L’Anssi (Agence Nationale de la Sécurité des Systèmes d’Information) a publié, le 11 mai 2011, un projet de référentiel d’exigences pour appel à commentaires applicable aux prestataires qui réalisent des audits techniques de la sécurité des systèmes d’information afin d’être qualifiés au sens du RGS (Référentiel Général de Sécurité). Les activités d’audit de code source, de configuration, d’architecture et organisationnel, ainsi que les tests d’intrusion, sont concernés par ce projet de référentiel.

Il s’adresse essentiellement aux prestataires réalisant des audits de la sécurité des systèmes d’information des autorités administratives. Cependant, les commanditaires d’audit du secteur privé peuvent s’en inspirer afin d’exprimer leurs besoins. Ce document vise, en effet, à établir une relation de confiance entre le commanditaire et le prestataire d’audit, en exigeant de ce dernier un niveau de compétence spécifique.

Anssi, Référentiel d’exigences du 11-5-2011