La qualification des prestataires d'Audit de sécurité des systèmes d'information compliant RGS
Ayant le privilège de participer au groupe de travail sur les prestataires d’audit de sécurités sur les systèmes d’informations à l’OSSIR (http://www.ossir.org), je vous propose le billet suivant sur cette nouvelle qualification d’Audit de sécurité made in France
Pourquoi et quand faire appel à un prestataire PASSI ?
Un peu d’histoire, tout provient de la sortie du RGS version 2 qui constitue un référentiel de transition entre la première version lié à la mise en œuvre de l’administration électronique et une troisième version qui viendra se fondre sur la réglementation Européenne.
Le RGS (Référentiel Général de sécurité) demande aux administrations, organismes publiques, organismes sociaux et les entreprises sensibles (Défense, Énergie, Finances, infrastructures…) de faire appel à des prestataires qualifiés.
La partie qui nous intéresse sont l’Audit de la sécurité des systèmes d’informations.
Dans le cadre des audits techniques de sécurité, il est demandé pour les entreprises d’états de faire appel à un prestataire qualifié. La qualification PASSI est effectuée par l’organisme LSTI.
La validation de cette qualification s’effectue via le respect des exigences du RGS en matière d’Audit.
Les activités éligible à cette qualification sont:
- Audit Organisationnel et physique
- Audit d’architecture
- Audit de configuration
- Audit de code source
- Tests d’intrusion
Cette qualification est attribué suite à une validation qui peut durer jusqu’à 12 mois. Elle est valable 3 ans et un audit intermédiaire à lieu tous les 18 mois.
Cette qualification est effectuée en 3 étapes:
- Une évaluation sur le site principal du PASSI (Siège social)
- Une évaluation sur le site du client du PASSI (Ministères, Administrations…)
- Examens écrits et oraux des auditeurs.
Note de l’auteur: Ce qui est cool dans cette qualification c’est qu’elle demande que les auditeurs soient évalués nominativement et lors de leurs départs doivent être remplacé pour garder la qualification PASSI.
Les auditeurs PASSI doivent passer la certification ISO 19011 avec un certains nombres d’examens.
Pour une administration faire appel à un prestataire PASSI tombe sous le sens mais pour une entreprise du secteur privé ?
Je suis convaincu qu’un prestataire de sécurité qui investit sur les hommes sera à chaque fois mis en avant par les clients dans le domaine de la SSI. La qualification permettra de passer le processus Achat mais si l’auditeur est un poney, cela restera un travail non conforme à l’attendu.
La qualification PASSI est un produit 100% made in France. Est il possible de certifié un prestataire d’audit de sécurité d’origine américaine, Russe ou encore Chinoise ?
Comment avoir confiance ? le bon sens bien sur et un niveau de parano normal pour un CISO. Si votre entreprise travail sur des domaines sensibles pour la nation, je recommande fortement l’utilisation d’entreprise 100% francophone et qualifié PASSI pour des raisons de souveraineté évidente.
En tant qu’utilisateur aujourd’hui d’audit de sécurité dans le domaine privée, je n’ai pas l’obligation d’avoir un prestataire PASSI mais au vu du marché je serais fortement sensibilisée par une entreprise qui proposera cette qualification car l’ANSSI aura validé le processus de stockage des informations récoltées lors de l’audit via LSTI.
Cette qualification est longue, fastidieuse et administrative (comme on sait les faire), le référentiel est disponible ici et l’opacité est de mise sur les attributions.
Dans mon cas les premiers qualifiés semblent sérieux: HSC by Deloitte, Intrinsec, Solucom en autre et on bosse déjà avec eux donc cela démontre que l’on a des prestataires sérieux, sensibilisés et en constante amélioration dans leur démarche d’audit de sécurité.
Enjoy PASSI and be cool with your SSI 🙂
Liens utiles:
LSTI : http://www.lsti-certification.fr/
Référentiel PASSI :http://www.ssi.gouv.fr/uploads/2014/12/RGS_PASSI_v2-0.pdf
