Accueil  >  Audits de sécurité   > Audits PASSI

Audits PASSI

Guide pratique : l'audit PASSI en 7 questions

Dans cet article, nous vous aiderons à comprendre les enjeux et les étapes clés d'un audit PASSI.

1. Qu'est-ce qu'un audit PASSI ?

Un audit PASSI est une évaluation de sécurité informatique réalisée par un auditeur qualifié par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) travaillant pour un organisme également qualifié par l'ANSSI. Ces deux qualifications (qui ne sont pas des certifications, même si la nuance est subtile) garantissent que l'auditeur maitrise les standards professionnels reconnus par l'État français et que l'entreprise dispose de processus qui assurent la qualité des prestations fournies. L'objectif de l'audit PASSI est d'identifier les failles et vulnérabilités qui pourraient compromettre la sécurité des systèmes d'information de l'entité auditée.

2. Les 5 portées d'un audit PASSI

Les audits PASSI se déclinent en cinq portées, chacune ayant une approche spécifique :

  1. L'audit organisationnel et physique : Il vérifie d'une part la mise en place de politiques et procédures de sécurité (PSSI, PRA, PCA, MCO, ...) et, d'autre part, le niveau de sécurité de l'emprise physique du système d'information (tant du point de vue de la sûreté que de la sécurité : résistance à l'intrusion physique, résilience face aux catastrophes naturelles, etc.).

  2. L'audit de configuration : Cet audit examine les paramètres de sécurité des éléments constitutifs d'un système d'information, tels que les pare-feu, les systèmes d'exploitation, les bases de données, les serveurs (qu'ils fonctionnent sous Windows, Linux, OS/400, ...), et les applications. Il vise à détecter les configurations inappropriées ou obsolètes qui pourraient exposer les données à des risques.

  3. L'audit d'architecture : Il analyse les éléments d'architecture des systèmes d'information par rapport aux bonnes pratiques de l'industrie (architecture N-tiers, DMZ, etc.).

  4. L'audit de code source : L'équipe d'auditeurs examine le code source des applications pour identifier les vulnérabilités de sécurité potentielles. Cet audit permet de vérifier que le code est sécurisé et respecte les bonnes pratiques de développement.

  5. L'audit de tests d'intrusion : Ce type d'audit, spécialité de Cogiceo, consiste à simuler des attaques informatiques pour évaluer la résistance des systèmes d'information aux menaces réelles. Ces audits peuvent se dérouler en boite blanche, grise, ou noire. Pour en savoir plus, nous vous recommandons notre article dédié.

Un audit qualifié PASSI peut porter sur une seule ou plusieurs portées. En l'absence de contrainte règlementaire, le conseil du prestataire que vous choisirez pour réaliser votre audit PASSI sera précieux afin d'identifier quel(les) portée(s) inclure dans votre audit PASSI.

3. Quel est l'objectif d'un audit PASSI ?

L'objectif principal d'un audit PASSI est d'évaluer le niveau de sécurité des systèmes d'information d'une organisation. Cet audit vise à identifier les failles, vulnérabilités et risques qui pourraient compromettre la confidentialité, l'intégrité ou la disponibilité des données et des systèmes. En mettant en lumière ces points faibles, l'audit PASSI permet à l'entreprise de prendre des mesures correctives appropriées pour renforcer sa sécurité informatique. Il offre également une assurance sur la conformité aux réglementations en vigueur telle que NIS2, DORA, ... Par conséquent, un audit PASSI est une étape cruciale pour protéger les données sensibles et assurer la continuité des activités numériques.

4. Quels sont les avantages d'un audit PASSI ?

Tout d'abord, un audit qualifié PASSI garantit la conformité réglementaire pour les entités qui y sont soumises. Ensuite, les méthodologies reconnues et standardisées utilisées lors de l'audit assurent la fiabilité des résultats obtenus. Enfin, l'aspect déontologique et la confidentialité sont garantis par les auditeurs PASSI, qui sont tenus de respecter des codes de conduite stricts et de traiter les informations en toute discrétion. En optant pour un audit PASSI, les entreprises bénéficient donc d'une évaluation de sécurité fiable et objective, ce qui leur permet de prendre des décisions éclairées pour améliorer leur posture de sécurité.

