خدمات ومنتجات مقننة

مقدمو خدمات الثقة

Dénomination du PSCo	Statut d'agrément
لا شيء

Dénomination du PSCo	Statut d'agrément
Barid Al Maghrib	En cours d'agément (cf. article 80 de la loi n° 43.20)
Eurafric Information	En cours d'agément (cf. article 80 de la loi n° 43.20)
Damanesign	En cours d'agément (cf. loi n° 43.20)

- لائحة مقدمي الخدمات الذين قدموا تصريحهم المسبق لتقديم خدمات الثقة

Dénomination du PSCo	Nom du service de confiance	Type du service de confiance	Niveau du service de confiance		Identifiant unique (OID) du service de confiance
Dénomination du PSCo	Nom du service de confiance	Type du service de confiance	Simple	Avancé	Identifiant unique (OID) du service de confiance
DamaneSign	DamaneSign signature simple	Création de signature électronique			1.3.6.1.4.1.58553.1.7.1.1
	DamaneSign signature CA	Délivrance de certificats de signature électronique			1.3.6.1.4.1.58553.1.7.1.3
	DamaneSign signature CA	Création de signature électronique			1.3.6.1.4.1.58553.1.7.1.3
LLEIDANETWORKS SERVEIS TELEMATICS	Click & Sign	Création de signature électronique			1.3.6.1.4.1.52376.2.5.0.0
	Click & Sign	Création de cachet électronique			1.3.6.1.4.1.52376.2.5.1.0
	Courrier électronique certifié Openum Openum eIDAS	Envoi recommandé électronique			1.3.6.1.4.1.52376.2.4.0
LRE TRUST	Signature électronique LRE	Création de signature électronique			1.2.250.1.86.2.3.3.22.1
	Horodatage électronique LRE	Horodatage électronique			1.2.250.1.86.2.3.3.24.1
	Envoi recommandé électronique LRE	Envoi recommandé électronique			1.3.6.1.4.1.50034.1.1.2
EURAFRIC INFORMATION	AfricSIGN	Délivrance de certificats de signature électronique			1.2.504.1.2.1.2.8.1
	AfricSIGN	Création de signature électronique			1.2.504.1.2.1.2.8.1
	Afric-eStamp	Délivrance de certificats de cachet électronique			1.2.504.1.2.1.2.9.2
	Afric-eStamp	Création de cachet électronique			1.2.504.1.2.1.2.9.2
	AfricTimeStamp	Horodatage électronique			1.2.504.1.2.1.2.3.5 1.2.504.1.2.1.2.6.2
LEX PERSONA	Lex Enterprise - Service de délivrance de certificats ETSI LCP	Délivrance de certificats de signature électronique			1.3.6.1.4.1.22542.100.1.1.1.6
		Création de signature électronique			1.3.6.1.4.1.22542.100.1.1.1.6
	Lex Enterprise - Service de délivrance de certificats OPEN REG	Délivrance de certificats de signature électronique			1.3.6.1.4.1.22542.100.1.1.1.3
		Création de signature électronique			1.3.6.1.4.1.22542.100.1.1.1.3
	Lex Enterprise - Lex Persona eIDAS qualified timestamp	Horodatage électronique			1.3.6.1.4.1.22542.100.2.1 1.3.6.1.4.1.22542.100.1.1.2.2
Banque Centrale Populaire	Chaabi eSign - Certs	Délivrance de certificats de signature électronique			1.2.504.1.1.2.1.3.10.1
	Chaabi eSign - Signature	Création de signature électronique			1.2.504.1.1.2.1.3.5.1 1.2.504.1.1.2.1.1.6.1
	Chaabi eSign - Seals	Délivrance de certificats de cachet électronique			1.2.504.1.1.2.1.3.7.1
	Chaabi eSign - Seals	Création de cachet électronique			1.2.504.1.1.2.1.3.7.1
ADRIA DIGITRUST	Adria DigiSign	Délivrance de certificats de signature électronique			1.2.504.1.2.2.1.3 (simple) 1.2.504.1.2.2.1.1 (avancée) 1.2.504.1.2.2.30 (politique de signature)
	Adria DigiSign	Création de signature électronique
	Adria DigiSeal	Délivrance de certificats de cachet électronique			1.2.504.1.2.2.1.4 (simple)
	Adria DigiSeal	Création de cachet électronique			1.2.504.1.2.2.1.2 (simple)
Barid Al Maghrib	Certificat classe 3 de signature avancée	Délivrance de certificats de signature électronique			1.2.504.1.1.1.1.1.1.1.27.6 *aller à la rubrique Support/Téléchargements

