LSTI est également renommé pour ses certifications d’entreprises ou de services sur les référentiels cyber ou eIDAS.

Ces certifications ou qualifications sont basées sur le résultat d’audits sur site qui reposent sur des exigences de haut niveau en matière de sécurité. Certaines qualifications incluent également le passage d’examens pour les auditeurs des entreprises candidates (la qualification PASSI par exemple).

Pour répondre aux nombreuses demandes clientes ainsi que maintenir un service d’audit et d’évaluation rigoureux et de qualité, LSTI s’entoure d’auditeurs et auditrices qui peuvent être employé·es ou mandaté·es. Le métier d’auditeur en cyber certification est assez particulier tant dans les critères de sélection de ces auditeurs que dans la pratique d’audits très encadrée par les normes.

Florent Grosso, manager cybersécurité chez ABICOM est également auditeur technique Cyber pour LSTI depuis cette année, sur la qualification PASSI.  Il a accepté de répondre à nos questions sur sa récente expérience de sélection pour être partenaire LSTI.

• Tout d’abord, pouvez-vous vous présenter en quelques mots (votre poste, votre parcours, l’entreprise ABICOM) ?

J’ai été consultant et analyste cyber pour des groupes du CAC40 et des OIV (Opérateurs d’Importance Vitale), j’ai effectué des missions de conseils et intégration pendant près de quatre ans.
Puis je suis rentré à Clermont Ferrand pour gérer un SOC (Security Operation Center), où je faisais de la détection et de la réponse à incidents pendant 2 ans. Par la suite j’ai été RSSI dans une entreprise d’hébergement de données de santé (HDS) pendant 2 ans.
Je suis maintenant manager cybersécurité au sein d’Abicom, sur le volet opérationnel de la partie offensive et défensive en cybersécurité et l’intégration de solutions SSI.

Olivier Gay, président d’Abicom, prend cinq minutes pour nous décrire l’entreprise : « ABICOM est un distributeur intégrateur de solutions informatiques situé en Auvergne. Spécialisé dans le cloud, sur une forte dimension d’engagements de services qui intègre tout une dimension récurrente de contrats de maintien en conditions opérationnelles et d’infrastructures, de services d’exploitations de support et de services managés (soit la faculté de traiter directement avec les utilisateurs des clients dans un centre de service spécialisé). ABICOM est composé de Business Units spécialisées, notamment en cybersécurité et télécom. Ce sont plus de 90 collaborateurs au service des plus grandes entreprises informatiques. »

• Réaction à froid : quels sont les 3 mots qui vous viennent à l’esprit quand vous pensez à LSTI ?

Alors… Je dirais tout d’abord rigueur. Rigueur dans l’accompagnement des clients, par les process très précis et détaillés mis en place. Puis expertise, par la haute expertise de LSTI sur tous les sujets liés à la méthodologie et l’audit. Pour finir savoir-faire, notamment opérationnel parce qu’on a affaire à des personnes qui ont un savoir-faire technique très important, sur les différents sujets liés à la qualification PASSI et l’audit cybersécurité.

• Pourquoi être devenu auditeur partenaire LSTI ?

Premièrement pour le challenge technique, les entretiens sont complexes, notamment sur les 4 portées techniques à maîtriser, puis pour se mettre à l’épreuve dans des environnements très sécurisés, ce qui permet de découvrir de nouvelles technologies normalement difficiles d’accès.

• Que pensez-vous du processus de sélection et validation ?

Il y a une réelle méthodologie pour attester du profil et du parcours de l’auditeur, de ses savoir-être et savoir-faire, qui nécessite une certaine expérience des normes internationales et des référentiels de l’ANSSI ; c’est un processus motivant, stimulant, car c’est un vrai challenge ; ça nécessite une remise en cause de ses propres connaissances et expériences : on est évalué sur nos compétences, sur notre façon de faire. On fait également la rencontre d’autres auditeurs et de responsables d’audits, et les échanges avec cette communauté d’auditeurs cyber contribue à remettre à niveau ses acquis.

Le passage de l’examen et des entretiens pouvant être stressant, un important travail de préparation est nécessaire, car j’ai été évalué sur les quatre portées techniques, mais également sur tous les socles de compétences et les standards de l’ANSSI, qui sont vastes et nombreux. Une expérience sur différents types d’audits, mais également sous différents formats et auprès de clients au profil différent est véritablement un plus pour appréhender ce type d’examen et cette mission d’auditeur technique PASSI.

