AlgoSecure valide la qualification PASSI

novembre 2020 par Marc Jacob

C’est un référentiel d’exigences applicable aux prestataires d’audit de la sécurité des systèmes d’information, publié par l’ANSSI (définition officielle !). Être qualifié PASSI signifie donc que nos auditeurs ont validé les exigences de l’ANSSI en termes de management d’audit : une garantie d’expertise, en somme.

Le PASSI certifie non seulement les compétences techniques d’un auditeur, mais aussi ses qualités humaines et managériales, ainsi que la capacité de la structure en elle-même à accueillir et mener un audit. Parce que ce n’est pas d’une suite d’étapes technique, mais cela représente un processus hautement sensible ; ce sont vos données que nous avons entre les mains, c’est essentiel pour nous de garantir leur confidentialité et leur intégrité !

La qualification se base sur la notation de notre respect et maîtrise :

des aspects contractuels, de la législation et de la règlementation et de l’impartialité

de la protection de l’information

des exigences de qualité et de sécurité de nos process d’audit

de la compétence de notre équipe pour les activités qualifiées

On peut identifier trois points déterminants pour valider la qualification PASSI : la gestion structurelle (sécurité des locaux), la gestion organisationnelle (suivi du processus règlementaire et de notre démarche sécuritaire), et la gestion technique (compétences techniques de l’auditeur, classées par spécialité) .

Pourquoi la qualification PASSI est-elle si difficile à obtenir ?

Il s’agit du plus haut niveau de qualification pour les prestataires d’audit de sécurité des systèmes d’information en France ; le seul validé par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information). Le nombre d’entreprises qualifiées PASSI en France étant limité, nous sommes ravis d’intégrer ce cercle restreint.

Ça signifie quoi d’être qualifié PASSI, concrètement ?

Obtenir la qualification PASSI signifie que des auditeurs mandatés par l’ANSSI sont venus auditer notre structure et nos process : matériel utilisé, sécurité des locaux, configuration du système d’information... Ensuite, les membres de l’équipe audit d’AlgoSecure ont passé des examens écrits, puis validé un entretien oral sur les compétences et leur capacité à mener un audit de sécurité informatique PASSI. Au sein d’AlgoSecure, nous sommes d’ores et déjà qualifiés en audit d’architecture, audit de configuration, test d’intrusion, et audit organisationnel et physique. Quatre des cinq portées du référentiel de l’ANSSI, c’est déjà pas mal !

Cette qualification est donc le moyen le plus sûr de donner des garanties aux entreprises qui font appel à nous, que ce soit au niveau technique ou juridique. Non seulement les audits sont réalisés dans les règles de l’art, mais nous garantissons également la sécurité de la gestion et la conservation des données récoltées. C’est donc sans conteste un label de confiance pour nos clients ! Audit PASSI ou non PASSI (telle est la question) ?

Les process d’audit "classique" et audit PASSI sont différents, et nous vous conseillerons toujours sur la pertinence de passer ou non par un audit PASSI en fonction de la sensibilité de vos données et des enjeux : mais un audit PASSI aura toujours plus de poids auprès de vos interlocuteurs !

Maintenant qu’on a le PASSI, quelle est la suite ?

Trois autres collaborateurs passeront et valideront ans aucun doute les tests oraux du PASSI fin 2020, consolidant ainsi notre panel de consultants qualifiés. La qualification PASSI couronne des mois de travail, mais surtout des années d’expertise de notre équipe, qui continue à mettre ses compétences en audit, pentests et accompagnement au service des entreprises qui souhaitent assurer la sécurisation de leur système d’information.

Après, ma qualification PASSI, AlgoSecure souhaite qualifiés PRIS (Prestataires de Réponse aux Incidents de Sécurité) ce qui placerait la société parmi les huit entreprises françaises qualifiées par ce référentiel dédié aux activités de pilotage technique, d’analyse système, d’analyse réseau et de codes malveillants.