Actualités

Qualification PVID : 1 an après, où en est-on ?

Il y a un an, nous ajoutions à notre offre l’évaluation des services de Vérification d’Identité à Distance « PVID », selon le référentiel publié par l’ANSSI et dans le même temps la certification selon la spécification technique de l’ETSI TS 119 461 pour les Identity Proofing Service Provider « IPSP ».

Être qualifié PVID en France est un moyen de répondre à 3 exigences réglementaires :

  • La certification au titre du [DECRET_2020-118] des services d’entrée en relation d’affaires à distance ;
  • La qualification des services de confiance au titre du règlement eIDAS lorsque ces derniers recourent à une vérification d’identité à distance (article 24 1 d) ;
  • L’évaluation de la conformité des moyens d’identification électronique au titre du règlement eIDAS et leur certification au titre de l’article L.102 du CPCE, pour les niveaux de garantie substantiel et élevé, lorsque ces derniers recourent à une vérification d’identité à distance.

En Europe, la certification à la norme ETSI TS 119 461 permet notamment de déclarer que la prestation de vérification d’identité à distance fournit une garantie équivalente en termes de fiabilité à la présence en personne (article 24 1 d).

Pour proposer une prestation complète (évaluation de la conformité et tests informatiques et physiques de l’efficacité biométriques), LSTI s’est associé avec les sociétés STELAU et CLR Labs.

Bilan sur cette activité, un an après :

  • Au niveau national

LSTI SAS et ses partenaires STELAU et CLR Labs ont réalisé plusieurs évaluations PVID. Les décisions de qualification devraient être prochainement publiées.

  • Au niveau européen

LSTI Worldwide, filiale de LSTI SAS, a également démarré la certification de conformité à la norme ETSI 119 461 pour différents prestataires dans différents États-membres dont certains ont légiféré sur le sujet. Le premier certificat ETSI 119 461 a été délivré par LSTI début juillet 2022.

FIC 2022 : notre retour sur l’édition de cette année

Cette année, nous avons participé au Forum International de la Cybersécurité : nous étions présents sur le stand Oppida. Retour sur l’un de nos auditeurs présents sur le forum et les éléments clés.

Les faits qui nous ont marqués lors de cette édition :

  • Le thème de cette année était l’Europe, des zones dédiées à des pays européens et beaucoup d’entreprises européennes étaient présentes sur ce forum, mais également des acteurs venus de beaucoup plus loin. L’internationalisation du FIC ne cesse d’augmenter, comme le prouve également la prochaine édition à Montréal en novembre. Cela appuie la dimension internationale du secteur, et ouvre toujours plus de possibilités ;
  • Le dernier discours de Guillaume Poupard en tant que Directeur général de l’ANSSI, qui a mentionné l’augmentation des cyber-attaques, dont l’essentiel frappe des institutions étatiques, mais aussi les entreprises autres que les OIV, qui ont fortement travaillé sur leur cyberdéfense et cyber-résilience. Le domaine de la cybersécurité est donc encore en phase de croissance et porteur d’activités, avec un besoin de recrutement important qui peine à être comblé.

Nicolas Langeard a rejoint récemment LSTI pour assurer des missions de responsable d’audit dans le domaine de la Cyber. Il était présent le 2e jour du forum. Il a accepté de faire part de son expérience au salon. Découvrez son témoignage.


Bonjour Nicolas. Peux-tu te présenter brièvement ?

Bonjour ! J’ai rejoint la société LSTI en mai 2022 en tant que responsable d’audit sur les référentiels cyber. Du fait de mes expériences acquises durant plus de 24 ans, j’aspirai à pouvoir être acteur sur les qualifications PASSI, PDIS et PRIS. Je vais également intervenir sur des audits ISO/CEI 2700.

J’ai travaillé pour le ministère des armées pendant plus d’une vingtaine d’année durant lesquelles j’ai fait de nombreux audits de SI sensibles, en métropole et en missions extérieures. J’ai également travaillé pour l’agence cybersécurité de l’OTAN (NCIRC) basée à Mons en Belgique pendant 3 ans. J’ai fini ma carrière militaire au sein de la cellule forensique du Centre d’Analyse de Lutte Informatique Défensive (CALID) à Rennes en tant qu’analyste cybersécurité confirmé et enquêteur technologies numériques (N’Tech).