LSTI m’a bien aidé ; j’ai été accompagné par des experts LSTI, qui ont de l’expérience sur des missions PASSI et qui m’ont challengé pour me faire réviser, en passant des sortes d’examens blancs. Ça paraît être long et compliqué, mais avec une préparation organisée sur plusieurs mois et de la passion pour mon métier et la cybersécurité, cela ne m’a pas paru être une contrainte.

• Vous venez de réaliser votre première mission en partenariat avec nous, pouvez-vous décrire cette première expérience en quelques phrases ?

Sur les premières missions, il y a un accompagnement fort de LSTI puisque j’ai réalisé 3 accompagnements sur des oraux, puis 3 audits sur sites avec des profils et clients bien différents, ainsi que des méthodologies différentes. Pour le coup, ces audits opérationnels sont très impressionnants car en environnement de diffusion restreinte, donc exigeant opérationnellement. Les experts mentors ont l’habitude de ces missions et font paraître ces audits faciles à réaliser, mais il n’en est rien. Heureusement qu’il y a ce processus d’accompagnement, car sinon je me serais senti dépassé et j’aurais fait demi-tour.

Après ces missions tutorées, je me suis senti prêt pour réaliser mes missions d’audit en binôme, j’avais les compétences, je connaissais les méthodologies ainsi que les objectifs à atteindre pour effectuer une prestation qui satisferait le client. De plus, je sais les équipes LSTI à disposition si je rencontre un problème technique ou une question. Avec les missions s’accumule l’expérience et un meilleur recul, ce qui permet, en plus de toute cet accompagnement, de se sentir à l’aise et opérationnel.

A la fin de ces premières missions en solo, j’ai connu un réel sentiment de fierté, car c’est l’aboutissement d’un long travail de préparation et de mes différentes expériences. De plus, j’ai eu comme premier audit un client qui connaissait le processus d’audit et de qualification PASSI, il connaissait donc la routine et le déroulé, ce qui a grandement aidé pour effectuer ce premier audit.

La maturité et l’expérience crée une habitude, c’est comme cela qu’on gagne notamment du temps sur l’élaboration des rapports d’audit, partie la plus importante et la plus chronophage d’un audit. De plus, j’ai eu beaucoup de retours directs et francs sur les rapports de la part de l’équipe de LSTI, ce qui permet de s’améliorer continuellement sur ses audits, ses rapports mais aussi ses connaissances.

Le métier d’auditeur est extrêmement stimulant intellectuellement pertinent et unique par ses missions. L’environnement de travail est aussi agréable : on rencontre des experts, des clients, des technologies qui contribuent à se remettre en question et s’améliorer, on ne s’ennuie jamais.

• Comment voyez-vous le partenariat LSTI/Abicom à l’avenir ?

Je souhaite vivement continuer à effectuer des missions pour LSTI car elles sont très intéressantes. Elles permettent de garder un niveau technique très élevé, de garder ses savoir-faire et ses compétences à l’état de l’art. Elles permettent aussi de découvrir de nouveaux milieux différents les uns des autres, avec un haut niveau de protection et de confidentialité.

Par ailleurs, cela a motivé deux autres personnes de mon service chez Abicom pour être expert technique et responsable d’audits dans le cadre de notre partenariat avec LSTI : ils sont en cours d’évaluation. C’est donc un partenariat sur la durée.

Florent Grosso est auditeur technique PASSI et effectue des missions pour le compte de LSTI, cependant LSTI est organisme d’évaluation de la conformité sur de nombreux autres référentiels de l’ANSSI, de l’ETSI ou de l’ISO :

• PVID
• SecNumCloud
• PRIS
• eIDAS / PSCe
• ISO/CEI 27001
• Hébergement de Données de Santé

Contactez-nous pour toute question sur nos offres de certification entreprises et services.

Dans un contexte de développement de l’industrie de la cybersécurité au niveau du territoire français, mais également européen, LSTI, fort de ses dix-sept années d’expérience, renforce sa position sur le marché en rejoignant le groupe Apave.

LSTI est un organisme d’évaluation de la conformité spécialisé en cybersécurité et en protection des données. Créé en 2004, LSTI a développé une réelle expertise en sécurité de l’information et est reconnu comme un des organismes certificateurs majeurs en Europe pour l’évaluation des prestataires de services de confiance dans le contexte du règlement eIDAS et des référentiels cyber de l’ANSSI. Aujourd’hui, LSTI rejoint le groupe Apave pour donner un élan à sa croissance, et contribuer au développement de l’offre cyber du groupe.
La plateforme Cybersécurité Apave propose des approches standard et sur-mesure pour aider les organisations à maîtriser leur risque numérique, pour tester la vulnérabilité de leur système, pour labelliser ou certifier la qualité de leur protection, ou encore pour former leurs salariés à l’anticipation et à la gestion de ces risques.

