Quelle est la difference entre CSPN et certification Critères Communs ?

La CSPN (Certification de Securite de Premier Niveau) est un schema francais propre a l'ANSSI, conçu pour evaluer un produit sous contrainte de temps et de cout, avec une charge d'evaluation cadree par l'ANSSI. Les Critères Communs (ISO/IEC 15408) imposent une evaluation plus profonde, structuree par paquets d'assurance EAL, et reconnue internationalement via CCRA et SOG-IS. CSPN convient a une premiere validation sur un perimetre simple, CC s'impose pour les composants sensibles (cartes a puce, modules cryptographiques, plateformes d'identite) ou les marches d'export demandant une reconnaissance internationale.

Qu'est-ce que le Visa de securite ANSSI ?

Le Visa de securite est un label transverse sous lequel l'ANSSI regroupe ses delivrables d'evaluation et de qualification, CSPN, certifications Critères Communs delivrees par l'ANSSI dans le cadre du SOG-IS et de l'EUCC, et Qualification d'un produit a un niveau Elementaire, Standard ou Renforce. Le Visa atteste publiquement qu'un produit a fait l'objet d'une evaluation de securite par l'agence, et oriente les acheteurs publics et regules vers des produits dont la confiance est attestee.

Quels sont les niveaux de Qualification ANSSI ?

L'ANSSI definit trois niveaux de Qualification. Elementaire couvre les besoins courants en confidentialite et integrite. Standard repond a un besoin renforce, typiquement pour la protection d'informations sensibles non classifiees et l'usage dans les Operateurs d'Importance Vitale. Renforce s'adresse aux besoins les plus eleves, dont la protection de donnees soumises au secret de la defense nationale au niveau Diffusion Restreinte. Le niveau requis depend du domaine d'emploi vise et est defini par un referentiel d'exigences associe.

La CSPN est-elle obligatoire en France ?

Non, la CSPN reste volontaire. Elle devient cependant un prerequis contractuel pour acceder a certains marches publics, en particulier ceux des Operateurs d'Importance Vitale (OIV) au titre de la Loi de Programmation Militaire, des Operateurs de Services Essentiels (OSE) au titre de NIS, des administrations soumises au RGS, et de la sante via l'agrement Hebergeur de Donnees de Sante (HDS). Hors France, la reconnaissance est plus limitee qu'avec une certification Critères Communs internationale.

Combien de temps un produit reste-t-il certifie CSPN ?

Un certificat CSPN est emis pour une duree limitee, generalement reconduite si le produit n'a pas subi d'evolution substantielle. La Qualification associee suit la duree de validite du certificat. En cas de modification du produit, l'ANSSI peut exiger une re-evaluation, une surveillance, ou un examen d'impact avant de prolonger ou retirer le visa. La duree exacte applicable est indiquee sur chaque certificat publie au catalogue ANSSI.

Qu'est-ce qu'un CESTI et qui peut realiser une CSPN ?

Un CESTI (Centre d'Evaluation de la Securite des Technologies de l'Information) est un laboratoire accrédite par l'ANSSI, place sous controle qualite par le COFRAC, qui realise les evaluations CSPN ainsi que les evaluations Critères Communs delivrees par l'ANSSI. La liste officielle des CESTI accreditees est publiee par l'ANSSI. Le fabricant choisit son CESTI parmi cette liste et contractualise directement avec lui, l'ANSSI restant seul autorite delivrant le certificat final.

Comment la CSPN s'articule-t-elle avec le CRA europeen et la RED 3.3 ?

Le Cyber Resilience Act applicable en decembre 2027 et la RED 3.3 depuis aout 2025 imposent des exigences de cybersecurite aux produits avec elements numeriques et aux equipements radio. Une evaluation CSPN ou une Qualification ANSSI ne se substitue pas a ces obligations, mais peut etre versee au dossier technique pour demontrer la maturite cybersecurite du produit. Pour les marches publics francais critiques, le Visa ANSSI reste le critere de selection determinant en complement du marquage CE.

Qu'est-ce que la qualification PASSI et PVID ?

PASSI (Prestataires d'Audit de la Securite des Systemes d'Information) est une qualification d'ANSSI pour les sociétés realisant des audits d'architecture, de configuration, de code source, de tests d'intrusion ou d'organisation. PVID (Prestataires de Verification d'Identite a Distance) qualifie les prestataires de verification d'identite numerique au sens du referentiel eIDAS et du RGPD. Ces qualifications visent les services, et non les produits comme la CSPN, et permettent aux administrations et OIV d'externaliser ces missions a des acteurs dont la confiance est attestee.

