Référentiel d'exigences pour la qualification des prestataires d'informatique en nuage (cloud computing) et d'hébergement (PINH) (Arrêté Ministériel n° 2026‑59 du 5 février 2026)

L'Arrêté Ministériel n° 2026‑59 du 5 février 2026 (JDM n° 8786 du 13 février 2026) régit la qualification des prestataires d'informatique en nuage (cloud computing) et d'hébergement par le Directeur de l'Agence Monégasque de Sécurité Numérique (AMSN). Le nouveau référentiel d'exigences de la Principauté concernant la qualification des PINH est fixé en annexe, en application de l'article 6, f) de l'Ordonnance Souveraine n° 8.504 du 18 février 2021 et de l'article 24 de la Loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique (sécurité des systèmes d'information).

Il abroge et remplace l'Arrêté Ministériel n° 2018‑1108 du 26 novembre 2018 qui régissait jusqu'ici la qualification des PINH.

* * *

Champ d'application et contenu du référentiel d'exigences de la Principauté concernant la qualification des PINH

Le référentiel d'exigences concernant la qualification des PINH s'applique à tout type d'hébergement externe partagé.

Les quatre types d'activité visées par le référentiel sont les suivantes :

• infrastructure en tant que service (IaaS) : mise à disposition de ressources informatiques abstraites (puissance CPU (processeur), mémoire, stockage etc.). Le modèle IaaS permet au commanditaire de disposer de ressources externalisées, potentiellement virtualisées. Ce dernier garde le contrôle sur le système d’exploitation (OS), le stockage, les applications déployées ainsi que sur certains composants réseau (pare-feu, par exemple).
• conteneur en tant que service (CaaS) : mise à disposition d’outils permettant le déploiement et l’orchestration de conteneurs. Le commanditaire n’a pas la maîtrise de l’infrastructure technique sous-jacente (réseau, stockage, serveurs, système d’exploitation), gérée et contrôlée par le prestataire. Le commanditaire a
  cependant la maîtrise des outils systèmes, bibliothèques, intergiciels, et du code de l’application.
• plateforme en tant que service (PaaS) : mise à disposition par le prestataire de plateformes d’hébergement d’applications. Le commanditaire n’a pas la maîtrise de l’infrastructure technique sous-jacente, gérée et contrôlée par le prestataire (réseau, serveurs, OS, stockage, etc.). Le commanditaire a cependant la maîtrise des applications déployées sur cette plateforme. Il peut aussi avoir la maîtrise de certains services composant cette plateforme ou de certains éléments de configuration suivant la répartition des rôles définie dans le service. Exemples : framework de type Apache, Tomcat, PHP et MySQL permettant de développer des applications web.
• logiciel en tant que service (SaaS) : mise à disposition par le prestataire d’applications hébergées sur une plateforme d’informatique en nuage. Le commanditaire n’a pas la maîtrise de la plateforme en nuage sous-jacente. Le prestataire gère de façon transparente pour le commanditaire l’ensemble des aspects techniques requérant des compétences informatiques. Le commanditaire garde la possibilité d’effectuer quelques paramétrages métier dans l’application. Exemples : CRM (logiciel de gestion de la relation client), outils collaboratifs, messagerie, Business Intelligence, ERP (logiciel de gestion d'entreprise), etc.

Le référentiel de la Principauté s’appuie notamment sur la norme internationale [ISO27001] en matière de systèmes de management de la sécurité de l’information (SMSI), avec des exigences additionnelles qui le différencient du standard existant et n’induisent pas l’équivalence entre les deux ensembles de règles.

Il est aligné avec le référentiel SecNumCloud version 3.2 de l’ANSSI (8 mars 2022) qui intègre des critères de protection vis-à-vis du droit extra-européen (ex: Cloud Act, FISA 702) :

• Siège statutaire, administration centrale et principal établissement du prestataire à Monaco ou au sein d'un État membre de l'Union Européenne (UE) ;
• Limitation de la détention du capital social et des droits de vote dans la société du prestataire ;
• Recours du prestataire à une société hors Monaco/UE : interdiction pour cette société (y compris sous-traitant ou entité contrôlante) d’avoir un accès technique aux données du service (données clients, données techniques sensibles) ; garantir au prestataire une autonomie d’exploitation
  continue dans la fourniture des services d’informatique en nuage qu’il opère ou être qualifié PINH.
• Respect des droits fondamentaux, droits de l’homme, démocratie et État de droit. le fait que le prestataire entretienne des liens avec un gouvernement ou un organisme public étrangers peut être pris en considération pour l’appréciation de la conformité.

