Certifications et qualifications de services et d’entreprise : qui sont les auditeurs ?
LSTI est également renommé pour ses certifications d’entreprises ou de services sur les référentiels cyber ou eIDAS.
Ces certifications ou qualifications sont basées sur le résultat d’audits sur site qui reposent sur des exigences de haut niveau en matière de sécurité. Certaines qualifications incluent également le passage d’examens pour les auditeurs des entreprises candidates (la qualification PASSI par exemple).
Pour répondre aux nombreuses demandes clientes ainsi que maintenir un service d’audit et d’évaluation rigoureux et de qualité, LSTI s’entoure d’auditeurs et auditrices qui peuvent être employé·es ou mandaté·es. Le métier d’auditeur en cyber certification est assez particulier tant dans les critères de sélection de ces auditeurs que dans la pratique d’audits très encadrée par les normes.
Florent Grosso, manager cybersécurité chez ABICOM est également auditeur technique Cyber pour LSTI depuis cette année, sur la qualification PASSI. Il a accepté de répondre à nos questions sur sa récente expérience de sélection pour être partenaire LSTI.
- Tout d’abord, pouvez-vous vous présenter en quelques mots (votre poste, votre parcours, l’entreprise ABICOM) ?
J’ai été consultant et analyste cyber pour des groupes du CAC40 et des OIV (Opérateurs d’Importance Vitale), j’ai effectué des missions de conseils et intégration pendant près de quatre ans.
Puis je suis rentré à Clermont Ferrand pour gérer un SOC (Security Operation Center), où je faisais de la détection et de la réponse à incidents pendant 2 ans. Par la suite j’ai été RSSI dans une entreprise d’hébergement de données de santé (HDS) pendant 2 ans.
Je suis maintenant manager cybersécurité au sein d’Abicom, sur le volet opérationnel de la partie offensive et défensive en cybersécurité et l’intégration de solutions SSI.
Olivier Gay, président d’Abicom, prend cinq minutes pour nous décrire l’entreprise : « ABICOM est un distributeur intégrateur de solutions informatiques situé en Auvergne. Spécialisé dans le cloud, sur une forte dimension d’engagements de services qui intègre tout une dimension récurrente de contrats de maintien en conditions opérationnelles et d’infrastructures, de services d’exploitations de support et de services managés (soit la faculté de traiter directement avec les utilisateurs des clients dans un centre de service spécialisé). ABICOM est composé de Business Units spécialisées, notamment en cybersécurité et télécom. Ce sont plus de 90 collaborateurs au service des plus grandes entreprises informatiques. »
- Réaction à froid : quels sont les 3 mots qui vous viennent à l’esprit quand vous pensez à LSTI ?
Alors… Je dirais tout d’abord rigueur. Rigueur dans l’accompagnement des clients, par les process très précis et détaillés mis en place. Puis expertise, par la haute expertise de LSTI sur tous les sujets liés à la méthodologie et l’audit. Pour finir savoir-faire, notamment opérationnel parce qu’on a affaire à des personnes qui ont un savoir-faire technique très important, sur les différents sujets liés à la qualification PASSI et l’audit cybersécurité.
- Pourquoi être devenu auditeur partenaire LSTI ?
Premièrement pour le challenge technique, les entretiens sont complexes, notamment sur les 4 portées techniques à maîtriser, puis pour se mettre à l’épreuve dans des environnements très sécurisés, ce qui permet de découvrir de nouvelles technologies normalement difficiles d’accès.
- Que pensez-vous du processus de sélection et validation ?
Il y a une réelle méthodologie pour attester du profil et du parcours de l’auditeur, de ses savoir-être et savoir-faire, qui nécessite une certaine expérience des normes internationales et des référentiels de l’ANSSI ; c’est un processus motivant, stimulant, car c’est un vrai challenge ; ça nécessite une remise en cause de ses propres connaissances et expériences : on est évalué sur nos compétences, sur notre façon de faire. On fait également la rencontre d’autres auditeurs et de responsables d’audits, et les échanges avec cette communauté d’auditeurs cyber contribue à remettre à niveau ses acquis.
