PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu
INTRINSEC Identité Fondée en 1995, Intrinsec est un acteur historique de la sécurité des systèmes d information. Structure française, d environ 250 collaborateurs, dont 50 spécialisés en SSI : Evaluation : Test d intrusion et audit de sécurité Conseil : Etudes, Accompagnement RSSI, RSSI Temps partagé Sécurité opérationnelle : SOC as a service et CERT-Intrinsec Innovation : anticipation, projet d étude amont Intrinsec est qualifié PASSI par LSTI depuis juillet 2014 sur les activités suivantes Audit organisationnel et physique Audit de configuration Audit d architecture Audit de code source Test d intrusion Guillaume Lopes / Consultant Sécurité depuis plus de 6 ans Manager adjoint de l activité d Evaluation Responsable de la qualification PASSI d Intrinsec 2
RGS : Référentiel Général de Sécurité Référentiel destiné à sécuriser les échanges électroniques de la sphère publique Un recueil de règles et de bonnes pratiques en matière de sécurité des Systèmes d Informations (SSI) RGS Présentation Elaboré par L ANSSI Agence Nationale de la Sécurité des Systèmes d Information La DGME Direction Générale de la Modernisation de l Etat Objectifs Développer la confiance des usagers et des administrations dans leurs échanges numériques Favoriser l adoption de bonnes pratiques en matière de SSI Adapter les solutions techniques aux besoins SSI identifiés Favoriser le respect de la loi Informatique & Libertés 3
RGS Présentation Le RGS concerne les Autorités Administratives (AA) Administrations de l'état Collectivités territoriales Etablissements publics à caractère administratif Organismes gérant des régimes de protection sociale Organismes chargés de la gestion d'un service public administratif Et implique, donc, aussi les prestataires des AA Qu est ce qu une autorité administrative? (selon l ordonnance n 2005-1516 du 8 décembre 2005) «Sont considérés comme autorités administratives au sens de la présente ordonnance les administrations de l Etat, les collectivités territoriales, les établissements publics à caractère administratif, les organismes gérant des régimes de protection sociale relevant du code de la sécurité sociale et du code rural ou mentionnés aux articles L. 223-16 et L. 351-21 du code du travail et les autres organismes chargés de la gestion d un service public administratif» 4
RGS Présentation RGSv.1.0 a été rendu officiel en date du 6 mai 2010 Pas de notion de PASSI Mais PSCE et PSHE RGSv2.0 publié en juin 2014 et applicable au 1 er juillet 2014 Annexe C : PASSI Liste des documents constitutifs du RGS http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-desecurite/liste-des-documents-constitutifs-du-rgs-v-2-0.html 5
Qu est-ce qu un prestataire de confiance? Atteste de sa conformité à un niveau de sécurité du RGS Habilité par un organisme de qualification RGS Prestataire de confiance Types de prestataires de confiance actuellement en place PSCE : Prestataires de services de certification électronique PSHE : Prestataires de services d horodatage électronique PASSI : Prestataires d audit de la sécurité des systèmes d information Ceux qui vont bientôt arriver PDIS : Prestataires de détection des incidents de sécurité PRIS : Prestataire de réponse aux incidents de sécurité PSSIN : Prestataire de services sécurisés d informatique en nuage 6
Une phase expérimentale a eu lieu de janvier 2012 à juin 2013 avec trois sociétés HSC, Sogeti et AMOSSYS PASSI Présentation A la date de cette présentation 4 sociétés sont qualifiées PASSI AMOSSYS / INTRINSEC / SOGETI ESEC / SOLUCOM 12 sociétés sont en cours de qualification CGI Business Consulting / CS Systèmes d information / DELOITTE CONSEIL / I-TRACING / OPPIDA / BULL / ADVENS / CONIX Technologies et Services / ORANGE CONSULTING / LEXSI / THALES Communications & Security SAS / HSC 7
Un prestataire ne peut être qualifié PASSI que sur des activités d audit visées par le référentiel Une activité d audit est appelée portée de qualification PASSI Présentation Audit d architecture Conformité des pratiques de sécurité relatives au choix, au positionnement et à la mise en œuvre des dispositifs matériels et logiciels déployés dans un SI L audit peut être étendu aux interconnexions et Internet Audit de configuration Vérifier la mise en œuvre de pratiques de sécurité conformes à l état de l art et aux exigences de l audité en matière de configuration du matériel et du logiciel Audit de code source Analyse de l ensemble ou d une partie du code source ou des conditions de compilation d une application Revue manuelle ou automatique du code L outil utilisé doit être mentionné dans le rapport! 8
