cryptologie sont dispensés de toute formalité précitée. La liste de ces moyens et prestations est fixée dans l’annexe 6 du Décret n° 2 22 687 pris pour l’application de la loi n°43 20.

Mesure transitoire

Conformément à l’article 34 du Décret n° 2-22-687 pris pour l’application de la loi n°43-20, les autorisations préalables d’importation, d’exportation, de fourniture, d’exploitation ou d’utilisation de moyens ou prestations de cryptographie délivrées conformément aux dispositions du décret n° 2-08-518 pris pour l’application de la loi n° 53-05 demeurent valables jusqu’à leur expiration.

 

Pour signaler tout contenu numérique criminel, incluant atteinte à la sécurité des individus et des groupes, louanges ou incitations au terrorisme, et atteinte aux droits et libertés des enfants, utilisez la plateforme suivante : www.e-blagh.ma

DGSSI2024 All rights reserved