5. Qui sont les auditeurs PASSI ?

Les auditeurs PASSI sont des professionnels qualifiés par l'ANSSI qui ont pour mission de fournir des évaluations indépendantes et objectives de la sécurité des systèmes d'information Ils passent des examens écrits et oraux tous les trois ans pour maintenir leur qualification. Chaque auditeur possède une qualification PASSI personnelle et nombreux sont ceux qui détiennent également d'autres certifications selon leur spécialité, comme l'ISO 27001 Lead Auditor ou l'OSCP (Offensive Security Certified Professional). Ces certifications complémentaires leur permettent d'apporter une expertise pointue dans des domaines particuliers (organisation de la SSI, test d'intrusion, ...).

6. Comment se préparer à un audit PASSI ?

Pour se préparer efficacement à un audit PASSI, plusieurs étapes clés sont recommandées par les auditeurs qualifiés :

  1. Définir clairement le périmètre d'audit : Identifiez précisément les systèmes, applications et données qui seront examinés. Cela permet de structurer le processus et d'éviter toute confusion. Dès cette étape, il est possible de solliciter le partenaire à qui vous envisagez de confier la réalisation de votre audit afin que, lors d'une réunion de "réception de besoin", il vous aide à circonscrire un périmètre à la fois pertinent et gérable.

  2. Inventorier la documentation cybersécurité : Rassemblez tous les documents pertinents tels que la PSSI, les procédures de sécurité, les plans d'urgence, les rapports de tests, etc. Cette documentation sera utile pour les auditeurs pendant l'exécution de l'audit. Dès cette étape, vous pouvez également identifier les personnes clés au sein de votre organisation et qui devront être sollicités lors de la réalisation de l'audit.

  3. Éviter les périodes de forte activité : Planifiez l'audit en dehors des périodes de pointe de l'entreprise pour minimiser l'impact sur les activités quotidiennes.

En suivant ces recommandations, vous contribuerez à faciliter le processus d'audit PASSI et à obtenir des résultats plus précis. Cela permettra aux auditeurs de mieux comprendre votre infrastructure et de mener leur évaluation de la manière la plus efficace. Il ne faut pas oublier que la plupart des prestataires d'audit facturent un forfait basé sur un temps de travail prévisionnel fixé au lancement de la mission donc plus vous facilitez leur travail plus ils pourront aller en profondeur dans le temps qui leur est alloué.

7. Quel document prouve qu'un audit PASSI a été réalisé ?

Un audit PASSI se conclut par la production d'un rapport d'audit détaillé et d'un procès-verbal de fin de mission (PV). Ces documents sont essentiels car ils prouvent que l'audit a été réalisé conformément aux méthodologies reconnues par l'ANSSI. Le rapport d'audit résume les résultats de l'audit, identifie les vulnérabilités et propose des recommandations de correctifs. Le PV, quant à lui, atteste que toutes les étapes de l'audit ont été respectées. Ces documents doivent mentionner explicitement la qualification PASSI de l'auditeur et de son organisme, ainsi que le fait que la mission a été réalisée dans le cadre de la qualification PASSI (en effet, un auditeur qualifié PASSI et travaillant pour un organisme qualifié PASSI n'est pas obligé de réaliser toutes ses missions dans le cadre du référentiel PASSI).

Conclusion

En conclusion, l'audit PASSI s'avère être un outil puissant pour garantir la sécurité des systèmes d'information et la conformité aux réglementations en vigueur. Grâce à sa méthodologie standardisée et reconnue par l'État français, cet audit offre une évaluation fiable et objective des risques et vulnérabilités auxquels une entreprise est exposée. En s'appuyant sur les compétences et l'expertise des auditeurs qualifiés par l'ANSSI, les organisations peuvent identifier les points faibles de leur infrastructure informatique et mettre en place des mesures correctives appropriées.

Il est essentiel de comprendre les différents aspects d'un audit PASSI, notamment ses cinq portées et les avantages qu'il apporte. En se préparant correctement à l'audit, en fournissant les informations nécessaires et en respectant les procédures établies, l'entreprise facilite le processus et optimise les résultats. Finalement, le rapport d'audit et le procès-verbal de fin de mission constituent des preuves tangibles de l'engagement de l'organisation en matière de sécurité informatique.

En confiant ses audits de sécurité à un prestataire qualifié PASSI comme Cogiceo (qualifiée PASSI depuis 2016 !), une entreprise garantit une protection maximale de ses données et une conformité aux normes les plus strictes. Cela lui permet de renforcer sa posture de sécurité, de protéger sa réputation et de fidéliser ses clients, tout en respectant les exigences légales et réglementaires.