*ملاحظة:

هذه اللائحة معدة استنادا إلى العناصر التي أدلى بها مقدمو خدمات الثقة في اطار إجراءات التصريحات المسبقة الخاضعين لها وفقًا لأحكام المادة 53 من القانون رقم 43.20؛

يتحمل مقدمو خدمات الثقة المسؤولية الكاملة عن صحة المعلومات المصرح بها وعن مطابقة الخدمات موضوع التصريح المسبق لمتطلبات القانون رقم 43.20 ونصوصه التطبيقية؛

لا يشكل النشر في اللائحة أعلاه في حد ذاته توصية لاستعمال الخدمات التي يقدمها مقدمو خدمات الثقة ولا ضمانًا لجودة هذه الخدمات.

- المعايير والدلائل المرجعية المطبقة على خدمات الثقة الغير المؤهلة ومقدميها :

- الدليل المرجعي لمتطلبات المطابقة المتعلقة بخدمات الثقة الغير المؤهلة وبمقدميها (fr)

تدابير انتقالية

وفقًا لأحكام المادة 33 من المرسوم رقم 687 -22-2 بتطبيق القانون 20-43، لدى مقدمي الخدمات الذين يوفرون خدمات ثقة غير مؤهلة مهلة ستة أشهر، اعتبارًا من 13 يوليوز 2023، للامتثال لأحكام المرسوم السالف الذكر.

مقدمو خدمات المصادقة الإلكترونية المعتمدون وفقا لأحكام القانون رقم 53.05 :
- BARID E-SIGN DE POSTE MAROC .

https://www.baridesign.ma
https://online.baridesign.ma
Agrément n°2/PSCE/2022 expiré le 14/07/2024
- EURAFRIC INFORMATION

https://www.eurafric-information.com/
Agrément n°1/PSCE/2022 expiré le 14/07/2024
- POLITIQUE DE CERTIFICATION TYPE 1.3
تدابير انتقالية
تطبيقا للمادة 80 من القانون 43.20، تعطى لمقدمي خدمات المصادقة الإلكترونية المعتمدين وفقا لأحكام القانون رقم 53.05، مهلة سنة واحدة اعتبارا من 13 يوليوز 2023 للامتثال لأحكام القانون 43.20.

PRESTATAIRES D’AUDIT DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION QUALIFIÉS

Conformément aux dispositions du décret n° 2-21-406 pour l’application de la loi n°05-20 relative à la cybersécurité, les entités et infrastructures d’importance vitale disposant de systèmes d’information sensibles doivent mener des audits périodiques de leurs systèmes par des prestataires d’audit qualifiés par la DGSSI. Cette qualification, qui constitue un gage de qualité et de confiance s’appuie sur la vérification des critères attestant, notamment :

des références des prestataires dans le domaine
de la qualification de leurs ressources humaines
de l’efficacité et l’adéquation des méthodes et outils utilisés
de l’organisation du travail et le respect des règles déontologiques et de sécurité.

Liste des Prestataires d’Audit de la Sécurité des Systèmes d’Information qualifiés

Prestataire	Date de fin de qualification	Classe des SI
LMPS CONSULTING	02/02/2027	الفئة ب
Deloitte Morocco Cyber Center	03/11/2026	الفئة ب
Techso Group	18/08/2026	الفئة ب
SEKERA SERVICES	18/08/2026	الفئة أ والفئة ب
NEAR SECURE	18/08/2026	الفئة أ والفئة ب
DATAPROTECT	17/01/2026	الفئة أ والفئة ب
PWC Advisory	12/01/2026	الفئة ب
Entreprise Services CDG (DXC Technology)	10/03/2025	الفئة ب
Orange Business Maroc	10/03/2025	الفئة ب
Thales Holding Maroc

En cours

Suspendue^(*)

Validée

(*) En application des dispositions de l'article 26 du décret n° 2-21-406 pris pour l'application de la loi 05-20 relative à la cybersécurité

