PASSI

ADACIS, entreprise de Nouvelle Aquitaine, a reçu le 15/04/2020 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI_FR) le Visa de sécurité pour la qualification PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) de ses prestations: (décision de qualification n°20059)

Les solutions qualifiées (comme PASSI) ont été éprouvées par l’ANSSI et sont recommandées par l’État.

Cette qualification PASSI est le fruit de plus de 15 ans d'expérience

Cette qualification est le fruit de plus de 15 ans d’expérience et d’expertise en sécurité informatique, et de l’investissement de toute notre équipe.

  1. PASSI, un gage de Confiance
  2. Audits réglementaires
  3. Le déroulement d’un audit PASSI
  4. Des auditeurs et une expertise
  5. Un audit indépendant et éthique
  6. Une qualité d’Audit pour tous
  7. Le coût d’un audit

PASSI, un gage de confiance

L’ANSSI, service du Premier ministre rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN), assure la sécurité et la défense des systèmes d’information de l’État et des opérateurs d’importance vitale (OIV) en créant les conditions d’un environnement de confiance. Promotrice de solutions et de savoir-faire, l’ANSSI participe à la protection et à la défense du potentiel économique de la Nation et assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques.

Face aux risques numériques, les Visas de sécurité délivrés par l’ANSSI permettent d’identifier les solutions de sécurité fiables et reconnues comme telles à l’issue d’une évaluation réalisée par des laboratoires agréés, selon une méthodologie rigoureuse et éprouvée. Un des Visas de sécurité est la qualification PASSI ou « Prestataire d’Audit de la Sécurité des Systèmes d’Information  ».

Le Visa de sécurité pour la qualification PASSI est la recommandation par l’Etat français de services de cybersécurité éprouvés et approuvés par l’ANSSI.

Pour être qualifié PASSI comme ADACIS, il faut :

3 étapes pour être qualifiée PASSI
  • Être audité tous les trois ans avec un audit de surveillance tous les 18 mois ;
  • Faire qualifier tous ses auditeurs un par un, avec des examens écrits et oraux ;
  • Respecter les exigences du référentiel et charte d’éthique lors de toutes les prestations qualifiées.

Ces contraintes permettent aux commanditaires d’audit d’être assurés du niveau de compétence, de sérieux mais aussi des qualités humaines des auditeurs d’ADACIS.

Vérifiez qu’ADACIS est bien qualifié :

ANSSI : https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf

LSTI : http://lsti-certification.fr/index.php/fr/certification/passi


Audits réglementaires

Les audits PASSI peuvent être une obligation ou une recommandation de la législation française pour des organismes désignés par l’Etat :

Les audits PASSI pour les OIV, autorités administratives ...
  • Opérateurs d’Importance Vitale (OIV)
  • Autorités administratives
  • Administrations
  • Homologation de Systèmes d’Information

L’identification de la réglementation applicable et le contrôle du respect des exigences réglementaires, associés à la prise en compte du risque de sécurité informatique sont au cœur de la démarche PASSI.

Adacis est qualifiée PASSI pour 4 activités d'Audit

ADACIS peut notamment effectuer 4 activités d’audit qui sont essentielles à la couverture des différentes surfaces d’attaques d’une organisation par les menaces cyber.

La compétence acquise par nos auditeurs PASSI sera disponible quel que soit le type d’audits demandés, PASSI ou non. (voir : une qualité d’audit pour tous)


Le déroulement d’un audit PASSI

Un responsable d'audit  PASSI et une équipe d'audit seront désignés pour la mission

Après un contact commercial avec nous, un responsable d’audit et une équipe d’audit seront désignés pour la mission. Le responsable d’audit sera en contact avec vous durant toute la durée de l’audit.

Une convention d'audit PASSI sera rédigée

Une convention d’audit sera rédigée par ADACIS en accord avec vos objectifs, contextes et besoins, elle sera la garantie du bon respect de la qualification PASSI et des objectifs de la mission.

Une réunion de lancement réunira tous les acteurs de l'audit PASSI

Avant le début de l’audit, une réunion de lancement réunira tous les acteurs de l’audit pour se présenter et assurer un contact avec vous et les audités. Nous vous demanderons notamment de pouvoir analyser votre documentation et de pouvoir échanger avec vos collaborateurs.

