Qualification PASSI
Actualités
La qualification PASSI
Expert en cybersécurité, Avangarde Consulting est très fier d'annoncer sa qualification PASSI obtenue le 26 octobre 2023 après une évaluation menée par: Certi-Trust. A cette occasion, nous souhaitons vous rappeler à quoi correspond cette qualification.
PASSI c'est quoi ?
PASSI signifie Prestataire d'Audit en Sécurité des Systèmes d'Information ; c'est le schéma de qualification de l'ANSSI pour les activités d'audit de cybersécurité.
Il s'inscrit dans la démarche générale de l’ANSSI, visant à recommander aux entreprises ou autorités administratives l'utilisation de produits ou services de confiance. Un prestataire qualifié PASSI a satisfait aux impératifs techniques, réglementaires et de sécurité imposée par l'ANSSI.
C'est donc un gage de confiance, de sécurité, de compétences et de discrétion pour les clients.
Pourquoi est-elle importante ?
Cette qualification est importante, car les activités d'audit en cybersécurité sont très intrusives dans le système d’information du client. Le travail d’audit permet de collecter des éléments de vulnérabilité du SI (configuration, architecture, code source) mais les données métier peuvent aussi être vu de l’auditeur.
Il est donc essentiel que le prestataire apporte toutes les garanties nécessaires pour assurer un niveau de sécurité et de compétence afin de limiter les risques métier durant l'audit et pour ne pas subir une fuite d'information, voire une compromission.
Comment obtient-on cette qualification ?
Pour obtenir cette qualification, le prestataire doit subir une évaluation auprès d'un organisme de qualification habilité, qui est chargé de contrôler la conformité au référentiel d'exigence PASSI. Avangarde Consulting dispose d'une qualification propre et les auditeurs font également l'objet d'une évaluation individuelle de leurs compétences.
Le prestataire travaille, pour les audits, sur un réseau Diffusion Restreinte (DR) ayant fait l'objet d'une homologation de sécurité dans des locaux spécifiques sécurisés. Toutes les procédures sont écrites et contrôlées.
Les auditeurs passent des examens écrits, puis oraux, pour évaluer leurs connaissances.
Le référentiel compte cinq portées :
- ·Test d'intrusion
- ·Audit de code source
- ·Audit d'architecture
- ·Audit de configuration
- ·Audit organisationnel et physique
La prestation qualifiée
En soi, la qualification PASSI permet d'apporter des garanties concrètes (méthodologie, technique) au commanditaire d'un audit, concernant le professionnalisme et les compétences d'un prestataire. Evidemment seule la prestation d’audit qualifiée apporte ces garanties, ce qui explique un coût plus élevé qu’un audit non qualifié.
Comment réaliser un audit en toute confiance ?
Si l'on souhaite bénéficier de ce schéma de qualification et des garanties qui y sont attachées, il faut contacter un prestataire qualifié (liste sur le site de l’ANSSI).
Il reste nécessaire de vérifier que l’exécution de la prestation est bien conforme au référentiel d'exigences associé. Parmi les nombreuses exigences, il faut s'assurer a minima des points suivants :
·La convention de service signée avec le prestataire mentionne bien qu'il s'agit d'une prestation qualifiée
·Les intervenants sont "qualifiés" PASSI sur leur périmètre de responsabilité (demandez à obtenir leur attestation de compétence)
·Les documents contenant des informations sensibles (tels que les rapports d'audit) ont un marquage "Diffusion Restreinte", indiquant qu'ils ont bien été rédigés en utilisant le système d'information idoine
Conclusion
En conclusion, la qualification PASSI est un moyen pour une entreprise ou un organisme public, d’obtenir la garantie que les compétences, la méthodologie et les techniques utilisées par le prestataire sont de bonne qualité et effectuer en toute sécurité.