Pourquoi choisir un prestataire qualifié PASSI  pour ses audits de Cybersécurité ?
22 novembre 2019

Cybersécurité

Pourquoi choisir un prestataire qualifié PASSI pour ses audits de Cybersécurité ?

Un audit de cybersécurité est un audit au sens large qui vise à améliorer le niveau de sécurité des systèmes d’information. Cela va des tests d’intrusion aux tests de configuration, aux audits d’architecture et aux audits de la politique de sécurité des entreprises. Pour garantir la bonne réalisation de ces audits, il est fortement recommandé d’avoir recours à un prestataire qualifié PASSI par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Et on vous dit pourquoi !

 

L’audit de sécurité, un besoin vital pour les entreprises

 

Les systèmes d’information sont de plus en plus complexes. En quelques décennies, nous sommes passés d’une informatique d’entreprise clairsemée, locale, à un système en réseaux interconnectés de dimension mondiale. Aujourd’hui, sauf à de rares exceptions, tous les processus de l’entreprise sont entièrement informatisés : de la gestion de la paie à la comptabilité, de la gestion des accès physiques au pilotage des outils de production, des travaux de recherche en R&D aux échanges de mails entre collaborateurs. Tout (ou presque tout) transite via les systèmes d’information, y compris les données les plus sensibles.

 

On comprend bien dès lors que la moindre intrusion dans le système peut avoir des conséquences critiques pour l’activité de l’entreprise. À ceci s’ajoutent la multiplication des flux de données entre les parties prenantes d’une même communauté d’affaires (un fournisseur et ses clients par exemple), créant autant de brèches potentielles, les trop nombreux comportements à risque de chaque collaborateur et la sophistication croissante des attaques. Toute entreprise doit donc vérifier régulièrement le niveau de sécurité de ses systèmes d’information, tant du point de vue technique qu’organisationnel.

 

Externaliser ses audits de sécurité pour abaisser les risques

 

Excepté certains très grands groupes, dont le cœur de métier est souvent lié aux nouvelles technologies de l’information, peu d’entreprises ont les moyens de réunir en interne toutes les compétences pour mener à bien un audit de sécurité. La complexité des systèmes et des attaques nécessite des connaissances de pointe dans des champs d’application extrêmement variés.

 

Le choix d’externaliser l’audit de sécurité est donc fortement recommandé. Mais comment reconnait-on un bon prestataire ? On s’en rend compte aujourd’hui, le véritable point de différenciation (au-delà du niveau des compétences) réside dans la qualité de l’accompagnement du client post-audit. Chaque mission visant à abaisser le risque de sécurité d’un système d’information comporte un certain nombre de tests très techniques. Ces tests vont déboucher sur un livrable qui recensera les failles repérées et la manière de les corriger. Un bon prestataire d’audit doit être capable de donner à son client les clés pour lui permettre de comprendre le livrable à 100% et de mettre en œuvre le plan d’action adéquat.

D’accord, mais comment être sûr de choisir le bon prestataire AVANT la réalisation de l’audit ? C’est là que la qualification PASSI intervient !

 

Les 3 raisons de passer par un prestataire PASSI pour son audit de sécurité

 

Face à la recrudescence des attaques cyber, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a décidé de déléguer une grande partie de ses missions à des prestataires externes. Elle a donc créé une qualification, appelée PASSI pour Prestataires d’audit de la sécurité des systèmes d’information, afin de s’assurer que les sociétés de sécurité informatique missionnées respectent le même cahier des charges que les ingénieurs ANSSI.

 

Voici donc les trois raisons qui devraient pousser chaque entreprise à passer systématiquement par un prestataire qualifié PASSI pour la réalisation des audits de sécurité :

 

1) Vous êtes un Opérateur d’importance vitale (OIV)

Si votre entreprise est dans ce cas de figure, alors la question ne se pose pas : vous avez l’obligation de solliciter un prestataire qualifié PASSI.

 

2) La garantie de conditions d’audit sécurisées

La qualification PASSI atteste d’un haut niveau technique, méthodologique et organisationnel du prestataire, mais aussi des collaborateurs qu’il emploie. L’ANSSI valide que la personne morale qui souhaite obtenir la qualification PASSI dispose d’un système d’information sécurisé et que les consultants ont les connaissances et les compétences requises sur les cinq grands domaines d’expertise de la cybersécurité : le test d’intrusion, l’audit de configuration, l’audit d’architecture, l’audit de gouvernance et l’audit de code source.

 

3) Une connaissance “à jour” des dernières menaces

Lorsqu’un prestataire est qualifié PASSI, les auditeurs de l’ANSSI vérifient régulièrement que sa déontologie, son organisation, ses process et son système d’information répondent toujours à la qualité attendue. Le cas échéant, l’ANSSI demande aux consultants de se remettre à niveau. La qualification PASSI oblige le prestataire d’audit cyber à avoir une démarche d’amélioration continue, et d’être toujours à jour en matière de sécurité des systèmes d’information.

 

Compte tenu des enjeux et des risques encourus par les entreprises en cas d’intrusion, il est fortement recommandé de recourir à des prestataires hautement qualifiés pour évaluer le niveau de sécurité des systèmes d’information. Obligatoire pour intervenir dans les OIV (Opérateurs d’importance vitale), la qualification PASSI est de plus en plus demandée par les grands groupes et les OSE (Opérateurs de services essentiels). Preuve que la qualification PASSI est devenue une véritable référence en la matière.

 


Sébastien LE DÉ
Sébastien LE DÉ

Chargé d'affaires

Sébastien LE DÉ est chargé d’affaires chez Sysdream, la division cybersécurité d’Hub One. Sébastien est un passionné d’archéologie et d’astronomie. Partir à l’aventure ne lui fait pas peur, bien au contraire, c’est dans les grandes randonnées et roadtrips allant de l’Ouest canadien à l’Islande qu’il se ressource. Il sait également apprécier le Rock des années 60 à nos jours et aussi le son de sa guitare acoustique. L’Équipe est son application favorite où il peut suivre les dernières actualités de la F1, du tennis et du football.

Pour être informé en temps réel

X

En poursuivant votre navigation sur ce site, vous acceptez le dépôt de cookies tiers pour réaliser des statistiques de visites et améliorer l’interface du site internet. Pour vous opposer au dépôt de cookies ou pour d’avantage d’informations, veuillez vous référer à notre politique de confidentialité

Accepter
Refuser