Audits de Cybersécurité : pourquoi choisir un prestataire qualifié PASSI ?
Aujourd’hui, la sécurité des systèmes d’information est un enjeu crucial pour toutes les entreprises et organisations. Comme elle nécessite des connaissances de pointe dans des champs d’application extrêmement variés, il est important de faire appel à un prestataire qualifié PASSI. Les experts Hub One, l’un des leaders français du secteur, expliquent pourquoi.
L’interconnexion croissante des réseaux et les besoins de dématérialisation des processus ou des documents exposent les systèmes d’information à des risques d’attaques et d’intrusion de plus en plus importants. Pour s’en protéger, les entreprises doivent impérativement sécuriser leur système d’information de façon adaptée et proportionnée.
Les mesures de sécurité mises en place dans ce but peuvent être de différentes natures : physiques, organisationnelles et techniques. Sur ce dernier point, la complexité des systèmes et des attaques impose des connaissances de pointe dans des champs d’application extrêmement variés. La tâche doit donc être confiée à des experts, qui sont le plus souvent externes aux organismes, selon un article dédié publié sur le site de Hub One.
Un audit pour éprouver et améliorer le niveau de sécurité de son système d’information
Ces prestataires externes seront chargés de mener un audit de cybersécurité en bonne et due forme afin de résoudre le problème. L’audit est l’un des moyens à disposition de tout organisme pour éprouver et améliorer le niveau de sécurité de son système d’information. Il permet, en pratique, de mettre en évidence les forces mais surtout les faiblesses et vulnérabilités de ce système d’information en menant une série d’actions. Ce sont : les tests d’intrusion, les tests de configuration, les audits d’architecture et les audits de la politique de sécurité des entreprises. Pour garantir la bonne réalisation de cet audit, il est fortement recommandé d’avoir recours à un prestataire qualifié PASSI par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
La qualification PASSI justifie de la qualité de l’auditeur
L’ANSSI a créé la qualification PASSI (Prestataires d’audit de la sécurité des systèmes d’information) afin de s’assurer que les sociétés de sécurité informatique missionnées respectent le même cahier des charges que ses ingénieurs. Obligatoire pour intervenir dans les OIV (Opérateurs d’importance vitale), la qualification PASSI apporte la garantie de conditions d’audit sécurisées. Elle atteste d’un haut niveau technique, méthodologique et organisationnel du prestataire, mais aussi des collaborateurs qu’il emploie.
Le prestataire se remet à niveau constamment
Il faut noter que la qualification PASSI n’est pas donnée comme un diplôme définitif. Elle vérifie régulièrement que la déontologie, l’organisation, les process et le système d’information d’un prestataire répondent toujours à la qualité attendue. Si ce n’est plus le cas, l’ANSSI demande au consultant de se remettre à niveau. Cela l’oblige à être toujours à jour en matière de sécurité des systèmes d’information.