Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

L’ANSSI certifie les cabinets d’audit sécurité

auteur de l'article Jerome Saiz , dans la rubrique Marché

L’ANSSI vient de publier son référentiel d’exigences applicable aux prestataires d’audit en SSI. Il s’agit d’une série de règles auxquelles devront se plier les cabinets d’audit qui souhaiteront travailler avec des organismes publics ou des opérateurs d’importance vitale. Ses préconisations seront d’ailleurs intégrées à la seconde version du Référentiel Général de Sécurité (RGSv2)

Ce nouveau document vise à encadrer la pratique des audits de sécurité par les cabinets privés. Il couvre les prestations d’audit d’architecture, de configuration, de code source, les tests d’intrusion et l’audit organisationnel et physique. Un prestataire pourra se faire certifier à sa convenance sur l’une ou plusieurs de ces prestations.

L’objectif affiché est de s’assurer que les sociétés d’audit travaillent selon les règles de l’Art, tant du point de vue technique que managerial. Exit donc les prestataires approximatifs : le nouveau référentiel ne retiendra que les professionnels compétents, organisés… et qui peuvent le prouver !

Trois points de contrôles sont définis : le prestataire lui-même (audit de certification au siège de la société), ses consultants (évaluation de leurs compétences professionnelles par des examens écrits et oraux) et le déroulement de l’audit lui-même (accompagnement sur un ou deux audits chez un client réel)

Du côté du prestataire, l’entreprise devra entre autres exigences adhérer à une charte d’éthique et prouver qu’elle respecte pour son propre compte, au sein de son SI, « les règles établies par l’ANSSI et relatives aux mesures de protection des systèmes d’information traitant d’information sensibles non classifiées de défense de niveau Diffusion Restreinte » . Elle devra également prouver qu’elle assure une veille technologique sur la sécurité des systèmes d’information et qu’elle dispose d’un processus de formation continue pour ses consultants. Enfin, il lui est également demandé de justifier de procédures disciplinaires à destination des collaborateurs qui manqueraient aux règles de sécurité ou à la charte d’éthique.

En ce qui concerne ses consultants, ils devront avoir un contrat de travail avec l’entreprise contractée, une expérience minimale dans la profession, avoir signé la charte d’éthique et s’engager à subir une évaluation personnelle de leurs compétences. Lors de leur recrutement, l’entreprise sera contrainte de valider formellement chacune des expériences professionnelles et des formations mentionnées sur leur CV. Elle pourra en outre également exiger une copie du bulletin n° 3 du casier judiciaire.

Enfin, dans le cadre de la prestation d’audit, le prestataire devra mener une étude de risque préalable afin de mesurer le risque résultant de son intervention, et bien entendu le couvrir. Il devra également être en mesure de prouver qu’il est capable de mener sa mission de manière impartiale et sans conflit d’intérêt (pour cela, notamment, il devra révéler ses financement et ses prises d’intérêts éventuelles).

Attention : la certification concerne l’entreprise et ses collaborateurs. S’ils démissionnent, ils perdent leur attestation de compétence ! (plus d’information sur le site de LSTI).

Les cabinets d’audit souhaitant se faire certifier devront être inspectés par un organisme de certification habilité. La liste sera communiquée ultérieurement mais à ce stade seule la société LSTI s’est portée candidate.

Ce document sonne comme une petite révolution : « cela ré-ordonne le marché des audits et tests d’intrusion que d’avoir des prestataire qualifiés par l’ANSSI » , estime Hervé Schauer, fondateur du cabinet HSC. Et ce référentiel, il le connaît bien : la société a fait partie des trois prestataires-pilotes sélectionnés par l’ANSSI afin de valider le contenu de ces nouvelles exigences.

Il y a fort à parier que l’influence de référentiel s’étendra au delà des organismes publics et des opérateurs d’importance vitale : car rien n’empêche évidemment n’importe quelle entreprise d’exiger de ses prestataires qu’ils soient certifiés. Du moins, lorsqu’il y en aura un certain nombre sur le marché…

Plus d’information :


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

2 réponses à L’ANSSI certifie les cabinets d’audit sécurité

  1. Aurélie BARBIER dit :

    Bonjour,

    Merci pour l’article.

    Je pense qu’il y a une erreur dans la remarque effectuée dans l’article.

    Sur le site LSTI il est précisé « La
    validité des attestations de compétence des auditeurs est subordonnée à celle
    du prestataire, un auditeur qui quitte son employeur perd de fait son
    attestation de compétence ».

    Ce qui ne veut pas dire que l’entreprise perd sa certification si un collaborateur certifié démissionne. Il me semble.

    Aurélie BARBIER

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.