Assises de la sécurité 2019 : vers un référentiel pour les prestataires de services IT

Philippe Leroy,

La première version d’un référentiel d’exigences pour les Prestataires d’administration et de maintenance sécurisées (PAMS) est lancé. L’objectif de l’ANSSI est de relever le niveau de sécurité des interventions.

Monaco –  Envoyé spécial – L’ANSSI poursuit la création de référentiels pour encadrer les pratiques des prestataires de l »écosystème cyber. Après celui dédié aux PDIS (Prestataires en Détection d’Incidents de Sécurité) dont les premières certifications ont été délivrées en janvier, le processus est engagé pour le futur référentiel des PAMS, les prestataires d’administration et de maintenance sécurisées.

Un appel à candidatures vient d’être lancé sur une première version ( le texte est disponible ici) qui doit aboutir en décembre à une « V2 » du référentiel qui sera testé en conditions réelles lors d’une phase expérimentale. « C’est un sujet complexe car il y a beaucoup de prestataires dans le domaine, beaucoup plus que dans celui de la détection » a indiqué Guillaume Poupard, lors d’un point presse aux Assises de la sécurité. Mais pas question de céder à la précipitation  » nos référentiels sont exigeants mais c’est ce qu’il faut pour être efficace. Quand on les détaille, il est impossible de supprimer la moindre ligne » a justifié le DG de l’ANSSI, comme pour répondre aux critiques sur l’extrême exigence de ses certifications. 

Dans les allées du salon, le nouveau référentiel est accueilli sans enthousiasme. D'abord parce que sa finalisation va être (très) longue et que les interlocuteurs rencontrés admettent ne pas avoir eu le temps de détailler le document. Mais surtout parce que que le business des services IT, porté par ls projets Cloud, est en bonne santé...sans référentiel.
Aux Assises, Sopra Steria s'est tout de même réjoui dans un tweet d'avoir participé à sa V1.