Qu'est-ce que le PSCe ?
Un PSCe (Prestataire de Services de Certification Électronique) est une entité ou un prestataire technique fournissant des services d'émission, de gestion et de révocation de certificats électroniques.
Le statut de prestataire qualifié PSCe est délivré sur la base du Référentiel Général de Sécurité (RGS). Ce cadre réglementaire et technique fixe les spécifications juridiques et organisationnelles indispensables pour garantir la validité et l'inviolabilité des identités numériques et des infrastructures sous-jacentes. La qualification est octroyée par certificat d'usage, clairement identifiée par l'Object Identifier (OID) de la Politique de Certification (PC) correspondante.
Quels sont les enjeux de la qualification PSCe ?
Pour les utilisateurs et les donneurs d'ordres qui recourent à des services de confiance (signature électronique, authentification forte, chiffrement), la qualification PSCe représente un gage de confiance fondamental et répond à des impératifs critiques :
- Réduction du risque : L'assurance que le prestataire respecte les exigences de qualité et de sécurité les plus élevées, minimisant ainsi les risques de fraude et d'usurpation d'identité.
- Conformité réglementaire : La garantie de satisfaire aux exigences réglementaires strictes, notamment pour les échanges électroniques avec les autorités administratives et les organismes publics (un impératif légal pour l'accès à certains marchés).
- Crédibilité des transactions : La sécurisation de l'intégralité de la chaîne de valeur numérique, renforçant la fiabilité, la traçabilité et la validité juridique des transactions dématérialisées.
- Sélectivité : La simplification du choix de partenaires technologiques fiables grâce à une reconnaissance officielle et publique délivrée par l'ANSSI.
À qui s’adresse la qualification PSCe ?
La procédure de qualification PSCe concerne un écosystème d'acteurs de la confiance numérique et s'adresse de manière large aux entités suivantes :
- Les Prestataires de Services de Confiance (PSCo) : Les organismes émetteurs de certificats électroniques (Autorités de Certification) qui portent la responsabilité juridique et financière de leurs Politiques de Certification (PC). L'obtention de la qualification leur permet d'inscrire leurs services au registre officiel de l'ANSSI.
- Les prestataires techniques et tiers délégués : Les opérateurs ou Autorités d'Enregistrement (AE) qui exécutent des fonctions techniques ou de vérification d'identité pour le compte d'une Autorité de Certification. Ces acteurs peuvent faire l'objet d'une évaluation ciblée afin d'obtenir une attestation de conformité restreinte à leur périmètre de responsabilité.
- Les éditeurs de solutions logicielles et intégrateurs : Les entités développant des applications de dématérialisation, des plateformes de signature électronique ou des outils de chiffrement devant obligatoirement s'interfacer avec des certificats reconnus conformes au Référentiel Général de Sécurité (RGS).
- Les donneurs d'ordres et grands comptes : Les administrations publiques, les collectivités territoriales ainsi que les entreprises privées des secteurs réglementés (banque, assurance, santé) qui déploient leurs propres infrastructures de gestion de clés (IGC) internes pour sécuriser les accès de leurs agents et certifier leurs applicatifs métiers.
À qui s’adresse la qualification PSCe ?
L'évaluation initiale s'exécute selon une méthodologie rigoureuse, conforme aux normes internationales ISO/IEC 17065 et ETSI EN 319 403:
Le processus d'audit initial en deux étapes
- Étape 1 (Audit documentaire) : Analyse approfondie de la documentation du prestataire pour valider la prise en compte des critères du RGS et vérifier l'état de préparation des équipes. Cette phase donne lieu à un rapport d'étape. Le délai maximal avant l'étape 2 est de 6 mois.
- Étape 2 (Audit sur site) : Vérification sur le site de production de la mise en œuvre effective et opérationnelle des procédures, modes opératoires et outils du PSCe. Les fiches d'écarts éventuelles sont présentées et discutées contradictoirement lors de la réunion de clôture.
La décision de qualification et de maintien du cycle
- Validité et renouvellement : L’attestation de qualification et le certificat de conformité sont délivrés pour une période de 2 ans (24 mois). À cette échéance, un audit complet (Full audit) est requis pour garantir la validité du titre.
- Surveillance : Des audits de surveillance intermédiaires, bien que non imposés systématiquement par le schéma RGS, peuvent être planifiés à la demande du prestataire (notamment pour répondre aux exigences de certains éditeurs de navigateurs).
La qualification atteste du respect par le prestataire des exigences de qualité et de sécurité dans la production de ses services de certification électronique.
Rappel : LSTI intervient exclusivement en qualité d'organisme certificateur indépendant. LSTI ne délivre aucun certificat de signature électronique. Pour obtenir des certificats, il convient de contacter directement un PSCe qualifié figurant dans le registre officiel.