Quelle est la relation entre SecNumCloud et le Visa de securite ?

SecNumCloud est un schema de qualification ANSSI distinct, applicable aux services cloud (SaaS, PaaS, IaaS). Il vise la souverainete et la protection des donnees hebergees, en imposant entre autres une immunite aux lois extra-europeennes a portee extraterritoriale. Bien que separe du Visa de securite produit, SecNumCloud partage la meme philosophie de confiance attestee et figure dans le panorama des labels ANSSI accessibles aux fournisseurs.

CSPN et ANSSI Visa : cybersecurite francaise

Auteur Hugues Orgitello Mis à jour le 27 mai 2026 ~13 min de lecture

Guide · CSPN et Visa de securite ANSSI

Cree en 2009 par decret, l'ANSSI (Agence nationale de la securite des systemes d'information) est l'autorite francaise de cybersecurite, equivalente fonctionnelle du BSI allemand, du NCSC britannique ou de la branche cybersecurite du NIST. Au coeur de son action produit figure le Visa de securite, label transverse qui regroupe trois delivrables, la CSPN (Certification de Securite de Premier Niveau, depuis 2008), les certifications Critères Communs emises sous schema francais dans le cadre de SOG-IS et du nouveau reglement EUCC, et les Qualifications a trois niveaux (Elementaire, Standard, Renforce). Ce guide expose la mecanique de chacun de ces outils, le role des laboratoires CESTI, l'articulation avec la Loi de Programmation Militaire pour les Operateurs d'Importance Vitale, et la place du dispositif francais dans le paysage europeen issu du Cyber Resilience Act et de la RED 3.3.

L'ANSSI, autorite francaise de cybersecurite

L'ANSSI a ete etablie par le decret n. 2009-834 du 7 juillet 2009, sous l'autorite du Secretariat general de la defense et de la securite nationale (SGDSN). Sa mission couvre quatre axes principaux, la defense des systemes d'information de l'Etat, l'assistance aux Operateurs d'Importance Vitale et aux administrations, la regulation par le RGS (Referentiel General de Securite) et les referentiels sectoriels, et la qualification de produits et de services de confiance.

Sur la chaine de la confiance numerique, l'ANSSI joue un role analogue a celui du Bundesamt für Sicherheit in der Informationstechnik (BSI) en Allemagne, du National Cyber Security Centre (NCSC) au Royaume-Uni, du National Institute of Standards and Technology (NIST) aux Etats-Unis pour la partie standards, ou de l'agence ENISA au niveau europeen. La specificite francaise tient a la combinaison de la regulation, de la qualification, et de l'operation de capacites etatiques au sein d'une seule entite.

L'agence n'execute pas elle-meme les evaluations techniques. Pour cela elle s'appuie sur un reseau de laboratoires accredites, les CESTI (Centres d'Evaluation de la Securite des Technologies de l'Information), qui realisent les essais sous le controle qualite du COFRAC et sous le pilotage methodologique de l'ANSSI. L'agence delivre, refuse ou retire les certificats et qualifications.

Le Visa de securite, un label parapluie

Le terme Visa de securite n'est pas un schema d'evaluation en soi, c'est le nom donne par l'ANSSI au regroupement public de ses delivrables. Trois familles distinctes y figurent.

Famille	Type d'evaluation	Reconnaissance
CSPN	Premier niveau, charge d'evaluation cadree	Schema national francais
Certification CC	Critères Communs ISO/IEC 15408, paquets EAL	International via SOG-IS et CCRA, transition vers EUCC
Qualification	Adequation a un usage et a un niveau (Elementaire, Standard, Renforce)	Schema national francais, integre aux referentiels reglementaires

Le Visa de securite remplit deux fonctions complementaires. Pour le marche, il atteste publiquement qu'un produit a fait l'objet d'une evaluation par l'autorite francaise. Pour le donneur d'ordre regule, il fournit le critere de selection objectif a inscrire dans un appel d'offres ou un cahier des charges, sans avoir a reproduire l'expertise technique en interne.

Le catalogue est accessible publiquement, par categorie de produit, et reste la reference pour verifier la validite courante d'un certificat ou d'une qualification.

