Le 28 janvier 2021, l’ANSSI publiait un « appel public à commentaires » concernant le référentiel d’exigences « Prestataires d’accompagnement et de conseil en sécurité des systèmes d’informations (PACS) ».
Ce référentiel vient s’ajouter à plusieurs référentiels déjà existants, et présentés sur le schéma ci-dessous :
- SecNumCloud (Prestataires de service d’informatique en nuage)
- PAMS (Prestataires d’Administration et de Maintenance Sécurisée)
- PASSI (Prestataires d’Audit de la Sécurité des Systèmes d’Information)
- PDIS (Prestataires de Détection d’Incidents de Sécurité)
- PRIS (Prestataires de Réponse aux Incidents de Sécurité)
- Et enfin le petit nouveau PACS
ANSSI : PASSI, PDIS, PRIS, PACS… Le guide des référentiels
Hormis le référentiel PAMS qui est toujours en phase d’expérimentation, les autres référentiels existent depuis plusieurs mois ou plusieurs années, et les prestataires qualifiés se multiplient. A titre d’exemple Advens est qualifié PASSI depuis plusieurs années et nous sommes en cours de qualification pour le référentiel PDIS pour notre service MySOC. Notre CSIRT s’est récemment inscrit dans une démarche visant à obtenir la qualification PRIS.
Avant l’apparition du référentiel PACS seules les activités d’audit (référentiel PASSI), de détection d’incidents (référentiel PDIS) et de réponse à incidents (référentiel PRIS) disposaient d’un référentiel d’exigences et donc de prestataires qualifiés.
Le référentiel PACS permettra donc de fournir des garanties sur les compétences des prestataires qualifiés et sur la qualité de leurs prestations. Cette qualification, faisant office d’adoubement serait une très bonne chose tant les entreprises capables de réaliser ce type de prestations sont nombreuses sur le marché. A l’instar de PASSI, PDIS et PRIS cela permettra à un commanditaire d’avoir l’assurance d’une prestation d’accompagnement répondant à des exigences très précises.
Les activités (aussi appelées « portées ») couvertes par le référentiel PACS sont les suivantes :
- Le conseil en homologation de sécurité des systèmes d’information (HOMOL),
- Le conseil en gestion des risques de sécurité des systèmes d’information (RISQUE),
- Le conseil en sécurité des architectures des systèmes d’information (ARCHI).
Un prestataire peut être qualifié sur tout ou partie de ces activités, à une exception près : il n’est pas possible d’être qualifié uniquement sur la portée HOMOL, il faut nécessairement que ce soit en complément d’une des deux autres portées. Cependant il est possible d’être uniquement qualifié sur la portée RISQUE ou sur la portée ARCHI.
Plus précisément, les exigences du référentiel PACS sont établies autour de :
- Un ensemble d’exigences générales (organisation, responsabilité, moyens mis en œuvre, impartialité, éthique, etc.) concernant le prestataire
- La gestion des ressources et des compétences (recrutement, formation, méthodes et outils, sensibilisation, etc.),
- La protection de l’information, autrement comment les informations manipulées lors des prestations sont sécurisées,
- Les compétences des consultants (aptitudes, expérience, etc.),
- Et enfin des attentes très précises sur les différentes étapes d’une prestation, depuis la qualification jusqu’à la clôture en passant par son exécution.
Le référentiel PACS est donc assez similaire au référentiel PASSI, on retrouve notamment un certain nombre de points communs, ce qui est logique car les prestations d’audit suivent une démarche assez proche des prestations d’accompagnement sécurité.
« Ce nouveau référentiel PACS vient combler un manque, celui de disposer de prestataires qualifiés pour les activités dites « d’accompagnement et de conseil en sécurité des systèmes d’information ». Cette démarche nous semble à ce stade très pertinente et nul doute qu’Advens souhaitera être qualifiée PACS dès que ceci sera rendu possible. »
Même si la procédure de qualification n’est pas encore tout à fait bien définie, il est fort probable qu’elle soit assez proche de la procédure de qualification PASSI. Ainsi, des sociétés déjà qualifiées PASSI devraient probablement avoir plus de facilité à prétendre à une qualification PACS, notamment parce que certaines exigences sont proches.
Grâce au référentiel PACS, l’ANSSI apporte la dernière brique à un écosystème de prestataires Cybersécurité qualifiés, permettant à l’ensemble des commanditaires d’avoir l’assurance de faire appel à des prestataires de confiance, qualifiés, assurant des missions de qualité, avec le bon niveau d’expertise et ce quel que soit le type d’activités.