PASSI - securite.intrinsec.com · Favoriser le respect de la loi Informatique & Libertés 3 Intrinsec –2015 –Reproduction interdite sans autorisation. RGS ... Le prestataire de

PASSIUn label d’exigence et de confiance ?

INTRINSEC

Site Intrinsecwww.intrinsec.com

Blog Intrinsec sécuritéSecurite.intrinsec.com

Twitter Intrinsec @Intrinsec_Secu

Intrinsec – 2015 – Reproduction interdite sans autorisation

INTRINSEC

Identité

Fondée en 1995, Intrinsec est un acteur historique de la sécurité des systèmes d’information. Structure française, d’environ 250 collaborateurs, dont 50 spécialisés en SSI :

• Evaluation : Test d’intrusion et audit de sécurité

• Conseil : Etudes, Accompagnement RSSI, RSSI Temps partagé

• Sécurité opérationnelle : SOC as a service et CERT-Intrinsec

• Innovation : anticipation, projet d’étude amont

Intrinsec est qualifié PASSI par LSTI depuis juillet 2014 sur les activités suivantes • Audit organisationnel et physique

• Audit de configuration

• Audit d’architecture

• Audit de code source

• Test d’intrusion

Guillaume Lopes / Consultant Sécurité depuis plus de 6 ans• Manager adjoint de l’activité d’Evaluation

• Responsable de la qualification PASSI d’Intrinsec

2Intrinsec – 2015 – Reproduction interdite sans autorisation

RGS

Présentation

RGS : Référentiel Général de Sécurité Référentiel destiné à sécuriser les échanges électroniques de la sphère publique

Un recueil de règles et de bonnes pratiques en matière de sécurité des Systèmes d’Informations (SSI)

Elaboré par L’ANSSI – Agence Nationale de la Sécurité des Systèmes d’Information

La DGME – Direction Générale de la Modernisation de l’Etat

Objectifs Développer la confiance des usagers et des administrations dans leurs échanges

numériques

Favoriser l’adoption de bonnes pratiques en matière de SSI

Adapter les solutions techniques aux besoins SSI identifiés

Favoriser le respect de la loi Informatique & Libertés


RGS

Présentation

Le RGS concerne les Autorités Administratives (AA) Administrations de l'État

Collectivités territoriales

Etablissements publics à caractère administratif

Organismes gérant des régimes de protection sociale

Organismes chargés de la gestion d'un service public administratif

Et implique, donc, aussi les prestataires des AA

Qu’est ce qu’une autorité administrative ? (selon l’ordonnance n°2005-1516 du 8 décembre 2005)

« Sont considérés comme autorités administratives au sens de la présente ordonnance les administrations de l’Etat, les collectivités territoriales, les établissements publics à caractère administratif, les organismes gérant des régimes de protection sociale relevant du code de la sécurité sociale et du code rural ou mentionnés aux articles L. 223-16 et L. 351-21 du code du travail et les autres organismes chargés de la gestion d’un service public administratif »


RGS

Présentation

RGSv.1.0 a été rendu officiel en date du 6 mai 2010 Pas de notion de PASSI

Mais PSCE et PSHE

RGSv2.0 publié en juin 2014 et applicable au 1er juillet 2014 Annexe C : PASSI

Liste des documents constitutifs du RGS http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-

securite/liste-des-documents-constitutifs-du-rgs-v-2-0.html


RGS

Prestataire de confiance

Qu’est-ce qu’un prestataire de confiance ? Atteste de sa conformité à un niveau de sécurité du RGS

Habilité par un organisme de qualification

Types de prestataires de confiance actuellement en place PSCE : Prestataires de services de certification électronique

PSHE : Prestataires de services d’horodatage électronique

PASSI : Prestataires d’audit de la sécurité des systèmes d’information

Ceux qui vont bientôt arriver PDIS : Prestataires de détection des incidents de sécurité

PRIS : Prestataire de réponse aux incidents de sécurité

PSSIN : Prestataire de services sécurisés d’informatique en nuage

…


PASSI

Présentation

Une phase expérimentale a eu lieu de janvier 2012 à juin 2013 avec trois sociétés

HSC, Sogeti et AMOSSYS

A la date de cette présentation 4 sociétés sont qualifiées PASSI

AMOSSYS / INTRINSEC / SOGETI ESEC / SOLUCOM

12 sociétés sont en cours de qualification

CGI Business Consulting / CS Systèmes d’information / DELOITTE CONSEIL /

I-TRACING / OPPIDA / BULL / ADVENS / CONIX Technologies et Services /

ORANGE CONSULTING / LEXSI / THALES Communications & Security SAS / HSC


PASSI

Présentation

Un prestataire ne peut être qualifié PASSI que sur des activités d’audit visées par le référentiel

