bakhtiarzein - Fotolia
Audit : dans les coulisses de la certification PASSI
L’Anssi a organisé la certification des prestataires d’audit de sécurité en France. Retour sur ce processus avec l’expérience d’I-Tracing.
I-Tracing a fêté ses dix 10 ans fin 2015 en célébrant son entrée dans le club des prestataires d’audit de la sécurité des systèmes d’information certifiés. Un club où l’on trouve notamment Advens, BT Services, Bull, Hervé Schauer Consultants, Intrinsec, Lexsi, Orange cyberdéfense, ou encore Solucom et Thales C&S.
Laurent Besset, directeur associé I-Tracing, explique que le prestataire a saisi l’opportunité d’un processus de certification apparu alors qu’il cherchait précisait à développer une activité qu’il ne proposait initialement qu’à la demande de quelques clients : à l’origine, I-Tracing s’est construit autour du besoin de traçabilité des actions sur les systèmes d’information, proposant des services de forensics, de surveillance des systèmes sensibles, ou encore de SOC. Et c’est fin 2013 que l’entreprise a décidé de créer un pôle dédié à l’audit de sécurité pour le développer. Dans ce contexte, la certification PASSI formalisée par l’Agence nationale pour la sécurité des systèmes d’information (Anssi) constituait une opportunité pour rendre ce nouveau pôle plus visible sur le marché. Le tout en « capitalisant sur un référentiel existant pour accélérer la construction et l’industrialisation de l’activité en interne », explique Laurent Besset.
Un processus relativement rapide
C’est en mai 2014 qu’I-Tracing s’est effectivement lancé dans le processus de certification. La première phase consiste essentiellement en la communication de modèles documentaires ou encore de justificatif relatifs aux auditeurs. « C’est très proche de ce que l’on retrouve la page amont d’autres certifications ». Un gros travail pour une structure modeste très mobilisée sur l’opérationnel. Le package requis n’a été ainsi transmis que fin juillet 2014. Après quelques aller-retours, l’éligibilité a été acquise à la fin du mois d’août.
Est ensuite venue la phase d’observation du siège : « c’est un audit de la manière dont on travaille, en tant qu’entreprise et qu’équipe ». Cette phase est complétée par une observation sur site des prestations d’audit, dont notamment la restitution aux clients. Mais pour cela, I-Tracing a dû faire face à un léger contretemps. Au bout de trois mois pour préparer un système d’information dédié aux activités d’audit et cloisonné pour assurer la confidentialité des données des clients, la visite du siège devait survenir fin novembre 2014. Au milieu d’un emménagement des équipes d’audit dans de nouveaux locaux qui ne s’est pas déroulé avec toute la fluidité espérée. Il a fallu en fait 4 mois pour finir l’emménagement. Les équipes de certification ont donc été amenée à revenir auditer le siège d’I-Tracing en juin 2015.
Des examens scolaires
Ce temps, le prestataire l’a mis à profit pour lisser les examens de ses auditeurs de sécurité entre janvier et septembre 2015. Des examens qui, pour Laurent Besset, présentent un certain décalage avec « le monde dans lequel on vit en 2015, avec beaucoup d’informations en ligne et où l’on est moins dans l’apprentissage par cœur que dans la capacité à intégrer des démarches et à trouver l’information ». Selon lui, d’excellents auditeurs pourraient ainsi se retrouver recalés à l’oral en particulier.
Positif, toutefois, Laurent Besset juge le processus très qualitatif : « quelqu’un qui n’a jamais fait de test d’intrusion pourra peut-être passer l’écrit, mais il ne réussira pas l’oral ».
Alors, certes, le processus de certification « reste une ISO ; il y a toute une partie où l’on a l’impression de passer l’ISO 9001 ou 9002 ». Mais il n’y a toutefois pas de redondance : « le processus est clairement dédié aux activités d’audit de sécurité ».
I-Tracing a obtenu sa certification PASSI début octobre 2015. Selon Laurent Besset, sans les imprévus, cela aurait pu ne prendre qu’un an. Surtout, « on peut l’obtenir en six mois avec de meilleurs conditions et en y accordant une plus grande priorité ».
Reste à mesurer les retombées économiques de la certification : « on ne sait pas encore ». Mais les clients existants semblent toutefois apprécier et certains ont encouragé I-Tracing durant le processus. Pour Laurent Besset, être certifié PASSI semble en tout cas être une bonne chose : « c’est en train de généraliser. Tout le monde va se retrouver sur un pied d’égalité ». Sauf les prestataires qui ne seront pas certifiés.