Suite à l’obtention de la qualification Prestataires d’Audit de la Sécurité des Systèmes d’Information (PASSI), Renaud FEIL, président et co-fondateur de Synacktiv, a répondu à quelques questions pour nous faire part de son expérience. Voici ses réponses.
Le processus de qualification est exigeant. Il a demandé une préparation intense malgré les 8 années d’expérience de Synacktiv dans la réalisation d’audits de sécurité. Cet audit nous rappelle qu’il y a une différence entre « faire du bon travail » et être capable de démontrer à un tiers que nos processus assurent un niveau de qualité systématique. Par ailleurs, l’audit vérifie des aspects contractuels, légaux et réglementaires qui sont rarement documentés dans les petites sociétés spécialisées comme la nôtre.
Cela prouve une certaine consistance dans la réalisation de nos audits. Même si je ne pense pas que le métier du test d’intrusion a vocation à être « industrialisé », les compétences et le flair de chaque auditeur ne pouvant pas être complètement englobés dans une qualification…
Surtout, cela permet à nos clients OIV (Opérateurs d’Importance Vitale) de nous faire intervenir sur les périmètres les plus sensibles sans se mettre en défaut avec la réglementation.
Pour l’écrit, certaines questions mériteraient une petite mise à jour pour correspondre aux technologies récentes que l’on croise désormais chez les clients, mais l’ensemble reste très pertinent (et il est vrai qu’on retrouve toujours de vieilles technologies sur le terrain !). Pour l’oral, nous avons trouvé qu’il était intéressant de challenger les candidats sur les erreurs constatées lors de l’examen écrit.
De manière générale, c’est toujours déstabilisant pour un auditeur ayant plusieurs années d’expérience de se retrouver à son tour audité par un pair ! Mais les 12 candidats que nous avons présentés ont tous été retenus pour devenir auditeurs PASSI. Pour un expert sécurité continuant de pratiquer des audits de sécurité régulièrement, il n’y a guère de surprise dans les résultats des examens.
Nous allons engager les démarches pour être PASSI LPM (Loi de Programmation Militaire). Tous les efforts ont déjà été faits et il ne s’agira (je l’espère) que d’une formalité pour démontrer notre crédibilité sur le marché.
Synacktiv rejoint la liste des sociétés françaises qualifiées PASSI, que vous pouvez retrouver sur notre moteur de recherche Clients Certifiés.
Rappel : nous ne délivrons pas de certificat de signature électronique. Veuillez contacter un PSCe spécialisé dans les signatures électroniques pour en obtenir.