La CSPN, schema d'evaluation cadre dans le temps et le budget

La CSPN a ete introduite en 2008 pour combler une lacune entre l'absence d'evaluation et le poids des Critères Communs. Une evaluation CC, meme a niveau EAL 2 augmente, demande typiquement plusieurs centaines de jours d'evaluation et un budget significatif. Pour des produits dont la sensibilite ne justifie pas cet investissement mais qui requièrent une confiance attestee, la CSPN propose un format de "premier niveau".

Caracteristiques structurantes

Trois choix de conception distinguent la CSPN.

Charge d'evaluation cadree. L'ANSSI a defini un volume d'evaluation cible, en ordres de grandeur de quelques dizaines de personnes-jours, qui permet a un CESTI de proposer un devis ferme avant le demarrage. Cette previsibilite est l'argument principal pour les fabricants.
Evaluation en boite blanche. Le CESTI dispose du code source, de la documentation de conception, et d'un acces direct au produit. L'objectif est de detecter rapidement les failles connues et les fautes de conception courantes, plutot que de mener une analyse exhaustive de l'arbre d'attaque.
Cible de securite proportionnee. La cible (l'equivalent fonctionnel de la Security Target de CC) est volontairement courte et lisible. Elle decrit le produit, ses fonctions de securite, les menaces couvertes, les hypotheses d'environnement, et les biens proteges. L'ANSSI publie des modeles par domaine.

Domaines d'application typiques

La CSPN couvre une dizaine de domaines techniques regulierement representes au catalogue.

Logiciels et boitiers de chiffrement (de fichiers, de disque, de communications)
Pare-feu, dispositifs de filtrage reseau, et passerelles industrielles
Solutions d'identification et d'authentification, gestion de comptes a privilèges
Mecanismes de demarrage securise (secure boot), d'integrite et de protection du firmware
Composants de signature electronique, horodatage et delivrance de certificats
Anti-virus, EDR, sondes de detection
Systemes de messagerie securisee et de partage de fichiers
Mecanismes de protection des donnees au repos sur poste de travail ou serveur

Chaque domaine fait l'objet d'un modele de cible de securite type, qui guide la redaction du fabricant et la conduite d'evaluation par le CESTI. La liste exacte des modeles disponibles est publiee par l'ANSSI.

Processus en six etapes

Etape	Acteur principal	Livrable
Cadrage et selection du CESTI	Fabricant	Choix du CESTI, perimetre fonctionnel
Redaction de la cible de securite	Fabricant, assiste par le CESTI	Cible de securite (CSP)
Soumission au CESTI et a l'ANSSI	Fabricant	Dossier produit, contrats
Conduite des essais	CESTI	Rapport technique d'evaluation (RTE)
Analyse et avis ANSSI	ANSSI	Decision de delivrance ou de refus
Publication au catalogue	ANSSI	Certificat CSPN, publication

Duree de validite et evolutions

Un certificat CSPN s'inscrit dans une duree de validite indiquee sur le document. La pratique courante est une duree de trois ans, eventuellement reconduite apres examen d'un dossier de surveillance ou de re-evaluation. Toute modification fonctionnelle ou cryptographique substantielle du produit conduit l'ANSSI a evaluer si une nouvelle CSPN est requise ou si une maintenance suffit. La duree exacte applicable a un produit donne figure systematiquement sur son certificat.

La certification Critères Communs delivree par l'ANSSI

L'ANSSI est l'autorite francaise de delivrance des certificats Critères Communs (ISO/IEC 15408), reconnus internationalement dans le cadre de deux accords.

CCRA (Common Criteria Recognition Arrangement), accord mondial signe par une trentaine de pays, qui reconnait mutuellement les certificats jusqu'au niveau EAL 4 augmente.
SOG-IS MRA (Senior Officials Group Information Systems Security), accord europeen plus strict, qui prolonge la reconnaissance jusqu'a EAL 7 pour les domaines maitrisés (cartes a puce, composants cryptographiques).

Avec l'entree en application progressive du reglement (UE) 2024/482 etablissant le schema europeen EUCC (European Cybersecurity Certification scheme on Common Criteria), l'ANSSI bascule sa delivrance vers EUCC pour les produits relevant du champ. EUCC reprend les niveaux d'assurance CC (substantial pour EAL 1 a 4, high pour EAL 5 a 7) en les redenominant et ajoute un cadre de surveillance post-marche.

