La qualification PASSI
Acronyme pour Prestataire d'Audit de Sécurité des Systèmes d'Information est un terme familier aux personnes travaillant pour la sécurité des systèmes d'information. Pour m'y être penché, je me suis rendu compte que l'ensemble du processus n'est pas évident à saisir c'est donc pour cette raison que je vais réaliser une sorte de résumé qui permettra d'avoir une vue globale.
Une obligation pour les auditeurs en sécurité des SI
Depuis la dernière actualisation de la loi de programmation militaire en décembre 2013, il est obligatoire pour un prestataire d'audit de posséder une qualification PASSI afin de pouvoir auditer les organismes publics et les Opérateurs à Importance Vitale (OIV), définit par l’ANSSI comme un opérateur économique « ayant un rôle primordial pour le fonctionnement de la Nation » faisant référence aux grandes structures telles que CDG, SNCF, EDF ou encore Thalès.
Afin d'éviter des pertes de part de marché, les prestataires d'audit de sécurité ont vivement intérêt à obtenir une qualification PASSI aussi bien pour les organismes publics, OIV que pour une entreprise lambda qui souhaiterait faire auditer son SI (dans le but de bénéficier de ce qui ce fait de mieux).
Qu'est-ce qui se cache derrière cette qualification?
Réaliser pour le compte de l’État français, la LSTI se charge d'évaluer et d'attester du respect des exigences techniques et organisationnelles spécifiées dans le Référentiel Général de Sécurité (RGS) dans le domaines des audits des SI. L'évaluation des exigences couvrent cinq domaines qui sont :
- Les audits d'architectures
- Les audits de configuration
- Les audits de code source
- Les audits organisationnelles et physique
- Les tests d'intrusion
Par ailleurs, le processus de qualification concerne aussi :
- Les exigences relatives au prestataire d'audit (entités, contrat, convention, éthique...)
- La gestion des ressources et des compétences (niveau de ressources, compétences à disposition, évaluations des compétences...)
- Exigences relatives aux auditeurs (expériences, aptitudes, connaissances, engagement...)
- Exigences relatives au déroulement de l'audit (convention, déclenchement, exécution de l'audit, conclusion de l'audit...)
Pendant le processus de qualification, les prestataires d'audit apparaissent sur le site de l'ANSSI et le site de la LSTI comme prestataire en cours de qualification; cela peut rassurer des futurs clients sur le sérieux et les compétences d'un prestataire d'audit.
L'évaluation des auditeurs
Les auditeurs sont essentiellement évaluer sur la maitrise de la norme ISO 19011 accessible auprès de l'AFNOR pour le prix de 101,31€ HT. Les auditeurs sont évaluer à l'écrit puis à l'oral sur les domaines d'activités qu'ils auront choisis parmi les cinq activités. Une fois la note minimale acquise, les auditeurs sont déclarés compétents pour les domaines d'audit pour lesquels ils ont réussi l'évaluation. La validité des attestations de compétence des auditeurs est subordonnée à celle du prestataire, un auditeur qui quitte son employeur perd de fait son attestation de compétence. La durée de validité maximale des attestations de compétence est de 3 ans.
Les auditeurs doivent repasser les examens avant la date de fin de validité s’ils souhaitent conserver leur attestation.
La décision de qualification
La qualification est attribuée par LSTI aux prestataires qui ne présentent pas d’écart majeur par rapport aux exigences. L’octroi de la qualification se traduit par l’émission d’une attestation de qualification décrivant les activités d’audit pour lesquelles le prestataire est qualifié et les sites concernés (sites principales, sites annexes et site témoin). La qualification des PASSI est valide trois ans, sous réserve d'une surveillance à 18 mois.
En somme, le processus de qualification des PASSI se monte comme un projet avec les aléas liés aux projets mais il est évident que toutes les ressources (financières, humaines, matérielles...) doivent être réunies pour mener ce projet à bien et dans les délais impartis.
Le cout de cette qualification qui est comprise entre 70K-100K dépend de plusieurs paramètres comme le nombre de site, le nombre d'auditeurs et les ressources internes et externes utilisées dans le cadre de la qualification.