Depuis le premier trimestre 2020, Squad est qualifié PASSI sur l'ensemble des portées :
- Audit architecture
- Audit de configuration
- Audit de code Source
- Tests d'intrusion
- Audit organisationnel et physique
Cette qualification valide la légitimité de Squad pour adresser des problématiques cybersécurité auprès des OIV (Organismes d'Importance Vitale) et salue le haut niveau technique des équipes.
Pour Bruno Billaud, DSSI & OCS Squad, "cette qualification PASSI est l'aboutissement de la mobilisation de nos experts et témoigne de la maîtrise des méthodologies d'audit de nos équipes. Depuis plusieurs mois, nous sommes à pied d'oeuvre pour atteindre ce très haut niveau d'exigences qui traduit notre engagement quotidien en cybersécurité, aux services de nos clients."
La qualification PASSI
Avec l’exposition croissante de la surface d’attaque des Systèmes d’Informations en tout genre (dépendance accrue aux technologies de l’information, connectivité renforcée, IoT…), la mise en œuvre de Stratégies de Cybersécurité est devenue essentielle au bon fonctionnement des entreprises, quelle que soit leur taille, ou leurs fonctions. Si les approches, les méthodologies, ou les cadres de gouvernance peuvent varier (SMSI ISO 27001, framework NIST, respect des règles d’hygiène informatique, homologation de sécurité…), elles ont toutes un point commun : la réalisation d’Audits de Sécurité.
En France une qualification a été mise en œuvre afin de recommander des services de cybersécurité éprouvés et approuvés par l’ANSSI, pour les audits, c’est la qualification PASSI. Mais de quoi s’agit-il, et qu’est-ce que cette qualification apporte aux entreprises et aux auditeurs, et de manière plus générale, en quoi répond-elle aux besoins de sécurité des entreprises ? Mais avant toute chose, un Audit de Sécurité, c’est quoi ?
1. Qu’est-ce qu’un Audit de Sécurité ?
Le terme s’étant largement généralisé ces deux dernières décennies, il est de bon ton de rappeler la définition formelle d’un audit, au sens de la norme ISO 19011 (Lignes directrices pour l'audit des systèmes de management) :
Un Audit est un processus méthodique, indépendant et documenté, permettant d’obtenir des preuves objectives et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits.
En d’autres termes, une Activité d’Audit de Sécurité vise à Collecter des Informations & des Preuves par rapport à des Points de Contrôle (ou un Référentiel d’Exigences) préalablement défini, et à évaluer ces Informations pour formaliser des Constats et identifier des Vulnérabilités sur le SI. En guise de conclusions, des Recommandations peuvent être proposées (sous forme de mesures correctives ou amélioratives), ainsi qu’une Evaluation globale du Niveau de Sécurité. Le tout, de manière parfaitement rigoureuse, méthodique, documentée, et tracée.
Comment réalise-t-on un Audit de Sécurité ?
Le schéma ci-dessous présent une vue synthétique du sujet au travers d’un exemple succin :
Evidemment, il faut également prendre en compte les aspects inhérents à la Prestation d’Audit (le cadrage, le déclenchement, la méthodologie souhaitée, le périmètre à auditer, le format des conclusions, les canaux de communication…).
Réaliser un Audit de Sécurité est donc un processus qui, bien que simple de prime abord, s’avère en réalité très complexe si on niveau d’attente élevé.
A quoi ça sert ?
Les objectifs d’un Audit de Sécurité peuvent être variés :
- Amélioration du niveau de sécurité
- Réduction des risques
- Identification et résorption des vulnérabilités
- Mise en œuvre de mesures de sécurité complémentaires
- Evaluer périodiquement le niveau de la sécurité d’une société afin de mettre en valeur le travail réalisé
- Attester de la conformité à un référentiel pour obtenir une certification ou une qualification (ISO27001, II901, RGPD…)
Vous l’aurez compris, un Audit de Sécurité peut répondre à plusieurs besoins à la fois.
2. De la nécessité de recourir à des audits de sécurité
Pourquoi réaliser des audits ?