Pour un fabricant, la decision entre CSPN et CC repose sur trois criteres.

Critere	CSPN privilegiee	CC privilegiee
Sensibilite du bien protege	Donnees professionnelles, perimetres classiques	Donnees classifiees, infrastructures critiques
Marche vise	France et acheteurs francais reglementes	Multi-pays, export, marches reglementes etrangers
Budget et calendrier	Contraints, premiere certification	Disponibles, deuxieme cycle d'investissement

Pour le detail du cadre normatif CC, voir notre guide Critères Communs ISO/IEC 15408.

La Qualification, complement decisif du certificat

Un certificat (CSPN ou CC) atteste qu'un produit a passe une evaluation technique. Il ne dit rien de l'adequation du produit a un usage donne par une administration ou un OIV. La Qualification comble cet ecart, en accolant au certificat un niveau qui caracterise l'usage couvert.

Les trois niveaux et leurs domaines d'emploi

Niveau de Qualification	Besoin couvert	Domaine d'emploi typique
Elementaire	Confidentialite et integrite courantes	Administrations standards, entreprises non OIV
Standard	Protection d'informations sensibles non classifiees	OIV au sens de la LPM, OSE au sens de NIS, certains usages sante
Renforce	Protection de donnees Diffusion Restreinte et plus	OIV pour les usages les plus sensibles, fonctions critiques de l'Etat

Chaque niveau est associe a un referentiel d'exigences (RFS, Reglement Federal de Securite, ou referentiels sectoriels). Le fabricant qui souhaite la qualification doit demontrer que son produit satisfait non seulement le contenu fonctionnel du certificat, mais aussi les exigences operationnelles, organisationnelles et de cycle de vie du niveau cible.

Articulation avec la LPM et les OIV

La Loi de Programmation Militaire de 2013 (modifiee depuis) impose aux OIV des obligations de cybersecurite, encadrees par les arretes sectoriels signes par les ministres des secteurs concernes. Les arretes listent, pour chaque categorie de systeme d'information d'importance vitale (SIIV), les exigences techniques applicables, et imposent l'emploi de produits qualifies au moins au niveau Standard pour certaines fonctions critiques (cryptographie, authentification, detection).

La qualification au niveau approprie devient ainsi un prerequis d'achat pour ces operateurs. Un produit certifie CSPN mais non qualifie peut etre vendu hors de ce perimetre, mais sera ecarte d'un appel d'offres OIV sur cette base.

Renouvellement et maintien

Une qualification ne se prolonge pas automatiquement avec le renouvellement du certificat. Elle suppose un suivi par l'ANSSI, comprenant la verification de la chaine d'approvisionnement, des engagements du fabricant en matiere de maintien en condition de securite, et un examen periodique. Une qualification expiree retire au produit son acces au marche regule, meme si le certificat sous-jacent demeure valide. La gestion du renouvellement est donc un point d'attention industriel important.

Le reseau des CESTI

Le CESTI est le maillon operationnel du schema. Pour etre reconnu, il satisfait trois conditions cumulatives.

Accreditation COFRAC sur la norme ISO/IEC 17025 pour la portee evaluation de securite.
Reconnaissance ANSSI apres examen du dossier de competences, des outils, des procedures et de la separation des roles.
Inscription au catalogue ANSSI mis a jour regulierement.

La liste officielle est publiee par l'agence. Les CESTI sont specialises par domaines, certains laboratoires couvrent l'ensemble du spectre CSPN, d'autres se concentrent sur les composants materiels et la cryptographie. Le fabricant choisit son CESTI selon le domaine technique et son experience d'evaluation.

Les qualifications de services, PASSI, PVID et adjacents

Au-dela des produits, l'ANSSI qualifie egalement des prestataires de services de cybersecurite. Le mecanisme est analogue, un referentiel definit le perimetre, un organisme tiers verifie la conformite, et l'ANSSI delivre ou retire la qualification.

Qualification	Perimetre	Usage typique
PASSI	Audits de securite (architecture, configuration, code, intrusion, organisation)	Administrations, OIV obligant un audit externe
PDIS	Prestataires de detection d'incidents de securite (SOC, MDR)	OIV soumis a obligation de detection
PRIS	Prestataires de reponse aux incidents de securite	OIV en post-incident
PVID	Verification d'identite a distance	Telechargement d'identite numerique, KYC reglemente
PACS	Conception et integration de systemes securises	Marches Etat sensibles

PVID merite une attention particuliere. Le referentiel s'adosse au cadre eIDAS et au RGPD, et qualifie les processus de verification d'identite a distance utilisant le passeport ou la carte d'identite a puce, la biometrie et la liaison vivante. C'est la base reglementaire de l'identite numerique francaise (FranceConnect+).

