L’ANSSI incompétente dans le secteur privé, les collectivités locales et territoriales !

L'ANSSI incompétente dans le secteur privé, les collectivités locales et territoriales !La mission principale de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est, je cite, « de proposer les règles à appliquer pour la protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées« . Pour faire simple, son rayon d’action se limite au champ de l’État. Dans ce cadre, le RGS – Référentiel Général de Sécurité – qui règlemente très sévèrement l’activité des PASSI – ou Prestataires d’Audit de la Sécurité des Systèmes d’Information – ne concerne ni les entreprises du secteur privé, ni les collectivités territoriales qui pourront faire le choix de leur prestataire comme elles l’entendent.

La volonté manifeste d’empêcher de faire…

Ce qui ressort de la lecture du RGS, c’est que de nombreux consultants qui exerçaient à titre individuel seront de fait empêchés de réaliser un audit pour le compte d’un organisme d’Etat ou un ministère. Selon le chapitre IV.1,  « Le prestataire d’audit doit être une entité ou une partie d’une entité dotée de la personnalité morale de façon à pouvoir être tenu juridiquement responsable de toutes ses activités d’audit. » L’auditeur devra conduire son audit selon la norme ISO 19011 et disposer des 9 « qualités » personnelles décrites au paragraphe 7.2 de ladite norme :

Exit les indépendants (V.4) : « L’auditeur doit avoir un contrat de travail avec le prestataire d’audit. »

Sur des bases qui sont pour l’instant totalement inconnues, le référentiel parle d’une évaluation personnelle des auditeurs par rapport à l’état de l’art. (III.2 et V.4) Comment et par qui va être réalisée cette évaluation de connaissance s ? Mystère et boule de gomme.

Références

Sécurité  / ANSSI Sécurité informatique