Décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d'information




Décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d'information

NOR: PRMD1502903D
Version consolidée au 11 décembre 2018

Le Premier ministre,
Vu le code de la consommation, notamment son article L. 115-28 ;
Vu le code de la défense, notamment ses articles L. 1332-6-1, L. 1332-6-3, L. 2321-1 et R. 2311-1 et suivants ;
Vu le code pénal, notamment ses articles 226-13 et 413-9 ;
Vu le code de la sécurité intérieure, notamment ses articles L. 114-1 et R. 114-2 ;
Vu la loi n° 2000-321 du 12 avril 2000 modifiée relative aux droits des citoyens dans leurs relations avec les administrations, notamment son article 21 ;
Vu le décret n° 97-1184 du 19 décembre 1997 modifié pris pour l'application au Premier ministre du 1° de l'article 2 du décret n° 97-34 du 15 janvier 1997 relatif à la déconcentration des décisions administratives individuelles ;
Vu le décret n° 2002-535 du 18 avril 2002 modifié relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information ;
Vu le décret n° 2009-834 du 7 juillet 2009 modifié portant création d'un service à compétence nationale dénommé " Agence nationale de la sécurité des systèmes d'information " ;
Le Conseil d'Etat (section de l'administration) entendu,
Décrète :

  • Chapitre Ier : Dispositions générales

    Il est institué une procédure de qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d'information.
    Au sens du présent décret, on entend par :
    1° "Produit de sécurité", tout dispositif, matériel ou logiciel, mettant en œuvre des fonctions qui contribuent à la sécurité des systèmes d'information ;
    2° "Prestataire de service de confiance", toute personne fournissant des services qui contribuent à la sécurité des systèmes d'information.

  • Chapitre II : Qualification des produits de sécurité


    La demande de qualification d'un produit de sécurité est adressée à l'Agence nationale de la sécurité des systèmes d'information. Celle-ci met à la disposition du public par voie électronique la liste des pièces à joindre à la demande, qui contient notamment une description détaillée du produit et de ses fonctions de sécurité ainsi que les objectifs de sécurité qu'il vise à satisfaire.
    Lorsque le dossier de demande est complet, l'Agence nationale de la sécurité des systèmes d'information s'assure, au vu des pièces fournies, que :
    1° Les objectifs de sécurité du produit sont définis de manière pertinente au regard des menaces pesant sur la sécurité des systèmes d'information ;
    2° Les fonctions de sécurité du produit sont cohérentes avec les objectifs de sécurité qu'il vise à satisfaire ;
    3° Les matériels, les logiciels, leurs codes sources et la documentation nécessaires pour réaliser l'évaluation des fonctions de sécurité du produit sont disponibles sans restriction.
    Lorsqu'elle estime que les conditions prévues aux 1° à 3° sont remplies, l'Agence nationale de la sécurité des systèmes d'information invite le demandeur à faire évaluer les fonctions de sécurité du produit en vue d'obtenir une qualification. Dans le cas contraire, elle lui indique les motifs pour lesquels le produit ne peut être qualifié.


    Pour faire évaluer les fonctions de sécurité du produit, le demandeur choisit un ou plusieurs centres d'évaluation agréés dans les conditions prévues par le décret du 18 avril 2002 susvisé. Il détermine avec chacun de ces centres le programme de travail et les délais nécessaires pour réaliser l'évaluation ainsi que les conditions dans lesquelles sera protégée la confidentialité des informations traitées dans le cadre de l'évaluation.
    Lorsque l'évaluation de certaines fonctions de sécurité nécessite des compétences techniques particulières dont ne disposent pas les centres d'évaluation, l'Agence nationale de la sécurité des systèmes d'information évalue elle-même ces fonctions.
    En l'absence de centre d'évaluation agréé, l'Agence nationale de la sécurité des systèmes d'information peut réaliser l'ensemble de l'évaluation.


    Le demandeur met à la disposition de l'Agence nationale de la sécurité des systèmes d'information et de chaque centre d'évaluation concerné l'ensemble des matériels, des logiciels, des codes sources et de la documentation nécessaires pour évaluer les fonctions de sécurité du produit.


    L'Agence nationale de la sécurité des systèmes d'information veille à la bonne exécution des travaux d'évaluation. Les centres d'évaluation l'informent sans délai de toute difficulté. L'agence peut à tout moment demander à assister à ces travaux ou à obtenir des informations sur leur déroulement. Elle peut également demander aux centres de compléter leur évaluation.


    Au terme de l'évaluation, chaque centre d'évaluation concerné remet un rapport au demandeur et à l'Agence nationale de la sécurité des systèmes d'information. Lorsqu'elle a réalisé tout ou partie de l'évaluation, l'agence remet un rapport d'évaluation au demandeur.
    Les rapports d'évaluation sont des documents confidentiels susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.


