Conformément aux dispositions du décret n° 2-21-406 pour l’application de la loi n° 05-20 relative à la cybersécurité, les entités et infrastructures d’importance vitale disposant de systèmes d’information sensibles doivent mener des audits périodiques de leurs systèmes par des prestataires d’audit qualifiés par la direction générale de la sécurité des systèmes d’information (DGSSI).

L’objectif de ce document est de regrouper les exigences à respecter par les prestataires d’audit en vue d’être qualifiés par cette direction.

Ce système de qualification constitue un gage de confiance pour confier des missions d’audit aux prestataires qualifiés. Il s’appuie sur la vérification d’un certain nombre de critères attestant, notamment :

•  des références des prestataires dans le domaine ;
•  de la qualification de leurs ressources humaines ;
•  de l’efficacité et l’adéquation des méthodes et outils utilisés;
•  de l’organisation du travail et le respect des règles déontologiques et de sécurité.