Un référentiel pour les prestataires d’audit de la sécurité des SSI
SECURITE DES LIEUX DE TRAVAIL || Cybersécurité
/
08/07/2013
Un prestataire d’audit de sécurité est amené à intervenir pour identifier les forces et faiblesses d’un système d’information, mais surtout ses zones de vulnérabilité.
Le référentiel de compétences élaboré par l’ANSSI couvre cinq activités :
- audit d’architecture
- audit de configuration
- audit de code source
- tests d’intrusion
- audit organisationnel et physique
Les exigences applicables au prestataire d’audit portent sur :
- Le prestataire lui-même : adoption d’une charte d’éthique, gestion des ressources et des compétences, protection des informations recueillies ou produites durant l’audit…
- Les auditeurs : formation, expérience et compétences…
- Le déroulement de l’audit : convention d’audit, rapport d’audit, formalisme…
Ce premier référentiel doit s’intégrer dans la prochaine version du référentiel général de sécurité (RGSv2). Dès la publication du RGSv2, les autorités administratives devront recourir à des prestataires d’audit conformes.
Les prestataires d’audit souhaitant se mettre en conformité devront faire appel à un organisme de qualification habilité par l’ANSSI.
En savoir plus :
- Prestataires d’audit de sécurité des systèmes d’information – Référentiel d’exigences – ANSSI, juin 2013
- Synthèse du référentiel PASSI – ANSSI, juin 2013