Profitant des Assises de la sécurité qui se déroulent jusqu’à ce dimanche à Monaco, l’Anssi (Agence nationale de la sécurité des systèmes d’information) annonce le lancement d’un référentiel applicable aux PAMS (prestataires d’administration et de maintenance sécurisée).

Devant le développement de l’infogérance en France et l’accroissement du nombre et de la gravité des attaques informatiques dites « supply chain » (qui consistent à atteindre une cible en infiltrant les systèmes d’information de ses partenaires), l’agence veut permettre aux clients d’identifier facilement les prestataires fournissant une qualité de service « à la hauteur des enjeux de sécurité actuels ».

Les exigences formulées par ce schéma de qualification (un référentiel de 66 pages) portent sur le prestataire lui-même, ainsi que sur la sécurité de son système d’information. Elles s’appuient sur des réglementations telles que la directive Network and Information Security (NIS), la loi de programmation militaire (LPM) ou encore la politique de sécurité des systèmes d’information de l’État (PSSIE) et s’ajoutent aux autres réglementations plus générales imposées aux prestataires, notamment en leur qualité de professionnels.

Elles portent sur le fournisseur lui-même, la sécurité de son système d’information fournissant le service au prestataire et sur les actions nécessitant une interaction avec le système d’information administré via l’utilisation de privilèges élevés. Elles prennent également en compte les risques de compromission du système d’information du client associés aux activités du prestataire.

Les fournisseurs de services répondant à l’ensemble des critères du document seront estampillés d’un visa Anssi .

Une première version de ce référentiel des PAMS fait l’objet d’un appel public à commentaires qui prendra fin le 15 décembre prochain.

Après réception et recueil des observations et remarques, l’Anssi procédera à une phase expérimentale afin de tester en conditions réelles l’applicabilité de ce référentiel. Elle recherche en ce moment des candidats pour participer à cette expérimentation.