PASSI_référentiel_d'exigences
Version_2.1_du_06_octobre_2015

Activités visées par le référentiel

Qualification des prestataires
d'audit

Exigences relatives au
prestataire d'audit

Exigences relatives aux auditeurs

Exigences relatives au déroulement
d'une prestation d'audit

Annexes

Audit d'architecture

Audit de configuration

Audit de code source

Tests d'intrusion

Audit organisationnel et physique

Audit de systèmes industriels

Modalités de la qualification

Portée de la qualification

Avertissement

Exigences générales

Charte d'éthique

Gestion des ressources
et des compétences

Protection de l'information

Aptitudes générales

Expérience

Aptitudes et connaissances spécifiques
aux activités d'audit

Engagements

Etape 1: Etablissement de la convention

Etape 2: Préparation et déclenchement
de la prestation

Etape 3: Exécution de la prestation

Etape 4: Restitution

Etape 5: Elaboration du rapport d'audit

Etape 6: Clôture de la prestation

Annexe 1: références documentaires

Annexe 2: missions et compétences
attendues des auditeurs du prestataire

Annexe 3: recos à l'intention des
commanditaires de prestations d'audit

Vérification de conformité des pratiques de sécurité relatives:

  • au choix des dispositifs matériels et logiciels déployés dans un SI;
  • au positionnement de ces dispositifs, et à leur mise en oeuvre

L'audit peut être étendu aux interconnexions avec des réseaux tiers, et notamment Internet.

Pratiques de sécurité conformes en matière de configuration des dispositifs matériels et logiciels déployés dans un SI: notamment des équipements réseau, systèmes d'exploitation (serveur ou poste de travail), des applications ou des produits de sécurité.

Audit dans le but de découvrir des vulnérabilités, liées à de mauvaises pratiques de programmation ou des erreurs de logique, qui pourraient avoir un impact en matière de sécurité.

Découvrir des vulnérabilités sur le SI audité: exploitabilité et impact. Ces tests ne représentent pas à eux seuls une activité d'audit au sens du référentiel.

Audit de l'organisation de la sécurité logique et physique: vérifier les politiques et procédures sont ok, complètent les mesures techniques, efficacement mises en pratique.

Un organisme peut demander la qualification d'un service d'audit de la sécurité des SI interne, c'est à dire un service utilisé pour répondre à tout ou partie de ses propres besoins en audit de la sécurité des SI.

Pour être qualifié, un prestataire doit répondre à toutes les exigences du présent référentiel sur les activités d'audit choisies.

Pour être qualifié dans le cadre de la loi de programmation militaire, un prestataire doit, en plus, répondre aux exigences supplémentaires définies dans [PASSI_LPM].

Le prestataire doit disposer d'une charte d'éthique.

Les prestations sont réalisées avec loyauté, discrétion et impartialité.

Etc,...

Avoir un nombre suffisant d'auditeurs qui aient les qualités et compétences requises.

Maîtrise de la loi de programmation militaire, le Référentiel général de sécurité et ses annexes, ainisi que les référentiels et guides relatifs à la sécurité des SI de l'ANSSI (voir annexe 1).

Le prestataire doit protéger au minimum au niveau "diffusion restreinte" [IGI_1300] [II_901] les informations sensibles relatives à la prestation, et notamment, les preuves, les constats et les rapports.

Il est recommandé que le prestataire utilise la démarche décrite dans le guide [HOMOLOGATION] pour homologuer son SI.

Appliquer le guide d'hygiène informatique de l'ANSSI [HYGIENE] sur le SI utilisé par le prestataire.

Le responsable d'audit doit posséder les qualités personnelles identifiées au chapitre 7.2.3.4. de la norme [ISO 19011].

Il est recommandé que l'auditeur participe à l'évolution de l'état de l'art par une participation à des événements professionnels, à des travaux de recherche ou la publication d'articles.

L'auditeur doit avoir reçu une formation en technologies des SI.

L'auditeur doit maîtriser les bonnes pratiques et la méthodologie d'audit décrite dans la norme [ISO 19011].

L'auditeur doit avoir un contrat avec le prestataire.

D'une manière générale, le déroulement de l'audit doit respecter les dispositions de la norme ISO 19011.

Préciser si la prestation est qualifiée ou non.

