Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Premier ministre Agence nationale de la sécurité des systèmes d’information Pre

Premier ministre Agence nationale de la sécurité des systèmes d’information Prestataires d’audit de la sécurité des systèmes d’information référentiel d’exigences Version 2.1 du 6 octobre 2015 Prestataires d’audit de la sécurité des systèmes d’information – référentiel d’exigences Version Date Critère de diffusion Page 2.1 6/10/2015 PUBLIC 2/44 HISTORIQUE DES VERSIONS DATE VERSION EVOLUTION DU DOCUMENT REDACTEUR 31/10/2011 1.0 Version publiée pour commentaires. ANSSI 24/04/2012 1.1 Version publiée pour commentaires. ANSSI 14/02/2013 2.0 Première version applicable. Modifications principales :  Ajout d’une recommandation concernant l’utilisation du Guide d’hygiène informatique de l’ANSSI pour la protection du système d’information du prestataire d’audit au chapitre IV.4.  Ajout de précisions concernant les modalités de qualification au chapitre III.1. ANSSI 6/10/2015 2.1 Mise à jour. Modifications principales :  Ajout de la référence au décret 2015-350 relatif à la qualification pour les besoins de la sécurité nationale  Ajout de l’activité d’audit de systèmes industriels. ANSSI Les commentaires sur le présent document sont à adresser à : Agence nationale de la sécurité des systèmes d’information SGDSN/ANSSI 51 boulevard de La Tour-Maubourg 75700 Paris 07 SP qualification@ssi.gouv.fr Prestataires d’audit de la sécurité des systèmes d’information – référentiel d’exigences Version Date Critère de diffusion Page 2.1 6/10/2015 PUBLIC 3/44 SOMMAIRE I. INTRODUCTION ............................................................................................................................5 I.1. Présentation générale ............................................................................................................... 5 I.1.1. Contexte.............................................................................................................................................................. 5 I.1.2. Objet du document .............................................................................................................................................. 5 I.1.3. Structure du présent document ........................................................................................................................... 5 I.2. Identification du document ........................................................................................................ 6 I.3. Définitions et acronymes ........................................................................................................... 6 I.3.1. Acronymes .......................................................................................................................................................... 6 I.3.2. Définitions ........................................................................................................................................................... 6 II. ACTIVITES VISEES PAR LE REFERENTIEL ..............................................................................8 II.1. Audit d’architecture ................................................................................................................... 8 II.2. Audit de configuration ............................................................................................................... 8 II.3. Audit de code source ................................................................................................................ 8 II.4. Tests d’intrusion ........................................................................................................................ 8 II.5. Audit organisationnel et physique ............................................................................................. 8 II.6. Audit de systèmes industriels ................................................................................................... 9 III. QUALIFICATION DES PRESTATAIRES D’AUDIT ................................................................... 10 III.1. Modalités de la qualification ....................................................................................................10 III.2. Portée de la qualification .........................................................................................................10 III.3. Avertissement .........................................................................................................................11 IV. EXIGENCES RELATIVES AU PRESTATAIRE D’AUDIT .......................................................... 12 IV.1. Exigences générales ...............................................................................................................12 IV.2. Charte d’éthique ......................................................................................................................12 IV.3. Gestion des ressources et des compétences .........................................................................13 IV.4. Protection de l’information ......................................................................................................14 V. EXIGENCES RELATIVES AUX AUDITEURS ........................................................................... 15 V.1. Aptitudes générales ................................................................................................................15 V.2. Expérience ..............................................................................................................................15 V.3. Aptitudes et connaissances spécifiques aux activités d’audit ................................................15 V.4. Engagements ..........................................................................................................................15 VI. EXIGENCES RELATIVES AU DEROULEMENT D’UNE PRESTATION D’AUDIT................... 16 VI.1. Étape 1 – Etablissement de la convention ..............................................................................16 VI.1.1. Modalités de la prestation .................................................................................................................................. 16 VI.1.2. Organisation ...................................................................................................................................................... 