Une activité d’audit est appelée portée de qualification

Audit d’architecture Conformité des pratiques de sécurité relatives au choix, au positionnement et

à la mise en œuvre des dispositifs matériels et logiciels déployés dans un SI

L’audit peut être étendu aux interconnexions et Internet

Audit de configuration Vérifier la mise en œuvre de pratiques de sécurité conformes à l’état de l’art et

aux exigences de l’audité en matière de configuration du matériel et du logiciel

Audit de code source Analyse de l’ensemble ou d’une partie du code source ou des conditions de

compilation d’une application

Revue manuelle ou automatique du code

L’outil utilisé doit être mentionné dans le rapport !


PASSI

Présentation

Tests d’intrusion Conditions réelles d’une attaque sur le SI

Un test d’intrusion seul n’a pas vocation à être exhaustif En complément d’autres activités

Les tests de vulnérabilités, notamment automatisés, ne représentent pas à eux seuls une activité d’audit au sens du Référentiel

Les vulnérabilités (logicielles) non publiques découvertes lors de l’audit doivent être communiquées à l’ANSSI

Audit organisationnel et physique Revue des politiques et procédures de sécurité de l’audité

Conformité vis-à-vis de l’état de l’art ou des normes en vigueur

Les mesures techniques appliquées sont correctes et efficaces

Les aspects physiques de la sécurité du SI sont couverts

Il est à noter qu’un prestataire ne peut pas être qualifié uniquement sur le test d’intrusion ou l’audit organisationnel et physique

Ces activités menées seules sont jugées insuffisantes


PASSI

Qualification

Modalités de la qualification des prestataires d’audit LSTI est accrédité par le COFRAC et habilité par l’ANSSI

LSTI qualifie le prestataire de sécurité

Le prestataire de sécurité audite le client (audité)

La qualification nécessite que LSTI Audite le siège du prestataire d’audit

Evalue les auditeurs du prestataire d’audit (examens écrits et oraux)

Observe le prestataire d’audit mener un ou plusieurs audits

Actuellement, LSTI est le seul organisme habilité à qualifier les prestataires

La qualification est attribuée pour une durée maximale de 3 ans Un audit de surveillance est prévu au bout de 18 mois après la décision de

qualification


PASSI

Exigences

Exigences relatives aux prestataires d’audit Entité ou partie d’une entité dotée de la personnalité morale

La prestation est réalisée selon une convention d’audit approuvée par le commanditaire

Le prestataire d’audit assume la responsabilité de l’audit

Souscription d’une assurance pour la réalisation des audits

Sous-traitance acceptée (le commanditaire doit accepter)

Respect de la loi française

Description de son organisation d’audit

Pas d’informations trompeuses ou fausses fournies au commanditaire

Impartialité des audits

Livrables en langue française

Respect de l’audité, du personnel et des infrastructures


PASSI

Exigences

Exigences relatives aux prestataires d’audit (suite) Une charte éthique doit être formalisée et signée par tous les auditeurs

Auditeurs en nombre suffisant et compétents

Protection des informations récoltées lors de l’audit

Exigences relatives aux auditeurs Qualités personnelles (ISO 19011 7.2)

Réglementation applicable aux audits

Qualités rédactionnelles et de synthèse, bonne expression orale

Expérience suffisante de l’auditeur

Au moins 1 an dans la SSI

Aptitudes et connaissances spécifiques

Contrat de travail avec le prestataire d’audit


PASSI

Exigences

Exigences relatives au déroulement de l’audit La démarche est identique à l’ISO 19011

Le prestataire doit s’assurer avant le démarrage de l’audit que

Le commanditaire fournit un espace de travail adéquat

Le commanditaire a identifié correctement le périmètre de l’audit

L’audit est adapté au contexte et aux objectifs souhaités

A défaut, le prestataire doit prévenir le commanditaire

Déroulement de l’audit (version RGS) Etablissement de la convention d’audit

Préparation et déclenchement de l’audit

Exécution de l’audit

Elaboration du rapport d’audit

Conclusion de l’audit

Le déroulement de l’audit doit respecter la norme ISO 19011


PASSI

Exigences

Audit du siège du prestataire Locaux et notamment la sécurité physique

Documents utilisés dans le cadre des activités d’audit

Politiques, procédures, livrables, etc.

Protection des informations au niveau Diffusion Restreinte

Rédaction des livrables et tests réalisés sur des machines distinctes

La machine de rédaction ne doit pas être connectée à Internet

Les livrables sont transmis au client uniquement de manière chiffrée

Le système d’information est homologué D.R.