Procédure de qualification
- Conditions d'éligibilité
- Être constitué sous forme de société de droit marocain
- Avoir une expertise dans l’audit de la sécurité des systèmes d’information
- Avoir une structure organisationnelle dédiée exclusivement à l’audit de la sécurité des systèmes d’information
- Remplir les conditions figurant dans le référentiel d’exigences relatif à la qualification des prestataires d’audit de la sécurité des systèmes d’information
- Être qualifié au minimum dans trois (03) domaines d’audit (audit organisationnel et physique, audit d’architecture, audit de configuration, tests d’intrusion, audit du code source, audit des systèmes industriels) et disposer d’un auditeur au minimum par domaine de qualification demandé.
En outre, le prestataire d’audit doit, afin de fournir des prestations d’audit de la sécurité des systèmes d’information ayant la classification « CLASSE A », remplir les conditions suivantes :
- Le capital de la société doit être détenu majoritairement par des marocains ;
- Les auditeurs proposés doivent être de nationalité marocaine.
- Constitution du dossier de la demande
- Formulaire de la demande de la qualification;
- Copie des statuts de la société
- Attestation d’inscription au registre de commerce
- Liste des noms des associés et leurs nationalités
- Copies des pièces d’identité des dirigeants de la société et ses organes d’administration ainsi que des auditeurs proposés
- Note indiquant les moyens humains et techniques de la société
- Copies des casiers judiciaires des auditeurs proposés
- Curriculums vitae des auditeurs proposés, selon le modèle suivant
- Copies des diplômes et certificats de formation des auditeurs proposés ;
- Copies des contrats de travail conclus avec les auditeurs proposés
- Copies des attestations délivrées par les maîtres d’ouvrages au profit desquels ont été exécutées des prestations d’audit de la sécurité des systèmes d’information, et devant préciser notamment la nature de la prestation fournie et la date de sa réalisation
- Document décrivant la méthodologie appliquée pour conduire la prestation d’audit, objet de la demande de qualification.
- Etapes de la qualification
La qualification se déroule en deux étapes avec l’obligation de valider une phase pour passer à la suivante, comme indiqué ci-après :
Etape 1 - Pré-qualification :
Cette étape consiste en l’analyse des éléments constituant le dossier de la demande de qualification. Après s’être assuré que le dossier de la demande comprend tous les documents et informations requis, l’autorité nationale soumet le prestataire d’audit de la sécurité des systèmes d’information, à ses frais, à une évaluation des prestations objet de la demande par l’un des organismes qu’elle désigne à cet effet. L'évaluation précitée s’effectue conformément au référentiel d’exigences relatif à la qualification des prestataires d’audit de la sécurité des systèmes d’information.
Etape 2 – Qualification :
Consiste en l’évaluation par l’organisme évaluateur désigné par la DGSSI :
- Des auditeurs et leur attribuer un niveau de qualification
- Des processus de l’entreprise (veille, formation et maintien des compétences, gestion des ressources, moyens de travail et outils etc.)
- De la sécurité des locaux et du système d’information du prestataire d’audit
- Des méthodologies de travail et des outils utilisés.
Ces évaluation sont effectuées sous la supervision de la DGSSI.

- Décision de qualification
Au vu des résultats des évaluations précitées la DGSSI délivre la décision de qualification en indiquant notamment :
- La dénomination et l’adresse du siège social du prestataire d’audit
- Les domaines d’audit objet de la qualification, en indiquant que le prestataire peut auditer les systèmes d’information sensibles de CLASSE A ou de CLASSE B
- La durée de sa validité qui ne dépasse pas trois (03) ans
- La liste des auditeurs par domaines d’audit en indiquant leurs niveaux de qualification.
Déclaration de modification
Conformément à l’article 25 du décret n° 2-21-406 pour l’application de la loi 05.20 relative à la cybersécurité, tout prestataire d’audit de la sécurité des systèmes d’information (PASSI) informe, sans délai, l’autorité nationale (DGSSI) de toute modification intervenue dans l’un des éléments sur la base desquels la qualification a été délivrée. A cet effet, le formulaire de déclaration de modification doit être déposé par le PASSI auprès de la DGSSI, accompagné d’un dossier comportant les documents suivants, selon les cas :
1. MODIFICATION DE LA RAISON SOCIALE
- Copie du nouveau statut
- Attestation d’inscription au registre du commerce.
2. MODIFICATION DE L’ADRESSE DU SIÈGE SOCIALE
- Copie du nouveau statut
- Attestation d’inscription au registre du commerce.
Il sied de préciser que, suite au changement d’adresse du siège sociale, l’évaluation de la sécurité physique des locaux de la société est requise afin de mettre à jour la décision de qualification. Cette évaluation se fera par un organisme évaluateur désigné par la DGSSI.
3. MODIFICATION DES ASSOCIÉS ET/OU DES PARTS DU CAPITAL SOCIAL
- Copie du nouveau statut
4. AJOUT D’UN NOUVEAU DOMAINE D’AUDIT
- Copies des attestations délivrées par les maîtres d’ouvrages au profit desquels ont été exécutées des prestations d’audit de la sécurité des systèmes d’information, et devant préciser notamment la nature de la prestation fournie et la date de sa réalisation
- Document décrivant la méthodologie appliquée pour conduire la prestation d’audit, objet de la demande de qualification.
Il sied de préciser que, suite à l’ajout d’un nouveau domaine d’audit, l’évaluation des processus et de la sécurité physique des locaux de la société est requise afin de mettre à jour la décision de qualification. Cette évaluation se fera par un organisme évaluateur désigné par ladite direction. Par ailleurs, l’octroi de la qualification dans le(s) domaine(s) sollicitée(s) reste tributaire de la réussite des auditeurs candidats dans les examens d’évaluation dans ce(s) domaine(s).
5. AJOUT D’UN AUDITEUR
- Copie de la pièce d'identité
- Copie du casier judiciaire
- Curriculums Vitae selon le modèle suivant
- Copie du contrat de travail
- Copies des diplômes et certificats de formation.