Qualification: la convention de service doit indiquer que la prestation réalisée est une prestation qualifiée ou non, et si non, le prestataire doit sensibiliser le commanditaire aux risques de ne pas exiger une prestation qualifiée.

Le cas échéant, conformément au RGS, il est
recommandé d'utiliser des produits qualifiés.

Pour l'audit d'architecture, revue des documents suivants, lorsqu'ils existent:
schémas d'architectures de niveau 2 et 3 du modèle OSI; matrice de flux; règles de filtrage; configuration des équipements réseau (routeurs et commutateurs); inteconnexions avec des réseaux tiers ou internet; analyses de risques système; documents d'architecture technique liés à la cible; entretiens concernant les procédures d'administration.

Audit de configuration:
Fournir les éléments de configuration des cibles auditées, sous la forme de fichiers de configuration ou de captures d'écran.
Vérifier la sécurité des configurations: des équipements réseau filaire ou sans fil de type commutateurs ou routeurs; des équipements de sécurité (type pare-feu ou relais inverse (filtrant ou non) et leurs règles de filtrage, chiffreurs, etc.); des systèmes d'exploitation; des systèmes de gestion de base de données; des services d'infrastructure; des serveurs d'application; des postes de travail; des équipements de téléphonie; des environnements de virtualisation; entretiens sur les standards de configuration.

Audit de code source:
Objectif: permettre d'éviter les fuites d'information et les altérations du fonctionnement du SI.
Fourniture à l'auditeur du code source, de la doc. relative à la mise en oeuvre, les méthodes et rapports de tests et l'architecture du SI audité, et la config. des éléments de compilation et d'exécution; entretien avec développeur (contexte applicatif, besoins de sécurité,...);
Vérifier la sécurité des parties du code source relatives:
aux mécanismes d'authentification; aux mécanismes cryptographiques; à la gestion des utilisateurs; au contrôle d'accès aux ressources; aux interactions avec d'autres applications; aux relations avec les systèmes de base de données; à la conformité à des exigences de sécurité relative à l'environnement dans laquelle est déployée l'application.
Il est recommandé la recherche des vulnérabilités les plus répandues dans les domaines suivants: cross-site scripting, injections SQL, cross-site request forgery, erreurs de logique applicative, débordement de tampon, exécution de commandes arbitraires, inclusion de fichiers (locaux ou distants).

Tests d'intrusion:
l'auditeur peut effectuer une ou plusieurs des phases suivantes:
Phase boîte noire: l'info que des adresses IP et URL;
Phase boîte grise: connaissances d'un utilisateur standard du SI;
Phase boîte blanche: maximum d'infos techniques.
Les vulnérabilités non publiques découvertes lors de l'audit doivent être communiquées à l'ANSSI.

Audit organisationnel et physique:
L'auditeur doit analyser l'organisation de la sécurité du SI sur la base des référentiels techniques et réglementaires. L'audit doit permettre de mesurer la conformité du SI par rapport aux référentiels et identifier les écarts présentant les vulnérabilités majeures du système audité.

Le rapport doit contenir en particulier:
une synthèse, compréhensible par des non experts, qui précise le contexte et le périmètre, les vulnérabilités critiques et les mesures correctives proposées, niveau de sécurité du SI; Un tableau de synthèse des résultats de l'audit: échelle de valeurs (utiliser l'échelle proposée par l'ANSSI en annexe 4).

Codes, textes législatifs
et réglementaires

Normes et documents techniques

Autres références documentaires

[STRAT_NUM]: stratégie nationale pour la sécurité du numérique, octobre 2015 (ssi.gouv.fr).

[PROCESS_QUALIF]: processus de qualification des prestataires de services de confiance (ssi.gouv.fr).

[GUIDE_ACHAT]: guide d'achat de produits de sécurité et de services de confiance (ssi.gouv.fr).

[LOI_IL]: loi informatique et liberté; des articles du CP; [IGI_1300]; [II_910]; [II_901]: protection des SI sensibles(n°901/SGDSN/ANSSI, 28/01/2015).