SecNumCloud, un schema parallele oriente services cloud

SecNumCloud est un schema de qualification distinct des produits et des services audit, dedie aux services d'informatique en nuage. Il qualifie des offres SaaS, PaaS et IaaS sur trois dimensions principales.

Securite technique, equivalente aux exigences attendues au niveau Standard ou Renforce.
Securite organisationnelle, incluant la gestion des incidents, la continuite d'activite, la chaine d'approvisionnement.
Souverainete, exigence d'immunite aux lois extra-europeennes a portee extraterritoriale, hebergement et controle effectifs depuis l'Espace economique europeen.

Le referentiel courant est SecNumCloud V3.2, applicable depuis 2022. SecNumCloud est aujourd'hui un prerequis pour l'hebergement de donnees sensibles de l'Etat et de certaines donnees de sante critiques. Il n'est pas couvert par le Visa de securite produit, mais figure dans le panorama global des labels ANSSI sous une categorie distincte.

Sur le plan europeen, SecNumCloud sert d'inspiration partielle au schema EUCS (European Cybersecurity Certification scheme for Cloud Services) en cours d'elaboration sous le reglement Cybersecurity Act (UE) 2019/881.

Articulation avec le cadre europeen

Le schema francais opere dans un paysage europeen en mouvement. Trois textes structurent l'environnement.

Le reglement Cybersecurity Act (UE) 2019/881 etablit le cadre des schemas europeens de certification de cybersecurite, geres par l'ENISA. Il porte EUCC pour les produits, EUCS pour les services cloud, et EU5G pour la 5G.
Le Cyber Resilience Act (UE) 2024/2847, applicable le 11 decembre 2027, impose a tout produit comportant des elements numeriques mis sur le marche europeen un socle d'exigences de cybersecurite, avec presomption de conformite via des normes harmonisees et facultativement via des certifications EUCC.
La RED article 3.3, applicable depuis le 1 aout 2025, impose aux equipements radio connectes a internet des exigences de cybersecurite, satisfaites par defaut via les normes harmonisees EN 18031.

Pour un produit fabricant francais vendu en France et en Europe, plusieurs scenarios coexistent.

Produit	Marquage CE / RED	Visa ANSSI
Caméra IP grand public, marche francais et europeen	EN 18031 obligatoire	Aucun (marche non regule par OIV)
Module HSM destine a une administration et a une OIV	Marquage CE applicable selon directives	CSPN voire CC, Qualification Standard ou Renforce
Logiciel de chiffrement vendu aux administrations	Hors marquage CE	CSPN et Qualification Elementaire ou Standard
Sonde de detection pour OIV	Eventuellement marquage CE	CSPN et Qualification Standard
Solution complete pour services classifies de l'Etat	Marquage selon perimetre	CC, Qualification Renforce

Le Visa de securite ne se substitue pas au marquage CE, et reciproquement. Pour les marches francais regules, il vient en complement et constitue souvent le critere differenciant. Voir aussi le guide EN 303 645 pour la dimension cybersecurite consumer IoT.

Pieges courants dans la conduite d'un projet CSPN

L'experience accumulee sur les projets CSPN fait apparaitre cinq erreurs recurrentes.

1. Considerer CSPN comme equivalente a CC dans les marches d'export. A l'etranger, la CSPN est peu reconnue. Un produit qualifie pour vendre en Allemagne sur des marches publics aura besoin d'une certification BSI ou d'une certification CC sous accord SOG-IS. Confondre Visa et reconnaissance internationale conduit a un investissement vain.

2. Negliger le maintien de la qualification. Le certificat CSPN se prolonge plus simplement que la qualification associee. Un fabricant qui laisse expirer sa qualification sans renouveler perd l'acces au marche regule, meme si le produit n'a pas evolue.

3. Mal calibrer le perimetre de la cible de securite. Une cible trop large alourdit l'evaluation au-dela du cadre CSPN. Une cible trop etroite ne couvre pas les fonctions reellement utilisees en exploitation et fragilise la confiance. Le bon calibrage se fait avec le CESTI au demarrage.