متعهدو افتحاص أمن نظم المعلومات المؤهلون

وفقا لأحكام المرسوم رقم 406-21-2 لتطبيق القانون رقم 20-05 المتعلق بالأمن السيبراني، يتعين على الهيئات والبنيات التحتية ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة أن تجري افتحاصات دورية لنظمها من طرف متعهدي افتحاص أمن نظم المعلومات المؤهلين من قبل المديرية العامة لأمن نظم المعلومات. ويستند هذا التأهيل، الذي يضمن الجودة والثقة، إلى التحقق من عدة معايير من بينها:

المراجع المتعلقة بمقدمي الخدمات في الميدان.
مؤهلات مواردها البشرية.
فعالية و ملائمة الطرق والمعدات المستخدمة.
تنظيم العمل والامتثال لأخلاقيات قواعد السلامة.

قائمة متعهدي افتحاص أمن نظم المعلومات المؤهلين

مقدمي الخدمة	تاريخ انتهاء التأهيل	فئة معلومات النظام
LMPS CONSULTING	02/02/2027	الفئة ب
Deloitte Morocco Cyber Center	03/11/2026	الفئة ب
Techso Group	18/08/2026	الفئة ب
SEKERA SERVICES	18/08/2026	الفئة أ والفئة ب
NEAR SECURE	18/08/2026	الفئة أ والفئة ب
DATAPROTECT	17/01/2026	الفئة أ والفئة ب
PWC Advisory	12/01/2026	الفئة ب
Entreprise Services CDG (DXC Technology)	10/03/2025	الفئة ب
Orange Business Maroc	10/03/2025	الفئة ب
Thales Holding Maroc

قيد التنفيذ

موقوف ^(*)

مصادق عليه

(*) تطبيقا لمقتضيات المادة 26 من المرسوم رقم 406-21-2 المتخذ لتطبيق القانون 20-05 المتعلق بالأمن السيبراني