De septembre 2019 à mars 2022, j’ai travaillé pour l’entreprise AMOSSYS en tant que responsable des activités d’audit et de conseil en cybersécurité. J’ai réalisé des audits de type PASSI LPM en tant que RA et auditeur organisationnelle et physique pour différents OIV.

Combien de fois as-tu participé au FIC ?

En comptant ma journée de présence au salon FIC 2022, cela fait ma 5ème participation.

Un habitué donc ! As-tu constaté une évolution au fil des années ?

Je trouve très intéressant que le FIC intègre dans le programme de sa première journée, la 8ème conférence CORIIN organisée par le CECyF (Centre Expert contre la Cybercriminalité Français) sur la réponse aux incidents et l’investigation numérique. De nombreux retours de la part d’experts sur l’emploi d’outils forensiques et/ou leurs expériences opérationnelles étaient à l’ordre du jour.

Jusqu’en 2020, le FIC avait bien lieu à Lille mais courant du mois de janvier ce qui permettait de ne pas se télescoper avec d’autres évènements en cybersécurité.

Quels ont été les points forts de l’édition 2022 pour toi ?

Cette édition 2022 était très orientée vers l’Europe et ses capacités actuelles et futures en cybersécurité. Les multiples projets législatifs (NIS2, cyber-résilience, e-evidence, sécurité des produits, DMA, DSA…) ont régulièrement été abordés. Le domaine de l’évaluation sera très certainement impacté par le programme « Décennie numérique » de la Commission européenne lancé en mars 2022.

Qu’est-ce qui a manqué à cette édition selon toi ?

Une météo plus clémente et des fontaines d’eau à disposition des visiteurs/exposants au sein du Grand Palais.

Ton ressenti sur le stand Oppida/LSTI ?

J’ai fortement apprécié échanger avec différents profils de visiteurs sur les sujets de la certification (CC, CSPN), des différentes qualifications (PASSI, PRIS, PDIS, PSCE, PSHE, …) et sur les obligations lors d’audit ayant pour référentiel la Loi de Programmation Militaire.

Un mot pour la fin ?

Mon constat 2022 sur les salons / conférences cyber en France est qu’il y a beaucoup d’événements rapprochés sur la période du mois de juin (FIC, STIIC, Hack in Paris, …). Il devient compliqué de pouvoir se libérer professionnellement afin d’y assister.

Focus sur la norme ISO/CEI 27001

L’ISO/IEC 27001 est une norme internationale sur la gestion de la sécurité de l’information. À l’origine, elle a été publiée conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI ou IEC en anglais) en 2005, puis révisé en 2013. Une mise à jour européenne a été publiée en 2017.

Le titre officiel de cette norme est « Technologies de l’information — Techniques de sécurité — Systèmes de gestion de la sécurité de l’information — Exigences »

Cette norme précise les exigences pour l’organisation, la mise en œuvre, la maintenance et l’amélioration continue d’un système de management de la sécurité de l’information (SMSI). Le but d’un SMSI est d’aider les organisations à sécuriser leurs données et informations (telles que leurs informations financières, leur propriété intellectuelle, les données sur leurs employés ou des informations confiées par des tiers).

Les organisations qui satisfont à ces exigences peuvent choisir d’être évaluées par le biais d’un audit afin d’être certifiées par un organisme de certification accrédité, tel que LSTI.

ISO/IEC 27001:2013 comporte dix clauses courtes et une longue annexe, qui couvrent les éléments suivants :

  1. Champ d’application de la norme
  2. Comment le document est référencé
  3. Réutilisation des termes et définitions dans ISO/IEC 27000
  4. Contexte organisationnel et parties prenantes
  5. Leadership en matière de sécurité de l’information et soutien de haut niveau aux politiques
  6. Planification d’un système de gestion de la sécurité de l’information, l’évaluation des risques, traitement des risques
  7. Soutenir un système de gestion de la sécurité de l’information
  8. Rendre opérationnel un système de gestion de la sécurité de l’information
  9. Examen des performances du système
  10. Action corrective
    Annexe A : Liste des contrôles et leurs objectifs

Comme toute autre norme de système de management, être certifié ISO/CEI 27001 est tout à fait possible mais pas obligatoire. Certaines entreprises choisissent de mettre en œuvre cette norme pour bénéficier des bonnes pratiques qu’elle contient, tandis que d’autres décident de se faire certifier pour rassurer leurs clients.

