Rapport de l'ANSSI concernant les serveurs de France identité
Madame Prevot,
Au titre du droit d’accès aux documents administratifs, je sollicite auprès de vous la communication du document suivant :
- Le rapport d'évaluation spécifique aux serveurs (« backend ») du Service de garantie de l'identité numérique (France identité), réalisé par la société AMOSSYS le 19 septembre 2023 et de référence RTC-Backend France Identité-DR-1.00.
Ce dernier a été transmis à l'Agence nationale de la sécurité des systèmes d’information (ANSSI), qui est sous la direction du Secrétariat général de la Défense et de la Sécurité nationale (SGDSN), lui même sous la direction du Premier ministre.
En effet, l'ANSSI mentionne ce rapport sur la deuxième page de sa décision de qualification de produit N° 792/ANSSI/SDE/NP du 21 mai 2025, disponible via ce lien : https://messervices.cyber.gouv.fr/visas/... ; pour autant, ce dernier ne semble pas avoir fait l'objet d'une diffusion publique.
Je vous prie agréer, Madame, l'expression de mes sentiments distingués.
Nathan Birot
Bonjour,
Par la présente, nous accusons bonne réception de votre courriel adressé à la personne responsable de l'accès aux documents administratifs pour le compte des services du Premier ministre, en date du 15 février 2026, réceptionné par nos services le même jour, et tendant à obtenir la communication du "rapport d'évaluation spécifique aux serveurs (« backend ») du Service de garantie de l'identité numérique (France identité), réalisé par la société AMOSSYS le 19 septembre 2023 et de référence RTC-Backend France Identité-DR-1.00".
Le service en charge de l’instruction des demandes d’accès aux documents administratifs prend en charge votre demande (Hôtel de Matignon, 57 rue de Varenne, Paris 75007 ; [gouvernement request email]).
Nous vous informons qu’en vertu des dispositions des articles R. 311-12 et R. 311-13 du code des relations entre le public et l’administration (CRPA), le silence gardé par l'administration, à l'expiration du délai d'un mois suivant la réception d'une demande de communication, vaut décision implicite de refus (articles R*. 311-12 et R. 311-13, CRPA). En l’absence de réponse favorable de l’administration, une telle décision naîtra à compter du 15 mars 2026.
Vous disposerez d'un délai de deux mois à compter de la notification de la décision explicite de rejet de l’administration ou de la naissance d’une décision implicite de refus pour saisir la Commission d'accès aux documents administratifs (articles R. 311-15 et R. 343-1, CRPA). Cette saisine de la CADA constitue une démarche préalable obligatoire à l’exercice d’un recours contentieux (article L. 342-1, CRPA).
Si l’administration maintient sa décision de refus ou si elle reste silencieuse dans un délai de deux mois à compter de la date de l’enregistrement de votre demande par la CADA, la décision de rejet sera confirmée (articles R. 343-4 et R. 343-5, CRPA). Vous disposerez alors d’un délai de deux mois à compter de cette nouvelle décision de rejet, implicite ou explicite, pour introduire un recours contentieux devant le tribunal administratif de Paris.
Bien cordialement,
Secrétariat en charge du suivi des demandes d’accès aux documents administratifs
[gouvernement request email]
Secrétariat général du Gouvernement
57 rue de Varenne, 75007 PARIS
-----Message d'origine-----
De : Nathan Birot <[FOI #52685 email]>
Envoyé : dimanche 15 février 2026 23:17
À : SGG prada.spm <[gouvernement request email]>
Objet : Demande au titre du droit d’accès aux documents administratifs - Rapport de l'ANSSI concernant les serveurs de France identité
Madame Prevot,
Au titre du droit d’accès aux documents administratifs, je sollicite auprès de vous la communication du document suivant :
- Le rapport d'évaluation spécifique aux serveurs (« backend ») du Service de garantie de l'identité numérique (France identité), réalisé par la société AMOSSYS le 19 septembre 2023 et de référence RTC-Backend France Identité-DR-1.00.
Ce dernier a été transmis à l'Agence nationale de la sécurité des systèmes d’information (ANSSI), qui est sous la direction du Secrétariat général de la Défense et de la Sécurité nationale (SGDSN), lui même sous la direction du Premier ministre.