إجراءات التأهيل
- شروط الأهلية
- التأسيس في شكل شركة خاضعة للقانون المغربي.
- التوفر على خبرة في ميدان افتحاص أمن نظم المعلومات.
- التوفر على بنية تنظيمية مخصصة حصريا لإفتحاص أمن نظم المعلومات.
- استيفاء الشروط المنصوص عليها في مرجع متطلبات متعهدي افتحاص أمن نظم المعلومات.
- التوفر على الأهلية على الأقل في مجالات الإفتحاص الثلاث (الإفتحاص التنظيمي والمادي، الإفتحاص الهندسي، إفتحاص الإعدادات، اختبارات الاختراق، افتحاص شفرة المصدر وافتحاص الأنظمة الصناعية) والتوفر على الأقل على مفتحص واحد في كل مجال من مجالات التأهيل المطلوبة.
بالإضافة إلى ذلك، يجب على متعهدي الإفتحاص الراغبين في تقديم خدمات إفتحاص أمن نظم المعلومات ذات التصنيف "فئة أ"، استيفاء الشروط التالية:
- يجب أن يكون أغلبية رأس مال الشركة مملوكًا من لدن مغاربة.
- يجب أن يكون كل المفتحصون المقترحون من جنسية مغربية.
- إعداد ملف الطلب
- استمارة طلب التأهيل.
- نسخة من النظام الأساسي للشركة.
- شهادة تقييد الشركة بالسجل التجاري.
- قائمة بأسماء الشركاء وجنسياتهم.
- نسخ من الوثائق المثبتة لهوية مسيري الشركة وأعضاء أجهزة إدارتها وكذا المفتحصين المقترحين.
- مذكرة توضح الموارد البشرية والتقنية للشركة.
- نسخة من السجل العدلي لكل فرد من المفتحصين المقترحين.
- السيرة الذاتية للمفتحصين المقترحين، وعند الاقتضاء نسخ من دبلوماتهم وشواهدهم.
- نسخ لعقود الشغل المبرمة مع المفتحصين المقترحين.
- نسخ من الشواهد المسلمة من أصحاب المشاريع الذين تم القيام لحسابهم بخدمات افتحاص أمن نظم المعلومات، والتي تشير على الخصوص إلى طبيعة الخدمة المقدمة وتاريخ إنجازها.
- وثيقة تبين المنهجية المتبعة للقيام بخدمات الإفتحاص موضوع طلب التأهيل.
- مراحل التأهيل
يتم التأهيل على مرحلتين مع الالتزام بإنهاء المرحلة الأولى بنجاح قبل الانتقال إلى المرحلة الموالية، كما هو موضح أدناه:
المرحلة 1 - التأهيل المسبق :
تتمثل هذه المرحلة في تحليل عناصر ملف طلب التأهيل. بعد التأكد من أن ملف الطلب يتضمن جميع المستندات والمعلومات المطلوبة، تقوم السلطة الوطنية للأمن السيبراني وعلى نفقتها الخاصة، بإخضاع متعهد افتحاص أمن نظم المعلومات صاحب الطلب لتقييم الخدمات المتعلقة بطلبه من طرف إحدى المؤسسات التي تحددها لهذا الغرض. يتم إجراء التقييم المذكور أعلاه وفقا لمعيار شروط أهلية مقدمي خدمات افتحاص أمن نظم المعلومات.
المرحلة 2 - التأهيل :
تتمثل هذه المرحلة في تقييم ما يلي وذلك من طرف هيئة تقييم معيَّنة من قبل المديرية العامة لأمن نظم المعلومات :
- المفتحصين مع تنقيطهم حسب مؤهلاتهم.
- تسلسل عمليات المقاولة (الرصد والتدريب والحفاظ على المهارات وإدارة الموارد وأساليب العمل والأدوات إلخ.)
- أمن أماكن عمل متعهد افتحاص أمن نظم المعلومات.
- منهجيات العمل والأدوات المستخدمة.
- قرار التأهيل
في ضوء نتائج التقييمات المذكورة أعلاه، تصدر المديرية العامة لأمن نظم المعلومات قرار التأهيل بالإشارة الى :
- اسم وعنوان المقر الرئيسي لمتعهد افتحاص أمن نظم المعلومات.
- مجالات الإفتحاص موضوع التأهيل ،مع الاشارةإلى أن المتعهد يمكنه افتحاص نظم المعلومات الحساسة من « الفئة أ » أو « الفئة ب ».
- مدة الصلاحية التي لا تتجاوز ثلاث سنوات.
- قائمة المفتحصين أمن نظم المعلومات حسب مجالات الإفتحاص مع الاشارة إلى مستويات تأهيلهم.
التصريح بالتعديل
وفقا لمقتضيات المادة 25 من المرسوم رقم 406-21-2 لتطبيق القانون 20-05 المتعلق بالأمن السيبراني، يقوم متعهد افتحاص أمن نظم المعلومات بإخبار السلطة الوطنية، فورا، بكل تغيير يطرأ على أحد العناصر التي تم على أساسها منح التأهيل. تحقيقا لهذه الغاية، يجب على متعهد الإفتحاص تقديم استمارة الإبلاغ عن التعديل لدى المديرية العامة لأمن نظم المعلومات، مصحوبة بملف يحتوي على المستندات التالية، حسب الحالة :
1. تعديل اسم الشركة
- نسخة من النظام الأساسي الجديد.
- شهادة تقييد الشركة في السجل التجاري.
2. تغيير عنوان المقر الرئيسي:
- نسخة من النظام الأساسي الجديد للشركة.
- شهادة تقييد الشركة في السجل التجاري.
توضيح: بعد تغيير عنوان المقر الرئيسي، يشترط تقييم الأمن المادي لمباني الشركة لتحديث قرار التأهيل. وذلك من طرف هيئة تقييم يتم تعيينها من قبل المديرية العامة لأمن نظم المعلومات .
3. تعديل الشركاء و/أو جزء من رأس المال :
- نسخة من النظام الأساسي الجديد.
4. إضافة مجال افتحاص جديد :
- نسخ من الشواهد المسلمة من أصحاب المشاريع الذين تم القيام لحسابهم بخدمات افتحاص أمن نظم المعلومات، والتي تشير على الخصوص إلى طبيعة الخدمة المقدمة وتاريخ إنجازها:
- وثيقة تبين المنهجية المتبعة للقيام بخدمات الإفتحاص موضوع طلب التأهيل.
- توضيح: بعد إضافة مجال افتحاص جديد، يجب تقييم طرق المعالجة والأمن المادي لمباني الشركة من أجل تحديث قرار التأهيل. ويتم تنفيذ هذا التقييم من قبل هيئة التقييم المعينة من قبل المديرية العامة لأمن نظم المعلومات. علاوة على ذلك.
يظل منح التأهيل في المجال (المجالات) المطلوب (ة) مرهون بنجاح المفتحصين المرشحين في امتحانات التقييم في هذا(ه) المجال (المجالات).
5. إضافة مفتحص جديد :
- نسخة من الوثيقة المثبتة للهوية
- نسخة من السجل العدلي.
- السيرة الذاتية وفقا للنموذج التالي
- نسخة من عقد العمل.
- نسخ من الدبلومات وشهادات التدريب.