Cette norme est le référentiel de référence pour notre prestation entreprise, ainsi que les examens auditor/lead auditor 27001 et implementer 27001.

eIDAS : qu’est-ce qui se cache derrière cet acronyme ?

L’augmentation des demandes de certifications eIDAS depuis sa création a boosté notre activité en Europe. LSTI a même fondé sa filiale, LSTI Worldwide, dont l’activité principale est l’évaluation de la certification eIDAS, en 2016. Mais qu’est-ce que la réglementation eIDAS ?

« eIDAS » est l’abréviation de « electronic IDentification And Trust Services ». Il fait référence à une gamme de services spécifiques qui incluent la vérification de l’identité des particuliers et des entreprises en ligne et la vérification de l’authenticité des documents électroniques. Pour simplifier, il assure des transactions transfrontalières sécurisées.

Cette norme a été établie dans le règlement UE 910/2014 du 23 juillet 2014 sur l’identification électronique et abroge le règlement 1999/93/CE du 13 décembre 1999. Le règlement eIDAS est applicable dans toute l’UE depuis le 1er juillet 2016.

Les services de confiance couverts par eIDAS comprennent :

Services qualifiés eIDAS

  • Signatures électroniques avancées et qualifiées associées à une personne morale ou physique ;
  • Cachets électroniques avancés et qualifiés associés à une personne morale ;
  • Validation qualifiée pour les signatures électroniques qualifiées et les cachets ;
  • Conservation qualifiée des signatures électroniques qualifiées et des cachets ;
  • Horodatage ;
  • Services de livraison électronique ;
  • Authentification de sites internet.

 

Le but d’avoir des services qualifiés et de confiance est d’augmenter la confiance dans l’utilisation des transactions électroniques grâce à des mécanismes – tels que la vérification de l’identité des particuliers et des entreprises en ligne ou la vérification de l’authenticité des données électroniques – qui sont plus présents dans nos activités de nos jours.

Les entreprises qui ont été qualifiées selon les normes eIDAS pour leurs services sont appelées Trust Service Providers (TSP).

Notre activité, ainsi que celle de LSTI Worldwide, est d’auditer et d’évaluer les entreprises qui fournissent les services mentionnés ci-dessus. Sur la base du résultat de leur audit, une entreprise peut être qualifiée de fournisseur de services de confiance et se voit attribuer un certificat prouvant sa fiabilité et la qualité de ses services.

Tous les clients du groupe LSTI évalués et qualifiés en tant que TSP peuvent être trouvés sur notre registre en ligne, ou sur demande via le formulaire de contact (sélectionnez Communications comme sujet).

Plus d’informations sur notre page dédiée et sur les sites européens suivants :

Qualification SecNumCloud : qu’est-ce que c’est ?

La certification des prestataires d’informatique en nuage SecNumCloud constitue une de nos offres « Certification cyber » pour entreprises.

Mais qu’est-elle exactement et à qui s’adresse-t-elle ?

La qualification SecNumCloud est délivrée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) sur la base d’une évaluation documentaire suivi d’un audit sur site réalisé par des auditeurs habilités par l’ANSSI et agréés par LSTI.

Le référentiel d’exigences utilisé est une évolution du label Secure Cloud édité en 2016. Il a connu une modification en 2018 pour être en accord avec le RGPD.

Mais quelles sont donc les différences avec une certification ISO/CEI 27001 ?

Cette qualification est accordée par l’ANSSI après une évaluation documentaire puis un audit sur site. Elle s’adresse à tous les types d’entreprises qui réalisent des prestations d’informatique en nuage pour leur propre compte ou pour le compte de ses clients. Elle peut être délivré pour les services IaaS (Infrastructure as a Service), SaaS (Service as a Service) et PaaS (Platform as a Service).

Le référentiel d’évaluation, d’un haut niveau en termes d’exigences de sécurité est constitué de bonnes pratiques de sécurité, de règles d’habilitation du personnel, d’exigences de sécurité des locaux, des process et des réseaux.

La qualification est délivrée pour trois ans au maximum moyennant des audits de surveillance chaque année. L’automne dernier, la version 3.2.a du référentiel a été publiée en septembre 2021 sur leur site. Ces modifications sont perçues comme majeures, par l’ajout d’entreprises de CaaS (Container as a Service), et la question de l’immunité aux lois extracommunautaires.
La version définitive 3.2 a été publiée le 9 mars 2022 sur le site de l’ANSSI.

