AlgoSecure valide la qualification PASSI

JéromineLe 24 novembre 2020

AlgoSecure valide la qualification PASSI

La bonne nouvelle de fin 2020 : après des mois de travail acharné, d'audits et d'examens, AlgoSecure a validé la qualification PASSI (Prestataires-Auditeurs de la Sécurité des Systèmes d'Information) : un pas de géant pour l'équipe !

Visa de sécurité de l'ANSSI

PASSI, expliquez-moi ce terme

C'est un référentiel d'exigences applicable aux prestataires d'audit de la sécurité des systèmes d'information, publié par l'ANSSI (définition officielle !). Être qualifié PASSI signifie donc que nos auditeurs ont validé les exigences de l'ANSSI en termes de management d'audit : une garantie d'expertise, en somme.

Le PASSI certifie non seulement les compétences techniques d'un auditeur, mais aussi ses qualités humaines et managériales, ainsi que la capacité de la structure en elle-même à accueillir et mener un audit. Parce que ce n'est pas d'une suite d'étapes technique, mais cela représente un processus hautement sensible ; ce sont vos données que nous avons entre les mains, c'est essentiel pour nous de garantir leur confidentialité et leur intégrité !

La qualification se base sur la notation de notre respect et maîtrise :

  • des aspects contractuels, de la législation et de la règlementation et de l'impartialité
  • de la protection de l'information
  • des exigences de qualité et de sécurité de nos process d'audit
  • de la compétence de notre équipe pour les activités qualifiées

On peut identifier trois points déterminants pour valider la qualification PASSI : la gestion structurelle (sécurité des locaux), la gestion organisationnelle (suivi du processus règlementaire et de notre démarche sécuritaire), et la gestion technique (compétences techniques de l'auditeur, classées par spécialité) .

« Dans le cadre de mes missions d'auditeur à AlgoSecure, j'ai été amené à passer la qualification PASSI. Celle-ci permet de valider mes compétences techniques, mes qualités d'auditeur et de responsable d'équipe d'audit, ainsi que le respect des procédures imposées par le règlement de la qualification et par la norme ISO 19011. La préparation de cette qualification a demandé du temps et de l'engagement, à la fois pour la préparation des examens individuels, mais aussi pour l'amélioration du niveau de sécurité de notre infrastructure informatique. Je suis fier d'avoir participé à ce projet qui contribue à démontrer la qualité des prestations d'audit d'AlgoSecure ! » Témoignage de Benjamin, un de nos consultants qualifié PASSI

Pourquoi la qualification PASSI est-elle si difficile à obtenir ?

Il s'agit du plus haut niveau de qualification pour les prestataires d'audit de sécurité des systèmes d'information en France ; le seul validé par l'ANSSI (Agence Nationale de Sécurité des Systèmes d'Information). Le nombre d'entreprises qualifiées PASSI en France étant limité, nous sommes ravis d'intégrer ce cercle restreint.

Ça signifie quoi d'être qualifié PASSI, concrètement ?

Obtenir la qualification PASSI signifie que des auditeurs mandatés par l'ANSSI sont venus auditer notre structure et nos process : matériel utilisé, sécurité des locaux, configuration du système d'information... Ensuite, les membres de l'équipe audit d'AlgoSecure ont passé des examens écrits, puis validé un entretien oral sur les compétences et leur capacité à mener un audit de sécurité informatique PASSI. Au sein d'AlgoSecure, nous sommes d'ores et déjà qualifiés en audit d'architecture, audit de configuration, test d'intrusion, et audit organisationnel et physique. Quatre des cinq portées du référentiel de l'ANSSI, c'est déjà pas mal !

Cette qualification est donc le moyen le plus sûr de donner des garanties aux entreprises qui font appel à nous, que ce soit au niveau technique ou juridique. Non seulement les audits sont réalisés dans les règles de l'art, mais nous garantissons également la sécurité de la gestion et la conservation des données récoltées. C'est donc sans conteste un label de confiance pour nos clients !

Audit PASSI ou non PASSI (telle est la question) ?

Les process d'audit "classique" et audit PASSI sont différents, et nous vous conseillerons toujours sur la pertinence de passer ou non par un audit PASSI en fonction de la sensibilité de vos données et des enjeux : mais un audit PASSI aura toujours plus de poids auprès de vos interlocuteurs !

Maintenant qu'on a le PASSI, quelle est la suite ?

On continue, on itère, on performe, on évolue ! Trois autres collaborateurs passeront et valideront ans aucun doute les tests oraux du PASSI fin 2020, consolidant ainsi notre panel de consultants qualifiés. La qualification PASSI couronne des mois de travail, mais surtout des années d'expertise de notre équipe, qui continue à mettre ses compétences en audit, pentests et accompagnement au service des entreprises qui souhaitent assurer la sécurisation de leur système d'information.

On se lance aussi dans une nouvelle aventure, celle d'être qualifiés PRIS (Prestataires de Réponse aux Incidents de Sécurité) ce qui nous placerait parmi les huit entreprises françaises qualifiées par ce référentiel dédié aux activités de pilotage technique, d'analyse système, d'analyse réseau et de codes malveillants.

Vivement 2021 !

Vous souhaitez avoir plus d'informations sur nos audits PASSI et non PASSI ? N'hésitez pas à nous contacter !

Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.