Pour leurs audits de sécurité, les autorités administratives doivent désormais recourir à des prestataires homologués respectant un référenciel d’exigences que vient de publier L’ANSSI (Agence nationale de la sécurité des systèmes d’information). Elaboré en concertation avec les acteurs concernés, ce référenciel prévoit notamment que les prestatataires d’audit de la sécurité des systèmes d’information (PASSI) soient certifiés par un organisme de certification indépendant, lui-même accrédité par l’autorité compétente (Cofrac).
La qualification impose un certain nombre d’obligations (notamment que le prestataire d’audit ne fasse pas travailler d’auditeur sans relation contractuelle, qu’il autorise l’accès à ses locaux, qu’il donne accès à l’ensemble des documents utilisés, qu’il déclare les vulnérabilités non publiques au CERTA…) et que la compétence technique de chacun des auditeurs soit évaluée par un examen écrit et oral et par la réalisation d’une prestation sur site client.
« Ce référenciel devrait surtout permettre de réordonner le marché des audits de sécurité, estime Hervé Schauer, dont le cabinet de conseil fait partie des trois sociétés certifiées (avec Amossys et Sogeti France). Depuis quelques temps certaines sociétés de services ont tendance à vendre à perte ces prestations d’audit de sécurité qu’elles utilisent comme un moyen d’entrer dans les administrations pour y vendre des prestations récurrentes. Du coup, ces audits sont de moins en moins bonne qualité et ne répondent plus aux attentes des donneurs d’ordre. »
Ce référenciel est destiné à être intégré dans la prochaine version du référenciel général de sécurité (RGSv2) à paraître prochainement, ce qui le rend applicable dès maintenant pour toutes les administrations organismes public et affiliés mais également pour tous les sous-traitants et opérateurs d’importance vitale. Outre les trois prestataires d’audit précités, un organisme de certification a également été certifié : LSTI.