Les qualifications PASSI et PRIS ont droit à une mise à niveau, afin d’une part de les adapter aux évolutions de la réglementation européenne, et de l’autre d’améliorer leur flexibilité quant aux prestations délivrées et à leur contexte.
L’ANSSI vient de publier les nouvelles versions de ses référentiels d’exigences pour les qualifications Prestataires d’audit de la sécurité des systèmes d’information (PASSI, qui passe en 2.3) et Prestataires de réponse aux incidents de sécurité (PRIS, version 3.0). « Les nouveaux référentiels permettent d’assurer une cohérence avec les travaux actuellement menés dans le cadre du règlement européen dit « CyberSecurity Act » », écrit l’ANSSI dans son communiqué.
Les référentiels mis à jour (PRIS et PASSI) sont accompagnés de notes de transition destinées aux prestataires qualifiés (PRIS et PASSI). A noter que « si ces nouvelles versions deviennent désormais la référence, les évaluations actuellement en cours selon la version 2.0 du référentiel PASSI et du référentiel PRIS peuvent néanmoins être poursuivies et menées à leur terme », prévient l’agence.
Meilleure adaptabilité aux besoins du client
Le principal changement est la création de deux niveaux distincts de qualification, « substantiel » et « élevé ». Le premier fournit « un premier niveau de garantie notamment sur la compétence du prestataire, la confiance que l’on peut lui accorder et sa capacité à protéger les informations et supports relatifs à la prestation ». Le niveau « élevé », quant à lui, s’adresse aux entités pour qui les risques cyber sont « particulièrement élevés » ou impliquent une « menace stratégique », qui exigent dont une « garantie renforcée » quant à la qualité du prestataire.
Autre évolution commune aux deux référentiels, on observe un travail de l’ANSSI sur les exigences quant aux moyens à employer, d’une part adaptées aux deux niveaux « substantiel » et « élevé », de l’autre aux « contraintes opérationnelles des prestations ». Notons que le régulateur introduit notamment le concept de « note de cadrage » dans ses référentiels, défini comme un « document élaboré et tenu à jour par le prestataire en concertation avec le commanditaire et précisant les modalités de la prestation », qui vient supprimer certaines lourdeurs des conventions de service entre les prestataires qualifiés et leurs clients.
Enfin, le référentiel de PRIS évacue la notion de périmètre (restreint ou large) pour couvrir désormais les activités de la réponse à incident : recherche d’indicateurs de compromission (REC), investigation numérique (INV), analyse de codes malveillants (CODE) et pilotage et coordination des investigations (PCI).