Quelle que soit la Stratégie de Cybersécurité mise en œuvre, la trame reste relativement similaire :
- Dire ce que l’on va faire, et pourquoi on va le faire
- Faire ce que l’on a dit
- Vérifier / Contrôler que ce que l’on a fait est conforme à ce que l’on a dit
- Corriger les écarts, puis recommencer.
C’est précisément le 3ème point qui nous intéresse ici, le CHECK du fameux PDCA (Plan – Do – Check – Act) : la réalisation d’un état des lieux du niveau de sécurité à un instant t d’un Système d’Information. S’assurer que le réel est en phase avec l’attendu. Cette étape, aussi complexe que cruciale, fait des Audits de Sécurité une des activités essentielle et incontournable pour qui exerce en cybersécurité, voire obligatoire pour certaines entreprises.
RGS, NIS, LPM et Homologation de Sécurité
S’il est fortement recommandé de systématiquement réaliser des Audits de Sécurité, ceux-ci peuvent s’avérer obligatoire selon le contexte de l’entreprise. L’obligation peut être d’origine légale, règlementaire ou contractuelle. Par exemple, l’obtention d’une certification ISO 27001 ou HDS (Hébergeur de Données de Santé), pour des besoins business ou contextuels, nécessite la réalisation d’un audit de conformité pour s’assurer du bon respect du référentiel d’exigences.
En France, on distingue principalement 3 types d’organismes ayant (quasi) obligation de recourir à des Audits de Sécurité :
- Les Autorités Administratives (AA), contraints par le Référentiel Général de Sécurité (RGS)
- Les Opérateurs de Services Essentiels (OSE), contraints par la Directive Européenne Network and Information Security (NIS)
- Les Opérateurs d’Importance Vitale (OIV), contraints par la Loi de Programmation Militaire (LPM)
Ces organismes ont pour obligation de procéder à une Homologation de Sécurité de leurs Systèmes d’Informations, démarche selon laquelle des audits (entre autres) doivent être réalisés, lors de l’homologation initiale, puis lors du suivi opérationnel. L’objectif étant de s’assurer dans le temps que le niveau de sécurité ainsi que les mesures en vigueur permettent de répondre aux besoins et aux objectifs de sécurité du SI, et qu’il ne subsiste aucun risque n’étant pas traité ou n’ayant pas été accepté par l’Autorité d’Homologation désignée.
C’est dans ce cadre, et afin de s’assurer que les Audits réalisés sont rigoureux, méthodiques, et permettent de répondre aux besoins de sécurité des organismes à auditer, que l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Informations) a progressivement mis en place depuis 2013 la Qualification PASSI (Prestataire en Audit de Sécurité des Systèmes d’Informations).
Adossée à la LPM et à la Directive NIS, le recours à des prestataires qualifiés PASSI est devenu obligatoire pour réaliser des Audits de Sécurité sur des Systèmes d’Informations d’Importance Vitale (SIIV – OIV) ou Essentiels (SIE – OSE). La liste de ces Opérateurs demeurant secrète, on sait toutefois que la France compte plus de 200 OIV et plus d’une centaine d’OSE. Ces obligations ont donc largement contribué à développer le marché des Audits de Sécurité. Du moins, pour les prestataires de services capables d’obtenir la qualification PASSI.
3. Qu’est-ce que la qualification PASSI ?
De quoi s’agit-il ?
A travers le processus de qualification PASSI, l’ANSSI s’assure que les prestations d’Audits de Sécurité sont réalisées en toute confiance, par des sociétés et des intervenants compétents dans leur domaine. Ce processus est long, rigoureux, et permet d’attester d’un haut niveau de savoir-faire et d’expertise en matière d’audit et de cybersécurité. Ce n’est donc pas à la portée de n’importe quelle entreprise ou candidat d’obtenir la qualification PASSI. A l’heure actuelle, on dénote une cinquantaine de sociétés qualifiées, dont SQUAD fait maintenant partie.