Plus d’informations sur notre page dédiée et sur le site internet de l’ANSSI ou contactez-nous avec le sujet « information certification d’entreprise » en précisant dans votre message la qualification SecNumCloud.

2021 : le bilan

Le début d’année est le temps dédié aux bilans et résolutions, faisons un point sur l’activité de LSTI en 2021.

Les nouveautés

Deux offres ont été ajoutées dans notre catalogue :

  • La certification d’entreprise PVID, la dernière qualification mise en place par l’ANSSI à l’attention des Prestataires de services de Vérification d’Identité à Distance. Nous offrons ce service pour nos clients français mais aussi internationaux, estimant qu’une telle certification peut bénéficier à toute entreprise ;
  • La certification de personne Implementer ISO/CEI 27701, nous avons d’ailleurs rédigé une actualité à ce sujet pour présenter cette certification, et mettre en avant les différences avec la certification Implementer ISO/CEI 27001.

Une autre nouveauté 2021 a été la mise à jour de notre process d’évaluation de personnes, où nous avons notamment introduit des niveaux d’expertise (élémentaire, intermédiaire et avancé). Depuis la mise en place de ce nouveau process, nous avons certifié 460 personnes.

L’équipe

2021 a aussi été marqué par le renforcement de l’équipe LSTI. Un auditeur salarié nous a rejoint, qui travaille notamment sur la certification PASSI, mais également une assistante de gestion dédiée aux certifications d’entreprises. Un nouveau membre nous a également rejoint pour gérer l’activité de LSTI Worldwide.
Malgré la crise sanitaire qui dure, le groupe a une activité constante et en croissance qui permet d’embaucher des personnes supplémentaires.

Nous sommes également toujours ouverts pour des partenariats, en tant qu’organismes de formation partenaires ou auditeurs partenaires.

Le soutien d’un groupe international

Fin 2021 a marqué un tournant pour LSTI : le groupe a rejoint l’entreprise Apave.

Qu’est-ce que cela change concrètement pour nos clients ? Rien. Notre philosophie, notre activité et notre intégrité restent inchangés.

Et pour nos partenaires ? Cela ne change rien non plus, car nous traitons toujours en direct avec eux.

Faire partie d’Apave nous permet de bénéficier de l’appui et de la renommée d’un groupe d’envergure internationale et avec une expérience de longue date dans la gestion des risques professionnels.

Et pour 2022 ?

La tendance de cette année est la certification PVID :

  • Après les premières demandes client l’année dernière, les audits et qualifications avancent ;
  • Le pendant européen du référentiel de l’ANSSI, la norme ETSI TS 119 461, va contribuer au développement de la demande en Europe.

Nous allons également étoffer notre catalogue de certification de personnes, nous vous invitons donc à consulter nos réseaux sociaux et nos actualités régulièrement pour ne pas manquer cette information.

Qualification PASSI : comment ça se passe chez LSTI ?

Petit récapitulatif sur une de nos activités historiques : la qualification Prestataire d’Audit de Sécurité des Systèmes d’Information, aussi appelés PASSI.

Habilité par l’ANSSI depuis 2014, LSTI est le premier organisme certificateur (OC) à effectuer des audits selon le référentiel PASSI qui fait partie du Règlement Général de Sécurité (RGS) conçu par l’ANSSI.

Cette qualification s’adresse aux prestataires de service de confiance qui réalisent des audits de sécurité organisationnel et physique ainsi que sur des portées techniques. Cette qualification est devenue nécessaire pour proposer des prestations d’audit à certaines entreprises ou pour répondre à des appels d’offres.

Le processus de qualification est précisé sur notre page dédiée à la qualification PASSI : il est composé d’un audit siège, d’une observation témoin et d’examens écrits et oraux.

Les examens ont pour objectif de valider les connaissances techniques des auditeurs du prestataire mais aussi leur maitrise du référentiel PASSI et le respect d’une certaine éthique.

Pour ce qui concerne le prestataire, la qualification permet de s’assurer du respect par celui-ci de clauses contractuels strictes, du suivi d’un processus de recrutement et de gestion des compétences efficace et de la garantie de la protection des données d’audit au niveau fixé par le référentiel.

