L’ANSSI incompétente dans le secteur privé, les collectivités locales et territoriales !

L'ANSSI incompétente dans le secteur privé, les collectivités locales et territoriales !La mission principale de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est, je cite, « de proposer les règles à appliquer pour la protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées« . Pour faire simple, son rayon d’action se limite au champ de l’État. Dans ce cadre, le RGS – Référentiel Général de Sécurité – qui règlemente très sévèrement l’activité des PASSI – ou Prestataires d’Audit de la Sécurité des Systèmes d’Information – ne concerne ni les entreprises du secteur privé, ni les collectivités territoriales qui pourront faire le choix de leur prestataire comme elles l’entendent.

La volonté manifeste d’empêcher de faire…

Ce qui ressort de la lecture du RGS, c’est que de nombreux consultants qui exerçaient à titre individuel seront de fait empêchés de réaliser un audit pour le compte d’un organisme d’Etat ou un ministère. Selon le chapitre IV.1,  « Le prestataire d’audit doit être une entité ou une partie d’une entité dotée de la personnalité morale de façon à pouvoir être tenu juridiquement responsable de toutes ses activités d’audit. » L’auditeur devra conduire son audit selon la norme ISO 19011 et disposer des 9 « qualités » personnelles décrites au paragraphe 7.2 de ladite norme :

Exit les indépendants (V.4) : « L’auditeur doit avoir un contrat de travail avec le prestataire d’audit. »

Sur des bases qui sont pour l’instant totalement inconnues, le référentiel parle d’une évaluation personnelle des auditeurs par rapport à l’état de l’art. (III.2 et V.4) Comment et par qui va être réalisée cette évaluation de connaissance s ? Mystère et boule de gomme.

Références

Sécurité  / ANSSI Sécurité informatique 

Commentaires

Au nombre des qualités personnelles je ne vois point l’indépendance.

Nos «  » »élites » » » construisent une belle ligne Maginot de la sécurité informatique au service de quel lobby?

Ce référentiel imposera t il de directement donner les mots de passe à prism afin de gagner du temps? :-)

@yann

Je vais finir par croire que Barroso a raison.

Bonjour un petit mot sur votre article :

Lecture de votre texte :
« ne concerne ni les entreprises du secteur privé, ni les collectivités territoriales qui pourront faire le choix de leur prestataire comme elles l’entendent. »

lecture du RGS :
« 1.7 – À qui s’adresse le RGS ?

Le RGS s’adresse :
• au personnel ou aux organismes ayant une responsabilité dans le système d’information d’une AA, qu’ils relèvent de l’autorité directe de cette AA ou qu’ils interviennent à son profit, […] »

Avez-vous sérieusement lu le texte ? Une mairie, un conseil général, … sont des autorités administrative et je doute que l’on puisse les exclures des collectivités territoriales !

De surcroit la démarche d’homologation proposée dans le texte me semble assez cohérente (je suis RSSI) et sans s’appliquer stricto sensu dans le secteur privé, une adaptation à la marge me semblerait être de bon goût dans nos entitées respectives (analyse de risque et prise de responsabilité du chef ! une révolution !!!)

Enfin, sans jouer à Mme Irma, mes différentes lectures (en particulier le Livre Blanc pour la Défense et la Sécurité Nationale) m’amènent à penser que cette règlementation pourrait prochainement s’appliquer aux secteurs d’activité d’importance vitale puis, par contagion, à leur prestataire, puis par contagion …

Bref, le RGS semble une bonne méthodo, qui s’applique d’ores et déjà aux collectivités territoriales et qui ne tardera probablement pas à s’appliquer au secteur privé (sous une forme ou sous une autre).

Concernant le sujet des PASSI, côté client, sachez que j’apprécie d’avoir à disposition une liste de prestataires dont les capacités techniques auront été vérifiés et dont les rapports d’audit seront stockés dans des SI ayant une certaines robustesses (audités comme tel).

Il serait peut être utile, de temps en temps, que les prestataires se placent du côté du client pour être en mesure de comprendre leurs attentes !

Bien cordialement,
Benoit

@Benoit

Avez-vous lu les missions de l’ANSSI ? Comment le RGS qui n’a ni valeur de loi pourrait redéfinir à lui-seul les missions de l’ANSSI ? Je voudrais que vous m’expliquiez par quel tour de passe-passe cela serait rendu possible. J’attends votre réponse avec une très grande curiosité qui ne manquera pas d’intéresser les 3000 visiteurs quotidiens – en ce moment – de ce blog.

Le RGS s’ impose reglementairement par decret, le decret 2010-112.
Ce decret repose sur le pouvoir du premier ministre et non de l’ANSSI.

Aucun tour de passe passe donc. La loi simplement. Enfin, pour ce que j’en comprend.

Bien cordialement,

@Benoit

Le pouvoir du 1er ministre sur les services de l’Etat !

J’ai peur que nous soyons loin des problématiques de sécurité informatique. Il est possible d’imaginer que certaines entreprises en difficultés financières ont vu dans le « Passi » le moyen de sauver leur situation en supprimant une partie de la concurrence.

C’est une approche simple et efficace, liquidant purement les petites entreprises, les ssii ou les indépendants.

Force au lobby et bienvenue dans le cartel, quelle tristesse pour notre république et notre diversité.

@Laurent

Je partage totalement votre point de vue.

Laisser un commentaire

(requis)

(requis)