Fiat Lux

J’ai assisté à la réunion d’information PASSI du mardi 10 septembre dernier. Et je n’étais pas le seul. Vu l’épaisseur du listing au point de contrôle, il devait bien y avoir 500 personnes invitées, pour une centaine effectivement présentes dans la salle.

Personnages principaux

Pour cette réunion clé dans le paysage de la prestation de services en SSI, il faut admettre que l’ANSSI avait réellement effectué un travail amont de fourmi en recensant toutes les structures qui réalisent des audits de sécurité en France. SSII de toutes tailles, freelances, et même associations – Club PSCO, CESIN, OSSIR, CLUSIF, Club 27001 – à l’exception notable des FPTI (canal historique ou pas).

Sur scène :

•  Contre-amiral Dominique Riban (directeur adjoint de l’ANSSI)
• Yann Tourdot (ANSSI)
• Armelle Trotin (LSTI)
• Hervé Schauer (HSC)
• AMOSSYS

L’absence de Sogeti/ESEC, troisième larron de la procédure expérimentale, a été remarquée. Y avait-il un message politique ?

Hervé Schauer a été égal à lui-même, et nous a gratifié des quelques saillies drolatiques telles que « je ne sais pas combien ça a coûté car je n’ai jamais été très fort en comptabilité analytique » ou « vous n’avez pas besoin de formation pour présenter le PASSI mais on est prêt à vous en vendre quand même ».

Enfin il faut rendre hommage au maitre de cérémonie - Yann Tourdot - qui a encaissé pendant presque 3 heures le feu roulant des questions de la part d’un public pas vraiment conquis (c’est un euphémisme) avec un calme olympien. Je cherche encore à découvrir le secret de cette incroyable résistance au troll : pratique de la méditation Asubha ou perfusion de Lexomil ?

Acte 1 : le message est délivré

Les hostilités démarrent à 14h, modulo les quelques minutes de retard de M. Schauer. Le contre-amiral Dominique Riban nous remémore par son bref exposé que l’ANSSI est la digne héritière de la DCSSI. On ne va pas parler audit de code Java ou recherche de XSS dans des applications PHP – non, nous sommes ici entre représentants de la « chaine de cyberdéfense » (le terme a été employé une bonne demi-douzaine de fois).

Son allocution brève et précise délivre la clé du PASSI en quelques minutes seulement : l’ANSSI pourra se faire remplacer dans ses interventions par un PASSI de son choix, au TJM de 1000€/jour (indexé sur le point de la fonction publique), et ce pour une durée illimitée. Car malgré un effectif cible de 500 personnes à horizon 2015, l’ANSSI est débordée par la situation calamiteuse dans les administrations et les grandes entreprises françaises (sans toutefois oser employer le mot d’échec de la sécurité).

J’aurais alors pu me lever et partir à la suite du contre-amiral, mais j’aurais peut-être eu l’impression d’avoir fait le déplacement pour rien (d’autant qu’il n’y avait ni café ni goodies). Je restais donc pour l’acte 2, durant lequel les détails d’implémentation allaient être âprement débattus.

Acte 2 : la principale subtilité

Mon objectif n’est pas de retranscrire ici deux heures de questions par ordre chronologique, mais plutôt par ordre de pertinence.

L’un des points essentiels qui a été soulevé concerne le niveau de technicité recherché chez les auditeurs (tout le monde connaît la rigueur des entretiens d’embauche à l’ANSSI). L’objectif du PASSI est de labelliser des prestataires de confiance, non pas de trier sur le volet les meilleurs experts français. La différence est subtile ; sans vouloir faire de mauvais esprit je pense qu’elle conduira les usual suspects à être automatiquement labellisés indépendamment de leur capacité à délivrer une prestation de qualité.

Acte 3 : le diable est dans les détails

Le schéma de certification est un processus assez lourd, à l’instar du transparent consacré au sujet. Pour obtenir le précieux sésame, l’entreprise devra se faire auditer, et disposer de consultants labellisés dans les domaines pour lesquels elle candidate (audits organisationnels, audit de code, etc.).

En ce qui concerne l’entreprise, elle devra se plier à un audit de son réseau interne, et démontrer que le service « audits et tests » n’a aucune adhérence avec le reste de l’entreprise, considéré comme « hostile ». Curieuse approche qui consiste à laisser les auditeurs gérer eux-mêmes leur infrastructure ; on sait pourtant qu’ils ne sont pas les premiers à appliquer les conseils qu’ils donnent aux autres.

Le niveau d’exigence n’a pas été clairement défini, mais des gros mots ont été utilisés, tels que « produits certifiés » ou « IPSEC ». On peut s’attendre toutefois à un saut qualitatif par rapport aux pratiques actuelles, car il a été évoqué le fait que les tests et la rédaction du rapport devaient être réalisés sur deux machines distinctes, l’auditeur n’étant pas administrateur de la deuxième. Par ailleurs tous les échanges de documents avec les clients devront être chiffrés, ce qui promet des heures d’amusement compte-tenu du niveau d’interopérabilité entre les différentes solutions.