[PASSI_LPM]; [ETSI_ISG_ISI]: www.etsi.org; [ISO17020]; [ISO19011]; [ISO27000]; [ISO27001]; [ISO27002]; [ISO27011]; [EBIOS]; [PSSI]; [TABLEAU_BORD]; [PROJE; TS]; [MATURITE_SSI]; [EXTERNALISATION]; [DEFENSE_PROF][SYS_INDUS]; [JAVA]; [NT_JOURNAL]; [NT_PASSE]; [HOMOLOGATION]; [HYGIENE]; [ENISA]; [MICROSOFT]; [OWASP]

Compétences de l'auditeur
d'architecture:

Réseaux et protocoles:
protocoles réseau et infrastructures; protocoles applicatifs courants et service d'infrastructure; configuration et sécurisation des principaux équipements réseau du marché; réseaux de télécommunication; technologie sans fil; téléphonie.

Equipements et logiciel de sécurité:
pare-feu; système de sauvegarde; système de stockage mutualisé; dispositifs de chiffrement des communications; serveurs d'authentification; serveurs mandataires inverses; solutions de gestion de la journalisation; équipements de détection et prévention d'intrusion.

Avoir les autres qualités suivantes:
savoir synthétiser et restituer l'information utile pour du personnel technique et non technique; savoir rédiger des rapports; savoir travailler en équipe.

Compétences de l'auditeur
de configuration:

Réseaux et protocoles:
protocoles réseau et infrastructures; protocoles applicatifs courants et service d'infrastructure; configuration et sécurisation des principaux équipements réseau du marché; réseaux de télécommunication; technologie sans fil; téléphonie.

Equipements et logiciels de sécurité:
pare-feu; système de sauvegarde; système de stockage mutualisé; dispositifs de chiffrement des communications; serveurs d'authentification; serveurs mandataires inverses; solutions de gestion de la journalisation; équipements de détection et prévention d'intrusion; logiciels de sécurité côté poste client.

Systèmes d'exploitation (environnement et durcissement):
systèmes Microsoft; systèmes UNIX/Linux; systèmes centralisés (basés par exemple sur OS400 ou zOS); solution de virtualisation.

Couche applicative:
applications de type client/serveur; langages de programmation utilisés pour la configuration (ex.: scritps, filtres WMI, etc.); mécanismes cryptographiques; socle applicatif (serveurs web, serveurs d'application, systèmes de gestion de bases de données, progiciels).

Techniques d'intrusion

idem autres qualités que précédemment.

Compétences de l'auditeur
de code source:

Couche applicative:
guides et principes de développement sécurité; architectures applicatives (client/serveur, n-tiers, etc.); langages de programmation; mécanismes cryptographiques; mécanismes de communication (interne au système et par le réseau) et protocoles associés; socle applicatif (serveur web, serveurs d'application, systèmes de gestion de bases de données, progiciels); attaques (principes et méthodes d'intrusion applicatives, contournement des mesures de sécurité logicielles, techniques d'exploitation de vulnérabilités et d'élévation de privilèges).

Compétences de l'auditeur
en tests d'intrusion:

Réseaux et protocoles:
protocoles réseau et infrastructures; protocoles applicatifs courants et service d'infrastructure; configuration et sécurisation des principaux équipements réseau du marché; réseaux de télécommunication; technologie sans fil; téléphonie.

Equipements et logiciels de sécurité:
pare-feu; système de sauvegarde; système de stockage mutualisé; dispositifs de chiffrement des communications; serveurs d'authentification; serveurs mandataires inverses; solutions de gestion de la journalisation; équipements de détection et prévention d'intrusion; logiciels de sécurité côté poste client.

Systèmes d'exploitation (environnement et durcissement):
systèmes Microsoft; systèmes UNIX/Linux; systèmes centralisés (basés par exemple sur OS400 ou zOS); solution de virtualisation

Couche applicative:
applications de type client/serveur; langages de programmation utilisés pour la configuration (ex.: scritps, filtres WMI, etc.); mécanismes cryptographiques; socle applicatif (serveurs web, serveurs d'application, systèmes de gestion de bases de données, progiciels).

Couche applicative:
guides et principes de développement sécurité; application de type client/serveur; langages de programmation dans le cadre d'audits de code; mécanismes cryptographiques; mécanismes de communication (interne au système et par le réseau) et protocoles associés; socle applicatif (serveur web, serveurs d'application, systèmes de gestion de bases de données, progiciels); attaques (principes et méthodes d'intrusion applicatives, contournement des mesures de sécurité logicielles, techniques d'exploitation de vulnérabilités et d'élévation de privilèges).

