Un référentiel pour les prestataires d’audit de la sécurité des SSI

Un prestataire d’audit de sécurité est amené à intervenir pour identifier les forces et faiblesses d’un système d’information, mais surtout ses zones de vulnérabilité.

Le référentiel de compétences élaboré par l’ANSSI couvre cinq activités :

• audit d’architecture
• audit de configuration
• audit de code source
• tests d’intrusion
• audit organisationnel et physique

Les exigences applicables au prestataire d’audit portent sur :

• Le prestataire lui-même : adoption d’une charte d’éthique, gestion des ressources et des compétences, protection des informations recueillies ou produites durant l’audit…
• Les auditeurs : formation, expérience et compétences…
• Le déroulement de l’audit : convention d’audit, rapport d’audit, formalisme…

Ce premier référentiel doit s’intégrer dans la prochaine version du référentiel général de sécurité (RGSv2). Dès la publication du RGSv2, les autorités administratives devront recourir à des prestataires d’audit conformes.

Les prestataires d’audit souhaitant se mettre en conformité devront faire appel à un organisme de qualification habilité par l’ANSSI.