Organisation des audits

Formation du personnel et maintien en compétences

Echantillonnage pour les contrôles techniques


PASSI

Exigences

Suivi d’un audit témoin Observer le prestataire d’audit en conditions réelles

Focus sur le déroulement de l’audit et les compétences de l’auditeur

L’observation est effectuée uniquement aux moments clés d’un audit Réunion d’ouverture de l’audit

Une journée d’audit complète afin d’observer la démarche de l’auditeur

Réunion de clôture


PASSI

Exigences

Evaluation des compétences des auditeurs Un examen écrit

Un examen oral

Une étude du CV de l’auditeur

Examen écrit Test commun sur l’ISO 19011 et le RGS

L’obtention de ce test est nécessaire pour valider les portées de qualification

Un test pour chaque activité d’audit souhaitée

Les tests comportent des QCM et des questions libres

Examen oral Uniquement sur les portées obtenues à l’écrit

Les résultats de l’écrit sont utilisés

En général, 3 personnes dans le jury Une personne de LSTI

Un enseignant chercheur (ex: SUPELEC)

Un auditeur


PASSI

Exigences

Une attestation de compétence est fournie par LSTI au prestataire indiquant les portées obtenues par l’auditeur

Cette attestation est valable 3 ans, ensuite repassage de l’examen

L’attestation de compétence est liée à l’entreprise

Si le consultant quitte la société, il doit repasser les examens

L’attestation peut être communiquée aux clients du prestataire qui en font la demande

Un registre des auditeurs qualifiés est maintenu par LSTI mais ne sera pas divulgué publiquement

L’auditeur ne peut pas faire de publicité publiquement à titre individuel sur le fait qu’il soit PASSI


PASSI

En pratique

L’obtention de la qualification PASSI prend du temps !!! Gros effort sur les moyens techniques et la documentation

Mise en place d’une infrastructure Diffusion Restreinte Infrastructure isolée du réseau classique de l’entreprise

Contrôle d’accès physique renforcé

Postes de travail supplémentaires pour la rédaction

Temps de formation et d’examen des auditeurs Une demi-journée pour l’examen écrit

Une demi-journée pour l’examen oral

Temps de préparation (revue de l’ISO 19011 et du RGS)

Audit témoin Temps de recherche pour trouver un client acceptant que LSTI soit observateur de

l’audit


PASSI

Avantages

Le PASSI permet d’utiliser un vocabulaire commun Un test d’intrusion est bien différencié d’un scan de vulnérabilités

Une définition pour chaque type de prestation est fournie

Et les tests attendus sont précisés

Le PASSI apporte de la confiance aux parties prenantes Le processus de qualification rassure les commanditaires et audités

L’ANSSI est porteur de ce règlement

Le PASSI permet d’avoir une démarche commune Réunion d’ouverture et de clôture

Prévenir le client en cas de vulnérabilités

…

Et surtout la démarche se base sur la norme ISO 19011


PASSI

Limites

L’appel à des prestataires qualifiés n’est pas obligatoire ! Nombre d’appel d’offres publics n’intègre pas cette dimension et/ou accorde une

importance relativement faible dans l’évaluation

La nécessité de recourir à des produits de sécurité ou à des prestataires de services de confiance a été régulièrement rappelée par le Premier ministre, ainsi il est recommandé […] de prendre en considération, pour le choix des prestataires, en plus de leur qualification, leur éventuelle certification selon la norme ISO 27001 ou d’ autres normes équivalentes (RGSv2 7.9)

Les autorités administratives doivent, autant que possible, faire appel à des prestataires ayant obtenu une qualification (RGv2 7.11)

Si une AA ne fait pas appel à un prestataire qualifié elle doit pouvoir démontrer que le prestataire choisi respecte les exigences du RGS

Il reste encore un travail d’évangélisation auprès des AA


PASSI

Limites

Est-ce que les commanditaires vont respecter les règles ? Demander un audit uniquement avec des consultants ayant été qualifiés PASSI

mais sans respect de la démarche

Demander un audit en respectant toutes les conditions du PASSI mais sans souhait que l’audit soit une prestation qualifiée

Est-ce que toutes les sociétés pourront se permettre d’être labellisées ? Est-ce un intérêt ?

Si tous les cabinets d’audit sont labellisés, est-ce que le PASSI demeure un élément différenciant ?

L’augmentation du nombre de labels ne va-t-elle pas apporter de la confusion auprès des commanditaires ?


INTRINSEC

Questions

Guillaume LOPESConsultant Sécurité

[email protected]

Site Web Intrinsecwww.intrinsec.com

Blog Sécurité Intrinsecsecurite.intrinsec.com

Intrinsec01 41 91 77 77

[email protected]

Twitter@Intrinsec_Secu
