Le décret n° 2-24-921 du 18 rabii II 1446 (22 octobre 2024) encadre le recours aux prestataires de services Cloud par les entités et infrastructures d’importance vitale qui disposent de systèmes d’information ou des données sensibles. Ce texte prévoit la mise en place d’un régime de qualification applicable à ces prestataires.

Conformément à l’article 4 dudit décret, le régime de qualification repose sur un référentiel d’exigences fixé par le présent arrêté. Ce référentiel établit les critères organisationnels, techniques, juridiques et de gouvernance que doivent remplir les prestataires souhaitant obtenir la qualification délivrée par l’autorité nationale. En application des articles 7 et 8 du décret, il constitue la base normative utilisée par la DGSSI ou tout organisme évaluateur désigné pour mener les évaluations prévues.

Le référentiel est aligné sur les bonnes pratiques internationales. Il est structuré en plusieurs chapitres couvrant l’ensemble des dimensions de la sécurité des services Cloud. Il traite notamment des politiques de sécurité de l’information, de la gestion des identités et des accès, de la protection cryptographique des données, de la sécurité physique et environnementale, de la continuité d’activité, de la gestion des incidents de sécurité, du respect des réglementations applicables, ainsi que de la relation avec les tiers.

Le référentiel prévoit également l’obligation d’établir des conventions de service encadrant la répartition des responsabilités entre le prestataire, le commanditaire et les tiers, notamment en matière de respect de la législation nationale applicable, de résiliation en cas de perte de qualification, de réversibilité et de suppression des données du commanditaire.

Enfin, le référentiel précise les modalités du processus de qualification, depuis le dépôt du dossier jusqu’à la décision finale, en passant par une phase d’évaluation des capacités et des garanties présentées par le prestataire.