Schéma audit initial PASSI

La qualification est accordée par l’organisme d’évaluation en conformité (OEC) LSTI au terme de la validation de l’audit et du succès des candidats aux examens, pour 3 ans. Une surveillance a lieu à 18 mois, et un audit de renouvellement permet de déclarer la conformité pour 3 ans.

Pour toute question concernant notre prestation PASSI, contactez-nous avec le sujet « information certification d’entreprise ».

Norme ISO/CEI 27701 : pourquoi obtenir la certification Implementer ISO/CEI 27701 ?

Petit rappel tout d’abord : quel est le sujet de cette norme ?

La norme ISO/CEI 27701 est un complément aux normes ISO/CEI 27001 et ISO/CEI 27002. Elle a été publiée en août 2019, à la suite de la ratification de lois dans différents pays sur la protection des données personnelles (la Loi Informatique et Liberté en France, le RGPD en Union Européenne mais aussi le DPA, Data Protection Act, au Royaume-Uni ou encore le CCPA, California Consumer Protection Act, en Californie, aux États-Unis…).

Cette norme ISO/CEI 27701 a donc pour but la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données à caractère personnel, ainsi que la gestion d’un système de management de la protection de la vie privée (appelé « PIMS » pour Privacy Information Management System) qui se greffe au SMSI. La norme étant éditée par l’ISO et la CEI, cette norme a une portée internationale.

La norme ISO/CEI 27701 est composée de 8 clauses, dont les quatre dernières spécifient les exigences et les extensions supplémentaires à ajouter aux normes ISO/CEI 27001 et 27002.

Elle contient aussi le processus de mise en place d’un PIMS, composés de différentes étapes à respecter pour être certifié conforme.

Nous sommes en Union Européenne, donc soumis au Règlement Général sur la Protection des Données (RGPD). Quelles sont les différences entre les deux textes ?

Même si ces deux référentiels ont un sujet similaire, la conformité à la norme ISO/CEI 27701 n’assure pas la conformité au RGPD, et inversement.

La norme ISO/CEI 27701 a un aspect international, donc plus générique que le RGPD sur le traitement et la protection des données à caractère personnel. Cependant, la mise en place d’un PIMS conforme contribue au respect des articles 42 et 43 du RGPD, sur le principe de responsabilité.

Plus d’informations sur l’article de la CNIL.

Qu’en est-il de la certification Implementer ISO/CEI 27701 ?

La certification Implementer ISO/CEI 27701 s’adressent aux différentes personnes qui supervisent ou gèrent la confidentialité et la gestion de données à caractère personnel, ainsi qu’aux responsables et membres d’une équipe PIMS.

Obtenir cette certification est une garantie de plus pour l’entreprise qui emploient des implementers certifiés, mais également pour leurs clients.

Cette certification peut également complémenter une certification Implementer ISO/CEI 27001 et/ou une certification Délégué·e à la Protection des Données (DPO).

Vous souhaitez passer notre test de certification Implementer ISO/CEI 27701 ? Inscrivez-vous en ligne.

Certifications et qualifications de services et d’entreprise : qui sont les auditeurs ?

LSTI est également renommé pour ses certifications d’entreprises ou de services sur les référentiels cyber ou eIDAS.

Ces certifications ou qualifications sont basées sur le résultat d’audits sur site qui reposent sur des exigences de haut niveau en matière de sécurité. Certaines qualifications incluent également le passage d’examens pour les auditeurs des entreprises candidates (la qualification PASSI par exemple).

Pour répondre aux nombreuses demandes clientes ainsi que maintenir un service d’audit et d’évaluation rigoureux et de qualité, LSTI s’entoure d’auditeurs et auditrices qui peuvent être employé·es ou mandaté·es. Le métier d’auditeur en cyber certification est assez particulier tant dans les critères de sélection de ces auditeurs que dans la pratique d’audits très encadrée par les normes.

 

Florent Grosso, manager cybersécurité chez ABICOM est également auditeur technique Cyber pour LSTI depuis cette année, sur la qualification PASSI.  Il a accepté de répondre à nos questions sur sa récente expérience de sélection pour être partenaire LSTI.

  • Tout d’abord, pouvez-vous vous présenter en quelques mots (votre poste, votre parcours, l’entreprise ABICOM) ?

J’ai été consultant et analyste cyber pour des groupes du CAC40 et des OIV (Opérateurs d’Importance Vitale), j’ai effectué des missions de conseils et intégration pendant près de quatre ans.
Puis je suis rentré à Clermont Ferrand pour gérer un SOC (Security Operation Center), où je faisais de la détection et de la réponse à incidents pendant 2 ans. Par la suite j’ai été RSSI dans une entreprise d’hébergement de données de santé (HDS) pendant 2 ans.
Je suis maintenant manager cybersécurité au sein d’Abicom, sur le volet opérationnel de la partie offensive et défensive en cybersécurité et l’intégration de solutions SSI.

Olivier Gay, président d’Abicom, prend cinq minutes pour nous décrire l’entreprise : « ABICOM est un distributeur intégrateur de solutions informatiques situé en Auvergne. Spécialisé dans le cloud, sur une forte dimension d’engagements de services qui intègre tout une dimension récurrente de contrats de maintien en conditions opérationnelles et d’infrastructures, de services d’exploitations de support et de services managés (soit la faculté de traiter directement avec les utilisateurs des clients dans un centre de service spécialisé). ABICOM est composé de Business Units spécialisées, notamment en cybersécurité et télécom. Ce sont plus de 90 collaborateurs au service des plus grandes entreprises informatiques. »

  • Réaction à froid : quels sont les 3 mots qui vous viennent à l’esprit quand vous pensez à LSTI ?

Alors… Je dirais tout d’abord rigueur. Rigueur dans l’accompagnement des clients, par les process très précis et détaillés mis en place. Puis expertise, par la haute expertise de LSTI sur tous les sujets liés à la méthodologie et l’audit. Pour finir savoir-faire, notamment opérationnel parce qu’on a affaire à des personnes qui ont un savoir-faire technique très important, sur les différents sujets liés à la qualification PASSI et l’audit cybersécurité.

  • Pourquoi être devenu auditeur partenaire LSTI ?

Premièrement pour le challenge technique, les entretiens sont complexes, notamment sur les 4 portées techniques à maîtriser, puis pour se mettre à l’épreuve dans des environnements très sécurisés, ce qui permet de découvrir de nouvelles technologies normalement difficiles d’accès.

  • Que pensez-vous du processus de sélection et validation ?

Il y a une réelle méthodologie pour attester du profil et du parcours de l’auditeur, de ses savoir-être et savoir-faire, qui nécessite une certaine expérience des normes internationales et des référentiels de l’ANSSI ; c’est un processus motivant, stimulant, car c’est un vrai challenge ; ça nécessite une remise en cause de ses propres connaissances et expériences : on est évalué sur nos compétences, sur notre façon de faire. On fait également la rencontre d’autres auditeurs et de responsables d’audits, et les échanges avec cette communauté d’auditeurs cyber contribue à remettre à niveau ses acquis.

Le passage de l’examen et des entretiens pouvant être stressant, un important travail de préparation est nécessaire, car j’ai été évalué sur les quatre portées techniques, mais également sur tous les socles de compétences et les standards de l’ANSSI, qui sont vastes et nombreux. Une expérience sur différents types d’audits, mais également sous différents formats et auprès de clients au profil différent est véritablement un plus pour appréhender ce type d’examen et cette mission d’auditeur technique PASSI.

LSTI m’a bien aidé ; j’ai été accompagné par des experts LSTI, qui ont de l’expérience sur des missions PASSI et qui m’ont challengé pour me faire réviser, en passant des sortes d’examens blancs. Ça paraît être long et compliqué, mais avec une préparation organisée sur plusieurs mois et de la passion pour mon métier et la cybersécurité, cela ne m’a pas paru être une contrainte.

  • Vous venez de réaliser votre première mission en partenariat avec nous, pouvez-vous décrire cette première expérience en quelques phrases ?

Sur les premières missions, il y a un accompagnement fort de LSTI puisque j’ai réalisé 3 accompagnements sur des oraux, puis 3 audits sur sites avec des profils et clients bien différents, ainsi que des méthodologies différentes. Pour le coup, ces audits opérationnels sont très impressionnants car en environnement de diffusion restreinte, donc exigeant opérationnellement. Les experts mentors ont l’habitude de ces missions et font paraître ces audits faciles à réaliser, mais il n’en est rien. Heureusement qu’il y a ce processus d’accompagnement, car sinon je me serais senti dépassé et j’aurais fait demi-tour.