Qualified Information Systems Security Audit Service Providers

In accordance with the provisions of Decree No. 2-21-406 for the implementation of Law No. 05-20 on cybersecurity, entities and critical infrastructure with sensitive information systems are required to undergo periodic audits of their systems by audit service providers qualified by the DGSSI. This qualification, which serves as a guarantee of quality and trust, is based on the verification of criteria attesting to, notably:

The providers' references in the field
Qualification of their human resources
The effectiveness and adequacy of the methods and tools used
Work organization and compliance with ethical and security rules.

LIST OF QUALIFIED INFORMATION SYSTEMS SECURITY AUDIT SERVICE PROVIDERS

Service Provider	End Date of Qualification	Information Systems Class
LMPS CONSULTING	02/02/2027	الفئة ب
Deloitte Morocco Cyber Center	03/11/2026	الفئة ب
Techso Group	18/08/2026	الفئة ب
SEKERA SERVICES	18/08/2026	الفئة أ والفئة ب
NEAR SECURE	18/08/2026	الفئة أ والفئة ب
DATAPROTECT	17/01/2026	الفئة أ والفئة ب
PWC Advisory	12/01/2026	الفئة ب
Entreprise Services CDG (DXC Technology)	10/03/2025	الفئة ب
Orange Business Maroc	10/03/2025	الفئة ب
Thales Holding Maroc

Ongoing

Suspended^(*)

Validated

(*) In accordance with the provisions of Article 26 of Decree No. 2-21-406 issued for the implementation of Law No. 05-20 on cybersecurity

Qualification Procedure
- Eligibility criteria
- Being established as a Moroccan legal entity
- Having expertise in information systems security auditing
- Having a dedicated organizational structure exclusively for information systems security auditing
- Fulfill the requirements outlined in the reference framework for the qualification of information systems security audit service providers
- Be qualified in at least three (03) audit domains (organizational and physical audit, architecture audit, configuration audit, intrusion testing, source code audit, industrial systems audit) and have at least one auditor per requested qualification domain.
Additionally, to provide information systems security audit services classified as "CLASS A," the audit service provider must meet the following conditions:
- The company's capital must be majority-owned by Moroccans.
- The proposed auditors must be of Moroccan nationality.
- Preparation of the qualification application dossier:
- Qualification application form
- Copy of the company's articles of association
- Certificate of registration with the trade registry
- List of shareholders and their nationalities
- Copies of identification documents for the company's executives, administrative bodies, and proposed auditors
- Document outlining the company's human and technical resources
- Copies of the proposed auditors' criminal records
- Resumes of the proposed auditors, according to the following model
- Copies of diplomas and training certificates for the proposed auditors
- Copies of employment contracts with the proposed auditors
- Copies of certificates issued by clients for whom information systems security audit services have been provided, specifying the nature of the service provided and the date of completion
- Document describing the methodology used to conduct the audit service being requested for qualification.
- Qualification process steps:
The qualification process consists of two stages, with the obligation to validate one phase to proceed to the next, as indicated below:
tage 1 - Pre-qualification :
This stage involves analyzing the elements comprising the qualification application dossier. After ensuring that the application dossier includes all required documents and information, the national authority submits the information security audit provider, at their expense, to an evaluation of the services specified in the application by one of the designated organizations. The aforementioned evaluation is conducted in accordance with the requirements framework relating to the qualification of information security systems audit providers..
Stage 2 - Qualification:
This involves evaluation by the evaluator designated by the DGSSI:
- Auditors and assigning them a level of qualification.
- The company's processes (monitoring, training and skills maintenance, resource management, work tools, etc.).
- The security of the premises and the information system of the audit provider.
- Work methodologies and tools used.
These evaluations are conducted under the supervision of the DGSSI.