A propos d’Apave
Apave est un groupe international de plus de 150 ans spécialisé dans la maîtrise des risques. Entreprise indépendante avec un CA de 881M€ en 2019, Apave compte aujourd’hui 12 400 collaborateurs, 130 agences en France, 170 sites de formation en France et à l’international et 18 centres d’essais. Apave est présente à l’international à travers plus de 45 pays. Près de 500 000 clients lui font déjà confiance en France et à l’international.
www.apave.fr

Télécharger le communiqué de presse.

Cela fait maintenant plus d’un an que nous avons numérisé et simplifié nos examens en ligne pour la certification de compétences de personnes. C’est le moment de faire un premier bilan : retour sur ce qui a changé, le déroulé de l’inscription à la remise de certificat et quelques données chiffrées.

Un an d’examens en ligne, qu’est-ce qui a changé ?

Nous avons tout abord voulu fluidifier et simplifier l’accès aux examens, en réponse au contexte de 2020 mais aussi dans une démarche d’amélioration liée à notre époque. Numériser les examens ainsi que l’inscription et utiliser une plateforme en ligne permet de passer ses examens n’importe où, à condition d’avoir une webcam et une connexion internet.

Les améliorations sont aussi plus faciles à mettre en place, grâce aux analyses des résultats aux épreuves et les retours des candidats, nous pouvons aisément améliorer leur expérience globale, de l’inscription à la remise de leur certificat.

L’autre nouveauté a été la mise en place de niveaux d’expertise (élémentaire, intermédiaire, avancé), afin de mieux mettre en lumière les compétences des candidats certifiés. Nous en avons profité pour également retravailler le design de nos certificats.

Une telle mise à jour a aussi entraîné un changement sur notre schéma de certification : la suppression des provisionals et des grades, toujours pour répondre à une volonté d’amélioration et de fluidité dans le procédé de certification.

Ces modifications concernent les certifications de personnes, y compris notre dernier ajout à notre catalogue :

• Auditor/Lead Auditor ISO/CEI 27001
• Implementer ISO/CEI 27001
• Implementer ISO/CEI 27701 (nouveau !)
• Risk Manager ISO/CEI 27005
• DPO – Délégué·e à la Protection des Données (en salle d’examen uniquement)

Passer un examen de personne LSTI : le déroulé détaillé de A à Z

Deux types de candidats passent nos examens de certification de personnes : les personnes qui suivent les formations d’organismes formateurs partenaires, dont les formations s’achèvent par un de nos examens, et les personnes qui s’inscrivent directement sur notre site internet, pour un premier ou second passage d’examen, appelées candidats libres.

Les candidats qui passent nos examens au terme d’une formation sont inscrits par leur organisme de formation à nos examens. Un e-mail leur est envoyé 5 jours* avant l’examen pour leur expliquer le fonctionnement de la plateforme TestWe et tester leur connexion à cette plateforme. Après leur examen, un e-mail avec leur résultat leur parvient sous 20 jours*.

Le déroulé pour un candidat libre est légèrement différent, car le candidat effectue son inscription :

1. Tout d’abord, il s’inscrit en ligne, sur notre formulaire d’inscription dédiée. Ces informations nous sont transmises par la suite et nous permet de créer son dossier d’inscription. La validation du formulaire se fait suite au paiement en ligne, le candidat reçoit une confirmation de paiement dans l’heure qui suit son inscription.
2. Sous 7  jours*, ou plus tôt en fonction du temps entre l’inscription en ligne et la date de l’examen, notre service examen envoie un e-mail pour finaliser le dossier d’inscription : certaines certifications nécessitent des justificatifs, ainsi que des déclarations signées par le candidat afin d’être conforme aux référentiels et règlements d’examen en vigueur.
3. 24 à 48 heures* avant la date d’examen, le candidat reçoit un e-mail de la plateforme TestWe, sur les choses à faire avant l’examen : installer TestWe, tester la webcam…
4. 24h avant le passage d’examen, des tests de connexion et de fonctionnement sont effectués.
5. Le jour J, le candidat effectue son examen à l’heure déterminée. Il est autorisé d’utiliser les normes sous format papier pendant l’examen, mais aucun document numérisé ne peut être utilisé. Une fois l’examen terminé et envoyé par le candidat, celui-ci reçoit un e-mail qui confirme la réception de sa copie.
6. Sous 20 jours*, les résultats sont envoyés par e-mail, puis le certificat de certification sous format PDF en fonction de la réussite du candidat. Le candidat reçoit également un questionnaire de satisfaction sur son expérience. Celui-ci est anonyme et sur base de volontariat, les réponses obtenues contribuent à améliorer nos services dans le cadre de notre démarche qualité.
7. Si le candidat a accepté lors de la constitution de son dossier d’inscription, nous publierons son nom sur nos registres en ligne.