    Au vu des rapports d'évaluation, l'Agence nationale de la sécurité des systèmes d'information propose au Premier ministre de qualifier ou non le produit.
    Lorsqu'il décide de qualifier le produit, le Premier ministre notifie au demandeur une décision mentionnant les objectifs de sécurité que satisfait le produit et précisant le niveau de qualification obtenu. La décision est assortie, le cas échéant, de conditions et de réserves et précise sa durée de validité.
    En cas de manquement aux conditions et réserves fixées par la décision de qualification ou en cas de changement des circonstances de droit ou de fait dans lesquelles le produit a été qualifié, le Premier ministre peut, après que le demandeur a pu faire valoir ses observations, suspendre ou abroger la qualification.

  • Chapitre III : Qualification des prestataires de service de confiance
    • Section 1 : Evaluation et qualification des prestataires


      La demande de qualification est adressée par le prestataire de service de confiance à l'Agence nationale de la sécurité des systèmes d'information. Celle-ci met à la disposition du public par voie électronique la liste des pièces à joindre à la demande, qui contient notamment :
      1° La description des services sur lesquels porte la demande ;
      2° L'organisation, les procédures et les méthodes mises en place par le prestataire pour fournir les services ;
      3° Les coordonnées du centre d'évaluation choisi par le prestataire pour évaluer les services sur lesquels porte la demande ;
      4° Le programme de travail défini par le prestataire avec le centre d'évaluation.


      Lorsque le dossier de demande est complet, l'Agence nationale de la sécurité des systèmes d'information s'assure, au vu des pièces fournies, que :
      1° Les services fournis par le prestataire sont susceptibles de répondre aux besoins de sécurité des systèmes d'information ;
      2° Le centre d'évaluation choisi est agréé pour évaluer les services sur lesquels porte la demande ;
      3° Le programme de travail défini avec le centre d'évaluation est cohérent ;
      4° Les documents nécessaires à l'évaluation sont disponibles ;
      5° Les conditions d'accès aux locaux, au personnel et aux moyens techniques du prestataire sont satisfaisantes.
      Lorsqu'elle estime que les conditions prévues aux 1° à 5° sont remplies, l'Agence nationale de la sécurité des systèmes d'information invite le prestataire à faire évaluer ses services en vue d'obtenir une qualification. Dans le cas contraire, elle lui indique les motifs pour lesquels il ne peut être qualifié.

      Les services fournis par le prestataire sont évalués au regard de règles fixées par des référentiels propres à chaque type de services. Ces référentiels sont élaborés par l'Agence nationale de la sécurité des systèmes d'information et approuvés par le Premier ministre. Pour les besoins de la sécurité nationale, les référentiels peuvent imposer au prestataire de respecter les prescriptions prévues aux articles R. 2311-1 et suivants du code de la défense.
      L'évaluation est réalisée sur pièce et sur place par un centre d'évaluation agréé dans les conditions prévues à la section 2 du présent chapitre. Elle vise à s'assurer que le prestataire respecte les règles prévues par les référentiels mentionnés au premier alinéa, en particulier qu'il dispose du personnel compétent ainsi que des moyens techniques et des locaux adéquats pour fournir ses services.
      Lorsque l'évaluation nécessite des compétences techniques particulières dont ne disposent pas les centres d'évaluation, l'Agence nationale de la sécurité des systèmes d'information apporte son concours à ces centres.
      En l'absence de centre d'évaluation agréé, l'Agence nationale de la sécurité des systèmes d'information peut évaluer les services du prestataire.


      Le prestataire choisit un centre d'évaluation agréé sur la liste prévue à l'article 19.
      Il détermine avec le centre d'évaluation :
      1° Les services à évaluer ;
      2° Les conditions d'accès à ses locaux, à son personnel et à ses moyens techniques ;
      3° Les conditions de protection des informations traitées dans le cadre de l'évaluation ;
      4° Le programme de travail du centre.
      Il met à la disposition de l'Agence nationale de la sécurité des systèmes d'information et du centre d'évaluation tous les documents nécessaires à l'évaluation. Il leur permet d'accéder à ses locaux et à ses moyens techniques et de rencontrer son personnel.
      Dans le cadre de l'évaluation, l'Agence nationale de la sécurité des systèmes d'information et le centre d'évaluation peuvent chacun demander à assister au déroulement d'une prestation de service effectuée par le prestataire.


      L'Agence nationale de la sécurité des systèmes d'information veille à la bonne exécution des travaux d'évaluation. Le centre d'évaluation l'informe sans délai de toute difficulté. L'agence peut à tout moment demander à assister à ces travaux ou à obtenir des informations sur leur déroulement. Elle peut également demander au centre de compléter son évaluation.