PASSI Présentation Tests d intrusion Conditions réelles d une attaque sur le SI Un test d intrusion seul n a pas vocation à être exhaustif En complément d autres activités Les tests de vulnérabilités, notamment automatisés, ne représentent pas à eux seuls une activité d audit au sens du Référentiel Les vulnérabilités (logicielles) non publiques découvertes lors de l audit doivent être communiquées à l ANSSI Audit organisationnel et physique Revue des politiques et procédures de sécurité de l audité Conformité vis-à-vis de l état de l art ou des normes en vigueur Les mesures techniques appliquées sont correctes et efficaces Les aspects physiques de la sécurité du SI sont couverts Il est à noter qu un prestataire ne peut pas être qualifié uniquement sur le test d intrusion ou l audit organisationnel et physique Ces activités menées seules sont jugées insuffisantes 9
Modalités de la qualification des prestataires d audit LSTI est accrédité par le COFRAC et habilité par l ANSSI LSTI qualifie le prestataire de sécurité Le prestataire de sécurité audite le client (audité) PASSI Qualification La qualification nécessite que LSTI Audite le siège du prestataire d audit Evalue les auditeurs du prestataire d audit (examens écrits et oraux) Observe le prestataire d audit mener un ou plusieurs audits Actuellement, LSTI est le seul organisme habilité à qualifier les prestataires La qualification est attribuée pour une durée maximale de 3 ans Un audit de surveillance est prévu au bout de 18 mois après la décision de qualification 10
PASSI Exigences Exigences relatives aux prestataires d audit Entité ou partie d une entité dotée de la personnalité morale La prestation est réalisée selon une convention d audit approuvée par le commanditaire Le prestataire d audit assume la responsabilité de l audit Souscription d une assurance pour la réalisation des audits Sous-traitance acceptée (le commanditaire doit accepter) Respect de la loi française Description de son organisation d audit Pas d informations trompeuses ou fausses fournies au commanditaire Impartialité des audits Livrables en langue française Respect de l audité, du personnel et des infrastructures 11
PASSI Exigences Exigences relatives aux prestataires d audit (suite) Une charte éthique doit être formalisée et signée par tous les auditeurs Auditeurs en nombre suffisant et compétents Protection des informations récoltées lors de l audit Exigences relatives aux auditeurs Qualités personnelles (ISO 19011 7.2) Réglementation applicable aux audits Qualités rédactionnelles et de synthèse, bonne expression orale Expérience suffisante de l auditeur Au moins 1 an dans la SSI Aptitudes et connaissances spécifiques Contrat de travail avec le prestataire d audit 12
PASSI Exigences Exigences relatives au déroulement de l audit La démarche est identique à l ISO 19011 Le prestataire doit s assurer avant le démarrage de l audit que Le commanditaire fournit un espace de travail adéquat Le commanditaire a identifié correctement le périmètre de l audit L audit est adapté au contexte et aux objectifs souhaités A défaut, le prestataire doit prévenir le commanditaire Déroulement de l audit (version RGS) Etablissement de la convention d audit Préparation et déclenchement de l audit Exécution de l audit Elaboration du rapport d audit Conclusion de l audit Le déroulement de l audit doit respecter la norme ISO 19011 13
PASSI Exigences Audit du siège du prestataire Locaux et notamment la sécurité physique Documents utilisés dans le cadre des activités d audit Politiques, procédures, livrables, etc. Protection des informations au niveau Diffusion Restreinte Rédaction des livrables et tests réalisés sur des machines distinctes La machine de rédaction ne doit pas être connectée à Internet Les livrables sont transmis au client uniquement de manière chiffrée Le système d information est homologué D.R. Organisation des audits Formation du personnel et maintien en compétences Echantillonnage pour les contrôles techniques 14