Compétences de l'auditeur en sécurité
organisationnelle et physique

Maitrise des référentiels techniques; maîtrise du cadre normatif: les normes [ISO27001] et [ISO27002]; les textes réglementaires relatifs à la sécurité des SI, aux audits et aux sujets connexes; maîtrise des domaines relatifs à l'organisation de la sécurité des SI: analyse des risques, politique de SSI, chaînes de responsabilités en SSI, sécurité liée aux RH, gestion de l'exploitation et de l'administration du SI, contrôle d'accès logique au SI, développement et maintenance des applications, gestion des incidents liés à la sécurité de l'information, gestion du plan de continuité de l'activité, sécurité physique; maîtrise des pratiques liées à l'audit: conduite d'entretien, visite sur site, analyse documentaire.

Le commanditaire peut, lorsqu'il est une administration ou un opérateur d'importance vitale (OIV), demander à l'ANSSI de participer à la définition du cahier des charges faisant l'objet d'un appel d'offres ou d'un contrat.

Il est recommandé que le commanditaire choisisse son prestataire dans le catalogue des prestataires qualifiés publié sur le site de l'ANSSI, la qualification d'un prestataire attestant de sa conformité à l'ensemble des exigences du présent référentiel.

Recommandations générales:
les audits devraient être le plus exhaustif possible, tout en tenant compte des contraintes temporelles et budgétaires allouées à l'audit.

En cas d'audit non exhaustif, il faut conserver un périmètre d'audit pertinent, avec un échantillonnage respectant les principes suivants:
pour les audits de configuration, seuls les serveurs les plus sensibles sont audités: contrôleurs de domaine Active Directory, serveurs de fichiers, serveurs d'infrastructure (DNS, SMTP, etc), serveurs applicatifs.
Pour un audit de code source: seules les parties sensibles du code source sont auditées: gestion des authentifications, gestion des contrôles d'accès des utilisateurs, accès aux bases de données, contrôle des saisies utilisateur, etc.

Types d'audit recommandés
par l'ANSSI

L'ANSSI recommande aux commanditaires d'audits et aux prestataires d'audit de recourir et demander des audits composés des activités d'audit suivantes:
audit applicatif: audit de code source, audit de configuration (serveur d'application, serveur HTTP, base de données, etc.);
audit d'un centre serveur: audit d'architecture (liaison entre les différentes zones et entités, filtrage, etc.), audit de configuration (équipements réseau et de sécurité, serveurs d'infrastructure), audit organisationnel et physique;
audit d'un réseau bureautique: audit d'architecture, audit de configuration (postes bureautique, équipements réseau, serveurs bureautique, serveurs AD, etc.), audit organisationnel et physique;
audit d'une plate-forme de téléphonie: audit d'architecture, audit de configuration (équipements réseau et de sécurité, IPBX, téléphones, etc.);
audit d'une plate-forme de virtualisation: audit d'architecture, audit de configuration (équipements réseau et de sécurité, systèmes de virtualisation, etc.);
Chacun des types d'audit décrits ci-dessus peut inclure l'activité de tests d'intrusion.

Annexe 4: Echelle de classification
des vulnérabilités:

Les vulnérabilités, qu'elles soient d'origine technique ou organisationnelle, sont classées en fonction du risque qu'elles font peser sur leSI, c'est à dire en fonction de l'impact de la vulnérabilité sur le SI et de sa difficulté d'exploitation.

Le niveau du risque lié à chaque vulnérabilité est apprécié selon une échelle de valeur: mineur (faible risque sur le SI et pouvant nécessité une correction), important (risque modéré sur le SI et nécessitant une correction à moyen terme), majeur (risque majeur sur le SI nécessitant une correction à court terme), critique (risque critique sur le SI et nécessitant une correction immédiate ou imposant un arrêt immédiat du service.

La facilité d'exploitation correspond au niveau d'expertise et aux moyens nécessaires à la réalisation de l'attaque.

L'impact correspond aux conséquences que l'exploitation de la vulnérabilité peut entraîner sur le SI de l'audité.