4. Sous-estimer le temps de redaction de la cible. La cible de securite est l'artefact contractuel qui structure l'evaluation. Pour un fabricant qui rend pour la premiere fois ce document, le delai de redaction et de revision atteint plusieurs semaines. La planification doit l'integrer.

5. Confondre le marquage CE et le Visa ANSSI. Les deux processus sont independants. Le marquage CE atteste la conformite aux directives europeennes applicables (LVD, EMC, RED, RoHS, CRA a venir). Le Visa atteste l'evaluation par l'ANSSI. Un produit peut etre CE sans Visa, ou Visa sans certaines directives CE si son perimetre ne le requiert pas.

Demarche pratique pour un fabricant

Une demarche structuree comporte typiquement quatre temps.

1. Definir la cible commerciale et reglementaire. Identifier les marches vises (administrations, OIV, OSE, sante, export), les referentiels reglementaires applicables (LPM, NIS, RGS, HDS), et le niveau de qualification utile. Cette etape determine si CSPN suffit ou si CC est necessaire.

2. Choisir le CESTI et cadrer la cible de securite. Selectionner un laboratoire dont le domaine de specialite couvre le produit. Co-rediger la cible de securite avec son support methodologique, en s'appuyant sur les modeles publies par l'ANSSI.

3. Conduire l'evaluation et obtenir le certificat. Fournir au CESTI le code source, la documentation et le materiel d'evaluation. Suivre le calendrier convenu, traiter les questions du CESTI, corriger les ecarts identifies.

4. Engager la procedure de qualification. Une fois le certificat delivre, monter le dossier de qualification couvrant les engagements de maintien en condition de securite, la chaine d'approvisionnement, et l'organisation interne. Anticiper les renouvellements et integrer leur calendrier au cycle produit.

Voir aussi

Perspectives et tendances

Trois evolutions sont a surveiller dans les prochaines annees.

Montee en puissance d'EUCC. L'ANSSI bascule progressivement les nouvelles delivrances CC vers le schema europeen EUCC, qui apporte une harmonisation des niveaux d'assurance et une obligation de surveillance post-marche. Les certificats existants restent valides selon leur duree d'origine.
Articulation CSPN et CRA. Le Cyber Resilience Act introduit des obligations de cybersecurite produit a l'echelle europeenne. La CSPN ne se substitue pas a la conformite CRA, mais constituera une preuve pertinente pour certains chapitres du dossier technique CRA, en particulier sur la gestion des vulnerabilites et le cycle de vie.
Convergence des qualifications de services. Le panorama PASSI, PDIS, PRIS, PVID, PACS tend a s'unifier en termes de portail et de procedure. L'ANSSI publie regulierement des points de situation sur l'evolution de ses referentiels.

Pour aujourd'hui, le Visa de securite reste l'instrument de confiance principal du marche cybersecurite francais regule. Sa maitrise, articulee avec la RED 3.3 et le CRA, structure la strategie de mise sur le marche d'un produit cybersecurite en France et au-dela.

Pour aller plus loin

Cyber Resilience Act : socle europeen de cybersecurite produit
ETSI EN 303 645 : cybersecurite IoT consommateur
Critères Communs ISO/IEC 15408 : cadre normatif international
Directive RED : equipements radio et cybersecurite article 3.3
Glossaire : definitions des termes ANSSI, ENISA, CESTI, EUCC

Sources & références

ANSSI, agence nationale de la securite des systemes d'information , ANSSI cyber.gouv.fr/
Visa de securite ANSSI, presentation generale , ANSSI cyber.gouv.fr/visas-de-securite
Referentiel CSPN, Certification de Securite de Premier Niveau , ANSSI cyber.gouv.fr/le-referentiel-cspn
Loi de Programmation Militaire et obligations OIV , ANSSI cyber.gouv.fr/operateurs-dimportance-vitale-oiv
Referentiel SecNumCloud, qualification des prestataires de services cloud , ANSSI cyber.gouv.fr/secnumcloud-pour-les-fournisseurs-de-services-cloud
Qualification PASSI, prestataires d'audit , ANSSI cyber.gouv.fr/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies
EUCC, schema europeen de certification de cybersecurite , EUR-Lex eur-lex.europa.eu/eli/reg_impl/2024/482/oj