17 VI.1.3. Responsabilités ................................................................................................................................................. 17 VI.1.4. Confidentialité ................................................................................................................................................... 18 VI.1.5. Lois et réglementations ..................................................................................................................................... 18 VI.1.6. Sous-traitance ................................................................................................................................................... 19 VI.1.7. Livrables............................................................................................................................................................ 19 VI.1.8. Qualification ...................................................................................................................................................... 19 VI.2. Étape 2 – Préparation et déclenchement de la prestation ......................................................19 VI.3. Étape 3 – Exécution de la prestation ......................................................................................20 VI.4. Exigences relatives au prestataire ..........................................................................................21 VI.4.1. Audit d’architecture............................................................................................................................................ 21 VI.4.2. Audit de configuration ........................................................................................................................................ 21 VI.4.3. Audit de code source ......................................................................................................................................... 22 VI.4.4. Tests d’intrusion ................................................................................................................................................ 22 VI.4.5. Audit organisationnel et physique ...................................................................................................................... 23 VI.4.6. Audit d’un système industriel ............................................................................................................................. 23 VI.5. Étape 4 – Restitution ...............................................................................................................23 Prestataires d’audit de la sécurité des systèmes d’information – référentiel d’exigences Version Date Critère de diffusion Page 2.1 6/10/2015 PUBLIC 4/44 VI.6. Étape 5 – Elaboration du rapport d’audit ................................................................................24 VI.7. Étape 6 – Clôture de la prestation ..........................................................................................25 ANNEXE 1 REFERENCES DOCUMENTAIRES ........................................................................... 26 I. Codes, textes législatifs et réglementaires .............................................................................26 Normes et documents techniques ..........................................................................................26 II. III. Autres références documentaires ...........................................................................................28 ANNEXE 2 MISSIONS ET COMPETENCES ATTENDUES DU PERSONNEL DU PRESTATAIRE 29 I. Responsable d’équipe d’audit .................................................................................................29 I.1. Missions ..................................................................................................................................29 I.2. Compétences ..........................................................................................................................29 I.3. Compétences requises pour l’audit de systèmes industriels ..................................................29 II. Auditeur d’architecture ............................................................................................................30 II.1. Missions ..................................................................................................................................30 II.2. Compétences ..........................................................................................................................30 II.3. Compétences requises pour l’audit de systèmes industriels ..................................................31 III. Auditeur de configuration ........................................................................................................31 III.1. Missions ..................................................................................................................................31 III.2. Compétences ..........................................................................................................................31 III.3. Compétences requises pour l’audit de systèmes industriels ..................................................33 IV. Auditeur de code source .........................................................................................................33 IV.1. Missions ..................................................................................................................................33 IV.2. Compétences ..........................................................................................................................33 IV.3. Compétences requises pour l’audit de systèmes industriels ..................................................34 V. Auditeur en tests d’intrusion ....................................................................................................34 V.1. Missions ..................................................................................................................................34 V.2. Compétences ..........................................................................................................................35 V.3. Compétences requises pour l’audit de systèmes industriels ..................................................36 VI. Auditeur en sécurité organisationnelle et physique ................................................................36 VI.1. Missions ..................................................................................................................................36 VI.2. Compétences ..........................................................................................................................37 VI.3. Compétences requises pour l’audit de systèmes industriels ..................................................37 ANNEXE 3 RECOMMANDATIONS AUX COMMANDITAIRES ................................................... 