Les audits PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) sont les audits approfondis de la sécurité informatique réalisée par des prestataires certifiés par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Mais que recouvre un audit PASSI ? Pour vous éclairer, nous abordons dans cet article les 10 questions clés sur les audits PASSI.
1. Qu'est-ce qu'un audit PASSI ? Quelles sont les portées de l’audit PASSI ?
Un audit PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) est un audit réalisé par une entreprise de cybersécurité et ses auditeurs qui ont obtenu une qualification officielle de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Il suit une méthodologie d’audit de sécurité définie et stricte.
A noter, la qualification des prestataires d'audit de la sécurité PASSI fait partie du règlement général de sécurité (RGS) de l'ANSSI.
Il existe 5 types de portées :
- Audit de Tests d’intrusion
- Audit d’Architecture
- Audit Organisationnel et Physique
- Audit de Configuration
- Audit de code
AlgoSecure est qualifié sur toutes ces portées.
En délivrant la qualification, l’ANSSI s’assure du respect de la qualité attendue en vérifiant plusieurs points : déontologie, organisation, gestion des ressources et des compétences, process, système d’information…
L’ANSSI oblige le prestataire d’audit de cybersécurité à avoir une démarche d’amélioration continue, et d’être toujours à jour en matière de sécurité des systèmes d’information.
2. A qui s'adresse l'audit PASSI ?
L’audit s'adresse à tous les types d'entreprises/organisations souhaitant évaluer leur S.I :
- Si l’entreprise/organisation est un Opérateur d’importance vitale (OIV), alors la question ne se pose pas : elle a l’obligation de solliciter un prestataire qualifié PASSI.
- Si l’entreprise est un Opérateurs de Services Essentiels (OSE), selon la directive européenne NIS, il doit passer par un prestataire qualifié PASSI.
- Autrement, il est préconisé pour des entreprises/organisations qui doivent s’assurer que leurs infrastructures et services respectent des standards de sécurité élevés. Cela peut, par exemple, concerner des prestataires de services numériques (hébergement, cloud computing…).
Dans tous les cas, nous recommandons une certaine maturité cyber pour réaliser un audit PASSI , et avoir notamment passé des audits standards.
3. Pourquoi faire un audit PASSI ? Quels sont les principaux avantages à réaliser des tests d'intrusion PASSI ?
Un audit PASSI peut être réalisé pour plusieurs raisons :
- Respect et mise en Conformité réglementaire : afin de répondre aux exigences légales et réglementaires françaises en matière de cybersécurité clés OIV (Opérateurs d’Importance Vitale) doivent réaliser des audit PASSI
- Fiabilité et confiance auprès des parties prenantes : cela garantit que l'audit est réalisé par des experts certifiés, reconnus par l'ANSSI. Cela assure de la qualité et la crédibilité de l'audit auprès des parties prenantes (clients, partenaires, institutionnels) prouvant que vous suivez des standards élevés de sécurité. Cela peut concerner des prestataires de services numériques : fournisseurs de services cloud, d'hébergement, ou de traitement de données.
- Garantie de conditions d’audit sécurisées : l’accent est mis sur la protection des données manipulées. Collecte des preuves, stockage des données, localisation, échanges des données, qualité des rapports… Toutes les données ne sont accessibles qu’aux personnes habilitées.
4. Qui sont les auditeurs PASSI ?
Les auditeurs doivent passer les examens écrits et oraux tous les 3 ans. Chacun de nos auditeurs dispose d’une qualification PASSI qui lui est personnelle, mais ils disposent aussi d’autres certifications en fonction de leur propre domaine d’expertise :
- OSCP (Tests d’intrusion)
- ISO 27001
- ISO 27005
- EBIOS Risk Manager
5. Quelle(s) méthodologie(s) est utilisée lors des tests d'intrusion ?
Les exigences auxquelles doivent se conformer les prestataires sont regroupées dans les différentes étapes du déroulement d’un audit, à savoir :
- étape 1 : établissement d’une convention ;
- étape 2 : préparation et déclenchement de la prestation ;
- étape 3 : exécution de la prestation ;
- étape 4 : restitution ;
- étape 5 : élaboration du rapport d’audit ;
- étape 6 : clôture de la prestation.
D’une manière générale, le déroulement de l’audit doit respecter les dispositions de la norme ISO 19011 (voir le référentiel sur le site cyber.gouv.fr).
6. Quelle est la durée d'un audit PASSI ? Quel est le coût d’un audit PASSI ?
LA question qui nous est souvent posée mais difficile à répondre. La durée d'un audit PASSI dépend de la complexité et de l’étendue du système à auditer. Cela peut varier d’1 à plusieurs semaines. Nous sommes en mesure d’évaluer la durée et le coût qu’après un échange technique approfondi pour bien comprendre les besoins, les attentes et les caractéristiques et spécificités de la mission.
7. Comment se préparer à un audit PASSI ?
Pour vous préparer à un audit PASSI, nous vous recommandons en amont de faire un pré-audit interne, de vous assurer que les configurations de vos systèmes sont à jour, de corriger les vulnérabilités connues et d’impliquer les équipes de sécurité et d'IT pour centraliser les informations nécessaires.
8. Est-ce qu’un certificat est délivré après l’audit ?
Le prestataire ou l’ANSSI ne délivre pas de certificat à proprement parler. À la fin de l'audit, le prestataire PASSI remet un rapport d'audit détaillant les vulnérabilités trouvées, les risques associés et les recommandations pour améliorer la sécurité.
Toutefois, ce rapport peut être utilisé comme preuve que l'audit a été réalisé par un prestataire qualifié.
9. Existe-t-il un document attestant de vos compétences vis-à-vis de ce référentiel de l’ANSSI ?
Un certificat est délivré. Voici celui d’AlgoSecure : https://www.algosecure.fr/docs/qualification-passi-algosecure.pdf
10. Je suis convaincu, quelle est la prochaine étape pour commander un audit PASSI ?
Il suffit simplement de nous contacter pour que nous puissions échanger ;-)
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Enzo, Eugénie, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Ludovic, Lyse, Nancy, Natacha, Nicolas, Pierre, PierreG, Sébastien, Tristan, Yann, et bonne visite !