- Qualification Decision
Based on the results of the aforementioned evaluations, the DGSSI issues the qualification decision, indicating:
- The name and address of the audit provider's headquarters.
- The audit domains subject to qualification, specifying that the provider can audit sensitive information systems of CLASS A or CLASS B
- The validity period, which does not exceed three (03) years.
- The list of auditors by audit domains, indicating their qualification levels.
MODIFICATION DECLARATION
According to Article 25 of Decree No. 2-21-406 implementing Law 05.20 on cybersecurity, any provider of information systems security audit services (PASSI) shall promptly inform the national authority (DGSSI) of any changes that have occurred in any of the elements upon which the qualification was granted. To this end, the modification declaration form must be submitted by the PASSI to the DGSSI, accompanied by a dossier containing the following documents, as applicable:
1. CHANGE IN LEGAL ENTITY NAME
- Copy of the new articles of association (Statut)
- Certificate of registration with the Chamber of Commerce
2. CHANGE IN REGISTERED OFFICE ADDRESS
- Copy of the new articles of association (Statut)
- Certificate of registration with the Chamber of Commerce.
It should be noted that, following the change in the registered office address, an assessment of the physical security of the company's premises is required to update the qualification decision. This assessment will be conducted by an evaluator appointed by the DGSSI.
3. CHANGE IN SHAREHOLDERS AND/OR SHARE CAPITAL
- Copy of the new articles of association (Statut)
4. ADDITION OF A NEW AUDIT DOMAIN
- Copies of certificates issued by project owners for whom information system security audit services have been provided, specifying the nature of the service rendered and the date of completion.
- Document describing the methodology used to conduct the audit service requested for qualification.
It should be noted that, following the addition of a new audit domain, the evaluation of the company's processes and physical security of its premises is required to update the qualification decision. This evaluation will be carried out by an evaluating body designated by the DGSSI. Furthermore, the granting of qualification in the requested domain(s) is contingent upon the success of the candidate auditors in the evaluation exams in this domain(s).
5. ADDITION OF AN AUDITOR
- Copy of the identity document
- Copy of the criminal record
- Curriculum vitae according to the following template
- Copy of the employment contract
- Copies of diplomas and training certificates.

N° de Certificat	Date de Délivrance	Produit	Développeurs
CC-2/2023	10.08.2023	SafeSign IC PKI applet on JCOP 4 P71 eIDAS QSCD	A.E.T. Europe B.V.
CC-1/2024	25.04.2024	IAS Classic v4.4.2 avec serveur MOC v1.1 sur plateforme MultiApp v4.1 embarqués sur le composant S3FT9MH	Thales DIS France SAS
CC-2/2024	25.04.2024	Carte PCIe Thales Luna K7 Cryptographic Module (Hardware Security Module)	Thales DIS CPL Canada Inc

N° de Certificat	Date de Délivrance	Produits	Développeurs
CC-1/2019	09.09.2019	SafeSign IC PKI applet on JCOP 3 P60 eIDAS QSCD	A.E.T. Europe B.V NXP Semiconductors GmbH
CC-1/2021	12.10.2021	IAS classic v4.4.2 avec serveur MOC v1.1 sur plateforme MultiApp v4.0.1 masquée sur le composant M7892 G12	Gemalto & Infineon Technologies AG
CC-1/2022	09.03.2022	nShield Connect 500+ (Hardware Security Module) avec la version de firmware nCore 2.55.1	Thales e-Security Ltd.
CC-2/2022	09.03.2022	nShield Connect 500+ (Hardware Security Module) avec la version de firmware nCore 2.55.4	nCipher e-Security Ltd.
CC-4/2022	17.11.2022	nShield Solo XC embarquée dans l’Appliance nShield Connect XC (Hardware Security Module) v12.60.15	ENTRUST