      Au terme de l'évaluation, le centre d'évaluation remet un rapport au prestataire et à l'Agence nationale de la sécurité des systèmes d'information. Lorsqu'elle a réalisé l'évaluation, l'agence remet un rapport d'évaluation au prestataire.
      Le rapport d'évaluation est un document confidentiel susceptible de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Il est, le cas échéant, couvert par le secret de la défense nationale.


      Au vu du rapport d'évaluation et, le cas échéant, des conclusions d'une enquête administrative sur le prestataire menée en application de l'article L. 114-1 du code de la sécurité intérieure, l'Agence nationale de la sécurité des systèmes d'information propose au Premier ministre de qualifier ou non le prestataire.
      Lorsqu'il décide de qualifier le prestataire, le Premier ministre lui notifie une décision attestant sa capacité à respecter les règles mentionnées au premier alinéa de l'article 10 et précisant, s'il y a lieu, le niveau de qualification obtenu. La décision précise les services qualifiés et est assortie, le cas échéant, de conditions et de réserves.
      La qualification est valable pour une durée maximale de trois ans et peut être renouvelée dans les mêmes conditions.


      L'Agence nationale de la sécurité des systèmes d'information peut s'assurer à tout moment que le prestataire respecte les règles au vu desquelles il a été qualifié. Le prestataire l'informe sans délai de toute modification des circonstances dans lesquelles il a été qualifié.
      En cas de manquement aux conditions et réserves fixées par la décision de qualification ou en cas de changement des circonstances de droit ou de fait dans lesquelles le prestataire a été qualifié, le Premier ministre peut, après que le prestataire a pu faire valoir ses observations, suspendre ou abroger la qualification.

    • Section 2 : Agrément des centres d'évaluation


      La demande d'agrément est adressée par le centre d'évaluation à l'Agence nationale de la sécurité des systèmes d'information. Celle-ci met à la disposition du public par voie électronique la liste des pièces à joindre à la demande, qui contient notamment :
      1° La description des moyens, des ressources et de l'activité passée du centre d'évaluation ;
      2° Les types de services pour l'évaluation desquels le centre demande un agrément ;
      3° Une accréditation comme centre d'évaluation de services, délivrée par une instance nationale mentionnée au premier alinéa de l'article L. 115-28 du code de la consommation.
      Lorsque le dossier de demande est complet, l'Agence nationale de la sécurité des systèmes d'information instruit la demande et en informe le centre d'évaluation.


      L'Agence nationale de la sécurité des systèmes d'information audite sur pièce et sur place le centre demandeur au regard des compétences de son personnel, de ses moyens, de ses ressources et de son activité passée. Lors de cet audit, l'agence peut demander à assister au déroulement d'une évaluation de services effectuée par le centre.
      Le centre permet à l'agence d'accéder à ses locaux et de rencontrer son personnel. Il lui communique en outre tous documents nécessaires à l'audit.

      Le centre d'évaluation ne peut être agréé pour les besoins de la sécurité nationale s'il n'est en mesure de respecter les prescriptions prévues aux articles R. 2311-1 et suivants du code de la défense.


      Au vu des résultats de l'audit prévu à l'article 17 et, le cas échéant, au vu des conclusions d'une enquête administrative sur le centre d'évaluation menée en application de l'article L. 114-1 du code de la sécurité intérieure, l'Agence nationale de la sécurité des systèmes d'information propose au Premier ministre d'agréer ou non le centre d'évaluation.
      Lorsqu'il décide d'agréer le centre d'évaluation, le Premier ministre lui notifie une décision précisant les types de service pour l'évaluation desquels le centre est agréé. La décision est assortie, le cas échéant, de conditions et de réserves.
      L'agrément est valable pour une durée maximale de trois ans et peut être renouvelé dans les mêmes conditions.
      L'Agence nationale de la sécurité des systèmes d'information met à la disposition du public par voie électronique la liste des centres d'évaluation agréés.


      L'Agence nationale de la sécurité des systèmes d'information peut s'assurer à tout moment que le centre d'évaluation respecte les conditions au vu desquelles il a été agréé. Le centre d'évaluation l'informe sans délai de toute modification des circonstances dans lesquelles il a été agréé, notamment de la suspension, du retrait ou de toute modification de son accréditation.
      En cas de manquement aux conditions et réserves fixées dans la décision d'agrément ou en cas de changement des circonstances de droit ou de fait dans lesquelles le centre d'évaluation a été agréé, le Premier ministre peut, après que le centre d'évaluation a pu faire valoir ses observations, suspendre ou abroger l'agrément.


Fait le 27 mars 2015.


Manuel Valls

Par le Premier ministre :


Le ministre de l'intérieur,

Bernard Cazeneuve


La ministre des outre-mer,

George Pau-Langevin