En ce qui concerne les personnes, elles devront passer un examen écrit (de type QCM) et un examen oral par catégorie. Visiblement le taux de succès selon les catégories varie entre 50% (test d’intrusion) et 90% (audit organisationnel) ; en phase expérimentale 15 consultants ont été labellisés sur le test d’intrusion.

Pour l’anecdote, bien qu’elle se défende avec véhémence de piller les ressources du privé, l’ANSSI a d’ores et déjà recruté la majorité de ces consultants. Par contre l’histoire ne dit pas ce qu’il est advenu des autres… qui peuvent toutefois retenter leur chance jusqu’à 2 fois par an.

Une fois l’étape initiale franchie, il reste pour l’entreprise à payer un audit de contrôle tous les 18 mois et un audit de re-certification tous les 3 ans, sauf si un événement vient à remettre en cause la labellisation, comme par exemple le départ de tous les auditeurs dans une activité donnée.

Tout ceci a bien évidemment un coût, à propos duquel il a été difficile de tirer les vers du nez de LSTI, qui est de facto la seule société habilitée à dérouler la procédure de labellisation.

Une estimation grossière donne 6 jours pour l’audit de l’entreprise et environ 600€ par consultant présenté à l’examen, ce qui reste modeste. Mais de l’aveu même des participants au programme beta, le temps de préparation est considérable, aussi bien pour l’entreprise que pour les candidats. Ce qui fait dire à un participant : « c’est le même prix qu’un stand aux Assises, mais avec un ROI moins évident ».

Acte 4 : il est frais mon label

L’implémentation retenue par l’ANSSI est la suivante : une « attestation de compétences » est remise à l’auditeur labellisé. Il peut s’en prévaloir lors de la réponse aux appels d’offres, mais la liste des auditeurs certifiés reste « secrète ». Ce qui veut dire qu’elle ne sera pas publiquement affichée ni sur le site de l’ANSSI ni sur le site des entreprises labellisées, mais aucune sanction n’est prévue s’il se crée demain un groupe LinkedIn des auditeurs PASSI. Une sorte de secret de polichinelle, donc.

L’ANSSI, soucieuse d’éviter la débauche de personnel (ou pas), précise que l’attestation de compétences n’est valable que pour exercer dans l’entreprise qui l’a financée. Si l’auditeur change d’entreprise, il devient automatiquement « incompétent », mais peut être admis à repasser l’examen.

Détail amusant : afin d’éviter les conflits d’intérêt lors des audits de labellisation, LSTI a choisi de faire appel à des profs (voire des étudiants). « Ce n’est pas de la sous-traitance, c’est du mandatement » nous signale Armelle Trotin. Comme quoi il peut exister des passerelles entre l’industrie et le monde universitaire !

Acte 5 : le futur

Bien entendu tout ceci n’a de sens que si le RGS 2.0 est publié un jour, puisque le PASSI ne sera contraignant que pour les victimes de ce document. L’ANSSI est confiante dans le fait que ce document verra le jour « avant 2015 ». Avec un délai de 5 ans entre la publication du RGS 1.0 et le décret d’application, on est en droit de ne pas partager le même optimisme.

Néanmoins l’ANSSI poursuit dans sa lancée afin d’adresser toutes les activités de la « chaine de cyberdéfense ». Après la prévention avec les audits et tests d’intrusion (si tant est que cela prévienne quoi que ce soit), des labels vont être créés pour les prestataires en détection d’intrusion (SOC), en investigation (forensics) et en reconstruction – ainsi que dans un tout autre domaine, celui du Cloud.

Petite anecdote : il est d’ores et déjà prévu de tester les candidats dans ces catégories sur leur capacité à rétro-concevoir des échantillons de malwares. Une double révolution culturelle est donc en marche …

Conclusion

Une poignée de sociétés ont d’ores et déjà fait la démarche de candidater à la procédure PASSI « finale ». Toutefois pour l’écrasante majorité des prestataires avec qui j’ai pu discuter en « off », il est urgent d’attendre. Les coûts engendrés sont considérables eût égard au volant d’activité que représentent réellement les clients soumis au futur RGS 2.0. Même les appels d’offres publics les plus récents – dont certains sont des contrats « cadre » sur 4 ans – ne font aucune mention du PASSI.

A moyen terme, on risque donc de voir le marché se fragmenter entre quelques « gros » opérateurs, qui pourront être imposés par l’ANSSI chez certains « clients » (essentiellement les OIV), et le reste des SSII qui continueront à traiter 95% des affaires courantes. Tout ça pour ça.