La mise en place d’une stratégie de cybersécurité, repose sur une approche de défense autour des environnements de l’entreprise. Pour maintenir un niveau de sécurité optimal, il est nécessaire de connaître son niveau de sécurité avec les vulnérabilités et les risques associés. Mais comment choisir un prestataire de cybersécurité lorsque les choix sont si variés ?
Adrien Guinault, Directeur Technique et Stéphane Avi, Responsable du pôle Audit proposent leur retour d’expérience sur la qualification PASSI.
Pourquoi vous êtes-vous lancés dans la qualification PASSI ?
Nous réalisons des audits techniques et organisationnels depuis plus de 19 ans. Jusqu’à présent le besoin d’obtenir une qualification n’était pas prioritaire pour nous. En effet, notre expertise dans ce domaine est reconnue depuis de nombreuses années. Nos clients nous font confiance et apprécient la qualité de nos audits et peu d’entre eux exigent des certifications ou des qualifications particulières.
Cependant, les efforts de l’ANSSI pour apporter plus de confiance dans l’écosystème des sociétés de conseils en cyber-sécurité poussent de plus en plus les grandes sociétés ainsi que les OIV à choisir des prestataires qui ont attesté d’une maîtrise des méthodologies et les compétences nécessaires pour réaliser des audits.
Ainsi, cela nous a paru naturel d’être également référencés pour répondre à cette demande de plus en plus présente dans les appels d’offres.
Qu’est-ce que cela va changer pour les (futurs) clients XMCO ?
Absolument rien, nous avions déjà des méthodologies éprouvées, des démarches qualité très proches de ce qu’impose le RGS v2.0. La qualification a permis de confirmer que nous avions un processus de formation des consultants éprouvé, un cadre de réalisation des prestations parfaitement adapté aux bonnes pratiques proposées par l’ANSSI. Cependant, nous serons désormais en mesure de répondre aux sollicitations des sociétés étatiques (OIV notamment) qui sont dans l’obligation de choisir des prestataires qualifiés.
Pourquoi avoir recours à un prestataire PASSI ?
Faire confiance à un prestataire qualifié PASSI c’est être certain du niveau de compétence des auditeurs et du respect de la confidentialité des données évaluées.
Le tampon PASSI permet de travailler avec les autorités administratives et toute entité gérant ou interagissant avec un système d’information classé DR « Diffusion Restreinte ».
Et aujourd’hui ? XMCO est qualifié PASSI sur ces 5 portées :
- Audit d’architecture
- Audit organisationnel et physique
- Tests d’intrusion
- Audit de configuration
- Audit de code
Avec le PASSI, XMCO renforce sa volonté d’accompagner tous les acteurs avec un niveau de qualité éprouvé. Nous ne pouvons que recommander de faire un état des lieux de vos environnements avec un audit pour mettre en place un plan d’action.
Et réaliser continuellement des scans de vulnérabilités pour éviter que les vulnérabilités ne soient pas exploitées et qu’elles ne mènent pas aux incidents de sécurité. Le suivi de vos vulnérabilités vous permet de mettre en place un patch management.
XMCO votre partenaire de conseil en cybersécurité
En complément des activités d’audits pour lesquelles XMCO a obtenu la qualification PASSI nous accompagnons nos clients sur les enjeux suivants :
- Des projets de sensibilisations : formations, démonstrations, campagnes de phishing
- Serenety, une solution stratégique de Cyber Threat Intelligence
- Yuno, une solution de veille en cybersécurité
- Des accompagnements à la certification PCI DSS
Pour être accompagné par un expert : rendez-vous ici
Retrouvez la liste des produits et services qualifiés par l’ANSSI : https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf