DEFENSE & SPACE/Audits PASSI-LPM sur systèmes duals

Cette offre s'applique à des environnements duals, c'est à dire à la fois civils et militaires.

Les sites sensibles, dans le domaine Défense et Spatial, comme pour tout Opérateur d'importance vitale (OIV), doivent pouvoir démontrer le respect des exigences réglementaires applicables.

Les organismes doivent, à l'issue d'une démarche de gestion des risques, sécuriser leur système d’information de façon adaptée et proportionnée, selon un ou plusieurs référentiels. Le premier étant l'arrêté sectoriel de la Loi de Programmation Militaire (LPM) qui les concerne.

Les mesures de sécurité devant être mises en place pour sécuriser le système d'information sont décidées à l'issue d'une analyse de risques (selon la méthodologie EBIOS RM par exemple) et peuvent être de différentes natures : organisationnelles, physiques et techniques.

L’audit est l’un des moyens à disposition de tout organisme pour éprouver et s’assurer du niveau de sécurité de son système d’information afin de vérifier l'efficacité des mesures de sécurité, et de leur mise en oeuvre effective. Il permet, en pratique, de mettre en évidence les forces mais surtout les faiblesses et vulnérabilités du système d’information. Ils confirment l'atteinte d'un niveau acceptable des risques résiduels.

Ses conclusions permettent d’identifier des axes d’amélioration, de proposer des recommandations et de contribuer ainsi à l’élévation de son niveau de sécurité, et peuvent également s'incrire dans une démarche d'homologation (voir offre ✓ Offre SPACE-DEF/Seg. Sol & GNSS - Homologation de SIIV)

L'offre d'audits PASSI-LPM pour système duals de SCASSI propose de mettre à disposition son savoir-faire, sa connaissance du domaine Défense et Spatial, et son expérience en termes de:

1. Audit organisationnel et physique (Lot 1)

2. Audit d’architecture comme par exemple d'un système GNSS ou EGNOS (Lot 2)

3. Audit de configuration de SI comme par exemple les TM/TC de lanceurs (Option 1)

4. Tests d’intrusions boite noire, grise ou blanche, par exemple d'un segment sol (Option 2)

5. Audit de code source par exemple de logiciel Bord ou de traitement de données (Option 3)

6. Analyse des vulnérabilités techniques et interprétation contextualisée des résultats dans l'environnement du client (Option 4)

7. Audit Hardware incluant extraction des mémoires et reverse engineering (Option 5)

Grâce à sa forte connaissance du domaine Dégense et Spatial, et de l'environnement associé, l’approche SCASSI est toujours une approche par le risque dans le contexte du client.

SCASSI étant certifié PASSI/LPM, notre méthodologie respecte le référentiel d'exigences PASSI. En s'appuyant sur nos différents pôles (Gouvernance, Evaluation Technique et Architecture) nous sommes capables de mobiliser une équipe d'audit complète qui mènera l'ensemble des travaux de front afin d'optimiser les temps de réalisation des tâches sur place, tout en minimisant le temps d'implication du client.

La méthodologie globale se déroule en 3 phases:

1. Cadrage et préparation (pour s’accorder ensemble sur le périmètre, les limites et les exclusions de l’audit et identifier les procédures d’audit applicables)

2. Réalisation de l'audit (réalisation des activités d’audit, conformément aux besoins exprimés propres à chaque portée, et dans le respect des bonnes pratiques. Restitution à chaud)

3. Restitution et Clôture (finaliser l’audit et assurer une restitution aux parties intéressées incluant le rapport technique détaillé, un document de synthèse et les recommandations / plan d'actions)

De plus, l'alignement du processus d’audit avec les bonnes pratiques définies dans les normes ISO 9001, 19011 et  27001, permet de garantir la qualité des livrables et la sécurité des données du projet.

Suite à un audit, notre offre "Offre SPACE-DEF/Seg. Sol & GNSS - Accompagnement RSSI sur les programmes Satellite ou de la Défense Nationale" pourra vous permettre d'être accompagné le cas échéant vers une conformité LPM

Outillage : Pour réaliser l’ensemble de ces audits, SCASSI utilise son propre outil développé en interne: AudiTool.

Les principales fonctionnalités de notre outil AudiTool sont les suivantes :

1. Nombreux référentiels intégrés (LPM, ANSSI, OWASP, NIST, 27001, CMMC, …)

2. Mécanisme de plugins pour intégrer de nouveaux référentiels rapidement

3. Travail collaboratif entre plusieurs auditeurs

4. Génération de rapport automatique et de restitution

5. Estimation automatique de la conformité entre plusieurs référentiels. 

Notre outil permet de définir des équivalences entre les référentiels. Une fois l’audit réalisé, la conformité aux différents référentiels est alors automatiquement calculée.

Livrables:

1. Rapport d'audits PASSI (Audit, d'architecture, Audit de configuration, Audit organisationnel et de sécurité physique, Tests d'intrusion, Audit de code source. Restitution en commission)

2. Recommandations / Plan d'actions

Référentiels:

1. Arrêté du 10 mars 2017 (systèmes d'information d'importance vitale) et application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense

2. Les bonnes pratiques d’architecture selon les exigences de l’ANSSI

3. Le référentiel d’exigences ISO 27001

4. Protection du potentiel scientifique et technique de la nation selon les exigences (instruction interministérielle n°901) et guides de l’ANSSI