Pour améliorer le niveau de sécurité des SI (systèmes d’information), difficile de passer outre l’audit de cybersécurité, sous toutes ses formes : pentest, test de configuration, audit d’architecture… Seulement voilà, encore faut-il le confier à un prestataire qualifié. Autrement dit : un prestataire PASSI, dûment qualifié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Nous vous disons pourquoi dans la suite !
Audit de sécurité : quel intérêt ?
Les architectures des systèmes d’information se sont considérablement complexifiées au fil du temps. En l’espace de quelques décennies, nous avons évolué d’une informatique d’entreprise éparse et locale vers une infrastructure en réseau globalisée et interconnectée. Résultat des courses : aujourd’hui, quasiment tous les processus internes d’une entreprise sont entièrement numérisés, qu’il s’agisse de la gestion des salaires, de la comptabilité, du contrôle des accès physiques… La quasi-totalité des éléments, y compris les données les plus délicates, transitent par les systèmes d’information.
Dès lors, il est évident que la moindre incursion non autorisée dans ces systèmes peut entraîner des conséquences désastreuses pour le fonctionnement de l’entreprise. De plus, l’augmentation des échanges de données entre différentes entités d’un même écosystème commercial (par exemple, un fournisseur et ses clients) génère de multiples points de vulnérabilité potentiels. Pour ne rien arranger, difficile de se prémunir d’un comportement imprudent d’un collaborateur, mais aussi de la sophistication des attaques informatiques. D’où l’intérêt des audits de sécurité, désormais un must pour évaluer la sécurité des systèmes d’information, tant sur le plan technique qu’organisationnel.
Pourquoi passer par un prestataire PASSI ?
En raison de la montée en flèche des cyberattaques, l’ANSSI a opté pour la délégation d’une grande partie de ses responsabilités à des fournisseurs de services externes. Ainsi, elle a mis en place une qualification dénommée PASSI (Prestataires d’audit de la sécurité des systèmes d’information) pour garantir que les entreprises de cybersécurité engagées respectent les mêmes exigences que les ingénieurs ANSSI.
Vous l’aurez donc compris, opter pour un prestataire PASSI est gage du respect des exigences de l’ANSSI, ce qui se traduit par un audit de sécurité en bonne et due forme. Par ailleurs, il faut garder à l’esprit que, parfois, vous êtes tenu de solliciter un prestataire qualifié PASSI. C’est notamment le cas si vous êtes un Opérateur d’importance vitale (OIV). Dans les grandes lignes, la qualification PASSI témoigne d’une excellente compétence technique, méthodologique et organisationnelle du fournisseur de services, ainsi que de ses employés. En effet, l’ANSSI s’assure que l’entité juridique souhaitant obtenir la qualification PASSI possède un système d’information sécurisé et que les consultants disposent des connaissances et des aptitudes nécessaires dans les cinq principaux domaines d’expertise en matière de cybersécurité : les tests d’intrusion, les audits de configuration, les audits d’architecture, les audits de gouvernance et les audits de code source.
Enfin, lorsqu’un prestataire détient la qualification PASSI, les auditeurs de l’ANSSI contrôlent fréquemment si sa déontologie, son organisation, ses processus et son système d’information continuent de répondre aux normes de qualité requises.
Commentaires