PASSI Exigences Suivi d un audit témoin Observer le prestataire d audit en conditions réelles Focus sur le déroulement de l audit et les compétences de l auditeur L observation est effectuée uniquement aux moments clés d un audit Réunion d ouverture de l audit Une journée d audit complète afin d observer la démarche de l auditeur Réunion de clôture 15
Evaluation des compétences des auditeurs Un examen écrit Un examen oral Une étude du CV de l auditeur PASSI Exigences Examen écrit Test commun sur l ISO 19011 et le RGS L obtention de ce test est nécessaire pour valider les portées de qualification Un test pour chaque activité d audit souhaitée Les tests comportent des QCM et des questions libres Examen oral Uniquement sur les portées obtenues à l écrit Les résultats de l écrit sont utilisés En général, 3 personnes dans le jury Une personne de LSTI Un enseignant chercheur (ex: SUPELEC) Un auditeur 16
PASSI Exigences Une attestation de compétence est fournie par LSTI au prestataire indiquant les portées obtenues par l auditeur Cette attestation est valable 3 ans, ensuite repassage de l examen L attestation de compétence est liée à l entreprise Si le consultant quitte la société, il doit repasser les examens L attestation peut être communiquée aux clients du prestataire qui en font la demande Un registre des auditeurs qualifiés est maintenu par LSTI mais ne sera pas divulgué publiquement L auditeur ne peut pas faire de publicité publiquement à titre individuel sur le fait qu il soit PASSI 17
L obtention de la qualification PASSI prend du temps!!! Gros effort sur les moyens techniques et la documentation PASSI En pratique Mise en place d une infrastructure Diffusion Restreinte Infrastructure isolée du réseau classique de l entreprise Contrôle d accès physique renforcé Postes de travail supplémentaires pour la rédaction Temps de formation et d examen des auditeurs Une demi-journée pour l examen écrit Une demi-journée pour l examen oral Temps de préparation (revue de l ISO 19011 et du RGS) Audit témoin Temps de recherche pour trouver un client acceptant que LSTI soit observateur de l audit 18
Le PASSI permet d utiliser un vocabulaire commun Un test d intrusion est bien différencié d un scan de vulnérabilités Une définition pour chaque type de prestation est fournie Et les tests attendus sont précisés PASSI Avantages Le PASSI apporte de la confiance aux parties prenantes Le processus de qualification rassure les commanditaires et audités L ANSSI est porteur de ce règlement Le PASSI permet d avoir une démarche commune Réunion d ouverture et de clôture Prévenir le client en cas de vulnérabilités Et surtout la démarche se base sur la norme ISO 19011 19
L appel à des prestataires qualifiés n est pas obligatoire! Nombre d appel d offres publics n intègre pas cette dimension et/ou accorde une importance relativement faible dans l évaluation PASSI Limites La nécessité de recourir à des produits de sécurité ou à des prestataires de services de confiance a été régulièrement rappelée par le Premier ministre, ainsi il est recommandé [ ] de prendre en considération, pour le choix des prestataires, en plus de leur qualification, leur éventuelle certification selon la norme ISO 27001 ou d autres normes équivalentes (RGSv2 7.9) Les autorités administratives doivent, autant que possible, faire appel à des prestataires ayant obtenu une qualification (RGv2 7.11) Si une AA ne fait pas appel à un prestataire qualifié elle doit pouvoir démontrer que le prestataire choisi respecte les exigences du RGS Il reste encore un travail d évangélisation auprès des AA 20
Est-ce que les commanditaires vont respecter les règles? Demander un audit uniquement avec des consultants ayant été qualifiés PASSI mais sans respect de la démarche Demander un audit en respectant toutes les conditions du PASSI mais sans souhait que l audit soit une prestation qualifiée PASSI Limites Est-ce que toutes les sociétés pourront se permettre d être labellisées? Est-ce un intérêt? Si tous les cabinets d audit sont labellisés, est-ce que le PASSI demeure un élément différenciant? L augmentation du nombre de labels ne va-t-elle pas apporter de la confusion auprès des commanditaires? 21
INTRINSEC Site Web Intrinsec www.intrinsec.com Blog Sécurité Intrinsec securite.intrinsec.com Twitter @Intrinsec_Secu Questions Intrinsec 01 41 91 77 77 contact@intrinsec.com Guillaume LOPES Consultant Sécurité Guillaume.Lopes@intrinsec.com 22