Vous pouvez rechercher un Trust Service Provider parmi nos certifiés.
Vous trouverez également une liste de Prestataires de Services de Certification électronique sur ce site internet.
Vos questions sur la qualification PSCe
-
Quelle est la fonction première du Référentiel Général de Sécurité (RGS v2.0) de l'ANSSI ?
Le Référentiel Général de Sécurité (RGS) v2.0, approuvée par arrêté du Premier ministre, fixe les règles de sécurité que doivent respecter les fonctions des systèmes d’information contribuant à la sécurisation des échanges par voie électronique. Prévu par l'ordonnance n° 2005-1516 du 8 décembre 2005, ce cadre réglementaire de l'ANSSI définit les obligations techniques et organisationnelles imposées aux autorités administratives pour garantir la confidentialité, l'authentification et l'intégrité des données dans leurs relations avec les usagers ou d'autres administrations. -
Quels sont les trois niveaux de sécurité définis par le RGS pour l'évaluation des PSCe ?
Le Référentiel Général de Sécurité (RGS) de l'ANSSI structure la robustesse des mécanismes de confiance numérique selon trois niveaux d’exigences croissantes, symbolisés par des étoiles :
- Le niveau Moyen (*) : Destiné aux services faisant face à des risques modérés. Il impose des règles de base pour la gestion des certificats et l'identification.
- Le niveau Fort (**) : Conçu pour des risques significatifs, exigeant des contrôles renforcés et un niveau élevé de fiabilité cryptographique.
- Le niveau Renforcé (***) : Réservé aux applications les plus critiques et sensibles, nécessitant la mise en œuvre de dispositifs d'ancrage de sécurité physique hautement résiliants et des algorithmes à l'état de l'art.
- Le niveau Moyen (*) : Destiné aux services faisant face à des risques modérés. Il impose des règles de base pour la gestion des certificats et l'identification.
-
Quelle est la différence au sens du RGS entre les certificats de personnes et les certificats de services applicatifs ?
L'ANSSI sépare les exigences applicables aux Prestataires de Services de Certification Électronique (PSCe) selon la nature du porteur du certificat :
Les règles relatives aux certificats électroniques de personnes (physiques ou agents de l'administration) encadrent la vérification d'identité des individus et l'émission de signatures électroniques personnelles.
Les règles relatives aux certificats de services applicatifs concernent les composants techniques d'un système d'information (serveurs web, applicatifs métiers), permettant l’authentification de machines ou la création de cachets électroniques automatisés. -
Quels sont les domaines techniques audités pour la qualification d'un PSCe au titre du RGS ?
L'évaluation de conformité RGS mené sur un PSCe englobe la totalité du cycle de vie des clés et des certificats. L'évaluation couvre de manière stricte : la gouvernance de la Politique de Certification (PC), l’impartialité et l'organisation du prestataire, la sécurité physique des locaux (salles de serveurs cryptographiques), la protection logique de l’information (PSSI), la fiabilité du processus d’enregistrement des abonnés, la résilience des infrastructures de révocation en temps réel (CRLs/OCSP) et la qualification des algorithmes cryptographiques utilisés. -
Quelle est la valeur juridique d'un certificat émis par un PSCe qualifié au titre du RGS ?
L'obtention de la qualification PSCe sur la base du RGS apporte une reconnaissance légale et une présomption de fiabilité aux procédés électroniques d'un prestataire. Conformément aux dispositions de l'ordonnance de 2005, l'utilisation d'un certificat qualifié RGS (particulièrement aux niveaux deux et trois étoiles) garantit la recevabilité légale des signatures, des authentifications ou des chiffrements en cas de litige devant les juridictions françaises, tout en constituant un prérequis obligatoire pour accéder aux marchés publics dématérialisés.
Pourquoi choisir LSTI ?

Expertise reconnue
Avec plus de vingt ans d’expérience, LSTI accompagne plus de 300 organisations en France et en Europe en tant qu’organisme de certification et centre d’évaluation de référence, intervenant dans les domaines de la cybersécurité, de la confiance numérique et de la sécurité de l’information.

Auditeurs spécialisés
Nos équipes d’auditeurs sont composées de professionnels confirmés, maîtrisant les référentiels de cybersécurité de l’ANSSI, les pratiques de management de la sécurité de l’information et les cadres de confiance numérique européens. Leur approche garantit des évaluations exigeantes, équilibrées et adaptées aux contextes opérationnels de chaque organisation.

Tiers indépendant et accompagnement dédié
Habilité par l’ANSSI, LSTI garantit impartialité, transparence et cohérence sur l’ensemble du cycle : préparation, audits, surveillances et renouvellements. Un interlocuteur dédié assure la continuité et la lisibilité du parcours de certification.




