PASSI cool

Vous rêvez d’une carte de visite à rallonge – CISSP CEH MCSA CCNA – mais vous n’avez pas les moyens de cotiser à la fois à l’ISC2, à l’EC Council, chez Microsoft, et chez Cisco ? Rassurez-vous, grâce à l’ANSSI vous aurez bientôt la classe américaine. Après les certificateurs ARJEL, les laboratoires d’évaluation CSPN, les PSCE, les PSHE, le nouveau titre à la mode s’appelle PASSI (ce qui est – vous en conviendrez – beaucoup plus facile pour les jeux de mots). D’autres suivront, tels que les opérateurs certifiés de sonde ANSSI, les prestataires certifiés de réponse à incident, etc. mais il conviendra d’en parler en son temps.

Il n’y a PASSI longtemps (à l’échelle administrative)

Souvenez-vous, il y a deux ans : trois sociétés – Sogeti/ESEC, HSC et AMOSSYS – étaient retenues pour « beta-tester » la procédure expérimentale. Après moult péripéties, la phase de test est déclarée concluante, et la procédure de labellisation officiellement « bonne pour le service ».

Je ne voudrais pas ennuyer le lecteur avec tous les réglages techniques qu’il est nécessaire d’apporter pour mettre au point une telle mécanique, mais je vous laisse vous délecter de cette anecdote : pour valider la certification, un inspecteur de l’ANSSI doit assister à une prestation en conditions « réelles » chez un client. On imagine les difficultés du pauvre prestataire qui essaie de vendre à son client que s’il est retenu, il faudra faire ménage à trois avec l’ANSSI. Une fois le client enfin convaincu, il reste un détail à régler : l’administration ne se déplace jamais en province car … elle n’a pas de processus pour établir des notes de frais !

Un exercice de PASSIence

Bref, la certification entre en service. Petit détail (mais qui a son importance) : après avoir gracieusement travaillé pendant plus d’un an pour l’administration, tous les prestataires de service retournent désormais à la case départ. Il n’existe aucun prestataire officiellement labellisé actuellement.

La re-certification, une simple promenade de santé pour les vétérans du programme « beta » ? Pas vraiment, car chez la majorité d’entre eux, le turn-over a frappé : plus aucun consultant ayant participé à la phase expérimentale n’émarge encore aux effectifs …

On touche ici l’une des limites (prévisibles) de l’exercice : comment délivrer un label à une entreprise dans sa globalité, alors que ce sont des personnes qui sont auditées ? N’est-ce pas un manque de clairvoyance sur le consultant en SSII, dont l'objectif principal est de s'en évader ? Et pour une fois, le système PCI-DSS – avec sa liste de consultants accrédités intuitu personae – ne serait-il pas plus cohérent ?

PASSI rentable

Autre détail qui a son importance : depuis que le processus de labellisation est « en production », celui-ci est entièrement délégué au secteur privé. L’organisme certificateur est évidemment la société LSTI – qui dispose d’un monopole de fait sur l’activité de certification en France dans de nombreux domaines.

Et donc, la certification est payante. Voire pas donnée, compte-tenu des coûts annuels liés au maintien de la certification. Vous n’avez pas voulu cotiser à l’ISC2, vous participerez au redressement productif.

Pour les petites sociétés, l’équation n’est pas évidente : entre le coût de préparation, le coût de passage, et les coûts récurrents liés à la certification, il faut vraiment aimer les appels d’offres publics pour rentrer dans ses frais. Et savoir fidéliser ses consultants certifiés, tout en leur faisant quand même faire un peu d’EBIOS en régions. Bref, le mariage de la carpe et du lapin.

Car bien sûr, le « label » PASSI n’a des valeur contraignante que pour les administrations qui doivent se conformer aux RGS et donc recourir exclusivement à des prestataires labellisés. Du moins quand le RGS 2.0 entrera en vigueur, ce qui laisse le temps de la réflexion, celui-ci étant en relecture à Bruxelles.

