Audit PASSI

Audit sous qualification PASSI

Vos prestations d’audit réalisées par un prestataire qualifié PASSI ÉLEVÉ sur l’ensemble des portées !

Nous contacter

Partager :

Un audit PASSI, qu’est-ce que c’est ?

Un audit sous qualification PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) est une évaluation de la sécurité d’un système d’information réalisée par un prestataire en cybersécurité qualifié par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Il est important de noter qu’un audit sous qualification PASSI n’est pas un type d’audit, c’est une option disponible pour cinq portées d’audit de sécurité. Il est donc possible de réaliser ces audits sous qualification PASSI ou non.

Synetis est un prestataire qualifié PASSI depuis 2021, couvrant l’ensemble des portées définies par l’ANSSI.

Quels types d’audit peuvent être couverts par la qualification PASSI ?

Les audits pouvant être réalisés sous qualification PASSI sont : 

Ces audits sont réalisés selon un référentiel précis et strict publié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), ils ont pour but de vérifier la conformité d’un système d’information aux différentes exigences en termes de sécurité.
La version courante du référentiel est 2.2.

Avantages de la réalisation d’un audit PASSI

L’un des principaux avantages lié à la réalisation d’un audit sous qualification PASSI, c’est la garantie d’un audit réalisé conformément aux exigences imposées par l’ANSSI.

Les audits réalisés sous qualification PASSI vous assurent une méthodologie d’audit conforme au référentiel de l’ANSSI, ainsi qu’à la norme ISO 19011. Cela  vous garantit un haut niveau de qualité, tant dans les travaux que pour les  livrables fournis.

Ce type d’audit peut être obligatoire selon le secteur d’activité de l’organisation (banque, assurance, Défense, santé…), le Système d’Information concerné  ou le fait de fournir des services vitaux (OIV) ou essentiels (OSE). 

Cela peut également concerner les organisations identifiées dans le cadre de la directive NIS2.

Différents niveaux d’audit sous qualification PASSI

On retrouve trois niveaux d’audit sous qualification PASSI.

Niveau substantiel

Le niveau de qualification substantiel est le premier niveau de garantie sur la compétence du prestataire. Il permet de témoigner de la confiance que l’on peut lui accorder ainsi que sa capacité à protéger les informations et supports relatifs à la prestation.

Dans quel cas faut-il se tourner vers le niveau de qualification substantiel ?

Une prestation de niveau substantiel est recommandée si les risques qui pèsent sur votre Système d’Information sont : 

  • Une menace isolée ;
  • Une menace activiste ;
  • Une menace systémique.

Ce type de menace est souvent dirigée contre une seule organisation, un individu ou un système, sans risque immédiat de propagation ou d’effet en cascade.

 

Exemple de menace : 

  • Hacker ou groupe opportuniste ;
  • Script kiddies ;
  • Menace interne.

Niveau élevé

Le niveau de qualification élevé est le deuxième niveau de garantie. Par rapport au niveau substantiel, celui-ci offre une forte garantie de compétences, de confiance et de protection des informations.

Dans quel cas faut-il se tourner vers le niveau élevé ?

Une prestation de niveau élevé  est recommandée si le risque qui pèse sur votre Système d’Information est une menace stratégique.

Ce type de menaces visent à compromettre ou affaiblir durablement la sécurité, la souveraineté, ou les intérêts à long terme d’une organisation, d’un État ou d’un secteur critique.

Exemple de menaces : 

  • Groupe APT financé par un état / Menace étatique.

Niveau élevé LPM

Le niveau de qualification PASSI-LPM est le niveau de garantie le plus élevé. Il garantit une expertise pointue et des processus adaptés aux Opérateurs d’Importance Vitale (OIV).

Dans quel cas faut-il se tourner vers le niveau élevé LPM ?

Une prestation de niveau élevé LPM doit être envisagée lorsque votre structure est désignée comme un OIV (opérateur d’importance vitale), notamment pour réaliser les contrôles des systèmes d’importance vitale (SIIV) ainsi que les audits des systèmes d’information concernant les informations et supports classifiés FR, UE et OTAN.

Les menaces concernées sont les mêmes que pour le niveau élevé, le niveau LPM est obligatoire si votre organisme est désigné comme étant un OIV.

Les types de menaces cyber

On peut distinguer trois grands types de menaces pouvant cibler votre organisation.

Menace hacktiviste ou isolée

La menace activiste ou isolée se caractérise par des attaques telles que le déni de service ou les  fuites de données. La menace isolée provient souvent d’individus dotés d’outils peu sophistiqués ou d’un accès privilégié dans un Système d’Information. Ce type de menace est menée par un individu isolé ou un groupe hacktiviste.

Menace systémique

La menace systémique est un type de menace pouvant affecter un nombre important d’organisations. On y retrouve notamment la menace cybercriminelle, qui se caractérise souvent par des attaques  à des fins lucratives. Les attaquants utilisent pour cela des rançongiciels ou des fraudes.

Ce type d’attaque est utilisé par des organisations ou des États avec des moyens relativement limités.

Menace stratégique

La menace stratégique est quant à elle caractérisée par des attaques ciblées et qui s’étalent sur la durée. Elle est orchestrée par un État et se distingue par l’ampleur des ressources techniques et organisationnelles déployées, ainsi que par une stratégie de discrétion. 

Les motivations de ces attaques sont notamment l’espionnage ou encore la déstabilisation.

La démarche d’un audit sous qualification PASSI

Illustration des différentes étapes de la réalisation d'un audit PASSI
Démarche Audit PASSI
Illustration des étapes de la réalisation d'un audit PASSI
Démarche d'un audit PASSI

Il est important de noter que la réunion d’ouverture, bien que optionnelle, est recommandée par nos experts.

Concernant les débriefings à chaud avec rapports unitaires, ceux-ci sont réalisés  dans le cas de découverte d’une vulnérabilité critique, quel que soit le niveau d’audit.

Qui peut réaliser des audit PASSI ?

Pour réaliser des audits sous qualification PASSI, il est nécessaire que le prestataire qui réalise l’audit ait obtenu la qualification PASSI délivrée par l’ANSSI.

Les organismes certifiés PASSI sont contrôlés tous les 18 mois par un organisme de qualification mandaté par l’ANSSI.

Pour les niveaux élevés et élevés-LPM, les auditeurs doivent passer sur chacune des 5 portées, un examen écrit et oral tous les 36 mois afin de confirmer leurs compétences.

Nos conseils pour préparer un audit PASSI

Afin de bien préparer son audit sous qualification PASSI, il est important d’anticiper son besoin afin d’arbitrer entre les trois types de qualifications PASSI. 

 

En effet, en fonction du type de qualification et d’audit choisi, les délais avant le lancement de la mission peuvent varier, notamment en fonction du nombre de réunions et d’obligations.


Pour vos audits sous qualification PASSI, n’hésitez pas à contacter nos auditeurs Synetis qualifiés !

Protection et surveillance des si

Nos experts Audit
répondent à vos questions

Contactez-nous

Ces articles pourraient vous intéresser :