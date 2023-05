Substantiel ou élevé ? La qualification PRIS (prestataire de réponse aux incidents de sécurité) devrait bientôt s’articuler en ces deux niveaux d’assurance. La future version du référentiel d’exigences associé en témoigne. L’ANSSI vient de la mettre en ligne pour un appel public à commentaires.

Les OIV, en particulier, ne pourront s’appuyer que sur des PRIS qualifiés au niveau « élevé ». Ces derniers auront des obligations spécifiques parmi celles que la version actuelle du référentiel impose à tous les prestataires. Par exemple, dans le cadre de la préparation de leurs missions, mettre en place un registre recensant chaque action réalisée sur les SI cibles. Puis, lors de l’exécution de leurs missions :

– Maintenir à jour une synthèse du mode opératoire des attaquants et du périmètre concerné

– Tenir une liste des types d’informations techniques qu’ils sont en mesure de collecter par type d’équipement

– Disposer de solutions adaptées à la copie physique de supports de données et à la copie mémoire des architectures rencontrées

Concernant ces prestations, l’ANSSI compte les réorganiser en quatre grandes « activités ». Nommément, la recherche d’indicateurs de compromission (REC), l’investigation numérique (INV), le pilotage d’investigation et d’analyse (PIA) et l’analyse de code malveillant (CODE).

Dans ce schéma, on oublie la segmentation que la version actuelle du référentiel établit. En l’occurrence, recherche d’indicateurs de compromission, investigation numérique sur périmètre restreint (jusqu’à une dizaine de postes), pilotage de l’investigation numérique sur large périmètre et analyse de code malveillant.

Sous le « nouveau régime », les activités ou combinaisons d’activités qui seront prises en compte dans la portée de la qualification seront :

REC + INV

REC + INV + PIA

CODE

Une exigence de souveraineté pour les PRIS

Au chapitre des exigences générales, un critère de souveraineté fait son apparition. Il ne s’agit désormais plus de « respecter la législation et la réglementation en vigueur sur le territoire national », mais d’« être soumis au droit d’un État membre de l’UE et respecter les droits et règlements qui lui sont applicables ».

À ce même chapitre, l’ANSSI projette de simplifier nombre d’aspects. En particulier, d’éliminer les exigences explicites de charte d’éthique et d’assurance professionnelle couvrant les éventuels dommages causés aux commanditaires. Et, plus globalement, l’obligation pour les prestataires d’assumer la responsabilité des activités réalisées.

En matière de protection de l’information, le référentiel évoluerait pour distinguer deux scénarios d’utilisation de moyens informatiques. D’une part, si le bénéficiaire fournit l’ensemble des équipements à utiliser. De l’autre, si le prestataire utilise tout ou partie de son SI.

Dans le premier scénario, le prestataire aurait un devoir de conseil vis-à-vis de la protection des informations relatives à la prestation. Dans le second, la fourniture de prestations de niveau « élevé » nécessiterait un SI de niveau diffusion restreinte. Les activités de rédaction devrait y être effectuées par défaut.

Si ce SI est utilisé pour d’autres prestations (PASSI, PACS…), il s’agira de mettre en place au minimum un cloisonnement logique, autant entre les activités qu’entre les commanditaires. Et d’appliquer a minima le niveau « renforcé » du guide d’hygiène informatique de l’ANSSI.

L’ANSSI veut imposer la note de cadrage

Des simplifications, il y en a aussi sur les exigences spécifiques au déroulement des prestations. Disparaissent, par exemple, celles qui touchent à :

– Signature préalable d’un accord de non-divulgation

– Description du processus d’enregistrement et de traitement des plaintes

– Définition des responsabilités et des précautions d’usage à respecter concernant les risques potentiels en matière de confidentialité des informations

La notion de note de cadrage fait son apparition. Elle réunit diverses exigences de documentation organisationnelle (noms, rôles, responsabilités, droits des personnes désignées par le prestataire et le commanditaire) et juridique (exigences légales et réglementaires auxquelles est soumis le SI cible).

Sur l’exécution même de la prestation, le SaaS s’ajoute à la liste des équipements sur lesquels les analystes doivent pouvoir collecter des informations techniques. En parallèle, il est désormais explicitement demandé aux prestataires de proposer, le cas échéant, des mesures d’endiguement et d’isolation.

Une partie des exigences concernant les recherches en sources ouvertes ne seraient plus applicables qu’au niveau d’assurance élevé. Entre autres :

– Définir une méthodologie

– Horodater et conserver les résultats obtenus

– Réaliser les recherches à partir de liaisons internet démarquées sans lien direct avec le prestataire ou le commanditaire