Outre les sociétés, les auditeurs doivent également être qualifiés en passant des examens oraux et écrits (des compétences pointues et une organisation méthodique sont attendues de leur part). Les Auditeurs doivent également prouver qu’ils assurent une veille technologique constante, de manière à toujours être au courant des dernières techniques et normes en matière de cybersécurité. Les auditeurs PASSI sont donc des experts, mais aussi des passionnés.
A noter toutefois que, le spectre de compétence en cybersécurité étant très large, les Auditeurs doivent choisir de se spécialiser dans des domaines particuliers, modules sur lesquels ils seront qualifiés :
- Audit organisationnel & physique
- Audit d’architecture
- Audit de configuration
- Audit de code
- Test d’intrusion
- Responsable d’Audit
Cette approche par compétence mise en œuvre par la qualification PASSI fait qu’un auditeur qualifié (par exemple) sur les portées Architecture & Configuration n’aura pas le droit d’exercer sur un Audit Organisationnel & Physique. Cette démarche contribue largement à permettre aux sociétés auditées d’obtenir les bonnes ressources sur les bonnes problématiques.
Quel intérêt pour les entreprises auditées ?
Pour les entreprises auditées, la qualification PASSI d’un prestataire est la garantie d’un Audit de confiance, respectant le plus haut niveau de qualité et de sécurité possible. Recourir à un PASSI, c’est attendre un maximum d’exhaustivité dans les résultats, ainsi que l’assurance que les données collectées ne seront pas utilisées à des fin malicieuses (volontairement ou par négligence). En effet, outre la méthodologie rigoureuse et des compétences à la pointe, les prestataires PASSI doivent mettre en œuvre des mesures de protection internes pour le Système d’Information traitant les données des entreprises audités (de niveau Diffusion Restreinte). C’est un indéniable gage de sécurité supplémentaire : si un prestataire lambda (non PASSI) relève et stocke des informations particulièrement sensibles sur l’entreprise auditée, et que celles-ci ne sont pas traitées ou sauvegardées comme il se doit après l’audit, le prestataire peut donc aisément devenir un vecteur d’attaque. Rappelons que l’ANSSI s’inquiète particulièrement des attaques visant les fournisseurs de services.
Quel intérêt pour les prestataires (entreprises & auditeurs) ?
Enfin, pour les Prestataires d’Audits, candidats à la qualification PASSI, bien que celle-ci devant "seulement" attester d’un savoir-faire existant, et non de compétences en cours d’acquisition, le process de qualification contribue à (largement) élever son niveau de maturité en matière d’audit. Structurer sa méthodologie, prédéfinir des points de contrôles génériques, utiliser des outils et une méthodologie commune, améliorer dans le temps les process... Exit donc les audits dont les résultats varient d’un auditeur à l’autre : la méthodologie est formelle, rigoureuse, et nécessite de parfaitement maitriser son sujet. Ce travail d’harmonisation du savoir-faire est donc extrêmement bénéfique et structurant, autant pour les entreprises que pour les auditeurs.
Dernier point, pas des moindres, à ceci s’ajoute, pour les entreprises, un marché en plein essor. Plus de 300 entreprises sensibles ayant obligation de recourir à des prestations qualifiées d’un côté, une cinquantaine de prestataires qualifiés de l’autre. Et c’est sans oublier tous les autres organismes s’appuyant sur la qualification pour sélectionner le partenaire de confiance, à qui confier des missions d’audit…ou non ! Et c’est peut-être une des plus grandes forces de la qualification, devenue une véritable référence en la matière. Celle-ci est de plus en plus demandée pour toute société exerçant en cybersécurité, au-delà des simples missions d’audits. C’est donc un incroyable vecteur de business, en plus de largement contribuer à l’élévation du niveau général de cybersécurité dans l’espace francophone.
Liens externes
Référentiels ANSSI d'exigences pour les prestataires d'audit de la SSI (PASSI) sur SSI.gouv.fr
https://www.ssi.gouv.fr/uploads/2014/12/PASSI_referentiel-exigences_v2.1.pdf
Liste des Prestataires d’audit de la sécurité des systèmes d’information qualifiés (PASSI) sur SSI.gouv.fr
https://www.ssi.gouv.fr/liste-produits-et-services-qualifies