Pourquoi choisir un prestataire qualifié PASSI pour ses audits de Cybersécurité ?
L’audit de sécurité, un besoin vital pour les entreprises
Les systèmes d’information sont de plus en plus complexes. En quelques décennies, nous sommes passés d’une informatique d’entreprise clairsemée, locale, à un système en réseaux interconnectés de dimension mondiale. Aujourd’hui, sauf à de rares exceptions, tous les processus de l’entreprise sont entièrement informatisés : de la gestion de la paie à la comptabilité, de la gestion des accès physiques au pilotage des outils de production, des travaux de recherche en R&D aux échanges de mails entre collaborateurs. Tout (ou presque tout) transite via les systèmes d’information, y compris les données les plus sensibles.
On comprend bien dès lors que la moindre intrusion dans le système peut avoir des conséquences critiques pour l’activité de l’entreprise. À ceci s’ajoutent la multiplication des flux de données entre les parties prenantes d’une même communauté d’affaires (un fournisseur et ses clients par exemple), créant autant de brèches potentielles, les trop nombreux comportements à risque de chaque collaborateur et la sophistication croissante des attaques. Toute entreprise doit donc vérifier régulièrement le niveau de sécurité de ses systèmes d’information, tant du point de vue technique qu’organisationnel.
Externaliser ses audits de sécurité pour abaisser les risques
Excepté certains très grands groupes, dont le cœur de métier est souvent lié aux nouvelles technologies de l’information, peu d’entreprises ont les moyens de réunir en interne toutes les compétences pour mener à bien un audit de sécurité. La complexité des systèmes et des attaques nécessite des connaissances de pointe dans des champs d’application extrêmement variés.
Le choix d’externaliser l’audit de sécurité est donc fortement recommandé. Mais comment reconnait-on un bon prestataire ? On s’en rend compte aujourd’hui, le véritable point de différenciation (au-delà du niveau des compétences) réside dans la qualité de l’accompagnement du client post-audit. Chaque mission visant à abaisser le risque de sécurité d’un système d’information comporte un certain nombre de tests très techniques. Ces tests vont déboucher sur un livrable qui recensera les failles repérées et la manière de les corriger. Un bon prestataire d’audit doit être capable de donner à son client les clés pour lui permettre de comprendre le livrable à 100% et de mettre en œuvre le plan d’action adéquat.
D’accord, mais comment être sûr de choisir le bon prestataire AVANT la réalisation de l’audit ? C’est là que la qualification PASSI intervient !
Les 3 raisons de passer par un prestataire PASSI pour son audit de sécurité
Face à la recrudescence des attaques cyber, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a décidé de déléguer une grande partie de ses missions à des prestataires externes. Elle a donc créé une qualification, appelée PASSI pour Prestataires d’audit de la sécurité des systèmes d’information, afin de s’assurer que les sociétés de sécurité informatique missionnées respectent le même cahier des charges que les ingénieurs ANSSI.
Voici donc les trois raisons qui devraient pousser chaque entreprise à passer systématiquement par un prestataire qualifié PASSI pour la réalisation des audits de sécurité :
1) Vous êtes un Opérateur d’importance vitale (OIV)
Si votre entreprise est dans ce cas de figure, alors la question ne se pose pas : vous avez l’obligation de solliciter un prestataire qualifié PASSI.
2) La garantie de conditions d’audit sécurisées
La qualification PASSI atteste d’un haut niveau technique, méthodologique et organisationnel du prestataire, mais aussi des collaborateurs qu’il emploie. L’ANSSI valide que la personne morale qui souhaite obtenir la qualification PASSI dispose d’un système d’information sécurisé et que les consultants ont les connaissances et les compétences requises sur les cinq grands domaines d’expertise de la cybersécurité : le test d’intrusion, l’audit de configuration, l’audit d’architecture, l’audit de gouvernance et l’audit de code source.
3) Une connaissance “à jour” des dernières menaces
Lorsqu’un prestataire est qualifié PASSI, les auditeurs de l’ANSSI vérifient régulièrement que sa déontologie, son organisation, ses process et son système d’information répondent toujours à la qualité attendue. Le cas échéant, l’ANSSI demande aux consultants de se remettre à niveau. La qualification PASSI oblige le prestataire d’audit cyber à avoir une démarche d’amélioration continue, et d’être toujours à jour en matière de sécurité des systèmes d’information.
Compte tenu des enjeux et des risques encourus par les entreprises en cas d’intrusion, il est fortement recommandé de recourir à des prestataires hautement qualifiés pour évaluer le niveau de sécurité des systèmes d’information. Obligatoire pour intervenir dans les OIV (Opérateurs d’importance vitale), la qualification PASSI est de plus en plus demandée par les grands groupes et les OSE (Opérateurs de services essentiels). Preuve que la qualification PASSI est devenue une véritable référence en la matière.