Le passage de l’examen et des entretiens pouvant être stressant, un important travail de préparation est nécessaire, car j’ai été évalué sur les quatre portées techniques, mais également sur tous les socles de compétences et les standards de l’ANSSI, qui sont vastes et nombreux. Une expérience sur différents types d’audits, mais également sous différents formats et auprès de clients au profil différent est véritablement un plus pour appréhender ce type d’examen et cette mission d’auditeur technique PASSI.
LSTI m’a bien aidé ; j’ai été accompagné par des experts LSTI, qui ont de l’expérience sur des missions PASSI et qui m’ont challengé pour me faire réviser, en passant des sortes d’examens blancs. Ça paraît être long et compliqué, mais avec une préparation organisée sur plusieurs mois et de la passion pour mon métier et la cybersécurité, cela ne m’a pas paru être une contrainte.
- Vous venez de réaliser votre première mission en partenariat avec nous, pouvez-vous décrire cette première expérience en quelques phrases ?
Sur les premières missions, il y a un accompagnement fort de LSTI puisque j’ai réalisé 3 accompagnements sur des oraux, puis 3 audits sur sites avec des profils et clients bien différents, ainsi que des méthodologies différentes. Pour le coup, ces audits opérationnels sont très impressionnants car en environnement de diffusion restreinte, donc exigeant opérationnellement. Les experts mentors ont l’habitude de ces missions et font paraître ces audits faciles à réaliser, mais il n’en est rien. Heureusement qu’il y a ce processus d’accompagnement, car sinon je me serais senti dépassé et j’aurais fait demi-tour.
Après ces missions tutorées, je me suis senti prêt pour réaliser mes missions d’audit en binôme, j’avais les compétences, je connaissais les méthodologies ainsi que les objectifs à atteindre pour effectuer une prestation qui satisferait le client. De plus, je sais les équipes LSTI à disposition si je rencontre un problème technique ou une question. Avec les missions s’accumule l’expérience et un meilleur recul, ce qui permet, en plus de toute cet accompagnement, de se sentir à l’aise et opérationnel.
A la fin de ces premières missions en solo, j’ai connu un réel sentiment de fierté, car c’est l’aboutissement d’un long travail de préparation et de mes différentes expériences. De plus, j’ai eu comme premier audit un client qui connaissait le processus d’audit et de qualification PASSI, il connaissait donc la routine et le déroulé, ce qui a grandement aidé pour effectuer ce premier audit.
La maturité et l’expérience crée une habitude, c’est comme cela qu’on gagne notamment du temps sur l’élaboration des rapports d’audit, partie la plus importante et la plus chronophage d’un audit. De plus, j’ai eu beaucoup de retours directs et francs sur les rapports de la part de l’équipe de LSTI, ce qui permet de s’améliorer continuellement sur ses audits, ses rapports mais aussi ses connaissances.
Le métier d’auditeur est extrêmement stimulant intellectuellement pertinent et unique par ses missions. L’environnement de travail est aussi agréable : on rencontre des experts, des clients, des technologies qui contribuent à se remettre en question et s’améliorer, on ne s’ennuie jamais.
- Comment voyez-vous le partenariat LSTI/Abicom à l’avenir ?
Je souhaite vivement continuer à effectuer des missions pour LSTI car elles sont très intéressantes. Elles permettent de garder un niveau technique très élevé, de garder ses savoir-faire et ses compétences à l’état de l’art. Elles permettent aussi de découvrir de nouveaux milieux différents les uns des autres, avec un haut niveau de protection et de confidentialité.
Par ailleurs, cela a motivé deux autres personnes de mon service chez Abicom pour être expert technique et responsable d’audits dans le cadre de notre partenariat avec LSTI : ils sont en cours d’évaluation. C’est donc un partenariat sur la durée.
Florent Grosso est auditeur technique PASSI et effectue des missions pour le compte de LSTI, cependant LSTI est organisme d’évaluation de la conformité sur de nombreux autres référentiels de l’ANSSI, de l’ETSI ou de l’ISO :
Contactez-nous pour toute question sur nos offres de certification entreprises et services.