Outre les exigences techniques, les prestataires doivent identifier les exigences légales, réglementaires et contractuelles en vigueur applicables au service. A Monaco, le prestataire doit considérer au minimum les textes suivants :

• la protection des données personnelles [Loi n°1.565 du 3 décembre 2024, relative à la protection des données personnelles et textes d'application] ;
• le secret professionnel [Article 308 du Code pénal] le cas échéant sans préjudice de l'application du signalement à une autorité judiciaire [article 61 du Code de procédure pénale] ;
• l’abus de confiance [Article 337 du Code pénal] ;
• le secret des correspondances privées [Article 344 du Code pénal] ;
• l’atteinte à la vie privée [Article 308-2 du Code pénal] ;
• l’accès ou le maintien frauduleux à un système d’information [Article 389-1 du Code pénal].

La conformité d’un service d’informatique en nuage à ce référentiel n’atteste pas de sa conformité à la Politique de sécurité des systèmes d’information de l’État (PSSIE).

Les obligations des PINH qualifiés

Le Directeur de l'AMSN vérifie le respect des exigences du référentiel par les PINH. En cas de non respect, il peut suspendre pour une durée déterminée voire retirer la qualification de PINH.

Les PINH sont tenus de notifier sans délai et par écrit à l'AMSN les changement, information, modification, arrêt suivants relatifs à la prestation de service qualifié :

• tout changement important le concernant le propriétaire, le capital, la structure juridique, l’organisation, les locaux, la cessation d’activité, etc. ;
• toute information pouvant laisser supposer que le service qualifié ne répond plus aux exigences qui lui sont applicables au titre de la qualification octroyée ;
• toute modification des dispositions prises aux fins d’être en conformité avec le référentiel d’exigences énoncé à l’annexe au présent arrêté ;
• toute modification d’informations contenues dans le catalogue des services qualifiés publiés sur le site Internet de l’AMSN ;
• tout arrêt de la commercialisation ou du support, tant en termes de maintenance corrective que de support utilisateur, du service qualifié.

Ces changement, information, modification, arrêt peuvent entraîner la suspension ou la perte de qualification sur une des prestations ou sur la totalité des prestations PINH.

Les PINH ont les obligations suivantes relatives à la sécurité du service qualifié :

• assurer une veille de la sécurité du service qualifié afin d’identifier au plus tôt toute vulnérabilité relative au service qualifié ;
• informer sans délai et par écrit l’AMSN et l’ensemble des utilisateurs du service qualifié, de tout arrêt de la veille de la sécurité du service qualifié et tout arrêt de la commercialisation du service qualifié ou de son support, tant en termes de maintenance corrective que de support utilisateur ;
• informer sans délai et par écrit l’AMSN de :
  • toute découverte de vulnérabilité affectant ou susceptible d’affecter le service qualifié ;
  • tout incident affectant ou susceptible d’affecter le service qualifié et particulièrement les systèmes d’information impliqués dans l’exploitation, l’administration, la maintenance, ou le support technique du service qualifié ;
  • toute perte des compétences nécessaires à l’exercice des activités couvertes par le service qualifié ;
  • la description des mesures techniques ou organisationnelles palliatives temporaires, lorsqu’elles existent, permettant d’empêcher l’exploitation de la vulnérabilité ou d’en limiter les impacts dans l’attente de sa remédiation.

* * *

Textes liés :

• Classification des informations - sécurité nationale : Arrêté Ministériel n° 2016-723 du 12 décembre 2016 portant application de l'article 18 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale et fixant les niveaux de classification des informations, modifié ; Arrêté Ministériel n° 2022-125 du 9 mars 2022 portant application de l'article 8 de l'arrêté ministériel n° 2016-723 du 12 décembre 2016 portant application de l'article 18 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale et fixant les niveaux de classification des informations, modifié.
• Processus de qualification d’un service : Arrêté Ministériel n° 2025-611 du 12 novembre 2025 portant application de l'article 6 de l'Ordonnance Souveraine n° 8.504 du 18 février 2021 portant application de l'article 24 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique, modifiée
• PASSI - Référentiel d’exigences applicables à un prestataire d’audit de la sécurité des systèmes d’information : Arrêté Ministériel n° 2025-612 du 12 novembre 2025 portant application de l'article 6 c) de l'Ordonnance Souveraine n° 8.504 du 18 février 2021 portant application de l'article 24 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique, modifiée.
• PACS - Référentiel d’exigences applicables à un prestataire d’audit de la sécurité des systèmes d’information : Arrêté Ministériel n° 2025-613 du 12 novembre 2025 portant application de l'article 6, l) de l'Ordonnance Souveraine n° 8.504 du 18 février 2021 portant application de l'article 24 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique, modifiée.
• PDIS - Référentiel d’exigences applicables à un prestataire de détection des incidents de sécurité : Arrêté Ministériel n° 2019-525 du 18 juin 2019.
• PSSI - Sécurité des systèmes d'information de l'État : Arrêté Ministériel n° 2022-331 du 13 juin 2022 portant application de l'article 23 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique, modifiée, fixant les mesures de sécurité des systèmes d'information de l'État.
  

* * *