L'audit se déroulera de manière discontinu sur deux ou trois semaines.

En général, l’audit lui-même sera étalé en discontinu sur deux à trois semaines avec des parties sur site et hors site, notamment afin de mieux appréhender l’architecture de votre SI, de la documentation et exigences spécifiques ou même de faire des développements spécifiques afin de faire la démonstration des vulnérabilités. Les auditeurs suivent une méthodologie pour chaque activité et peuvent être amenés à réaliser des entretiens, des relevés de configuration et des tests d’intrusion sur un périmètre précis préalablement défini, tout en faisant attention au déni de service.

Espace

Une réunion de restitution de l'audit PASSI à chaud

Le dernier jour de l’audit, une réunion de restitution à chaud permettra de vous communiquer les vulnérabilités critiques ou majeures constatées. Notamment dans le cas de vulnérabilités critiques, vous serez prévenus immédiatement à tout moment de l’audit.

Puis une réunion de clotûre d'audit PASSI

Suite à la livraison du rapport d’audit, une réunion de clôture permettra de finaliser la mission d’audit, de partager les conclusions et de pouvoir expliquer en détail les résultats d’audit. Tous les documents en possession d’ADACIS seront alors détruits ou restitués.


Des auditeurs et une expertise

Chacun de nos auditeurs dispose d’une qualification PASSI qui lui est personnelle, mais ils disposent aussi d’autres certifications en fonction de leur propre domaine d’expertise :

  • OSCP (Tests d’intrusion)
  • ISO 27001
  • ISO 27005
  • EBIOS Risk Manager

Et également des certifications techniques.

Une diversité des auditeurs PASSI d'ADACIS permet différentes visions

La diversité des activités d’audits et des profils des auditeurs ADACIS permet, lors d’un audit, d’avoir plusieurs visions du niveau de sécurité d’une organisation.


Un audit indépendant et éthique

Les qualités humaines des auditeurs PASSI d'ADACIS sont aussi évaluées

La participation à des audits peut être un moment particulier pour les équipes et pour les organisations. C’est pour cela que les qualités humaines des auditeurs d’ADACIS sont aussi évaluées.

Les valeurs des auditeurs PASSI d’ADACIS sont les suivantes :

Les valeurs des auditeurs PASSI
  • Déontologie
  • Impartialité
  • Professionnalisme
  • Confidentialité
  • Indépendance
  • Preuve

Simplement, l’audit n’est pas là pour porter un jugement, c’est un outil de gouvernance qui permet de souligner les points positifs et de mettre en lumière des vulnérabilités qui pourraient porter atteinte aux missions, voire même à la viabilité des organisations.

Vous garderez toujours le contrôle sur les solutions à mettre en oeuvre.

L’audit permet d’assurer l’amélioration continue des organisations ou des systèmes de management, vous garderez toujours le contrôle sur les solutions à mettre en œuvre.


Une qualité d’audit pour tous

La sécurité est l’affaire de tous, ADACIS propose donc également des offres TPE, PME et ETI. Le savoir faire PASSI n’est pas réservé aux Grands Groupes, une PME comme ADACIS, met à votre portée son professionnalisme, son éthique, sa confidentialité et autres qualités reconnues par un tiers, sans obligation de supporter les contraintes de l’audit PASSI.


Le coût d’un audit PASSI

Le chiffrage d’un audit dépend de nombreux facteurs :

Le chiffrage d'audit PASSI dépend de nombreux facteurs
  • Le périmètre, comme la taille du SI ou le nombre des équipements ;
  • Nombre d’auditeurs intervenants ;
  • Activités d’audit ;
  • Audit réalisé à distance ou sur site.

Une facturation à la journée (JH) des auditeurs est précisée dans un devis qui vous sera transmis.

ESPACE

La taille humaine d’ADACIS et sa localisation en Nouvelle-Aquitaine nous permettent de pouvoir fournir des audits de qualités à toutes les organisations quelle que soit leur taille. Par ailleurs, nos clients ont une dimension National et International, nous restons mobiles.

Vous souhaiteriez avoir plus de détails sur les audits PASSI ou non PASSI, connaitre mieux ADACIS et son équipe :

Formulaire de contact