N° de Certificat	Date de Délivrance	Produits	Développeurs	Statuts
CC-1/2010	17.08.2010	GEMALTO CLASSIC TPC IM CC(MULtiApp ID Citizen 72K)	Gemalto & Samsung Electronics	Expiré à compter du 23/12/2022
CC-1/2015	23.07.2015	Applet ID One Classic v1.01.1 en configuration CNS, Classic ou CIE chargée sur Cosmo v7.0-n Large, Standard et Basic (modes dual et contact) sur composants NXP	Oberthur Technologies & NXP Semiconductors GmbH	Expiré à compter du 23/12/2022
CC-2/2015	23.07.2015	Touch&Sign2048 Version 1.00	ST Incard Srl & ST Microelectronics	Expiré à compter du 23/12/2022
CC-1/2016	18.04.2016	Carte CC IDeal Citiz (sur composants SB23YR80B et SB23YR48B) ,version 1.6.0Application IAS ECC	MORPHO & ST Microelectronics	Expiré à compter du 23/12/2022
CC-1/2018	17.01.2018	IAS V4 sur la plateforme JavaCard ouverte MultiApp V3 masquée sur le composant M7820 A11	Gemalto & Infineon Technologies AG	Expiré à compter du 23/12/2022
CC-2/2022	09.03.2022	nShield Connect 500+ (Hardware Security Module) avec la version de firmware nCore 2.55.4	nCipher e-Security Ltd.	Expiré à compter du 10/03/2024
CC-1/2022	09.03.2022	nShield Connect 500+ (Hardware Security Module) avec la version de firmware nCore 2.55.1	Thales e-Security Ltd.	Expiré à compter du 10/03/2024
CC-3/2022	12.07.2022	IAS classic v4.4.2 avec serveur MOC v1.1 sur plateforme MultiApp v4.1 embarqués sur le composant S3FT9MH	Gemalto SA & Samsung Electronics Co. Ltd.	Expiré à compter du 16/01/2024
CC-1/2023	16.02.2023	Carte PCIe CryptoServer Se-Series Gen2 CP5 (Hardware Security Module) versions : Se12 5.1.0.0, Se52 5.1.0.0, Se500 5.1.0.0, Se1500 5.1.0.0	Utimaco IS GmbH	Expiré à compter du 20/12/2023

Banner - Prestationetproduit

مقدمو خدمات الثقة

- لائحة مقدمي خدمات الثقة المعتمدين

- خدمات الثقة المعتمدين في عملية الموافقة أو تجديد الموافقة

- المعايير والدلائل المرجعية المطبقة على خدمات الثقة المؤهلة ومقدميها :

- لائحة مقدمي الخدمات الذين قدموا تصريحهم المسبق لتقديم خدمات الثقة

- المعايير والدلائل المرجعية المطبقة على خدمات الثقة الغير المؤهلة ومقدميها :

PRESTATAIRES D’AUDIT DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION QUALIFIÉS

- Conditions d'éligibilité

- Constitution du dossier de la demande

- Etapes de la qualification

Etape 1 - Pré-qualification :

Etape 2 – Qualification :

- Décision de qualification

1. MODIFICATION DE LA RAISON SOCIALE

2. MODIFICATION DE L’ADRESSE DU SIÈGE SOCIALE

3. MODIFICATION DES ASSOCIÉS ET/OU DES PARTS DU CAPITAL SOCIAL

4. AJOUT D’UN NOUVEAU DOMAINE D’AUDIT

5. AJOUT D’UN AUDITEUR

متعهدو افتحاص أمن نظم المعلومات المؤهلون

- شروط الأهلية

- إعداد ملف الطلب

- مراحل التأهيل

المرحلة 1 - التأهيل المسبق :

المرحلة 2 - التأهيل :

- قرار التأهيل

1. تعديل اسم الشركة

2. تغيير عنوان المقر الرئيسي:

3. تعديل الشركاء و/أو جزء من رأس المال :

4. إضافة مجال افتحاص جديد :

5. إضافة مفتحص جديد :

Qualified Information Systems Security Audit Service Providers

- Eligibility criteria

- Preparation of the qualification application dossier:

- Qualification process steps:

tage 1 - Pre-qualification :

Stage 2 - Qualification:

- Qualification Decision

1. CHANGE IN LEGAL ENTITY NAME

2. CHANGE IN REGISTERED OFFICE ADDRESS

3. CHANGE IN SHAREHOLDERS AND/OR SHARE CAPITAL

4. ADDITION OF A NEW AUDIT DOMAIN

5. ADDITION OF AN AUDITOR

آليات إنشاء التوقيع والخاتم الإلكتروني المؤهلة

- آليات إنشاء التوقيع والخاتم الإلكتروني المؤهلة

- المعايير والدلائل المرجعية المطبقة على آليات إنشاء التوقيع او الخاتم الإلكتروني المؤهلة:

مراقبة وسائل وخدمات التشفير وتحليل الشفرات