*Les délais indiqués ici sont des moyennes et des estimations, ils ne sont en aucun cas des données contractuelles.

Pour finir, quelques données chiffrées sur 12 mois de ce nouveau modèle de certification !

Plus d’un an d’examens en ligne, qu’est-ce que cela représente exactement ? Voici une sélection de chiffres qui montre l’étendue du travail fourni pour cette actualité.

Sur 12 mois (mai 2020 à 2021) :

• Nombre d’inscriptions : 625
• Nombre d’examens (formation + libres) : 139
• Temps moyen d’une correction de session : 12  jours ouvrés
• Temps moyen de réception des résultats : 20  jours ouvrés
• Nombre de certifiés : 548
• Nombre de jours à traiter les dossiers d’examen : tous les jours ouvrés, une personne est même dédiée à la gestion de ces dossiers !
• Nombre de personnes qui travaillent sur cette activité : 5
• Nombre de litres de café et de thé : beaucoup trop

CLR Labs et LSTI lancent une offre complète pour l’évaluation des Prestataires de vérification d’identité en ligne selon le schéma de certification de l’ANSSI PVID 1.0 du 1er mars 2021.

L’ANSSI est la première organisation publique à définir un référentiel d’exigences concernant les fournisseurs de vérification d’identité à distance et le schéma de certification associé. Le référentiel a été publié le 1er mars 2021 et le schéma de certification vient d’être ouvert au 1er avril 2021.

La vérification d’identité à distance est devenue un enjeu commercial mais aussi de souveraineté numérique. Le schéma de certification des Prestataires de Vérification d’Identité à Distance permet à l’écosystème français de se doter d’un élément clé dans le développement de l’économie numérique.
Cet élément va permettre de faire monter en compétence les solutions biométriques de détection du vivant, et ainsi faire la promotion de l’excellence à la française.

LSTI et CLR Labs sont tous deux référencés par l’ANSSI comme centres d’évaluation :

• LSTI prend en charge l’évaluation de la conformité aux exigences du référentiel PVID ;
• CLR Labs prend en charge l’évaluation de l’efficacité de la biométrie du service.

Les deux sociétés ont décidé de proposer une offre d’évaluation complète permettant l’évaluation des Prestataires de Vérification d’Identité à Distance (PVID). Cet accord de partenariat permet aux futurs candidats à la certification PVID de bénéficier d’une offre d’évaluation complète et structurée.

Plus d’informations sur notre page produit PVID.

A propos de CLR Labs, groupe Cabinet Louis Reynaud : CLR Labs est le laboratoire européen dédié à l’évaluation des technologiques biométries et de sécurité fondé par des experts multidisciplinaires de l’industrie cumulant un siècle d’expérience en biométrie et sécurité basé à La Ciotat (France). De nombreux industriels, intégrateurs de systèmes complexes et fournisseurs de services de confiances français et européens lui font confiance pour évaluer leurs produits et solutions utilisant les technologies biométriques dans le cadre du passage au frontière, du paiement sécurisé, du contrôle d’accès physique des entreprises, de l’authentification électronique en ligne et plus généralement dans le domaine de la gestion et vérification de l’identité numérique. CLR Labs est accompagné par TEAM@Mines Saint-Étienne, le maturateur technologique de l’école des Mines de Saint-Étienne.

Dans la continuité de la modernisation de nos activités, nous mettons en place un nouveau processus de certification de compétences.
En effet, après avoir procédé à la digitalisation de nos examens, nous allons simplifier le processus d’obtention de certification.