Pour tous les autres appels d’offres, on peut supposer que le label PASSI sera un nice to have. Enfin comme d’habitude, la réponse sera jugée selon les critères suivants : prix 90%, bullshit (dont les labels) 10%.

Vous l’aurez compris, le point d’inflexion sera atteint dans les prochains mois. Les prestataires vont-ils jouer le jeu, dans un contexte économique difficile où les marges diminuent sans cesse ? Les administrations vont-elles jouer le jeu, au risque de se faire dépouiller par les mastodontes habituels ? Est-ce qu’un tel label est de nature à conserver la compétence technique en France et stimuler les PME ultra-pointues, comme il en existe quelques-unes en sécurité informatique ?

PASSI vite

Il s’agit d’une vraie question, car autre chose a fondamentalement changé depuis deux ans : tout le monde a compris que la sécurité était un échec. Pas une table ronde, pas une WebTV, pas un éditorial qui ne surfe sur ce concept. Ou plutôt devrais-je dire : « la sécurité informatique défensive » est un échec.

Il y a dix ans, on pouvait faire briller des étoiles dans les yeux d’un jeune sorti d’école en lui proposant un poste de pentester. Aujourd’hui il sourit gentiment en disant « merci mais je préfère aller chez VUPEN ». Un poste de RSSI, n’en parlons même pas.

Même l’ANSSI, qui a jouée les vierges effarouchées tant de fois à SSTIC, a finalement choisi « l’option offensive » : la future Loi de Programmation Militaire s’apprête à en faire le shérif de l’Internet. Quoi de mieux pour attirer les derniers jeunes qui hésitaient encore à quitter leur SSII, sinon que le frisson de la cyber-action ?

En clair, si à 30 ans t’es PASSI, t’as raté ta vie. Ou pas loin.

Conclusion

Pour une fois je vais mouiller la chemise et me lancer dans l’exercice périlleux de la futurologie.

Je pense qu’il y aura des sociétés labellisées PASSI d’ici quelques mois (au mieux). Mais que la prestation de service labellisée restera un marché de niche dans lequel se retrouveront piégées quelques administrations. Et que les prestataires eux-mêmes finiront par jeter l’éponge si les règles sont appliquées de manière trop stricte (comprendre : s’il faut vraiment démontrer une compétence pointue et continue).

Je pense que le seul qui profitera à coup sûr du système sera le vendeur de pioches, comme dans toutes les ruées vers l’or.

Je pense que l’ANSSI n’aura jamais le courage politique de retirer le label à un quelconque acteur majeur du domaine, ce qui aura pour conséquence de dégrader lentement mais irrémédiablement le fondement même de la labellisation comme processus de création de confiance. C'est ce qui se passe actuellement – mais dans une moindre mesure, car il ne s'agit que de produits – avec la CSPN.

Je pense que dans cinq ans, les seuls endroits où se pratiquera encore de manière professionnelle la sécurité informatique en France seront les acteurs de l’offensif (ANSSI, DGSE, DGA … ainsi que quelques privés comme VUPEN). Aucun jeune ne fera l’effort nécessaire pour se mettre à niveau sur les technologies actuelles avec pour seul horizon de piloter une analyse EBIOS ou une matrice de couverture des risques. Le métier d’auditeur en sécurité dans le privé – s’il existe encore – se réduira à l’utilisation d’outils simples tels que pst2ppt (ou l’inverse).

Sur ce, souhaitons que l’ANSSI s’attaque à un chantier encore plus fun : labelliser les RSSI :) Et à demain pour la réunion de lancement du PASSI.

Déni de responsabilité : je ne suis pas prestataire de service, je n’ai aucunement contribué au PASSI (sauf par mes écrits), je ne dispose d’aucun canal d’information en dehors des circuits publics, tous les propos retranscrits dans cet article ont été collectés sous l’emprise de l’alcool, donc certainement faux. Ou pas.