Dans la lignée du Cybersecurity Act, le référentiel PASSI à deux niveaux se concrétise
L'ANSSI a mis à jour le référentiel PASSI (prestataires d'audit de la sécurité des SI) pour l'aligner sur le Cybersecurity Act. Aperçu de quelques évolutions.
"Substantiel" ou "élevé" ?
En 2013, lorsque fut livrée la première version applicable du référentiel PASSI (qualification des prestataires d'audit de la sécurité des systèmes d'information), cette distinction de niveau d'assurance n'existait pas.
Elle en est aujourd'hui partie intégrante, en cohérence avec un texte européen : le Cybersecurity Act, adopté en 2019.
Les niveaux "substantiel" et "élevé" étaient arrivés dans le référentiel PASSI l'an dernier avec la version 2.1-a.
Ils demeurent dans la dernière mise à jour (2.2), que l'ANSSI vient d'officialiser.
Lire aussi : RGPD : le cas des offres "sur étagère" dans le futur référentiel de certification des sous-traitants
Une articulation PACS-PASSI assouplie
De nombreuses exigences générales applicables aux PASSI ont une rédaction plus synthétique dans la version 2.2 du référentiel. C'est valable dès la première, à savoir que le prestataire doit être une personne morale.
Plusieurs exigences générales disparaissent, comme celle de mobiliser des personnes physiques différentes en cas de réalisation d'une prestation PACS (accompagnement et conseil) puis d'une prestation PASSI à moins d'un an d'intervalle. Même chose pour ce qui est du devoir d'information du commanditaire lorsque ce dernier est tenu de déclarer un incident de sécurité à une instance gouvernementale.
L'attestation individuelle de compétence, corollaire du niveau "élevé"
Parmi les dispositions apparues avec la version 2.2, il en est une qui touche à la gestion des personnels. Elle établit que le prestataire peut, avec l'accord du commanditaire, incorporer, dans l'équipe d'audit, des personnes ne disposant pas d'attestation individuelle de compétence. Mais qu'elles seront des observateurs (pas de participation à la réalisation de la prestation).
La notion d'attestation individuelle de compétence jalonne le référentiel PASSI 2.2. Elle est l'un des corollaires du niveau d'assurance "élevé". Lequel a ses propres exigences y compris sur le volet gestion des personnels. Par exemple, s'assurer qu'aucun membre de l'équipe d'audit ne fait l'objet d'une inscription au casier judiciaire incompatible avec l'exercice de ses missions. Un élément qui figurait déjà dans la version 2.1-a, avec une rédaction plus précise (englobant les personnels résidant hors du territoire français), mais qui n'était alors pas spécifique au niveau "élevé".
Au niveau "élevé", une revue semestrielle des droits d'accès
La version 2.2 du référentiel PASSI aborde le cas des prestataires amenés à connecter un même équipement à un leur SI homologué et au SI audité. En l'espèce, il leur apprtient de mettre en oeuvre des mesures de sécurité adaptées. Le niveau "élevé" n'exige pas que ces équipements soient homologués Diffusion Restreinte si le SI audité ne l'est pas lui aussi.
En revanche, il est désormais établi que les prestataires doivent réalsier, tous les 6 mois, une revue des droits d'accès sur leur SI. Dans le même temps, le référentiel ne fait plus mention du devoir de conseil vis-à-vis du commanditaire pour ce qui est de proposer un marquage adapté des informations et supports relatifs à la prestation selon leur niveau de sensibilité.
Au moins un an d'expérience dans l'audit SSI
Concernant les auditeurs, une des recommandations inscrites dans la version 2.1-a disparaît avec la version 2.2. En l'occurrence, celle qui invite les auditeurs à contribuer à l'évolution de l'état de l'art par une participation à des événements professionnels dans leurs domaines de compétence, à des travaux de recherche ou à la publication d'articles.
Il y a également du changement sur la durée d'expérience requise. Désormais, il faut avoir passé au moins un an dans le domaine de l'audit de la sécurité des SI. La version 2.1-a imposait cette même exigence, en plus d'un an dans la SSI et de deux ans dans les SI.
Prestation
La version 2.1-a imposait, au niveau "élevé", que le prestataire vérifie que le commanditaire ait identifié correctement le périmètre de la prestation. Ce n'est plus d'actualité avec la version 2.2.
La rédaction simplifiée constatée pour les exigences générales vaut aussi pour celles associées au contenu de la convention de service. Pour autant, l'ANSSI a introduit des éléments nouveaux, dont la nécessité de préciser que le commanditaire peut déposer une réclamation auprès d'elle lorsqu'il estime que le prestataire n'a pas respecté une ou plusieurs exigences du référentiel. Ou encore de spécifier que le prestataire ne collecte et n'audite que les informations et supports strictement nécessaires.
La rédaction plus synthétique s'assortit d'une restructuration. La constitution de la note de cadrage, par exemple, passe de l'étape 2 (élaboration de la convention de service) à l'étape 3 (préparation de la prestation). À ce sujet, la dernière version du référentiel PASSI ajoute, au niveau "élevé", l'exigence d'annexer les attestations individuelles de compétence du responsable d'équipe et des auditeurs. Et, qu'importe le niveau, d'ajouter des mesures particulières sur lesquelles sensibiliser le commanditaire (dont la mise en place de mesures de sauvegarde du SI audité).
Des configurations aux codes sources, un périmètre d'audit plus précis
La référentiel gagne en précision concernant les éléments que le PASSI doit être capable d'évaluer.
Sur l'audit de configuration, la version 2.1-a listait les équipements de sécurité et leurs règles de filtrage, les SI,les équipements réseau et (au niveau "élevé") les environnements de virtualisation. La version 2.2 mentionne les annuaires d'utilisateurs, les composants de sécurité physique, les composants réseau, les composants de sécurité réseau, les composants de sécurité locaux, les applications, ainsi que les environnements cloud, de conteneurs et de virtualisation.
Sur l'audit de code source, la capacité à évaluer les contrôles d'accès aux ressources et les interactions avec d'autres apps n'est plus réservée au niveau "élevé". La version 2.2 du référentiel y ajoute la validation des données.
L'obligation d'une restitution "à chaud"
En matière de restitution, la version 2.2 ajoute le fait que le responsable d'équipe doit organiser à chaque fin de journée une restitution "à chaud". En parallèle, une exigence jusqu'alors sans niveau d'assurance associé passe à "élevé" : le fait que le responsable d'équipe doit, dès la fin des activités d'audit et sans attendre l'achèvement du rapport, fournir au commanditaire des supports écrits. Un pour chaque non-conformité majeure et/ou vulnérabilité dont l'exploitation pourrait engendrer des risques critiques.
À l'inverse, une recommandation que la version 2.1-a du référentiel associait au niveau "élevé" est désormais applicable à toutes les prestations. Son objet : l'organisation d'une réunion de clôture avec le commanditaire et/ou le bénéficiaire. Y sera présenté le rapport d'audit, ainsi que des scénarios d'exploitation de certaines failles, des recommandations et la suite à donner à la prestation.
Illustration © unchained - Adobe Stock
Sur le même thème
Voir tous les articles Cybersécurité