Cette simplification prend effet le lundi 4 janvier, elle consiste comme suit :

• La réussite d’un examen de compétences de personne conduit à l’obtention de la certification associée, il n’y aura plus de d’attestation de réussite.
• Dorénavant nous accorderons la certification à partir de 50 points obtenus à nos examens. Nous avons donc déterminé 3 niveaux, liés au taux de réussite à l’examen, et celui sera mentionné sur le certificat :
  ○ 50 points obtenus ou plus équivaut au niveau élémentaire,
  ○ 60 points obtenus ou plus équivaut au niveau intermédiaire,
  ○ 75 points obtenus ou plus équivaut au niveau avancé.
• Comme le processus de grade ne sera plus, le renouvellement de votre certification se fera au moyen d’un repassage d’examen.

De plus, nos certifications de personnes seront toujours accréditées par le Cofrac. Nous maintenons le passage de nos examens en ligne, ils se feront donc sur notre plateforme dédiée.

Et pour finir, nous mettons en place un formulaire d’inscription en ligne, afin de faciliter et accélérer les inscriptions, notamment en candidature libre (sans passer de formation) et pour les renouvellements de certification.

Vous pouvez consulter le pdf de notre Plan de transition Certification de compétences.

Les premières sessions d’examen en ligne pour les certifications Lead auditor 27001, Lead implementor 27001 et Risk manager 27005 ont eu lieu, notamment à la fin des formations de nos partenaires HS2 et ORSYS. Toutefois, nos examens en ligne sont disponibles à la demande.
Petit récap :
– Demande d’inscription par email à examens@lsti.fr
– Après confirmation d’inscription, un lien vous est envoyé vers votre session d’examen.
– Vous pouvez passer ces examens à la fin d’une formation, ou en candidat libre pour un second passage ou un renouvellement.
– Nous répondons à vos questions dans l’espace commentaires.
Nous vous attendons nombreux !

Suite à l’obtention de la qualification Prestataires d’Audit de la Sécurité des Systèmes d’Information (PASSI), Renaud FEIL, président et co-fondateur de Synacktiv, a répondu à quelques questions pour nous faire part de son expérience. Voici ses réponses.

• Synacktiv vient d’être qualifié PASSI suite aux différents audits effectués par LSTI. En tant que président et co-fondateur de Synacktiv, quel est votre retour sur le processus de qualification ? 

Le processus de qualification est exigeant. Il a demandé une préparation intense malgré les 8 années d’expérience de Synacktiv dans la réalisation d’audits de sécurité. Cet audit nous rappelle qu’il y a une différence entre « faire du bon travail » et être capable de démontrer à un tiers que nos processus assurent un niveau de qualité systématique. Par ailleurs, l’audit vérifie des aspects contractuels, légaux et réglementaires qui sont rarement documentés dans les petites sociétés spécialisées comme la nôtre.

• Quel est du coup l’apport de cette qualification pour vos clients ?

Cela prouve une certaine consistance dans la réalisation de nos audits. Même si je ne pense pas que le métier du test d’intrusion a vocation à être « industrialisé », les compétences et le flair de chaque auditeur ne pouvant pas être complètement englobés dans une qualification…

Surtout, cela permet à nos clients OIV (Opérateurs d’Importance Vitale) de nous faire intervenir sur les périmètres les plus sensibles sans se mettre en défaut avec la réglementation.

• Comment se sont passés les examens écrits et les entretiens des auditeurs candidats ? 

Pour l’écrit, certaines questions mériteraient une petite mise à jour pour correspondre aux technologies récentes que l’on croise désormais chez les clients, mais l’ensemble reste très pertinent (et il est vrai qu’on retrouve toujours de vieilles technologies sur le terrain !). Pour l’oral, nous avons trouvé qu’il était intéressant de challenger les candidats sur les erreurs constatées lors de l’examen écrit.

De manière générale, c’est toujours déstabilisant pour un auditeur ayant plusieurs années d’expérience de se retrouver à son tour audité par un pair ! Mais les 12 candidats que nous avons présentés ont tous été retenus pour devenir auditeurs PASSI. Pour un expert sécurité continuant de pratiquer des audits de sécurité régulièrement, il n’y a guère de surprise dans les résultats des examens.

• Quelle sera votre prochaine étape ?

Nous allons engager les démarches pour être PASSI LPM (Loi de Programmation Militaire). Tous les efforts ont déjà été faits et il ne s’agira (je l’espère) que d’une formalité pour démontrer notre crédibilité sur le marché.

Synacktiv rejoint la liste des sociétés françaises qualifiées PASSI, que vous pouvez retrouver sur notre moteur de recherche Clients Certifiés.