39 I. Qualification ............................................................................................................................39 II. Recommandations générales .................................................................................................40 III. Pendant la prestation ..............................................................................................................40 IV. Types d’audit recommandés par l’ANSSI ...............................................................................41 ANNEXE 4 ECHELLE DE CLASSIFICATION DES VULNERABILITES...................................... 43 Prestataires d’audit de la sécurité des systèmes d’information – référentiel d’exigences Version Date Critère de diffusion Page 2.1 6/10/2015 PUBLIC 5/44 I. Introduction I.1. Présentation générale I.1.1. Contexte L’interconnexion croissante des réseaux et les besoins de dématérialisation des processus ou des documents exposent les systèmes d’information à des risques de vol, de modification ou de destruction de données. Ainsi, les points d’interconnexion avec l’extérieur, en particulier les accès Internet associés à la messagerie ou à des téléservices, sont autant d’accès qu’un attaquant peut tenter d’utiliser pour s’introduire et se maintenir au sein même du système d’information, pour dérober, dénaturer ou encore détruire son patrimoine informationnel. Pour s’en protéger, les organismes doivent, à l'issue d'une démarche de gestion des risques, sécuriser leur système d’information de façon adaptée et proportionnée. Les mesures de sécurité mises en place dans ce but peuvent être de différentes natures : organisationnelles, physiques et techniques. Sur ce dernier volet, la mise en œuvre de produits de sécurité est certes fondamentale, mais elle ne suffit pas : l’absence d’application des mises à jour et des correctifs de sécurité, le maintien de mots de passe faibles ou constructeur, la mauvaise configuration de logiciels ou le non respect de règles élémentaires de sécurité lors du développement d’un logiciel ou d’une application sont autant de vulnérabilités exploitables par un attaquant. L’audit est l’un des moyens à disposition de tout organisme pour éprouver et s’assurer du niveau de sécurité de son système d’information. Il permet, en pratique, de mettre en évidence les forces mais surtout les faiblesses et vulnérabilités du système d’information. Ses conclusions permettent d’identifier des axes d’amélioration, de proposer des recommandations et de contribuer ainsi à l’élévation de son niveau de sécurité, en vue, notamment, de son homologation de sécurité. I.1.2. Objet du document Ce document constitue le référentiel d’exigences applicables à un prestataire d’audit de la sécurité des systèmes d’information (PASSI) délivrant des prestations d’audit d’architecture, d’audit de configuration, d’audit de code source, de tests d’intrusion, d’audit organisationnel et physique et d’audit des systèmes industriels, ci-après dénommé « le prestataire ». Il a vocation à permettre la qualification de cette famille de prestataires selon les modalités décrites au chapitre III. Il permet au commanditaire de disposer de garanties sur la compétence du prestataire et de son personnel, sur la qualité de sa prestation et sur la confiance que le commanditaire peut leur accorder, notamment en matière de confidentialité. Il peut être utilisé, à titre de bonnes pratiques, en dehors de tout contexte réglementaire. Il n’exclut ni l’application de la législation et de la réglementation nationale, ni l’application des règles générales imposées aux prestataires en leur qualité de professionnels et notamment leur devoir de conseil vis-à-vis de leurs commanditaires. I.1.3. Structure du présent document Le chapitre I correspond à l’introduction du présent référentiel. Le chapitre II décrit les activités visées par le présent référentiel. Le chapitre III présente les modalités de la qualification, qui atteste de la conformité des prestataires d’audit aux exigences qui leur sont applicables. Prestataires d’audit de la sécurité des systèmes d’information – référentiel d’exigences Version Date Critère de diffusion Page 2.1 6/10/2015 PUBLIC 6/44 Le chapitre IV présente les exigences relatives aux prestataires. Le chapitre V présente les exigences relatives aux auditeurs. Le chapitre VI présente les exigences relatives au déroulement d’une prestation d’audit. L’Annexe 1 présente les références des textes législatifs, réglementaires, normatifs et autres mentionnés dans le présent référentiel. L’Annexe 2 présente les missions et compétences attendues des auditeurs du prestataire. L’Annexe 3 présente des recommandations à l’intention des commanditaires de prestations d’audit. L’Annexe 4 propose une échelle de classification des vulnérabilités. I.2. Identification du document Le présent référentiel est dénommé « Prestataires d’audit de la sécurité des systèmes d’information – référentiel d’exigences ». Il peut être identifié par son nom, numéro de version et sa date de mise à jour. I.3. Définitions et acronymes I.3.1. Acronymes Les acronymes utilisés dans le présent référentiel sont les : ANSSI Agence nationale de la sécurité des systèmes d’information CA Correspondant Audit COFRAC Comité français d’accréditation PASSI Prestataire d’audit de la sécurité des systèmes d’information I.3.2. Définitions Les définitions ci-dessous s’appuient sur la norme [ISO19011] et la stratégie nationale pour la sécurité du numérique [STRAT_NUM]. Audit - processus systématique, indépendant et documenté en vue d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits. Pour les besoins du référentiel, un audit est constitué d’un sous-ensemble des activités d’audit de la sécurité d’un système d’information décrites au chapitre II et des recommandations assorties. Auditeur - personne réalisant un audit pour le compte d’un prestataire d’audit. Audité - organisme(s) responsable(s) de tout ou partie du système uploads/Industriel/ passi-referentiel-exigences-v2-1.pdf