En effet, l'ANSSI mentionne ce rapport sur la deuxième page de sa décision de qualification de produit N° 792/ANSSI/SDE/NP du 21 mai 2025, disponible via ce lien : https://messervices.cyber.gouv.fr/visas/... ; pour autant, ce dernier ne semble pas avoir fait l'objet d'une diffusion publique.
Je vous prie agréer, Madame, l'expression de mes sentiments distingués.
Nathan Birot
-------------------------------------------------------------------
La demande ci-dessus vous a été envoyée par l’intermédiaire de la plateforme associative et citoyenne Ma Dada (https://madada.fr), dont l’objet est de faciliter l’accès aux informations publiques.
Merci d’utiliser cette adresse email pour toutes les réponses à cette demande :
[FOI #52685 email]
Attention : les réponses que vous apporterez à cette demande, de même que les éventuels documents administratifs que vous pourriez communiquer, seront publiés en libre accès sur Ma Dada. Nous vous demandons donc de procéder, le cas échéant, à l’occultation de données à caractère personnel (noms, contacts…), comme le prévoit notamment l’article 311-7 du CRPA.
Nous vous rappelons que vous devez répondre à cette demande dans un délai d’un mois, faute de quoi votre silence vaudra refus implicite (articles R311-12 et R311-13 du CRPA).
Pour toute difficulté ou question concernant :
- Le droit d’accès, vous pouvez consulter le site Internet de la Commission d’accès aux documents administratifs (CADA), www.cada.fr, ou la contacter directement.
- Ma Dada, vous pouvez consulter notre documentation (https://doc.madada.fr), ou nous contacter à [Ma Dada contact email].
En vous remerciant pour la bienveillance que vous pourrez apporter à cette requête,
L’équipe de Ma Dada.
-------------------------------------------------------------------
Nathan Birot a posté un commentaire ()
Selon ce tweet d'un administrateur système DevOps de la Police nationale (https://nitter.net/tydoo34/status/201821...), le document demandé serait en Diffusion restreinte. Il s'agirait donc ici de demander aux services du Premier ministre de déclassifier ce document.
Sinon, comment avoir confiance en un système traitant les données de millions de français et dont une poignée de personnes connaissent réellement les rouages ? Comment justifier que ce rapport, au vu de son caractère sensible, ait été réalisé par une entreprise privée de consulting (AMOSSYS CONSULTING SERVICES) ?
Nathan Birot a posté un commentaire ()
ERRATUM :
- La société qui a réalisé le rapport n'est pas AMOSSYS CONSULTING SERVICES mais AMOSSYS - ALMOND. La confusion vient du fait que AMOSSYS avait été acquise par Almond le 1er février 2023 (avant l'écriture rapport donc) et qu'Amossys a fusionné avec la société Almond le 31 décembre 2025, soit avant mon précédent commentaire. Almond est une société reconnue dans les audits de sécurité et réalise également du consulting en cybersécurité.
Source : https://www.amossys.fr/insights/communiq...
- Le rapport demandé est sous le régime de la Diffusion restreinte, pas du secret défense. Il n'est pas classifié et donc nul besoin de le « déclassifier ». Le régime de la Diffusion restreinte est introduit par le dispositif interministériel de protection du potentiel scientifique et technique de la nation (PPST) et plus précisément par l'instruction interministérielle n° 901/SGDSN/ANSSI (II 901) du 28 janvier 2015.
La Diffusion restreinte sert globalement à protéger des informations civiles sensibles comme les systèmes d'information, son périmètre est volontairement large. Théoriquement, le rapport n'est ni soumis à l'exception de la sécurité défense ni à celle de la sécurité nationale mais bien à celle de la sécurité des systèmes d'informations. Ainsi, le document serait communicable après occultation des mentions sensibles.
Sources :
Instruction interministérielle n° 901/SGDSN/ANSSI : https://cyber.gouv.fr/reglementation/cyb...
Guide de l'ANSSI sur les recommandations pour les systèmes d'informations sous Diffusion restreinte :
https://messervices.cyber.gouv.fr/guides...