Ce référentiel a été élaboré en concertation avec les acteurs du marché. L’Anssi a procédé à une phase expérimentale dont l’objectif était de tester en conditions réelles la pertinence des exigences fixées dans la première version du référentiel publiée en avril 2020.
À la suite d’un appel public à candidatures en mai 2020, un panel de prestataires a été sélectionné par l’ANSSI pour participer à une phase expérimentale. Leurs évaluations au regard du référentiel ont été menées par deux centres sous l’observation de l’ANSSI d’octobre 2020 à mars 2022. Le référentiel a été mis à jour pour prendre en compte les retours de cette phase expérimentale.
Son application garantit la couverture de multiples cas d’usage envisageables pour l’administration et la maintenance d’un système d’information conduites par un prestataire en matière de sécurité.
L’interconnexion croissante des réseaux et l’interdépendance de services provenant d’entités différentes, exposent les systèmes d’information à des risques inhérents à l’activité d’administration et de maintenance. Lorsque cette activité est confiée à un prestataire, celui-ci doit proposer à ses commanditaires un service à l’état de l’art, permettant aussi bien d’offrir des garanties face au risque de malveillance interne, que de se prémunir d’un scénario d’attaque pouvant conduire à la compromission du système d’information administré à travers les moyens d’administration qu’il met en œuvre.
L’établissement d’une relation de confiance entre un commanditaire et son prestataire passant par le respect d’un cadre en matière de sécurité, est ainsi indispensable.
L’application du référentiel doit permettre de garantir un cadre d’implémentation de zones de confiance sur un périmètre de prestation donné et la bonne exécution des missions afférentes aux activités d’administration et de maintenance, pour un service d’administration et de maintenance sécurisées interne ou externe. Il permet de définir également des exigences portant sur la structure du prestataire ainsi que sur ses processus en formulant des exigences relatives à la probité et à la compétence du personnel qui assure l’exécution de la prestation.
La qualification par l’ANSSI permet d’attester la conformité d’un prestataire aux exigences du référentiel. Sont ainsi invités à se rapprocher de l’ANSSI :
les prestataires souhaitant obtenir la qualification de leur service;
les organismes souhaitant procéder à l’évaluation de la conformité des prestataires au référentiel.
La liste des prestataires en cours de qualification est disponible sur le site web de l’ANSSI.