ADACIS, entreprise de Nouvelle Aquitaine, a reçu le 15/04/2020 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI_FR) le Visa de sécurité pour la qualification PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) de ses prestations: (décision de qualification n°20059)
- Audit de Tests d’intrusion
- Audit d’Architecture
- Audit Organisationnel et Physique
- Audit de Configuration
Les solutions qualifiées (comme PASSI) ont été approuvées et éprouvées par l’ANSSI et sont recommandées par l’État.

Cette qualification est le fruit de plus de 15 ans d’expérience et d’expertise en sécurité informatique, et de l’investissement de toute notre équipe.
- PASSI, un gage de Confiance
- Audits réglementaires
- Le déroulement d’un audit PASSI
- Des auditeurs et une expertise
- Un audit indépendant et éthique
- Une qualité d’Audit pour tous
- Le coût d’un audit
PASSI, un gage de confiance
L’ANSSI, service du Premier ministre rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN), assure la sécurité et la défense des systèmes d’information de l’État et des opérateurs d’importance vitale (OIV) en créant les conditions d’un environnement de confiance. Promotrice de solutions et de savoir-faire, l’ANSSI participe à la protection et à la défense du potentiel économique de la Nation et assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques.
Face aux risques numériques, les Visas de sécurité délivrés par l’ANSSI permettent d’identifier les solutions de sécurité fiables et reconnues comme telles à l’issue d’une évaluation réalisée par des laboratoires agréés, selon une méthodologie rigoureuse et éprouvée. Un des Visas de sécurité est la qualification PASSI ou « Prestataire d’Audit de la Sécurité des Systèmes d’Information ».
Le Visa de sécurité pour la qualification PASSI est la recommandation par l’Etat français de services de cybersécurité éprouvés et approuvés par l’ANSSI.
Pour être qualifié PASSI comme ADACIS, il faut :

- Être audité tous les trois ans avec un audit de surveillance tous les 18 mois ;
- Faire qualifier tous ses auditeurs un par un, avec des examens écrits et oraux ;
- Respecter les exigences du référentiel et charte d’éthique lors de toutes les prestations qualifiées.
Ces contraintes permettent aux commanditaires d’audit d’être assurés du niveau de compétence, de sérieux mais aussi des qualités humaines des auditeurs d’ADACIS.
Vérifiez qu’ADACIS est bien qualifié :
ANSSI : https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf
LSTI : http://lsti-certification.fr/index.php/fr/certification/passi

Audits réglementaires
Les audits PASSI peuvent être une obligation ou une recommandation de la législation française pour des organismes désignés par l’Etat :

- Opérateurs d’Importance Vitale (OIV)
- Autorités administratives
- Administrations
- Homologation de Systèmes d’Information
L’identification de la réglementation applicable et le contrôle du respect des exigences réglementaires, associés à la prise en compte du risque de sécurité informatique sont au cœur de la démarche PASSI.

ADACIS peut notamment effectuer 4 activités d’audit qui sont essentielles à la couverture des différentes surfaces d’attaques d’une organisation par les menaces cyber.
La compétence acquise par nos auditeurs PASSI sera disponible quel que soit le type d’audits demandés, PASSI ou non. (voir : une qualité d’audit pour tous)
Le déroulement d’un audit PASSI

Après un contact commercial avec nous, un responsable d’audit et une équipe d’audit seront désignés pour la mission. Le responsable d’audit sera en contact avec vous durant toute la durée de l’audit.

Une convention d’audit sera rédigée par ADACIS en accord avec vos objectifs, contextes et besoins, elle sera la garantie du bon respect de la qualification PASSI et des objectifs de la mission.

Avant le début de l’audit, une réunion de lancement réunira tous les acteurs de l’audit pour se présenter et assurer un contact avec vous et les audités. Nous vous demanderons notamment de pouvoir analyser votre documentation et de pouvoir échanger avec vos collaborateurs.

En général, l’audit lui-même sera étalé en discontinu sur deux à trois semaines avec des parties sur site et hors site, notamment afin de mieux appréhender l’architecture de votre SI, de la documentation et exigences spécifiques ou même de faire des développements spécifiques afin de faire la démonstration des vulnérabilités. Les auditeurs suivent une méthodologie pour chaque activité et peuvent être amenés à réaliser des entretiens, des relevés de configuration et des tests d’intrusion sur un périmètre précis préalablement défini, tout en faisant attention au déni de service.
Espace

Le dernier jour de l’audit, une réunion de restitution à chaud permettra de vous communiquer les vulnérabilités critiques ou majeures constatées. Notamment dans le cas de vulnérabilités critiques, vous serez prévenus immédiatement à tout moment de l’audit.

Suite à la livraison du rapport d’audit, une réunion de clôture permettra de finaliser la mission d’audit, de partager les conclusions et de pouvoir expliquer en détail les résultats d’audit. Tous les documents en possession d’ADACIS seront alors détruits ou restitués.
Des auditeurs et une expertise
Chacun de nos auditeurs dispose d’une qualification PASSI qui lui est personnelle, mais ils disposent aussi d’autres certifications en fonction de leur propre domaine d’expertise :
- OSCP (Tests d’intrusion)
- ISO 27001
- ISO 27005
- EBIOS Risk Manager
Et également des certifications techniques.

La diversité des activités d’audits et des profils des auditeurs ADACIS permet, lors d’un audit, d’avoir plusieurs visions du niveau de sécurité d’une organisation.
Un audit indépendant et éthique

La participation à des audits peut être un moment particulier pour les équipes et pour les organisations. C’est pour cela que les qualités humaines des auditeurs d’ADACIS sont aussi évaluées.
Les valeurs des auditeurs PASSI d’ADACIS sont les suivantes :

- Déontologie
- Impartialité
- Professionnalisme
- Confidentialité
- Indépendance
- Preuve
Simplement, l’audit n’est pas là pour porter un jugement, c’est un outil de gouvernance qui permet de souligner les points positifs et de mettre en lumière des vulnérabilités qui pourraient porter atteinte aux missions, voire même à la viabilité des organisations.

L’audit permet d’assurer l’amélioration continue des organisations ou des systèmes de management, vous garderez toujours le contrôle sur les solutions à mettre en œuvre.
Une qualité d’audit pour tous
La sécurité est l’affaire de tous, ADACIS propose donc également des offres TPE, PME et ETI. Le savoir faire PASSI n’est pas réservé aux Grands Groupes, une PME comme ADACIS, met à votre portée son professionnalisme, son éthique, sa confidentialité et autres qualités reconnues par un tiers, sans obligation de supporter les contraintes de l’audit PASSI.
Le coût d’un audit PASSI
Le chiffrage d’un audit dépend de nombreux facteurs :

- Le périmètre, comme la taille du SI ou le nombre des équipements ;
- Nombre d’auditeurs intervenants ;
- Activités d’audit ;
- Audit réalisé à distance ou sur site.
Une facturation à la journée (JH) des auditeurs est précisée dans un devis qui vous sera transmis.
ESPACE
La taille humaine d’ADACIS et sa localisation en Nouvelle-Aquitaine nous permettent de pouvoir fournir des audits de qualités à toutes les organisations quelle que soit leur taille. Par ailleurs, nos clients ont une dimension National et International, nous restons mobiles.
Certificat :
Vous souhaiteriez avoir plus de détails sur les audits PASSI ou non PASSI, connaitre mieux ADACIS et son équipe :