Après ces missions tutorées, je me suis senti prêt pour réaliser mes missions d’audit en binôme, j’avais les compétences, je connaissais les méthodologies ainsi que les objectifs à atteindre pour effectuer une prestation qui satisferait le client. De plus, je sais les équipes LSTI à disposition si je rencontre un problème technique ou une question. Avec les missions s’accumule l’expérience et un meilleur recul, ce qui permet, en plus de toute cet accompagnement, de se sentir à l’aise et opérationnel.

A la fin de ces premières missions en solo, j’ai connu un réel sentiment de fierté, car c’est l’aboutissement d’un long travail de préparation et de mes différentes expériences. De plus, j’ai eu comme premier audit un client qui connaissait le processus d’audit et de qualification PASSI, il connaissait donc la routine et le déroulé, ce qui a grandement aidé pour effectuer ce premier audit.

La maturité et l’expérience crée une habitude, c’est comme cela qu’on gagne notamment du temps sur l’élaboration des rapports d’audit, partie la plus importante et la plus chronophage d’un audit. De plus, j’ai eu beaucoup de retours directs et francs sur les rapports de la part de l’équipe de LSTI, ce qui permet de s’améliorer continuellement sur ses audits, ses rapports mais aussi ses connaissances.

Le métier d’auditeur est extrêmement stimulant intellectuellement pertinent et unique par ses missions. L’environnement de travail est aussi agréable : on rencontre des experts, des clients, des technologies qui contribuent à se remettre en question et s’améliorer, on ne s’ennuie jamais.

  • Comment voyez-vous le partenariat LSTI/Abicom à l’avenir ?

Je souhaite vivement continuer à effectuer des missions pour LSTI car elles sont très intéressantes. Elles permettent de garder un niveau technique très élevé, de garder ses savoir-faire et ses compétences à l’état de l’art. Elles permettent aussi de découvrir de nouveaux milieux différents les uns des autres, avec un haut niveau de protection et de confidentialité.

Par ailleurs, cela a motivé deux autres personnes de mon service chez Abicom pour être expert technique et responsable d’audits dans le cadre de notre partenariat avec LSTI : ils sont en cours d’évaluation. C’est donc un partenariat sur la durée.

 

Florent Grosso est auditeur technique PASSI et effectue des missions pour le compte de LSTI, cependant LSTI est organisme d’évaluation de la conformité sur de nombreux autres référentiels de l’ANSSI, de l’ETSI ou de l’ISO :

Contactez-nous pour toute question sur nos offres de certification entreprises et services.

LSTI rejoint le groupe Apave

Dans un contexte de développement de l’industrie de la cybersécurité au niveau du territoire français, mais également européen, LSTI, fort de ses dix-sept années d’expérience, renforce sa position sur le marché en rejoignant le groupe Apave.

LSTI est un organisme d’évaluation de la conformité spécialisé en cybersécurité et en protection des données. Créé en 2004, LSTI a développé une réelle expertise en sécurité de l’information et est reconnu comme un des organismes certificateurs majeurs en Europe pour l’évaluation des prestataires de services de confiance dans le contexte du règlement eIDAS et des référentiels cyber de l’ANSSI. Aujourd’hui, LSTI rejoint le groupe Apave pour donner un élan à sa croissance, et contribuer au développement de l’offre cyber du groupe.
La plateforme Cybersécurité Apave propose des approches standard et sur-mesure pour aider les organisations à maîtriser leur risque numérique, pour tester la vulnérabilité de leur système, pour labelliser ou certifier la qualité de leur protection, ou encore pour former leurs salariés à l’anticipation et à la gestion de ces risques.

A propos d’Apave
Apave est un groupe international de plus de 150 ans spécialisé dans la maîtrise des risques. Entreprise indépendante avec un CA de 881M€ en 2019, Apave compte aujourd’hui 12 400 collaborateurs, 130 agences en France, 170 sites de formation en France et à l’international et 18 centres d’essais. Apave est présente à l’international à travers plus de 45 pays. Près de 500 000 clients lui font déjà confiance en France et à l’international.
www.apave.fr

Télécharger le communiqué de presse.

Scroll to top